Archiver:[データ保存]タブ:Archiver

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Archiverの[データ保存]タブについて説明します。このタブは、管理者がログ保存とストレージの基準を定義するのに使用します。

Archiverの[Administration]>[サービス]>[構成]ビュー>[データ保存]タブでは、管理者がログの保存基準とストレージを定義することができます。管理者は、Hot/Warm/Coldストレージを構成できるほか、ログを保存する場所や基準が異なる複数のストレージ コレクションを構成できます。たとえば、政府規制のコンプライアンス要件を満たすため、特定の期間ログを格納するコレクションを作成することができます。また、重要度が低いログを格納するため、Hotストレージに保存期間を短く設定したコレクションを作成することもできます。このようなコレクションの柔軟性により、全体的なストレージ要件を大幅に削減できます。

このタブに関連した手順は、次のトピックを参照してください:ステップ3:Archiverのストレージとログ保存の構成.

このタブには次のセクションがあります。

  • Hotストレージ合計:Hot階層の使用可能な合計ストレージ容量を構成できます。Hot階層ストレージのマウント ポイント(パス)を選択または追加できます。Hot階層のマウント ポイントには、DAC(Direct-Attached Capacity)ストレージやSANなど、直接接続型の高速なストレージを指定します。
  • Warmストレージ合計:(オプション)Warm階層の使用可能な合計ストレージ容量を構成できます。Warm階層ストレージのマウント ポイントを選択または追加できます。Warm階層のマウント ポイントには、NASなどのセカンダリ ストレージを指定します。
  • Coldストレージ合計:(オプション)Cold階層の使用可能な合計ストレージ容量を構成できます。ログ ファイルをバックアップするCold階層ストレージのマウント ポイントを追加できます。NASなどのオフライン ストレージのほか、テープにアーカイブする前に保存する一時的なストレージを指定します。Security AnalyticsはColdストレージを管理しません。 
  • コレクション:ログのタイプごとに個別のストレージ コレクションを定義できます。HotストレージおよびWarmストレージの最大容量、オフライン ストレージ(Coldストレージ)を使用するかどうか、コレクションへのログの保存日数、データ圧縮方法、保存するファイルのデータ整合性を確認するためにハッシュ アルゴリズムを使用するかどうかを指定できます。
  • 保存ルール:それぞれのログ ストレージ コレクションにルールを定義できます。コレクションごとに少なくとも1つのルールを定義する必要があります。 

Archiverの[データ保存]タブにアクセスするには、次の手順を実行します。 

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. Archiverサービスを選択し、ic-actns.png[表示]>[構成]を選択します。
  3. [サービス]の[構成]ビューで、[データ保存]タブをクリックします。
    Archiverの[データ保存]タブが表示されます。
    ArcDrTb.png

Hot/Warm/Coldストレージ合計

[Hotストレージ合計]セクションには、使用可能なHotストレージの合計容量とHotストレージ マウント ポイントの数が表示されます。[Warmストレージ合計]セクションには、使用可能なWarmストレージの合計容量とWarmストレージ マウント ポイントの数が表示されます。[Coldストレージ合計]セクションには、Coldストレージの合計容量とColdストレージで使用可能な残り空きスペースが表示されます。 

TotalStor.png

[Hot/Warm/Coldストレージ マウント ポイント]ダイアログ

[Hot/Warm/Coldストレージ マウント ポイント]ダイアログでは、ストレージのマウント ポイントを指定できます。このストレージの一部をコレクションのログ保存場所として使用するよう指定できます。

[Hot/Warm/Coldストレージ マウント ポイント]ダイアログにアクセスするには、対応するセクションにあるアイコンをクリックします。

ArcHotDb2.png

次の表に、[Hot/Warm/Coldストレージ マウント ポイント]ダイアログの機能を示します。

                               
機能説明
ic-add.png マウント ポイントを追加します。 
ic-delete.png マウント ポイントを削除します。使用中のマウント ポイントは、関連するコレクションを削除しないと削除できません。
ic-checkbox.png Hot/Warm/Coldストレージ合計に含めるマウント ポイントを選択します。Coldストレージ合計のマウント ポイントは1つだけ選択できます。 
マウント ポイント接続されている物理ストレージのパスが表示されます。例:/var/netwitness/archiver/database0(Hotストレージ用のDACの場所)
マウント ポイントにコレクションやサブディレクトリを追加することはできません。Security Analyticsでは、Archiverで定義されている各コレクションについて、metadb、packetdb、sessiondb、indexディレクトリが自動的に作成されます。
<storageLocation>/<CollectionName>/metadb
<storageLocation>/<CollectionName>/packetdb
<storageLocation>/<CollectionName>/sessiondb
<storageLocation>/<CollectionName>/index

たとえば、Hotストレージのマウント ポイントが/var/netwitness/archiverであるとすると、各コレクション用に次のディレクトリが作成されます。
/var/netwitness/archiver/<CollectionName>/metadb
/var/netwitness/archiver/<CollectionName>/packetdb
/var/netwitness/archiver/<CollectionName>/sessiondb
/var/netwitness/archiver/<CollectionName>/index

Coldストレージでは、コレクション間でのファイル名の競合を回避するために、Coldストレージ マウント ポイントのパス名のいずれかの部分にコレクション名の書式指定子%nを含める必要があります。
ストレージ サイズ接続されているストレージのサイズが表示されます。参照用にストレージの合計容量が[データ保存]タブに表示されます。  

コレクション

[コレクション]セクションには、すべてのストレージ コレクションのリストが表示されます。それぞれについて、HotストレージとWarmストレージの合計容量も表示されます。

ArcStorCol.png

次の表に、[コレクション]セクションの機能を示します。一部の列については、要件に応じて非表示にすることが可能です。

                                                                                 
機能説明
ic-add.png ストレージ コレクションを追加します。 [コレクション]ダイアログ で、詳細を参照してください。
ic-delete.png 選択したコレクションを削除します。コレクションを削除すると、そのコレクションに格納されているすべてのデータが完全に削除されますが、データ ディレクトリは空の状態で残ります。
ic-edit.png 選択したコレクションを編集できます。 [コレクション]ダイアログ で、詳細を参照してください。
 ic-refresh.pngコレクションの情報を更新します。
ic-checkbox.png コレクションを選択します。たとえば、編集または削除するコレクションを選択できます。
コレクションコレクションの名前が表示されます(例:Default、Compliance、MediumValue、LowValue)。ログを保存する基準が異なる複数のコレクションを作成できます。コレクションを作成しない場合は、"Default"コレクションが使用されます。 

コレクションにエラーがある場合は、コレクション名とエラーがある列が赤色のテキストで表示されます。 
使用量/HotストレージHotストレージの現在の使用量とコレクションに使用できる最大容量が表示されます。ログのサイズがHotストレージの最大容量に達すると、ログが削除されるか、使用可能な次のストレージ階層(WarmまたはCold)にロールオーバーされます。 
使用量/WarmストレージWarmストレージの現在の使用量とコレクションに使用できる最大容量が表示されます。ログのサイズがWarmストレージの最大容量に達すると、ログが削除されるか、使用可能なColdストレージにロールオーバーされます。 
ColdストレージColdストレージが有効か無効かを示します。緑色で塗りつぶされた丸は、Coldストレージが有効になっていることを示します()。塗りつぶされていない白い丸は、Coldストレージが無効になっていることを示します。
保存期間ログを保存する日数が表示されます。この日数を超えたログは、削除されるかColdストレージに移動されます。[制限なし]は、ログの保存期間が指定の日数で制限されないことを示します。
HotストレージとWarmストレージについては、コレクションのサイズと保存期間のうち、先に条件を満たした方が優先されます。 
変化(過去1時間)過去1時間に収集されたログの数が表示されます。
最も古い日付コレクションに格納された最も古いデータの日付が表示されます。
期間コレクションに格納された最も古いデータの概算の保存期間が表示されます。例:20日
圧縮コレクションのメタおよびrawデータに使用する圧縮のタイプが表示されます。 
ハッシュハッシュが有効か無効かが表示されます。有効になっている場合、保存するファイルのデータ整合性を確認するためにハッシュ アルゴリズムが使用されます。デフォルトでは、ハッシュの対象となるデータはrawログのみです。ハッシュ ファイルはデータと同じディレクトリに保存されます。 
ルール数コレクションに適用されるルールの数が表示されます。
コレクションごとに少なくとも1つのルールを定義します。ルールが関連づけられていないコレクションには、警告として赤い0が表示されます()。コレクション名も赤で表示され、コレクションにエラーがあることが示されます。

注意:コレクションにルールがない場合、そのコレクションにはログが格納されません。

アクション<アクション ボタン>>[ルールの選択]を選択すると、コレクションに関連づけられているルールが[保存ルール]セクションに表示されます。[保存ルール]セクションで、コレクション全体におけるルールの優先度を変更できます。
ストレージ合計 使用量/Hotストレージ]列の下に、Hotストレージの現在の合計使用量と最大合計容量が表示されます。[使用量/Warmストレージ]列の下にも、Warmストレージの現在の合計使用量と最大合計容量が表示されます。

コレクションにエラーがある場合はコレクション名が赤で表示されます。点線の下線は、エラーに関する情報をツールチップで確認できることを示しています。

編集が無効(グレー表示)になっているコレクションにも、問題に関する情報がツールチップに表示されます。

保存ルール

[保存ルール]セクションには、ストレージ コレクションに使用されるすべての保存ルールが実行順に表示されます。 

ArcRetRule.png

次の表に、[保存ルール]セクションの機能を示します。

                                                               
機能説明
ic-add.png ストレージ コレクションで使用する保存ルールを追加します。 [ルール定義]ダイアログ で、詳細を参照してください。
ic-delete.png 選択した保存ルールを削除します。ログ コレクションにログ データを収集して格納するは、少なくとも1つの保存ルールを関連づける必要があります。
ic-edit.png 選択した保存ルールを編集できます。 [ルール定義]ダイアログ で、詳細を参照してください。
 ic-refresh.png保存ルールの情報を更新します。
ic-up.png上に移動

選択した保存ルールを優先度リストの上方向に移動します。保存ルールの順序は非常に重要です。Security Analyticsは、すべてのコレクションの保存ルールを、[保存ルール]セクションにある[順序]列の番号順に評価します。

保存ルールの順序はドラッグ アンド ドロップで変更することもできます。 

ic down.png下に移動選択した保存ルールを優先度リストの下方向に移動します。保存ルールの順序は非常に重要です。Security Analyticsは、すべてのコレクションの保存ルールを、[保存ルール]セクションにある[順序]列の番号順に評価します。
適用ルールの順序の変更を保存します。
ic-revert.png元に戻すルールの順序の変更を元に戻します。
ic-checkbox.png 保存ルールを選択します(選択されている保存ルールを示します)。
順序すべての保存ルールの順序が表示されます。
ルール名ルールの名前が表示されます(例:ComplianceDevices、GeneralWindowsLogs)。
条件ルールの条件が表示されます。これらの条件で、コレクションに含めるログのタイプが指定されます。 
ルールとクエリーのガイドライン では、Security Analytics Coreサービスのすべてのクエリーとルール条件に適用されるガイドラインを示します。
コレクションコレクション名とコレクションの保存日数が表示されます。例:MediumValue (30 Days)

 

 

トピック

Previous Topic:参考資料
You are here
Table of Contents > 参考資料 > [データ保存]タブ:Archiver

Attachments

    Outcomes