メインコンテンツまでスキップ
Sumo Logic Japanese

Trend Micro Deep Security アプリケーションのクラウド ベース ログの収集

クラウド ベース — このページでは、Hosted Collector の Sumo クラウド Syslog Source を使用して Trend Micro Deep Security のログを収集する手順を紹介します。

このページでは、Hosted Collector の Sumo クラウド Syslog Source を使用して Trend Micro Deep Security のログを収集する手順を紹介します。

ステップ 1:  Hosted Collector でクラウド Syslog Source を作成する

  1. 既存の Hosted Collector を選択するか、新しい Hosted Collector を作成します。
  2. Hosted Collector にクラウド Syslog Source を追加します。
    cloud-syslog-source.png
    1. Source に名前を付けます。
    2. Source Category を入力します。
    3. [Enable Timestamp Parsing (タイムスタンプ parse の有効化)] をオフにします。
    4. [Save (保存)] をクリックします。
  3. クラウド Syslog Source トークンが生成されます。この情報を Deep Security 内の [Log Source Identifier (ログ Source 識別子)]、[Server Name (サーバ名)]、および [Server Port (サーバ ポート)] への入力として指定します。


cloud-syslog-source-token.png

ステップ 2: Trend Micro Deep Security で Sumo を Syslog サーバとして設定する

  1. Deep Security Manager コンソールで、[Policies (ポリシー)] > [Common Objects (共通オブジェクト)] を選択します。
  2. 左ペインの [Other (その他)] を展開します。
  3. [Syslog Configurations (Syslog 設定)] を選択します。
  4. [New (新規)] ボタンを選択して新しい設定を作成します。
    trend-micro-syslog-config.png
    1. Log Source Identifier (ログ Source 識別子)。「Deep Security Manager」や「My Log Source」などの 3 語のラベルを入力し、その後に、上記のクラウド Syslog Source を設定したときに [Cloud Syslog Source Token (クラウド Syslog Source トークン)] ページの [Token (トークン)] フィールドに表示されていた値を次のように角括弧で囲んで入力します。
      Deep Security Manager [token from Cloud Syslog source]
  1. Server Name (サーバ名)。上記のクラウド Syslog Source を設定したときに [Cloud Syslog Source Token (クラウド Syslog Source トークン)] ページの [Host (ホスト)] フィールドに表示されていた値を入力します。 
  2. Server Port (サーバ ポート)。  上記のクラウド Syslog Source を設定したときに [Cloud Syslog Source Token (クラウド Syslog Source トークン)] ページの [Port (ポート)] フィールドに表示されていた値を入力します。 
  3. Transport (トランスポート)。[TLS] が選択されたままにします。
  4. [OK] をクリックします。

ステップ 3: システム イベントとセキュリティ イベントを Sumo Logic に転送する

  1. Deep Security Manager コンソールで、[Policies (ポリシー)] を選択します。
  2. イベントの転送に使用するポリシーをダブルクリックします。
  3. [Settings (設定)] > [Event Forwarding (イベントの転送)] に移動します。
  4. [Event Forwarding Frequency (from Agent/Appliance) ((エージェント/アプライアンスからの) イベント転送頻度)] に、イベントを Sumo Logic に転送する頻度を指定します。
  5. [Event Forwarding Configuration (from Agent/Appliance) ((エージェント/アプライアンスからの) イベント転送設定)] で、各保護モジュールで使用する Syslog 設定を次のオプションから選択します。 
  • Inherited (configuration name) (継承 (設定名)): 親ポリシーまたはコンピュータから動作を継承します。

  • None (なし): イベントは転送されません。

  • Syslog (configuration name) (Syslog (設定名)): イベントは、指定された Syslog 設定に転送されます。設定の詳細を表示または編集するには、[Edit (編集)] をクリックします。[Agents should forward logs (エージェントは以下の方法でログを転送する)] が [Via the Deep Security Manager (Deep Security Manager 経由)] に設定されている必要があります。

  • New (新規): 新しい設定を定義できます (詳細については、「Syslog 設定の定義」を参照してください)。[Agents should forward logs (エージェントは以下の方法でログを転送する)] が [Via the Deep Security Manager (Deep Security Manager 経由)] に設定されている必要があります。

  1. [Save (保存)] をクリックします。

設定を確認する

システムイベントを送信して Sumo Logic との通信を確認します。5 ~ 10 分の遅延が発生する場合があります。