コンテンツにスキップ

Fluentdを介したMicro Focus ArcSight Logger

これらの手順は、WallarmとFluentdデータコレクターの統合例を提供し、イベントをArcSight Loggerシステムに転送します。

The most common logging scheme in complex systems consists of the following components:

  • Data collector: accepts logs from several sources and forwards logs to the SIEM system

  • SIEM system or log management systems: used to analyze logs and monitor the system status

Webhook flow

ArcSight ESM Enterprise版との統合

FluentdからArcSight ESM Enterprise版にログを転送する設定を行うには、ArcSight側でSyslog Connectorを構成し、その後Fluentdからコネクターポートへログを転送することを推奨します。コネクタに関する詳細な説明は、公式ArcSight SmartConnectorドキュメントからSmartConnector User Guideをダウンロードしてください。

使用リソース

  • ArcSight Logger 7.1(WEB URL https://192.168.1.73:443、CentOS7.8にインストール済み)

  • Fluentd(Debian11.x(bullseye)にインストール済み、https://fluentd-example-domain.comで利用可能)

  • Wallarm Consoleの管理者アクセス権(EU cloud)を使用してFluentd統合の設定

Wallarm Cloud IP addresses

To provide Wallarm Cloud access to your system, you may need a list of its public IP addresses:

35.235.66.155
34.102.90.100
34.94.156.115
35.235.115.105
34.94.85.217
34.94.51.234
34.102.59.122
34.94.238.72

34.141.230.156
34.91.138.113
34.90.114.134
35.204.127.78

ArcSight LoggerおよびFluentdサービスへのリンクは例として示されており、応答はありません。

ArcSight Loggerの構成

ArcSight Loggerには、Wallarm Fluentd logsというログ受信機が以下のように構成されています:

  • ログはUDP経由で受信されます(Type = UDP Receiver

  • 受信ポートは514

  • イベントはsyslogパーサで解析されます

  • その他のデフォルト設定

ArcSight Loggerにおける受信機の構成

受信機の構成に関する詳細な説明は、公式ArcSight Loggerドキュメントから適切なバージョンのLogger Installation Guideをダウンロードしてください。

Fluentdの構成

Wallarmはwebhooks経由でFluentd中間データコレクターにログを送信するため、Fluentdの構成は以下の要件を満たす必要があります:

  • POSTまたはPUTリクエストを受け付けます

  • HTTPSリクエストを受け入れます

  • 公開URLを持ちます

  • ログをArcSight Loggerに転送します(この例では、remote_syslogプラグインを使用してログを転送します)

Fluentdはtd-agent.confファイルで構成されています:

  • 受信webhook処理はsourceディレクティブで構成されています:

    • トラフィックはポート9880に送信されます
    • FluentdはHTTPS接続のみを受け付けるように構成されています
    • 公開トラストされているCAによって署名されたFluentd TLS証明書はファイル/etc/ssl/certs/fluentd.crtに配置されています
    • TLS証明書の秘密鍵はファイル/etc/ssl/private/fluentd.keyに配置されています

  • ArcSight Loggerへのログ転送およびログ出力はmatchディレクティブで構成されています:

    • すべてのイベントログはFluentdからコピーされ、IPアドレスhttps://192.168.1.73:514のArcSight Loggerに転送されます
    • ログはSyslog規格に従い、JSON形式でFluentdからArcSight Loggerに転送されます
    • ArcSight Loggerとの接続はUDP経由で確立されます
    • FluentdのログはJSON形式でコマンドラインにも出力されます(コード行19~22)。この設定は、Fluentd経由でイベントが記録されることを検証するために使用されます
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
<source>
  @type http # HTTPおよびHTTPSトラフィックの入力プラグイン
  port 9880 # 受信リクエスト用のポート
  <transport tls> # 接続処理のための設定
    cert_path /etc/ssl/certs/fluentd.crt
    private_key_path /etc/ssl/private/fluentd.key
  </transport>
</source>
<match **>
  @type copy
  <store>
      @type remote_syslog # Syslog経由でFluentdからログを転送するための出力プラグイン
      host 192.168.1.73 # ログ転送先のIPアドレス
      port 514 # ログ転送先のポート
      protocol udp # 接続プロトコル
    <format>
      @type json # 転送されるログの形式
    </format>
  </store>
  <store>
     @type stdout # コマンドラインにFluentdログを出力するための出力プラグイン
     output_type json # コマンドラインに出力されるログの形式
  </store>
</match>

構成ファイルの詳細な説明は、公式Fluentdドキュメントに記載されています。

Fluentd構成のテスト

Fluentdのログが作成され、ArcSight Loggerに転送されていることを確認するために、PUTまたはPOSTリクエストをFluentdに送信できます。

リクエスト例:

curl -X POST 'https://fluentd-example-domain.com' -H "Content-Type: application/json" -d '{"key1":"value1", "key2":"value2"}'

Fluentdログ:
Fluentdのログ

ArcSight Loggerのイベント:
ArcSight Loggerのログ

Fluentd統合の設定

  • Webhooks are sent to https://fluentd-example-domain.com

  • Webhooks are sent via POST requests

  • The webhook integration has default advanced settings

  • Webhooks sent to Webhook URLs are all available events: hits, system events, vulnerabilities, scope changes

FluentdとのWebhook統合

Fluentd統合設定の詳細

テスト例

To test the configuration, a new user is added in Wallarm Console:

Adding user

Fluentdは次のようにイベントを記録します:

新しいユーザーに関するFluentdのログ

次のエントリがArcSight Loggerのイベントに表示されます:

ArcSight Logger内のイベント