概要ガイド › クイック スタート展開 › Syslog コネクタの編集

Syslog コネクタの編集

CA User Activity Reporting Module には、それぞれデフォルト エージェントがあります。 CA User Activity Reporting Module がインストールされると、そのデフォルト エージェントには Syslog_Connector と呼ばれる部分的に設定されたコネクタが付与されます。これは、リスナである Syslog に基づいています。 CA User Activity Reporting Module に syslog が送信されるようにイベント ソースを設定するとすぐ、このリスナはデフォルト ポートに関する元の syslog イベントを受信します。 ただし、CA User Activity Reporting Module でこれらの元のイベントを精製するには、この Syslog_Connector を編集する必要があります。 必須の編集とオプションの編集があります。

• このコネクタを編集するには、syslog ターゲットを識別する必要があります。 syslog ターゲットとして、設定した、または設定する予定の 1 つ以上のイベント ソースに対応する各統合を選択します。 syslog ターゲットを識別することで、CA User Activity Reporting Module が正しくイベントを精製できます。
• オプションで、抑制ルールの適用、トラステッドホストへの syslog の受け入れの制限、Well-Known syslog UDP ポートの 514 およびデフォルト TCP ポートである 1468 以外の待機ポートの指定、トラステッドホストの新しいタイム ゾーンの追加を行うことができます。

デフォルト エージェントの syslog コネクタを編集する方法

1. ［管理］タブをクリックします。

   ［ログ収集］サブタブが表示されます。

2. ［エージェント エクスプローラ］を展開し、次に、［デフォルトのエージェント グループ］または設定する CA User Activity Reporting Module が存在するユーザ定義グループを展開します。
3. CA User Activity Reporting Module サーバの名前を選択します。

   Syslog_Connector という名のコネクタが表示されます。

   

4. ［編集］をクリックします。

   ［コネクタの詳細］ステップが選択された状態で、［コネクタの編集］ウィザードが表示されます。

5. （オプション）［抑制ルールの適用］をクリックします。 いずれかの syslog イベント タイプを抑制する（つまり収集しない）場合、そのイベント タイプを使用可能リストから選択済みリストに移動します。 移動するイベントを選択して、移動ボタンをクリックします。
6. ［コネクタの設定］ステップをクリックします。

   使用可能なすべての統合がデフォルトで選択されます。

7. ターゲットにする syslog 統合を使用可能リストから選択済みリストに移動することにより、syslog ターゲットを選択します。

   たとえば、ネットワーク上のホストの AIX オペレーティング システムを設定した場合、syslog ターゲット（AIX_Syslog）を使用可能リストから選択済みリストに移動します。

   

8. （オプション）syslog コネクタが受信イベントを受け入れる、トラステッドホストを特定します。 入力フィールドに IP アドレスを入力し、［追加］をクリックします。 トラステッドホストごとに繰り返します。 その後、トラステッドホストとして設定されていないホストからイベントを受信すると、そのイベントは拒否されます。

   注： トラステッドホストを設定することをお勧めします。 通常、CA User Activity Reporting Module に syslog を送信するようにイベント ソースを設定したすべてのホストを設定します。 トラステッドホストを指定すると、攻撃者が syslog リスナにイベントを送信するように設定した悪質なシステムからのイベントをデフォルト エージェントが受け入れなくなります。

9. （オプション）ポートを追加します。

   通常は、デフォルト エージェントのデフォルト UPD および TCP ポートを受け入れることができます。

   注： さまざまなイベント タイプの syslog コネクタを定義し、それぞれに別のポートを指定することで、パフォーマンスが向上します。 新しいポートを割り当てる場合は、必ず未使用のポートを選択してください。

10. （オプション）ソフトウェア アプライアンスとは異なるタイム ゾーンのマシンから syslog を収集する場合のみ、タイム ゾーンを追加します。
    1. ［フォルダの作成］をクリックし、フォルダを展開します。
    2. フォルダの下にある空白のエントリを強調表示します。 このコネクタに設定したトラステッドホスト、または CA User Activity Reporting Module のインストールで指定した NTP タイム サーバのいずれかの IP アドレスを入力します。

       

11. ［保存して閉じる］をクリックします。
12. ステータスを表示します。
    1. ［ステータスとコマンド］をクリックします。

       

       ［エージェントのステータス表示］が選択されます。 デフォルト エージェントはこのサーバ上にあるため、インストールしたサーバのホスト名が［エージェント］列に表示されます。 ステータスは［実行中］と表示されます。

    2. 詳細を表示するには、［実行中］リンクをクリックします。
    3. コネクタのステータスを表示するには、［コネクタ］ボタンをクリックします。

       

    4. ［実行中］リンクをクリックします。

       CPU 使用率、メモリ使用量、1 秒あたりの平均イベント数（EPS）、およびフィルタされたイベント数が表示されます。

詳細情報：

デフォルト エージェントの設定