サードパーティのログ形式

これらのサードパーティのログ形式は、Check Point Log Serverの以下にインポートできます:

  • Syslogメッセージ。

  • Windowsイベント。

  • SNMPトラップ。

Log ServerでサードパーティのログメッセージをCheck Pointログに変換します。ログは、SmartEventによるその後の分析で利用されます。

Syslogメッセージのインポート

サードパーティ製のデバイスの多くはsyslogフォーマットでのログを使用します。ログサーバでRawデータをCheck Pointのログ形式に再フォーマットし、サードパーティのsyslogメッセージに処理します。

ログサーバではsyslog解析を使ってsyslogメッセージをCheck Pointのログ形式に変換します。

syslogメッセージをインポートするには、syslog解析を定義してログサーバにインストールします。

SmartEventで再フォーマットしたログを受け取り、セキュリティ イベントに変換します。

Syslog解析の生成とsyslogメッセージのインポート

追加設定なく使える製品をサポートしていないプロダクトやベンダーからのsyslogメッセージをインポートするには、sk55020を参照してください。ここでは、次について説明します。

  1. サンプルsyslogメッセージをLog Parsing Editorにインポートする方法。

  2. syslogフィールドとCheck Pointログフィールド間のマッピングを定義する方法。

  3. ログサーバでsyslog解析をインストールする方法。

syslogメッセージをログサーバにインポートした後は、SmartConsoleのログ & モニタリング > ログタグで確認することができます。

- アクセスコントロールルールで、Syslogコンピュータとログサーバ間のELAトラフィックを許可してください。

インポートしたSyslogメッセージを読み込むSmartEventの設定

syslogメッセージをログサーバにインポートすると、メッセージを他のCheck PointログとしてSmartEvent Server (および他のOPSEC LEAクライアント)に転送できます。SmartEventでsyslogメッセージがセキュリティイベントに変換されます。

このログサーバからのログを読み込むようにSmartEvent Serverを設定するには

  1. SmartEventでログサーバからのログを読み込むよう設定します。

  2. SmartEventまたはSmartConsoleイベントビューで、プロダクト名フィールドによってクエリをフィルタリングします。このフィールドでは、syslogメッセージから作成されたイベントを一意に識別します。

Windowsイベントのインポート

Check Point Windows Event Serviceは、Windowsのサービスアプリケーションです。Windowsサーバや他の設定されたWindowsコンピュータからのイベントを読み取り、Check Pointログへ変換して、そのデータをCheck Pointログサーバに置きます。このデータはログサーバで処理されます。プロセスはWindowsコンピュータにのみインストールできます。ログサーバを実行するコンピュータでなくても構いません。つまり、Windowsイベントは、ログサーバが別のプラットフォームにインストールされていても処理されます。

Windowsイベントサービスの仕組み

WindowsイベントをCheck Pointログに変換するには

  1. Windows Event ServiceエージェントのWinEventToCPLog Check Point Support Center からダウンロードします。

  2. サービスエージェントをWindowsサーバにインストールします。

    管理者ユーザ名とパスワードは必須です。管理者名は次のいずれかになります。

    • エンドポイントコンピュータ担当のドメイン管理者

    • エンドポイントコンピュータ上のローカル管理者

  3. Management ServerとWindowsサーバの間でSICを作成します。

  4. 必要なコンピュータからのWindowsイベントを収集するよう、Windowsサーバを設定します。

WinEventToCPLogの管理者サポート

WinEventToCPLogは、Microsoft APIを使ってWindowsオペレーティングシステムのイベントファイルからのイベントを読み取ります。これらのファイルはWindows Event Viewerで確認できます。

WinEventToCPLogはローカルマシンのイベントファイルを読み取り、権限を持つリモートマシンからのログファイルを読み取ることができます。これは、複数のWindowsホストのイベントをCheck Point Log Serverに転送する集中型のWinEventToCPLogサーバにする場合に役立ちます。

権限を設定するには、"WinEventToCPLog -s"を実行して管理者のログインとパスワードを指定します。

リモートマシン上のファイルへアクセスする方法はいくつかあります。

  • WinEventToCPLogで登録した名前と一致するリモートマシンにローカル管理者を定義します。

  • ドメインで管理者としてWinEventToCPLogで登録した管理者と定義します。この管理者は、ドメインのすべてのマシンにアクセスできます。

Windowsイベントのログ サーバへの送信

このセクションでは、Windowsイベントをログサーバへ送信する方法を説明します。詳細なWindowsイベントの設定については、sk98861を参照してください。

WindowsイベントサービスのOPSECオブジェクトの作成

SmartConsoleで、WindowsイベントサービスのOPSECオブジェクトを作成します。

WindowsイベントサービスのOPSECオブジェクトを作成するには

  1. オブジェクトエクスプローラから、新規 > サーバ > OPSECアプリケーション > アプリケーションをクリックします。

    OPSECアプリケーションプロパティウィンドウが表示されます。

  2. ログサーバにログファイルを送るアプリケーションの名前を入力します。

  3. 新規をクリックしてホストを新しく作成します。

  4. WinEventToCPLogを実行するマシンのオブジェクト名とIPアドレスを入力します。

  5. [OK]をクリックします。。

  6. クライアントエンティティで、ELAを選択します。

  7. 通信を選択します。

  8. アクティベーションキーを入力し、確認の行で再度入力します。後で使用するために、記録しておきます。

  9. [初期化]をクリックします。。

    システムで信頼のステータスを初期化済み、トラストは未確立とレポートされます。

  10. [閉じる]をクリックします。

  11. [OK]をクリックします。。

  12. SmartConsoleセッションの公開。

- アクセスコントロールのルールで、Windowsコンピュータとログサーバ間のELAトラフィックを許可しておいてください。

Windowsサービスの設定

Windowsホストで、ログサーバにログを送信するようWindowsサービスを設定します。

Windowsサービスを設定するには

  1. WinEventToCPLogパッケージ Check Point Support Center からインストールします。

  2. インストールが完了したら、コンピュータを起動します。

  3. コマンドプロンプトウィンドウを開いて、次の場所に移動します。

    • Windows 32ビット版:

      C:\Program Files\CheckPoint\WinEventToCPLog\R65\bin\

    • Windows 64ビット版:

      C:\Program Files (x86)\CheckPoint\WinEventToCPLog\R65\bin\

  4. 証明書をプルします。

    1. 次を実行します。

      windowEventToCPLog -pull_cert

    2. 管理サーバのIPアドレスを入力します。

    3. WindowsイベントにSmartConsoleで作成した対応するOPSECアプリケーションオブジェクトの名前を入力します。

    4. OPSECオブジェクトのアクティベーションキーを入力します。

  5. Check Point Windowsイベントサービスを再起動します。

トラスト接続の確立

Security Management ServerとWindowsホストの間でトラスト(信頼)を確立します。

トラストを再確立するには

  1. WindowsイベントにSmartConsoleで作成したOPSECアプリケーションを編集します。

  2. 通信を選択します。

  3. トラストのステータスが信頼済みであることを確認します。

  4. SmartConsoleセッションの公開。

Windows監査ポリシーの設定

Windowsイベントを送る各マシンで、Windows監査ポリシーを設定します。

Windows監査を設定するには

  1. スタートメニューから設定 > コントロール パネルをクリックします。

  2. 管理者ツール > ローカル セキュリティ ポリシー > ローカル ポリシー > 監査ポリシーをクリックします。

  3. ポリシーの監査ログインイベントセキュリティ設定失敗になっていることを確認します。そうでない場合はダブルクリックして失敗を選択します。

  4. コマンド プロンプト ウィンドウを開いて次のパスへ移動します。

    • Windows 32ビット

      C:\Program Files\CheckPoint\WinEventToCPLog\R65\bin\

    • Windows 64ビット

      C:\Program Files (x86)\CheckPoint\WinEventToCPLog\R65\bin\

  5. 以下のコマンドを実行します。

    windowEventToCPLog -l <ipaddr> (<ipaddr>はWindowsイベントを受け取るログサーバのIPアドレス)

    windowEventToCPLog -a <ipaddr> (<ipaddr>はWindowsイベントを送る各マシンのIPアドレス)

    windowEventToCPLog -s (windowEventToCPLogサービスで登録する管理者名および管理者パスワードを求められます)

    windowEventToCPLogサービスを実行する管理者は、このプロシージャで定義するIPアドレスからのアクセスとログを読み取る権限を持っている必要があります。これはWindowsイベントを送るコンピュータのIPアドレスです。

  6. リモートマシンからWindowsイベントを読み取るようwindowEventToCPLogを設定する場合は、管理者としてログインします。管理者がリモートコンピュータのイベントにアクセスできるようになります。

  7. Microsoftイベントビューアを使ってリモートマシンからのイベントを読み取ります。

SNMPの使用

SNMP (Simple Network Management Protocol)は、インターネットの標準プロトコルです。SNMPは、ネットワークデバイスに対しての管理データ、プロトコルデータユニット(PDU)を送信および受信します。SNMP準拠のデバイスはエージェントと呼ばれ、このエージェントで自身のデータをMIB (Management Information Base)に保持します。そして、このデータをSNMPリクエスターに再送します。

詳細は、 R81.10 Gaia Administration Guide > システム管理の章
> SNMPセクションを参照してください。