Syslog

Keeper SIEMから標準的なSyslogエンドポイントへのプッシュを統合する

概要

Keeperは、標準のTCP Syslogコレクタへのイベントストリームをサポートしています。外部ログはリアルタイムであり、新しいイベントはほぼ即座に表示されます。設定手順は以下のとおりです。

KeeperはTCPを介した標準の「Syslog」プッシュ機能をサポートしています。

ポート TCP Ports 514および6514(TLS)

エクスポートされるフィールド "audit_event"、"username"、"client_version"、"remote_address"、"channel"、"result_code"、"email"、"to_username"、"client_version_new"、"username_new"、"file_format"、"record_uid"、"folder_uid"、"folder_type"、"shared_folder_uid"、"attachment_id"、"team_uid"、"role_id"

ペイロードの例

<165>1 2022-10-13T21:05:51.996Z keepersecurity.com keeper - - - {"record_uid":"XXX","audit_event":"fast_fill","remote_address":"12.34.56.78","category":"usage","client_version":"Browser Extensions.16.4.7","username":"user@company.com","enterprise_id":123456}

重要: 証明書のサブジェクト名と一致する有効な署名付きのSSL証明書をエンドポイントが使用していることを確認してください。証明書には、CAからの完全な証明書チェーンも含まれている必要があります。Keeperのシステムは、自己署名された証明書への接続を拒否します。

また、syslogサーバーで、Keeperサーバーからのトラフィックが許可されていることを確認します。 ファイアウォールの設定ページを参照してください。

Last updated