ログ収集の導入:基本的な操作

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、組織のニーズに合わせてログ収集を導入するための基本的な手順の概要を示します。

ログ収集の導入方法

組織のニーズに従って、ログ収集を導入できます。これには、複数の設置場所にまたがるログ収集の導入、さまざまなイベント ソースからのデータ収集が含まれます。こうした設定を実装するには、複数のリモートCollectorとローカルCollectorをセットアップします。

ログ収集のコンポーネント

次の図に、Security Analytics Log Collectorを通じたイベント収集に関わるすべてのコンポーネントを示します。

LC_Deployment.png

Log Collectorのイベント ソース コンテンツの詳細については、「ログ収集の構成ガイド」のトピック「Security Analyticsにイベントを送信するためのイベント ソースの構成」を参照してください。

ローカルCollectorおよびリモートCollector

次の図に、ローカルCollectorおよびリモートCollectorがすべての場所からイベントを収集する方法を示します。

このようなシナリオでは、WindowsやODBCなどの各種プロトコルからのログ収集は、リモートCollectorとLog Collectorサービスの両方で実行されます。ログ収集がローカルCollectorによって行われた場合、ローカルの導入シナリオと同様に、Log Decoderサービスに転送されます。収集がリモートCollectorによって行われた場合、これらがローカルCollectorに転送される方法は2つあります。

  • プル構成:ローカルCollectorから、イベントをプルするリモートCollectorを選択する。
  • プッシュ構成:リモートCollectorから、イベントをプッシュするローカルCollectorを選択する。

イベント データをローカルCollectorにプッシュするように1つ以上のリモートCollectorを構成するか、あるいは1つ以上のリモートCollectorからイベント データをプルするようにローカルCollectorを構成することができます。

10.4以降のリモートCollectorリリースでは、以下のようにリモートCollectorのチェーンをセットアップできます:

  • 1つのリモートCollectorにイベント データをプッシュする1つ以上のリモートCollector。
  • 1つ以上のリモートCollectorからイベント データをプルする1つのリモートCollector。

注: リモートCollectorチェーンの場合、次の制限があります。
チェーンで転送されるデータは、10.4以降のリモートCollectorから他の10.4以降のリモートCollectorに、または10.4以降のローカルCollectorにプッシュする必要があります。
1つ以上の10.4以降のリモートCollectorからデータをプルするには、10.4以降のリモートCollectorを使用します。

RC-Deployment.png

Windows Legacy リモートCollector

次の図に、Windows Legacy(Windows 2003/2000およびNetApp)イベント ソースからイベントを収集するために必要な構成を示します。

Windows_Legacy_Mult-Domain_Data_Flow.png

Next Topic:手順
You are here
Table of Contents > ログ収集の導入ガイド > 基本的な操作

Attachments

    Outcomes