ステップ 6:System Monitor Agent へのログソースの追加
このセクションでは、Kaspersky CyberTrace に関係する新しいログソースが LogRhythm に表示されるように実行する操作について説明します。既に LogRhythm が適切に構成されている場合は、LogRhythm に新しいログソースが表示され、すべてが指定通りであることを確認する必要があるだけのため、操作を実行する必要はありません。
Kaspersky CyberTrace に関係するログソースを LogRhythm に追加するための条件を作成するには:
- LogRhythm Console を実行します。
- [Deployment Manager]→[System Monitors]の順に選択します。
- 選択したエージェントを右クリックして、コンテキストメニューの[Properties]をクリックします。
エージェントのコンテキストメニュー
[System Monitor Agent Properties]ウィンドウが表示されます。
- [Syslog and Flow Settings]タブを選択します。
- [Enable Syslog Server]をオンにします。
[System Monitor Agent Properties]ウィンドウ
- [OK]をクリックします。
- Windows ファイアウォールをオフにするか、またはファイアウォールに除外を追加することにより、受信 SYSLOG イベントを受信できるようになります。
- [Deployment Manager]→[Data Processors]→[Properties]→[Advanced]の順に選択します。
[Data Processor Advanced Properties]ウィンドウが表示されます。
- 表で、次の項目を選択します。プロパティ名は[Name]列にあり、[Value]列には選択したチェックボックスが表示されています:
- AutomaticLogSourceConfigurationNetFlow
- AutomaticLogSourceConfigurationsFlow
- AutomaticLogSourceConfigurationSNMPTrap
- AutomaticLogSourceConfigurationSyslog
[Data Processor Advanced Properties]ウィンドウ
- [OK]をクリックします。
- 必要に応じて、LogRhythm を再起動します。
LogRhythm は、再起動が必要であるかどうかを通知します。
Kaspersky CyberTrace がイベントを送信した後、[Log Sources]タブに新しい項目が表示されます。
新しいログソースを受け入れるには:
- 新しい項目を右クリックして、[Actions]→[Resolve Log Source Hosts]の順に選択します。
- 新しい項目をダブルクリックします。
[Log Source Acceptance Properties]ウィンドウが表示されます。
[Log Source Acceptance Properties]ウィンドウ
- プロパティを編集します:
- ログソースホストを指定します。
- ログソースタイプとして[
Kaspersky CyberTrace
]を指定します。 - ステップ 4 で追加した[MPE]ポリシーを指定します。
- [OK]をクリックします。
- 不明なログソースホストは使用できないことを示すエラーメッセージが表示された場合、次のようにして新しいエンティティを追加します:
- LogRhythm Console で、[Entities]タブを選択します。
- [New Child Entity]ツールバーボタンをクリックします。
- 表示される[Entity Properties]ウィンドウで、エンティティのプロパティを指定します。
エンティティ名は一意かつ空でないようにする必要があります。その他のエンティティのプロパティは任意にできます。
- [OK]をクリックします。
- 作成したエンティティをログソースホストとして使用して、ステップ 3 の操作を繰り返します。
- [Action]をオンにします。
- ログソースを右クリックして、[Actions]→[Accept]→[Defaults]の順に選択します。
ログソースのコンテキストメニュー
LogRhythm Console の下の表に、新しいログソースが表示されます。
新しいログソース
Kaspersky CyberTrace から受信したイベントのログ転送の無効化
Kaspersky CyberTrace から受信したイベントのログ転送を無効にして、受信したイベントが Kaspersky CyberTrace に転送されて戻されるという、イベントのループの回避が必要になる場合があります。
Kaspersky CyberTrace から受信したイベントのログ転送を無効化するには:
- [Log Sources]タブで、Kaspersky CyberTrace に関連するログソースのチェックボックスをオンにします。
- ログソースを右クリックして、[Actions]→[Edit properties]の順に選択します。
[Kaspersky CyberTrace]ログソースのプロパティの編集
- [Log Message Source Properties]ウィンドウが表示されます。[Log Message Processing Mode]ドロップダウンリストで、[MPE Processing Enabled, Event Forwarding Disabled]を選択して[OK]をクリックします。
[Log Message Processing Mode]の指定
[MPE Processing Mode]列に、選択したログソースの[No Event Forwarding]が表示されます。
[MPE Processing Mode]列
ページのトップに戻る