Elastic

Keeper SIEMのプッシュをElasticに統合

概要

KeeperではElasticへのイベントストリーミングがサポートされています。外部ロギングはリアルタイムで発生し、新しいイベントはほぼ即座に表示されます。以下は、セットアップ手順となります。

Elasticへの統合では、送信先エンドポイントへの TCPプッシュを使用します。以下のフィールドが必要となります。

  • ホスト (mycompany.gcp.cloud.us.io:9243など)

  • 検索インデックス (keeperなど)

  • APIキー

APIキーの生成については、Elasticのドキュメントをご参照ください。

エンドポイントで証明書のサブジェクト名と一致する有効な署名付きのSSL証明書が使用されていることを確かにしてください。証明書には、CAからの完全な証明書チェーンも含まれていなければなりません。Keeperのシステムは、自己署名された証明書へは接続しません。

また、ElasticサーバーでKeeperサーバーからのトラフィックが許可されていることも確かにしてください。詳しくはファイアウォールの設定ページをご参照ください。

トラブルシューティング

KeeperがElasticインスタンスに接続できない場合は、以下をご確認ください。

  • ホストフィールドには http または https と入力しないでください。

  • 必ずポートを含めてください。

  • スペースを使用している場合は、ホストフィールドの末尾のポートの後にスペース名を追加します (例: example-elastic01.us-east.found.io:9243/s/spacename)。

  • Elasticの前にあるファイアウォールがファイアウォールの設定ページに記載の通りに構成されていることを確かにしてください。

Last updated