参考資料:ファイル収集の構成パラメータ

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、ファイル収集を構成するためのユーザー インタフェースについて説明します。

このセクションでは、ファイル収集のユーザー インタフェースと機能を説明します。

ファイル収集の構成パラメーターにアクセスするには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. サービス]グリッドで、Log Collectorサービスを選択します。
  3. アクション]の下のActions menu croppedをクリックし、[表示]>[構成]を選択します。
  4. Log Collectorの[イベント ソース]タブで、ドロップダウン メニューから[ファイル/構成]を選択します。

[イベント ソース]タブの[ファイル/構成]ビューには、[イベント カテゴリー]と[ソース]の2つのパネルがあります。

[イベント カテゴリー]パネル

[イベント カテゴリー]パネルで、適切なイベント ソース タイプを追加または削除できます。

                         
機能説明
Icon-Add.png イベント ソースを追加します。[使用可能なイベント ソース タイプ]ダイアログを表示します。このダイアログで、パラメータを定義するイベント ソース タイプを選択します。
Icon_Delete_sm.png 選択したイベント ソース タイプを[イベント カテゴリー]パネルから削除します。
Checkbox.png イベント ソース タイプを選択します。
名前追加したイベント ソース タイプの名前を表示します。

[使用可能なイベント ソース タイプ]ダイアログ

[使用可能なイベント ソース タイプ]ダイアログでは、サポート対象のイベント ソース タイプのリストが表示されます。

                         
機能説明
Checkbox.png 追加するイベント ソース タイプの名前を選択します。
タイプ追加できるイベント ソース タイプを表示します。
キャンセルイベント ソースを追加または保存せずに、ダイアログを閉じます。
OK選択したイベント ソース タイプを[イベント カテゴリー]パネルに追加します。

注:[使用可能なイベント ソース タイプ]ダイアログでは、GFTS(Generic File Reader Type Specification)ファイルからダウンロードされた、サポート対象のイベント ソース タイプのリストが表示されます。  このリストにイベント ソース タイプが表示されない場合、Log Collectorに必要なコンテンツがロードされていません。

[ソース]パネル

[イベント カテゴリー]パネルで選択されたイベント ソース タイプのイベント ソースとそのパラメータをレビュー、追加、変更、削除するには、このパネルを使用します。

ツールバー

次の表に、ツールバー オプションの説明を示します。

                               
機能説明
Icon-Add.png

Firewallホストのパラメーターを定義する[ソースの追加]ダイアログが表示されます。

Icon_Delete_sm.png 選択したホストを削除します。
icon-edit.png

選択したイベント ソースのパラメーターを編集する[ソースの編集]ダイアログが開きます。

複数のイベント ソースを選択して、icon-edit.pngをクリックすると、選択したイベント ソースのパラメータ値を編集するための[ソースの一括編集]ダイアログが開きます。

イベント ソースのインポート、エクスポート、一括編集の方法の詳細については、「ログ収集の構成ガイド」を参照してください。

ImportSourceIcon.PNG

[一括追加オプション]ダイアログが開きます。このダイアログで、CSV(コンマ区切り形式)ファイルから一括でホストをインポートできます。

イベント ソースのインポート、エクスポート、一括編集の方法の詳細については、「ログ収集の構成ガイド」を参照してください。

ExportSourceIcon.PNG

選択したイベントソースのパラメータを含む.csvファイルを作成します。

イベント ソースのインポート、エクスポート、一括編集の方法の詳細については、「ログ収集の構成ガイド」を参照してください。

[ソースの追加]または[ソースの変更]ダイアログ

このダイアログでは、DSNを追加または変更します。

                       
機能説明
Netflowソース パラメータNetflowイベント ソース パラメータのデフォルト値が表示されています。適切な値を入力するか、適切な値に変更します。
キャンセルソースを追加または保存せずに、ダイアログを閉じます。
OK[ソースの追加]ダイアログでは、ファイル イベントソースとそのパラメータを追加します。[ソースの編集]ダイアログでは、選択されたファイル イベントソースのパラメータ値の変更を適用します。

ファイル イベントソースのパラメータ

次の表に、ソース パラメーターの説明を示します。

                                                                                                          
名前説明
基本
格納先ディレクトリ名*

ファイル イベント ソースがそのファイルを格納するディレクトリ(たとえば、Eur_London100)。有効な値は、次の正規表現に従う文字列です。

[_a-zA-Z][_a-zA-Z0-9]*


ファイル ディレクトリ名は文字で始まる必要があり、数字、文字、下線などが続きます。このパラメータは、イベント データの収集を始めた後は変更できません。

イベント ソースを定義した後、Log Collectorはcollectionディレクトリの下に、work、save、errorの各サブ ディレクトリを作成します。

アドレス*イベント ソースのIPアドレス。有効な値は、IPv4アドレスIPv6アドレス、ドメインの完全修飾名を含むホスト名です。
収集するファイルの形式(regex)正規表現で指定します。たとえば、^.*$ではすべてを処理します。
ファイル エンコーディング

ファイルで多言語対応が必要な場合にファイルのエンコーディングを指定します。ファイルのエンコーディング方式を入力します。次の例は有効な方式です。

  • UTF-8(デフォルト)
  • UCS-16LE
  • UCS-16BE
  • UCS-32LE
  • UCS-32BE
  • SHIFT-JIS
  • EBCDIC-US
有効イベント ソース構成を有効化して収集を開始するには、このチェックボックスをオンにします。このチェックボックスは、デフォルトでオンになっています。
拡張
エンコード変換
エラー無視

エンコード変換エラーと無効なデータを無視する場合は、このチェックボックスをオンにします。このチェックボックスは、デフォルトでオンになっています。

注意:これにより、パースと変換のエラーが発生する可能性があります。

ファイル ディスク クォータ

エラー時に保存]および[成功時に保存]パラメータ設定に関係なく、ファイルの保存を停止するタイミングを決定します。たとえば、値が10の場合、使用可能なディスクが10%未満になると、Log Collectorはファイルの保存を停止し、推定される通常収集処理のために十分なスペースを確保します。

注意:使用可能なディスクとは、ベースとなるcollectionディレクトリがマウントされているパーティションを指します。Log Collectorサーバに10 TBのディスク サイズがあり、2 TBがベースのcollectionディレクトリに割り当て済みの場合、この値を10に設定すると、ログ収集は残りのスペースが0.2 TB(2 TBの10%)未満になると停止します。10 TBの10%ではありません。

有効な値の範囲は0100です。デフォルト値は10です。

シーケンシャル処理

シーケンシャル処理フラグ:

  • 収集した順にイベント ソース ファイルを処理する場合は、このチェックボックスをオンにします(デフォルト)。
  • 並列でイベント ソース ファイルを処理する場合は、このチェックボックスをオフにします。
エラー時に保存エラー フラグが発生した場合にファイルを保存します。Log Collectorでエラーが発生したときにeventsource collectionファイルを保持する場合は、このチェックボックスをオンにします。このチェックボックスは、デフォルトでオンになっています。
成功時に保存処理フラグの完了後にeventsource collectionファイルを保存します。ファイルの処理後にeventsource collectionファイルを保存する場合は、このチェックボックスをオンにします。このチェックボックスは、デフォルトではオンになっていません。
イベント ソースSSHキー

このイベント ソースのファイルのアップロードに使用するSSH公開キーです。キーの生成手順については、イベント ソースでの鍵ペアの作成およびLog Collectorへの公開鍵のインポート を参照してください。

注:ファイル収集が停止した場合に、authorized_keysファイルが、このパラメーターで追加または変更されたSSH公開キーに、Security Analyticsで自動的に更新されることはありません。公開キーを更新するには、ユーザーがファイル収集を再開する必要があります。
このパラメーターでは、ファイル収集が実行されていなくても、複数のファイル イベント ソースについて公開キーの値を追加または変更できますが、ファイル収集が再開されるまでは、authorized_keysファイルが更新されません。

エラー ファイルの管理

デフォルトで、Log Collectorは[ファイル ディスク クォータ]パラメーターを使用して、ディスクがエラー ファイルでフルにならないようにします。このパラメータを[有効]に設定すると、次のいずれかを指定できます。

  • エラー ファイルのサイズ]パラメータでエラー ファイルに割り当てる最大容量を指定します。
  • エラー ファイル数]パラメータでエラー ファイルの最大数を指定します。

削減量の割合を指定することもできます。このパラメータを指定すると、最大値に達したときに指定された割合でファイルが削減されます。

エラー ファイルを管理する場合は、このチェックボックスをオンにします。このチェックボックスは、デフォルトではオンになっていません。

エラー ファイルのサイズ

エラー ファイルの管理]および[エラー時に保存]パラメーターが[有効]に設定されている場合のみ設定できます。
Security Analyticsがどれだけのエラー ファイルを保存するかを指定します。指定する値は、errorディレクトリにあるすべてのファイルの最大合計サイズです。

有効な値の範囲は0281474976710655です。これらの値は、KB単位、MB単位、GB単位のいずれかで指定します。デフォルト値は100 MBです。このパラメータを変更した場合、収集を再開するまで、またはLog Collectorのサービスを再起動するまで、変更は有効になりません。

エラー ファイル数

エラー ファイルの管理]および[エラー時に保存]パラメーターが[有効]に設定されている場合のみ設定できます。errorディレクトリで許可されるエラー ファイルの最大数を指定します。有効な値の範囲は065536です。デフォルト値は65536です。

このパラメータを変更した場合、収集を再開するまで、またはLog Collectorのサービスを再起動するまで、変更は有効になりません。

エラー ファイルの削減量

ファイルが最大サイズまたは最大数に達したときに、Log Collectorサービスが削除するエラー ファイルのサイズまたは数の割合を指定します。サービスは、最初に最も古いファイルから削除します。

有効な値の範囲は0100です。デフォルト値は10です。

保存ファイルの管理

保存ファイルを管理する場合は、このチェックボックスをオンにします。このチェックボックスは、デフォルトではオンになっていません。
デフォルトで、Log Collectorは[ファイル ディスク クォータ]パラメーターを使用して、ディスクが保存ファイルでフルにならないようにします。このチェックボックスをオンにすると、次のいずれかを指定できます。

  • 保存ファイルのサイズ]パラメータで保存ファイルに割り当てる最大容量を指定します。
  • 保存ファイル数]パラメータで保存ファイルの最大数を指定します。

削減量の割合を指定することもできます。このパラメータを指定すると、最大値に達したときに指定された割合でファイルが削減されます。

保存ファイルのサイズ

保存ファイルの管理]および[成功時に保存]パラメーターが[有効]に設定されている場合のみ設定できます。
saveディレクトリに格納するすべてのファイルの最大合計サイズを指定します。有効な値の範囲は0281474976710655です。これらの値は、KB単位、MB単位、GB単位のいずれかで指定します。デフォルト値は100 MBです。

このパラメータを変更した場合、収集を再開するまで、またはLog Collectorのサービスを再起動するまで、変更は有効になりません。

保存ファイル数

保存ファイルの管理]および[成功時に保存]パラメーターが[有効]に設定されている場合のみ設定できます。saveディレクトリで許可されるエラー ファイルの最大数を指定します。有効な値の範囲は065536です。デフォルト値は65536です。

このパラメータを変更した場合、収集を再開するまで、またはLog Collectorのサービスを再起動するまで、変更は有効になりません。

保存されたファイルの削減量

ファイルが最大サイズまたは最大数に達したときに、Log Collectorサービスが削除する保存ファイルのサイズまたは数の割合を指定します。サービスは、最初に最も古いファイルから削除します。

有効な値の範囲は0100です。デフォルト値は10です。

Debug

注意:イベント ソースに問題が発生し、その問題を調査する必要がある場合にのみ、デバッグを有効に(このパラメーターを「On」または「Verbose」に設定)します。デバッグを有効にすると、Log Collectorのパフォーマンスに影響があります。

イベント ソースのデバッグ記録を有効または無効にします。
有効な値は次のとおりです。

  • Off = (デフォルト)無効
  • On = 有効
  • Verbose = verboseモードで有効になります。スレッド情報とソース コンテキスト情報をメッセージに追加します。

このパラメータは、イベント収集の問題をデバッグまたは監視するような状況で使用するよう設計されています。パフォーマンスへの影響を最小限にするために、デバッグのVerboseモードは、監視するイベント ソース数が限定された環境で設定するようにしてください。

この値を変更すると、変更はすぐに反映されます(再起動は不要です)。

キャンセルイベント ソースを追加または保存せずに、ダイアログを閉じます。
OKイベント ソースを追加または保存します。

タスク:

ステップ1:Security Analyticsでのファイル イベント ソースの構成

ステップ2:Security Analyticsにイベントを送信するためのファイル イベント ソースの構成

You are here
Table of Contents > ファイル収集プロトコル構成ガイド > 参考資料:ファイル収集の構成パラメータ

Attachments

    Outcomes