LogRhythm
Keeper SIEMからLogRhythmへのプッシュを統合する
概要
Keeperは、LogRhythmデプロイメントへのイベントストリームをサポートしています。外部ログはリアルタイムであり、新しいイベントはほぼ即座に表示されます。設定手順は以下のとおりです。
LogRhythmはTCPを介した標準の「Syslog」プッシュ機能を使用します。
ポート TCP Ports 514および6514(TLS)
エクスポートされるフィールド "audit_event"、"username"、"client_version"、"remote_address"、"channel"、"result_code"、"email"、"to_username"、"client_version_new"、"username_new"、"file_format"、"record_uid"、"folder_uid"、"folder_type"、"shared_folder_uid"、"attachment_id"、"team_uid"、"role_id"
ペイロード形式 パイプ区切り、例: "audit_event=login|username=bob@foo.com|..."
重要: 証明書のサブジェクト名と一致する有効な署名付きのSSL証明書をエンドポイントが使用していることを確認してください。証明書には、CAからの完全な証明書チェーンも含まれている必要があります。Keeperのシステムは、自己署名された証明書への接続を拒否します。 また、LogRythmサーバーがKeeperサーバーからのトラフィックを許可していることを確認してください。 「ファイアウォール設定」ページを参照してください。
Last updated
