ArcSight のトラブルシューティング
2024年4月11日
ID 171572
このセクションでは、Kaspersky CyberTrace と ArcSight の使用時に生じる可能性がある問題の解決方法について説明します。
Kaspersky CyberTrace を使用していて問題が生じた場合は、カスペルスキーのスペシャリストがサポートします。問題の解決方法の詳細は、テクニカルアカウントマネージャー(TAM)にお問い合わせください。
ケース:ArcSight が Kaspersky CyberTrace サービスからのイベントを表示しない、または正しく表示しない
この問題を解決するには、次の処置を行ってください:
- Kaspersky CyberTrace サービスのコンピューターがオンになっていて、Kaspersky CyberTrace サービスが実行されていることを確認します(Windows 版の場合、「スクリプトを使用した Kaspersky CyberTrace サービスの管理(Windows)」セクションを参照してください)。
- Kaspersky CyberTrace サービスのコンピューターから ArcSight のコンピューターにアクセスできることを確認します。
- 出力接続文字列で指定したポートが開いていることを確認します。
- ArcSight Forwarding Connector と ArcSight SmartConnector(Windows 版の場合、「ArcSight SmartConnector のインストール(Windows)」セクションを参照)が実行されていることを確認します。
- Forwarding Connector が ArcSight ESM からデータを送信するポートを Kaspersky CyberTrace サービスがリッスンしていることを確認します。
- Kaspersky CyberTrace サービスが ArcSight SmartConnector にイベントを送信していることを確認します。
- ArcSight SmartConnector が適切に構成されていることをチェックします。
この場合、次のコマンドを実行します:
%ARCSIGHT_HOME%/current/bin/runagentsetup.sh
(Linux の場合)%ARCSIGHT_HOME%\current\bin\runagentsetup.bat
(Windows の場合)
%ARCSIGHT_HOME%
は、ArcSight SmartConnector がインストールされているディレクトリです。
ケース:新しい ARB パッケージのインポート後、アクティブチャネルがイベントを表示しない
この問題を解決するには、次の処置を行ってください:
アクティブチャネルで使用されているフィルターをチェックします:
- [Filters]→[Shared]→[All Filters]→[Public]→[Kaspersky CyberTrace Connector]の順に移動します。
- [
device product
]フィールドの値が[Kaspersky CyberTrace for ArcSight
]になっていることを確認します。
新しいアクティブチャネルを作成します:
- 現在のアクティブチャネルを削除して新しいアクティブチャネルを作成します。
- 新しいアクティブチャネルを次のように構成します:
- [
Start Time
]パラメータと[End Time
]パラメータを必要な値に設定します。 - [
Use as Timestamp
]パラメータを[Manager Receipt Time
]に設定します。 - アクティブチャネルを自動更新させる場合は、アクティブチャネルのプロパティの[Time Parameters]セクションの[Continuously evaluate]を選択します。
- [Filters]セクションで、アクティブチャネル自身と名前が同じフィルターを指定します。ArcSight Console のツリービューの[Filters]→[Shared]→[All Filters]→[Public]→[Kaspersky CyberTrace Connector]の場所で、ドロップダウンボックスの[Filters]を選択すると、使用可能なフィルターが表示されます。
- [Fields]セクションで、アクティブチャネル自身と名前が同じ項目を指定します。
ArcSight Console のツリービューの[Field Sets]→[Shared]→[All Field Sets]→[Public]→[Kaspersky CyberTrace Connector]の場所で、ドロップダウンボックスの[Field Sets]を選択すると、使用可能なフィールドが表示されます。
- [
ケース:Kaspersky CyberTrace サービスが ArcSight からイベントを受信しない
この問題を解決するには、次の処置を行ってください:
- Kaspersky CyberTrace サービスのコンピューターがオンになっていて、Kaspersky CyberTrace サービスが実行されていることを確認します(Windows の場合、「スクリプトを使用した Kaspersky CyberTrace サービスの管理(Windows)」セクションを参照してください)。
- ArcSight のコンピューターがオンになっていること、ArcSight が実行されていることを確認します。
- ArcSight のコンピューターから Kaspersky CyberTrace サービスのコンピューターにアクセスできることを確認します。
確認には
ping
ユーティリティを使用できます。 - 入力接続文字列で指定されたポートが Kaspersky CyberTrace サービスのコンピューターで開いていることを確認します。
確認には
netcat
ユーティリティを使用できます。 - Kaspersky CyberTrace サービス設定情報ファイルの正規表現をチェックするか、[Kaspersky CyberTrace Web]の[Settings]→[Events Format]タブを使用して正規表現をチェックします。
- インストールした ArcSight Forwarding Connector が実行されていることを確認します。
Linux の場合、確認には次のコマンドを使用できます:
ps -Af | grep %DIR_NAME%/current/bin
%DIR_NAME%
は、Forwarding Connector がインストールされているディレクトリです。Forwarding Connector のプロセスが実行されている場合、プロセスに関する情報がコンソールに表示されます。 - 新しい ARB パッケージのインポート後、Kaspersky CyberTrace サービスが ArcSight からイベントを受信しなくなった場合は、次のコマンドを実行してウィザードの指示に従って、ArcSight Forwarding Connector をもう 1 回登録してください:
%ConnectorInstallDir%/current/bin/runagentsetup.sh
%ConnectorInstallDir%
は、ArcSight Forwarding Connector がインストールされているディレクトリです。
ケース:ArcSight Forwarding Connector で認証エラーが発生するか、ArcSight Forwarding Connector に使用するアカウントが存在しない
この問題を解決するには、次の処置を行ってください:
- ArcSight Console を実行します。
- [Users]→[Shared]→[Custom User Groups]の順に選択します。
- [Kaspersky CyberTrace Connector] グループを作成します。
- [Kaspersky CyberTrace Connector]グループを右クリックした後、[Edit Access Control]を選択します。
- [Events]タブを選択します。
- [Add]をクリックします。
- [CyberTrace forwarding events]フィルターを選択します。
- [Save]をクリックします。
- [Kaspersky CyberTrace Connector]グループで、アカウントの次のオプションを指定します:
- 任意のユーザー名(例:
FwdCyberTrace
) - [type]フィールド([
Forwarding Connector
]タイプ) - パスワード
- 任意のユーザー名(例:
これらの資格情報は、ArcSight から Kaspersky CyberTrace にイベントを転送するために使用されます。