Skip to main content

Syslogに出力を送信

Contrastでは、Contrast Securityのログだけでなく、リモートのsyslogサーバにセキュリティログを送信できます。Contrastから送信されるメッセージの構成要素については、Syslogメッセージの形式で説明します。

開始する前に

  • Syslog出力を有効にするサーバには、Protectライセンスを適用する必要があります。

  • Syslogが外部メッセージを受信できるように、リモートログを有効にしなければならない場合があります。

  • サーバのSyslogメッセージは、エージェントによって送信されます。

  • Syslog出力はTCPではサポートされません。

手順

  1. 組織レベルでサーバのデフォルト設定を指定する場合、 SyslogへProtectイベントの出力を有効にするのチェックボックスをオンします。追加のフィールドが表示されるので、必要な設定を入力します。

  2. Contrast Webインターフェイスのナビゲーションバーでサーバを選択すると、サーバの一覧が表示されます。Syslog出力の設定は、個々のサーバまたは同時に複数のサーバ に有効にすることができます。Syslogのデフォルト値がすでに組織レベルで設定されている場合は、サーバレベルでの設定時に値が事前に入力されます。

    • 個々のサーバ:個々のサーバでsyslogを有効にするには、該当サーバの行にカーソルを合わせ 、サーバの設定アイコンを選択します。

    • 複数のサーバ:チェックマークを使用して複数のサーバを選択し、ページ下部に表示される一括アクションメニューでサーバの設定アイコンを選択します。

      注記

      選択した1つ以上のサーバでsyslogを有効にできない場合は、対象となるサーバでのみsyslogが有効になります。

  3. サーバの設定画面で、 SyslogへProtectイベントの出力を有効にするのチェックボックスをオンにします (複数サーバの場合、最初にチェックボックス横の編集をクリックする必要があります)。

    注記

    選択した対象のサーバが異なる環境にある場合は、該当するサーバのデフォルトの設定を使用するか、全てのサーバの設定を手動で構成するかを選択できます。

    Image shows server settings window with the options listed below.

  4. Syslogサーバホストを入力します。ここには、完全修飾ドメイン名(ホスト名だけでなく)またはIPアドレスを指定します。例:email.mydomainname.comや、 38.124.154.50

  5. ポートを入力します。

  6. 機能を入力します。

  7. Syslogメッセージの重要度を選択します。

  8. 設定を保存すると、サーバでsyslogが有効になります。

  9. Syslogが有効になると、サーバの一覧でサーバ名の横に灰色の矢印アイコンが表示されます。アイコンにカーソルを合わせると、Protectイベントの出力場所を参照できます。

    サーバの設定を編集するには、上記の手順を繰り返して画面の必要な値を更新し、変更を保存してください。

Syslogメッセージの形式

Syslogメッセージは、CEF(共通イベント形式)でフォーマットされます。CEFは、ほとんどのSIEM(セキュリティ情報/イベント管理)ソリューションで、ログデータの構文解析と分析を容易にするために使用される標準形式です。

例えば、Contrastから送信されるsyslogメッセージは以下の形式になります。

Aug 04 2024 192.168.219.65 CEF:0|Contrast Security|Contrast Agent Java|4.5.2.0|SECURITY|The parameter undefined2 had a value that was marked suspicious reflected -xss - <script>alert('TURTLES-everywhere')</script>|WARN|pri=reflected-xss src=10.80.49.96 spt=8443 request=/actuator/info requestMethod=GET app=svc-basic outcome=SUSPICIOUS dvchost=my.example.hostname.com computer=my.example.hostname.com contrastAgentServer=my-server-name from contrast.yaml

Contrastのsyslogメッセージの構成要素は次のとおりです。

  • 日付:ログが生成された日時を示すローカルホストのタイムスタンプ。例、Aug 04 2024

    タイムスタンプは、MMM dd HH:mm:ssの形式を使用します。これは、エージェントを実行しているサーバの現在のタイムゾーンを示します。

  • ホスト:ログが生成されたホストアドレス。例、192.168.219.65

  • CEFバージョン:使用されているCEF形式のバージョン。例、CEF:0

  • デバイスベンダー:セキュリティデバイスのベンダー。例、Contrast Security

  • デバイス製品:ログを生成している製品。例、Contrast Agent Java

  • デバイスバージョン:ログを生成している製品のバージョン。例、4.5.2.0

  • 署名ID:イベントの種類。例えば、SECURITYはセキュリティ関連のイベントを示します。

  • メッセージ:イベントの説明。例、The parameter undefined2 had a value that was marked suspicious reflected -xss -<script>alert('TURTLES-everywhere')</script>

  • ログレベル:イベントのログレベル。例、 WARNDEBUGなど

  • 拡張フィールド:イベントに関する詳細情報を提供するその他のフィールド。例えば、以下のものがあります。

    • pri:イベントの優先度。

    • src:イベントの送信元IPアドレス。

    • spt:送信元ポート。

    • request:イベントをトリガーした特定のリクエスト。

    • requestMethod:使用されたHTTPメソッド。

    • app:イベントに関連するアプリケーション。

    • outcome:イベントの結果、Suspicious(疑わしい)やBlocked(ブロック済)など。

    • dvchost:イベントが発生したマシンのホスト名。

    • contrastAgentServercontrast.server.name プロパティの値、またはフォールバックとしてホスト名。

Syslogレシーバ

Syslog受信のためにレシーバを設定する場合は、以下のリソースを検討してください。

このセクションの内容: