Syslogへの出力の送信

Contrastでは、Contrast Securityのログだけでなく、リモートのsyslogサーバにセキュリティログを送信できます。 Syslogデータは、共通イベント形式(CEF)で、ほとんどのSIEM(Security Incident Event Management)ソフトウェアで解析できます。

重要

Syslog出力を有効にするサーバには、Protectライセンスを適用する必要があります。

Syslogが外部メッセージを受信できるように、リモートログを有効にしなければならない場合があります。

サーバのSyslogメッセージは、エージェントによって送信されます。

Syslog出力はTCPではサポートされません。

  1. 組織レベルでサーバのデフォルト設定を指定する場合、 SyslogへProtectイベントの出力を有効にするのチェックボックスをオンにします。追加のフィールドが表示されるので、必要な設定を入力します。

  2. Contrast UIのナビゲーションバーでサーバを選択すると、サーバの一覧が表示されます。Syslog出力の設定は、個々のサーバまたは同時に複数のサーバ に有効にすることができます。Syslogのデフォルト値がすでに組織レベルで設定されている場合は、サーバレベルでの設定時に値が事前に入力されます。

    • 個々のサーバ:個々のサーバでsyslogを有効にするには、該当サーバの行にカーソルを合わせ、サーバの設定アイコンを選択します。

    • 複数のサーバ:チェックマークを使用して複数のサーバを選択し、ページの下部に表示される一括アクションメニューでサーバの設定アイコンを選択します。

      注記

      選択した1つ以上のサーバでsyslogを有効にできない場合は、対象となるサーバでのみsyslogが有効になります。

  3. サーバの設定画面で、SyslogへProtectイベントの出力を有効にするのチェックボックスをオンにします(複数サーバの場合、最初にチェックボックス横の編集をクリックする必要があります)。

    注記

    選択した対象のサーバが異なる環境にある場合は、該当するサーバのデフォルトの設定を使用するか、全てのサーバの設定を手動で構成するかを選択できます。

    Image shows server settings window with the options listed below.
  4. Syslogサーバホストを入力します。ここには、完全修飾ドメイン名(ホスト名だけでなく)またはIPアドレスを指定します。例:email.mydomainname.com や 38.124.154.50

  5. ポートを入力します。

  6. 機能を入力します。

  7. Syslogメッセージの重要度を選択します。

  8. 設定を保存すると、サーバでsyslogが有効になります。

  9. Syslogが有効になると、サーバ一覧でサーバ名の横に灰色の矢印アイコンが表示されます。アイコンにカーソルを合わせると、Protectイベントの出力場所を参照できます。

    サーバの設定を編集するには、上記のステップを繰り返して画面の必要な値を更新し、変更を保存してください。