Archiver:ステップ2:ArchiverへのLog Decoderデータ ソースの追加

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Archiverにデータ ソースとしてLog Decoderを追加する方法について説明します。

前提条件

以下の項目について確認します。

  1. ネットワーク環境にSecurity Analytics Archiverホストがインストールされていること。
  2. Log Decoderがネットワーク環境にインストールされ、構成されていること。
  3. ArchiverホストがSecurity Analyticsに追加され、Archiverサービスがアクティブであり、ライセンスが適用されていること。

Archiverのメタの設定に関する考慮事項

一般的なレポート作成ニーズに対応しながら、保存期間を最大化するために、Archiverのメタ アイテムとインデックスは(Concentratorと比較して)削減されています。つまり、デフォルトでは、Concentratorで実行できるレポートの一部が、Archiverでは実行できない可能性があります。Archiverで使用される現在のメタおよびインデックス アイテムのリストは、次の場所で表示できます。

  • [構成]ビュー>[全般]タブ>[サービスの集計]パネル:[メタを含む]フィールドの情報アイコンは、データ ソースとして追加されたLog Decoderの現在のメタ アイテムのリストを示します。
  • [エクスプローラー]ビューmetaIncludeフィールドの/archiver/devices/<logdecoder>/config/optionsパスに、現在のメタ アイテムのリストが表示されます。
  • [構成]ビュー>[ファイル]タブindex-archiver.xmlは、デフォルトのインデックス構成を示します。index-archiver-custom.xmlは、すべての変更を示します。

Archiverのメタ アイテムとインデックスは、お客様固有のレポート作成のニーズに合わせてカスタマイズできます。ただし、そのためには追加のストレージ、CPUリソース、メモリ リソースのサポートが必要になり、保存期間に影響を及ぼす可能性があります。Archiverに追加するメタ アイテムが増えると、最大集計速度が低下し、レポートの実行時間が長くなります。 

詳細については、トピック: (オプション)集計用メタ フィルタの構成(オプション)Archiverのレポート作成用インデックス エントリーの追加 を参照してください。

ArchiverへのLog Decoderデータ ソースの追加

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. Archiverサービスの選択
  3. アクション]列で、[表示]>[構成]をクリックします。
    Archiverの[サービス]の[構成]ビューが表示されます。
  4. 全般]タブの[サービスの集計]パネルで、をクリックします。
    [使用可能なサービス]ダイアログが表示されます。
    AvailServDg.png
  5. Archiverにデータ ソースとして追加するLog Decoderサービスを選択し、[OK]をクリックします。
  6. Log Decoderが信頼モデルを使用している場合、次に示すように、[サービスの追加]ダイアログが表示されます。
    AddSrvDataSrc.png
  7. Log Decoderのユーザー名とパスワードを入力し、SSL設定を構成します。
  8. OKをクリックします。
    選択したLog Decoderサービスが[サービスの集計]パネルのリストに追加されます。

(オプション)集計用メタ フィルタの構成

メタ アイテムを表示し、Archiverにメタ アイテムを追加するには、以下の手順を実行します。

注意:メタまたはインデックスを追加するには、追加のストレージ、CPUリソース、メモリ リソースをサポートする必要があり、保存期間に影響を及ぼす可能性があります。Archiverに追加するメタ アイテムが増えると、最大集計速度が低下し、レポートの実行時間が長くなります。

  1. 現在のメタ アイテムを表示するには、[サービスの集計]パネルで、Log Decoderサービスを選択し、[メタを含む]フィールドのic info.pngをクリックします。
    ViewMetaFilters.png
  2. メタ アイテムを追加するには、Log Decoderサービスを選択し、ic-edit.pngをクリックします。
    EditAggSrvDb.png
  3. [サービス集計の編集]ダイアログで、[メタを含む]リストに含めるメタ アイテムを選択します。たとえば、ip.srcport、tcp.srcport、udp.srcport、msg、url、query、bytes、alias.host、ip.dst、ip.dstport、ip.src、tcp.dstport、megabytes、time、event.desc、wordを含めることを検討できます。 
  4. 保存]をクリックし、[適用]をクリックします。
  5. 追加のメタ キーのインデックスを作成する方法については、トピック: (オプション)Archiverのレポート作成用インデックス エントリーの追加 を参照してください。

(オプション)Archiverのレポート作成用インデックス エントリーの追加

注意:メタまたはインデックスを追加するには、追加のストレージ、CPUリソース、メモリ リソースをサポートする必要があり、保存期間に影響を及ぼす可能性があります。Archiverに追加するメタ アイテムが増えると、最大集計速度が低下し、レポートの実行時間が長くなります。

Archiverのデフォルトのインデックス構成には、以下のキーの値のインデックスのみが含まれます。 

  • 時間(time)
  • Decoderソース(did)
  • 宛先ユーザー アカウント(user.dst) 
  • アラートID(alert.id)
  • デバイスIP(device.ip)
  • ソースIPアドレス(ip.src)
  • 宛先IPアドレス(ip.dst)
  • イベントの説明(event.desc)
  • デバイス クラス(device.class)
  • 手段(medium)
  • オブジェクト名(obj.name)
  • 単語(word)

このリストをカスタマイズする方法については、「Security Analyticsコア データベース チューニング ガイド」の「インデックスのカスタマイズ」を参照してください。

You are here
Table of Contents > Archiverの構成 > ステップ2:ArchiverへのLog Decoderデータ ソースの追加

Attachments

    Outcomes