ステップ3:AWSでのリモートLog Collectorサービスの導入

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、AWS環境にリモートLog Collectorサービスを導入する方法について説明します。自動スクリプトを使用して導入する方法と手動で導入する方法があります。

スクリプトを使用してリモートLog Collectorサービスを導入する

リモートLog Collectorサービスを構成した後で、以下の手順に従って、VM(仮想マシン)にリモートLog Collectorサービスを導入する必要があります。

注:スクリプトを使用することをお勧めします。スクリプトを使用する場合は、次の手順に従います。手動でリモートLog Collectorサービスを手動で導入する場合は、「手動でリモートLog Collectorサービスを導入する」セクションを参照してください。

SSHを使用してログインする

スクリプトをダウンロードする前に、以下の手順に従って、仮想マシンのIPアドレスを確認し、SSHを使用してログインする必要があります。

  1. IPアドレスを確認する仮想インスタンスの名前を選択します。
  2. 説明]タブで、プライベートIPアドレスを確認します。

次の画面が表示されます。

  1. PuTTYなどのSSHクライアントを使用して、仮想インスタンスにSSHでログインします。PuTTYの手順を説明しますが、任意のSSHクライアントを使用できます。
  2. PuTTYを使用している場合は、次のコマンドを実行してリモートLog Collectorに接続します。
    putty.exe

次の画面が表示されます。

  1. 前の画面で確認したプライベートIPアドレスを入力します。
  2. Connection Type]で、[SSH]を選択します。
  3. Open]をクリックします。

次の画面が表示されます。

  1. [Connection]>[SSH]>[Auth]を選択します。
  2. Browse]をクリックして、秘密キー ファイルを選択します。
  3. Open]をクリックすると、仮想インスタンスに接続します。

CentOSベースのリポジトリを無効化する

CentOSベースのリポジトリを無効化するには、次の手順を実行します。

  1. 次のコマンドを実行します。
    sudo vi /etc/yum.repos.d/CentOS-Base.repo
  2. /etc/yum.reposディレクトリにあるCentOS-Base.repoファイルに、「enabled=0」の記述が含まれることを確認します。
    ファイルの内容は、以下の例のようになります。
    [base]
    name=CentOS-$releasever - Base
    mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo
    =os
    #baseurl=http://mirror.centos.org/centos/$releasever/os/$basearch/
    gpgcheck=1
    gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6
    enabled=0

AWSスクリプトをダウンロードする

注:各スクリプトを実行する時に、https://community.rsa.comのユーザー名とパスワードを入力する必要があります。

次の場所からマシンに、AWSスクリプトをダウンロードすることができます。

aws_vlc_preinstall.sh - https://community.rsa.com/docs/DOC-53180
aws_vlc_postinstall.sh - https://community.rsa.com/docs/DOC-53201
aws_vlc_start_services.sh - https://community.rsa.com/docs/DOC-53202

ダウンロードしたスクリプトをWinSCPでコピーする

AWSスクリプトをローカル マシンにダウンロードした後、WinSCPなどのSFTPクライアントを使用して、リモートLog Collectorの仮想マシンに接続し、スクリプトを転送する必要があります。

仮想マシンにSFTPで接続するには、WinSCPを起動し、次の手順を実行します。

[WinSCP Login]ダイアログ ボックスで、次の手順を実行します。

  1. New Site]ノードが選択されていることを確認します。
  2. New Site]ノードのフィールドで、[SFTP]プロトコルを選択します。
  3. Host name]を入力します。
  4. デフォルトのユーザー名を入力します。

  5. パスワード フィールドは空白のままにします。
  6. Save]ボタンをクリックして設定を保存します。
  7. Login]ボタンをクリックしてログインします。
  8. ステップ1:AWSへのログインとインスタンスの作成」の「キー ペアの作成」セクションで作成したキーを参照し、ホスト キーを確認します。



  1. ダウンロードしたスクリプトを、ローカルPCからリモートLog Collectorのホーム ディレクトリにコピーします。
  2. SSHを使用してログインする」セクションの手順に従って、AWSの仮想マシンにSSHでログインします。
  3. 次のコマンドを使用して、ホーム ディレクトリに移動します。
    cd ~
  4. スクリプトを実行する前に、次のコマンドを実行して実行権限を付与します。
    sudo chmod +x aws_vlc_preinstall.sh
    sudo chmod +x aws_vlc_preinstall.sh
    sudo chmod +x aws_vlc_start_services.sh

ファイアウォールに許可ルールを構成

注:リモートLog CollectorとSecurity Analyticsサーバの間、Log Decoder上で稼働するLog Collectorとの間でポートを開く必要があります。

次の表に示されているように、リモートLog Collector(AWS)とNetWitnessコンポーネントの間の通信を許可するようにファイアウォールを構成します。

                                                                                                 
From ホストTo ホストTo ポート(プロトコル)コメント

Security Analyticsサーバ

リモートLog Collector

56001(TCP)または

50001(TCP)

SSLまたは

非SSL

 

Security Analyticsサーバ

リモートLog Collector

50101(TCP)

REST(オプション)

Security AnalyticsサーバリモートLog Collector5672(TCP)RabbitMQ
Security AnalyticsサーバリモートLog Collector50055(TCP)

RSA-SMS

Security AnalyticsサーバリモートLog Collector50056(TCP)RSA-SMS

リモートLog Collector

Security Analyticsサーバ

8140(TCP)

Puppet

Security AnalyticsサーバリモートLog Collector61614(TCP)MCollective

リモートLog Collector

Security Analyticsサーバ

61614(TCP)

MCollective

Security AnalyticsサーバリモートLog Collector15671(TCP)Puppet

リモートLog Collector

Security Analyticsサーバ

15671(TCP)

Puppet

プル モード:    
Log Collector(Log Decoder上)リモートLog Collector5671(TCP)RabbitMQ
プッシュ モード:    
リモートLog Collector Log Collector(Log Decoder上)5671(TCP)RabbitMQ

AWSスクリプトの実行

スクリプトを使用して、AWS上のリモートLog Collectorサービスをセットアップするには、次の手順を実行します。

  1. 次のコマンドを実行し、ホーム ディレクトリに移動します。
    cd ~

注:各スクリプトを実行する時に、https://community.rsa.comで入力するRSAコミュニティのユーザー名とパスワードを入力する必要があります。

  1. 次のコマンドを実行して、rootユーザーを設定します。
    sudo password root
    Passwd
    (パスワードを入力し、再入力します)
  2. rootとしてログインし、次のコマンドを実行します。
    su root
  1. aws_vlc_preinstall.shスクリプトを実行します。
    このスクリプトは、必要なすべての依存関係およびパッケージをインストールするsa.repoファイルを作成します。
    スクリプトを実行すると、次の3つのパラメータの入力を求められます。
    -Liveアカウントのユーザー名
    -Liveアカウントのパスワード
    -インストールするLog Collectorのバージョン
  2. 次のコマンドを実行して、スクリプトを実行します。
    ./aws_vlc_preinstall.sh

 

  1. aws_vlc_postinstall.shスクリプトを実行します。このスクリプトは、ホスト名を変更し、Security Analyticsサーバのアドレスを構成します。
    パラメータとして、ホスト名Security AnalyticsのIPアドレスの2つを指定する必要があります。次の例に示すように、パラメータは、一重引用符で囲み、スペースで区切って指定してください。
    ./aws_vlc_postinstall.sh '<ホスト名>' '<Security Analytics ServerのIPアドレス>'

 

  1. aws_vlc_postinstall.shスクリプトが実行された後、仮想マシンが自動的に再起動されたら、リモートLog Collectorに再びログインします。

  2. 仮想マシンが再起動した後、以下の手順に従って、AWSのリモートLog CollectorとSecurity Analyticsサーバの間で時刻を同期する必要があります。
    -前に説明した手順に従って、SSHを使用して仮想マシンにログインします。
 

時刻の同期

仮想マシンが再起動した後、以下の手順に従って、AWSのリモートLog CollectorとSecurity Analyticsサーバの間で時刻を同期する必要があります。

  1. SSHを使用してログインする」で説明されている手順に従って、SSHを使用して仮想マシンにログインします。
  2. 次のコマンドを実行して、ホーム ディレクトリに移動します。
    cd ~
  3. 次のコマンドを実行します。
    su root
  4. AWSのリモートLog CollectorサービスとSecurity Analyticsサーバの間で日付と時刻を同期するには、次の手順に従います。
    a. Security AnalyticsサーバとリモートLog Collectorの両方で、次のコマンドを実行して現在の日付と時刻を取得します。
    date
    b. 日付と時刻が同期していない場合は、AWSのリモートLog Collectorで次のコマンドを実行して日付と時刻を設定します。

    date --set="MM/DD/YYYY"
    date --set="HH:MM:SS"
  5. aws_vlc_start_services.shスクリプトを実行します。このスクリプトは、必要なすべてのサービスを開始します。
    ./aws_vlc_start_services.sh
  6. Security Analyticsサーバにログインします。Security Analyticsメニューで、[Administration]>[ホスト]を選択します。
  7. 検出]をクリックします。

検出]をクリックした後、次の画面が表示されます。


7. アプライアンスとホストを選択し、[有効化]をクリックしてアプライアンスを有効にします。

注:プロビジョニング中にエラーが発生した場合は、「トラブルシューティング」セクションを参照してください。

Log Collectorコンテンツの導入

Security Analyticsサーバで、Liveを使用して、Log CollectorのnwlogcollectorcontentをリモートLog Collector(AWS)に導入する必要があります。

  1. Security Analyticsメニューで、[Live]>[検索]を選択します。
  2. リソース タイプ]ドロップダウン メニューで、[RSA Log Collector]を選択します。
  3. 検索]を選択します。

リモートLog Collectorサービス(AWS)が稼働していれば、[Administration]>[サービス]ページで確認できます。

詳細については、RSA Linkにある「Liveサービス ガイド」を参照してください。

https://community.rsa.com/docs/DOC-41548からアクセスできます。

 

手動でリモートLog Collectorサービスを導入する

リモートLog Collectorサービスを手動で導入するには、次の手順に従います。

注:スクリプトを使用して導入することを推奨します。

SSHを使用してログインする

スクリプトをダウンロードする前に、以下の手順に従って、仮想マシンのIPアドレスを確認し、SSHを使用してログインする必要があります。

  1. IPアドレスを確認する仮想インスタンスの名前を選択します。
  2. 仮想インスタンスを選択したら、[説明]タブで、プライベートIPアドレスを確認します。

次の画面が表示されます。

  1. PuTTYなどのSSHクライアントを使用して、仮想インスタンスにSSHでログインします。PuTTYの手順を説明しますが、任意のSSHクライアントを使用できます。
  2. PuTTYを使用している場合は、次のコマンドを実行してLinuxマシンに接続します。
    putty.exe

次の画面が表示されます。

  1. 前の画面で確認したプライベートIPアドレスを入力します。
  2. Connection Type]で、[SSH]を選択します。
  3. Close window on exit]で、利用可能なオプションのいずれかを選択します。
  4. Open]をクリックします。

次の画面が表示されます。

  1. [Connection]>[SSH]>[Auth]を選択します。
  2. Browse]をクリックして、秘密キー ファイルを選択します。
  3. Open]をクリックすると、仮想インスタンスに接続します。

CentOSベースのリポジトリを無効化する

CentOSベースのリポジトリを無効化するには、次の手順を実行します。

  1. 次のコマンドを実行します。
    sudo vi /etc/yum.repos.d/CentOS-Base.repo
  2. /etc/yum.reposディレクトリにあるCentOS-Base.repoファイルに、「enabled=0」の記述が含まれることを確認します。
    ファイルの内容は、以下の例のようになります。
    [base]
    name=CentOS-$releasever - Base
    mirrorlist=http://mirrorlist.centos.org/?release=$releasever&arch=$basearch&repo
    =os
    #baseurl=http://mirror.centos.org/centos/$releasever/os/$basearch/
    gpgcheck=1
    gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-CentOS-6
    enabled=0

rootユーザーを設定する

リモートLog Collectorを手動で導入するには、次の手順に従います。

  1. 次のコマンドを実行して、rootユーザーを設定します。
    sudo passwd root
    password(パスワードを入力し、再入力します)
  2. 次のコマンドを実行して、rootとしてログインします。
    su root
  1. 次のコマンドを実行して、repoファイルを設定します。
    cd /etc/yum.repos.d
    vi sa.repo

注:以下の内容をコピーし、sa.repoファイルに貼り付けます。LiveAccountUsernameとLiveAccountPasswordは、使用するLiveアカウントの認証情報に置き換えます。

[sa]

name=SA Yum Repo

baseurl=https://<LiveAccountUsername>:<LiveAccountPassword>@smcupdate

.emc.com/nw10/rpm/

enabled = 1

protect = 0

gpgcheck = 0

sslVerify = 1

metadata_expire = 1d

failovermethod=priority

4. sa.repoファイルを保存します。
<ESC>キーを押し、:wq!と入力すると、変更を保存してファイルが閉じます。

5. 次のコマンドを実行して、依存関係をダウンロードし、インストールします。

yum install nwconsole

yum install nwappliance

yum install nwsdk

yum install nwlogcollector

yum install nwsupport-script

yum install (res-protobuffs,rsa-audit-rt,rsa-collectd,rsasa-

sshconfig,rsa-sms-runtime-rt,rsa-sa-tools,rsa-gpgpubkeys,

rsa-mcollective-agents)

yum install mcollective-*

yum install puppet

通信を設定する(AWS側)

AWS側の通信を設定するには、次の手順を実行します。

  1. hostnameファイルを編集し、次に示すように2つの場所にホスト名を追加します。
    vi /etc/hostname
    vi /etc/sysconfig/network
  1. <ESC>キーを押し、:wq!と入力すると、変更を保存してファイルが閉じます。
  2. hostsファイルを編集して、hostnameファイルに追加したホスト名を追加します。また、Security AnalyticsサーバのIPアドレスを、puppetmaster.localとして追加します。
    vi /etc/hosts
    ファイルの内容は、次の例のようになります。
    127.0.0.1 <hostname> localhost.localdom localhost
    ::1 < hostname> localhost.localdom localhost ip6-localhost ip6-loopback
    <SA IP> puppetmaster.local
  3. これ以降の手順で、ノードIDが必要になります。次のコマンドを実行して、ノードIDを取得します。
    /etc/puppet/scripts/node_id.py
  4. puppet.confファイルを編集して、certname=node_id行とserver=puppetmaster.local行を追加します。node_idは前の手順で取得したノードIDに置き換えます。
    vi /etc/puppet/puppet.conf
    ファイルの内容は、次の例のようになります。
    [main]
    rundir = /var/run/puppet
    logdir = var/log/puppet
    ssldir = $vardir/ssl
    certname = <node_id>
    [agent]
    localconfig = $vardir/localconfig
    classfile = $vardir/classes.txt
    server = puppetmaster.local
  5. 次のコマンドを実行してcsr_attributes.yamlファイルを作成し、リモートLog Collectorのホスト名とIPアドレスに置換します。
    vi /etc/puppet/csr_attributes.yaml
    ファイルの内容は次の例と正確に一致する必要があります。
    custom_attributes:
    1.2.840.113549.1.9.7: fqdn=<hostname>, ipaddress=<ip of the system(awsvlc)>,type=base
  6. 次のコマンドを実行して、システムを再起動します。
    reboot
  7. 前述の「SSHを使用してログインする」セクションの手順に従って、SSHを使用してリモートLog Collectorにログインします。
  8. rootとしてログインし、次のコマンドを実行します。
    su root
  9. 次のコマンドを実行して、Log CollectorがリモートLog Collectorとして設定され、すべてのサービスが実行されていることを確認します。
    vi / etc/netwitness/ng/logcollection/logCollectionType
    ファイルの内容は、次の行と同じである必要があります。
    RC
  10. AWSのリモートLog CollectorサービスとSecurity Analyticsサーバの間で日付と時刻を同期するには、次の手順に従います。
    a. Security AnalyticsサーバとリモートLog Collectorの両方で、次のコマンドを実行して現在の日付と時刻を取得します。
    date
    b. 日付と時刻が同期していない場合は、AWSのリモートLog Collectorで次のコマンドを実行して日付と時刻を設定します。

    date --set="MM/DD/YYYY"
    date --set="HH:MM:SS"
  11. 次のコマンドを実行して、必要なサービスを開始します。
    service rabbitmq-server start
    service puppet start
    service mcollective start
    start nwlogcollector

ファイアウォールのルールを構成する

注:リモートLog CollectorとSecurity Analyticsサーバの間、Log Decoder上で稼働するLog Collectorとの間でポートを開く必要があります。

次の表に示されているように、リモートLog Collector(AWS)とNetWitnessコンポーネントの間の通信を許可するようにファイアウォールを構成します。

                                                                                                 
From ホストTo ホストTo ポート(プロトコル)コメント

Security Analyticsサーバ

リモートLog Collector

56001(TCP)または

50001(TCP)

SSLまたは

非SSL

 

Security Analyticsサーバ

リモートLog Collector

50101(TCP)

REST(オプション)

Security AnalyticsサーバリモートLog Collector5672(TCP)RabbitMQ
Security AnalyticsサーバリモートLog Collector50055(TCP)

RSA-SMS

Security AnalyticsサーバリモートLog Collector50056(TCP)RSA-SMS

リモートLog Collector

Security Analyticsサーバ

8140(TCP)

Puppet

Security AnalyticsサーバリモートLog Collector61614(TCP)MCollective

リモートLog Collector

Security Analyticsサーバ

61614(TCP)

MCollective

Security AnalyticsサーバリモートLog Collector15671(TCP)RabbitMQ

リモートLog Collector

Security Analyticsサーバ

15671(TCP)

RabbitMQ

プル モード:    
Log Collector(Log Decoder上)リモートLog Collector5671(TCP)RabbitMQ
プッシュ モード:    
リモートLog Collector Log Collector(Log Decoder上)5671(TCP)RabbitMQ

各アプライアンスで開く必要があるポートについては、次のリンクで確認できます:https://community.rsa.com/docs/DOC-54917

Security AnalyticsサーバでリモートLog Collectorを有効化する

1. Security AnalyticsサーバでリモートLog Collectorを有効にするには、次のコマンドを実行します。

puppet agent -t --waitforcert 30

通信を設定する(NetWitness側)

NetWitness側での通信を設定するには、次の手順を実行します。

  1. Security Analyticsサーバにログインします。
    Security Analyticsメニューで、[Administration]>[ホスト]を選択します。
  2. 検出]をクリックします。


次の画面が表示されます。

2. アプライアンスとホストを選択し、[有効化]をクリックします。

Log Collectorコンテンツの導入

Security Analyticsサーバで、Liveを使用して、Log CollectorのnwlogcollectorcontentをリモートLog Collector(AWS)に導入する必要があります。

  1. Security Analyticsメニューで、[Live]>[検索]を選択します。
  2. リソース タイプ]ドロップダウン メニューで、[RSA Log Collector]を選択します。
  3. 検索]を選択します。

リモートLog Collectorサービス(AWS)が稼働していれば、[Administration]>[サービス]ページで確認できます。

詳細については、RSA Linkにある「Liveサービス ガイド」を参照してください。

https://community.rsa.com/docs/DOC-41548からアクセスできます。

 

You are here
Table of Contents > AWSへのリモートLog Collectorサービスの構成と導入 > ステップ3:AWSでのリモートLog Collectorサービスの導入

Attachments

    Outcomes