メインコンテンツまでスキップ
Sumo Logic Japanese

Twistlock アプリケーションのログの収集

このページでは、Twistlock 用 Sumo Logic アプリケーションのログ収集のセットアップ手順を説明します。以下の作業により、Twistlock のログ収集が設定されます。

  • Sumo Logic Syslog Source を設定する
  • Twistlock ログを Sumo Logic に送信する

ステップ 1.Sumo Logic Syslog Source を設定する

このステップでは、Installed Collector と、Twistlock からログとイベントを受信する Syslog サーバとして機能する Syslog Source を設定します。

  1. 各 Twistlock コンソール インスタンスの Installed Collector を設定します。

  2. Installed Collector に Syslog Source を追加して、以下を指定します。

  1. Name (名前): (必須) 名前は必須です。
  2. Description (説明): 省略可能。
  3. Protocol (プロトコル): UDP または TCP。  Syslog 転送用に Twistlock コンソールで設定したプロトコルを選択します。
  4. Port (ポート): ポート番号。Syslog 転送用に Twistlock コンソールで設定したポートを選択します。
  5. Source Category: (必須) このデータ タイプの Source Category を指定します。
    例: prod/twistlock。詳細については、「ベスト プラクティス」を参照してください。
  6. Kubernetes をご利用の場合は、カスタム フィールドを Syslog Source に追加して、Sumo Explorer ビューで参照できるように設定することをお勧めします。各フィールドには、キーと値のペアが含まれており、フィールド名がキーになっています。フィールドを追加するには、[Fields (フィールド)] セクションの [+Add Field (フィールドの追加)] リンクをクリックします。たとえば、ログにタグ付けするためのクラスタ名を設定する cluster というフィールドを追加できます。例: cluster = k8s.dev.sumo.sumologic.net
  1. [Save (保存)] をクリックします。 

ステップ 2: Twistlock ログを Sumo Logic に送信する

このステップでは、Sumo Logic Syslog Source にログを送信するように Twistlock を設定する方法を示します。

  1. Twistlock コンソールにログインします。

  2. [Manage (管理)] > [System (システム)] > [Logging (ログ)] に移動します。

  3. [Syslog] を有効化します。

  4. [verbose syslog output (詳細 syslog 出力)] の下にある両方のオプションを有効化します。

  5. [Send syslog messages over the network to (syslog メッセージのネットワーク経由での送り先)] を編集して、上記のステップ 1 で Sumo Syslog Source に対して設定した syslog エンドポイントを指定します。

  • エンドポイントを指定する形式:  <protocol>://<server>:<port>
  • 例:  tcp://192.168.125.200:514

Twistlock_System_Dialog_options.png

ログ メッセージのサンプル

コンソール ログのサンプル
<142>2019-07-24T14:37:50Z twistlock-console-v5t10 Twistlock-Console[1]: time="2019-07-24T14:37:50.767565936Z" 
type="host_scan" log_type="vulnerability" vulnerability_id="46" description="Image contains vulnerable OS 
packages" cve="ALAS-2019-1222" severity="critical" package="kernel" package_version="4.14.104-95.84.amz
-111.109.amzn2" rule="Default - alert all components" host="ip-192-168-20-21.us-west-1.compute.internal"

<142>2019-07-24T14:37:50Z twistlock-console-v5t10 Twistlock-Console[1]: time="2019-07-24T14:37:50.767806646Z" 
type="scan_summary" log_type="host" hostname="ip-192-168-20-21.us-west-1.compute.internal" vulnerabilities="29" 
compliance="19"
Defender ログのサンプル
<142>2019-07-25T08:24:42Z ip-192-168-85-85.us-west-1.compute.internal Twistlock-Defender[18070]: 
time="2019-07-25T08:24:42.947472447Z" type="process" pid="32593" path="/usr/bin/pgrep" interactive="false" 
container_id="12345bd5416a975674fd507666b085e8724176453645b8b337529738dd012345"

<142>2019-07-24T14:38:13Z twistlock-console-v5t10 Twistlock-Console[1]: time="2019-07-24T14:38:13.772137479Z" 
type="container_scan" log_type="container" container_id="123450cc8254018dde3fe860c017802b691495ae430797bd3c24d4b4e7b12345" 
container_name="k8s_twistlock-defender-19-03-345_twistlock-defender-ds-9z824_twistlock_18fd4d74-77e8-11e9-b56a-06003de922ca_0" 
image_name="registry-auth.twistlock.com/tw_blm0yiaqqwvgimnirx1x0iczg9xoslag/twistlock/defender:defender_19_03_345" 
compliance="0"

クエリのサンプル

次のクエリ例は、[Twistlock - Overview (Twistlock - 概要)] ダッシュボードの [Vulnerability Scan Events by Severity (重大度別の脆弱性スキャン イベント)] パネルから引用されています。

_sourceCategory=*Twistlock* type log_type *scan* vulnerability severity
| parse regex "\s+(?<component>Twistlock-Console|Twistlock-Defender?)\s*.*\s*time=\"" nodrop
| parse "type=\"*\"" as type nodrop | parse "log_type=\"*\"" as log_type nodrop | parse "severity=\"*\"" 
as severity nodrop | parse "description=\"*\"" as description nodrop | parse "rule=\"*\"" as rule nodrop 
| parse "host=\"*\"" as host nodrop | parse "image_id=\"*\"" as image_id nodrop | parse "image_name=\"*\"" 
as image_name nodrop | parse "container_id=\"*\"" as container_id nodrop | parse "container_name=\"*\"" 
as container_name nodrop | parse "cve=\"*\"" as cve nodrop | parse "vendor_status=\"*\"" as vendor_status nodrop | parse "vulnerability_id=\"*\"" as vulnerability_id nodrop
| where type matches "*scan*" and log_type="vulnerability"
| timeslice 1d
| count by _timeslice, severity
| transpose row _timeslice column severity
  • この記事は役に立ちましたか?