Использование формата CEF
Termidesk поддерживает запись каждого события аудита в формате Common Event Format (CEF).
Формат CEF описывается следующим набором обязательных полей:
- Version - версия формата CEF;
- Device Vendor, Device Product и Device Version - однозначная идентификация источника события;
- Signature ID - уникальный идентификатор типа события;
- Name - понятное описание события;
- Severity - важность события (от 0 до 10);
- Extension - набор пар «ключ - значение».
Формат регистрации события приведен в подразделе Форматы регистрируемых событий аудита и их примеры.
Для использования формата CEF нужно включить использование CEF в «Агрегаторе администратора» (см. подраздел Системные настройки аудита).
Для того чтобы события в формате CEF корректно сохранялись в локальный файл журнала, нужно:
- включить сохранение событий в файл (см. подраздел Системные настройки аудита);
- отредактировать шаблон отправки сообщений в каталоге
/etc/opt/termidesk-vdi/templates:- закомментировать:
template t_termidesk_audit { template("[$ISODATE] $MESSAGE\n"); };
раскомментировать:
template t_termidesk_audit { template("$MESSAGE\n"); };
- выполнить:
sudo /opt/termidesk/sbin/termidesk-config update_logger_config
- включить использование CEF в «Агрегаторе администратора» (см. подраздел Системные настройки аудита).