メモ書き程度で
linuxならrsyslogなりでsyslogサーバできるんだけども、
今回、DSAが動いてるwindowsでローカルに検知イベントを飛ばせないかなと思い聞いて回ったら、文献見つけたのでそれ参考にDSのログを吐き出してみた。
参考文献:https://cloudpack.media/21537
PowerShellでsyslogサーバ
大まかなやり方:
①参考文献記載のPowerShell動かす。
②DS側でイベントの転送設定を行う。
→送信元IDは、識別できるものを入れるといいかと。
→サーバ名は、ホスト名とかIPを入れる。
→イベント形式 common event format
→Agentによるログ転送方法:はsyslogサーバに直接
細かい設定は、FAQ見て。
https://help.deepsecurity.trendmicro.com/ja-jp/siem-syslog-forwarding-secure.html
③イベント転送設定 (Agent/Applianceから)で設定した機能にて検知テストなりする。
④syslogサーバ側でイベントが書き込まれてるかチェック。
書き込まれてればOK。