ログ収集の導入:特定のプロトコルのログ ルーティングの構成

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、宛先グループに複数のローカルCollectorを構成することによって、特定のプロトコルのイベント メッセージをルーティングする方法を説明します。これにより、プロトコル タイプに応じて特定のロケーションにイベント データを転送することができます。

この手順を完了すると、宛先グループ内に複数の宛先が設定され、それらの宛先にSecurity Analyticsがプロトコル イベント データを分散します。

手順に戻る

手順

プロトコル イベント データのルーティングの定義

イベントを複数のローカルCollectorにプッシュする場合、宛先グループに複数の宛先を指定することにより、複数のローカルCollectorに特定のプロトコルのイベント データをルーティングすることができます。宛先グループはローカルCollectorの集まりで、イベント データは宛先グループのすべてのメンバーに分散されます。

次の図に、収集プロトコルからのイベント メッセージをルーティングする方法を示します。

AddRCLA1(simple).png

サービス]ビューにアクセスします。

RCParamConfigNav.png

リモートCollectorを選択します。

アクション]の下のをクリックし、[表示]>[構成]を選択して、ログ収集の構成パラメータのタブを表示します。

LoadBal.png

ローカルCollector]タブを選択して、[構成の選択]ドロップダウン メニューで[宛先]を選択し、[宛先グループ]に表示されるIcon-Add.pngをクリックして[リモートの宛先の追加]ダイアログを表示します。

ローカルCollectorごとに個別の宛先を設定し、対象のローカルCollectorにイベント メッセージをプッシュするプロトコルを指定します。

新しく追加されたプライマリの、ロード バランシングが設定されたローカルCollector構成が[ローカルCollector]タブに表示されます。

収集プロトコルからのイベント メッセージ ルーティングの構成

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. サービス]で、リモートCollectorを選択します。
  3. アクション]の下のAdvcdExpandBtn.PNGをクリックし、[表示]>[構成]を選択します。
    Log Collectorの[構成]ビューが表示され、[全般]タブが開きます。
  4. ローカルCollector]タブを選択します。
  5. 宛先グループ]パネルでIcon-Add.pngをクリックします。
    リモートの宛先の追加]ダイアログが表示されます。
  6. ローカルCollectorごとに個別の宛先を設定し、対象のローカルCollectorにイベント メッセージをプッシュするプロトコルを指定します。次の例では、2つの宛先ローカルCollectorを追加しています(Destination1Destination2)。この構成での収集プロトコルごとの送信先は次のとおりです。
  • Check PointファイルODBCイベント データは、 Destination1が宛先となります。 
  • SyslogWindowsイベント データは、Destination2が宛先となります。
  1. 宛先名]に名前を入力します。
  2. グループ名]に名前を入力します。グループ名を入力しない場合は、宛先名がグループ名として使用されます。
  3. ドロップダウン リストから収集プロトコルを選択します。
  4. ローカルCollectorを選択します(LC1など)。

    LoadBalAdd1.PNG
  5. OKをクリックします。Destination1が作成され、[宛先グループ]パネルに表示されます。
  6. 宛先グループ]パネルで新しいグループ(Destination1など)を選択し、[ローカルCollector]パネルでIcon-Add.pngをクリックします。
  7. ローカルCollector]パネルで、Icon-Add.pngをクリックし、次の図に示すとおり[リモートの宛先の追加]ダイアログを完了します。

    LoadBalAdd2.PNG
    Check PointファイルODBCSyslogWindowsの収集プロトコルごとに2台のローカルCollector(LC1とLC2)の間でロード バランシングが設定されます。両方のローカルCollectorがアクティブになり、イベント データを収集します。

    LoadBalAdd3.png
You are here
Table of Contents > ログ収集の導入ガイド > 手順 > ローカルCollectorおよびリモートCollectorの構成 > ローカルCollectorへのイベントのプッシュ送信 > 特定のプロトコルのログ ルーティングの構成

Attachments

    Outcomes