Filebeatログとは
Filebeatログは、Filebeatがサーバーやアプリケーションのログファイルを継続的に収集し、SIEMやログ管理基盤へ転送するデータです。軽量で安定した動作により、各種ログをリアルタイムに集約・可視化し、監視やセキュリティ分析を支えます。本ブログでは、Filebeatログをどのように取り込むかを見ていきます。
パターン①
Cortex XSIAM に Filebeat ログを取り込む最もシンプルな方法の一つが、Custom Filebeat コレクターをデータソースとして追加することです。この方法では Broker VM や XDR Collector を展開する必要がなく、Filebeat 側の設定や運用を完全にコントロールできます。
パターン②
基本的な構成はパターン①と同じですが、すべての Filebeat ソースにインターネット通信を許可できない場合があります。その場合、Cortex XSIAMへの通信をプロキシ経由にする必要があります。この構成では、プロキシとして動作するBrokerVMの「Local Agent Settings」を展開し、ログを転送する方法が有効です。
パターン③
パターン3では、Filebeat ソースと Cortex XSIAM の間に XDR Collector を配置します。この方法では、すべての Filebeat ソースを Cortex XSIAM のユーザーインターフェースから直接設定・管理することができます。
パターン④
これまでに見てきたとおり、XDR Collector を使用する場合でも、プロキシ経由でのログ転送が可能です。多くのケースでは、すでに Syslog や NetFlow など他のデータソースのログ収集のためにネットワーク内に Broker VM が導入されていることがありますが、プロキシとして利用することは必須ではありません。既存の環境で利用している他のプロキシを使用することも可能です。
最後に
本ブログでは、Cortex XSIAM におけるログ収集の代表的なパターンをご紹介しました。各 Cortex XSIAM コンポーネントにはそれぞれ特長やメリット・デメリットがありますので、より詳しく知りたい場合や、自社環境に最適な構成についてご相談されたい場合は、ぜひお気軽にお問い合わせください。