Windows ログ エージェントを構成する

適用対象: ThreatSync+ NDR　 本トピックは ThreatSync+ NDR に適用されます。

Windows ログ エージェントは、Windows DHCP サーバー ログを読み取り、ThreatSync+ NDR 収集エージェントに転送する収集エージェントです。そして、ThreatSync+ NDR 収集エージェントから、DHCP ログが WatchGuard Cloud に転送されます。

デバイスの IP アドレスが変更された場合にそれを追跡するには、Windows ログ エージェントを使用して、Active Directory DHCP ログを収集することが勧められます。すべての DHCP サーバーに Windows ログ エージェントを追加して構成します。

Windows ログ エージェントのシステム要件

Windows ログ エージェントは、以下のオペレーティング システムにインストールすることができます。

• Windows Server 2019
• Windows Server 2022

こうしたサーバーの一部は、ドメイン コントローラでもある可能性があります。

Windows インストーラは、x86 または ARM プロセッサを搭載したコンピュータと互換性があります。

サポートされているオペレーティング システムと仮想化環境の詳細については、次のセクションを参照してください：Windows ログ エージェントの問題をトラブルシューティングする (このドキュメントに記載)。または、ThreatSync+ NDR リリース ノート の ThreatSync+ NDR コンポーネントのオペレーティング システムの互換性。

ThreatSync+ NDR の Windows ログ エージェントについて

Active Directory DHCP ログを収集するには、最初に ThreatSync+ NDR 収集エージェント (Windows 用と Linux 用のいずれか)、次に Windows ログ エージェントの両方の種類の収集エージェントをネットワークに追加して構成する必要があります。

Windows ログ エージェントは、コレクター ページで構成します。

Windows ログ エージェント タブには、以下の列が表示されます。

• 名前 — 収集エージェントの名前。
• IP アドレス — コレクターがインストールされているコンピュータの IP アドレス。
• コレクター IP アドレス — コレクターの IP アドレス。
• 最終更新日 — データが最後に更新された日時。
• DHCP 監視 — DHCP 監視のステータスが表示されます。例：稼働中 または 停止。
• NXLog 監視 — NXLog 監視のステータスが表示されます。例：稼働中 または 停止。
• ドメイン — Windows ログ エージェントのドメイン。
• ステータス — Windows ログ エージェントのステータスが表示されます。ステータスをクリックすると、詳細情報が表示されます。これには、以下が含まれる可能性があります。
  • 成功 — コレクターがインストールされて、ネットワーク データを受信して​​います。
  • 情報なし — コレクターのステータスを報告できていません。
  • オフライン — コレクターはオフラインになっています。
  • エラー — コレクターでエラーが発生しています。詳細については、次を参照してください：Windows ログ エージェントの問題をトラブルシューティングする。

開始する前に

Windows ログ エージェントをインストールする前に、WatchGuard エージェントと ThreatSync+ NDR 収集エージェントをインストールする必要があります。環境における ThreatSync+ NDR 収集エージェントのシステム要件を必ず確認してください。

Windows 用の WatchGuard エージェントと ThreatSync+ NDR 収集エージェントをインストールして構成するには、以下の手順を実行します。 ThreatSync+ NDR のコレクターを構成する (Windows コンピュータ)。

Linux 用 の WatchGuard エージェントと ThreatSync+ NDR 収集エージェントをインストールして構成するには、以下の手順を実行します。ThreatSync+ NDR のコレクターを構成する (Linux コンピュータ)。

Windows ログ エージェント コレクターを追加する

ネットワークにあるすべての DHCP サーバーに Windows ログ エージェントを追加して構成します。

サーバーを Windows ログ エージェント コレクターとして追加した後、管理対象スイッチから NetFlow データがコレクターに送信されるように構成されていることを確認します。詳細については、スイッチの製品ドキュメント ページを参照してください。

Windows ログ エージェントを追加するには、以下の手順を実行します。

1. WatchGuard Cloud アカウントにログインします。
2. Service Provider アカウントの場合は、アカウント マネージャーから マイ アカウント を選択します。
3. 構成 > ThreatSync+ 統合 > コレクター の順に選択します。
4. Windows ログ エージェント タブで、コレクターを追加する をクリックします。
   Windows ログ エージェントを追加する ページが開きます。

5. ホスト ドロップダウン リストから、Windows ログ エージェントとして使用するコンピュータを選択します。
   このリストには、WatchGuard エージェントがインストールされているすべてのサーバーが含まれます。使用可能なコンピュータとサーバーのリストを更新するには、 をクリックします。
6. ThreatSync+ NDR 収集エージェントの IP アドレス テキスト ボックスに、ThreatSync+ NDR 収集エージェントを構成したコンピュータの IP アドレスを入力します。
   ThreatSync+ NDR 収集エージェント タブに IP アドレスが表示されます。
7. 保存 をクリックします。
   ログ エージェントにより、ThreatSync+ NDR へのデータの報告が開始されます。報告されたトラフィック情報は、ネットワーク概要ページに表示されます。詳細については、次を参照してください：ThreatSync+ 概要ページについて.
8. (オプション) 新規 ThreatSync+ NDR 収集エージェントを追加するには、ThreatSync+ NDR 収集エージェントを追加する をクリックします。詳細については、次を参照してください：Windows 用 ThreatSync+ NDR 収集エージェントを追加する または Linux 用 ThreatSync+ NDR 収集エージェントを追加する。

エージェントがインストールされているコンピュータを使用している際に停電が発生した場合、または更新のインストール後にコンピュータが再起動した場合は、必ずコンピュータを再起動してください。

Windows ログ エージェント コレクターを編集する

既存の Windows ログ エージェントを、以前にインストールした ThreatSync+ NDR 収集エージェントで使用できるように構成することができます。

既存の Windows ログ エージェントを構成するには、以下の手順を実行します。

1. WatchGuard Cloud アカウントにログインします。
2. Service Provider アカウントの場合は、アカウント マネージャーから マイ アカウント を選択します。
3. 構成 > ThreatSync+ 統合 > コレクター の順に選択します。
4. Windows ログ エージェント タブで、編集する Windows ログ エージェントの横にある をクリックします。編集 をクリックします。
   Windows ログ エージェントを編集する ページが開きます。

5. ThreatSync+ NDR 収集エージェント セクションで、ThreatSync+ NDR 収集エージェントの IP アドレスを入力します。
6. 保存 をクリックします。
7. (オプション) 新規 ThreatSync+ NDR 収集エージェントを追加するには、ThreatSync+ NDR 収集エージェントを追加する をクリックします。

Windows ログ エージェント コレクターを削除する

特定の Windows ログ エージェント コレクターを使用する必要がなくなった場合は、ThreatSync+ 統合 UI から削除することができます。UI からログ エージェントを削除すると、WatchGuard エージェントによって自動的にログ エージェントがアンインストールされます。

Windows ログ エージェントを削除するには、以下の手順を実行します。

1. WatchGuard Cloud アカウントにログインします。
2. Service Provider アカウントの場合は、アカウント マネージャーから マイ アカウント を選択します。
3. 構成 > ThreatSync+ 統合 > コレクター の順に選択します。
4. Windows ログ エージェント タブで、削除するコレクターを 1 つまたは複数選択します。

5. 削除 をクリックします。

WatchGuard エージェントをコレクターとともに削除する方法については、次を参照してください：Windows 用 ThreatSync+ NDR 収集エージェントを削除する または Linux 用 ThreatSync+ NDR 収集エージェントを削除する。

Windows ログ エージェントの問題をトラブルシューティングする

60 ～ 90 分経っても報告されたトラフィック情報がネットワーク概要ページに表示されない場合は、このセクションの情報を使用して、トラブルシューティングすることができます。

Windows ログ エージェントの問題をトラブルシューティングするには、以下の手順を実行します。

• Windows の コントロール パネル で、Windows ログ エージェントがインストールされていることを確認します。

• Windows コンピュータが次のセクションに記載されている要件を満たしていることを確認します：Windows ログ エージェントのシステム要件 セクションに記載されている要件を満たしていることを確認します。Windows ログ エージェントは、Windows Server 2019 または Windows Server 2022 がインストールされている Windows デバイスにインストールすることができます。
• ポート 514 経由でサーバーから ThreatSync+ NDR 収集エージェントに接続できることを確認します。ファイアウォール ルールによってポート 514 からのトラフィックがブロックされていないことを確認します。
• BIOS で仮想化が有効化されていないことを確認してください。以下の仮想化環境が検証済みです。

Windows ログ エージェントの仮想化環境	Microsoft Windows Server 2019	Microsoft Windows Server 2022
VMware ESXi 6.7
VMware ESXi 7.0.3
VMware ESXi 8.0

• NXLog サービスが実行されていることを確認します (nxlog.exe)。NXLog ファイルのエラーを確認します (c:\Program Files\nxlog)：
  • *.conf、*.pm、*.log ファイルおよびフォルダの反復を確認します。
  • %windir%\temp\WatchGuard_Log_Collection_Agent_**************.log を確認します。
  • %windir%\temp\WatchGuard_Log_Collection_Agent_**************_000_NXLog.log を確認します。
  • %windir%\temp\WatchGuard_Log_Collection_Agent\WatchGuard_Log_Collection_Agent**************_001_NXLogconf.log を確認します。

• 以前に別のソフトウェア ベンダーの NXLog がインストールされていないことを確認します。
• WatchGuard Cloud で、構成 > ThreatSync+ 統合 > コレクター の順に移動したページで、Windows ログ エージェントの表にある以下の列を確認します。

• DHCP 監視 — DHCP 監視のステータスが表示されます。例：稼働中 または 停止。
• NXLog 監視 — NXLog 監視のステータスが表示されます。例：稼働中 または 停止。
• ステータス — Windows ログ エージェントのステータスが表示されます。ステータスをクリックすると、詳細が表示されます。例：エラー または 成功。
• /usr/local/management-agent/log で WatchGuard エージェント ログを表示して、さらなるトラブルシューティングに活かすことができます。

関連トピック

ThreatSync+ NDR コレクターについて

ThreatSync+ NDR のコレクターを構成する (Windows コンピュータ)

ThreatSync+ NDR のコレクターを構成する (Linux コンピュータ)

クイック スタート — ThreatSync+ NDR をセットアップする