次の事項を確認:
- アラート ルールを作成する前に、データ ソースとしてReporting Engineに追加したConcentratorにDecoderが接続済みである必要があります。
- 使用環境にTCP/TLSをサポートしているSyslogサーバが設置され、構成されています。たとえば、WinSyslogなどがこれに該当します。アラートがトリガーされたときに、TLS(Transport Layer Security)を使用してTCP経由でSyslogメッセージを送信できるようにReporting Engineを構成できます。
Reporting EngineからTCP/TLS経由でSyslogアラートが送信されるよう構成するには、次の手順を実行します。
- 必要な証明書を入手します。
-
NetWitnessサーバでca.pemファイルにCA証明書を追加します。
-
クライアント マシンからのメッセージを受信するようにSyslogサーバを構成します。
-
NetWitness UIでアラート メッセージの配信を構成します。
タスク1:必要な証明書を入手
Reporting EngineからTCP/TLS経由でSyslogメッセージを送信するために必要な証明書を作成するには、次の手順を実行します。
- CA(認証機関)の証明書を作成します。詳細については、http://www.rsyslog.com/doc/tls_cert_ca.htmlを参照してください。
注:使用環境にすでにCAが構成されている場合は、このステップを省略できます。
- Syslogサーバ用のキー ペアを生成します。詳細については、http://www.rsyslog.com/doc/tls_cert_machine.htmlを参照してください。
注:同一のCAによって作成されたキーと証明書を使用してSyslogサーバのセキュリティがすでに構成されている場合は、このステップを省略できます。
タスク2:NetWitnessサーバでca.pemファイルにCA証明書を追加
ca.pemファイルに既存のCA証明書を追加するには、次の手順に従います。
- 生成したCA証明書の内容を/etc/pki/CA/certs/ca.pemファイルに手動で追加します。
- NetWitnessサーバで次のコマンドを実行してトラスト ストアに証明書を追加します。
keytool -import -file /etc/pki/CA/certs/ca.pem -keystore cacerts
タスク3:クライアント マシンからのメッセージを受信するようにSyslogサーバを構成
同じCA証明書を持つクライアント マシンからのメッセージを受信するようにSyslogサーバを構成するには、次の手順を実行します。
- 次のファイルをセキュアなTCPサーバ ターゲット ロケーションにコピーします。
ca_cert.pem
server_cert.pem
server_key.pem
各ファイルの内容は次のとおりです。
ca_cert.pem:CA証明書server_cert.pem:サーバ証明書
server_key.pem:サーバ キー
詳細については、ご使用のSyslogサーバ用ドキュメントを参照してください。rsyslogを使用している場合は、http://www.rsyslog.com/doc/tls_cert_server.htmlを参照してください。
タスク4:NetWitness UIでアラート メッセージの配信を構成
アラートがトリガーされたときに、Reporting EngineがTLS(Transport Layer Security)を使用してTCP経由でSyslogメッセージを送信するように構成します。Reporting Engineの[サービス]の[構成]ビューにアクセスし、[出力アクション]タブで[SECURE_TCP]を有効にします。詳細については、「ホストおよびサービスの構成ガイド」で「Reporting Engineの[出力アクション]」トピックを参照してください。