פירוט
במדריך הבא נסביר כיצד לייצא Raw Events מתוך ממשק EDR מקומי ESET INSPECT On-prem.
דרישות קדם
ממשק EDR מקומי ESET INSPECT On-prem מותקן.
תוכן
1. בשרת בו מותקן ה-EDR המקומי, יש להיכנס לנתיב הבא:
C:\Program Files\ESET\Inspect Server
2. יש לערוך את הקובץ eiserver.ini.
3. בסוף הקובץ, יש להוסיף את הטקסט הבא:
[JsonEventsStorage]
RemoveEventsOlderThan=17520h (גיל הקבצים המקסימלי - שימו לב הנתון צריך להיות בשעות ולכן שנתיים=17520 שעות)
EventsCleanupInterval=10m (תדירות מחיקת הקבצים שחרגו מהגיל המקסימלי)
SaveInLocalStorage=true (צריך את השורה רק בשמירה מקומית)
LocalStorageDir=C:\ProgramData\ESET\Inspect Server\RawEventsJson (נתיב השמירה - ניתן להחליף נתיב)
SaveInAzureBlobStorage=true (צריך את השורה רק בשמירה בענן)
accountName= (צריך למלא את 4 השורות הבאות עם פרטי חיבור לשרת בענן)
accountKey=
containerName=
blobEndpoint=
בתמונה מטה נראית דוגמה לשמירה מקומית
4. יש לשמור את הקובץ.
5. יש ללחוץ על הכפתורים במקלדת Win key + R ולהקיש services.msc וללחוץ OK.
6. יש לסמן את השירות ESET EI Server וללחוץ על Restart.
7. לאחר כמה דקות, הלוגים יופיעו בשרת בצורה הזו.
