Logstash経由のMicro Focus ArcSight Logger¶

本書では、WallarmとLogstashデータコレクターの統合例をご紹介し、イベントをArcSight Loggerシステムへ転送する方法を説明します。

The most common logging scheme in complex systems consists of the following components:

Data collector: accepts logs from several sources and forwards logs to the SIEM system
SIEM system or log management systems: used to analyze logs and monitor the system status

Enterprise版のArcSight ESMとの統合

LogstashからEnterprise版のArcSight ESMへログを転送する設定には、ArcSight側でSyslog Connectorを構成し、その後LogstashからConnectorポートへログを転送することを推奨します。Connectorの詳細な説明については、公式 ArcSight SmartConnector documentationからSmartConnector User Guideをダウンロードしてください。

使用するリソース¶

ArcSight Logger 7.1がCentOS 7.8にインストールされ、WEB URL https://192.168.1.73:443 を使用します
Logstash 7.7.0がDebian 11.x (bullseye)にインストールされ、https://logstash.example.domain.comで利用可能です
EU cloudのWallarm Consoleへの管理者アクセスがあり、Logstash integrationの設定が可能です

Wallarm Cloud IP addresses

To provide Wallarm Cloud access to your system, you may need a list of its public IP addresses:

US CloudEU Cloud

35.235.66.155
34.102.90.100
34.94.156.115
35.235.115.105
34.94.85.217
34.94.51.234
34.102.59.122
34.94.238.72

34.141.230.156
34.91.138.113
34.90.114.134
35.204.127.78

ArcSight LoggerおよびLogstashサービスへのリンクは例として記載されているため、応答しません。

ArcSight Loggerの構成¶

ArcSight Loggerには、Wallarm Logstash logsとしてログ受信機が次のように構成されています。

ログはUDP（Type = UDP Receiver）経由で受信されます
リスニングポートは514です
イベントはsyslogパーサーで解析されます
その他の既定設定

受信機構成の詳細な説明については、公式 ArcSight Logger documentationから該当バージョンのLogger Installation Guideをダウンロードしてください。

Logstashの構成¶

Wallarmはwebhook経由でLogstash中間データコレクターへログを送信しますので、Logstashの構成は次の要件を満たす必要があります。

POSTまたはPUTリクエストを受け付けます
HTTPSリクエストを受け付けます
公開URLを持ちます
ArcSight Loggerへログを転送します。この例ではログ転送にsyslogプラグインを使用します

Logstashはlogstash-sample.confファイルで構成されています：

受信webhook処理はinputセクションで構成されています：
- トラフィックはポート5044に送信されます
- LogstashはHTTPS接続のみを受け付けるように構成されています
- 公開に信頼されるCAによって署名されたLogstash TLS証明書は/etc/server.crtファイル内にあります
- TLS証明書の秘密鍵は/etc/server.keyファイル内にあります
ArcSight Loggerへのログ転送およびログ出力はoutputセクションで構成されています：
- 全てのイベントログはLogstashからIPアドレスhttps://192.168.1.73:514のArcSight Loggerへ転送されます
- ログはSyslog標準に従い、JSON形式でLogstashからArcSight Loggerへ転送されます
- ArcSight Loggerとの接続はUDP経由で確立されます
- Logstashログはコマンドラインにも出力されます（15行目のコード）。この設定はLogstash経由でイベントがログされることを確認するために使用されます

input {
  http { # HTTPおよびHTTPSトラフィック用のinputプラグイン
    port => 5044 # 受信リクエスト用のポート
    ssl => true # HTTPSトラフィックの処理
    ssl_certificate => "/etc/server.crt" # Logstash TLS証明書
    ssl_key => "/etc/server.key" # TLS証明書の秘密鍵
  }
}
output {
  syslog { # LogstashからSyslog経由でログを転送するoutputプラグイン
    host => "192.168.1.73" # ログ転送先のIPアドレス
    port => "514" # ログ転送先のポート
    protocol => "udp" # 接続プロトコル
    codec => json # 転送されるログのフォーマット
  }
  stdout {} # Logstashログをコマンドラインに出力するoutputプラグイン
}

構成ファイルの詳細な説明については、公式 Logstash documentationをご確認ください。

Logstash構成のテスト

Logstashログが生成され、ArcSight Loggerへ転送されることを確認するために、POSTリクエストをLogstashへ送信することができます。

リクエスト例:

curl -X POST 'https://logstash.example.domain.com' -H "Content-Type: application/json" -d '{"key1":"value1", "key2":"value2"}'

Logstashログ:

ArcSight Loggerのイベント:

Logstash統合の構成¶

Webhooks are sent to https://logstash.example.domain.com
Webhooks are sent via POST requests
The webhook integration has default advanced settings
Webhooks sent to Webhook URLs are all available events: hits, system events, vulnerabilities, scope changes

Logstash統合構成の詳細

テスト例¶

To test the configuration, a new user is added in Wallarm Console:

Logstashは次のようにイベントをログします：

次のエントリがArcSight Loggerのイベントに表示されます：