SFTP Agentのインストールと更新

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

概要

このトピックでは、RSA Security Analytics Secure FTP Agentのダウンロード方法と、ログ収集のための適切な変更を行う方法について説明します。

ファイル イベント ソースからLog Collectorにイベントをアップロードするには、SFTPプロトコルを使用する必要があります。イベント ソースの構成に関する詳細については、トピック:ファイル収集プロトコル構成ガイド を参照してください。

RSAは、RSA Security Analytics Secure FTP Agentを使用することを推奨します。このエージェントは、RSA SCOL(SecurCare Online)RSA Link Webサイトからダウンロードできます。SCOLSFTP Agentは、SFTP Agentをインストールするためのバイナリで構成されています。このドキュメントの説明に従ってこれらのバイナリを構成します。インストール プロセスの一環として、公開/秘密鍵のペアを生成します。

Log Collectorにデータを送信する各Windowsイベント ソースでファイル転送用のユーザー アカウントを作成する必要があります。このアカウントには任意の名前を付けることができますが、このドキュメントではsftpという名前のアカウントを使用しています。

SA SFTP Agentのインストールと更新

次のステップを実行して、イベント ソースでSA SFTP Agentを構成します。

  1. イベント ソースでMicrosoft Visual C++ 2005再頒布可能パッケージを実行します
  2. イベント ソースでSA SFTP Agentをインストールします
  3. イベント ソースで鍵のペアを生成し、公開鍵をLog Collectorにインポートします
  4. SA SFTP Agentサービスを実行するためのユーザー アカウントを選択します
  5. 接続のための鍵をキャッシュします
  6. イベント ソースでSA SFTP Agentを設定します
  7. Windowsの[サービス]コントロール パネルからSA SFTP Agentサービスを開始します

Microsoft Visual C++ 2005再頒布可能パッケージの実行

Microsoft Visual C++ 2005再頒布可能パッケージを実行するには、次の操作を行います。

  1. イベント ソースに次のパッケージのいずれかをダウンロードします。

  2. Download]をクリックしてvcredist_x86.exeを実行します。

イベント ソースでのSA SFTP Agentのインストール

注意:RSA Security Analytics Secure FTP Agentを使用する必要があります。

イベント ソースでSA SFTP Agentをインストールするには、次の操作を行います。

  1. RSA SCOL(SecurCare Online)でRSA Security Analytics Secure FTP Agentを検索します。
  2. お使いのOSを選択します。

    • Windowsクライアントの場合は、[Secure FTP Agent]をクリックしてバイナリをダウンロードします。
    • UNIXクライアントの場合は、[Unix Secure FTP Agent]をクリックしてバイナリをダウンロードします。
  3. 残りの手順を実行して、イベント ソースにSFTP Agentをインストールします。

イベント ソースでの鍵ペアの作成およびLog Collectorへの公開鍵のインポート

イベント ソースで鍵のペアを生成し、公開鍵をLog Collectorにインポートするには、次の操作を行います。

  1. C:\sasftpagentディレクトリでputtygen.exeをダブル クリックします。PuTTY Key Generatorが起動します。
  2. 生成する鍵のタイプとしてSSH2 RSAを選択します。
  3. 生成]をクリックして、鍵が生成されるまでPuTTY Key Generatorのウィンドウでマウスを動かします。
  4. 秘密鍵を保存します。

    1. 秘密鍵の保存]をクリックします。
    2. はい]を選択してパスフレーズを使用しないようにします。
    3. C:\sasftpagentディレクトリに、private.ppkのファイル名で保存します。
  5. Log Collectorに公開鍵を追加します。

    1. 公開鍵をコピーします。コピーした公開鍵は、ステップ5bでSecurity Analyticsのパラメータに貼り付けます。

      次の例では、公開鍵が赤色のボックスで囲まれています。

    2. バッファからSecurity Analyticsの[イベント ソースSSHキー]パラメータに公開鍵を貼り付けます。詳細については、「RSA Security Analyticsログ収集ガイド」の「ファイル イベント ソースの構成」トピックを参照してください。

  6. puttygenを終了します。

SFTP Agentサービスを実行するためのユーザー アカウントの選択

Log Collectorに公開鍵をインポートした後は、次の操作を行う必要があります。

  • 既存のユーザー アカウントを選択する。
  • SFTP Agentサービスを実行するためのユーザー アカウントを作成する。

イベント ソースでユーザー アカウントを作成するには、次の操作を行います。

  1. Windowsの[スタート]メニューで、[プログラム]>[管理ツール]>[ActiveDirectoryユーザーおよびコンピューター]の順に選択します。
  2. [アクション]>[新規作成]>[ユーザー]の順にクリックして、サービスを実行する新しいユーザーを作成します。

    注:ユーザー アカウントは、ローカル管理者グループのメンバーである必要があります。また、アカウントにはLog Collectorに送信されるファイルに対するアクセス権限も必要です。

  3. このユーザー アカウントを使用するよう、SA SFTP Agentサービスを変更します。

    1. SA SFTP Agentを右クリックして、[プロパティ]を選択します。
    2. ログオン]タブをクリックします。
    3. このアカウントを選択します。
    4. SFTP Agentサービスを実行するために使用するアカウントのユーザー名とパスワードを入力します。
    5. OK]をクリックします。
  4. イベント ソースからログオフし、新しいユーザー アカウントを使用して再びログオンします。

    注:これらのステップを実行するユーザー アカウントは、サービスを実行するユーザーと同じである必要があります。

  5. 接続のための鍵をキャッシュします。

接続のための鍵のキャッシュ

SA SFTP Agentサービスを実行するユーザー アカウントを作成した後は、イベント ソースからLog Collectorに接続するための鍵をキャッシュする必要があります。

イベント ソースで鍵をキャッシュするには、次の操作を行います。

  1. SA SFTP Agentサービス用に選択したアカウントでマシンにログオンします。
  2. C:\sasftpagentディレクトリから次のコマンドを実行します。

    psftp -i private.ppk -l sftp -v ngc-ip

    ここで、

    • private.ppkは秘密鍵が含まれるファイルです
    • ngc-ipはLog CollectorのIPアドレスです

    システムにより、サーバ ホスト キーがレジストリにないことを示すメッセージが表示されます。

  3. Yと入力してEnterキーを押し、ホストを信頼します。
  4. psftpプロンプトでquitと入力し、Enterキーを押します。

これで、鍵がイベント ソースのレジストリにキャッシュされました。

イベント ソースでのSA SFTP Agentの設定

イベント ソースでSA SFTP Agentを設定するには、次の操作を行います。

  1. SA SFTP Agentのインストール ディレクトリに移動します(デフォルト ディレクトリはC:\sasftpagentです)。
  2. サンプル構成ファイルがsasftpagentディレクトリにあります。これらのサンプルには、対応するイベント ソースに基づいて名前が付けられています。たとえば、Microsoft IISイベント ソースのサンプルSFTP構成ファイルの名前は、sftpagent.conf.microsoftiisです。
  3. ファイルC:\sasftpagent\sftpagent.confを作成し、次の凡例に従い適切なサンプル ファイルを使用して構成します。

                                                   
    パラメータ説明
    agent.logginhost

    ログが送信されるLog Collectorのホスト名またはIPアドレスです。

    dir0

    ローカルWindowsシステム上のイベント ソースのログ ファイルの場所です。

    dir0.filespec

    前述の場所からLog Collectorに送信するファイルです。この例では、*.log拡張子を持つすべてのファイルがLog Collectorに送信されます。

    dir0.interval

    ファイル転送の間隔です。この値は変更することができます。

    dir0.has_header

    ログ ファイルの上部にヘッダーがある場合には、trueに設定します。ログ ファイルにヘッダーがない場合には、falseに設定します。

    dir0.compression

    値には、trueまたはfalseを指定します。

    • 圧縮を使用するには、trueに設定します。ログ ファイルは圧縮され、.gz形式でLog Collectorに送信されます。
    • ファイル圧縮を使用しない場合は、falseに設定します。

    dir0.enabled

    値はtrueに設定します。falseに変更するとLog Collectorにログ ファイルが送信されないため、この値は変更しません。

    dir0.ftp

    Log Collector-ip-address,sftp,sftp,publickey,//upload/event-source-type/filedirectory

    このパスは、Log Collectorの次の場所を指します。

    /var/netwitness/logcollector/upload/

    パスの最後に付け加えられているのは、Security Analyticsユーザー インターフェイスでイベント ソースを作成したときに[格納先ディレクトリ名]パラメータに入力した値です。

    dir0.delete_after_read

    値はtrueまたはfalseです。trueの値にすると、エージェントがログを宛先に送信した後にファイルが削除されます。

  4. ファイル名が変わらないように(つまり、ファイルに.txt拡張子を付け加えないようにして)、ファイルを保存します。

Windowsの[サービス]コントロール パネルからのSA SFTP Agentサービスの開始

  1. コマンド ライン上で、services.mscと入力します。
  2. SA SFTP Agentサービスを起動します。

構成ファイルの例

次に、さまざまなイベント ソース用のsftpagent.confファイルの例を示します。

Microsoft IISサーバの設定用の構成ファイルの例:

agent.logginghost=<ngc-ip>
dir0=C:\inetpub\logs\LogFiles\W3SVC1
dir0.filespec=*.log
dir0.interval=60
dir0.has_header=false
dir0.compression=false
dir0.enabled=true
dir0.ftp=<ngc-ip>,>,sftp,sftp,publickey,//upload/iis_tvm/IIS
dir0.delete_after_read=true

Apacheイベント ソースの設定用の構成ファイルの例:

dir0=C:\Program Files\Apache Group\Apache2\logs
dir0.filespec=access_log*
dir0.interval=60
dir0.has_header=false
dir0.compression=true
dir0.enabled=true
dir0.ftp=enVisionIP,nic_sshd,publickey,APACHE_10.10.31.155

SA SFTP Agentのトラブルシューティング

トラブルシューティングを行うには、まずサービスを停止してから、デバッグ メッセージを表示するためのコマンドを実行する必要があります。

SA SFTP Agentのトラブルシューティングを行うには、次の操作を行います。

  1. Windowsの[サービス]ウィンドウから、SA SFTP Agentサービスを停止します。
  2. 新しいコマンド シェルを開き、SA SFTP Agentのインストール ディレクトリにディレクトリを変更します。
  3. 次のように入力します。

    sasftpagent -v

  4. 表示されるデバッグ メッセージを確認します。

次のセクションでは、いくつかの考えられるメッセージと修正方法について説明します。

SFTP Agent構成ファイルを開く際のエラー

SFTP構成ファイルが見つからない場合、次のエラーが表示されます。

Error opening file: sftpagent.conf

この問題を解決するには、ファイルを見つけるか再度作成して、SA SFTP Agentのインストール ディレクトリに移動します。

秘密鍵の問題

キー ファイルの生成に問題がある場合は、次のようなメッセージが表示されることがあります。

Reading private key file "private.ppk"
Unable to use this key file (unable to open file)
Unable to use key file "private.ppk" (unable to open file)

または、鍵の問題がある場合には次のようなメッセージが表示されることがあります。

Offered public key
Server refused our key
Server refused public key

この問題を解決するには、鍵のペアを再生成し、Log Collectorにキーをプッシュします。

You are here
Table of Contents > SFTP Agentのインストールと更新

Attachments

    Outcomes