Event Importer 設定を変更する

適用対象： WatchGuard SIEMFeeder。 本トピックは、WatchGuard Endpoint Security モジュール、SIEMFeeder に適用されます。SIEMFeeder は、WatchGuard EPDR および WatchGuard EDR で使用可能です。

最初の実行時に、WatchGuard Event Importer 構成ウィザードにより、ユーザーが入力した情報に基づいて、configuration.json ファイルが更新されます。この JSON ファイルは、Event Importer インストールのルート フォルダに入っています。

Event Importer 構成ウィザードが完了すると、Event Importer で Microsoft Azure インフラストラクチャに保存されているイベント ログ ファイルのダウンロードが開始されます。Event Importer では、configuration.json ファイルに含まれている情報に基づいて、ログ ファイルが指定されたチャンネルの場所にルーティングされます。

configuration.json ファイルには、以下のデータが含まれています。

• ログ ファイルを所有しているユーザーに関する情報
• ログ ファイルの送信および保存に使用される方法に関する情報
• Event Importer の実行モードに関する情報 (コマンドラインやサービスなど)

configuration.json ファイルの設定には、以下が含まれています。

MessageFormat

Syslog サーバーに送信されるメッセージの形式：

• 0: RFC5424
• 1: RFC3164

MessageDelimiter

Syslog サーバーに送信されるメッセージの区切り文字：

• 13: CR (キャリッジリターン)
• 10: LF (ラインフィード)
• 1310: CRLF (キャリッジリターンとラインフィード)

IterationCount

Syslog サーバーへのメッセージ送信を一時停止するために使用される内部メッセージ カウンター。

IterationMs

IterationCount メッセージが Syslog サーバーに送信された後に設定される一時停止 (ミリ秒単位)。

MaxBufferSize

Syslog サーバーに送信される最大メッセージ サイズ (バイト単位)。

Configuration.json ファイルを変更する

Event Importer 設定を変更するには、configuration.json ファイルを変更します。configuration.json ファイルを変更したら、Event Importer プロセスを停止してから再度開始して、ファイルに加えられた変更を適用する必要があります。

ログ ファイル イベントに関連するパラメータ

以下の configuration.json パラメータにより、Event Importer でログ ファイルが生成される方法が決まります。

チャンネル

ログ ファイルのダウンロードに使用されるチャンネルの特性を示すものです。

種類

チャンネルで使用されるストレージの種類。

名前

チャンネル名

構成

チャネル設定 (fullPath、fileSizeLimitInBytes、directoryMaxSizeInMB、fileSplitFormat)。

fullPath

ログ フォルダの絶対パス。

fileSizeLimitInBytes

ログ ファイルの最大サイズ。

directoryMaxSizeInMB

ログ ファイルが保存されるフォルダのコンテンツの最大サイズ。最大サイズに達すると、Event Importer では、最も古いものから古いファイルの 10% が削除されます。

fileSplitFormat

ログ ファイルのローテーション間隔。ファイル名には、Event Importer でファイルが作成されたときの年 (yyyy)、月 (MM)、日 (dd)、時間 (HH)、分 (mm) が含まれます。

「1h」または空

yyyyMMdd-HH の形式。1 時間ごとにファイルが生成されます。

「1m」

yyyyMMdd-HH の形式。1 分ごとにファイルが生成されます。

「5m」

yyyyMMdd-HH の形式。5 分ごとにファイルが生成されます。

「10m」

yyyyMMdd-HH の形式。10 分ごとにファイルが生成されます。

「15m」

yyyyMMdd-HH の形式。15 分ごとにファイルが生成されます。

「30m」

yyyyMMdd-HH の形式。30 分ごとにファイルが生成されます。

MessageFormat

Syslog サーバーに送信されるメッセージの形式。

• 0: RFC5424
• 1: RFC3164

MessageDelimiter

Syslog サーバーに送信されるメッセージの区切り文字：

• 13: CR
• 10: LF
• 1310: CRLF

IterationCount

Syslog サーバーへのメッセージ送信を一時停止するために使用される内部メッセージ カウンター。

IterationMs

IterationCount メッセージが Syslog サーバーに送信された際に実行される一時停止 (ミリ秒単位)。

MaxBufferSize

Syslog サーバーに送信されるメッセージの最大サイズ (バイト単位)。

実行ログに関連するパラメータ

Event Importer により、実行するすべての操作がテキスト ファイルに保存されます。テキスト ファイルは、アプリケーションの log フォルダに保存されます。

こうした configuration.json ファイルのパラメータにより、Event Importer でテキスト ファイルが生成される方法が決定されます。

LogsPath

絶対パスまたは相対パスとファイル名。バックスラッシュ文字 (「\」) がエスケープされていることを確認してください。
例：.\\log\\log.txt

LogFileSizeLimitKBytes

ログ ファイルがキロバイト単位で特定のサイズに達すると、ログ ファイルがローテーションされて、サフィックス – SequenceNumber が追加されます。
例：log-3.txt

LogRetainedFileCountLimit

Event Importer によってストレージ デバイスに保存されるファイルの最大数を示すものです。この数値に達すると、Event Importer では、最も古いファイルが削除されます。

間隔

ログ ファイルのローテーション間隔。

0

ローテーションされません。サフィックスは null となります。ファイル名は、LogsPath パラメータで定義されている名前と同じです。

1

ファイルが毎年ローテーションされます。LogsPath で定義されている名前のサフィックスは LognameYear(YYYY) です。
例：log2021.txt

2

ファイルが毎月ローテーションされます。LogsPath により、名前のサフィックスが LognameYearMonth(YYYYMM) として定義されます。
例：log202107.txt

3

ファイルが毎日ローテーションされます。LogsPath で定義されている名前のサフィックスは LognameYearMonthDay(YYYYMMDD) です。
例：log20210722.txt

4

ファイルが 1 時間ごとにローテーションされます。LogsPath で定義されている名前のサフィックスは LognameYearMonthDayHour(YYYYMMDDhh) です。
例：log2021072210.txt

5

ファイルが 1 分ごとにローテーションされます。LogsPath で定義されている名前のサフィックスは LognameYearMonthDayHourMinute(YYYYMMDDhhmm) です。
例：log202107221055.txt

イベント ログのパラメータの詳細情報については、WatchGuard SIEMFeeder イベント ガイド を参照してください。

関連トピック

SIEMFeeder について

Event Importer の要件

複数の Event Importer インスタンスを構成する