Fluentd経由のMicro Focus ArcSight Logger¶

本手順では、WallarmをFluentdデータコレクターと連携し、イベントをArcSight Loggerシステムへ転送するための統合例を示します。

The most common logging scheme in complex systems consists of the following components:

Data collector: accepts logs from several sources and forwards logs to the SIEM system
SIEM system or log management systems: used to analyze logs and monitor the system status

ArcSight ESMのEnterprise版との連携

FluentdからArcSight ESMのEnterprise版へログを転送するには、ArcSight側でSyslog Connectorを設定し、そのコネクターのポートへFluentdからログを転送する構成を推奨します。コネクターの詳細については、公式のArcSight SmartConnectorドキュメントからSmartConnector User Guideをダウンロードしてください。

使用リソース¶

CentOS 7.8にインストールされたArcSight Logger 7.1（WEB URL: https://192.168.1.73:443）
Debian 11.x（bullseye）にインストールされ、https://fluentd-example-domain.comで利用可能なFluentd
Fluentd統合の設定を行うためのEU cloudのWallarm Consoleへの管理者アクセス

Wallarm Cloud IP addresses

To provide Wallarm Cloud access to your system, you may need a list of its public IP addresses:

US CloudEU Cloud

35.235.66.155
34.102.90.100
34.94.156.115
35.235.115.105
34.94.85.217
34.94.51.234
34.102.59.122
34.94.238.72
35.235.100.79
34.102.45.38
34.94.241.21
34.102.90.100
34.94.203.193
34.94.238.221
34.94.9.23

34.141.230.156
34.91.138.113
34.90.114.134
35.204.127.78
34.90.24.155

ArcSight LoggerおよびFluentdサービスへのリンクは例として記載しているため、応答しません。

ArcSight Loggerの設定¶

ArcSight Loggerには、ログ受信設定Wallarm Fluentd logsが次のとおり構成されています。

ログはUDPで受信します（Type = UDP Receiver）
待ち受けポートは514です
イベントはsyslogパーサーで解析します
その他はデフォルト設定です

受信設定の詳細は、公式のArcSight Loggerドキュメントから該当バージョンのLogger Installation Guideをダウンロードしてください。

Fluentdの設定¶

Wallarmはwebhook経由で中間データコレクターであるFluentdにログを送信するため、Fluentdの設定は次の要件を満たす必要があります。

POSTまたはPUTリクエストを受け付けること
HTTPSリクエストを受け付けること
公開URLを持つこと
ログをArcSight Loggerへ転送すること。本例では転送にremote_syslogプラグインを使用します

Fluentdはtd-agent.confファイルで設定します。

受信webhookの処理はsourceディレクティブで設定します:
- トラフィックはポート9880に送信されます
- FluentdはHTTPS接続のみを受け付けるように設定されています
- 公的に信頼されたCAが署名したFluentdのTLS証明書は/etc/ssl/certs/fluentd.crtにあります
- TLS証明書の秘密鍵は/etc/ssl/private/fluentd.keyにあります
ArcSight Loggerへの転送とログ出力はmatchディレクティブで設定します:
- すべてのイベントログがFluentdからコピーされ、IPアドレスhttps://192.168.1.73:514のArcSight Loggerへ転送されます
- ログはSyslog標準に従いJSON形式でFluentdからArcSight Loggerへ転送されます
- ArcSight Loggerとの接続はUDPで確立されます
- FluentdのログはJSON形式でコマンドラインにも出力されます（コードの19〜22行目）。この設定は、イベントがFluentd経由で記録されていることを検証するためのものです

<source>
  @type http # HTTP/HTTPSトラフィック用の入力プラグイン
  port 9880 # 受信リクエストのポート
  <transport tls> # 接続処理の設定
    cert_path /etc/ssl/certs/fluentd.crt
    private_key_path /etc/ssl/private/fluentd.key
  </transport>
</source>
<match **>
  @type copy
  <store>
      @type remote_syslog # FluentdからSyslog経由でログを転送する出力プラグイン
      host 192.168.1.73 # 転送先のIPアドレス
      port 514 # 転送先ポート
      protocol udp # 接続プロトコル
    <format>
      @type json # 転送されるログの形式
    </format>
  </store>
  <store>
     @type stdout # コマンドラインにFluentdのログを出力するための出力プラグイン
     output_type json # コマンドラインに出力されるログの形式
  </store>
</match>

設定ファイルの詳細は公式のFluentdドキュメントにあります。

Fluentd設定のテスト

Fluentdでログが作成されArcSight Loggerへ転送されることを確認するには、FluentdにPUTまたはPOSTリクエストを送信できます。

リクエスト例:

curl -X POST 'https://fluentd-example-domain.com' -H "Content-Type: application/json" -d '{"key1":"value1", "key2":"value2"}'

Fluentdのログ:

ArcSight Loggerのイベント:

Fluentd統合の設定¶

Webhooks are sent to https://fluentd-example-domain.com
Webhooks are sent via POST requests
The webhook integration has default advanced settings
Webhooks sent to Webhook URLs are all available events: hits, system events, vulnerabilities, scope changes

Fluentd統合設定の詳細

テスト例¶

To test the configuration, a new user is added in Wallarm Console:

Fluentdはイベントを次のように記録します。

ArcSight Loggerのイベントには次のエントリが表示されます。