2.2.2. Graylog上にwindows_authentication.jsonをアップロードする
Graylogの「System」メニュー内の「Content Packs」をクリックします。
「Content Packs」の画面の「Upload」をクリックします。
アップロード画面が表示されるので、ダウンロードしたwindows_authentication.jsonを選択し、「Upload」をクリックします。
アップロードに成功した場合、「Content Packs」の画面に「Windows Authentication Failure Monitoring」が表示されます。(すぐ表示されない場合は、一度別画面を表示してから、再度「Content Packs」の画面を表示してください)
2.2.3. アップロードされたContent Packをインストールする
「Windows Authentication Failure Monitoring」の「Install」をクリックします。
インストール画面が表示されるので、必要に応じて以下の項目を入力します。
- Input bind address
- ログを受信するIPアドレスを指定します。デフォルトは「0.0.0.0」です
- Input port
- ログを受信するポート番号を指定します。デフォルトは「10514」です。
- Privileged account query
- アラート検知対象のうち、「管理者ユーザでイベントが発生」の対象の管理者ユーザを検索するクエリを指定します。「TargetUserName:管理者ユーザ名」の形式で指定します。複数ある場合は「 OR 」で繋げます。デフォルトは「TargetUserName:Administrator OR TargetUserName:admin」です。
入力後、画面下部の「Install」をクリックします。
インストールに成功した場合、「Windows Authentication Failure Monitoring」に「installed」と表示されます。
2.2.5. ログの振り分け設定(Streams)を確認・設定する
Graylogの「Streams」をクリックし、「Streams」の画面に「Windows - Authentication Failures」が表示されているかを確認します。
「Windows - Authentication Failures」の「More」→「Edit stream」をクリックします。
編集画面が表示されるので、「Index Set」に事前に設定しておいたIndex Setsを指定し、「Update stream」をクリックします。
この時点では、「Windows - Authentication Failures」はまだ動いておらず、振り分けがされない状態です。「Paused」と表示されている部分をクリックすると、このstreamが動き始めます。「Running」と表示されていれば問題ありません。
2.2.7. アラート通知設定(Alerts の Notifications)を確認・設定する
Graylogの「Alerts」をクリックし、「Alerts」画面内の「Notifications」をクリックします。
「Notifications」の画面に「Notify - Windows Auth Failure - Email」が表示されているかを確認します。
「Notify - Windows Auth Failure - Email」の「More」→「Edit」をクリックします。
編集画面が表示されるので、「Email recipient(s)」を実際にアラート通知メールを送信するメールアドレスに変更します。
変更後、画面下部の「Update notification」をクリックします。
