[Cortex XDR/XSIAM]XDR Collectorを使用してDHCPサーバーのログを収集する

キャンセル
次の結果を表示 
表示  限定  | 次の代わりに検索 
もしかして: 
告知
L4 Transporter
評価なし

この記事ではXDR Collectorを使用して、WindowsのDHCPサーバーログを収集する方法について説明します。

 

XDR Collector

XDR Collectorはオンプレミスのログデータを収集するエージェントです。

Windows,Linuxマシンにインストールすることが可能です。

 

DHCPサーバーのログを収集する

 

WindowsのDHCPサーバーログは、デフォルトでDHCPサーバ内の

%SystemRoot%\System32\DhcpフォルダにDhcpSrvLog-XXX.logというファイル名で保存されます。

massaito_0-1681537833518.png

 

このサンプルでは、直接DHCPサーバーのログフォルダを参照し収集するのではなく、

DHCPログを保存するログサーバ(windows)のフォルダを参照し収集します。

XDR Collectorはログサーバーにインストールします。

収集対象のログファイルはログサーバーのC:¥Logs¥dhcpフォルダに保存したDHCPログファイルを対象にします。

massaito_1-1681538279778.png

 

このようなイメージです。

|  DHCPサーバー(Windows) | ---- (copy logs) ------> | ログサーバー(windows) + XDR Collector | -------> | Cortex XDR |

 

 

XDR Collectorは以下の通り、ログサーバー(WinLogServer)にインストールされています。

massaito_4-1681539195503.png

 

 

 

 

プロファイル(filebeat)を作成する

 

XDR Collectors Profilesで、[+ Add Profile]をクリックします。

massaito_0-1681539719762.png

 

Windowsを選択します。

massaito_1-1681539773988.png

 

 ここでは[Filebeat]を選択します。

massaito_2-1681539806211.png

 

 「Profile Name」を入力し、「Filebeat Configuration File」から、「DHCP」を選択します。

massaito_3-1681539868858.png

 

Addボタンをクリックします。

massaito_4-1681539943160.png

 

DHCPサーバーのログ取り込みに関する設定が埋め込まれます。

pathsの設定を実際のログサーバーの保存先フォルダのパスに変更します。

 

変更前

massaito_6-1681540116042.png

 

 変更後

massaito_7-1681540197337.png

 

 

encodingの設定を追加する

日本語OSの場合、ログファイルのエンコーディングがShift_JISになっている場合があり、

そのままですとDescriptionが文字化けしてしまいます。

massaito_2-1681538728009.png

 

encoding: shift_jisを追加することで、ファイルのエンコーディングをshift_jisとして読み込みます。

文字化けする場合は、このパラメータを調整し試してみてください。

encodingなどfilebeatのパラメータに関する詳細はfilebeatの設定ファイルのドキュメントを参照してください。

massaito_3-1681538884289.png

 

 XDR Collectors Profilesにプロファイルが作成されたことを確認します。

massaito_9-1681540391710.png

 

 

Settingsプロファイルを追加する

 

XDR Collectors Profilesで「Settings」をクリックします。

massaito_10-1681540600898.png

 

 

 XDR Collectorsの自動アップグレードに関する設定を行います。ここではそのままDefaultとします。

massaito_11-1681540781705.png

 

 

XDR Collectors Profilesにプロファイルが作成されたことを確認します。

massaito_12-1681540861244.png

 

 

 

ポリシーを作成する 

XDR Collectors Policesで「+ Add Policy」をクリックします。

 

massaito_0-1681541322679.png

 

 

作成したFilebeatプロファイルと、Collector Settingsプロファイルを選択します。

massaito_1-1681541425458.png

 

 

このポリシーを設定するXDR Collectorを選択します。

massaito_2-1681541484022.png

 

 

内容を確認し、「Done」をクリックします。

massaito_3-1681541528080.png

 

 最後に「Save」をクリックします。

massaito_4-1681541573295.png

 

 

ポリシーが追加されたことを確認します。

massaito_5-1681541601819.png

 

 

Audit Logs

 

端末を右クリックし「View Audit Logs」をクリックすると、

massaito_6-1681541729034.png

 

 ポリシー更新などのログを確認できます。

massaito_7-1681541798045.png

 

 

XQLで確認する

 

datasetはmicrosoft_dhcp_rawです。dataset=microsoft_dhcp_rawで検索します。

以下のようにログがパースされ保存されていることがわかります。

 

massaito_8-1681542067805.png

 

massaito_9-1681542280834.png

 

 

Tech Doc

XDR Collectorの詳細についてはこちら

DHCPサーバーログの取り込みに関する詳細はこちら

この記事を評価:
  • 2500 閲覧回数
  • 0 コメント
  • 0 賞賛
Register or Sign-in
寄稿者
記事ダッシュボード
バージョン履歴
最終更新日:
‎10-31-2023 08:08 AM
更新者: