Syslogの統合

Splashtop GatewayのWeb管理コンソールからのアクセス履歴に加えて、 Splashtop履歴イベントを
ローカル環境でSyslogをサポートするSyslogサーバーまたは SIEM ツールに送信することもできます。Splashtopイベント履歴の監査には、Web管理コンソールからアクセスすることも、CSV または Syslog
コレクターとして同時にダウンロードすることもできます。

 

1. 設定

1.Splashtop GatewayをSyslog ソースとして設定するには、チームオーナーとしてWeb管理コンソールに
ログインし、「管理」「チームの設定」「Syslog」に移動します。

2. 最大 2 台のSyslogサーバーにSyslogメッセージを送信するようにGatewayを設定できます。

3.「追加」をクリックして、ターゲットSyslog サーバーを設定します。

4. Syslogの設定

 

名前 Splashtop GatewayのSyslogホスト名です。
Syslogサーバのアドレス 履歴メッセージを受信するsyslogサーバーのホスト名、または
IP アドレスを入力します。
ポート UDP経由のSyslogは、初期値でポート514を使用します。
初期値は、変更できます。
Syslogプロトコル UDPまたはTCPをサポートします。
メッセージの形式 RFC5424またはRFC3164(BSD)をサポートします。
Facility local0からlocal7まで適切なファシリティを選択してください。
Severity 適切なSyslogの重要度を選択します。
状態 【有効】にするとSplashtop Gatewayは永続的なSyslogメッセージをSyslogサーバに送信します。
テストメッセージ

Syslogサーバにメッセージを送信して、上記の設定をテストします。

 

 

2. Syslogメッセージの形式

ヘッダー 

日付/時刻 Syslogイベント時間
PRI Local0.Notice
ホスト名 IP/FQDN
アプリ名 onpremise.exe   
PROCID プロセスID
MSGID SOP

 

メッセージペイロード 

パラメータ 説明

Timestamps

ISO 8601 timestamp format

イベントがトリガーされた日時

team_id

Integer

SplashtopチームID

event_id

String

特定のイベントがトリガーされました。

account

String

特定のイベントを開始したユーザーアカウント

source_address

String

特定のイベントの発信元IPアドレス

source_agent

String

特定のイベントの配信元クライアント

source_version

String

特定のイベントの配信元クライアントのバージョン

source_os

String

イベント内の元のオペレーティングシステム

source_name

String

特定のイベントの配信元クライアント名

target_address

String

イベント内のターゲットIPアドレス

target_version

String

イベント内のターゲットエージェントのバージョン

target_os

String

イベントのターゲットエージェント
プラットフォーム

target_agent

String

イベントのターゲットデバイスの種類

target_name

String

イベント内のターゲットデバイス名

target_account

String

イベントのターゲットユーザーアカウント

category

String

Splashtopイベントカテゴリ

kind

String

特定のカテゴリに属するSplashtopイベントの種類

action

String

イベント内のイベント操作アクションの種類

result

String

イベントの成功または失敗

extra_result

String

イベントの詳細な失敗の原因

target

String

イベント内のターゲットオブジェクト

property

String

イベントの追加プロパティ

value

String

イベント内の追加の値

 

 

 

3. Syslogメッセージの例

以下は標準のRFC5424形式に従ったSplashtop syslogメッセージの例です。

 

例 1

05-13-2022 14:44:54 Local0.Notice 192.168.70.75 1 2022-05-13T14:44:54+05:00 Test-Vistro onpremise.exe 3292 SOP - timestamp=2022-05-13T09:44:54Z;team_id=1;event_id=team_file_transfer_enabled;account=john.doe@example.com;agent=browser;source_address=192.168.67.22;source_name=IE;source_version=110.0.1587;source_os=Windows;category=management;kind=team_mgmt;action=update;result=success;target=remote_support_setting;desc:file_transfer=enabled;

この例は、チーム設定からファイル転送機能を【有効】にするイベントが、特定のIPアドレスとデバイス情報を持つアカウントによって特定の時間に発生したことを示しています。

 

例 2

以下のsyslogメッセージは(1)権限のあるアカウントが以前にブラウザ認証を【有効】にした為
(2)Splashtop Gateway Web管理コンソールへのログインが失敗したことによって生成された
(3)その後、権限のあるアカウントがWeb管理コンソールからこのログイン要求を認証した後
(4)再ログインが成功した
状況を示しています。

 

1. 08-22-2022 09:12:35 Local0.Notice 192.168.70.75 1 2022-08-22T09:12:35+05:00 Test-Vistro onpremise.exe 3292 SOP - timestamp=2022-05-13T04:12:35Z;team_id=1;event_id=team_browser_device_auth_enabled;account=john.doe@example.com;agent=browser;source_address=192.168.67.22;source_name=IE;source_version=111.0.1661;source_os=Windows;category=management;kind=team_mgmt;action=update;result=success;target=general_setting;desc:browser_device_auth=enabled;

2. 08-22-2022 09:14:02 Local0.Notice 192.168.70.75 1 2022-08-22T09:14:02+05:00 Test-Vistro onpremise.exe 3292 SOP - timestamp=2022-05-13T04:12:35Z;team_id=1;event_id=login_failure;account=mary.doe@example.com;agent=browser;source_address=192.168.89.176;source_name=Chrome;source_version=110.0.0;source_os=Mac;target_account=mary.doe@example.com;category=auth;kind=user_mgmt;action=login;result=fail;extra_result=need_device_auth;target=mary.doe@example.com;desc:=;

3. 08-22-2022 10:00:37 Local0.Notice 192.168.70.75 1 2022-08-22T10:00:37+05:00 Test-Vistro onpremise.exe 3292 SOP - timestamp=2022-05-13T05:00:37Z;team_id=1;event_id=client_authenticated;account=john.doe@example.com;agent=browser;source_address=192.168.67.22;source_name=IE;source_version=111.0.1661;source_os=Windows;target_addr=192.168.89.176;target_agent=browser;target_version=110.0.0;target_os=Mac;target_name=Chrome;target_account=mary.doe@example.com;category=endpoint;kind=browser;action=authenticate;result=success;desc:method=webconsole;

4. 08-22-2022 10:08:22 Local0.Notice 192.168.70.75 1 2022-08-22T10:08:22+05:00 Test-Vistro onpremise.exe 3292 SOP - timestamp=2022-05-13T05:08:22Z;team_id=1;event_id=login;account=mary.doe@example.com;agent=browser;source_address=192.168.89.176;source_name=Chrome;source_version=110.0.0;source_os=Mac;target_account=mary.doe@example.com;category=auth;kind=user_mgmt;action=login;result=success;extra_result=;target=mary.doe@example.com;desc:=;

                            

 

 

0人中0人がこの記事が役に立ったと言っています