• はじめに
• システム要件
• Response Managementの設定
• syslogサーバの設定
• テストメッセージの送信
• イベントメッセージの送信

はじめに

本ドキュメントではStealthwatchのイベントをsyslogサーバに送信する方法を紹介します。

システム要件

本ドキュメントでは Stealthwatch 7.3.2を使用して設定と動作を確認しています。バージョンにより設定方法や動作が異なる場合があります。

Response Managementの設定 

(1)

SMC のダッシュボードにて一番上のメニューから "Configure > Response Management " を選択します。

(2)

この画面ではEnableを有効にすることで、アラームの設定ができます。今回はデフォルトのまま、"Action"タブを選択します。

(3)

syslogの設定をするため、"Send to Syslog"のEditを選択します。

(4)

この画面で、syslog送信先の設定やportの設定をします。完了したら、 "Save" をクリックします。

(5)

"Syslog Formats"タブでフォーマットの設定を行います。今回は"Default Format"のままにします。完了したら、 "Save" をクリックします。

(6)

"Save" クリック後に"Send to Syslog"の"Enabled"を有効にします。

syslogサーバの設定

(1)

今回はsyslogサーバにCentOS7.9を使用します。該当サーバにログインします。

(2)

今回はLinuxのため、デフォルトでコメントアウトされてる、"/etc/rsyslog.conf" の"$ModLoad imudp"と"$UDPServerRun"を有効にします。

テストメッセージの送信

(1)
"Response Management"の"Action"タブを開き"Message Format"のCEFタブをクリックします。表示されているメッセージが、テストメッセージです。

(2)
"Test Action"をクリックし、syslogを送信します。

(3)
syslogサーバにログインし、"/var/log/messages"にテストメッセージが表示されていることが確認できます。

イベントメッセージの送信

(1)

イベントログを手動で発生させます。簡単な例として、Flow Collectorを手動でシャットダウンさせます。SMC のダッシュボードにて、"Central Management "を選択します。

(2)
"Shut Down Appliance"をクリックし、Flow Collectorをシャットダウンさせます。

(3)
"Shut Down"を選択します。

(4)
"Flow Collector Management Channel Down "が発生していることが確認できます。