TLSログソースの設定

プロトコル設定

TLS Syslog

ログソース識別子

ログソースを識別するためのIPアドレスまたはホスト名。

TLSリスニングポート

デフォルトのTLSリスニングポートは6514です。

認証モード

TLS接続が認証されるモード。 TLSとクライアント認証 オプションを選択した場合、証明書パラメーターを設定する必要があります。

クライアント証明書パス

ディスク上のクライアント証明書への絶対パス。証明書は、このログソースの JSA コンソールまたはイベントコレクターに保存する必要があります。

証明書の種類

サーバー証明書とサーバーキーの認証に使用する証明書のタイプ。

証明書タイプリストから以下のオプションの1つを選択します。

• 生成された証明書

• 単一の証明書と秘密鍵

• PKCS12証明書とパスワード

生成された証明書

このオプションは、 証明書タイプを設定する場合に使用できます。

サーバー証明書とサーバーキーに JSA によって生成された既定の証明書とキーを使用する場合は、このオプションを選択します。

単一の証明書と秘密鍵

このオプションは、 証明書タイプを設定する場合に使用できます。

サーバー証明書に単一のPEM証明書を使用する場合は、このオプションを選択し、以下のパラメーターを設定します。

• 提供されたサーバー証明書パス - サーバー証明書への絶対パス。

• 提供されたプライベートキーパス - プライベートキーへの絶対パス。

PKCS12証明書とパスワード

このオプションは、 証明書タイプを設定する場合に使用できます。

サーバー証明書とサーバーキーを含むPKCS12ファイルを使用する場合は、このオプションを選択し、以下のパラメーターを設定します。

• PKCS12証明書パス - サーバー証明書とサーバーキーを含むPKCS12ファイルのファイルパスを入力します。

• PKCS12パスワード - PKCS12ファイルにアクセスするためのパスワードを入力します。

• 証明書エイリアス - PKCS12 ファイルに複数のエントリがある場合は、使用するエントリを指定するエイリアスを指定する必要があります。PKCS12ファイルにエイリアスが1つしかない場合は、このフィールドを空白のままにします。

最大ペイロード長

TLS Syslogメッセージに表示される最大ペイロード長(文字)。

最大接続数

最大接続数パラメーターは、TLS Syslogプロトコルが各イベントコレクターに対して受け入れることができる同時接続数を制御します。各イベントコレクターのすべてのTLS syslogログソース設定で1000の接続に制限があります。各デバイス接続のデフォルトは 50 です。

TLSプロトコル

ログソースが使用するTLSプロトコル以下のオプションのいずれかを選択します。

• TLS 1.2以降

• TLS 1.1以降

• TLS 1.0以降

セキュリティの脆弱性を回避するには、TLS 1.2以降を使用してください。

ゲートウェイとして使用する ログソース

収集したイベントをJSAトラフィック分析エンジンを介して送信し、適切なログソースを自動的に検出します。

JSAがイベントの正しいログソースを検出/作成するには、これを選択する必要があります。

このオプションが選択されておらず、 ログソース識別子パターン が設定されていない場合、JSAはイベントを不明な汎用ログソースとして受信します。

ログソース識別子パターン

ゲートウェイ ログソースとして使用を選択した場合、このオプションを使用して、処理中のイベントと、該当する場合はログソースを自動的に検出するカスタムログソース識別子を定義します。 ログソース識別子パターンを設定しない場合、JSAはイベントを不明な汎用ログソースとして受信します。

キーと値のペアを使用して、カスタムログソース識別子を定義します。鍵となるのは、結果のソースまたは送信元の値である識別子フォーマット文字列です。値は、現在のペイロードの評価に使用される、関連する正規表現パターンです。この値は、キーをさらにカスタマイズするために使用できるキャプチャグループもサポートします。

各パターンを改行に入力して、複数のキーと値のペアを定義します。複数のパターンは、リストされた順番に評価されます。一致するものが見つかると、カスタムのログソース識別子が表示されます。

以下の例は、複数のキーと値のペア関数を示しています。

パターン

VPC=\sREJECT\sFAILURE
$1=\s(REJECT)\sOK
VPC-$1-$2=\s(ACCEPT)\s(OK)

イベント

{LogStreamName: LogStreamTest,Timestamp:
0,Message: ACCEPT OK,IngestionTime: 0,EventId:
0}

結果のカスタムログソース識別子

VPC-ACCEPT-OK

マルチラインを有効にする

開始/終了一致またはIDリンク正規表現に基づいて、複数のメッセージを単一のイベントに集約します。

集約方法

このパラメータは、 複数行を有効にする(Enable Multiline )がオンになっている場合に使用できます。

• IDリンク - 各行の先頭に共通の値を含むイベントログを処理します。

• 開始/終了マッチング - 開始または終了の正規表現(正規表現)に基づいてイベントを集約します。

イベント開始パターン

このパラメーターは、[ 複数行を有効にする] がオンで、[ 集計方法 ] が [ 開始/終了一致] に設定されている場合に使用できます。

TCP複数行イベントペイロードの開始を識別するために必要な正規表現(正規表現)。Syslogヘッダーは通常、日付またはタイムスタンプで始まります。プロトコルは、タイムスタンプなどのイベント開始パターンのみに基づく 1 行のイベントを作成できます。開始パターンのみが利用可能な場合、プロトコルは各開始値間のすべての情報をキャプチャして、有効なイベントを作成します。

イベント終了パターン

このパラメーターは、[ 複数行を有効にする] がオンで、[ 集計方法 ] が [ 開始/終了一致] に設定されている場合に使用できます。

TCP複数行イベントペイロードの末尾を識別するために必要な正規表現(正規表現)です。syslogイベントが同じ値で終了する場合、正規表現を使用してイベントの終了を決定できます。このプロトコルは、イベント終了パターンのみに基づいてイベントをキャプチャできます。終了パターンのみが利用可能な場合、プロトコルは各終了値の間のすべての情報をキャプチャして、有効なイベントを作成します。

メッセージIDパターン

このパラメーターは、[ 複数行を有効にする] がオンで、[ 集計方法 ] が [id-Linked] に設定されている場合に使用できます。

この正規表現(正規表現)は、イベントペイロードメッセージをフィルタリングするために必要です。TCP複数行のイベントメッセージには、イベントメッセージの各行で繰り返される共通の識別値が含まれている必要があります。

制限時間

このパラメーターは、[ 複数行を有効にする] がオンで、[ 集計方法 ] が [id-Linked] に設定されている場合に使用できます。

イベントがイベントパイプラインにプッシュされるまでに、さらに一致するペイロードが待機する秒数。デフォルトは 10 秒です。

イベント集約中の行全体の保持

このパラメーターは、[ 複数行を有効にする] がオンで、[ 集計方法 ] が [id-Linked] に設定されている場合に使用できます。

集 計方法 パラメーターを IDリンクに設定すると、同じIDパターンを持つイベントを連結するときに、 イベント集約中に行全体を保持 を有効にして、 メッセージIDパターン の前に来るイベントの部分を破棄または保持できます。

複数行のイベントを 1 行にフラット化する

このパラメータは、 複数行を有効にする(Enable Multiline )がオンになっている場合に使用できます。

イベントを1行または複数行で表示します。

イベントフォーマッタ

このパラメータは、 複数行を有効にする(Enable Multiline )がオンになっている場合に使用できます。

Windows 用に特別にフォーマットされた複数行イベントには、 Windows 複数行 オプションを使用します。