Archiver:ステップ3:Archiverのストレージとログ保存の構成

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、管理者向けにArchiverのストレージとログ保存を構成する方法を説明します。

コンプライアンス上の理由から、ログのタイプに応じて異なる保存期間を適用しなければならないことがよくあります。法的に慎重な取り扱いが求められ長期間保存できないログもあれば、数年間保存しておかなければならないログもあります。コンプライアンス上の理由以外にも、履歴フォレンジックに役立つログもあれば、セキュリティや運用にはほとんど影響しないために短期間で削除して構わないログもあります。

ビジネス要件の変化に対応できるように、Security Analyticsでは、コレクションというログ保存セットを構成してログ データを格納できます。各コレクションについて、総ストレージ領域に対する使用上限とコレクション内のログを保持する日数を指定できます。コレクションに格納するログのタイプを指定するには、保存ルールを定義してコレクションに関連づけます。すべてのコレクションの保存ルールが、定義した順序でシーケンシャルに実行されます。

このためには、まずコレクション全体の物理ストレージ領域を定義する必要があります。Security Analyticsでは、3種類のストレージを定義できます。

  • Hot階層ストレージ:このストレージには、業務プロセスで頻繁に使用されるログ データが格納されます。これらのログは、他のタイプのストレージよりも迅速にアクセスできるため、レポート作成などのタスクに使用すると便利です。Hotストレージは、通常、DAC(Direct-Access Capacity)ストレージまたはSANストレージで構成されます。 
  • Warm階層ストレージ:(オプション)このストレージには、古くなったログ データがArchiverによってまとめて格納されます。ログ データへのアクセスには、Hotストレージに比べると時間がかかります。これらのログもレポート作成などのタスクに使用できます。Warmストレージは、通常、NAS(ネットワーク接続型ストレージ)で構成されます。 
  • Cold階層ストレージ:(オプション)このストレージには、業務の遂行に必要か、規制上の要件で保存が義務づけられている最も古いログ データが格納されます。これらのログはオフラインであり、レポート作成などのタスクを行うためにArchiverからアクセスすることはできません。ただし、このログ データにアクセスする必要がある場合は、Workbenchサービスで作成したコレクションと呼ばれる領域にデータをリストアして、レポート作成などの目的に使用できます。Coldストレージは、通常、NASなどのオフライン ストレージのほか、テープにアーカイブするまでの一時的なストレージとして使用されます。Cold階層に移動されたデータはArchiverでは管理されなくなります。移動後のバックアップや管理は外部プロセスで行われ、Cold階層のスペースが100%に達しないように管理されます。容量がいっぱいになると、問題が解消されるまでArchiverによる集計は停止されます。

Archiverは使用可能なHotストレージとデフォルトのログ コレクションを使用するように事前に構成されているため、ログ保存の要件が複雑でなければ、Archiverのストレージとログ保存の構成を行う必要はありません。

ログは異なるタイプのストレージ間で次のように移動できます。

  • Hotストレージ>Coldストレージ
  • Hotストレージ>Warmストレージ>Coldストレージ

HWCstorage.png

コレクションがHotストレージおよびWarmストレージの保存期限に達すると、Security AnalyticsによってHotストレージまたはWarmストレージからログ データが削除されます。Coldストレージが構成されている場合は、ログ データがHotストレージまたはWarmストレージから削除される前に、Coldストレージにコピーされます。 たとえば、HotストレージとWarmストレージがそれぞれ1 TBで、Coldストレージを有効にしたコレクションの場合、Hotストレージのログ データが1 TBに達すると最も古いログ データがWarmストレージに移動されます。Warmストレージのログ データが1 TBに達すると、Warmストレージの最も古いログ データがColdストレージにコピーされ、Warmストレージから削除されます。 

HotストレージとWarmストレージについては、コレクションのサイズと保存期間のうち、先に条件を満たした方が優先されます。たとえば、Hotストレージが1 TBでWarmストレージとColdストレージは使用していないコレクションで、保存期間を20日に設定している場合、ログ データが11日目に1 TBを超えると、保存期間の20日に達していなくても1 TBを超えたログが古いものから削除されます。

Hot、Warm、Coldのストレージを作成したら、ログ保存ストレージ コレクションを構成します。コレクションのHotストレージおよびWarmストレージの最大容量、Coldストレージを使用するかどうか、コレクションへのログの保存日数、データ圧縮方法、保存するファイルのデータ整合性を検証するためにハッシュ アルゴリズムを使用するかどうかを指定できます。

コレクションを構成したら、コレクションの保存ルールを定義します。これらのルールで、コレクションに格納するログのタイプを指定します。コレクションにログ データを格納するには、それぞれ少なくとも1つの保存ルールに関連づける必要があります。

手順

ストレージとログ保存を構成するには、次のタスクを記載された順序で実行します。

                       
タスク参考情報
1. Hot/Warm/Coldストレージ全体を構成します。 次のトピックを参照してください: Hot/Warm/Coldストレージの構成.
2. ログ保存ストレージ コレクションを構成します。 次のトピックを参照してください: ログ ストレージ コレクションの構成.
3. コレクションの保存ルールを定義し、すべての保存ルールのリストで実行順序を決めます。 次のトピックを参照してください: 保存ルールの定義.
You are here
Table of Contents > Archiverの構成 > ステップ3:Archiverのストレージとログ保存の構成

Attachments

    Outcomes