新登場 TR7 ZeroLeak:ビジュアル分離 — ユーザーに届くのはピクセルだけ、データは届かない
攻撃を受けていますか? サポート パートナーポータル
無料ライブデモ
DE DeutschEN EnglishES EspañolFR FrançaisJA 日本語PT PortuguêsTR Türkçe
機能

SIEMログストリーミング

WAAP、ADC、AAM、運用ログをJSON、CEF、またはplainText形式で自社SIEMへストリーミングします。

TR7 SIEMログストリーミングは、プラットフォームイベントを標準syslog経由で組織自身のSIEM、ログ分析、またはコンプライアンスシステムへ運びます。管理者のアクション、ヘルスチェックイベント、システム通知、GTMイベント、WAAPセキュリティイベントはすべて同一のログトランスポートパイプラインを通じて外部システムへ転送できます。 各プロファイルはネームスペースごとに動作し、UDPまたはTCPトランスポートを選択でき、RFC3164またはRFC5424のsyslog標準を適用できます。メッセージコンテンツはJSON、CEF、またはplainText形式で生成できるため、異なるSIEMとログ収集システムとの互換性が単一プロファイルを通じて管理されます。 ログソースはプロファイルレベルでフィルタリングされます。オペレーターはuserLogs、hcLogs、notificationLogs、gtmLogs、またはセキュリティイベントのみを送信することを選択できます。ヘルスチェックログのverbose動作は独立して管理されます。同一ネームスペース内で複数のプロファイルを実行して、同じログストリームを異なる形式で異なるターゲットへ転送できます。 結果として、TR7はログを独自のプロダクト形式に閉じ込めません — SOC、コンプライアンス、運用チームが直接読める標準syslogストリームに変換します。

3
メッセージ形式:JSON、CEF、plainText
2
トランスポートオプション:UDPとTCP
4
ログソース:ユーザー、ヘルスチェック、通知、GTM

セキュリティとトラフィックイベントが標準形式でSIEMに流れない場合、SOCは全体像を遅れて見ます。

エンタープライズのセキュリティ運用では、WAAP、ADC、AAM、ヘルスチェック、管理者アクション、GTMイベントはプロダクトコンソール内に閉じ込められるべきではありません。SOCチームはこれらのイベントを自社SIEM、ログ分析、コンプライアンスシステムで見たいと考えます。ベンダーがログを独自のまたは変換が困難な形式で保持する場合、インシデント調査が断片化されます。

異なるSIEMプラットフォームは異なる形式の期待を持ちます。一部のチームは検索とインデックスのためにJSONを望み、一部はCEFの既製パーサーを利用し、一部はプレーンなplainText syslogストリームを好みます。単一の形式を押し付ける製品は統合タイムラインを延長し、ログの正規化を組織に押し付けます。

マルチテナントまたはネームスペース分離環境では、ログストリーミングはさらに繊細になります。各テナントのログは自社のSIEMに到達する必要があり、異なるネームスペースからのイベントは混在してはいけません。単一のグローバルsyslog出力はこのようなアーキテクチャでは分離性と監査性の両面で不十分です。

ログ量も課題です。高頻度のヘルスチェックやセキュリティイベントシナリオでは、すべての細かいイベントをSIEMへ送信するとコストとノイズが発生します。ソースレベルのフィルタリング、ヘルスチェックverboseコントロール、複数プロファイル、適切な場合のサンプリングはすべてログ運用モデルの一部でなければなりません。

TR7 SIEMログストリーミングはネームスペーススコープのトランスポートプロファイル、UDP/TCP syslog、RFC3164/RFC5424サポート、JSON/CEF/plainTextメッセージ形式、ソースレベルのフィルタリングを通じてこれらすべてに対処し、プラットフォームイベントを組織自身のSIEMパイプラインへ運びます。

アプローチ

TR7はログ転送を単一のグローバル出力としてではなく、ネームスペース、形式、ソース、宛先ごとに管理されるプロファイルモデルとして扱います。

ネームスペースごとの独立したトランスポートプロセスがログ分離を提供

各ネットワークネームスペースに専用のログトランスポートプロセスを実行できます。このモデルはマルチテナント環境で異なるテナントのログストリームが混在するのを防ぎ、各テナントのログが自社のSIEMターゲットに到達することを保証します。

形式プールが異なるSIMEの期待に対応

ログメッセージはJSON、CEF、またはplainTextとして生成できます。JSONは検索とインデックスワークフローに、CEFは既製のSIEMパーサーを可能にし、plainTextは一般的なsyslog互換性をカバーします。

プロファイルレベルのソースフィルタリングが不要なログノイズを削減

各トランスポートプロファイルはどのログソースを転送するかを選択します。管理者のアクション、ヘルスチェックイベント、通知、GTMイベント、セキュリティイベントはそれぞれ必要に応じて別々のプロファイルで管理できます。

DB駆動の同期がリスタートなしでプロファイル変更を適用

ログトランスポートプロファイルは管理データから同期されます。プロファイルが追加、変更、または削除されると、完全なシステムを再起動することなく関連するネームスペースプロセスが更新されます。

機能

SIEMログストリーミングはTR7プラットフォームイベントを標準syslogトランスポートとSIEM対応メッセージ形式を通じて外部ログインフラへ運びます。

UDPトランスポートが高速でシンプルなsyslogストリームを提供

UDPトランスポートは従来のsyslogトポロジーと互換性のある直接的な出力モデルです。デフォルトのsyslogポート514を使用でき、プロファイルレベルで異なるポートを選択できます。信頼性の高いLAN環境で低オーバーヘッドのログ転送を実現します。UDPは設計上配信保証を提供しないため、重要な環境ではTCPが望ましいです。

TCPトランスポートが接続型でより制御されたログストリームを提供

TCPトランスポートはSIEMターゲットへの接続型ログストリームを望むチームが使用します。ターゲットホスト、ポート、タイムアウトはプロファイルで定義できます。典型的なTCPタイムアウトは10000 msです。TCPはUDPより制御された配信を提供しますが、ターゲットシステムが低速な場合は接続動作を監視する必要があります。

RFC3164サポートがレガシーsyslogレシーバーとの互換性を確保

RFC3164は従来のBSD syslog形式を使用するシステムとの統合でサポートされています。syslogAppNameプロファイルフィールドはメッセージプレフィックスとして使用でき、デフォルト値はTR7_syslog_clientにできます。古いSIEMまたはsyslogレシーバーに対して幅広い互換性を提供します。この形式はモダンな構造化データを必要としない環境で実用的な選択です。

RFC5424サポートがモダンなsyslogアーキテクチャで動作

RFC5424はより現代的なsyslog標準で、構造化データフィールドをサポートします。TR7ログプロファイルはこの標準を選択して、より整理されたマシンで処理可能なsyslogメッセージを生成できます。SIEM側でのフィールド解析とイベント分類がより一貫性のあるものになります。JSONまたはCEFペイロードと組み合わせると、強力な統合モデルを形成します。

JSONメッセージ形式が検索とインデックスシステムに適している

JSON形式ではタイムスタンプ、ソース、severity、メッセージ、metaなどのフィールドが簡単にマシンで処理できます。ログ分析、インデックス、クエリシステムのフィールドベースの検索が簡略化されます。SOCチームはイベントを生のテキスト行としてではなく、解析されたフィールドとして調べることができます。この形式はモダンなログプラットフォームとの統合で優先されます。

CEF形式が既製のSIEMパーサーとの高速統合を可能にする

CEFメッセージはCEF:0|TR7|LogTransport|1.0|...|の構造で生成されます。severity値は0〜10のスケールにマッピングされます。info 3、warning 5、error 7、critical 10などのレベルが使用されます。キーバリューフィールドはSIEM側の既製パーサーで処理できます。この形式はイベント分類と相関のための標準CEFストリームを望むSOCチームに適しています。

plainText形式が基本的なsyslog互換性が必要な環境で使用される

plainText形式はISOタイムスタンプ、severity、ソース、メッセージフィールドを人間が読める形式で生成します。複雑なパーサーのない環境や一時的な統合のために素早く導入できます。人間の可読性が高く、JSONやCEFが不要なシンプルなログターゲットに適しています。

4つの主要ログソースがプロファイルごとに選択可能

userLogsは管理者のアクション、hcLogsはヘルスチェックイベント、notificationLogsはシステム通知、gtmLogsはGTMイベントをカバーします。各プロファイルは必要なソースのみを送信するよう定義できるため、関連するログクラスのみがSIEMに到達します。WAAPセキュリティイベントも同一のトランスポートパイプラインを通じて組織のログインフラへ転送できます。

ヘルスチェックverboseコントロールがログ量を管理

ヘルスチェックログは高負荷システムで大量を生成する可能性があります。hcLogsVerboseがfalseの場合、stateChange条件を持つヘルスチェックイベントのみが送信されます。このアプローチはSIEMノイズを削減し、意味のあるサービス状態の遷移のみを浮かび上がらせます。verboseモードはトラブルシューティング期間中に一時的に有効にできます。

複数のプロファイルが同じログを異なる形式で異なるターゲットへ送信できる

同一ネームスペース内で複数のトランスポートプロファイルをアクティブにできます。1つのプロファイルがSOC SIEMへCEF形式で送信する一方、別のプロファイルがログ分析システムへJSON形式で転送できます。この構造は同じログストリームを異なるチームのニーズに合わせてファンアウトします。マルチターゲットシナリオは独立した外部ログルーターを導入する必要を削減します。

運用の深み

SIEMログストリーミングはフォーマッティング、プロファイル同期、検証、エラー分離、メッセージサニタイゼーションの動作と合わせて運用されます。

01

CEFフォーマッティングモデル

CEFのvendorとproductフィールドはTR7 / LogTransport / 1.0として生成されます。Severityは0〜10のスケールにマッピングされます。メッセージフィールドはSIEMパーサーが読み取れるキーバリューペアとして構造化されます。

02

アプリ名設定

syslogAppNameプロファイルフィールドはsyslogメッセージでのアプリケーション名として使用されます。デフォルト値はTR7_syslog_clientにできます。このフィールドはSIEM側でのソース識別とフィルタリングに重要です。

03

プロファイル同期

プロファイル変更はネームスペースごとにグループ化され、関連するトランスポートプロセスに適用されます。古いプロファイルが削除された場合、関連するプロセスは終了されます。新しいまたは変更されたプロファイルはリスタートなしでアクティブなログストリームに取り込まれます。

04

プロファイル検証

transportType値がsyslogでない場合、プロファイルは現在のsyslogトランスポートパイプラインに受け入れられません。この構造は将来的に異なるトランスポートタイプへの拡張の余地を残します。現在のサポートはUDPとTCP syslogに限定されます。

05

エラー分離

syslogクライアントの接続とエラーイベントは内部ロガーを通じて記録されます。ターゲットSIEMの接続エラーはメインの管理プロセスをダウンさせません。オペレーターはログとプロファイル状態を通じて接続の問題を監視できます。

06

HTMLサニタイゼーション

UIソースのメッセージにHTMLコンテンツが含まれる場合、syslogへ送信される前にテキストコンテンツが抽出されます。これはCEF形式でのフィールドの安全性とパーサーの一貫性に特に重要です。ログメッセージはよりクリーンで安全な形式でSIEMへ配信されます。

利用シナリオ

WAAPイベントをCEF形式でSOCシステムへ転送

セキュリティチームはWAAPイベントをCEF形式でSIEMへ送信できます。ルール、severity、ソース、metaフィールドはSIEMパーサーで処理されます。SOCチームはTR7インターフェースに入ることなく自社の相関画面でイベントを確認します。

JSONログストリームで検索と分析プラットフォームを供給

運用チームはJSON形式を選択してログをフィールドインデックス化された形式で外部ログプラットフォームへ転送できます。タイムスタンプ、ソース、severity、metaフィールドがクエリ可能になります。エラー分析とトレンド抽出が簡略化されます。

マルチテナント環境でのネームスペースレベルのSIEM分離

マネージドサービスプロバイダーは各テナントに対して独立したネームスペースと独立したログトランスポートプロファイルを定義できます。各テナントのログは自社のSIEMターゲットへ転送されます。テナントデータが同一ログストリームで混在することを防ぎます。

コンプライアンスのための管理者とシステムイベントのエクスポート

コンプライアンスチームはuserLogs、notificationLogs、ヘルスチェックstate-changeイベントを中央SIEMへミラーリングできます。ローカルログが削除またはローテーションされても、重要なイベントは外部システムに保持されます。監査時に管理者のアクションとシステムイベントを遡って調査できます。

参照元

この機能を扱う記事、分析、ガイド。

2

よくある質問

トランスポートプロファイルにはどのログソースを含めることができますか?
各プロファイルは4つの利用可能なソースの任意の組み合わせを含めることができます。userLogs(管理者のアクション)、hcLogs(ヘルスチェックイベント)、notificationLogs(システム通知)、gtmLogs(GTMイベント)。WAAPセキュリティイベントも同一のトランスポートパイプラインを通じて転送されます。プロファイルごとのソース選択により、関連するイベントクラスのみがSIEMに到達します。
CEFとJSONメッセージ形式の違いは何ですか?
CEFメッセージはCEF:0|TR7|LogTransport|1.0|...の構造にキーバリューフィールドと0〜10のseverityスケールで生成され、多くのSIEMプラットフォームの既製パーサーと互換性があります。JSON形式はタイムスタンプ、ソース、severity、メッセージ、metaフィールドで構造化された出力を生成し、ログ分析、インデックス、クエリシステムに適しています。両方の形式は同じsyslogトランスポートで転送されます。
同一ネームスペースで複数のプロファイルを同時に実行できますか?
はい。同一ネームスペース内で複数のトランスポートプロファイルを同時にアクティブにできます。1つのプロファイルがSOC SIEMへCEFで転送する一方、別のプロファイルがログ分析プラットフォームへJSONを送信できます。これにより同じストリームを複数のターゲットへファンアウトするための外部ログルーターの必要性が排除されます。
ヘルスチェックのログ量はどのように管理しますか?
hcLogsVerboseをfalseに設定すると、stateChange条件がtrueのヘルスチェックイベントのみが転送されます。これにより定期的なポーリング結果がフィルタリングされ、意味のあるサービス状態の遷移のみがSIEMに浮かび上がります。verboseモードはトラブルシューティング中に一時的に有効にできます。
TCPトランスポートはいつUDPより優先されますか?
UDPは低オーバーヘッドが重要で、時折のパケット損失が許容できる信頼性の高いLAN環境に適しています。TCPは接続型ストリームを提供し、より制御された配信を必要とする環境で優先されます。なお、TLSラップされたトランスポートはロードマップにありますが、現在の機能ではありません。
プロファイルの変更はダウンタイムなしにどのように適用されますか?
ログトランスポートプロファイルはDB駆動の同期メカニズムを通じて管理データから同期されます。プロファイルが追加、更新、または削除されると、完全なシステムを再起動することなく関連するネームスペースプロセスが更新されます。削除されたプロファイルは関連するプロセスをクリーンに終了させます。新しいプロファイルはすぐにオンラインになります。

すべてのプラットフォームイベントをSIEMに届ける

ネームスペーススコープのプロファイル、JSON/CEF/plainText形式、ソースレベルのフィルタリング — お客様自身の環境でライブセットアップをご案内します。