PIM: リモートの SIEM 製品の syslog ポートに監査ログを送るとフォーマットされない状態で表示される
search cancel

PIM: リモートの SIEM 製品の syslog ポートに監査ログを送るとフォーマットされない状態で表示される

book

Article ID: 379050

calendar_today

Updated On:

Products

CA Privileged Identity Management Endpoint (PIM) CA Privileged Access Manager - Server Control (PAMSC)

Issue/Introduction

Privileged Identity Manager (以下、 PIM、旧名称 ControlMinder) または Privileged Access Manager Server Control ( 以下、PAMSC) からリモートの SIEM (Security Information and Event Management) サーバの syslog ポートや syslog 収集サーバに直接ログを送信すると、受信はされるがフォーマットされていない状態のデータとして表示される。 

例えば、下記のように受信される。

"x`\\ri\\u0000\\u0000\\u0000\\u0000\\u0000\\u0000\\u0000\\u0002 !\\x96a\\u0000\\u0000\\u0000\\u0003\\u0000\\u0000\\u0000\\u0000\\u0000\\u0000\\u0000\\u0000\\u0000\\u0000\\u0000\\u0000\\u0000\\u0000\\u0000\\u0000\\u0000\\u0000\\u0000\\u0000"

Environment

Privileged Identity Manager: UNIX版の全バージョン

Privileged Acess Manager Server Control: UNIX版の全バージョン

Cause

PIM または PAMSC の selogrd が稼働している場合、PIM 監査イベントを他のシステムに送信することができます。
この場合、他のシステムでは ログコレクタ (selogrcd) が稼働している必要があり、受信したイベントは他のシステムのローカルに PIM 監査イベントとして記録されます。

他にも複数のオプションとして、メールの転送等があります。
これらは、seos.ini で指定される監査ログルーティング環境設定ファイルの selogrd.cfg で指定することができます。
記載の方法などについては以下のマニュアルに記載があります。

監査ログ ルーティング環境設定ファイル selogrd.cfg

エンドポイントの動作に設定には seos.ini の以下のセクションにありますので併せてご参照ください。

selogrd

参照先は PAM SC 14.1 のものですが、古いバージョンでもほぼ同じになります。

ルーティング方法のパートはhost, syslog などがあることがわかります。
これらは排他的に設定されるため、複数を組み合わせることはできません。

例として以下のような設定があります。

Rule#1
host logs.example.com
syslog LOG_INFO
.

この設定は排他的なものなので動作しません。

Resolution

selogrd を利用して直接 SIEM サーバに syslog フォーマットで送信することは現時点ではできません。
selogrcd が稼働するホストへ送信することはできます。

selogrcd デーモン - 監査レコードの収集

また、ローカルの syslog へ syslog フォーマットで監査ログを転送させることはできます。

syslog に seaudit ログを送信するようにエンドポイントを設定する方法

しかし、これらを複合して設定することができません。

ここで syslog フォーマットで SIEM サーバへ転送する事を実現するために以下の回避策がありますが、受信側で何らかのフィルタ設定が必要になるかもしれません。

    1. syslog を受信するために rsyslogd が稼働していることを確認してください。
    2. selogrd.cfg を作成し、PIM/PAMSC からローカルのシスログに適切なログレベルで転送するように設定してください。
      例: infoレベルのログを送出します。
      Rule#1
      syslog LOG_INFO
      .
    3. rsyslog.cfg で selogrd から受信したログレベルに対して、SIEM サーバへ転送を設定します。
      例:
      *.info       @log-receive.example.com
      rsyslog のルールは排他的ではないので、他のルールでローカルのファイルに記録したり、他のホストに転送したりできます。

リモートで受信した SIEM サーバでは、selogrd と 発信したマシン名を元にフィルタリングるすることで、本メッセージだけが受信できるように設定できます。

ただし、監査ログコレクタ (selogrcd) と外部の SIEM サーバに転送される場合には、何らかの不要なトラフィックが発生する可能性がありますが、この方法が間接的に監査ログを外部のSIEMサーバに転送する有効な方法となります。

Additional Information

こちらの文書は以下の KB から翻訳加筆修正を行いました。

Article ID: 236716: Sending seaudit logs to a remote SIEM solution to a syslog port causes data to be displayed as unformatted

Powered by Wolken Software