Elastic

Keeper SIEMのプッシュをElasticに統合する。

概要

KeeperはElasticデプロイメントへのイベントストリーミングをサポートしています。外部ロギングはリアルタイムであり、新しいイベントはほぼ即座に表示されます。セットアップの手順は以下の通りです。

Elastic インテグレーションは、送信先エンドポイントへの TCP プッシュを使用します。必要なフィールドは以下の通りです。

  • ホスト (例: mycompany.gcp.cloud.us.io:9243)

  • 検索インデックス(例:keeper

  • APIキー

APIキーの生成については、Elasticのドキュメントを参照してください。

https://www.elastic.co/guide/en/elasticsearch/reference/current/security-api-get-api-key.html

重要:エンドポイントが、証明書のサブジェクト名と一致するドメインを持つ有効な署名付きSSL証明書を使用していることを確認すること。また、証明書にはCAからの完全な証明書チェーンが含まれている必要があります。Keeperのシステムは、自己署名証明書への接続を拒否します。

また、ElasticサーバーがKeeperサーバーからのトラフィックを許可していることを確認してください。 「ファイアウォール設定」ページを参照してください。

トラブルシューティング

KeeperがElasticインスタンスに接続できない場合は、以下を確認してください。

  • ホストフィールドには http または https と入力しないでください。

  • 必ずポートを含めてください。

  • 「スペース」を使用している場合は、ホストフィールドの末尾のポートの後にスペース名を追加します。例: example-elastic01.us-east.found.io:9243/s/spacename

  • Elasticの前にあるファイアウォールがこのページに従って構成されていることを確認してください。

Last updated