Linux ディストリビューション向けに Event Importer を構成して実行する

適用対象： WatchGuard SIEMFeeder。 本トピックは、WatchGuard Endpoint Security モジュール、SIEMFeeder に適用されます。SIEMFeeder は、WatchGuard EPDR および WatchGuard EDR で使用可能です。

WatchGuard Event Importer を使用することで、WatchGuard SIEMFeeder サービスで作成されるイベント ログ ファイルをダウンロードすることができます。本ヘルプ トピックでは、Event Importer 構成ウィザードを実行して、Linux ディストリビューションの構成ファイルを生成する方法について説明します。

Microsoft Windows で Event Importer を構成および実行する方法については、次を参照してください：Microsoft Windows で Event Importer を構成して実行する。

要件

Event Importer は、.NET Framework 8.0 がサポートされているすべての Linux プラットフォームと互換性があります。以下のディストリビューションが、WatchGuard によって認定およびサポートされています。

• Ubuntu 24.04 LTS
• Red Hat Enterprise Linux 9.5

インストール パッケージには、SIEMFeeder に必要な要素がすべて含まれています。

Event Importer は、コマンドラインで実行すること、またはシステム デーモンとして無人で実行することができます。

• デーモン モードで Event Importer を実行する場合は、Event Importer がユーザー アカウントで実行されます。Event Importer には、構成の root 権限が必要です。
• コマンドライン モードで Event Importer を管理者として実行する場合は、Event Importer にダウンロードされるログの保存先として構成されているフォルダへの書き込み権限のみが必要となります。

要件に関する詳細情報については、次を参照してください：Event Importer の要件。

Event Importer のインストールと構成の手順

Event Importer では、構成ファイルを使用して、ログ ファイルの保存場所のオプション、またはコマンドラインで実行するかデーモンとして実行するかといったオプションが適用されます。

Event Importer をインストールおよび構成する手順の概要は以下の通りです。

1. インストール パッケージをダウンロードして解凍する。
2. ファイルの実行プロパティを編集する。
3. 構成ファイルを生成して Event Importer を構成する。
4. 接続方法を構成する。
5. Endpoint Security プラットフォームを構成する。
6. ログ ファイルの保存と転送の方法を構成する。
7. Event Importer がデーモンとして実行されるように構成する (オプション)。

インストール パッケージをダウンロードして解凍する

Event Importer インストール パッケージをダウンロードするには、以下の手順を実行します。

1. Event Importer インストール パッケージは、WatchGuard Web サイトの ソフトウェア ダウンロード ページ の Endpoint Software (Endpoint ソフトウェア) セクションでダウンロードすることができます。
2. インストール パッケージのすべてのファイルを抽出します。EventsFeederImporter x.x Pro.zip パッケージには、以下のファイルが含まれています。

   • EventsFeederImporter.Multiplatform.Host: これにより、ユーザー コンピュータで発生したイベントが含まれているログ ファイルがダウンロードされます。構成されている設定に応じて、ログ ファイルがコンピュータのハードディスクに保存される、または別のコンピュータに転送されます。

   • EventsFeederImporter.Multiplatform.ConfigAssistant: これにより、構成するパラメータが含まれている構成ウィザードが起動されます。

   • Configuration.json：これには、プログラム設定が含まれています。セキュリティの漏洩を防止するため、すべての個人データは難読化された状態で保存されます。

ファイルの実行プロパティを編集する

Linux ディストリビューションでアプリケーションを実行するには、SIEMFeeder ファイルの実行プロパティを有効化する必要があります。

1. コマンド プロンプトを開きます。
2. 次のコマンドを入力します:

sudo chmod a+x /#_SAMPLEFOLDER_SiemFeeder#/EventsFeederImporter.Multiplatform.Host

$ sudo chmod a+x /#_SAMPLEFOLDER_SiemFeeder#/EventsFeederImporter.Multiplatform.ConfigAssistant

変数 /#_SAMPLEFOLDER_SiemFeeder#/ は、解凍されたパッケージが含まれるコンピュータのフォルダのフル パスです。このファイルにより、ユーザーのコンピュータで発生したイベントが含まれているログ ファイルがインポートされます。

構成ファイルを生成して Event Importer を構成する

本セクションでは、コマンドライン モードで単一の Event Importer インスタンスを実行し、Azure プラットフォームに接続してログ ファイルをダウンロードする上で必要となる構成ファイルを生成する手順について説明します。

この手順により、Event Importer で、既存のファイルを上書きする構成ファイルが生成され、構成ウィザードが起動されます。

Event Importer を構成するには、以下の手順を実行します。

1. EventsFeederImporter.Multiplatform.ConfigAssistant プログラムを実行して、構成ウィザードを開きます。
2. 以下の質問が表示されたら、Y と入力します。Do you want to change the configuration settings? [Yes/No].
   構成ウィザードが開きます。
   

接続方法を構成する

Event Importer コンピュータのホストとなる IT インフラストラクチャでサポートされている接続方法を構成します (直接または社内プロキシ)。

Event Importer コンピュータがプロキシ サーバーの背後に配置されている場合は、以下の手順を実行します。

1. 構成ウィザードで、以下の質問が表示されたら、Y と入力します。Is Event Importer behind a proxy server? [Yes/No].
2. プロキシ サーバーの IP アドレスを入力します。
3. プロキシ サーバーで認証が必要な場合は、ユーザー名とパスワードを入力します。
   パスワードは、英数字、スペース、記号 (「:」、「/」、「?」、「#」、「[」、「]」、「@」、「!」、「$」、「&」、「'」、「(」、「)」、「*」、「+」、「;」、「=」、「,」を除く) の文字列でなければなりません。

プロキシ サーバーを選択すると、構成されたプロキシ サーバーを使用して、ユーザーに割り当てられている Azure プラットフォームに Event Importer が接続されます。これは、ファイル サーバー、Apache Kafka サーバー、Syslog サーバーなど、他のリソースへの接続には使用されません。

Endpoint Security プラットフォームを構成する

Endpoint Security プラットフォームを選択して、管理 UI のアクセス認証情報を指定します。これは、サービスにアクセスするために使用するアカウントの認証情報となります。

1. 構成ウィザードで、以下のプロンプトが表示されたら、W と入力します。Select your platform: [C]urrent or [W]G Endpoint Security.
2. Endpoint Security 管理 UI へのアクセスに使用する管理ユーザー アカウントの電子メール アドレスを入力します。
3. パスワードを入力します。
4. アカウントで 2FA が有効化されている場合は、パスワードを入力した直後に、空白を入れずに 6 桁の OTP コードを入力します。
5. ようこそメールに記載されている顧客 ID を入力します。
   Event Importer で、Azure プラットフォームへのアクセスおよび生成されたログ ファイルのダウンロードに使用される新規アクセス トークンが生成されます。

ログ ファイルの保存と転送の方法を構成する

Event Importer では、いくつかの方法でイベント ログ ファイルを保存または転送することができます。ネットワーク アーキテクチャ、使用可能なリソース、および Microsoft Azure プラットフォームから Event Importer に送信されるイベント ログ ファイルの量によって、使用する方法を決定することができます。

保存方法を選択するには、以下の手順を実行します。

• 構成ウィザードで、以下の質問が表示されたら、Y と入力します。Event Importer enables you to send received events simultaneously to various channels. Do you want to change the current channel configuration? [Yes/No]

これにより、既存のストレージと転送の設定が存在する場合は、それが削除されて、選択されている内容に基づいて新規設定が生成されます。詳細については、次を参照してください：イベント ログのストレージと転送を構成する

Event Importer がデーモンとして実行されるように構成する (オプション)

Event Importer がシステム起動時にバックグラウンド プロセス (デーモン) として自動的に実行されるように設定することができます。画面にメッセージは表示されません。

Event Importer がデーモンとして実行されるように構成するには、以下の手順を実行します。

1. 構成ウィザードで、以下の質問が表示されたら、N と入力します。Do you want to start the Event Importer process?
   Event Importer をデーモンとして実行する場合は、これは必要ありません。
2. .GZ パッケージに入っている siemfeeder.service ファイルを開きます。
3. ExecStart 行に、EventsFeederImporter.Multiplatform.Host ファイルが含まれているフォルダへのパスを入力します。たとえば、ExecStart="/home/panda/Desktop/SIEMFeeder 3.10 Linux/EventsFeederImporter.Multiplatform.Host" と入力します。
4. siemfeeder.service ファイルを Linux ディストリビューションのシステム ディレクトリにコピーします。例:
   • Ubuntu: /lib/systemd/system
   • Red Hat /usr/lib/systemd/system
5. コンピュータで Security-Enhanced Linux (SELinux) が有効化されている場合で、Red Hat Enterprise ディストリビューションがインストールされている場合は、selinux-checks.sh スクリプトを使用して実行環境を構成します。
   • コマンド chmod +x selinux-checks.sh を実行して、スクリプトの実行権限を有効化します。
   • コマンド sudo #_PATH_#/selinux-checks.sh を実行します。パスに空白が入っていないことを確認してください。
6. コマンド sudo systemctl enable siemfeeder を実行して、スクリプトをシステム起動シーケンスに追加します。
7. SIEMFeeder を起動します。詳細については、次を参照してください：Event Importer を起動および停止する。

Event Importer の構成設定とその更新方法については、次を参照してください：Event Importer 設定を変更する。

関連トピック

SIEMFeeder について

複数の Event Importer インスタンスを構成する

イベント ログのストレージと転送を構成する