Syslogメッセージのインポート

サードパーティ製のデバイスの多くはsyslogフォーマットでのログを使用します。ログサーバでRawデータをCheck Pointのログ形式に再フォーマットし、サードパーティのsyslogメッセージに処理します。

ログサーバではsyslog解析を使ってsyslogメッセージをCheck Pointのログ形式に変換します。

syslogメッセージをインポートするには、syslog解析を定義してログサーバにインストールします。

SmartEventで再フォーマットしたログを受け取り、セキュリティ イベントに変換します。

Syslog解析の生成とsyslogメッセージのインポート

追加設定なく使える製品をサポートしていないプロダクトやベンダーからのsyslogメッセージをインポートするには、sk55020を参照してください。ここでは、次について説明します。

  1. サンプルsyslogメッセージをLog Parsing Editorにインポートする方法。

  2. syslogフィールドとCheck Pointログフィールド間のマッピングを定義する方法。

  3. ログサーバでsyslog解析をインストールする方法。

syslogメッセージをログサーバにインポートした後は、SmartConsoleのログ & モニタリング > ログタグで確認することができます。

- アクセスコントロールルールで、Syslogコンピュータとログサーバ間のELAトラフィックを許可してください。

インポートしたSyslogメッセージを読み込むSmartEventの設定

syslogメッセージをログサーバにインポートすると、メッセージを他のCheck PointログとしてSmartEvent Server (および他のOPSEC LEAクライアント)に転送できます。SmartEventでsyslogメッセージがセキュリティイベントに変換されます。

このログサーバからのログを読み込むようにSmartEvent Serverを設定するには

  1. SmartEventでログサーバからのログを読み込むよう設定します。

  2. SmartEventまたはSmartConsoleイベントビューで、プロダクト名フィールドによってクエリをフィルタリングします。このフィールドでは、syslogメッセージから作成されたイベントを一意に識別します。