ステップ 2(他のオプション):コンソールを使用した ArcSight Forwarding Connector のインストール
2024年4月11日
ID 167566
GUI インストーラーの代わりにコンソールを使用して、ArcSight Forwarding Connector をインストールできます。
コンソールを使用して ArcSight Forwarding Connector をインストールするには:
- コンソールで ArcSight Forwarding Connector インストーラーを実行します。
- [Introduction]セクションを読み、Enter を押します。
- 入力を促されたら[Choose Install Folder]を選択し、ArcSight Forwarding Connector をインストールするディレクトリのフルパス(
%ConnectorInstallDir%
)を入力します。インストールディレクトリの既定の値は
/root/ArcSightSmartConnectors
です。 - 入力を促されたら[Choose Install Set]を選択し、「
1
」(Typical
を表します)と入力します。 - 入力を促されたら[Choose Link Location]を選択し、インストールディレクトリへのリンクを作成するかどうかを指定します。
[
Don't create links
]を選択することを推奨します。 - [Pre-Installation Summary]セクションに、正しいインストール設定値が表示されていることを確認します。値が正しい場合は Enter を押します。
ArcSight Forwarding Connector がインストールされると、以下の情報がコンソールに表示されます:
Installation Complete
---------------------
The core components of the ArcSight SmartConnector have been successfully installed to:
%ConnectorInstallDir%
To finish the configuration of the SmartAgent, please go to the folder:
%ConnectorInstallDir%/current/bin/
and execute the script:
./runagentsetup.sh
%ConnectorInstallDir%/current/bin/runagentsetup.sh
を実行します。- 入力を促されたら[
Add a Connector
]を選択します。 - コネクターのタイプに[
ArcSight Forwarding Connector
]を指定します。 - パスワードをマスクするかどうかを指定します。
[
yes
]を選択することを推奨します。 - ArcSight Source Manager の以下の接続パラメータを指定します:
- Host Name
ArcSight Source Manager のホスト。
- Port
ArcSight Source Manager のポート(規定では、
8443
)。 - User
ArcSight Forwarding Connector が使用する予定のアカウントのユーザー名(既定では、
FwdCyberTrace
)。FwdCyberTrace
以外のユーザーを指定することもできます。他のユーザーを指定するには、ArcSight Forwarding Connector の設定でカスタムの ArcSight ユーザーを指定します。 - Password
ArcSight Forwarding Connector が使用する予定のアカウントのパスワード(既定では、
KasperskyLab!
)。
- Host Name
- 証明書のインポートに[
Import the certificate to connector from destination
]を指定します。 - 宛先のタイプに[
CEF Syslog
]を指定します。 - 次の設定を指定します:
- Ip/Host
Kaspersky CyberTrace サービスがイベントをリッスンする IP アドレス。
- Port
Kaspersky CyberTrace サービスがイベントを受信する際に使用するポート。既定では、
9999
です。 - Protocol
[
Raw TCP
]を指定します。
IP アドレスとポートは、Kaspersky CyberTrace Web の[Service]タブの[Connection settings]セクションで指定したものと同じです。
- Ip/Host
- コネクターの以下の設定を指定します:
- Name
任意の値を指定できます。
- Location
任意の値を指定できます。
- DeviceLocation
任意の値を指定できます。
- Comment
任意の値を指定できます。
これで、コネクターが登録されます。
- Name
- コネクターがインストールされる方法に[
Install as a service
]を指定します。 - 次のサービス設定を指定します:
- Service Internal Name
- Service Display Name
- Start the service automatically
ここでは、システムの起動時にサービスを起動するかどうかを指定します。[
yes
]を選択することを推奨します。
- 指定したデータを確認します。正しい場合は Enter を押します。
コネクターがサービスとしてインストールされます。
- コネクターが実行されていることを確認します(確認方法の詳細は、「ArcSight のトラブルシューティング」セクションを参照してください)。実行されていない場合は、以下のコマンドを使用して起動します:
/etc/init.d/arc_%FORWARDING% start
ここで、
%FORWARDING%
はコネクターの名前です。
Forwarding Connector が Kaspersky CyberTrace サービスに大量のイベント(毎秒 1000 を超えるイベント)を送信している場合、以下を実行することを推奨します:ファイル %ConnectorInstallDir%/current/user/agentagent.wrapper.conf
でフィールド wrapper.java.maxmemory
に 512
を設定し、Forwarding Connector を再起動します。