概要
dsm01とdsm02のマルチノード環境で、Syslogが1つのManagerノードからのみ転送されているように見えます。
May 27 19:38:34 dsm01 CEF: 0|Trend Micro|Deep Security Agent|11.0.308|4000000|Eicar_test_file|6|cn1=585 cn1Label=Host ID dvc=xx.xx.xx.xx TrendMicroDsTenant=TenantID 0 TrendMicroDsTenantId=0 cn2=271 cn2Label=Quarantine File Size filePath=C:\\Users\\xxxxxx\\Downloads\\2120687a-97ad-4981-a969-42bb4a3a1f9b.tmp act=Delete msg=Realtime TrendMicroDsMalwareTarget=N/A TrendMicroDsMalwareTargetType=N/A TrendMicroDsFileSHA1=3395856CE81F2B7382DEE72602F798B642F14140 TrendMicroDsDetectionConfidence=0
これは仕様でしょうか。
詳細
仕様です。
Deep Security Manager経由に設定されていて、プライマリノードが稼働している場合はプライマリノードから転送されます。従って1つのManagerノードから転送されます。
プライマリノードが停止している場合はセカンダリノードから転送されますが、プライマリノードが稼働するとプライマリノードから転送されるようになります。
プライマリノードの確認方法については以下の製品Q&Aをご確認ください。
デフォルトの設定ではIDが送信されるノードのホスト名となるため、IDを一意に設定されたい場合は以下リンクよりDeep Security ヘルプセンター記載のログ送信元IDをご確認ください。
※リンク先の画面左上のリストからお使いのバージョンを選択してください。
イベントの発生元についてはSyslog内の「dvc(IPv4アドレスの場合)」または「dvchost(IPv6アドレスの場合)」で確認いただけます。
May 27 19:38:34 dsm01 CEF: 0|Trend Micro|Deep Security Agent|11.0.308|4000000|Eicar_test_file|6|cn1=585 cn1Label=Host ID dvc=xx.xx.xx.xx TrendMicroDsTenant=TenantID 0 TrendMicroDsTenantId=0 cn2=271 cn2Label=Quarantine File Size filePath=C:\\Users\\xxxxxx\\Downloads\\2120687a-97ad-4981-a969-42bb4a3a1f9b.tmp act=Delete msg=Realtime TrendMicroDsMalwareTarget=N/A TrendMicroDsMalwareTargetType=N/A TrendMicroDsFileSHA1=3395856CE81F2B7382DEE72602F798B642F14140 TrendMicroDsDetectionConfidence=0
syslogメッセージの形式についての詳細はDeep Security ヘルプセンターの記載をご確認ください。
※リンク先の画面左上のリストからお使いのバージョンを選択してください。
