Ivanti Connect Secure

Docs > インテグレーション > Ivanti Connect Secure

Supported OS Linux Windows Mac OS

インテグレーションバージョン1.0.0

Ivanti Connect Secure - Connection and VPN Tunneling

Ivanti Connect Secure - Administrator Activities

Ivanti Connect Secure - Statistics and System Status

Ivanti Connect Secure - Overview

Ivanti Connect Secure - Web Requests

Ivanti Connect Secure - Authentication

Ivanti Connect Secure - Connection and VPN Tunneling

Ivanti Connect Secure - Administrator Activities

Ivanti Connect Secure - Statistics and System Status

概要

Ivanti Connect Secure は、従業員、パートナー、顧客に対し、企業データとアプリケーションへの安全で制御されたアクセスを提供します。対象のアプリケーションには、ファイルサーバー、Web サーバー、ネイティブメッセージング、信頼済みネットワークの外部にあるホステッドサーバーが含まれます。

このインテグレーションは、次の種類のログを解析します:

Web Requests : ログは、Web ベースのリソースに対するクライアントリクエストに関する情報を提供します。成功、失敗、ブロック、拒否、未認証のリクエストが含まれます。
Authentication : ログは、ログイン関連のイベント、SSL ネゴシエーションの失敗、リモートアドレスの変更イベントに関する情報を提供します。
Connection : ログは、接続に関する情報を提供します。転送バイト数、継続時間、ホスト名、IP アドレスなどの詳細が含まれます。
VPN Tunneling : ログは、ACL 関連のアクティビティや、VPN セッション関連のイベントに関する情報を提供します。
Statistics : ログは、同時ユーザー数などのシステム使用状況や、その他のパフォーマンスメトリクスに関する情報を提供します。
Administrator Activities : ログは、管理者が実行したアクションに関する情報を提供します。例: ログイン、構成変更、システム管理タスク。

これらのログから得られる詳細なインサイトは、すぐに使えるダッシュボードで可視化できます。さらに、潜在的なセキュリティ脅威を効果的に監視・対応するための、すぐに使える Cloud SIEM 検知ルールも用意されています。

セットアップ

インストール

Ivanti Connect Secure インテグレーションをインストールするには、ターミナルで次の Agent インストールコマンドを実行し、その後に下記の構成手順を完了してください。詳細は Integration Management ドキュメントを参照してください。

注: Agent バージョン >= 7.59.0 では、このステップは不要です。

sudo -u dd-agent -- datadog-agent integration install datadog-ivanti_connect_secure==1.0.0

構成

ログ収集

Datadog Agent で、ログの収集はデフォルトで無効になっています。datadog.yaml で有効にします。
```
logs_enabled: true
```
ログの収集を開始するには、この構成ブロックを ivanti_connect_secure.d/conf.yaml ファイルに追加します。
利用可能な構成オプションについては、サンプルの ivanti_connect_secure.d/conf.yaml を参照してください。
```
logs:
  - type: tcp # or 'udp'
    port: <PORT>
    source: ivanti-connect-secure
    service: ivanti-connect-secure
```
注:
- PORT: Ivanti Connect Secure からの syslog メッセージ転送の構成 セクションで指定したポートと同様の値にしてください。
- これらのパラメーターはパイプラインの動作に不可欠なため、service と source の値は変更しないことを推奨します。
Agent を再起動します。

Ivanti Connect Secure からの syslog メッセージ転送の構成

Ivanti Connect Secure Admin Portal にログインします。
System > Log/Monitoring > Events に移動します。
Settings タブをクリックします。
Select Events to Log の下で、すべてのイベントタイプが選択されていることを確認します。
構成を適用するには Save Changes をクリックします。
Syslog Servers セクションで syslog サーバーの詳細を構成します:
- Server name/IP: <IP/DOMAIN>:<PORT> の形式で、syslog サーバーの完全修飾ドメイン名または IP アドレスを入力します。
- Type: ドロップダウンから TCP または UDP を選択します。
- Filter: ドロップダウンから JSON: JSON を選択します。
  必要な詳細を入力したら Add をクリックします。
User Access と Admin Access の各タブでも、手順 3 〜 6 を繰り返します。

検証

Agent の status サブコマンドを実行し、Checks セクションで ivanti_connect_secure を探します。

収集データ

ログ

フォーマット	イベントタイプ
JSON	Web Requests, Authentication, Connection, VPN Tunneling, Statistics, Administrator Activities

メトリクス

Ivanti Connect Secure インテグレーションにはメトリクスは含まれません。

イベント

Ivanti Connect Secure インテグレーションにはイベントは含まれません。

サービスチェック

Ivanti Connect Secure インテグレーションにはサービスチェックは含まれません。

トラブルシューティング

ポートバインド時に Permission denied エラーが発生する場合:

Agent のログにポートバインド時の Permission denied エラーが表示される場合。

1024 未満のポート番号へのバインドには昇格した権限が必要です。setcap コマンドを使用してポートへのアクセスを付与します:
```
sudo setcap CAP_NET_BIND_SERVICE=+ep /opt/datadog-agent/bin/agent/agent
```
セットアップが正しいことを getcap コマンドで確認します:
```
sudo getcap /opt/datadog-agent/bin/agent/agent
```
期待される出力:
```
/opt/datadog-agent/bin/agent/agent = cap_net_bind_service+ep
```
注: Agent をアップグレードするたびにこの setcap コマンドを再実行してください。
Agent を再起動します。

データが収集されない:

ファイアウォールが有効な場合は、設定したポートへのトラフィックをファイアウォールルールで許可してください。

ポートが使用中:

Port <PORT_NUMBER> Already in Use エラーが表示される場合は、次の手順を参照してください。以下はポート 514 の例です:

Syslog を使用するシステムで、Agent がポート 514 でイベントをリッスンしている場合、Agent ログに次のエラーが表示されることがあります: Can't start UDP forwarder on port 514: listen udp :514: bind: address already in use。これは既定で Syslog がポート 514 をリッスンしているために発生します。解決するには、次のいずれか 1 つの手順を実施します:
- Syslog を無効化する。
- Agent を別の利用可能なポートで待ち受けるように設定する。

さらに支援が必要な場合は、Datadog サポートにお問い合わせください。