HTTPイベント収集を通じてサードパーティのログを収集する

手順

1. [Agentic SIEM & XDR] → [Data Source and Log Management] → [Third-party log repositories]に移動します。
2. 新しいログリポジトリを作成するか、既存のログリポジトリを選択してください。
3. [ログリポジトリ]パネルで[Collectors]タブに移動し、[コレクターを追加]をクリックします。
   [コレクターを追加] 画面が表示されます。
4. ログソースのベンダー、製品、ログ形式、ログタイムゾーンを選択してください。
5. コレクター名と説明を指定します。
6. ログ取り込み方法としてHTTPイベントコレクションを選択してください。
7. [追加] をクリックします。
8. [Generate JWT token]画面でJWTトークンの有効期限を選択し、[トークンを生成]をクリックしてください。

   注意 サードパーティのログコレクター用のJWTトークンを管理するには、[Agentic SIEM & XDR] → [Data Source and Log Management] → [Data sources and retention] → [Third-party log repositories]に移動し、[Manage JWT tokens]をクリックします。

9. [Copy JWT token]画面でトークンをコピーして保存してください。
10. [閉じる] をクリックします。
11. [Collectors]タブの[ログリポジトリ]ドロワーで、作成したコレクターの情報 (エンドポイントURLを含む) を確認してください。

    注意 次のAPI仕様を使用してログを転送できます。 ヘッダ: ヘッダ 値 説明 Authorization Bearer <token> 必須。コレクター作成時に生成されたJWTトークン。 Content-Type text/plain 必須。現在、エンドポイントはプレーンテキストコンテンツのみを受け付けています。 リクエストボディ: ペイロードボディはテキストストリームとして扱われます。各行 (\nまたは\r\nで区切られた) は、個別のログエントリとして取り込まれます。 例: curl -X POST <endpoint> \ -H "Authorization: Bearer <TOKEN>" \ -H "Content-Type: text/plain" \ -d '<189>Feb 01 10:00:00 router-1 denied tcp src 10.0.0.1 <189>Feb 01 10:00:01 router-2 permitted tcp src 10.0.0.2'