ステップ 9（オプション）：受信 Kaspersky CyberTrace サービスイベントに関するアラートの作成

受信 Kaspersky CyberTrace サービスイベントに関する通知を作成するには、アラートルールを設定します。

LogRhythm で、Kaspersky CyberTrace からのサービスイベントに関する通知を作成するには：

1. LogRhythm Console を実行します。
2. ［Deployment Manager］→［Alarm Rules］の順に選択して、［New］をクリックします。
3. ［Create Global Rule］確認ウィンドウで、［Global Admin］ロールを持つすべてのユーザーでこのルールを管理するためのアクセスを指定する場合は［Yes］をクリックします。このルールを自身のみで管理する場合は［No］をクリックします。
4. ページの下部の各タブで次の操作を実行します：
   • ［Primary Criteria］タブで、次を実行します：
     1. ［New］をクリックし、［Add New Field Filter］ドロップダウンリストで［Common Event］値を選択します。

        

        

     2. ［Edit values］をクリックします。

        ［Field Filter Values］ウィンドウが表示されます。

     3. ［Field Filter Values］ウィンドウで、［Add Item］をクリックします。
     4. リストから Kaspersky CyberTrace サービスイベントの名前を選択します。このイベントが存在しない場合、「Kaspersky CyberTrace イベントの追加」セクションの説明に従って追加します。

        

     5. ［OK］をクリックします。
   • ［Include Filters］［Exclude Filters］および［Day and Time Criteria］タブは変更せずに残します。
   • ［Log Source Criteria］タブで、［Include the Selected Log Sources］をオンにして［Add］をクリックします。

   

   ［Alarm Rule］ウィンドウ

   • Kaspersky CyberTrace に対応するソースを選択して、［OK］をクリックします。Kaspersky CyberTrace イベントソースを追加する方法の詳細は、「System Monitor Agent へのログソースの追加」セクションを参照してください。

   

   ［Log Source Criteria Add］ウィンドウ

   • ［Aggregation］タブは変更せずに残します。
   • ［Settings］タブで、Kaspersky CyberTrace からの新しいサービスイベントの発生に関連付けられている同一のアラートを抑制する必要がある期間を指定します。

   

   アラート抑制設定

   • ［Notify］タブで、通知に対応するロールまたはユーザーを選択します。

   

   通知するロールの選択

   • ［Actions］タブは変更せずに残します。
   • ［Information］タブで、ルールの名前と説明を指定します。

   

   ［Alarm Rule Name］ / ［Brief Description］

5. ［OK］をクリックします。
6. ［Alarm Rules］タブで、新しいルールを右クリックして、［Actions］→［Enable］の順に選択します。

   

   ルールの有効化

7. セクション「ステップ 10（オプション）：LogRhythm でのアラートイベントの表示」に説明されているように、LogRhythm Web コンソールに表示されます。

ページのトップに戻る