SIEM システムへの製品イベントの公開の設定

2024年4月1日

ID 218660

イベントを CEF 形式で外部 SIEMシステムに公開するように設定したり、イベントをサーバー上のログファイルにローカルに保存したりできます。イベントをローカルに保存する必要がない場合は、このセクションの手順の 5、7、8 をスキップします。

SIEM システムにイベントを公開する各クラスタノードで、以下の手順を実行します。CEF 形式でのイベントのエクスポートを有効にするのは、イベント公開の設定後にのみ行ってください。

SIEM システムへの製品イベントの公開を設定するには:

  1. クラスタノードでオペレーティングシステムのコマンドシェルを起動し、スーパーユーザー(システム管理者)権限でコマンドを実行します。
  2. イベントは、rsyslog システムログサービスを使用して外部 SIEM システムに送信されます。次のコマンドを使用して、サービスがインストールして実行されていることを確認します:

    systemctl status rsyslog

    サービスのステータスは「running」である必要があります。

    rsyslog サービスが実行されていない場合、またはインストールされていない場合は、オペレーティングシステムのドキュメントの指示に従って、rsyslog サービスをインストールして有効にします。

  3. ファイル /etc/rsyslog.d/ksmg-cef-messages.conf を作成し、次の行をそれに追加します:

    $ActionQueueFileName ForwardToSIEM

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

  4. UDP を使用してイベントを SIEM システムに送信する場合は、次の行を追加します:

    <CEF 形式のカテゴリ(ファシリティ)>.* @<SIEM システムの IP アドレス>:<UDP を使用して Syslog からメッセージを受信するために SIEM システムが使用するポート>

    TCP を使用してイベントを送信する場合は、次の行を追加します:

    <CEF 形式のカテゴリ(ファシリティ)>.* @@<SIEM システムの IP アドレス>:<TCP を使用して Syslog からメッセージを受信するために SIEM システムが使用するポート>

  5. イベントをローカルにコピーする場合は、同じファイルに次の行を追加します:

    <CEF 形式のファシリティ>.* -/var/log/ksmg-cef-messages

  6. ファイルの末尾に次の行を追加します:

    <CEF 形式のファシリティ>.* stop

    ローカルのログに保存せずに UDP を使用してエクスポートするための設定情報ファイルの例:

    $ActionQueueFileName ForwardToSIEM2

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local2.* @10.16.32.64:514

    local2.* stop

    ローカルログに保存して TCP を使用してエクスポートするための設定情報ファイルの例:

    $ActionQueueFileName ForwardToSIEM2

    $ActionQueueMaxDiskSpace 1g

    $ActionQueueSaveOnShutdown on

    $ActionQueueType LinkedList

    $ActionResumeRetryCount -1

    local2.* @@10.16.32.64:514

    local2.* -/var/log/ksmg-cef-messages

    local2.* stop

  7. イベントのコピーをローカルに保存するように設定した場合は、ログファイル /var/log/ksmg-cef-messages を作成し、そのアクセス許可を設定します。この操作には、次のコマンドを実行します:

    touch /var/log/ksmg-cef-messages

    chown root:klusers /var/log/ksmg-cef-messages

    chmod 640 /var/log/ksmg-cef-messages

  8. イベントのコピーをローカルに保存するように設定した場合は、エクスポートされたイベントを含むログファイルのローテーションのルールを設定します。設定するには、ファイル /etc/logrotate.d/ksmg-cef-messages を作成し、次の行をそれに追加します:

    /var/log/ksmg-cef-messages

    {

    size 500M

    rotate 10

    compress

    missingok

    notifempty

    sharedscripts

    postrotate

    /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

    endscript

    }

  9. rsyslog サービスを再起動します。この操作には、次のコマンドを実行します:

    systemctl restart rsyslog

  10. nginx サービスのステータスをチェックします:

    systemctl status rsyslog

    ステータスは running である必要があります。

  11. 次のコマンドを使用して、テストメッセージを SIEM システムに送信します:

    logger -p <CEF形式のカテゴリ(ファシリティ)>.info Test message

SIEM システムへの製品イベントの公開が設定されます。

この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。