適用対象: WatchGuard SIEMFeeder。
WatchGuard Event Importer を使用することで、WatchGuard SIEMFeeder サービスで作成されるイベント ログ ファイルをダウンロードすることができます。本ヘルプ トピックでは、Event Importer 構成ウィザードを実行して、Microsoft Windows の構成ファイルを生成する方法について説明します。
Linux ディストリビューションで Event Importer を構成および実行する方法については、次を参照してください:Linux ディストリビューション向けに Event Importer を構成して実行する。
Microsoft Windows 向けに Event Importer を構成する
要件については、次を参照してください:Event Importer の要件。
Event Importer は、構成ファイルを使用して、ログファイルの保存場所やコマンドラインから実行するかサービスモードで実行するかなどのオプションを適用します。
Event Importer をインストールおよび構成する手順の概要は以下の通りです。
インストール パッケージをダウンロードして解凍する
インストール パッケージをダウンロードして解凍します。これには、以下のファイルが含まれています。
- EventsFeederImporter.Host.exe:これにより、顧客のコンピュータで発生したイベントが含まれているログ ファイルがダウンロードされます。構成されている設定に応じて、ログ ファイルがコンピュータのハードディスクに保存されるか、別のコンピュータに転送されます。
- EventsFeederImporter.ConfigAssistant.exe:これにより、構成するパラメータが含まれている構成ウィザードが起動されます。
- Configuration.json:これには、プログラム設定が含まれています。セキュリティの漏洩を防止するため、すべての個人データは難読化された状態で保存されます。
Event Importer インストール パッケージをダウンロードするには、以下の手順を実行します。
- WatchGuard Web サイトの ソフトウェア ダウンロード ページ で、Event Importer インストール パッケージをダウンロードします。Endpoint > SIEMFeeder セクションの順に移動してください。
- インストール フォルダからファイルを抽出します。
- Event Importer インストールのルート フォルダを参照します。
- EventsFeederImporter.ConfigAssistant.exe ファイルを右クリックして、Run as Administrator を選択し、構成ウィザードを開きます。
コマンド プロンプト ウィンドウが開きます。
接続方法を構成する
本セクションでは、コマンドライン モードまたはサービス モードで単一のインスタンスを実行し、Azure プラットフォームに接続してログ ファイルをダウンロードする上で必要となる構成ファイルを生成する手順について説明します。
接続方法を構成するには、以下の手順を実行します。
- 以下のコマンド プロンプトで、Y と入力して、構成を変更します。
Do you want to change the current channel configuration? [Yes/No]:
Event Importer で、既存のファイルを上書きする新しい構成ファイルが生成され、構成ウィザードが起動されます。 - 以下のコマンド プロンプトで、Y または N と入力して、プロキシ接続を構成します。
Is Event Importer behind a proxy server? [Yes/No]: - Event Importer コンピュータがプロキシ サーバーの背後にある場合は、Event Importer では、プロキシ サーバーの IP アドレス、およびプロキシ サーバーで認証が必要となる場合はユーザー名とパスワードを入力することを求めるプロンプトが表示されます。たとえば、example.com:9092 または 192.0.2.1:9092 と入力します。
Event Importer は、構成されているプロキシ サーバーを使用して、ユーザーに割り当てられている Azure インフラストラクチャに接続されます。これは、ファイル サーバー、Apache Kafka サーバー、Syslog サーバーなど、他のリソースへの接続には使用されません。SIEMFeeder 通信でのシステム プロキシの使用はサポートされていません。
Endpoint Security プラットフォームを構成する
WatchGuard Endpoint Security プラットフォームを構成して、管理 UI の認証情報にアクセスします。
Endpoint Security プラットフォームを構成するには、以下の手順を実行します。
- 以下のコマンド プロンプトで、W と入力して、WatchGuard Endpoint Security プラットフォームを構成します。
Select your platform: [C]urrent or [W]G Endpoint Security: -
以下のコマンド プロンプトで、WatchGuard Cloud API キーを入力します。
Enter WatchGuard user credentials:
API key:WatchGuard ユーザー認証情報と API キーの詳細については、次を参照してください:WatchGuard Cloud API 設定を構成する。
- 以下のコマンド プロンプトで、WatchGuard Cloud アカウント ID を入力します。
Account ID:
WatchGuard Cloud アカウント ID を確認する方法については、次を参照してください:マイ アカウント情報を表示する。 - 以下のコマンド プロンプトで、WatchGuard Cloud アカウントのユーザー アクセス ID (読み取り専用) を入力します。
Access ID (Read-only): - 以下のコマンド プロンプトで、WatchGuard Cloud アカウントのパスワードを入力します。
Password: - 以下のコマンド プロンプトで、N、J、または E と入力して、WatchGuard Cloud アカウントのリージョンを選択します。
∆Region ((N)orth America, (J)apan, (E)urope):
配信チャンネルを構成する
配信チャンネルを構成するには、以下の手順を実行します。
- 以下のコマンド プロンプトで、Y と入力して、イベント ログ ファイルの配信チャンネルを構成します。
Event Importer enables you to send received events simultaneously to various channels.
Do you want to change the current channel configuration? [Yes/No]: - 以下のコマンド プロンプトで、F、K、または S と入力して、イベント ログ ファイルの配信チャンネルを構成します。
Select where you want to deliver received events: [F]ile on disk, [K]afka topic/queue, or [S]yslog server:
配信チャンネルの詳細については、次を参照してください:イベント ログのストレージと転送を構成する。 - 以下のコマンド プロンプトで、Y または N と入力して、別の配信チャンネルを設定します。
Do you want to configure another delivery channel? [Yes/No]:
実行モードを構成する
Event Importer は、サービスとして実行すること、またはコマンドライン モードで実行することができます。コンピュータで単一のインスタンスをサービスとしてインストールして実行する場合にのみ、Event Importer を Windows サービスとして実行してください。複数のインスタンスを実行する方法については、次を参照してください:複数の Event Importer インスタンスを構成する。
実行モードを構成するには、以下の手順を実行します。
-
以下のコマンド プロンプトで、Y または N と入力して、実行モードを構成します。
Do you want to register Event Importer as a Windows service? [Yes/No]:Y
Event Importer を Windows サービスとして登録すると、サービスにより、ユーザーが選択した配信チャンネルの場所へのイベント ログ ファイルのダウンロードが開始されます。インストール プロセスを開始するユーザーは、管理者権限を持っている必要があります。
N
EventsFeederImporter.Host.exe が新しいコマンド ウィンドウで起動され、配信チャンネルの場所へのログ ファイルのダウンロードが開始されます。
Event Importer の構成設定とその更新方法については、次を参照してください:Event Importer 設定を変更する。