ステップ 6:System Monitor Agent へのログソースの追加
2024年4月11日
ID 183792
このセクションでは、Kaspersky CyberTrace に関係する新しいログソースが LogRhythm に表示されるように実行する操作について説明します。既に LogRhythm が適切に構成されている場合は、LogRhythm に新しいログソースが表示され、すべてが指定通りであることを確認する必要があるだけのため、操作を実行する必要はありません。
Kaspersky CyberTrace に関係するログソースを LogRhythm に追加するための条件を作成するには:
- LogRhythm Console を実行します。
- [Deployment Manager]→[System Monitors]の順に選択します。
- 選択したエージェントを右クリックして、コンテキストメニューの[Properties]をクリックします。
![LogRhythm の[Deployment Manager]ウィンドウ。ショートカットメニュー。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/logrhythm30.jpg)
エージェントのコンテキストメニュー
[System Monitor Agent Properties]ウィンドウが表示されます。
- [Syslog and Flow Settings]タブを選択します。
- [Enable Syslog Server]をオンにします。
![LogRhythm の[System Monitor Agent Properties]ウィンドウ。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/logrhythm12.jpg)
[System Monitor Agent Properties]ウィンドウ
- [OK]をクリックします。
- Windows ファイアウォールをオフにするか、またはファイアウォールに除外を追加することにより、受信 SYSLOG イベントを受信できるようになります。
- [Deployment Manager]→[Data Processors]→[Properties]→[Advanced]の順に選択します。
[Data Processor Advanced Properties]ウィンドウが表示されます。
- 表で、次の項目を選択します。プロパティ名は[Name]列にあり、[Value]列には選択したチェックボックスが表示されています:
- AutomaticLogSourceConfigurationNetFlow
- AutomaticLogSourceConfigurationsFlow
- AutomaticLogSourceConfigurationSNMPTrap
- AutomaticLogSourceConfigurationSyslog
![LogRhythm の[Data Processor Advanced Properties]ウィンドウ。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/logrhythm14.jpg)
[Data Processor Advanced Properties]ウィンドウ
- [OK]をクリックします。
- 必要に応じて、LogRhythm を再起動します。
LogRhythm は、再起動が必要であるかどうかを通知します。
Kaspersky CyberTrace がイベントを送信した後、[Log Sources]タブに新しい項目が表示されます。
新しいログソースを受け入れるには:
- 新しい項目を右クリックして、[Actions]→[Resolve Log Source Hosts]の順に選択します。
- 新しい項目をダブルクリックします。
[Log Source Acceptance Properties]ウィンドウが表示されます。
![LogRhythm の[Log Source Acceptance Properties]ウィンドウ。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/logrhythm15.jpg)
[Log Source Acceptance Properties]ウィンドウ
- プロパティを編集します:
- ログソースホストを指定します。
- ログソースタイプとして[
Kaspersky CyberTrace]を指定します。 - ステップ 4 で追加した[MPE]ポリシーを指定します。
- [OK]をクリックします。
- 不明なログソースホストは使用できないことを示すエラーメッセージが表示された場合、次のようにして新しいエンティティを追加します:
- LogRhythm Console で、[Entities]タブを選択します。
- [New Child Entity]ツールバーボタンをクリックします。
。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/logrhythm27.png)
- 表示される[Entity Properties]ウィンドウで、エンティティのプロパティを指定します。
![LogRhythm の[Entity Properties]ウィンドウ。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/logrhythm26.png)
エンティティ名は一意かつ空でないようにする必要があります。その他のエンティティのプロパティは任意にできます。
- [OK]をクリックします。
- 作成したエンティティをログソースホストとして使用して、ステップ 3 の操作を繰り返します。
- [Action]をオンにします。
- ログソースを右クリックして、[Actions]→[Accept]→[Defaults]の順に選択します。
![LogRhythm の[Actions]→[Accept]→[Defaults]ショートカットメニュー項目。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/logrhythm17.jpg)
ログソースのコンテキストメニュー
LogRhythm Console の下の表に、新しいログソースが表示されます。
![[LogRhythm Console]ウィンドウ。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/logrhythm18.jpg)
新しいログソース
Kaspersky CyberTrace から受信したイベントのログ転送の無効化
Kaspersky CyberTrace から受信したイベントのログ転送を無効にして、受信したイベントが Kaspersky CyberTrace に転送されて戻されるという、イベントのループの回避が必要になる場合があります。
Kaspersky CyberTrace から受信したイベントのログ転送を無効化するには:
- [Log Sources]タブで、Kaspersky CyberTrace に関連するログソースのチェックボックスをオンにします。
- ログソースを右クリックして、[Actions]→[Edit properties]の順に選択します。
![LogRhythm の[Edit Properties]ショートカットメニュー。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/logrhythm_edit_log_source_properties.png)
[Kaspersky CyberTrace]ログソースのプロパティの編集
- [Log Message Source Properties]ウィンドウが表示されます。[Log Message Processing Mode]ドロップダウンリストで、[MPE Processing Enabled, Event Forwarding Disabled]を選択して[OK]をクリックします。
![LogRhythm の[Log Message Source Properties]ウィンドウ。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/logrhythm_log_message_source_properties.png)
[Log Message Processing Mode]の指定
[MPE Processing Mode]列に、選択したログソースの[No Event Forwarding]が表示されます。
![LogRhythm の[MPE Processing Mode]列。](https://img.kaspersky.com/oh/CyberTrace/4.4/ja-JP/logrhythm_mpe_processing_mode.png)
[MPE Processing Mode]列