Splashtop GatewayのWeb管理コンソールからのアクセス履歴に加えて、 Splashtop履歴イベントを
ローカル環境でSyslogをサポートするSyslogサーバーまたは SIEM ツールに送信することもできます。Splashtopイベント履歴の監査には、Web管理コンソールからアクセスすることも、CSV または Syslog
コレクターとして同時にダウンロードすることもできます。
1. 設定
1.Splashtop GatewayをSyslog ソースとして設定するには、チームオーナーとしてWeb管理コンソールに
ログインし、「管理」⇒ 「チームの設定」⇒「Syslog」に移動します。
2. 最大 2 台のSyslogサーバーにSyslogメッセージを送信するようにGatewayを設定できます。
3.「追加」をクリックして、ターゲットSyslog サーバーを設定します。
4. Syslogの設定
| 名前 | Splashtop GatewayのSyslogホスト名です。 |
| Syslogサーバのアドレス | 履歴メッセージを受信するsyslogサーバーのホスト名、または IP アドレスを入力します。 |
| ポート | UDP経由のSyslogは、初期値でポート514を使用します。 初期値は、変更できます。 |
| Syslogプロトコル | UDPまたはTCPをサポートします。 |
| メッセージの形式 | RFC5424またはRFC3164(BSD)をサポートします。 |
| Facility | local0からlocal7まで適切なファシリティを選択してください。 |
| Severity | 適切なSyslogの重要度を選択します。 |
| 状態 | 【有効】にするとSplashtop Gatewayは永続的なSyslogメッセージをSyslogサーバに送信します。 |
| テストメッセージ |
Syslogサーバにメッセージを送信して、上記の設定をテストします。 |
2. Syslogメッセージの形式
ヘッダー
| 日付/時刻 | Syslogイベント時間 |
| PRI | Local0.Notice |
| ホスト名 | IP/FQDN |
| アプリ名 | onpremise.exe |
| PROCID | プロセスID |
| MSGID | SOP |
メッセージペイロード
| パラメータ | 値 | 説明 |
|
Timestamps |
ISO 8601 timestamp format |
イベントがトリガーされた日時 |
|
team_id |
Integer |
SplashtopチームID |
|
event |
String |
特定のイベントがトリガーされました。 |
|
account |
String |
特定のイベントを開始したユーザーアカウント |
|
source_address |
String |
特定のイベントの発信元IPアドレス |
|
source_agent |
String |
特定のイベントの配信元クライアント |
|
source_version |
String |
特定のイベントの配信元クライアントのバージョン |
|
source_os |
String |
イベント内の元のオペレーティングシステム |
|
source_name |
String |
特定のイベントの配信元クライアント名 |
|
target_address |
String |
イベント内のターゲットIPアドレス |
|
target_version |
String |
イベント内のターゲットエージェントのバージョン |
|
target_os |
String |
イベントのターゲットエージェント |
|
target_agent |
String |
イベントのターゲットデバイスの種類 |
|
target_name |
String |
イベント内のターゲットデバイス名 |
|
target_account |
String |
イベントのターゲットユーザーアカウント |
|
category |
String |
Splashtopイベントカテゴリ |
|
kind |
String |
特定のカテゴリに属するSplashtopイベントの種類 |
|
action |
String |
イベント内のイベント操作アクションの種類 |
|
result |
String |
イベントの成功または失敗 |
|
extra_result |
String |
イベントの詳細な失敗の原因 |
|
target |
String |
イベント内のターゲットオブジェクト |
|
property |
String |
イベントの追加プロパティ |
|
value |
String |
イベント内の追加の値 |
3. Syslogメッセージの例
以下は標準のRFC5424形式に従ったSplashtop syslogメッセージの例です。
例 1
05-13-2022 14:44:54 Local0.Notice 192.168.70.75 1 2022-05-13T14:44:54+05:00 Test-Vistro onpremise.exe 3292 SOP - timestamp=2022-05-13T09:44:54Z;team_id=1;event_id=team_file_transfer_enabled;account=john.doe@example.com;agent=browser;source_address=192.168.67.22;source_name=IE;source_version=110.0.1587;source_os=Windows;category=management;kind=team_mgmt;action=update;result=success;target=remote_support_setting;desc:file_transfer=enabled;
この例は、チーム設定からファイル転送機能を【有効】にするイベントが、特定のIPアドレスとデバイス情報を持つアカウントによって特定の時間に発生したことを示しています。
例 2
以下のsyslogメッセージは(1)権限のあるアカウントが以前にブラウザ認証を【有効】にした為
(2)Splashtop Gateway Web管理コンソールへのログインが失敗したことによって生成された
(3)その後、権限のあるアカウントがWeb管理コンソールからこのログイン要求を認証した後
(4)再ログインが成功した
状況を示しています。
1. 08-22-2022 09:12:35 Local0.Notice 192.168.70.75 1 2022-08-22T09:12:35+05:00 Test-Vistro onpremise.exe 3292 SOP - timestamp=2022-05-13T04:12:35Z;team_id=1;event_id=team_browser_device_auth_enabled;account=john.doe@example.com;agent=browser;source_address=192.168.67.22;source_name=IE;source_version=111.0.1661;source_os=Windows;category=management;kind=team_mgmt;action=update;result=success;target=general_setting;desc:browser_device_auth=enabled;
2. 08-22-2022 09:14:02 Local0.Notice 192.168.70.75 1 2022-08-22T09:14:02+05:00 Test-Vistro onpremise.exe 3292 SOP - timestamp=2022-05-13T04:12:35Z;team_id=1;event_id=login_failure;account=mary.doe@example.com;agent=browser;source_address=192.168.89.176;source_name=Chrome;source_version=110.0.0;source_os=Mac;target_account=mary.doe@example.com;category=auth;kind=user_mgmt;action=login;result=fail;extra_result=need_device_auth;target=mary.doe@example.com;desc:=;
3. 08-22-2022 10:00:37 Local0.Notice 192.168.70.75 1 2022-08-22T10:00:37+05:00 Test-Vistro onpremise.exe 3292 SOP - timestamp=2022-05-13T05:00:37Z;team_id=1;event_id=client_authenticated;account=john.doe@example.com;agent=browser;source_address=192.168.67.22;source_name=IE;source_version=111.0.1661;source_os=Windows;target_addr=192.168.89.176;target_agent=browser;target_version=110.0.0;target_os=Mac;target_name=Chrome;target_account=mary.doe@example.com;category=endpoint;kind=browser;action=authenticate;result=success;desc:method=webconsole;
4. 08-22-2022 10:08:22 Local0.Notice 192.168.70.75 1 2022-08-22T10:08:22+05:00 Test-Vistro onpremise.exe 3292 SOP - timestamp=2022-05-13T05:08:22Z;team_id=1;event_id=login;account=mary.doe@example.com;agent=browser;source_address=192.168.89.176;source_name=Chrome;source_version=110.0.0;source_os=Mac;target_account=mary.doe@example.com;category=auth;kind=user_mgmt;action=login;result=success;extra_result=;target=mary.doe@example.com;desc:=;