 |
HP ArcSight FlexConnectorとは、簡単な設定ファイルを記述することにより、様々な製品のログをHP ArcSightのログ形式(CEF形式)に変換し、HP ArcSightのコアエンジンサーバーへ送る役割を担うコンポーネントです。
CEFとはCommon Event Format の略称で、HP ArcSightが提唱している標準ログフォーマット形式です。この形式に従うことで、HP ArcSight上でより緻密なログ解析が可能になります。
HP IceWall SSO用のFlexConnectorは、下図のように、HP IceWall SSOのアクセスログ(dfw.log,cert.logなど)をリアルタイムにCEF形式に変換し、HP ArcSight LoggerなどのHP ArcSightサーバーへ送ります。

今回、HP IceWall SSOのログファイルから得られる最も基本的な情報をHP ArcSigntに取り込む事ができるFlexConnectorをサンプルとして作成しました。 ≫サンプルのダウンロードはこちら
- リバースプロキシ アクセスログ
dfw.log用設定ファイル:dfw.log.sdkrfilereader.properties
- 認証モジュール アクセスログ
cert.log用設定ファイル:cert.log.sdkrfilereader.properties
- MCRPモジュール アクセスログ
iwp.log用設定ファイル:iwp.log.sdkrfilereader.properties
- フェデレーションモジュール アクセスログ
iwgapps.log用設定ファイル:iwgapps.log.sdkrfilereader.properties
iwsalesf.log用設定ファイル:iwsalesf.log.sdkrfilereader.properties
iwsts.log用設定ファイル:iwsts.log.sdkrfilereader.properties
実際のシステム上では個別の要件に合わせてよりカスタマイズが必要ですが、基本的な動作はこのサンプルで実現可能です。
dfw.log
HP IceWall SSOのログ要素
|
CEF形式のログ要素 |
日時 |
deviceReceiptTime |
時間1 |
deviceCustomFloatingPoint1 |
時間2 |
deviceCustomFloatingPoint2 |
時間3 |
deviceCustomFloatingPoint3 |
ユーザーID |
destinationUserName |
リクエストメソッド |
requestMethod |
リクエストURL |
requestUrl |
コンテンツサイズ |
bytesOut |
IPアドレス |
sourceAddress |
バックエンドWebサーバーステータス |
deviceEventClassId |
トランザクションID |
externalId |
cert.log
HP IceWall SSOのログ要素
|
CEF形式のログ要素 |
日時 |
deviceReceiptTime |
ログメッセージ ※ |
name |
ユーザーID |
destinationUserName |
リクエストURL |
requestUrl |
IPアドレス |
sourceAddress |
ログイン時間 |
deviceCustomString1 |
トランザクションID |
externalId |
※以下のいずれか。
Request URL Denied.
Request Group Denied.
Unknown UserID.
Password Error.
Access Control Request. (Client Certificate)
Access Control Request. (Uid/Password)
Access.
User Login Request.
User Login.
User Logout.
Login Timeout.
iwp.log
HP IceWall SSOのログ要素
|
CEF形式のログ要素 |
日時 |
deviceReceiptTime |
時間1 |
deviceCustomFloatingPoint1 |
時間2 |
deviceCustomFloatingPoint2 |
時間3 |
deviceCustomFloatingPoint3 |
ユーザーID |
destinationUserName |
リクエストメソッド |
requestMethod |
リクエストURL |
requestUrl |
コンテンツサイズ |
bytesOut |
IPアドレス |
sourceAddress |
バックエンドWebサーバーステータス |
deviceEventClassId |
トランザクションID |
externalId |
iwgapps.log
HP IceWall SSOのログ要素
|
CEF形式のログ要素 |
日時 |
deviceReceiptTime |
リクエスト受信からレスポンス返信までの時間 |
deviceCustomNumber1 |
IceWallで認証したユーザーID |
destinationUserName |
Google AppsのID |
sourceUserName |
トランザクションID |
externalId |
iwsalesf.log
HP IceWall SSOのログ要素
|
CEF形式のログ要素 |
日時 |
deviceReceiptTime |
リクエスト受信からレスポンス返信までの時間 |
deviceCustomNumber1 |
IceWallで認証したユーザーID |
destinationUserName |
SalesforceのID |
sourceUserName |
トランザクションID |
externalId |
iwsts.log
HP IceWall SSOのログ要素
|
CEF形式のログ要素 |
日時 |
deviceReceiptTime |
リクエスト受信からレスポンス返信までの時間 |
deviceCustomNumber1 |
IceWallで認証したユーザーID |
destinationUserName |
トランザクションID |
externalId |
|