Windowsイベント ソース構成パラメータ

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Log CollectorにWindowsイベント ソースを構成する方法について説明します。

Log Collectorサービスの[構成]ビュー>[イベント ソース]タブにある[Windows/構成]オプションを使用すると、Windowsイベント ソースを構成できます。

Windowsイベント ソース構成パラメーターにアクセスするには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. サービス]グリッドで、Log Collectorサービスを選択します。
  3. アクション]列で、Actions menu cropped[表示]>[構成]を選択します。
  4. イベント ソース]タブで、ドロップダウン メニューから[Windows/構成]を選択します。

WinEvSrcTb.png

機能

[イベント ソース]タブの[Windows/構成]ビューには2つのパネルがあります。[イベント カテゴリー]と[ホスト]です。

[イベント カテゴリー]パネル

[イベント カテゴリー]パネルでは、Windowsイベント ソース エイリアスのリストを管理します。このパネルで、Windowsイベント ソース エイリアスの追加または削除を行います。

Log Collectorでは、Windowsドメインをエイリアスと呼び、Log Collectorがイベント ソースをグループ化するために使用する構成パラメータを指します。多くの場合、エイリアスは1つの ドメインを定義します。一般的には認証情報(ユーザー名とパスワード)およびチャネルはドメイン全体で共通な場合が多いためです。個別のイベント ソースで設定をカスタマイズする必要がある場合には、同じドメインで複数のエイリアス エントリーを定義する必要があります。

ツールバー

次の表に、ツールバー オプションの説明を示します。

                      
オプション説明
Icon-Add.png新しいWindowsイベント ソースのパラメーターを定義する[イベント ソースの追加]ダイアログを表示します。
Icon_Delete_sm.png選択したWindowsイベント ソース エイリアスを削除します。
icon-edit.png選択したWindowsイベント ソースのパラメーターを編集する[イベント ソースの編集]ダイアログが表示されます。
複数のイベント ソースが選択されている場合、[ソースの一括編集]ダイアログを開き、選択したイベント ソースのパラメーター値を編集できます。 
この機能の詳しい使用手順については、「ログ収集の構成ガイド」でイベント ソースのインポート、エクスポート、編集を一括して行う方法について参照してください。
ImportSourceIcon.PNG一括追加オプション]ダイアログが開きます。このダイアログで、CSV(カンマ区切り)ファイルから一括でイベント ソースのホスト パラメーターをインポートできます。
この機能の詳しい使用手順については、「ログ収集の構成ガイド」でイベント ソースのインポート、エクスポート、編集を一括して行う方法について参照してください。
ExportSourceIcon.PNG選択したイベントソースのパラメータを含む.csvファイルを作成します。
この機能の詳しい使用手順については、「ログ収集の構成ガイド」でイベント ソースのインポート、エクスポート、編集を一括して行う方法について参照してください。
testConnection.PNG選択されたホストの構成パラメーターを検証します。 
イベント ソースへの接続を一括テストする詳細な手順については、「ログ収集の構成ガイド」を参照してください。

[イベント ソースの追加]ダイアログ

このダイアログでは、新しいWindowsイベント ソース エイリアスのパラメータを定義します。

                                             
機能説明
基本
エイリアス*Log Collectorでは、Windowsドメインをエイリアスと呼び、Log Collectorがイベント ソースをグループ化するために使用する構成パラメータを指します。これらのイベント ソース タイプのグループ(たとえば、domain2domain3domain4)では、構成するイベント ソースを分類することができます。
認証方法*認証方法です。有効な値は次のとおりです。
  • 基本(デフォルト)
  • ネゴシエート:KerberosやNTLM(Microsoft Windows NT LAN Manager)での認証を行います。セキュリティ上の理由から、Security AnalyticsではKerberosがサポートされています。
チャネルSecurity Analyticsがイベントを収集するチャネルをコンマ区切りのリストで指定します。このパラメータでは、System, Application, Securityがデフォルト値となっています。このパラメーターの定義に使用する適切なチャネル名を検索するには、「 ステップ1:Security AnalyticsでのWindowsイベント ソースの構成 」の「Windowsイベント ソースでのチャネル名の確認」を参照してください。
括弧を使用して、イベントIDを対象に含めたり対象から除外したりすることができます。  除外フィルタの場合、チャネル名とイベントIDの間に「^」を指定します。複数のイベントIDは、「|」で区切って指定します。  たとえば、「Application^(211|300)」や「System(1010|1012)」とした場合、211と300のアプリケーション イベントが対象から除外され、1010と1012のシステム イベントが対象に含まれます。
チャネルとは、event publisherからイベント ログ ファイルに転送されるイベント ストリームの名前です。多くの事前定義されたWindowsチャネルがあります。チャネルの例を示します。
System:システム サービス アカウント(インストールされたシステム サービス)上で稼働するアプリケーション、またはドライバ、さらにはシステムの稼働状態に関するイベントを出力するコンポーネントやアプリケーションなどに関するイベントです。
Application:すべてのユーザー レベル アプリケーションに関するイベントです。このチャネルはセキュリティが設定されていないため、どのアプリケーションからもアクセスすることができます。ある特定のアプリケーションの情報が膨大な場合、アプリケーション固有のチャネルを定義する必要があります。
Security:Windows Local Security Authority専用に使われるWindows監査ログ(イベント ログ)。
Windowsチャネルの詳細については、次を参照してください。http://msdn.microsoft.com/en-us/subscriptions/aa385225 (v=vs.85).aspx
ユーザー名*イベント ソースにアクセスするためのユーザー名です。ネゴシエート認証の場合、name@kerberosdomainという形式のKerberosプリンシパル名を指定する必要があります。例:
logcollector@LAB30.LOCAL
パスワード*イベント ソースにアクセスするためのユーザー パスワードです。パスワードは内部的に暗号化され、暗号化された形式で表示されます。
すべてのイベントの読み取りチャネルからすべての履歴イベント データを読むには、このチェックボックスをオンにします。有効な値は次のとおりです。
  • チェックボックス オン:Log Collectorは指定したチャネルのすべての履歴イベント データからイベントを収集します。
  • チェックボックス オフ(デフォルト):は指定したチャネルのすべての履歴イベント データを収集しません。
拡張
ポーリング最大継続時間ポーリング サイクルの最大継続時間(サイクルがどれだけ続行されるか)(秒)です。
サイクルごとの最大イベント数ポーリング サイクルごとのイベントの最大値(ポーリング サイクルごとに収集されるイベント数)です。
ポーリング間隔ポーリングの間隔(秒)です。デフォルト値は180です。
たとえば、180と指定すると、Collectorは、イベント ソースへのポーリングを180秒ごとに実行します。直前のポーリング サイクル(収集)がまだ完了していない場合、そのサイクルが完了するまで待機します。ポーリング中のイベント ソースが多数ある場合、スレッドがビジーになるため、ポーリングが開始するまでに180秒より長くかかる場合があります。
イベントのレンダリングレンダリングされたイベントをイベント ソースにリクエストする場合は、このチェックボックスをオンにします。
  • チェックボックス オン(デフォルト):Log Collectorは、レンダリングされたイベントをイベント ソースに対してリクエストします。
  • チェックボックス オフ:Log Collectorは、レンダリングされたイベントをイベント ソースに対してリクエストしません。
キャンセルWindowsイベント ソースを追加または変更せずにダイアログを閉じます。
OK現在のパラメータ値を新しいイベント ソース エイリアスとして追加します。

[ホスト]パネル

[ホスト]パネルは、既存のWindowsイベント ソース ホストのリストを表示します。このパネルで、Windowsイベント ソース ホスト(Windowsイベント ソース アドレスおよび関連するパラメータ)を追加または削除します。

ツールバー

次の表に、ツールバー オプションの説明を示します。

                      
オプション説明
Icon-Add.png[ホストの追加]ダイアログが表示されます。このダイアログで、[イベント カテゴリー]パネルで選択したイベント ソース用のホストのパラメータを定義します。
Icon_Delete_sm.png選択したイベント ソース ホストを削除します。
icon-edit.png選択したWindowsイベント ソースのパラメータを編集する[ホストの編集]ダイアログを表示します。
複数のイベント ソースが選択されている場合、[ソースの一括編集]ダイアログを開き、選択したホストのパラメータ値を編集できます。 
この機能の詳しい使用手順については、「ログ収集の構成ガイド」でイベント ソースのインポート、エクスポート、編集を一括して行う方法について参照してください。
ImportSourceIcon.PNG[一括追加オプション]ダイアログが開きます。このダイアログで、CSV(カンマ区切り)ファイルから一括でホストをインポートできます。  [一括追加オプション]ダイアログには、2つのインポート オプションがあります。

この機能の詳しい使用手順については、「ログ収集の構成ガイド」でイベント ソースのインポート、エクスポート、編集を一括して行う方法について参照してください。
ExportSourceIcon.PNG選択したイベントソースのパラメータを含む.csvファイルを作成します。
この機能の詳しい使用手順については、「ログ収集の構成ガイド」でイベント ソースのインポート、エクスポート、編集を一括して行う方法について参照してください。
testConnection.PNG選択されたホストのイベント ソース アドレスを検証します。

[ホストの追加]ダイアログ

次の表に[ホストの追加]ダイアログの機能の説明を示します。

                                                        
説明
基本
イベント ソース アドレス*イベント ソースのIPアドレス。有効な値は、IPv4アドレス、IPv6アドレス、ドメインの完全修飾名を含むホスト名です。Log Collectorは、重複エントリーを避けるために、ホスト名を小文字に変換します。
ポートポート番号。有効なポート番号は1~65535の範囲内にある数字です。
  • WinRM 2.0(Vista以降)は、デフォルトのポートとして、httpでポート5985、httpsでポート5986を使います。
  • WinRM 1.1(Windows 2003)は、デフォルトのポートとして、httpでポート80、httpsでポート443を使います。
転送モード転送モード[たとえば、http (デフォルト)]です。有効な転送モードは次のとおりです。
  • http(デフォルト):セキュアでない接続
  • https:セキュアな接続
有効このイベント ソースからイベントを収集するには、このチェックボックスをオンにします。このチェックボックスをオフにすると、Log Collectorはこのイベント ソースからイベントを収集しません。
証明書転送モードがhttpsのときに使う証明書です。設定された場合、証明書は証明書トラスト ストアに存在する必要があります。証明書は、[設定]タブの[証明書]パネルからトラスト ストアに追加します。
詳細
デバッグ

注意:イベント ソースに問題が発生し、その問題を調査する必要がある場合にのみ、デバッグを有効に(このパラメーターを「On」または「Verbose」に設定)します。デバッグを有効にすると、Log Collectorのパフォーマンスに影響があります。

イベント ソースのデバッグ記録を有効または無効にします。有効な値は次のとおりです。
  • Off = (デフォルト)無効
  • On = 有効
  • Verbose = Verboseモードが有効になります。スレッド情報やソース コンテキスト情報をメッセージに追加します。
このパラメータは、イベント収集の問題をデバッグまたは監視するような状況で使用するよう設計されています。この値を変更すると、変更はすぐに反映されます(再起動は不要です)。パフォーマンスへの影響を最小限にするために、デバッグのverboseモードは、監視するイベント ソース数が限定された環境で設定するようにしてください。
サーバの検証このチェックボックスをオンにすると、サーバ証明書のサブジェクトを検証します。サーバ証明書のサブジェクトは、イベント ソース アドレスと一致する必要があります。
レンダリングのロケールイベントがレンダリングされるロケールを指定します。
値を指定しない場合、イベント ソースはデフォルトのロケールを使用します。ほとんどの場合、デフォルトのロケールはen-USです。  イベント ソースは未サポートのロケールを無視し、ロケールが無効の場合はサブスクリプションが失敗します。
Windowsのタイプ

(オプション設定)構成しているイベント ソースをドメイン コントローラから収集するかどうかを示します。Security Analyticsでは、このパラメーターを使用して、情報をIDEP(Identity Event Processor)に送信すべきかどうかを判別します。

このパラメーターを指定しない場合は、すべてのデータがIDEPに送信されます。

有効な値は次のとおりです。

  • 未設定:すべてのデータをIDEPに送信します
  • 非ドメイン コントローラ:収集元の構成済みイベント ソースは非ドメイン コントローラです。
  • ドメイン コントローラ:収集元の構成済みイベント ソースはドメイン コントローラです。
SIDの解決システム識別コード(SID)を解決します
収集されたイベントにおける該当する属性のアカウントSIDをアカウント名に解決する場合は、このチェックボックスをオンにします。このチェックボックスは、デフォルトでオンになっています。
SID一覧取得間隔各イベント ソースでアカウントSIDの一覧を取得する間隔の秒数です。有効な値は0~86400の範囲です。14400がデフォルト値です。
SID一覧取得タイムアウトSID一覧取得操作の期間を秒数で入力します。有効な値は10~600の範囲です。60がデフォルト値です。
チャネルの上書きこのパラメーターは、Windowsエイリアス(イベント ソース)に対して定義されているすべてのホストに[ソースの追加]ダイアログで設定したチャネル パラメーターをオーバーライドします。  このパラメーターを空のままにした場合は、Security Analyticsによってエイリアスのチャネル パラメーターが使用されます。
Security Analyticsがイベントを収集するチャネルをコンマ区切りのリストで指定します。このパラメーターでは、SystemApplicationSecurityがデフォルト値となっています。このパラメーターの定義に使用する適切なチャネル名を検索するには、「ステップ1:Security AnalyticsでのWindowsイベント ソースの構成」の「Windowsイベント ソースでのチャネル名の確認」を参照してください。
括弧を使用して、イベントIDを対象に含めたり対象から除外したりすることができます。  除外フィルタの場合、チャネル名とイベントIDの間に「^」を指定します。複数のイベントIDは、「|」で区切って指定します。  たとえば、「Application^(211|300)」や「System(1010|1012)」とした場合、211と300のアプリケーション イベントが対象から除外され、1010と1012のシステム イベントが対象に含まれます。
チャネルとは、event publisherからイベント ログ ファイルに転送されるイベント ストリームの名前です。多くの事前定義されたWindowsチャネルがあります。チャネルの例を示します。
System:システム サービス アカウント(インストールされたシステム サービス)上で稼働するアプリケーション、またはドライバ、さらにはシステムの稼働状態に関するイベントを出力するコンポーネントやアプリケーションなどに関するイベントです。
Application:すべてのユーザー レベル アプリケーションに関するイベントです。このチャネルはセキュリティが設定されていないため、どのアプリケーションからもアクセスすることができます。ある特定のアプリケーションの情報が膨大な場合、アプリケーション固有のチャネルを定義する必要があります。
Security:Windows Local Security Authority専用に使われるWindows監査ログ(イベント ログ)。
接続のテストイベント ソース アドレスへの接続を確認します。
キャンセルWindowsイベント ソースを追加または変更せずにダイアログを閉じます。
OKWindowsホストを追加または変更します。
You are here
Table of Contents > Windows収集構成ガイド > 参考資料:Windows収集の構成パラメータ > Windowsイベント ソース構成パラメータ

Attachments

    Outcomes