Sumologic への警告のエクスポート

軽量ログ収集エージェントは、多くの場合、さまざまなプラットフォームのアプリケーションログやメトリックを収集するために使用されます。しかし、場合によっては、HTTP Web フックエンドポイントを介してデータを取り込む方が簡単なこともあります。ここにある導入例では、Sophos Linux Sensor (SLS) と Sumo Logic での方法について説明します。

Sumo Logic の Configure a Hosted Collector and Source ガイドに従って、新しい HTTP コレクタを設定します。コレクタセットアップウィザードを使用している場合は、デフォルト値を指定するだけです。完了後すぐに、インデックスの準備ができたことを通知するメールを Sumo Logic から受信するはずです。必ずコレクションエンドポイントの URL をコピーするようにしてください。HTTP コレクタにアクセスしたり、それを再生成したりする必要がある場合は、随時、Sumo Logic コンソールのサイドバーで「Manage Data > Collection」をクリックし、作成した HTTP コレクタを見つけます。これで、警告の追加を開始する準備ができました。

SLS を設定して、その警告 JSON を、Sumo Logic がホストする HTTP エンドポイントに送信します。データが受信されると、インデックスが作成され、ユーザー環境で使用できるようになります。SLS 警告をテストするためのポリシーがない場合は、次の設定をコピーして、/etc/sophos/runtimedetections-rules.yaml に貼り付けます。

alert_output:
  outputs:
    -   type: webhook
      enabled: true
      url: $SUMO_LOGIC_URL

Wget Program Blacklist:
  policy: program
  enabled: true
  alertMessage: Unauthorized Program Execution
  priority: High
  rules:
  -   match programName = "*/wget"
  -   default ignore
  comments: Alert on usage of the wget command

url: https://collection.us2.sumologic.com/receiver/v1/http/Za41235c=

SLS を再起動し、マシンで wget を実行して警告を生成します。Unauthorized Program Execution に関する警告が表示されるはずです。