McAfee Web Gateway アプライアンスには、 QRadarで取得するためにイベント・ログ・ファイルを一時ファイル・サーバーに転送するオプションが用意されています。
手順
- サポート Web サイトから以下のファイルをダウンロードします。
- ファイルを解凍します。
これにより、McAfee Web Gateway アプライアンスを構成するために必要なアクセス・ハンドラー・ファイルが使用可能になります。
access_log_file_loghandler.xml
- McAfee Web Gateway コンソールにログインします。
- メニュー・ツールバーを使用して、 「ポリシー」をクリックします。
注: McAfee Web Gateway アプライアンスに既存のアクセス・ログ構成がある場合は、 access_log_file_loghandler.xmlを追加する前に、 ルール・セット・ライブラリー から既存のアクセス・ログを削除する必要があります。
- 「ログ・ハンドラー」をクリックします。
- メニュー・ツリーを使用して、 「デフォルト」を選択します。
- 「追加」 リストから、 「ライブラリーからのルール・セット」を選択します。
- 「ファイルからインポート」 ボタンをクリックします。
- ダウンロードした access_log_file_loghandler.xml ファイルが含まれているディレクトリーにナビゲートし、インポートするファイルとして syslog_loghandler.xml を選択します。
access_log_file_loghandler.xml のルール・セットのインポート時に、現在の構成にはアクセス・ログ構成が既に存在していることを示す競合が発生し、競合解決策が表示されることがあります。
- McAfee Web Gateway アプライアンスがアクセス・ログ構成が既に存在することを検出した場合は、ルール・セットの競合を解決するために表示される 「競合解決策」の 「名前の変更」 オプションを選択します。
競合の解決について詳しくは、McAfee Web Gateway のベンダー資料 を参照してください。
自動ローテーションで access.log ファイルが中間サーバーにプッシュされるように構成する必要があります。 ファイルを中間サーバーにプッシュする条件は、access.log ファイルの時刻またはサイズのいずれでもかまいません。 自動ローテーションについて詳しくは、McAfee Web Gateway のベンダー資料 を参照してください。
注: 生成される access.log ファイルのサイズのため、 McAfee Web Gate アプライアンスでローテーション後にオプションの GZIP ファイルを選択することをお勧めします。
- 「OK」をクリックします。
- 「変更の保存」をクリックします。
注: デフォルトでは、 McAfee Web Gateway は、アクセス・ログを /opt/mwg/log/user-defined-logs/access.log/ ディレクトリーに書き込むように構成されています。
次に実行するタスク
これで、 McAfee Web Gateway から access.log ファイルを受信するように QRadar を構成する準備ができました。 詳しくは、 ログ・ファイル・プロトコルを使用したデータのプルを参照してください。