Third-Party Log Collection integration

手順

1. サードパーティのログ収集サービスをService Gateway Virtual Applianceにインストールします。
   1. Workflow and Automation → Service Gateway Management に移動します。
   2. 管理するService Gatewayの名前をクリックします。

      注意 選択したService Gateway Virtual Applianceが、サードパーティのログ収集サービスをサポートするために必要な最小仕様を満たしていることを確認してください。最小要件は1つの仮想CPUと128 MBの仮想メモリで、1秒あたり30,000件のログ送信をサポートします。 複数のサービスを設定する場合は、適切に機能するように、サービスごとに仮想CPUと仮想メモリの最小要件を割り当てる必要があります。 詳細については、Service Gatewayアプライアンスのシステム要件 を参照してください。

      既存のService Gatewayがない場合は、まず Service Gatewayをデプロイ する必要があります。
      [Service Gateway]画面が表示されます。
   3. [サービスを管理] をクリックします。
      [Manage Services] ウィンドウが表示されます。
   4. [Third-Party Log Collection Service] を見つけて、インストールアイコン () をクリックします。
      For more information, see Service Gatewayでのサービスの管理.
   サードパーティのログ収集サービスはService Gatewayにインストールされています。
2. サードパーティのログソースがService Gatewayの証明書を検証する必要がある場合、証明書をVirtual Applianceにアップロードしてください。
   • PKCS#1 証明書のみがサポートされています。
   • 証明書には、RSA PRIVATE KEYとCERTIFICATEの両方が含まれている必要があります。
   1. インポートする前に秘密鍵が暗号化されていないことを確認するために、次のスクリプトを使用して証明書のPEMファイルを復号化および再生成してください

      #!/bin/bash
      
      # Check if exactly 2 parameters are provided
      if [ "$#" -ne 2 ]; then
          echo "Warning: You must provide exactly 2 parameters."
          echo "Usage: $0 <<original>>.pem <<decrypted>>.pem"
          exit 1
      fi
      
      # Parameters
      INPUT_PEM=$1
      OUTPUT_PEM=$2
      
      TEMP_CERT="temp_cert.pem"
      TEMP_KEY="temp_key_encrypted.pem"
      TEMP_KEY_DEC="temp_key_decrypted.pem"
      
      # extract cert
      openssl x509 -in "$INPUT_PEM" -out "$TEMP_CERT"
      
      # extract key
      openssl pkey -in "$INPUT_PEM" -out "$TEMP_KEY"
      
      # decrypt key
      openssl rsa -in "$TEMP_KEY" -out "$TEMP_KEY_DEC"
      
      # combine cert and decrypt key into new PEM
      cat "$TEMP_CERT" "$TEMP_KEY_DEC" > "$OUTPUT_PEM"
      # clear temp
      rm "$TEMP_CERT" "$TEMP_KEY" "$TEMP_KEY_DEC"
      
      echo "New pem generated.New filename = "$OUTPUT_PEM"

   2. 証明書の形式が次のようになっていることを確認してください:

      -----BEGIN CERTIFICATE-----
      (base64....)
      -----END CERTIFICATE-----
      -----BEGIN PRIVATE KEY-----
      (base64....)
      -----END PRIVATE KEY-----

   3. [Service Gateway Management]で、Service Gatewayの横にある[Configure settings]アイコン () をクリックします。
      [Service Gateway設定] ウィンドウが表示されます。
   4. [Import certificate] をクリックします。
   5. [Select file…] をクリックして、証明書ファイルを選択します。
   6. [インポート] をクリックします。
      詳細については、Service Gatewayの設定をご覧ください。
   7. [保存] をクリックします。
      証明書がVirtual Applianceにアップロードされました。
3. サードパーティのログ収集にログソースを追加します。
   1. Workflow and Automation → Third-Party Integration
   2. [Third-Party Log Collection] をクリックします。
   3. [+ Add Log Source] をクリックします。
      [Log Source Settings] ウィンドウが表示されます。
   4. 新しいログソースの設定を構成する:
      • ログソースの[名前]を指定してください。
      • ドロップダウンメニューからService Gateway Virtual Applianceを選択してください。

        注意 サードパーティのログ収集サービスがインストールされているサービスゲートウェイのみがリストに表示されます。

      • ログソースに少なくとも1つのログコレクターが設定されていることを確認してください。
        存在しない場合は、ログコレクターを追加してください。
   5. サードパーティのログには、複数の値をカンマで区切って [Sender IP addresses] を指定してください。
   6. [保存] をクリックします。
4. サードパーティプラットフォームで、ログソースを構成してサードパーティのログをTrend Vision Oneに送信します。
   ログは、Transport Layer Security (TLS) を介して、選択された Service Gateway アプライアンスのIPアドレスとポートにCEF形式で送信されます。

   Palo Alto Networks 次世代ファイアウォールの統合の設定に関する詳細は、Palo Alto Networks のドキュメントを参照してください。
   サードパーティのログは[検索]アプリで利用可能になります。サードパーティのログソースは、Trend Vision Oneに接続した後に生成されたログのみを送信できます。新しいログが表示されるまでに時間がかかる場合があります。
5. [Service Gateway Management] でログの取り込みを確認してください。
   1. Workflow and Automation → Service Gateway Management に移動します。
   2. 新しいログソースのために選択されたService Gatewayをクリックしてください。
   3. [Connected Products/Server] に移動します。
   4. [Third-Party Log Collection Service] をクリックしてサービスのステータスを表示します。
6. [検索] アプリに移動して、収集されたサードパーティのログを表示します。