Micro Focus NetIQ Access Manager のログを収集する
以下でサポートされています。
Google SecOps
SIEM
このドキュメントでは、Bindplane を使用して Micro Focus NetIQ Access Manager ログを Google Security Operations に収集する方法について説明します。Micro Focus NetIQ Access Manager は、一元化された認証、認可、シングル サインオン(SSO)機能を提供することで、アプリケーションとデータを保護するように設計された ID とアクセス管理(IAM)ソリューションです。
始める前に
- Google Security Operations インスタンスがあることを確認します。
- Windows 2016 以降、または
systemdを使用する Linux ホストを使用していることを確認します。 - プロキシの背後で実行している場合は、ファイアウォール ポートが開いていることを確認します。
- NetIQ Access Manager への特権アクセス権があることを確認します。
Google SecOps の取り込み認証ファイルを取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [コレクション エージェント] に移動します。
- Ingestion Authentication File をダウンロードします。Bindplane をインストールするシステムにファイルを安全に保存します。
Google SecOps のお客様 ID を取得する
- Google SecOps コンソールにログインします。
- [SIEM 設定] > [プロファイル] に移動します。
- [組織の詳細情報] セクションから [お客様 ID] をコピーして保存します。
Bindplane エージェントをインストールする
Windows のインストール
- 管理者として コマンド プロンプトまたは PowerShell を開きます。
次のコマンドを実行します。
msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet
Linux のインストール
- root 権限または sudo 権限でターミナルを開きます。
次のコマンドを実行します。
sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh
その他のインストール リソース
- その他のインストール オプションについては、こちらのインストール ガイドをご覧ください。
Syslog を取り込んで Google SecOps に送信するように Bindplane エージェントを構成する
構成ファイルにアクセスします。
config.yamlファイルを見つけます。通常、Linux では/etc/bindplane-agent/ディレクトリに、Windows ではインストール ディレクトリにあります。- テキスト エディタ(
nano、vi、メモ帳など)を使用してファイルを開きます。
config.yamlファイルを次のように編集します。receivers: tcplog: # Replace the port and IP address as required listen_address: "0.0.0.0:5252" exporters: chronicle/chronicle_w_labels: compression: gzip # Adjust the path to the credentials file you downloaded in Step 1 creds: '/path/to/ingestion-authentication-file.json' # Replace with your actual customer ID from Step 2 customer_id: <customer_id> endpoint: malachiteingestion-pa.googleapis.com # Add optional ingestion labels for better organization ingestion_labels: log_type: SYSLOG namespace: netiq_access raw_log_field: body service: pipelines: logs/source0__chronicle_w_labels-0: receivers: - tcplog exporters: - chronicle/chronicle_w_labels自社のインフラストラクチャでの必要性に応じて、ポートと IP アドレスを置き換えます。
<customer_id>は、実際の顧客 ID に置き換えます。/path/to/ingestion-authentication-file.jsonの値を、Google SecOps の取り込み認証ファイルを取得するで認証ファイルを保存したパスに更新します。
Bindplane エージェントを再起動して変更を適用する
Linux で Bindplane エージェントを再起動するには、次のコマンドを実行します。
sudo systemctl restart bindplane-agentWindows で Bindplane エージェントを再起動するには、Services コンソールを使用するか、次のコマンドを入力します。
net stop BindPlaneAgent && net start BindPlaneAgent
NetIQ Access Manager で Identity Server の監査イベントを構成する
- NetIQ 管理コンソールにログインします。
- [デバイス] > [ID サーバー] > [サーバー] > [編集] > [監査とロギング] を選択します。
- [監査ロギング] で [有効] を選択します。
- すべてのイベントを監査するには、[すべて選択] を選択します。
- [適用> OK] をクリックします。
- [Servers> Update servers] をクリックします。
NetIQ Access Manager で Access Gateway の監査イベントを構成する
- NetIQ 管理コンソールにログインします。
- [デバイス] > [アクセス ゲートウェイ] > [編集] > [監査] に移動します。
- [すべて選択] をクリックします。
- [OK> OK] をクリックします。
- [アクセス ゲートウェイ] ページで、[更新] をクリックします。
NetIQ Access Manager でロギング サーバーを構成する
- NetIQ 管理コンソールにログインします。
- [監査] をクリックします。
次の詳細を指定します。
- syslog を使用してメッセージを監査する: 監査イベントを監査サーバーに送信するには、このオプションを選択します。
- 監査サーバーの障害時にサービスを停止する: 空欄のままにします。
- サーバー リスニング アドレス: Bindplane の IP アドレスを入力します。
- ポート: Bindplane への接続に使用する Syslog ポートを指定します。
- 形式: [CSV] を選択します。
- 管理コンソールの監査イベント: [すべて] を選択します。
監査用に syslog が選択されている場合は、次の操作を行います。
nam.confで、SYSLOG_DAEMONの値をrsyslogに変更します。これにより、デフォルトの syslog デーモンがrsyslogに変更されます。Auditlogging.cfgファイルを編集してSERVERIPマクロとSERVERPORTマクロの両方を空に設定するには、次のコマンドを実行します。LOGDEST=syslog FORMAT=JSON SERVERIP= SERVERPORT=
UDP を構成するには、次のコマンドを実行します。
#$ModLoad imtcp # load TCP listener $InputTCPServerRun 1290 $template ForwardFormat,"<%PRI%>%TIMESTAMP:::date-rfc3164% %HOSTNAME% %syslogtag:1:32%%msg:::sp-if-no-1st-sp%%msg%\n" $ModLoad imudp local0.* @FORWARDERIP:PORT_NUMBER;ForwardFormatrsyslogサービスを再起動します。
サポートされている NetIQ Access Manager のログの例
CEF(Common Event Format)
<13>2025-11-04T17:09:32.013686-05:00 San-Host-01 CEF: 0|NetIQ|iManager|3.1.0|CEF150004|Authentication|1| sourceServiceName=a.a.b.u.b src=10.0.0.1 cs2Label=MimeHint cs2=0 cs6Label=host cs6=10.0.0.1 cs3Label=eventID cs3=0.0.11.0 cs4Label=eventName cs4=Authentication Session flexString1Label=SubEvent flexString1=150004 cs5Label=CorrelationID cs5=iManager#0#DUMMY_SESSION_ID outcome=SuccessSyslog + JSON(短縮キー スキーマ)
{ "syslog_header": "Mar 03 08:57:52 san-dmz-nam-01 AccessManager", "wrapper": "@...@", "payload": { "I": "002E0514", "A": "002E", "O": "AG\\Application Access", "L": "7", "G": "0", "B": "ag-DUMMY_SESSION_ID_123", "H": "0", "U": "DEMO_SITE_USER", "V": "0", "Y": "https://demo.corp.biz/EWSCWebAppJ/jsp/EWSCLogin.jsp", "S": "cn=DEMO_USER ou=people ou=partners ou=identities o=corp-dmz", "T": "DUMMY_TOKEN_STRING_XYZ?Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; gdn/adcp; managedpc; rv:11.0) like Gecko", "F": "PS_QA_JBOSS_C2", "1": "894075914", "2": "0", "3": "0", "M": "0", "D": "" } }Syslog + JSON(長いキーのスキーマ)
{ "syslog_header": "Jun 04 07:01:35 san-dmz-nam-01", "payload": { "appName": "Novell Access Manager", "timeStamp": "Sun, 19 Jun 2025 07:01:35 +0000", "eventId": "002E0052", "subTarget": "impersonatorsessionid", "stringValue1": "sanitized_user", "stringValue2": "Impersonatee-session-ID-DUMMY", "stringValue3": "Description-of-the-event", "numericValue1": 0, "numericValue2": 0, "numericValue3": 0, "data": "MTAuMC4wLjE=", "description": null, "message": null, "component": "nidp\\impersonation", "originator": "esp-DUMMY_ORIGIN_ID", "target": "target_user" } }
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。