KSC не отправляет сообытия в SIEM

[Konstantin Karelin]

KSC 12.2.0.4376 не отправляет события в SIEM. Реакция на события в политиках настроена(нужные галочки стоят и настройки отправки в SIEM так же сделаны). События есть. Уведомления на e-mail в этих же событиях работают. Настроена отправка в SIEM AlienVault OSSIM по порту 514(данный порт прослушивается на хосте SIEM, проверено. Хост доступен.). Пробовал разными форматами LEEF, CEF, Syslog - не отправляет. Функция “Экспортировать архив” тоже не работает. Настроил отправку на syslog-сервер в “Экспорте событий”  - тоже нет сообщений. Wireshark не видит трафика. tcpdump по 514 порту на хосте SIEM тоже не видит активности от KSS(telnet на данный порт открывается и данные принимает).

Лицензию проверил - соответствует, есть “системное администрирование”.

[Konstantin Karelin]

И еще вопрос: можно ли как то сменить язык в событиях или во всем ksc? Есть подозрение что OSSIM не может распарсить сообщения в кириллице.

[Demiad]

Лицензию проверил - соответствует, есть “системное администрирование”.

Проверьте и попробуйте добавить повторно если есть (Удалить и снова добавить) лицензию в свойствах сервера KSC.

Лицензия получается “Расширенная/ Total”?

Без добавления лицензии в свойствах сервера отправка не работает точно:

 

[Konstantin Karelin]

Спасибо. Переустановка ключа помогла. Отправка на syslog и в SIEM заработала.  Но SIEM не может их “распарсить”. Плагин официально только для 10KSC.

[Demiad]

 @Konstantin Karelin , данная статья Вам попадалась? Может, в ней ответ есть: https://support.kaspersky.com/15161

[Konstantin Karelin]

 @Konstantin Karelin , данная статья Вам попадалась? Может, в ней ответ есть: https://support.kaspersky.com/15161

Да, сейчас удалось настроить отправку событий. Пришлось на стороне SIEM создавать новый плагин. Теперь непонятная ситуация с часовым поясом. отправляет как будто в GMT 0, хотя настройки часового пояса на станции KSC GMT +6.