Archiver:Hot/Warm/Coldストレージの構成

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、管理者向けにArchiverのHot/Warm/Coldストレージ全体を構成する方法を説明します。

Archiverホストには、あらかじめデフォルト値に構成されたHotストレージがあります。管理者は、特定のビジネス要件を満たすようにHot/Warm/Coldストレージ全体を構成できます。Archiverでは、Hotストレージは構成されている必要がありますが、WarmおよびColdストレージの構成はオプションです。Security AnalyticsではColdストレージは管理されません。

前提条件

以下の条件を満たしていることを確認します。

  1. ネットワーク環境にSecurity Analytics Archiverホストがインストールされていること。
  2. Log Decoderがネットワーク環境にインストールされ、構成されていること。
  3. Security Analytics導入環境にコア サービスとしてArchiverが追加されていること。
  4. Archiverのデータ ソースとしてLog Decoderサービスが追加されていること。
  5. ネットワーク環境にDACやその他の物理ストレージがインストールされ、構成されていること。
  6. ログの保存期間とストレージの要件が決定されていること。

手順

ArchiverのHotストレージ合計の構成

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. Archiverサービスを選択し、ic-actns.png>[表示]>[構成]を選択します。
    Archiverの[サービス]の[構成]ビューが表示されます。
  3. データ保存]タブの[Hotストレージ合計]セクションで、ic-settings.pngをクリックしてHotストレージ合計を構成します。
    ArcDrTb.png
  4. Hotストレージ マウント ポイント]ダイアログで、Archiverホストに接続されているマウント ポイントのうち、Hotストレージ合計に含めるマウント ポイントを追加します。
    これらは、DACストレージやSANなどの高パフォーマンス ストレージへのパスです。マウント ポイントにコレクションやサブディレクトリを追加することはできません。
    マウント ポイントを追加するには、ic-add.pngをクリックし、マウント ポイントへのパスを入力します。
    AddHotMP.png
  5. マウント ポイントのパスが正しいことを確認し、[保存]をクリックします。
    Security Analyticsでは、Archiverで定義されている各コレクションについて、metadb、packetdb、sessiondb、indexディレクトリが自動的に作成されます。
    <storageLocation>/<CollectionName>/metadb
    <storageLocation>/<CollectionName>/packetdb
    <storageLocation>/<CollectionName>/sessiondb
    <storageLocation>/<CollectionName>/index

    たとえば、マウント ポイントが/var/netwitness/archiverであるとすると、それぞれのコレクション用に次のディレクトリが作成されます。
    /var/netwitness/archiver/<CollectionName>/metadb
    /var/netwitness/archiver/<CollectionName>/packetdb
    /var/netwitness/archiver/<CollectionName>/sessiondb
    /var/netwitness/archiver/<CollectionName>/index

    Archiverサービスの再起動後に、定義されたコレクションへのデータの保存が開始されます。Archiverサービスを再開する前に、ログ保存コレクションが正しいことを確認します。

注意:マウント ポイントにデータが保存されると、ユーザー インタフェースからはデータを削除できません。

ArchiverのWarmストレージ合計の構成

(オプション)ArchiverのWarmストレージ合計を構成する手順は、Hotストレージ合計の場合とほぼ同じです。ただし、[Warmストレージ合計]セクションでic-settings.pngをクリックして、Warmストレージとして使用するマウント ポイントを追加する点が異なります。追加するマウント ポイントは、NAS(ネットワーク接続型ストレージ)などのWarmストレージへの物理パスです。

AddWarmMP.png

ArchiverのColdストレージ合計の構成

(オプション)ArchiverのColdストレージ合計を構成する手順は、Hotストレージ合計の場合とほぼ同じです。ただし、[Coldストレージ合計]セクションでic-settings.pngをクリックして、Coldストレージのマウント ポイントを1つだけ追加する点が異なります。Security AnalyticsではColdストレージは管理されません。

コレクション間でのファイル名の競合を回避するために、Coldストレージ マウント ポイントのパス名のいずれかの部分にコレクション名の書式指定子%nを含める必要があります。

AddColdMP.png

パスでは次の書式指定子を使用できます。

                                   
書式指定子説明
%nコレクション名(必須)
%yデータがColdストレージに移動された年
%m
%d
%h時間
%##r現在の日付の時間のブロック。たとえば、3つの8時間のブロックを指定する場合は、%8rと設定できます。1日の最初の8時間は0、2番目の8時間は1、最後の8時間は2となります。

変更は即座に有効になります。

たとえば、complianceという名前のコレクションがあり、次のようなColdストレージ パスを作成するとします。

/sa-cold-storage/%n/%y-%m-%d/

Security Analyticsでは、次の形式で毎日ディレクトリが作成されます。

/sa-cold-storage/compliance/2015-11-20/

次のステップ

ログ ストレージ コレクションを構成します。 

You are here
Table of Contents > Archiverの構成 > ステップ3:Archiverのストレージとログ保存の構成 > Hot/Warm/Coldストレージの構成

Attachments

    Outcomes