Syslogへの出力
Contrastでは、Contrast Securityのログだけでなく、リモートのsyslogサーバにセキュリティログを送信できます。 Syslogデータは、共通イベント形式(CEF)で、ほとんどのSIEM(Security Incident Event Management)ソフトウェアで解析できます。
重要
Syslog出力を有効にするサーバには、Protectライセンスを適用する必要があります。
Syslogが外部メッセージを受信できるように、リモートログを有効にしなければならない場合があります。
サーバのSyslogメッセージは、エージェントによって送信されます。
Syslog出力はTCPではサポートされません。
組織レベルでサーバのデフォルト設定を指定する場合、 SyslogへProtectイベントの出力を有効にするのチェックボックスをオンにします。追加のフィールドが表示されるので、必要な設定を入力します。
Contrast Webインターフェイスのナビゲーションバーでサーバを選択すると、サーバの一覧が表示されます。Syslog出力の設定は、個々のサーバまたは同時に複数のサーバ に有効にすることができます。Syslogのデフォルト値がすでに組織レベルで設定されている場合は、サーバレベルでの設定時に値が事前に入力されます。
個々のサーバ:個々のサーバでsyslogを有効にするには、該当サーバの行にカーソルを合わせ、サーバの設定アイコンを選択します。
複数のサーバ:チェックマークを使用して複数のサーバを選択し、ページの下部に表示される一括アクションメニューでサーバの設定アイコンを選択します。
注記
選択した1つ以上のサーバでsyslogを有効にできない場合は、対象となるサーバでのみsyslogが有効になります。
サーバの設定画面で、SyslogへProtectイベントの出力を有効にするのチェックボックスをオンにします(複数サーバの場合、最初にチェックボックス横の編集をクリックする必要があります)。
注記
選択した対象のサーバが異なる環境にある場合は、該当するサーバのデフォルトの設定を使用するか、全てのサーバの設定を手動で構成するかを選択できます。
Syslogサーバホストを入力します。ここには、完全修飾ドメイン名(ホスト名だけでなく)またはIPアドレスを指定します。例:email.mydomainname.com や 38.124.154.50
ポートを入力します。
機能を入力します。
Syslogメッセージの重要度を選択します。
設定を保存すると、サーバでsyslogが有効になります。
Syslogが有効になると、サーバの一覧でサーバ名の横に灰色の矢印アイコンが表示されます。アイコンにカーソルを合わせると、Protectイベントの出力場所を参照できます。
サーバの設定を編集するには、上記のステップを繰り返して画面の必要な値を更新し、変更を保存してください。
Syslogレシーバ
Syslogの受信用にレシーバを設定する場合は、以下のリソースを検討してください。