Decoder:Syslog転送の構成

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、収集したSyslogメッセージをLog Decoderから別のSyslogレシーバーに転送する手順について説明します。

Syslogメッセージの収集に加えて、Syslogメッセージを他のSyslogレシーバーに転送するようLog Decoderを構成できます。Security Analyticsは、メッセージをパースした後、そのメッセージをLog Decoderに書き込む前に、Syslogメッセージを転送します。

注:このトピックの「手順」に定義されているステップに従い、[エクスプローラ]ビューを使用してSyslog転送を構成する必要があります。

前提条件

Log Decoderが開始している必要があります。

手順

Syslog転送を構成するには、次の手順を実行します。

  1. Log Decoderのアプリケーション レイヤー ルール(アプリケーション ルール)を構成し、メッセージの転送をSecurity Analyticsに指示するメタをSyslogメッセージにタグ付けします:
    1. サービス]ビューでLog Decoderを選択し、[アクション]列でActions menu cropped>[表示]>[エクスプローラ]を選択します。 
    2. /decoder/config/rules/applicationノードに移動し、applicationを右クリックして[プロパティ]をクリックします。
    3. プロパティ]ビューで、addコマンドを選択し、次のようにパラメーターを指定します。
      rule=<query> name=<name>(例1: rule=*name=receiver1、例2:rule="device.type='winevent_nic'" name=receiver1
    4. 送信]をクリックします。
      104LDecExplorePropField.png
      Security Analyticsにより、name=receiver1 rule=* order=<n>というルールが作成されます。既存のルールに応じて、Security Analyticsがorderの番号(たとえば、order=49)を挿入します。
      10411ExplorePropFieldResult.png
    5. /decoder/config/rules/applicationノードに移動して、name=receiver1 rule=* order=49ルールをクリックします。
    6. alert forwardパラメータをルールのパラメータに追加します。
      10411ExplorePropFieldResultAlertFwd.png
      他のいずれのルール パラメータも、別のアプリケーション ルールで使用する場合と同様に機能します。

      このアプリケーション ルールの例では、*ルールにより、すべてのログを選択しています。また、「receiver1」という値でalertメタを作成し、ログ全体をsyslog転送の宛先に転送するようタグ付けしています。必要に応じて、複数の異なる転送ルールを同名または固有名で定義できます。
  1. Syslog転送の宛先を定義し、転送を有効化します。
    1. サービス]ビューでLog Decoderを選択し、[アクション]列でActions menu cropped>[表示]>[エクスプローラ]を選択します。
    2. /decoder/config/logs.forwarding.destinationパラメータに、宛先を指定します。次に例を示します。
      TLS接続:receiver1=tls:receiver1.netwitness.local:6514
      UDP接続:receiver1=udp:receiver1.netwitness.local:514
      TCP接続:receiver1=tcp:receiver1.netwitness.local:514

      10411LogsForwDestination.png

注:
次の構成が可能です。
    - ログを同じ宛先に転送する複数のルール。
    - ログを複数の宛先に転送する複数のルール。

TLS接続の場合は、転送先の証明書を検証する必要があります。宛先の証明書に署名した認証局が、Log DecoderのCAトラスト ストアに含まれていなければならず、証明書が宛先またはSyslogレシーバに存在している必要があります。Log DecoderのCAトラスト ストアの処理については、「ログ収集の構成ガイド」の「証明書の構成」トピックを参照してください。

  1. /decoder/config/logs.forwarding.enabledパラメータに、[true]を指定します。
    10411LogsForwEnabled.png

 

 

関連トピック

Previous Topic:10G機能の構成
You are here
Table of Contents > 追加の手順 > Syslog転送の構成

Attachments

    Outcomes