Windows Legacy収集:構成パラメータ

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Windows Legacy収集を構成するためのユーザー インタフェースについて説明します。

Log Collectorサービスの[構成]ビュー>[イベント ソース]タブにある[Windows Legacy/Windows]オプションまたは[Windows Legacy/NetApp]オプションでは、Windows Legacyイベント ソースの構成パラメーターが表示されます。

Windows Legacy収集およびNetApp収集の構成パラメーターにアクセスするには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. サービス]グリッドで、Log Collectorサービスを選択します。
  3. アクション]列で、Actions menu cropped>[表示]>[構成]を選択し、[イベント ソース]タブをクリックします。
  4. イベント ソース]タブで、ドロップダウン メニューから次のいずれかのオプションを選択します。
  • Windows Legacy/Windows
  • Windows Legacy/NetApp

LegWinScreens.png

機能

Windows Legacy/WindowsとWindows Legacy/NetAppの[イベント ソース]タブには、[イベント カテゴリー]と[ソース]の2つのパネルがあります。

[イベント カテゴリー]パネル

[イベント カテゴリー]パネルには、既存のWindows Legacyイベント ソース エイリアスが一覧表示されます。このパネルで、Windows Legacyイベント ソース エイリアスの追加または削除を行います。

Log Collectorでは、Windowsドメインをエイリアスと呼び、Log Collectorがイベント ソースをグループ化するために使用する構成パラメータを指します。多くの場合、エイリアスは1つのドメインを定義します。これは、一般的に認証情報(ユーザー名とパスワード)やイベント ログ名はドメイン全体で共通な場合が多いためです。個別のイベント ソースで設定をカスタマイズする必要がある場合には、同じドメインで複数のエイリアス エントリーを定義する必要があります。

[ソース]パネル

 [ソース]パネルには、既存のWindows Legacyイベント ソースのリストが表示されます。このパネルで、Windows Legacyイベント ソース(Windowsイベント ソース アドレスおよび関連する通信パラメータ)を追加または削除します。

ツールバー

次の表に、ツールバー オプションの説明を示します。

                               
機能説明
Icon-Add.png

Firewallホストのパラメーターを定義する[ソースの追加]ダイアログが表示されます。

Icon_Delete_sm.png 選択したホストを削除します。
icon-edit.png

選択したイベント ソースのパラメーターを編集する[ソースの編集]ダイアログが開きます。

複数のイベント ソースを選択して、icon-edit.pngをクリックすると、選択したイベント ソースのパラメータ値を編集するための[ソースの一括編集]ダイアログが開きます。

イベント ソースのインポート、エクスポート、一括編集の方法の詳細については、「ログ収集の構成ガイド」を参照してください。

ImportSourceIcon.PNG

[一括追加オプション]ダイアログが開きます。このダイアログで、CSV(コンマ区切り形式)ファイルから一括でホストをインポートできます。

イベント ソースのインポート、エクスポート、一括編集の方法の詳細については、「ログ収集の構成ガイド」を参照してください。

ExportSourceIcon.PNG

選択したイベントソースのパラメータを含む.csvファイルを作成します。

イベント ソースのインポート、エクスポート、一括編集の方法の詳細については、「ログ収集の構成ガイド」を参照してください。

[ソースの追加]ダイアログ

このダイアログでは、新しいWindows Legacyイベント ソースに関するパラメータを定義します。

                                                                         
機能説明
基本
名前*イベント ソースの名前。有効な値は、「[_a-zA-Z] [_a-zA-Z0-9]*」の範囲の名前です。ハイフン「-」を名前の一部として使用できます。
イベント ソース アドレス*イベント ソースのIPアドレス。有効な値は、IPv4アドレス、IPv6アドレス、ドメインの完全修飾名を含むホスト名です。Security Analyticsのデフォルトは127.0.0.1です。
Log Collectorは、重複エントリーを避けるために、ホスト名を小文字に変換します。
イベント ログ名

SystemApplicationSecurityなど、イベント データの収集元となるイベント ログの名前です。
チャネルの例を示します。

  • System:システム サービス アカウント(インストールされたシステム サービス)上で稼働するアプリケーション、またはドライバ、さらにはシステムの稼働状態に関するイベントを出力するコンポーネントやアプリケーションなどに関するイベントです。
  • Application:すべてのユーザー レベル アプリケーションに関するイベントです。このチャネルはセキュリティが設定されていないため、どのアプリケーションからもアクセスすることができます。ある特定のアプリケーションの情報が膨大な場合、アプリケーション固有のチャネルを定義する必要があります。
  • Security:Windows Local Security Authority専用に使われるWindows監査ログ(イベント ログ)。
有効このイベント ソースからイベントを収集するには、このチェックボックスをオンにします。このチェックボックスをオフにすると、Log Collectorはこのイベント ソースからイベントを収集しません。
イベント ディレクトリ パス

NetApp .evtファイルのディレクトリ パス。これはUNCパスでなければなりません。
NetAppは、イベント データを生成し、これをNetAppアプライアンス上の共有可能ディレクトリに.evtファイルとして保存します。

それぞれのポーリング サイクルにおいて、Log Collectorは、[イベント ディレクトリ パス]パラメーターと[イベント ファイル プレフィックス]パラメーターで指定したNetApp共有パスの.evtファイルを参照します。Log Collectorでは以下の処理を行います。

  • event-file-prefix.YYMMDDhhmmss.evt形式に一致するファイルを昇順でソートします。
  • 最後に処理されたファイルのタイムスタンプを使用して、処理が必要なファイルを判定します。部分的に処理されたファイルが見つかった場合、Log Collectorはすでに処理済みのイベントをスキップします。
イベント ファイル プレフィックスイベント ディレクトリ パスに保存された.evtファイルのプレフィックス(たとえば、adtlog.)。
拡張
イベント バッファ サイズ

各リクエストについてLog Collectorがイベント ソースから受信するデータの最大サイズ。

有効な値は0100 MBの範囲の数値です。この値はKB単位で指定します。

バッファを超えるイベントイベント バッファに対してイベントが大きすぎる場合の動作をLog Collectorに対して指定します。
最大イベント データ

出力に含めるイベント データの最大サイズ。有効な値は0511キロバイトの範囲の数値です。この値はKB単位またはMB単位で指定します。

  • 1 KB~100 MB
  • 0 = イベント データは出力に含められません。
サイクルごとの最大イベント数ポーリング サイクルごとのイベントの最大値(ポーリング サイクルごとに収集されるイベント数)です。
ポーリング間隔

ポーリングの間隔(秒)です。デフォルト値は180です。

たとえば、180と指定すると、Collectorは、イベント ソースへのポーリングを180秒ごとに実行します。直前のポーリング サイクル(収集)がまだ完了していない場合、そのサイクルが完了するまで待機します。ポーリング中のイベント ソースが多数ある場合、スレッドがビジーになるため、ポーリングが開始するまでに180秒より長くかかる場合があります。

Debug

注意:イベント ソースに問題が発生し、その問題を調査する必要がある場合にのみ、デバッグを有効に(このパラメータをOnまたはVerboseに設定)します。デバッグを有効にすると、Log Collectorのパフォーマンスに影響があります。

イベント ソースのデバッグ記録を有効または無効にします。有効な値は次のとおりです。

  • Off = (デフォルト)無効
  • On = 有効
  • Verbose = Verboseモードが有効になります。スレッド情報やソース コンテキスト情報をメッセージに追加します。

このパラメータは、イベント収集の問題をデバッグまたは監視するような状況で使用するよう設計されています。この値を変更すると、変更はすぐに反映されます(再起動は不要です)。パフォーマンスへの影響を最小限にするために、デバッグのverboseモードは、監視するイベント ソース数が限定された環境で設定するようにしてください。

キャンセルWindows Legacyイベント ソースを追加せずにダイアログを閉じます。
OK現在のパラメータ値を新しいイベント ソースとして追加します。
You are here
Table of Contents > Windows Legacy収集およびNetApp収集の構成ガイド > 参考資料:Windows Legacy収集およびNetApp収集の構成パラメータ

Attachments

    Outcomes