この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
クライアント アプリケーションを作成したら、ユーザはそれを eStreamer サーバに接続し、eStreamer サービスを開始して、データのやりとりを始めることができます。
(注) eStreamer サーバとは、eStreamer サービスが実行されている Management Center または管理対象デバイス(バージョン 4.9 以降)です。
eStreamer とクライアントのインタラクションを管理するには、次のタスクを実行します。
1. eStreamer サーバ上で eStreamer を有効にします。
eStreamer サーバへのアクセス許可、クライアントの追加、および認証された接続を確立するための認証クレデンシャルの生成の詳細については、「eStreamer サーバでの eStreamer の設定」を参照してください。
2. 必要に応じて、手動で eStreamer サービス(eStreamer)を実行します。サービスのステータスを停止、開始、および表示できます。また、コマンドライン オプションを使用して、クライアント/サーバ通信をデバッグできます。
詳細については、eStreamer サービスの管理を参照してください。
3. オプションとして、eStreamer 参照クライアントを使用して接続またはデータ ストリームをトラブルシューティングするには、クライアントの実行を予定しているコンピュータで参照クライアントを設定します。
eStreamer 参照クライアントの設定を参照してください。
eStreamer サーバとして使用する Management Center または管理対象デバイスが、クライアント アプリケーションへのイベントのストリームを開始する前に、クライアントにイベントを送信するように eStreamer サーバを設定し、クライアントに関する情報を指定して、通信を確立するときに使用する認証クレデンシャルを生成する必要があります。これらのタスクはすべて、Management Center または管理対象デバイスのユーザ インターフェイスから実行できます。
eStreamer サーバはどのタイプのイベントを要求するクライアント アプリケーションに送信できるかを制御できます。
管理対象デバイスまたは Management Center で使用可能なイベント タイプは、以下のとおりです。
次のものを含む Management Center で使用可能なイベントのタイプ:
スタック構成 3D9900 ペアのプライマリとセカンダリは、それらが別の管理対象デバイスであるかのように、Management Center に侵入イベントを報告することに注意してください。3D9900 スタックのプライマリで eStreamer クライアントとの通信を設定する場合は、セカンダリでもクライアントを設定する必要があります。クライアント設定は複製されません。同様に、クライアントを削除する場合は、両方で削除します。スタック構成で 3D9900 を管理する Management Center に eStreamer クライアントを設定する場合は、同じイベントが両方によって報告されても、両方の管理対象デバイスから受信するすべてのイベントは Management Center が報告することに注意してください。
高可用性の構成の Management Center で eStreamer クライアントを設定する場合は、
クライアントの設定は、プライマリの Management Center からセカンダリの Management Center に複製されません。
eStreamer によってキャプチャされるイベントのタイプを設定する方法:
手順 1 [システム(System)] > [ローカル(Local)] > [登録(Registration)] を選択します。
[eStreamer] ページには、[eStreamer イベント設定(eStreamer Event Configuration)] メニューが表示されます。
手順 3 eStreamer でキャプチャし、要求するクライアントに転送するイベントのタイプの横にあるチェックボックスを選択します。チェックボックスが現在オフにされている場合は、データはキャプチャされていないことに注意してください。チェックボックスをオフにしても、すでにキャプチャされたデータは削除されません。
Management Center または管理対象デバイスで、次のいずれかまたはすべてを選択できます。
Management Center で、次のいずれかまたはすべてを選択できます。
(注) これは、eStreamer サーバが送信できるイベントを制御することに注意してください。クライアント アプリケーションは、ユーザが受信する必要のあるイベントのタイプを明確に要求する必要があります。詳細については、要求フラグを参照してください。
設定が保存され、選択したイベントが、要求時に、eStreamer クライアントに転送されます。
eStreamer がクライアントにイベントを送信する前に、eStreamer サーバのピア データベースにクライアントを追加しておく必要があります。また、eStreamer サーバによって生成された認証証明書をクライアントにコピーする必要もあります。
手順 1 [ ロ ーカル(Local)] > [登録(Registration)] [ eStreamer ] > を選択し ます。
手順 2 [クライアントの作成(Create Client)] をクリックします。
[クライアントの作成(Create Client)] ページが表示されます。
手順 3 [ホスト名(Hostname)] フィールドに、eStreamer クライアントを実行しているホストのホスト名または IP アドレスを入力します。
(注) ホスト名を使用する場合は、ホスト入力サーバはホストを IP アドレスに解決できる必要があります。DNS 解決を設定していない場合、最初に設定するか、IP アドレスを使用する必要があります。
手順 4 証明書ファイルを暗号化するには、[パスワード(Password)] フィールドにパスワードを入力します。
eStreamer サーバはクライアント コンピュータから Management Center 上のポート 8302 へのアクセスを許可し、クライアント/サーバ認証時に使用する認証証明書を作成します。新しいクライアントが [eStreamer クライアント(eStreamer Client)] の下に表示された状態で、[eStreamer クライアント(eStreamer Client)] ページが再表示されます。
手順 6 証明書ファイルの横にあるダウンロード アイコン( )をクリックします。
手順 7 SSL 認証のためにクライアント コンピュータが使用するディレクトリに証明書ファイルを保存します。
これで、クライアントは Management Center に接続できるようになりました。
ヒント クライアントのアクセスを取り消すには、削除するホストの横にある削除アイコン()をクリックします。Management Center でホスト入力サービスを再開する必要はありません。アクセスはただちに取り消されます。
eStreamer サービスはユーザ インターフェイスから管理できます。ただし、サービスを開始/停止する場合は、コマンドラインも使用できます。以降のセクションで eStreamer のコマンド ライン オプションについて説明します。
eStreamer サービスは、サービスを開始、停止、リロード、および再開できる manage_estreamer.pl
スクリプトを使用して管理できます。
ヒント また、eStreamer の初期化スクリプトにコマンド ライン オプションを追加することもできます。詳細については、eStreamer サービスのオプションを参照してください。
次の表で、Management Center または管理対象デバイスで使用可能な manage_estreamer.pl
スクリプトのオプションについて説明します。
|
|
|
---|---|---|
eStreamer には、サービスをトラブルシューティングすることを可能にする多くのサービス オプションが含まれています。次の表に記載されているオプションは、eStreamer サービスとともに使用できます。
最初に eStreamer サービスを停止し、次に必要なオプションでサービスを実行し、最後にサービスを再開して、上記のオプションを使用します。たとえば、eStreamer の機能をデバッグするには、デバッグ モードでの eStreamer サービスの実行に記載されている手順に従うことができます。
デバッグ モードで eStreamer サービスを実行すると、サービスによって生成される各ステータス メッセージを端末画面に表示できます。デバッグを実行するには、次の手順を使用します。
手順 1 Management Center または管理対象デバイスに SSH を使用してログインします。
手順 2 manage_estreamer.pl
を使用して、オプション 2
を選択し、eStreamer サービスを停止します。
手順 3 ./usr/local/sf/bin/sfestreamer --nodaemon --debug
を使用して、デバッグ モードで eStreamer サービスを再開します。
手順 4 デバッグを終了したら、 manage_estreamer.pl
を使用し、オプション 4
を選択して通常モードでサービスを再開します。
eStreamer SDK とともに提供される 参照クライアント とは、eStreamer API の使用方法を示すために含まれているサンプル クライアント スクリプトおよび Perl モジュールのセットです。これらを実行して eStreamer の出力に習熟したり、これらを使用してカスタム設計クライアントのインストールの問題をデバッグしたりできます。
参照クライアントのセットアップの詳細については、以降の各項を参照してください。
eStreamer Perl 参照クライアントを使用するには、まず環境と要件に合うようにサンプル スクリプトを設定する必要があります。
eStreamer Perl 参照クライアントを含む eStreamer SDK.zip
パッケージは、 シスコ サポート サイト からダウンロードできます。 eStreamer SDK.zip
パッケージには次のファイルが含まれています。
この MIB ファイルは、SNMP トラップを設定するために snmp.pm
ファイルによって使用されます。
この Perl モジュールには、検出メッセージのレコード ブロックの定義が含まれています。
この Perl モジュールには、Perl クライアントが呼び出す関数が含まれています。
この Perl モジュールはクライアント証明書を解析し、クライアントが eStreamer サーバに接続できるようにします。
この Perl モジュールには、検出データのブロックの定義が含まれています。
この Perl スクリプトは、SSL 接続を介した侵入イベント要求をテストするために使用できます。
この Perl モジュールは、侵入イベントをカンマ区切り値の(CSV)の形式に出力します。
この Perl モジュールは、人間が解読可能な形式でイベントを出力します。
この Perl モジュールは、特定の SNMP サーバにイベントを送信します。
参照クライアントは、データ通信にセキュア ソケット レイヤ(SSL)を使用します。クライアントとして使用する予定のコンピュータに OpenSSL をインストールし、環境に合わせて適切に設定する必要があります。
(注) Linux のオペレーティング システムの初期インストールの場合は、このダウンロードの一部として libssl-dev
コンポーネントをインストールする必要があります。
手順 1 OpenSSL を http://openssl.org/source/ からダウンロードします。
手順 2 /Usr/local/src
にソースを展開します。
手順 3 Configure スクリプトを実行して、ソースを設定します。
手順 4 コンパイル対象のソースに Make を実行し、インストールします。
eStreamer Perl 参照クライアントを実行する前に、クライアント コンピュータに IO::Socket::SSL
Perl モジュールをインストールする必要があります。モジュールは手動でインストールすることも、 cpan
を使用してインストールすることもできます。
(注) クライアント コンピュータに Net::SSLeay
モジュールがインストールされていない場合は、そのモジュールも同様にインストールします。Net::SSLeay
は OpenSSL との通信に必要です。
eStreamer サーバへの SSL 接続をサポートするためには、OpenSSL もインストールし、設定する必要があります。詳細については、eStreamer 参照クライアントの通信の設定を参照してください。
Perl 参照クライアントの eStreamer SNMP モジュールを実行する前に、クライアント コンピュータのクライアント オペレーティング システムで使用可能な最新の net-snmp
Perl モジュールをインストールする必要があります。
eStreamer Perl 参照クライアントを含む EventStreamerSDK.zip
ファイルは、 シスコ サポート サイト からダウンロードできます。
クライアントを実行する予定の Linux オペレーティング システムを実行しているコンピュータで zip ファイルを展開します。
デフォルトで、参照クライアントで ssl_test -o
設定を使用する際は、次の表に示すようにデータを要求します。
|
|
|
|
---|---|---|---|
ホスト データ(ホスト データおよびマルチ ホスト データ メッセージの形式を参照してください。) |
|||
|
指定されたドメインに対するイベント情報のストリーム(ドメイン ストリーミング要求メッセージの形式を参照してください。) |
||
イベント データ(イベント ストリーム要求メッセージの形式、相関ポリシー レコード、相関ルール レコード、ディスカバリ イベントのメタデータ、イベント タイプ別ホスト ディスカバリ構造、およびホスト IOC セット メッセージを参照してください。) eStreamer は、ビット 2 がイベント ストリーム要求に設定されているため、タイプ 1 の侵入イベントを送信します。 |
|||
パケット データ(イベント データ メッセージの形式およびパケット レコード 4.8.0.2 以上を参照してください。) |
|||
侵入イベント データ(イベント データ メッセージの形式および侵入イベント レコード 6.0 以上を参照してください。) eStreamer は、ビット 2 がイベント ストリーム要求に設定されているため、タイプ 1 の侵入イベントを送信します。 |
|||
侵入イベント データ(イベント データ メッセージの形式および侵入イベント レコード 6.0 以上を参照してください。) eStreamer は、ビット 2 がイベント ストリーム要求に設定されているため、タイプ 1 の侵入イベントを送信します。 |
|||
侵入イベント データ(イベント データ メッセージの形式および侵入イベント レコード 6.0 以上を参照してください。) eStreamer は、ビット 2 がイベント ストリーム要求に設定されているため、タイプ 1 の侵入イベントを送信します。 |
SFStreamer.pm
Perl モジュールは、データを要求する際に、サンプル スクリプトで使用できる複数の要求フラグの変数を定義します。次の表では、イベント ストリーム要求メッセージで、各要求フラグを設定するために呼び出す要求フラグの変数を示しています。出力モジュールのいずれかを使用してさまざまなデータを要求する場合は、モジュールの $FLAG
の設定を編集できます。
要求フラグ、お客様が要求するデータ、各フラグに対応する製品バージョンの詳細については、要求フラグを参照してください。
|
|
|
---|---|---|
|
||
タイムスタンプを含む拡張されたイベント ヘッダーは、eStreamer サーバでの処理のためにイベントがアーカイブされたときに適用されます |
||
detection engine ID
フィールドを
sensor ID
としてラベル付けしています。
Perl 参照クライアントを使用する前に、Management Center または管理対象デバイスで、クライアントを実行するコンピュータ用に証明書を作成する必要があります。次に、証明書ファイルをクライアント コンピュータにダウンロードし、それを使用して証明書( server.crt
)および RSA キー ファイル( server.key
)を作成します。
手順 1 [運用(Operations)] > [設定(Configuration)] > [eStreamer] を選択します。
手順 2 [クライアントの作成(Create Client)] をクリックします。
[クライアントの作成(Create Client)] ページが表示されます。
手順 3 [ホスト名(Hostname)] フィールドに、eStreamer クライアントを実行しているホストのホスト名または IP アドレスを入力します。
(注) ホスト名を使用する場合は、ホスト入力サーバはホストを IP アドレスに解決できる必要があります。DNS 解決を設定していない場合、最初に設定するか、IP アドレスを使用する必要があります。
手順 4 証明書ファイルを暗号化するには、[パスワード(Password)] フィールドにパスワードを入力します。
eStreamer サーバはクライアント コンピュータから Management Center 上のポート 8302 へのアクセスを許可し、クライアント/サーバ認証時に使用する認証証明書を作成します。新しいクライアントが [eStreamer クライアント(eStreamer Client)] の下に表示された状態で、[eStreamer クライアント(eStreamer Client)] ページが再表示されます。
手順 6 証明書ファイルの横にあるダウンロード アイコン( )をクリックします。
手順 7 SSL 認証のためにクライアント コンピュータが使用するディレクトリに証明書ファイルを保存します。
これで、クライアントは Management Center に接続できるようになりました。
ヒント クライアントのアクセスを取り消すには、削除するホストの横にある削除アイコン()をクリックします。Management Center でホスト入力サービスを再開する必要はありません。アクセスはただちに取り消されます。
eStreamer Perl 参照クライアント スクリプトは、Linux カーネルを備えた 64 ビットのオペレーティング システムで使用するように設計されていますが、クライアント マシンがeStreamer Perl 参照クライアントの設定で定義されている前提条件を満たしていれば、任意の POSIX ベースの 64 ビットのオペレーティング システムでも機能します。
Ssl_test.pl
スクリプトを使用すると、eStreamer サーバおよび eStreamer クライアント間で接続をテストできます。 ssl_test.pl
スクリプトはどのレコード タイプも処理し、STDOUT または指定する出力プラグインにこれを出力します。出力オプションを使用せずに -h
オプションを使用すると、指定したホストのホスト データが端末にストリームされます。
(注) STDOUT へ raw パケット データを出力すると端末を干渉するため、出力プラグインへの方向付けをせずに、このスクリプトを使用してパケット データをストリームすることはできません。
次の構文と、 ssl_test.pl
スクリプトを使用して、標準的な出力にホスト データを送信します。
-h
HostIPAddresses
たとえば、10.10.0.4 の IP アドレスの eStreamer サーバへの接続を介した 10.0.0.0/8 サブネット上のホストのホスト データの受信をテストするには、次の構文を使用します。
ストリームされたパケット データを PCAP ファイルでキャプチャし、クライアントが受信するデータの構造を確認する場合に、参照クライアントを使用できます。 -o pcap
出力オプションを使用する際は、 -f
を使用してターゲット ファイルを指定する必要があることに注意してください。
ssl_test.pl
スクリプトを使用して、ストリームされたパケット データを PCAP ファイルでキャプチャするには、次の構文を使用します。
たとえば、10.10.0.4 の IP アドレスの eStreamer サーバからストリームされたイベントを使用して、 test.pcap
という名前の PCAP ファイルを作成するには、次の構文を使用します。
ストリームされた侵入イベント データを CSV ファイルでキャプチャし、クライアントが受信するデータの構造を確認する場合も、参照クライアントを使用できます。
次の構文を使用して streamer_csv.pl
スクリプトを実行します。
./ssl_test.pl
eStreamer ServerIPAddress -o csv -f
ResultingCSVFile
たとえば、10.10.0.4 の IP アドレスの eStreamer サーバからストリームされたイベントを使用して、 test.csv
という名前の CSV ファイルを作成するには、次の構文を使用します。
侵入イベント データを SNMP サーバにストリームする場合も、参照クライアントを使用できます。 -f
オプションを使用して、イベントを受信する SNMP トラップ サーバの名前を示します。この出力方法では、パスに snmptrapd
という名前のバイナリが必用であるため、UNIX のようなシステムでのみ機能することに注意してください。
SNMP サーバに侵入イベントを送信するには、次の構文を使用します。
たとえば、10.10.0.4 の IP アドレスの eStreamer サーバからストリームされたイベントを使用して、10.10.0.3 で SNMP サーバにイベントを送信するには、次の構文を使用します。
クライアントのローカル syslog サーバに侵入イベントをストリームする場合も、参照クライアントを使用できます。
Syslog にイベントを送信するには、次の構文を使用します。
たとえば、10.10.0.4 の IP アドレスの eStreamer サーバからストリームされたイベントを記録するには、次の構文を使用します。
プライマリ管理インターフェイスを介して IPv6 アドレスの Management Center に接続する場合も、参照クライアントを使用できます。クライアントのマシンには Socket6 および IO::Socket::INET6 Perl モジュールがインストールしてある必要があり、 -ipv6
オプションまたは短縮形式の -i
を使用します。
ssl_test.pl スクリプトを使用して IPv6 アドレスを指定するには、次の構文を使用します。
たとえば、IPv6 アドレス 2001:470:e09c:20:7c1e:5248:1bf7:2ea0
を使用して Management Center に接続するには、次の構文を使用します。