Sumologic への警告のエクスポート
軽量ログ収集エージェントは、多くの場合、さまざまなプラットフォームのアプリケーションログやメトリックを収集するために使用されます。しかし、場合によっては、HTTP Web フックエンドポイントを介してデータを取り込む方が簡単なこともあります。ここにある導入例では、Sophos Linux Sensor (SLS) と Sumo Logic での方法について説明します。
Sumo Logic の Configure a Hosted Collector and Source ガイドに従って、新しい HTTP コレクタを設定します。コレクタセットアップウィザードを使用している場合は、デフォルト値を指定するだけです。完了後すぐに、インデックスの準備ができたことを通知するメールを Sumo Logic から受信するはずです。必ずコレクションエンドポイントの URL をコピーするようにしてください。HTTP コレクタにアクセスしたり、それを再生成したりする必要がある場合は、随時、Sumo Logic コンソールのサイドバーで「Manage Data > Collection」をクリックし、作成した HTTP コレクタを見つけます。これで、警告の追加を開始する準備ができました。
SLS を設定して、その警告 JSON を、Sumo Logic がホストする HTTP エンドポイントに送信します。データが受信されると、インデックスが作成され、ユーザー環境で使用できるようになります。SLS 警告をテストするためのポリシーがない場合は、次の設定をコピーして、/etc/sophos/runtimedetections-rules.yaml
に貼り付けます。
alert_output:
outputs:
- type: webhook
enabled: true
url: $SUMO_LOGIC_URL
Wget Program Blacklist:
policy: program
enabled: true
alertMessage: Unauthorized Program Execution
priority: High
rules:
- match programName = "*/wget"
- default ignore
comments: Alert on usage of the wget command
注
$SUMO_LOGIC_URL
は、コレクションエンドポイントの URL で置き換える必要があります。たとえば、Web フック URL 設定は次のようになります。
url: https://collection.us2.sumologic.com/receiver/v1/http/Za41235c=
SLS を再起動し、マシンで wget
を実行して警告を生成します。Unauthorized Program Execution
に関する警告が表示されるはずです。