Box のイベントの収集
このページでは、Sumo Logic での分析用に Box からのイベントの収集をセットアップする手順を説明します。リンクをクリックして、トピックに移動してください。
要件とプロセスの概要
ログ収集のセットアップを開始する前に、以下のセクションで必要な前提条件とプロセスの概要を確認してください。
前提条件
- システム管理者または共同管理者 Box ユーザの権限が必要です。詳細については、「ステップ 5: Box の認証」を参照してください。
- Sumo と Box の統合には、下記の SumoJanus の設定が必要です。SumoJanus をデプロイして Installed Collector およびスクリプト Source を設定するシステムには Java が必要です。
プロセス概要
Sumo Logic での分析用に Box からのイベント収集をセットアップするには、以下の作業を、記述されている順序で実行する必要があります。
- Installed Collector を設定します。
- 認証に必要な SumoJanus for Box パッケージをダウンロードします。
- SumoJanus for Box パッケージを、Sumo Logic Collector が動作しているローカル サーバにデプロイします。
- ローカル プロパティ ファイルを編集します。このプロパティ ファイルは、ステップ 2 で SumoJanus パッケージをダウンロードしてデプロイしたときに生成されます。
- Box を認証します。
- Sumo Logic にデータを送信するように Source を設定します。
Box のイベント収集の設定
このセクションでは、Sumo Logic での分析用に Box からのログ収集をセットアップするプロセスを順を追って説明します。
ステップ 1: Collector の設定
まだ Installed Collector をセットアップしていない場合は、すぐにセットアップしてください。Linux および Windows がサポートされています。
ステップ 2: SumoJanus for Box パッケージのダウンロード
Box からログを収集するには、次の SumoJanus for Box ファイルが必要です。SumoJanus は Okta、Box、Salesforce などのアプリケーションからのスクリプトベースの収集に使用するプロプライエタリ ライブラリです。
SumoJanus for Box v3.0.0 パッケージ ファイル:
- Linux の場合は、
https://s3.amazonaws.com/script-collection/box/rc3.0.0/sumojanus-box-dist.3.0.0.tar.gz からsumojanus-box-dist.3.0.0.tar.gzをダウンロードします。 - Windows の場合は、
https://s3.amazonaws.com/script-collection/box/rc3.0.0/sumojanus-box-dist.3.0.0.zip からsumojanus-box-dist.3.0.0.zipをダウンロードします。
ステップ 3: SumoJanus for Box パッケージのデプロイ
このステップでは、パッケージ ファイルをデプロイ先のフォルダにコピーして、ファイルを展開します。
- ダウンロードしたパッケージ ファイルをデプロイ先のフォルダにコピーします。
- 次のいずれかの方法で、そのフォルダでファイルを展開します。
- Linux では、次のコマンドを実行します。
tar xzvf sumojanus-box-dist.3.0.0.tar.gz
- Windows では、Windows Explorer を使用してパッケージを開いて、内容をターゲット フォルダにコピーします。
ファイルを展開すると、次のようなファイルが入った sumojanus-box というフォルダが作成されます。
ステップ 4: プロパティ ファイルの編集
このステップでは、プロパティ ファイルを編集します。
-
ASCII テキスト エディタで
sumojanus-box/conf/sumologic.propertiesファイルを開きます。 -
以下の行を追加します。
[boxcollector] token_path = ${path}/data/box_enc.token stream_pos_path = ${path}/data/box_stream_position.dat # optional, default is admin event #event_type = admin # optional, encrypt token file or not. Default is false encrypt_token_file = true # Optional, Overwrite default encryption key # encryption_key = # optional, startTime to query for Event Log files, in epoch milliseconds, optional, default is 2 days back. #startTime = 1435709058000 # optional, endTime to query for Event Log files, in epoch milliseconds #endTime = 1436377600000 - 変更内容を保存します。
ステップ 5: Box の認証
このセクションでは、認証のセットアップ方法を示します。
前提条件
- この手順を実行するには、システム管理者または共同管理者 Box ユーザの権限が必要です。共同管理者ユーザは、[Run new reports and access existing reports (新規レポートを実行して既存のレポートにアクセス)] 権限のみが必要です (下図のように [Report and Settings (レポートと設定)] セクションにあります)。
- Web ブラウザを備えたインターネットに接続されたコンピュータが必要です。認証手順では、Internet Explorer (IE) ではなく Chrome または Firefox ブラウザの使用をお勧めします。
- 認証の一環として、スクリプトはポート 8080 を開いてリッスンします。また、sumojanus/data フォルダにトークン ファイルも作成します。これらの操作がローカル ファイアウォール設定とファイル権限で許可されていることを確認してください。Windows マシンでは、ポート 8080 を開けるように、ファイアウォール例外ルールを作成する必要がある可能性があります。
- Collector が使用している現在の JRE フォルダを調べるため、config/wrapper.conf の下にある collector フォルダに移動し、wrapper.java.command 変数を探します。
Box を認証するには、次の手順を実行します。
-
デフォルトで、Collector には Java Runtime Environment が付属しています。SumoJanus が Java を見つけられるように、下記のように .bat ファイルまたは .bash ファイルを更新する必要がある場合があります。
Windows の場合は、SumoJanus_Box.bat ファイルを更新
SumoJanus をインストールしたフォルダに移動し、テキスト エディタで SumoJanus_Box.bat ファイルを開きます。下記のように、このスクリプトの 3 行目で
JAVAPATHがC:\Program Files\Sumo Logic Collector\jre\binに設定されています。set JAVAPATH="C:\Program Files\Sumo Logic Collector\jre\bin"Collector の JRE が別の場所にある場合は、それに合わせて 3 行目を更新します。
Linux の場合は、SumoJanus_Box.bash ファイルを更新SumoJanus をインストールしたフォルダに移動し、テキスト エディタで SumoJanus_Box.bash ファイルを開きます。次に、行
"export JAVAPATH="${JAVA_HOME}""を"export JAVAPATH=/opt/SumoCollector/jre/"に変更して (つまり、パスを JRE フォルダに変更して)、ファイルを保存します。 - Box アカウントにログインしている場合は、ログアウトします。
- sumojanus-box フォルダでターミナル ウィンドウを開き、次のいずれかのコマンドを実行します。
- Linux の場合:
bin/SumoJanus_Box.bash -s - Windows の場合:
bin\SumoJanus_Box.bat -s
- Linux の場合:
- Box に「Disabled by Administrator (管理者によって無効化されました)」というメッセージが表示された場合は、以下の手順に従って Sumo アプリケーションへのアクセス権を付与してから、スクリプトを再実行してください。
- [Enterprise Settings (エンタープライズ設定)] または [Business Settings (ビジネス設定)] に移動し、[Apps (アプリケーション)] をクリックします。
- [Invididual Application Controls (個別のアプリケーション制御)] セクションまでスクロールし、「SumoLogic」を探して、[SumoLogic_BoxCollector] に対して [Available (利用可能)] を選択します。
- ステップ 3 を繰り返します (スクリプトを再実行します)。スクリプトによってブラウザ ウィンドウが開きます。
- スクリプトによってブラウザが開いたら、Box のメール パスワードを入力して [Authorize (認証)] をクリックします。認証されると、アプリケーションが開発者エンタープライズ内で有効になります。注: SumoJanus スクリプトによってブラウザ ウィンドウが開かれない場合は、ターミナル ウィンドウに出力された URL をコピーし、ブラウザの URL フィールドに貼り付けてウィンドウを開いてください。
- すべての必要な権限へのアクセス権を付与するには、[Grant access to Box (Box へのアクセス権を付与)] をクリックします。
。
ブラウザに「This site can't be reached (このサイトにアクセスできません)」というメッセージが表示されます。これは予想される反応です。
- ブラウザから URL をコピーし、「https」を「http」に変更してから (ブラウザを別のマシンで実行している場合は) スクリプトが実行されているのと同じマシンで、以下のいずれかのオプションを使用してください。
- Linux の場合は、ターミナル ウィンドウを開いて
curl -X GET ‘the above url’を実行します。 - Windows の場合は、Powershell ウィンドウを開いて
Invoke-WebRequest ‘the above url’ -Method Getを実行します。
- Linux の場合は、ターミナル ウィンドウを開いて
すべて正常に実行されると、「Thank you for granting access for SumoLogic BoxCollector (SumoLogic BoxCollector へのアクセス権を付与して頂きありがとうございます)」というメッセージが表示されます。代わりに認証コードの期限が切れたというエラー メッセージが表示された場合は、前述のように、このステップを 30 秒以内に完了するようにしてください。
- 権限が付与されたら、スクリプトによってアクセス トークンがローカル ファイルに保存されます。デフォルトの場所は
${path}/dataまたは./dataです。ファイルが作成されていることを確認します。作成されない場合、認証手順を繰り返します。
一部の Windows マシンでは、SumoJanus フォルダは、デフォルトで読み取り専用になっています。この場合は、書き込みも許可してください。
-
(省略可能) sumojanus-box フォルダに移動し、以下のいずれかのコマンドを実行してスクリプトを手動でテストします。
Linux システムの場合は次のコマンドを実行します。
bin/SumoJanus_Box.bash
Windows システムの場合は次のコマンドを実行します。
bin\SumoJanus_Box.bat
収集された Box イベントのリストが表示されます。
- CLI (Windows) またはシェル (Linux) を閉じて実行中のスクリプトを削除します。デフォルトでは 30 分間実行されます
ステップ 6: Source の設定
Source Category の命名規則の指針については、「ベスト プラクティス: 良い Source Category、悪い Source Category」を参照してください。
Source を設定するには、次の手順を実行します。
- スクリプト Source を設定します。バージョン 19.245-4 以降の新しい Collector では、スクリプト Source の作成はデフォルトでは禁止されています。スクリプト Source を許可するには、user.properties 内の Collector のパラメータ
enableScriptSourceを true に設定する必要があります。
- 以下の Source フィールドを設定します。
- Name (名前): (必須) BoxCollector。(必要に応じて説明を入力します)。
- Source Category: (必須) box
- Frequency (頻度): (必須) Every 5 Minutes (5 分ごと)
- Specify a timeout for your command (コマンドのタイムアウトを指定): チェック ボックスを有効にして、[60 Minutes (60 分)] を選択します。
- Command (コマンド): (必須)
/bin/bash(システムの正しいパスを指定してください) - Script (スクリプト) (必須)
sumojanusへのパスを使用します (/home/ubuntu/sumojanus-box/bin/SumoJanus_Box.bashなど)
([Type the script to execute (実行するスクリプトを入力)] は選択しないでください) - Working Directory (作業ディレクトリ):
/home/ubuntu/sumojanus-box
- [Save (保存)] をクリックします。
ログ メッセージのサンプル
{
"source": {
"type": "user",
"id": "225980941",
"name": "First Last",
"login": "user@sumologic.com"
},
"created_by": {
"type": "user",
"id": "225980941",
"name": "First Last",
"login": "user@sumologic.com"
},
"created_at": "2016-12-15T11:08:58-08:00",
"event_id": "7988d00a-aca3-4454-9021-652477f4fa78",
"event_type": "LOGIN",
"ip_address": "1.1.1.1",
"type": "event",
"session_id": null,
"additional_details": null
}
{
"source": {
"type": "user",
"id": "262207389",
"name": "user",
"login": "luser@sumologic.com"
},
"created_by": {
"type": "user",
"id": "225980941",
"name": "first last",
"login": "user1@sumologic.com"
},
"created_at": "2016-12-14T16:09:33-08:00",
"event_id": "d82f1946-2c51-43fe-bfcc-3452f9e2f6ff",
"event_type": "DELETE_USER",
"ip_address": "1.1.1.1",
"type": "event",
"session_id": null,
"additional_details": null
}
クエリのサンプル
ログイン失敗の上位 10 件
_sourceCategory=box type "event_type" login
| json "created_at","ip_address","event_type","created_by.name","created_by.login" as messagetime,src_ip,event_type, src_user,src_login nodrop
| json "source.name","source.login","source.type" as dest_user,dest_login, item_type nodrop
| where event_type="FAILED_LOGIN"
| count as EventCount by src_user,src_login,src_ip | top 10 src_user,src_login,src_ip by EventCount