このセクションでは、ArcSight Forwarding Connector をインストールする方法について説明します。
ArcSight Forwarding Connector は HP ArcSight のコンポーネントであり、Kaspersky CyberTrace には含まれていません。このアプリケーションは次のいずれかの方法で受け取ることができます:
ArcSight Forwarding Connector をインストールするには:
%ConnectorInstallDir%
と表記)。コネクターの追加
[Next]をクリックします。
コネクタータイプの選択
[Next]をクリックします。
ArcSight Source Manager のホスト。
ArcSight Source Manager のポート(規定では、8443
)。
ArcSight Forwarding Connector が使用する予定のアカウントのユーザー名(既定では、FwdCyberTrace
)。
FwdCyberTrace
以外のユーザーを指定することもできます。他のユーザーを指定するには、ArcSight Forwarding Connector の設定でカスタムの ArcSight ユーザーを指定します。
ArcSight Forwarding Connector が使用する予定のアカウントのパスワード(既定では、KasperskyLab!
)。
ArcSight Source Manager のパラメータ
認証エラーが発生した場合(ユーザー名またはパスワードが間違っている場合)、ArcSight Console でユーザー FwdCyberTrace
の存在を確認することを推奨します。存在しない場合は手動で作成します。
[Next]をクリックします。
証明書のインポート
[Next]をクリックします。
イベント形式の指定
[Next]をクリックします。
IP アドレスとポートは、Kaspersky CyberTrace Web の[Settings]→[Service]タブで指定したものと同じです。既定では、ArcSight からイベントを受信する IP アドレスとポートには 127.0.0.1:9999
が使用されます。
イベントの宛先の指定
[Next]をクリックします。
コネクターの詳細
[Next]をクリックします。
ユーザー権限に関する警告
root として Connector Setup Wizard を実行するか、root として以下のコマンドを実行します:
%ConnectorInstallDir%/current/bin/arcsight agentsvc -i -u $username -sn $service_name
ここで:
$username
はサービスを実行するオペレーティングシステムユーザーの名前です。$service_name
はサービス名です。サービス名をコネクター名と同じに設定することを推奨します。
ログファイル %ConnectorInstallDir%/current/logs/agent.log
には、インストールプロセスについてのメッセージが書き込まれます。
サービスパラメータを指定する方法を説明した次のステップは省略します。
インストールモードの選択
[Next]をクリックします。
サービス名をコネクター名と同じに設定することを推奨します。
サービスパラメータの指定
[Next]をクリックします。
この後、新しい Forwarding Connector がインストールされたことが Connector Setup Wizard に表示されます。
/etc/init.d/arc_%FORWARDING% start
ここで、%FORWARDING%
はコネクターの名前です。
Forwarding Connector が Kaspersky CyberTrace サービスに大量のイベント(毎秒 1000 を超えるイベント)を送信している場合、以下を実行することを推奨します:ファイル %ConnectorInstallDir%/current/user/agentagent.wrapper.conf
でフィールド wrapper.java.maxmemory
に 512
を設定し、Forwarding Connector を再起動します。