You are here:--シス・ログフィルタの登録

シス・ログフィルタの登録

◆ シスログフィルタの登録
– ボタンをクリックして登録するログの詳細情報を入力します。

– 適用されたお勧めのフィルタの内容を参照してください。

1.サーバーグループ:フィルタするサーバーグループを選択します。
2.オペレーティングシステム:WindowsまたはLinuxを選択します。
3.分類:Windows(監査ポリシー)/ Linux(Facility)で選択します。
4.チャンネル:Linuxのチャンネルを選択して(Syslog / Auditlog)フィルタを登録することができます。
5.イベントID:分類に合わせて、イベントIDが表示されたら、必要なリストを選択します。
6.サーバーのリスト:フィルタを希望するグループを選択します。目的のサーバーまたは登録されているすべてのサーバーを選択することができます。
7.フィルタ名:簡単に認識可能な名前で指定します。
8.フィルタ時間:フィルタを希望する時間帯に指定してフィルタリングすることができます。 (デフォルトは24時間です。)
9.リスク:リスクを設定することができます。 (デフォルトは中間です。)
10.フィルタの通知:フィルタ通知回数を設定することができます。 (デフォルトではリスクに応じて、1回、3回、5回、なしに設定されます。)

11. 選択条件:データ名、データ値を入力します。
11-1. データ名:記載されてデータの名前の中から選択します。
11-2. データ値:フィルタリングを必要とする値を入力します。
11-3. 追加/削除:フィルタリング時に入力値を含む/除外する通知を受け取ります。
11-4. 選択条件を追加:データ名を追加します。
11-5. データ値の追加:データ値を追加します。

※ フィルタ登録例:Syslogフィルタの登録。 (シスログログイン成功[event id主要認証情報メッセージ86の関連)

1.「イベント・ログ」詳細見るをクリックした後、必要なデータを検索し、データ値の追加に必要なデータを選択します。

上の画像は、ログイン成功時出るSyslogのログです。
画像のmsg部分にAccepted passwordという部分でログインを成功したホウ予想することができます。 msg部分の全体ではなく、このような言葉だけでフィルタリングを行うことができます。

2. データの名前を追加して、データの値を入力できます。

* Accepted password *と付けた理由は、Accepted password前後にどのようなメッセージが来ても、この部分があれば、キャッチと明示する部分です。

3. 希望の選択条件が複数ある場合は、追加ボタンを押して新たに作成することができます。

※ 選択条件が二つ以上であれば両方の値が満足したときにフィルタが適用されます。

4. 1つのフィルタに複数の選択条件を追加することができます。

※ 同じデータで様々な値を持つ場合は、データ値が1番もしくは2番が含まれる場合、必要なフィルタの値を見ることができます。 (どちらか一方でも適用される生成)



選択条件を追加して続きを読む項目でprogramname項目のsshdという値でsshdにログイン成功した場合にのみ、アラームを受けたい場合は、選択条件を追加します。

5.データの値を含めるか除外することができます。

By |2018-11-06T10:32:44+00:00November 6th, 2018|Categories: マニュアル|0 Comments

About the Author: