適用対象: WatchGuard SIEMFeeder。
WatchGuard Event Importer では、いくつかの方法でイベント ログ ファイルを保存または転送することができます。ネットワーク アーキテクチャ、使用可能なリソース、Microsoft Azure インフラストラクチャから Event Importer に送信されるイベント ログ ファイルの量、および WatchGuard SIEMFeeder サービスで作成されるイベント ログ ファイルによって、使用する方法を決定することができます。
本トピックには、Event Importer の以下の仕組みに関する説明が含まれています。
ログ ファイルをローカルまたはリモートのフォルダに保存する
ログ ファイルをローカル フォルダまたはリモート フォルダに保存するには、以下の手順を実行します。
- Event Importer を実行しているコンピュータ、または共有ドライブかリソースに、ログ ファイルを保存するフォルダを作成します。
- 受信したイベントを送信する保存場所を選択することを求めるプロンプトが表示されるまで、構成ウィザード を続行します。以下のコマンド プロンプトで、F と入力して、[F]ile on Disk オプションを選択します。
Select where you want to deliver received events: [F]ile on disk, [K]afka topic/queue, or [S]yslog server. - コマンド プロンプトで、ローカルまたはリモートのフォルダ パスの場所を入力します。
- 以下のコマンド プロンプトで、N と入力して、この配信方法の構成を完了します。
Do you want to configure another delivery channel? [Yes/No]
ログ ファイルを Apache Kafka サーバー に送信する
Apache Kafka サーバーを使用して、ログ ファイルを管理することができます。Kafka は、データ パイプラインと統合に使用されるオープンソースのイベント ストリーミング プラットフォームです。
Kafka サーバーに送信するには、以下の手順を実行します。
- 受信したイベントを送信する保存場所を選択することを求めるプロンプトが表示されるまで、構成ウィザード を続行します。以下のコマンド プロンプトで、K と入力して、Kafka Topic/Queue オプションを選択します。
Select where you want to deliver received events: [F]ile on disk, [K]afka topic/queue, or [S]yslog server. - 以下のコマンド プロンプトで、Kafka サーバーの IP アドレスまたはドメイン名およびリスニング ポートをコロン区切りで入力します。たとえば、example.com:9092 または 192.0.2.1:9092 と入力します。
Enter the Kafka broker endpoint (including the full URI with schema, domain/IP and port): - 以下のコマンド プロンプトで、Kafka サーバーのログ ファイルの送信先となるキューまたはトピックの名前を入力します。例: SiemFeederTopic
Enter the Kafka topic/queue where you want to send messages: - 以下のコマンド プロンプトで、ログ ファイルの Kafka サーバーへの送信に使用される通信プロトコルを入力します。
Enter the secure protocol you want to use to communicate with the server: [N]one, [S]SL, S[A]SL_SSL, or SASL_PLAIN[T]EXT:
オプションには以下が含まれます。- なし — 暗号化されていない形式を使用するには、N と入力します。
- SSL — SSL 暗号化を使用するには、S と入力します。
- SASL_SSL — SASL/SSL 暗号化を使用するには、A と入力します。
- SASL_PLAINTEXT — SASL/プレーン テキスト暗号化を使用するには、T と入力します。
- (オプション) データが暗号化される通信プロトコルを選択した場合は、Kafka サーバーに構成されている CA によって発行された証明書が含まれているファイルのパスを入力する必要があります。
通信プロトコルによっては、サーバーのユーザー名とパスワードを指定しなければならない場合があります。 - 以下のコマンド プロンプトで、N と入力して、この配信方法の構成を完了します。
Do you want to configure another delivery channel? [Yes/No]
ログ ファイルを Syslog サーバー に送信する
Syslog サーバーを使用して、ログ ファイルを管理し、さまざまな場所やシステムから収集されたログ ファイルを一元化することができます。
ログ ファイルを Syslog サーバに送信するには、以下の手順を実行します。
- 受信したイベントを送信する保存場所を選択することを求めるプロンプトが表示されるまで、構成ウィザード を続行します。以下のコマンド プロンプトで、S と入力して、Syslog server オプションを選択します。
Select where you want to deliver received events: [F]ile on disk, [K]afka topic/queue, or [S]yslog server. - 以下のコマンド プロンプトで、Syslog サーバーで構成される受信ログ ファイルのメッセージ形式を選択します。
Which message format do you want to use?
RFC[5]424 or RFC[3]164. - 以下のコマンド プロンプトで、Syslog サーバーの IP アドレスまたはドメイン名およびリスニング ポートをコロン区切りで入力します。たとえば、example.com:9092 または 192.0.2.1:9092 と入力します。
Enter the host name and port that the Syslog server listens to (domain/IP and port): -
以下のコマンド プロンプトで、Syslog サーバーで構成される受信ログ ファイルのトランスポート プロトコルを選択します。
Which transport protocol do you want to use to communicate with the server? [T]CP or [U]DP:Event Importer から送信されるログ ファイルがすべて Syslog サーバーで確実に受信されるように、通信の両端で TCP トランスポート プロトコルを使用することが勧められます。トランスポート プロトコルが UDP の場合は、TLS も区切り文字もありません。
- 以下のコマンド プロンプトで、Syslog サーバーと Event Importer 間の通信の暗号化に使用される暗号化プロトコルを選択します。
Which secure protocol do you want to use? [N]one or TLS 1.[2]: - データが暗号化される通信プロトコルを選択した場合は、Syslog サーバーに構成されている CA によって発行された証明書の場所を示します。
証明書コマンドの場所を示すオプションには以下が含まれます。- [F]ile — CA 証明書が、別のファイルに含まれています。
- [C]ert Store — CA 証明書が、Event Importer が実行されているコンピュータにある Trusted People (信頼済みユーザー) 証明書ブランチ内のローカル証明書ストアに含まれています (Windows のみ)。
- 以下のコマンド プロンプトで、Syslog サーバーで構成される受信ログ ファイルのメッセージ行末マーカーを選択します。
Which message delimiter do you want to use? [C]R,[L]F, or C[R]LF:
- 以下のコマンド プロンプトで、N と入力して、この配信方法の構成を完了します。
Do you want to configure another delivery channel? [Yes/No]
