Netflow収集:構成パラメータ

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Netflow構成を指定するためのユーザー インターフェイスについて説明します。

このセクションでは、Netflow収集のユーザー インタフェースとその機能について説明します。

Netflow収集の構成パラメーターにアクセスするには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. サービス]グリッドで、Log Collectorサービスを選択します。
  3. アクション]の下のAdvcdExpandBtn.PNGをクリックし、[表示]>[構成]を選択します。
  4. Log Collectorの[イベント ソース]タブで、ドロップダウン メニューから[Netflow/構成]を選択します。

[イベント ソース]タブの[Netflow/構成]ビューには、[イベント カテゴリー]と[ソース]の2つのパネルがあります。

[イベント カテゴリー]パネル

[イベント カテゴリー]パネルで、適切なイベント ソース タイプを追加または削除できます。

                         
機能説明
Icon-Add.png イベント ソースを追加します。[使用可能なイベント ソース タイプ]ダイアログを表示します。このダイアログで、パラメータを定義するイベント ソース タイプを選択します。
Icon_Delete_sm.png 選択したイベント ソース タイプを[イベント カテゴリー]パネルから削除します。
Checkbox.png イベント ソース タイプを選択します。
名前追加したイベント ソース タイプの名前を表示します。

[使用可能なイベント ソース タイプ]ダイアログ

[使用可能なイベント ソース タイプ]ダイアログでは、サポート対象のイベント ソース タイプのリストが表示されます。

                         
機能説明
Checkbox.png 追加するイベント ソース タイプの名前を選択します。
タイプ追加できるイベント ソース タイプを表示します。
キャンセルイベント ソースを追加または保存せずに、ダイアログを閉じます。
OK選択したイベント ソース タイプを[イベント カテゴリー]パネルに追加します。

[ソース]パネル

[イベント カテゴリー]パネルで選択されたイベント ソース タイプのイベント ソース パラメータをレビュー、追加、変更、削除するには、このパネルを使用します。

ツールバー

次の表に、ツールバー オプションの説明を示します。

                               
オプション説明
Icon-Add.png ソースを追加します。[ソースの追加]ダイアログが開きます。このダイアログで、[イベント カテゴリー]パネルで選択した タイプのイベント ソースを追加します。
Icon_Delete_sm.png 選択したソースを削除します。
icon-edit.png

ソースを編集します。[ソースの編集]ダイアログが開きます。このダイアログで、選択したイベントソースの構成パラメータを編集します。

複数のイベント ソースが選択されている場合、選択したイベント ソースのパラメータ値を編集できる[ソースの一括編集]ダイアログを開きます。

イベント ソースのインポート、エクスポート、編集を一括して行う方法の詳細な手順については、「ログ収集の構成ガイド」を参照してください。

ImportSourceIcon.PNG

[一括追加オプション]ダイアログを開きます。このダイアログで、CSV(カンマ区切り)ファイルから一括でイベント ソース パラメータをインポートできます。

イベント ソースのインポート、エクスポート、編集を一括して行う方法の詳細な手順については、「ログ収集の構成ガイド」を参照してください。

ExportSourceIcon.PNG

選択したイベントソースのパラメータを含む.csvファイルを作成します。

イベント ソースのインポート、エクスポート、編集を一括して行う方法の詳細な手順については、「ログ収集の構成ガイド」を参照してください。

 

[ソースの追加]または[ソースの変更]ダイアログ

このダイアログでは、DSNを追加または変更します。

                      
機能説明
Netflowソース パラメータNetflowイベント ソース パラメータのデフォルト値が表示されています。適切な値を入力するか、適切な値に変更します。
キャンセルソースを追加または保存せずに、ダイアログを閉じます。
OK[ソースの追加]ダイアログでは、ファイル イベントソースとそのパラメータを追加します。[ソースの編集]ダイアログでは、選択されたファイル イベントソースのパラメータ値の変更を適用します。

Netflowソース パラメータ

次の表に、ソース パラメーターの説明を示します。

                                         
名前説明
基本
ポートNetflowイベント ソースに対して構成するポート番号を指定します。
Security Analyticsのデフォルトでは、2055、4739、6343、9995のポートが開かれます。必要な場合は、Netflow用に他のポートを開きます。
有効イベント ソース構成を有効化して収集を開始するには、このチェックボックスをオンにします。このチェックボックスは、デフォルトでオンになっています。
拡張
インフライト公開ログ閾値

この閾値に達すると、イベント フローの問題を解決するのに役立つログ メッセージがSecurity Analyticsによって生成されます。この閾値には、現在イベント ソースからSecurity Analyticsに流れているNetflowイベント メッセージのサイズを指定します。

有効な値は次のとおりです。

  • 0(デフォルト):ログ メッセージは無効化されます。
  • 100-100000000 -  指定した数のNetflowイベントがこのLog Collectorで処理されると、ログ メッセージが生成されます。  たとえば、この値を「100」に設定すると、特定のバージョン(V5またはV9)のNetflowイベントが100件処理された時点で、Security Analyticsによりログ メッセージが生成されます。
Debug

注意:イベント ソースに問題が発生し、その問題を調査する必要がある場合にのみ、デバッグを有効に(このパラメータをOnまたはVerboseに設定)します。デバッグを有効にすると、Log Collectorのパフォーマンスに影響があります。

イベント ソースのデバッグ記録を有効または無効にします。

有効な値は次のとおりです。

  • Off = (デフォルト)無効
  • On = 有効
  • Verbose = verboseモードで有効になります。スレッド情報とソース コンテキスト情報をメッセージに追加します。

このパラメータは、イベント収集の問題をデバッグまたは監視するような状況で使用するよう設計されています。パフォーマンスへの影響を最小限にするために、デバッグのVerboseモードは、監視するイベント ソース数が限定された環境で設定するようにしてください。
この値を変更すると、変更はすぐに反映されます(再起動は不要です)。

キャンセルイベント ソースを追加または保存せずに、ダイアログを閉じます。
OKイベント ソースを追加または保存します。

タスク:

ステップ1:Security AnalyticsでのNetflowイベント ソースの構成

ステップ2:Security Analyticsにイベントを送信するためのNetflowイベント ソースの構成

You are here
Table of Contents > Netflow収集構成ガイド > 参考資料:Netflow収集の構成パラメータ

Attachments

    Outcomes