ステップ 2:ArcSight Forwarding Connector のインストール
このセクションでは、ArcSight Forwarding Connector をインストールする方法について説明します。
ArcSight Forwarding Connector は HP ArcSight のコンポーネントであり、Kaspersky CyberTrace には含まれていません。このアプリケーションは次のいずれかの方法で受け取ることができます:
- HP のサポートチームに問い合わせて ArcSight Forwarding Connector を入手します。
- ArcSight Forwarding Connector を入手するには、intelligence@kaspersky.com にお問い合わせください。
ArcSight Forwarding Connector をインストールするには:
- ArcSight Forwarding Connector のインストールアプリケーションを実行します。
- ArcSight Forwarding Connector のインストールディレクトリを選択します(以降、
%ConnectorInstallDir%と表記)。 - インストールファイルを解凍したら、[Add a Connector]を選択します。
![ArcSight で[Add a Connector]を選択しています。](adding_connector_st3.png)
コネクターの追加
[Next]をクリックします。
- [Type]ドロップダウンリストで[ArcSight Forwarding Connector (Enhanced)]を選択します。
![ArcSight の[Select the connector to configure]ウィンドウ。](connector_type.png)
コネクタータイプの選択
[Next]をクリックします。
- ArcSight Source Manager の以下の接続パラメータを指定します:
- Host Name
ArcSight Source Manager のホスト。
- Port
ArcSight Source Manager のポート(規定では、
8443)。 - User Name
ArcSight Forwarding Connector が使用する予定のアカウントのユーザー名(既定では、
FwdCyberTrace)。FwdCyberTrace以外のユーザーを指定することもできます。他のユーザーを指定するには、ArcSight Forwarding Connector の設定でカスタムの ArcSight ユーザーを指定します。 - Password
ArcSight Forwarding Connector が使用する予定のアカウントのパスワード(既定では、
KasperskyLab!)。
![ArcSight の[Enter the parameter details]ウィンドウ。](manager_params.png)
ArcSight Source Manager のパラメータ
認証エラーが発生した場合(ユーザー名またはパスワードが間違っている場合)、ArcSight Console でユーザー
FwdCyberTraceの存在を確認することを推奨します。存在しない場合は手動で作成します。[Next]をクリックします。
- Host Name
- 有効な接続パラメータが指定されていれば、必要な証明書をインポートします。
証明書のインポート
[Next]をクリックします。
- Kaspersky CyberTrace サービスに送信されるイベントに使用されるイベント形式として、[CEF Syslog]を指定します。
![ArcSight の[Enter the type of destination]ウィンドウ。](specify_event_format.png)
イベント形式の指定
[Next]をクリックします。
- Kaspersky CyberTrace サービスがイベントをリッスンする IP アドレス(またはホスト)およびポートを指定します。プロトコルに[Raw TCP]を指定します。
IP アドレスとポートは、Kaspersky CyberTrace Web の[Settings]→[Service]タブで指定したものと同じです。既定では、ArcSight からイベントを受信する IP アドレスとポートには
127.0.0.1:9999が使用されます。![ArcSight の[Enter the destination parameters]ウィンドウ。](specify_event_dest.png)
イベントの宛先の指定
[Next]をクリックします。
- 新しい ArcSight Forwarding Connector の詳細を指定します:名前(任意の値を入力可能)、場所(任意の値を入力可能)、コネクターにイベントを送信するデバイスの場所(任意の値を入力可能、空にできます)、およびコネクターに関するコメント(任意の値を入力可能、空にできます)。
![ArcSight の[Enter the connector details]ウィンドウ。](connector_details_st3.jpg)
コネクターの詳細
[Next]をクリックします。
- ArcSight Forwarding Connector サービスをインストールします。
- root として Connector Setup Wizard を実行していない場合、警告が表示されます。
ユーザー権限に関する警告
root として Connector Setup Wizard を実行するか、root として以下のコマンドを実行します:
%ConnectorInstallDir%/current/bin/arcsight agentsvc -i -u $username -sn $service_nameここで:
$usernameはサービスを実行するオペレーティングシステムユーザーの名前です。$service_nameはサービス名です。サービス名をコネクター名と同じに設定することを推奨します。
ログファイル
%ConnectorInstallDir%/current/logs/agent.logには、インストールプロセスについてのメッセージが書き込まれます。サービスパラメータを指定する方法を説明した次のステップは省略します。
- root としてインストールを実行している場合、[Install as a service]を選択します。
![ArcSight で[Install as a service]を選択しています。](choosing_install_mode_st3.png)
インストールモードの選択
[Next]をクリックします。
- サービスパラメータを指定します。
サービス名をコネクター名と同じに設定することを推奨します。
![ArcSight の[Specifying the service parameters]ウィンドウ。](specify_service_params_st3.png)
サービスパラメータの指定
[Next]をクリックします。
この後、新しい Forwarding Connector がインストールされたことが Connector Setup Wizard に表示されます。
- コネクターが実行されていることを確認します(確認方法の詳細は、「ArcSight のトラブルシューティング」セクションを参照してください)。実行されていない場合は、以下のコマンドを使用して起動します:
/etc/init.d/arc_%FORWARDING% startここで、
%FORWARDING%はコネクターの名前です。
Forwarding Connector が Kaspersky CyberTrace サービスに大量のイベント(毎秒 1000 を超えるイベント)を送信している場合、以下を実行することを推奨します:ファイル %ConnectorInstallDir%/current/user/agentagent.wrapper.conf でフィールド wrapper.java.maxmemory に 512 を設定し、Forwarding Connector を再起動します。