ログをSyslogにエクスポートする
ESET PROTECT On-Premは特定のログとイベントをSyslogサーバーにエクスポートできます。イベントは、ESETアプリケーション(ESET Endpoint securityなど)を実行する管理対象のクライアントコンピューターで生成されます。これらのイベントは、SyslogサーバーからイベントをインポートできるSecurity Information and Event Management (SIEM)ソリューションで処理できます。ESET PROTECT On-PremはイベントをSyslogサーバーにイベントを送信します。
以下の手順に従って、Syslogサーバーを再設定します。
1.詳細 > 設定 > エクスポート > Syslogサーバーを追加する に移動します。
最大5つのSyslogサーバーを設定できます。 |
2.Syslog設定を有効にしてイベントを送信するトグルをオンにして、以下で設定したSyslogサーバーを有効にします。
3.ログ設定で、イベントログがSyslogサーバーにエクスポートされるログカテゴリを選択します。
•検出 - 次の検出カテゴリをSyslogサーバーに送信するようにESET PROTECTサーバーを設定します:ウイルス対策、ファイアウォール、HIPS、Web保護 (フィルタリングされたWebサイト)、ブロックされたファイルおよびESET Inspect。
•監査 - 監査ログをSyslogサーバーに送信するようにESET PROTECTサーバーを設定します。
•通知 - ESET PROTECTサーバーを構成し、Syslogサーバーに通知を送信できます。 通知ログカテゴリでフィルターを定義し、Syslogに送信されたイベントログをフィルタリングします。
形式に互換性がないため、他のイベントとの通知にSyslogを使用することはできません。通知はプレーンテキスト形式で送信されます。 |
Syslogユーザーは、エクスポートされたすべてのログにアクセスできます。すべての監査ログメッセージは、Syslogにエクスポートされます。 |
4.ホスト(SyslogサーバーのIPアドレスまたはホスト名)を指定します。
5.ポート番号を入力します。既定値は514です。
6.バージョンとして、BSD (仕様)またはSyslog (仕様)を選択します。
7.形式で、イベントメッセージログの形式を選択します。
通知はプレーンテキスト形式で送信されます。 |
•JSON (JavaScript Object Notation)
•CEF (Common Event Format) - ArcSightによって開発された形式。
•LEEF (Log Event Extended Format)- IBMアプリケーションQRadarで使用される形式。
8.Syslog (UDP、TCP、TLS)へのメッセージ送信用のトランスポートプロトコルを選択します。
9.オプションで、オクテットカウントフレーミングを有効にできます。有効にすると、TLS経由で送信される各Syslogメッセージには、その長さがオクテット(バイト)で接頭辞として付けられ、受信側システムがメッセージの長さ(仕様)を決定できます。
10. [完了]をクリックします。
•通常のアプリケーションログファイルは継続的に更新されます。Syslogは、通知やさまざまなクライアントコンピューターイベントなど、特定の非同期イベントのみをエクスポートします。 •ログの詳細レベルを調整するには、詳細 > 設定 > 詳細設定 > ログ > トレースログの詳細レベルをクリックします。 |
詳細 > 設定 >エクスポートで、設定済みのSyslogサーバーのリストを表示および編集できます。 設定されたSyslogサーバーの横の3点
アイコンをクリックし、次を選択します。
•
編集 - 選択したSyslogサーバー設定を編集します。
•
削除 - 選択したSyslogサーバー設定を削除します。