Decoder:Syslog転送の構成

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

Syslogメッセージの収集に加えて、Syslogメッセージを他のSyslogレシーバーに転送するようLog Decoderを構成できます。NetWitness Suiteは、メッセージをパースした後、そのメッセージをLog Decoderに書き込む前に、Syslogメッセージを転送します。

注:このトピックの「手順」に定義されているステップに従い、[エクスプローラ]ビューを使用してSyslog転送を構成する必要があります。

Syslog転送を構成する前に、Log Decoderが開始している必要があります。Syslog転送を構成するには、次の手順を実行します。

  1. Log Decoderのアプリケーション レイヤーレイヤー ルール(アプリケーション ルール)を構成し、メッセージの転送をNetWitness Suiteに指示するメタデータをSyslogメッセージにタグ付けします。
    1. サービス]ビューでLog Decoderを選択し、[アクション]列でアクション メニュー [表示]>[エクスプローラ]をクリックします。 
    2. /decoder/config/rules/applicationノードに移動し、applicationを右クリックして[プロパティ]をクリックします。
    3. プロパティ]ビューで、addコマンドを選択し、次のようにパラメータを指定します。
      rule=<query> name=<name>
      例1: rule=*name=receiver1
      例2:rule="device.type='winevent_nic'" name=receiver
    4. 送信]をクリックします。
      これが結果です。
      NetWitness Suiteにより、name=receiver1 rule=* order=<n>というルールが作成されます。既存のルールに応じて、NetWitness Suiteが並び番号(たとえば、order=49)を挿入します。
      これはパラメータです。
    5. /decoder/config/rules/application ノードに移動し、name=receiver1 rule=* order=49ルールをクリックします。
    6. alert forwardパラメータをルールのパラメータに追加します。
      パラメータは次のとおりです。
      他のいずれのルール パラメータも、別のアプリケーション ルールで使用する場合と同様に機能します。

      このアプリケーション ルールの例では、*ルールにより、すべてのログを選択しています。また、「receiver1」という値でalertメタを作成し、ログ全体をsyslog転送の宛先に転送するようタグ付けしています。必要に応じて、複数の異なる転送ルールを同名または固有名で定義できます。
    1. Syslog転送の宛先を定義し、転送を有効化します。
      1. サービス]ビューで、Log Decoderを選択し、アクション メニュー >[表示]>[エクスプローラ]を選択します。
      2. Syslog転送の宛先は、構成ノード/decoder/config/logs.forwarding.destinationで定義されます。
        この構成ノードには、1つ以上の名前/値ペアが含まれています。名前は、転送メタでログにタグ付けするために使用したアプリケーション ルールの名前のパラメータに対応します。この値は、コロンで区切られた転送、ホスト、およびポートの3つとそれに続くオプションの書式設定パラメータです。
        name=(udp|tcp|tls):host:port[:(retainsource|rfc3164)]
        最初のパラメータは転送プロトコルを示し、udp、tcp、tlsのいずれかである必要があります。udpを指定すると、RFC 3164/RFC 5426 UDP syslogプロトコルを介してログが転送されます。tcpを指定すると、RFC 6587フレーミングでTCP接続を使用してログが転送されます。tlsを指定すると、RFC 5425に従ってログが転送されます。

        hostは、IPv4アドレス、IPv6アドレス、またはホスト名です。

        portは、ログが送信されるポートです。通常、UDP syslogの場合はポート514、TLS接続の場合は6514です。TCP経由のsyslogに対する標準のポート割り当てはありません。

        必要に応じて、retainsourceまたはrfc3164を宛先文字列に指定して、各ログ転送に追加の書式設定と情報を含めることを示します。retainsourceを指定すると、基づいているログの先頭にzコネクタのヘッダーが含まれ、timedevice.(ip|ipv6|host)、およびlc.cidメタで設定されます。これは、他のLog Decorderへの転送に使用するには最適です。rfc3164オプションでは、syslog.pritime、およびdevice.(ip|ipv6|host)メタで構築され、転送されたすべてのイベントの前に有効なRFC3164ヘッダーが付加されます。どちらの場合も、元のログテキストは変更されません。

        転送先の例:

        gears=tls:gears.netwitness.local:6514

        Zコネクタ ヘッダーを含むポート514のブラックアウトへのtcp経由の転送例:

        fwdrule=tcp:blackout.netwitness.local:514:retainsour

      /decoder/config/logs.forwarding.destinationパラメータで、転送先を指定します。次に例を挙げます。
      TLS接続:receiver1=tls:receiver1.netwitness.local:6514
      UDP接続:receiver1=udp:receiver1.netwitness.local:514
      TCP接続:receiver1=tcp:receiver1.netwitness.local:514

      これはlogs.forwarding.destination設定です。

注:
次の構成が可能です。
    - ログを同じ宛先に転送する複数のルール。
    - ログを複数の宛先に転送する複数のルール。

TLS接続の場合は、転送先の証明書を検証する必要があります。宛先の証明書に署名した認証局が、Log DecoderのCAトラスト ストアに含まれていなければならず、証明書が宛先またはSyslogレシーバに存在している必要があります。Log DecoderのCAトラスト ストア(NetWitness Suite 11.0の各ドキュメントを見つけるには、バージョン11.0の「マスター目次」に移動します。)の処理については、「ログ収集の構成ガイド」の「証明書の構成」を参照してください。

  1. /decoder/config/logs.forwarding.enabledパラメータで、trueを指定します。
    これはlogs.forwarding.enabled設定です。
You are here
Table of Contents > DecoderおよびLog Decoderのための追加の手順 > Syslog転送の構成

Attachments

    Outcomes