ログ収集の構成:リモートCollectorのSyslogイベント フィルタの構成

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Syslog収集プロトコルのイベント フィルタの作成方法と管理方法について説明します。

この手順を完了すると、次のタスクが完了します。

  • Syslogイベント フィルタの構成
  • Syslogイベント フィルタ ルールの変更

注意:Syslogの収集はローカルLog Collectorに対して構成しないでください。リモートCollectorに対してのみ、Syslogの収集を構成する必要があります。構成の詳細については、トピック:ローカルCollectorおよびリモートCollectorへのアクセス を参照してください。

に戻ります。手順

Syslogイベント フィルタの構成

フィルタ ルールを構成するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. サービス]グリッドで、Log Collectorサービスを選択します。
  3. アクション]の下のAdvcdExpandBtn.PNGをクリックし、[表示]>[構成]を選択します。
  4. Log Collectorの[イベント ソース]タブで、ドロップダウン メニューから[Syslog/フィルタ]を選択します。

    フィルタ]ビューに構成済みのSyslogフィルタが表示されます(存在する場合)。

  5. [フィルタ]パネルのツールバーでIcon-Add.pngをクリックします。

    フィルタの追加]ダイアログが表示されます。

    SyslogFilter1.PNG

  6. 新しいフィルタの名前と説明を入力して[追加]をクリックします。

    フィルタ]パネルに新しいフィルタが表示されます。

  7. フィルタ]パネルで新しいフィルタを選択し、[フィルタ ルール]パネルのツールバーでをクリックします。

    フィルタ ルールの追加]ダイアログが表示されます。

  8. ルールの条件]の下のIcon-Add.pngをクリックします。
  9. ルールのパラメータを追加し、[Update]>[OK]をクリックします。

Security Analyticsにより、定義されたルールを使用してフィルタが更新されます。

                                 
フィールド説明
キー有効な値は次のとおりです。
  • Syslog level
  • Source IP
  • Raw Event
演算子有効な値は次のとおりです。
  • Contains
  • Equal
Regexの使用オプションです。Regexを使用する必要がある場合に、これを選択できます。
条件を構成するためのキーの値を指定します。
たとえば、キーにSyslogレベルを選択している場合、この値はSyslogレベルを表す数値になります。
大文字と小文字を区別しないオプションです。大文字と小文字を区別しないときに選択します。
アクション

一致した場合、Accept(許可)、Drop(ドロップ)、Next Condition(次の条件)、Next Rule(次のルール)のいずれかのアクションを選択できます。

一致しない場合、Accept(許可)、Drop(ドロップ)、Next Condition(次の条件)、Next Rule(次のルール)のいずれかのアクションを選択できます。

フィルタ ルールの変更

イベント ソースを変更するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. サービス]グリッドで、Log Collectorサービスを選択します。
  3. アクション]の下のAdvcdExpandBtn.PNGをクリックし、[表示]>[構成]を選択します。
  4. Log Collectorの[イベント ソース]タブで、ドロップダウン メニューから[Syslog/フィルタ]を選択します。

  5. フィルタ]ビューに構成済みのSyslogフィルタが表示されます(存在する場合)。
  6. フィルタ ルール]リストで、ルールを選択し、をクリックします。

    フィルタ ルールの編集]ダイアログが表示されます。

  7. 変更するルール条件を選択します。

  8. 変更が必要なパラメータを変更し、[Update]>[OK]をクリックします。

Security Analyticsにより、選択したフィルタ ルールにパラメータの変更が適用されます。

パラメータ

リモートCollectorのSyslogイベント フィルター ビュー

You are here
Table of Contents > ログ収集の構成ガイド > 手順 > ステップ3:Security Analyticsでのイベント ソースの構成 > リモートCollectorのSyslogイベント フィルタの構成

Attachments

    Outcomes