ステップ 2:ArcSight Forwarding Connector のインストール
2024年4月11日
ID 167564
このセクションでは、ArcSight Forwarding Connector をインストールする方法について説明します。
ArcSight Forwarding Connector は HP ArcSight のコンポーネントであり、Kaspersky CyberTrace には含まれていません。このアプリケーションは次のいずれかの方法で受け取ることができます:
- HP のサポートチームに問い合わせて ArcSight Forwarding Connector を入手します。
- カスペルスキーのテクニカルアカウントマネージャー(TAM)に問い合わせて ArcSight Forwarding Connector を入手します。
ArcSight Forwarding Connector をインストールするには:
- ArcSight Forwarding Connector のインストールアプリケーションを実行します。
- ArcSight Forwarding Connector のインストールディレクトリを選択します(以降、
%ConnectorInstallDir%
と表記)。 - インストールファイルを解凍したら、[Add a Connector]を選択します。
コネクターの追加
[Next]をクリックします。
- [Type]ドロップダウンリストで[ArcSight Forwarding Connector (Enhanced)]を選択します。
コネクタータイプの選択
[Next]をクリックします。
- ArcSight Source Manager の以下の接続パラメータを指定します:
- Host Name
ArcSight Source Manager のホスト。
- Port
ArcSight Source Manager のポート(規定では、
8443
)。 - User Name
ArcSight Forwarding Connector が使用する予定のアカウントのユーザー名(既定では、
FwdCyberTrace
)。FwdCyberTrace
以外のユーザーを指定することもできます。他のユーザーを指定するには、ArcSight Forwarding Connector の設定でカスタムの ArcSight ユーザーを指定します。 - Password
ArcSight Forwarding Connector が使用する予定のアカウントのパスワード(既定では、
KasperskyLab!
)。
ArcSight Source Manager のパラメータ
認証エラーが発生した場合(ユーザー名またはパスワードが間違っている場合)、ArcSight Console でユーザー
FwdCyberTrace
の存在を確認することを推奨します。存在しない場合は手動で作成します。[Next]をクリックします。
- Host Name
- 有効な接続パラメータが指定されていれば、必要な証明書をインポートします。
証明書のインポート
[Next]をクリックします。
- Kaspersky CyberTrace サービスに送信されるイベントに使用されるイベント形式として、[CEF Syslog]を指定します。
イベント形式の指定
[Next]をクリックします。
- Kaspersky CyberTrace サービスがイベントをリッスンする IP アドレス(またはホスト)およびポートを指定します。プロトコルに[Raw TCP]を指定します。
IP アドレスとポートは、Kaspersky CyberTrace Web の[Settings]→[Service]タブで指定したものと同じです。既定では、ArcSight からイベントを受信する IP アドレスとポートには
127.0.0.1:9999
が使用されます。イベントの宛先の指定
[Next]をクリックします。
- 新しい ArcSight Forwarding Connector の詳細を指定します:名前(任意の値を入力可能)、場所(任意の値を入力可能)、コネクターにイベントを送信するデバイスの場所(任意の値を入力可能、空にできます)、およびコネクターに関するコメント(任意の値を入力可能、空にできます)。
コネクターの詳細
[Next]をクリックします。
- ArcSight Forwarding Connector サービスをインストールします。
- root として Connector Setup Wizard を実行していない場合、警告が表示されます。
ユーザー権限に関する警告
root として Connector Setup Wizard を実行するか、root として以下のコマンドを実行します:
%ConnectorInstallDir%/current/bin/arcsight agentsvc -i -u $username -sn $service_name
ここで:
$username
はサービスを実行するオペレーティングシステムユーザーの名前です。$service_name
はサービス名です。サービス名をコネクター名と同じに設定することを推奨します。
ログファイル
%ConnectorInstallDir%/current/logs/agent.log
には、インストールプロセスについてのメッセージが書き込まれます。サービスパラメータを指定する方法を説明した次のステップは省略します。
- root としてインストールを実行している場合、[Install as a service]を選択します。
インストールモードの選択
[Next]をクリックします。
- サービスパラメータを指定します。
サービス名をコネクター名と同じに設定することを推奨します。
サービスパラメータの指定
[Next]をクリックします。
この後、新しい Forwarding Connector がインストールされたことが Connector Setup Wizard に表示されます。
- コネクターが実行されていることを確認します(確認方法の詳細は、「ArcSight のトラブルシューティング」セクションを参照してください)。実行されていない場合は、以下のコマンドを使用して起動します:
/etc/init.d/arc_%FORWARDING% start
ここで、
%FORWARDING%
はコネクターの名前です。
Forwarding Connector が Kaspersky CyberTrace サービスに大量のイベント(毎秒 1000 を超えるイベント)を送信している場合、以下を実行することを推奨します:ファイル %ConnectorInstallDir%/current/user/agentagent.wrapper.conf
でフィールド wrapper.java.maxmemory
に 512
を設定し、Forwarding Connector を再起動します。