このトピックでは、アラートがトリガーされたときに、TLS(Transport Layer Security)を使用してTCP経由でSyslogメッセージを送信できるようにするためのReporting Engineの構成手順について説明します。
前提条件
使用環境にTCP/TLSをサポートしているSyslogサーバが設置され、構成されていることを確認してください。たとえば、WinSyslogなどがこれに該当します。
手順
Reporting EngineからTCP/TLS経由でSyslogアラートが送信されるよう構成するには、次の手順を実行します。
- 必要な証明書を入手します。
- (オプション)証明書の形式をPEMからJKSに変換します。
- Reporting EngineサーバおよびSyslogサーバ用に生成されたキーのペアをコピーします。
- Security Analyticsでアラート メッセージの配信を構成
タスク1:必要な証明書を入手
次の手順を実行して、Reporting EngineからTCP/TLS経由でSyslogメッセージを送信するために必要な証明書を作成します。
- CA(認証機関)の証明書を作成します。詳細については、http://www.rsyslog.com/doc/tls_cert_ca.htmlを参照してください。
注:使用環境にすでにCAが構成されている場合は、このステップを省略できます。
- Reporting Engineサーバ用のキー ペア(公開鍵と秘密鍵)を作成します。詳細については、http://www.rsyslog.com/doc/tls_cert_machine.htmlを参照してください。
- Syslogサーバ用のキー ペアを生成します。詳細については、http://www.rsyslog.com/doc/tls_cert_machine.htmlを参照してください。
注:同一のCAによって作成されたキーと証明書を使用してSyslogサーバのセキュリティがすでに構成されている場合は、このステップを省略できます。
タスク2:(オプション)証明書の形式をPEMからJKSに変換
証明書をPEM(Privacy Enhanced Mail)形式で作成した場合は、これをJKS(Java KeyStore)形式に変換する必要があります。Reporting Engineがインストールされているマシンで、次の手順を実行します。
PEM形式の証明書をJKS形式に変換するには、次の手順を実行します。
- 既存のPEM形式の証明書をPKCSファイルに変換します。コマンド コンソールで、次のコマンドを実行します。
openssl pkcs12 -export -in <certificate.pem> -inkey <private_key.pem> -out <sample>.p12 -name re
-CAfile ca.pem -caname root
各項目の説明は、次のとおりです。- certificate.pem:PEM形式の証明書。
- private_key.pem:PEM形式の秘密鍵。
- sample:変換時に作成されるPKCS12ファイル。
- ca.pem:CA証明書。
- 既存のPKCS12ファイルをJKS形式の証明書に変換して、キーストアを作成します。コマンド コンソールで、次のコマンドを実行します。
keytool -importkeystore -destkeystore<re-keystore.jks> -srckeystore <sample>.p12 -srcstoretype PKCS12 -alias re
各項目の意味は以下のとおりです。- re-keystore.jks:JKS形式の証明書。
- sample:変換時に作成されるPKCS12ファイル。
- ca.pem:CA証明書。
- CA証明書(ca.pem)をトラストストアに追加します。コマンド コンソールで、次のコマンドを実行します。
keytool -importcert -alias myca -file <ca.pem> -keystore <re-truststore.jks>
各項目の意味は以下のとおりです。- ca.pem:CA証明書。
- re-truststore.jks:JKS形式のCA証明書。
注:変換時にキーストアおよびトラスト ストアに指定するパスワードをメモしておいてください。これらのパスワードは、Security AnalyticsでSECURE_TCPを有効にするときに指定する必要があります。
タスク3:生成したキー ペアをコピー
キー ペア(キーストアとトラストストア)を、作成した場所からReporting Engineサーバの /home/rsasoc/rsa/soc>/reporting-engine/keystores/に手動でコピーします。
タスク4:Security Analyticsでアラート メッセージの配信を構成
アラートがトリガーされたときに、Reporting EngineがTLS(Transport Layer Security)を使用してTCP経由でSyslogメッセージを送信するように構成します。Reporting Engineの[サービス]の[構成]ビューにアクセスし、[出力アクション]タブで[SECURE_TCP]を有効にします。詳細については、「ホストおよびサービスの構成ガイド」で「Reporting Engineの[出力アクション]」トピックを参照してください。