ステップ 7:Kaspersky CyberTrace へのログ転送の構成
2024年4月11日
ID 183793
このセクションでは、Kaspersky CyberTrace にログを転送するように LogRhythm を構成する方法について説明します。LogRhythm の構成には、ログレシーバーの追加およびログ配布ポリシーの追加があります。
ログレシーバーの追加
LogRhythm で、新しいログレシーバーを作成します。このログレシーバーは、Kaspersky CyberTrace を表しています。
LogRhythm にログレシーバーを追加するには:
- LogRhythm Console を実行します。
- [Deployment Manager]→[Tools]→[Distribution]→[Log Distribution Services]→[Receiver Manager]の順に選択します。
[Log Distribution Receiver Manager]ウィンドウが表示されます。
- [File]→[New]の順に選択します。
- 表示される[Syslog Receiver Properties]ウィンドウのフィールドに入力します:
- Kaspersky CyberTrace がインストールされているリモートホストの IP アドレスを指定します(Kaspersky CyberTrace サービス設定情報ファイルの
[InputSettings]→[ConnectionString]
要素で指定した IP アドレス)。 - Kaspersky CyberTrace がイベントをリッスンするリモートポートを指定します(Kaspersky CyberTrace サービス設定情報ファイルの
[InputSettings]→[ConnectionString]
要素で指定したポート)。 - [Network Protocol]を[TCP]に変更します。
- [Truncate message to 1024 bytes (RFC 3164)]を元に戻します。
- Kaspersky CyberTrace がインストールされているリモートホストの IP アドレスを指定します(Kaspersky CyberTrace サービス設定情報ファイルの
- [OK]をクリックします。
- 表に新しい行が表示された後、その行を右クリックして、[Enable]を選択します。
ログ配布ポリシーの追加
ログレシーバーを追加した後、Kaspersky CyberTrace に転送されるイベントのログ配布ポリシーを追加して条件を設定します。
ログ配布ポリシーを追加するには:
- [Deployment Manager]→[Tools]→[Distribution]→[Log Distribution Services]→[Policy Manager]の順に選択します。
- 表示される[Log Distribution Policy Manager]ウィンドウで、[File]→[New]の順に選択します。
Log Distribution Policy Wizard が開始されます。[Next]を使用して、Wizard を進めます。
- [Selected Log Source Lists]または[Selected Log Sources]を選択します。
[Select Log Sources]ウィンドウ
- 表示されるウィンドウで、フィルタリングを使用して、Kaspersky CyberTrace に転送する必要があるイベントのログソースを指定します。
Kaspersky CyberTrace が転送のログソースとして選択されていないことを確認します。選択されていると、イベントループが発生するためです。同じ理由により、前のステップで[All available Log Sources]を選択しないでください。
- [Event Distribution Criteria]ウィンドウで、前のステップで指定したログソースの正確なフィルターを定義できます。
これらのフィルターの定義の詳細は、LogRhythm のドキュメントを参照してください。
これらのフィルターを指定しないことを推奨します。
- 前のステップでフィルターを指定しなかった場合、下の図に示すように、確認ウィンドウが表示されます。
[Yes]をクリックします。
フィルターを適用せずにすべてのログの転送を確認
- [Select Distribution Receivers]ウィンドウで、[
Kaspersky CyberTrace
]を選択します。[Select Distribution Receivers]ウィンドウ
- [Define Syslog Sender Override Settings]ウィンドウで、既定の設定のままにします。
[Define Syslog Sender Override Settings]ウィンドウ
- [Additional Information]ウィンドウで、ポリシー名を入力して[OK]をクリックします。
[Additional Information]ウィンドウ
- Log Distribution Policy Wizard の終了後、 表に新しい行が表示されます。
表の新しい行を右クリックして、[Enabled]を選択します。
Kaspersky CyberTrace がインストールされているコンピューターがログを受信します。これを確認するには、netcat ユーティリティを使用します。
LogRhythm での検知イベントの表示
上の操作の結果として、LogRhythm は検知イベントを受信して表示します。イベントは、https://<logrhythmIP>:8443
または https://<logrhythmIP>:80
で使用可能な Web コンソールにも表示されます。