# Интеграция Kaspersky MLAD с KUMA по Syslog
### 1. Описание задачи
Данный документ описывает процесс настройки Kaspersky MLAD для интеграции с KUMA по протоколу Syslog.
Цель данной интеграции – обеспечить передачу событий безопасности из Kaspersky MLAD в SIEM систему для обеспечения мер информационной безопасности в инфраструктуре клиента.
Ниже приведена упрощенная схема подключения, используемая в описываемой в данном документе интеграции.
[](https://www.ics-community.ru/uploads/images/gallery/2026-04/41zimage.png)
### 2. Реализация задачи
Первым шагом необходимо настроить CEF-коннектор в составе Kaspersky MLAD на передачу событий безопасности в SIEM-систему.
Для этого перейдите в **Меню администратора**, затем в **Системные параметры**, затем в настройки **CEF-коннектора**.
Здесь вам необходимо активировать переключатель **Отправлять журналы событий информационной безопасности на** **Syslog-сервер**, указать тип транспорта (TCP или UDP), указать адрес и порт Syslog-сервера. Если вы планируете использовать защищенное TLS-соединение, то вам необходимо также загрузить сертификат/закрытый ключ клиента и CA-сертификат для верификации серверной стороны.
[](https://www.ics-community.ru/uploads/images/gallery/2026-04/SzMimage.png)
После этого перейдите в основное меню, далее в Службы, затем в раздел **Коннекторы**. Запустите службу **CEF connector**, или перезапустите ее, если вы вносили изменения в настройки.
[](https://www.ics-community.ru/uploads/images/gallery/2026-04/BYuimage.png)
На этом настройка со стороны MLAD закончена.
В KUMA перейдите в раздел **Ресурсы**, затем **Коллекторы**.
[](https://www.ics-community.ru/uploads/images/gallery/2026-04/WACimage.png)
В состав поставки KUMA входит предварительно настроенный коллектор **\[****OOTB\] Syslog CEF**. Создайте копию на основе данного коллектора и перейдите в его настройки. Основные настройки подключения задаются на вкладке **Транспорт**.
[](https://www.ics-community.ru/uploads/images/gallery/2026-04/v8zimage.png)
Укажите тип протокола, интерфейс и порт, на котором KUMA будет принимать подключение по Syslog. Убедитесь, что настройки подключения в MLAD совпадают с настройками в данной вкладке.
Настройки остальных вкладок не влияют на прием сообщений Syslog. Во вкладке **Парсинг событий** вы можете настроить, как будут парситься события Syslog, полученные от MLAD. Для этого вам предварительно необходимо создать соответствующий парсер. Процесс создания и настройки парсера описан в документации на KUMA, и в данном документе не затрагивается,
После завершения настройки вам сначала будет необходимо будет создать соответствующий сервис.
[](https://www.ics-community.ru/uploads/images/gallery/2026-04/TELimage.png)
Для этого необходимо выполнить предложенную команду (через sudo) на машине с KUMA.
[](https://www.ics-community.ru/uploads/images/gallery/2026-04/vhSimage.png)
Если сервис уже существует, то после завершения настройки перейдите во вкладку **Проверка параметров** и нажмите кнопку **Сохранить и перезапустить сервисы**.
[](https://www.ics-community.ru/uploads/images/gallery/2026-04/wXPimage.png)
Перейдите в раздел **Активные сервисы** и убедитесь, что ваш сервис коллектора Syslog запущен.
[](https://www.ics-community.ru/uploads/images/gallery/2026-04/3Paimage.png)
Вернитесь в MLAD и произведите какое-нибудь системное действие, например, выйдите и снова войдите в систему.
Далее выберите свой активный сервис в KUMA и нажмите кнопку **Перейти к событиям.**
[](https://www.ics-community.ru/uploads/images/gallery/2026-04/ib2image.png)
Cделайте дефолтный SQL-запрос. Вы увидите в списке событие безопасности от MLAD.
[](https://www.ics-community.ru/uploads/images/gallery/2026-04/WnMimage.png)