ファイル収集:ステップ1:SAでのイベント ソースの構成

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Security Analyticsでファイル イベント ソースを構成する方法について説明します。

この手順を完了すると、以下のタスクが完了します。

  • Security Analyticsでファイル収集イベント ソースが構成されます。
  • Security Analyticsでファイル収集イベント ソースが変更されます。
  • 新しいイベント ソースからのログ イベントを解析するための正しいParserがLog Decoderで有効になっていることが確認されます。

手順に戻る

手順

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. サービス]グリッドで、Log Collectorサービスを選択します。
  3. アクション]の下のAdvcdExpandBtn.PNGをクリックし、[表示]>[構成]を選択します。
  4. Log Collectorの[イベント ソース]タブで、ドロップダウン メニューから[ファイル/構成]を選択します。
  5. イベント カテゴリー]パネル ツールバーで、Icon-Add.pngをクリックします。
    FileAvailESTypes.PNG
  6. イベント ソース タイプ(たとえばemc_symmetrix)を選択し、[OK]をクリックします。
    新しく追加されたイベント ソース タイプが[イベント カテゴリー]パネルに表示されます。
  7. イベント カテゴリー]パネルで新しいタイプを選択し、[ソース]ツールバーでをクリックします。
    ソースの追加]ダイアログが表示されます。
  8. 格納先ディレクトリ名、およびその他の必要なパラメーターを入力します。
  9. 公開鍵を取得し、それをダイアログ ボックスに入力するには、次の手順を実行します。
    1. 次のコマンドを実行して、イベント ソースから公開鍵を選択し、コピーします。cat ~/.ssh/id_rsa.pub
    2. 公開鍵を[イベント ソースSSHキー]フィールドにペーストします。
  10. OKをクリックします。

変更を反映させるには、ファイル収集を再起動する必要があります。

Security Analyticsアップロード ディレクトリを構成します。

Security AnalyticsGUIを使用してイベント ソースを追加および構成した後は、アップロード ディレクトリを構成する必要があります。

  1. /var/netwitness/logcollectorディレクトリに移動します。
  2. アップロード ディレクトリの所有者をsftpユーザーに変更します。
    chown sftp /var/netwitness/logcollector/upload
  3. アップロード ディレクトリのグループをsftpユーザーに変更します。
    chgrp -R sftp /var/netwitness/logcollector/upload
  4. /uploadディレクトリの権限が正しく設定されていることを確認します。
    chmod -R 775 /var/netwitness/logcollector/upload
  5. オプション:指定した時間間隔でスクリプトを実行するようにcronジョブを設定します。cronジョブを設定する場合は、必ずsftpユーザーとしてジョブを実行するように設定します。

ファイル収集の停止と再開

ファイル収集を使用する新しいイベント ソースを追加した後は、Security Analyticsファイル収集サービスを停止して再開する必要があります。これは、新しいイベント ソースにキーを追加するために必要となります。

Security Analyticsでのイベント ソースのファイル収集の変更

イベント ソースを変更するには、次の手順を実行します。

  1. Security Analyticsメニューで、[Administration]>[サービス]を選択します。
  2. サービス]グリッドで、Log Collectorサービスを選択します。
  3. アクション]の下のAdvcdExpandBtn.PNGをクリックし、[表示]>[構成]を選択します。
  4. Log Collectorの[イベント ソース]タブで、ドロップダウン メニューから[ファイル/構成]を選択します。
  5. イベント カテゴリー]パネルからイベント ソース タイプ(たとえば、emc_symmetrix)を選択し、[OK]をクリックします。
  6. ソース]パネルでイベント ソースを選択し、をクリックします。
    ソースの編集]ダイアログが表示されます。
  7. 修正が必要なパラメータを変更し、[OK]をクリックします。
    FileEditSource.PNG
  8. Security Analyticsにより、選択されたイベント ソースにパラメータの変更が適用されます。
Previous Topic:手順
You are here
Table of Contents > ファイル収集プロトコル構成ガイド > 手順 > ステップ1:Security Analyticsでのファイル イベント ソースの構成

Attachments

    Outcomes