このセクションでは、Kaspersky CyberTrace にログを転送するように LogRhythm を構成する方法について説明します。LogRhythm の構成には、ログレシーバーの追加およびログ配布ポリシーの追加があります。
ログレシーバーの追加
LogRhythm で、新しいログレシーバーを作成します。このログレシーバーは、Kaspersky CyberTrace を表しています。
LogRhythm にログレシーバーを追加するには:
[Log Distribution Receiver Manager]ウィンドウが表示されます。
[InputSettings]→[ConnectionString]
要素で指定した IP アドレス)。[InputSettings]→[ConnectionString]
要素で指定したポート)。ログ配布ポリシーの追加
ログレシーバーを追加した後、Kaspersky CyberTrace に転送されるイベントのログ配布ポリシーを追加して条件を設定します。
ログ配布ポリシーを追加するには:
Log Distribution Policy Wizard が開始されます。[Next]を使用して、Wizard を進めます。
[Select Log Sources]ウィンドウ
Kaspersky CyberTrace が転送のログソースとして選択されていないことを確認します。選択されていると、イベントループが発生するためです。同じ理由により、前のステップで[All available Log Sources]を選択しないでください。
これらのフィルターの定義の詳細は、LogRhythm のドキュメントを参照してください。
これらのフィルターを指定しないことを推奨します。
[Yes]をクリックします。
フィルターを適用せずにすべてのログの転送を確認
Kaspersky CyberTrace
]を選択します。[Select Distribution Receivers]ウィンドウ
[Define Syslog Sender Override Settings]ウィンドウ
[Additional Information]ウィンドウ
表の新しい行を右クリックして、[Enabled]を選択します。
Kaspersky CyberTrace がインストールされているコンピューターがログを受信します。これを確認するには、netcat ユーティリティを使用します。
LogRhythm での検知イベントの表示
上の操作の結果として、LogRhythm は検知イベントを受信して表示します。イベントは、https://<logrhythmIP>:8443
または https://<logrhythmIP>:80
で使用可能な Web コンソールにも表示されます。