ログ収集の導入:ローカルCollectorおよびリモートCollectorの構成

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、ローカルCollectorおよびリモートCollectorを構成する方法について説明します。

ログ収集を導入する場合、各種イベント ソースからログ イベントを収集するようにLog Collectorを構成する必要があります。Log Collectorを構成することで、これらのイベントをLog Decoderホストに安全かつ確実に配信できます。配信されたイベントはホストでパースされ、今後の解析のために保存されます。

イベント データをローカルCollectorにプッシュするように1つ以上のリモートCollectorを構成するか、あるいは1つ以上のリモートCollectorからイベント データをプルするようにローカルCollectorを構成することができます。

に戻ります。手順

このトピックでは、以下の項目について説明します。

  • リモートCollectorからイベントをプル受信するためのローカルCollectorの構成
    ローカルCollectorからリモートCollectorのイベントをプルする場合、ローカルCollectorの[構成]ビューにある[リモートCollector]タブで設定を行います。
  • ローカルCollectorにイベントをプッシュするためのリモートCollectorの構成
    リモートCollectorからローカルCollectorにイベントをプッシュする場合、リモートCollectorの[構成]ビューにある[ローカルCollector]タブで設定を行います。プッシュ構成では、次の内容も構成できます。 
    • リモートCollectorでのフェイルオーバー ローカルCollectorの構成
      ローカルCollectorで構成される宛先を設定します。  プライマリ ローカルCollectorに接続できない場合、リモートCollectorは、宛先内の各ローカルCollectorに対して、成功するまで接続を試行します。
    • レプリケーションの構成
      複数の宛先グループでレプリケーションを設定します。これにより、Security Analyticsは、各グループにイベント データをレプリケートします。宛先グループの1つに接続できない場合でも、他の宛先グループにデータがレプリケートされている場合、必要なデータをリカバリできます。
    • 特定のプロトコルのログ ルーティングの構成
      プロトコル タイプに応じて特定のロケーションにイベント データを転送する、宛先グループ内の複数の宛先を設定します。
  • リモートCollectorのチェーンの構成
    イベント データをローカルCollectorにプッシュするように1つ以上のリモートCollectorを構成するか、1つ以上のリモートCollectorからイベント データをプル受信するようにローカルCollectorを構成することができます。
    • 1つのリモートCollectorにイベント データをプッシュする1つ以上のリモートCollector。
    • 1つ以上のリモートCollectorからイベント データをプルする1つのリモートCollector。

フェイルオーバーとレプリケーション

次の図は、フェイルオーバーおよびレプリケーション用に構成されたリモートCollectorを示しています。

destination_grps_diag.png

宛先グループ1のLC-2とLC-3は、LC-1に対して構成されたフェイルオーバー用のローカルCollectorです。何らかの理由でリモートCollectorとLC1が接続できない場合、接続が完了するまで、リモートCollectorはLC-2またはLC-3に接続を試行します。

宛先グループ1および宛先グループ2に、レプリケーションが構成されています。宛先グループ1のローカルCollectorに障害が発生した場合は、宛先グループ2のローカルCollectorにレプリケートされたデータを使用できます。

注:特定のプロトコルのイベント データが特定の宛先に送信されるようにログのルーティングを設定することもできます。

手順

[サービス]ビューで導入パラメータの定義の対象となるLog Collector(ローカルCollectorまたはリモートCollector)を選択します。次の手順は、[サービス]ビューのナビゲーション方法、ローカルCollectorまたはリモートCollectorの選択方法、サービスの導入パラメーター インタフェースの表示方法を示しています。

AddRCLA1(simple).png

サービス]ビューにアクセスします。

LCParamConfigNav.png

Log Collectorサービスを選択します。

アクション]の下のAdvcdExpandBtn.PNGをクリックし、[表示]>[構成]を選択して、ログ収集の構成パラメータのタブを表示します。

RCLCTab.png

ステップ2で選択したサービスに応じて、次の操作を実行します。

  • ローカルCollectorを選択した場合は、[リモートCollector]タブが表示されます。このタブで、ローカルCollectorがイベントをプルするリモートCollectorを選択します。
  • リモートCollectorを選択した場合は、[ローカルCollector]タブが表示されます。このタブで、リモートCollectorがイベントをプッシュするローカルCollectorを選択します。
You are here
Table of Contents > ログ収集の導入ガイド > 手順 > ローカルCollectorおよびリモートCollectorの構成

Attachments

    Outcomes