このトピックでは、Log CollectorにSyslogイベント ソースを構成する方法について説明します。
ローカルLog CollectorにはSyslog収集を構成しないでください。Syslog収集を構成する必要があるのは、リモートCollectorのみです。
Syslogイベント ソースの構成
UDPポート514、TCPポート514、SSLポート6514のSyslogリスナーはデフォルトで作成されます。TCPリスナーおよびSSLリスナーのSSL設定は変更しないでください。SSL証明書の検証が必要な場合は、別のポートをリスンする新しいイベント ソース タイプを作成します。なお、そのポートを開くにはiptablesを構成する必要があります。
リモートLog CollectorにSyslog収集を構成するには、次の手順を実行します。
- [管理]>[サービス]に移動します。
- [サービス]グリッドで、リモートLog Collectorを選択し、[アクション]メニューから
>[表示]>[構成]を選択します。
- [イベント ソース]タブを選択します。
-
ドロップダウン メニューから、[Syslog/構成]を選択します。
[イベント カテゴリ]パネルに、構成済みのSyslogイベント ソースが表示されます(存在する場合)。
注:RSA NetWitness Suiteでは、一部のSyslogイベント ソースがデフォルトで構成されています。その場合、ステップ6に進むことができます。
-
[イベント カテゴリ]パネル ツールバーで、
をクリックします。
[使用可能なイベント ソース タイプ]ダイアログが表示されます。
- [syslog tcp]または[syslog udp]のいずれかを選択します。組織のニーズに応じて、いずれか一方または両方を設定できます。
-
[イベント カテゴリ]パネルで新しいタイプを選択し、[ソース]パネルのツールバーで
をクリックします。
[ソースの追加]ダイアログが表示されます。
-
ポート番号を入力し、[有効]を選択します。必要に応じて、オプションで任意の拡張パラメータを構成します。
[OK]をクリックして変更内容を承認し、ダイアログ ボックスを閉じます。
1つまたは両方のsyslogタイプを構成すると、Log DecoderまたはリモートLog Collectorは、すべての使用可能なイベント ソースからメッセージを収集します。そのため、RSA NetWitness Suiteでさらに構成を行う必要なく、Syslogイベント ソースをシステムに追加できます。
Syslogパラメータ
次の表では、Syslogの構成で使用できる基本パラメータと拡張パラメータについて説明します。