Archiver:保存ルールの定義

Document created by RSA Information Design and Development on Feb 15, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、管理者向けにArchiverのログ ストレージ コレクションの保存ルールを定義して順序を設定する方法を説明します。

保存ルールでは、コレクションに格納するログのタイプを指定します。ログ データを収集して格納するには、ログ コレクションを少なくとも1つの保存ルールに関連づける必要があります。保存ルールを構成するときは、そのルールの条件とコレクションを指定します。この条件(ルール定義)により、そのコレクションに格納されるログのタイプが決まります。

条件には、通常のクエリーのwhere句で使用できるあらゆる表現を使用できます。

注:すべての文字列リテラルとタイム スタンプは引用符で囲む必要があります。数値およびIPアドレスは引用符で囲まないでください。

たとえば、コンプライアンス サービスからログを取得する場合は、次のような条件を使用できます。 

device.group='PCI Devices' || device.group='HIPPA Devices'

ルールとクエリーのガイドライン ではその他の例を示します。

コレクションの保存ルールを定義したら、保存ルールの順序を指定することが重要です。Security Analyticsでは、すべてのコレクションの保存ルールが、Archiver([Administration]>サービスの[構成]ビュー)の[データ保存]タブの[保存ルール]セクションにある[順序]列の番号順に評価されます。 

ArcRetRule.png

注意:ルールの順序は非常に重要です。この情報に基づいて、ストレージに保存するログ データを評価する優先度が決まります。 

前提条件

保存ルールを構成する前に、次の作業を完了しておきます。

  • Hot/Warm/Coldストレージ全体の構成
  • ログ ストレージ コレクションの構成

手順

コレクションの保存ルールの定義

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. Archiverサービスを選択し、ic-actns.png>[表示]>[構成]を選択します。
    Archiverの[サービス]の[構成]ビューが表示されます。
  3. データ保存]タブの[保存ルール]セクションで、ic-add.pngをクリックします。
    ルール定義]ダイアログが表示されます。
    RuleDefExWinLog.png
  4. 次の表の説明に従って、[ルールの定義]ダイアログのフィールドを構成します。             
    フィールド説明
    ルール名保存ルールの一意の名前を指定します。スペースを含めることはできません。例:LowValueWinLogs
    条件コレクションに含めるログのタイプの条件を指定します。 

    すべての文字列リテラルとタイム スタンプは引用符で囲む必要があります。数値およびIPアドレスは引用符で囲まないでください。

    例:
    device.type='winevent_nic' && msg.id='security_4648_security'

    ルールとクエリーのガイドライン ではその他の例を示します。

    コレクションこのルールを適用するコレクションを選択します。例:LowValue 
  5. Saveをクリックします。
    定義した保存ルールが選択したコレクションに関連づけられます。[データ保存]タブの[コレクション]セクションで、選択したコレクションの[アクション]列のActionsButton.png>[ルールの選択]をクリックすると、そのコレクションに関連づけられている保存ルールが[保存ルール]セクションに表示されます。 
    AssocRetRul2.png

保存ルールの順序の指定

すべての保存ルールのリストで順序を指定するには、次の手順を実行します。

  1. データ保存]タブの[保存ルール]セクションで、保存ルールを選択し、ドラッグ アンド ドロップ(またはic up.png上に移動]とic down.png下に移動])を使用して優先度リスト内で順序を変更します。

    ArcRetRule2.png 
  2. 適用]をクリックして保存ルールの順序を保存します。

注意:ルールの順序は非常に重要です。この情報に基づいて、ストレージに保存するログ データを評価する優先度が決まります。

次のステップ

Reporting EngineにArchiverをデータ ソースとして追加します。 

You are here
Table of Contents > Archiverの構成 > ステップ3:Archiverのストレージとログ保存の構成 > 保存ルールの定義

Attachments

    Outcomes