Elastic
Keeper SIEMのプッシュをElasticに統合
Last updated
Keeper SIEMのプッシュをElasticに統合
Last updated
KeeperではElasticへのイベントストリーミングがサポートされています。外部ロギングはリアルタイムで発生し、新しいイベントはほぼ即座に表示されます。以下は、セットアップ手順となります。
Elasticへの統合では、送信先エンドポイントへの TCPプッシュを使用します。以下のフィールドが必要となります。
ホスト (mycompany.gcp.cloud.us.io:9243など)
検索インデックス (keeperなど)
APIキー
KeeperがElasticインスタンスに接続できない場合は、以下をご確認ください。
ホストフィールドには http または https と入力しないでください。
必ずポートを含めてください。
スペースを使用している場合は、ホストフィールドの末尾のポートの後にスペース名を追加します (例: example-elastic01.us-east.found.io:9243/s/spacename
)。
APIキーの生成については、をご参照ください。
また、ElasticサーバーでKeeperサーバーからのトラフィックが許可されていることも確かにしてください。詳しくはをご参照ください。
Elasticの前にあるファイアウォールがに記載の通りに構成されていることを確かにしてください。