SIEM システムへの製品イベントの公開の設定
2024年4月16日
ID 218660
イベントを CEF 形式で外部 SIEMシステムに公開するように設定したり、イベントをサーバー上のログファイルにローカルに保存したりできます。イベントをローカルに保存する必要がない場合は、このセクションの手順の 5、7、8 をスキップします。
SIEM システムにイベントを公開する各クラスタノードで、以下の手順を実行します。CEF 形式でのイベントのエクスポートを有効にするのは、イベント公開の設定後にのみ行ってください。
SIEM システムへの製品イベントの公開を設定するには:
- クラスタノードでオペレーティングシステムのコマンドシェルを起動し、スーパーユーザー(システム管理者)権限でコマンドを実行します。
- イベントは、rsyslog システムログサービスを使用して外部 SIEM システムに送信されます。次のコマンドを使用して、サービスがインストールして実行されていることを確認します:
systemctl status rsyslog
サービスのステータスは「running」である必要があります。
rsyslog サービスが実行されていない場合、またはインストールされていない場合は、オペレーティングシステムのドキュメントの指示に従って、rsyslog サービスをインストールして有効にします。
- ファイル /etc/rsyslog.d/ksmg-cef-messages.conf を作成し、次の行をそれに追加します:
$ActionQueueFileName ForwardToSIEM
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
- UDP を使用してイベントを SIEM システムに送信する場合は、次の行を追加します:
<CEF 形式のカテゴリ(ファシリティ)>.* @<SIEM システムの IP アドレス>:<UDP を使用して Syslog からメッセージを受信するために SIEM システムが使用するポート>
TCP を使用してイベントを送信する場合は、次の行を追加します:
<CEF 形式のカテゴリ(ファシリティ)>.* @<SIEM システムの IP アドレス>:<TCP を使用して Syslog からメッセージを受信するために SIEM システムが使用するポート>
- イベントをローカルにコピーする場合は、同じファイルに次の行を追加します:
<CEF 形式のファシリティ>.* -/var/log/ksmg-cef-messages
- ファイルの末尾に次の行を追加します:
<CEF 形式のファシリティ>.* stop
ローカルのログに保存せずに UDP を使用してエクスポートするための設定情報ファイルの例:
$ActionQueueFileName ForwardToSIEM2
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local2.* @10.16.32.64:514
local2.* stop
ローカルログに保存して TCP を使用してエクスポートするための設定情報ファイルの例:
$ActionQueueFileName ForwardToSIEM2
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
local2.* @10.16.32.64:514
local2.* -/var/log/ksmg-cef-messages
local2.* stop
- イベントのコピーをローカルに保存するように設定した場合は、ログファイル /var/log/ksmg-cef-messages を作成し、そのアクセス許可を設定します。この操作には、次のコマンドを実行します:
touch /var/log/ksmg-cef-messages
chown root:klusers /var/log/ksmg-cef-messages
chmod 640 /var/log/ksmg-cef-messages
- イベントのコピーをローカルに保存するように設定した場合は、エクスポートされたイベントを含むログファイルのローテーションのルールを設定します。設定するには、ファイル /etc/logrotate.d/ksmg-cef-messages を作成し、次の行をそれに追加します:
/var/log/ksmg-cef-messages
{
size 500M
rotate 10
compress
missingok
notifempty
sharedscripts
postrotate
/usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
endscript
}
- rsyslog サービスを再起動します。この操作には、次のコマンドを実行します:
systemctl restart rsyslog
- nginx サービスのステータスをチェックします:
systemctl status rsyslog
ステータスは running である必要があります。
- 次のコマンドを使用して、テストメッセージを SIEM システムに送信します:
logger -p <CEF形式のカテゴリ(ファシリティ)>.info Test message
SIEM システムへの製品イベントの公開が設定されます。