第10章 syslog プロトコルを使用した統合
Syslog は、データ保持とセキュリティー調査のために、アプリケーションが SIEM や syslog コレクターなどの Central の場所にメッセージを送信するために使用するイベントログプロトコルです。Red Hat Advanced Cluster Security for Kubernetes を使用すると、syslog プロトコルを使用してアラートと監査イベントを送信できます。
注記
- syslog プロトコルを使用してイベントを転送するには、Red Hat Advanced Cluster Security for Kubernetes バージョン 3.0.52 以降が必要です。
- syslog 統合を使用する場合、Red Hat Advanced Cluster Security for Kubernetes は、設定した違反アラートとすべての監査イベントの両方を転送します。
- 現在、Red Hat Advanced Cluster Security for Kubernetes は CEF (共通イベント形式) のみをサポートしています。
次の手順は、Red Hat Advanced Cluster Security for Kubernetes を syslog イベントレシーバーと統合するための高レベルのワークフローを表しています。
- アラートを受信するように syslog イベントレシーバーを設定します。
- レシーバーのアドレスとポート番号を使用して、Red Hat Advanced Cluster Security for Kubernetes で通知を設定します。
設定後、Red Hat Advanced Cluster Security for Kubernetes は、設定された syslog レシーバーにすべての違反と監査イベントを自動的に送信します。
10.1. Red Hat Advanced Cluster Security for Kub との syslog 統合の設定
Red Hat Advanced Cluster Security for Kubernetes (RHACS) で新しい syslog 統合を作成します。
手順
-
RHACS ポータルで、Platform Configuration
Integrations に移動します。 - Notifier Integrations セクションまでスクロールダウンし、Syslog を選択します。
- New Integration (add アイコン) をクリックします。
- Integration Name の名前を入力します。
-
Logging Facility の値を
local0からlocal7まで選択します。 - Receiver Host アドレスと Receiver Port 番号を入力します。
- TLS を使用している場合は、Use TLS トグルをオンにします。
- 信頼されていない証明書を使用している syslog レシーバーの場合は、Disable TLS Certificate Validation (Insecure) トグルをオンにします。それ以外の場合は、このトグルをオフのままにします。
Add new extra field をクリックして、追加フィールドを追加します。たとえば、syslog レシーバーが複数のソースからオブジェクトを受け入れる場合は、Key フィールドと Value フィールドに
sourceとrhacsを入力します。syslog レシーバーのカスタム値を使用してフィルタリングし、RHACS からのすべてのアラートを識別できます。
-
Test (
checkmarkアイコン) を選択してテストメッセージを送信し、汎用 Webhook との統合が機能していることを確認します。 -
Create (
saveアイコン) を選択して、設定を作成します。
