ステップ2:リモートLog Collectorサービスの構成 72251

Document created by RSA Information Design and Development on Feb 16, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、AWS(Amazon Web Services)環境にリモートLog Collectorサービスを構成する方法について説明します。

「CentOS 6 (x86_64) - with Updates HVM」テンプレートをダウンロードし、インスタンスを作成したら、次の構成ステップでは、AMI(Amazonマシン イメージ)とインスタンス タイプを選択する必要があります。

注:「CentOS 6 (x86_64) - with Updates HVM」テンプレートのダウンロードは一度だけ行う必要があります。同じテンプレートを使用して、複数のインスタンスを作成できます。

Amazonマシン イメージの構成

AMIは、インスタンスの作成に必要なソフトウェアの構成を含んだテンプレートです。

インスタンス タイプを選択するには、次の手順を実行します。

  1. 画面に表示されているリストからAMIを選択します。

  2. 選択]ボタンをクリックし、選択を完了します。

インスタンス タイプの選択

インスタンス タイプは、使用するアプリケーションに適切なリソースを柔軟に選択できるよう、CPU、メモリ、ストレージ、ネットワーク容量のさまざまな組み合わせがあります。各インスタンス タイプには、ワークロードの要件に合わせてリソースのサイズを変更できるよう、1つまたは複数のインスタンス サイズが含まれています。

インスタンス タイプを選択するには、次の手順を実行します。

  1. ドロップダウン リストからインスタンス タイプを選択します。
  2. ドロップダウン リストから[現行世代]または[すべての世代]のいずれかを選択します。

    詳細については、下の表を参照してください。

    最適なパフォーマンスを得るために、Amazon Web Servicesでは、新しいインスタンスの作成時に、現行世代のインスタンス タイプを使用することが推奨されています。

    Amazon Web Servicesでは、旧世代のインスタンスでアプリケーションを最適化し、まだアップグレードしていないユーザーのために、旧世代のインスタンスも提供しています。

  3. 次の手順:インスタンスの詳細の構成]を選択します。


次の表は、上図に表示されたフィールドについて説明しています。

                                       
フィールド説明
ファミリー

ストレージまたはCPU容量などの用途により分類した一般的なインスタンス タイプのグループ。

タイプメモリ、CPU、ストレージ容量、インスタンスの時間単位コストを定義する仕様。インスタンス タイプには標準的なアプリケーション向けに設計されたものや、CPU集約型、メモリ集約型のアプリケーション向けに設計されたものがあります。
vCPUインスタンスの仮想CPUの数。
メモリ (GiB)インスタンスに使用されるメモリの量。
インスタンス ストレージ(GB)インスタンスが使用可能なローカル インスタンス ストア ボリューム。インスタンス ストア内のデータは永続的なものではなく、インスタンスが存続する間のみ維持されます。
EBS最適化インスタンス タイプがEBSの最適化をサポートするかどうかを示します。EBSに最適化されたインスタンスは、Amazon EBS I/O専用の追加スループットを提供します。これにより、Amazon EBSボリュームのパフォーマンスが向上し、プロビジョニングされたIOPをフルに使用できるようになります。
ネットワーク パフォーマンスデータ転送レートのパフォーマンス レベルを示します。

次の表に、EPS(秒あたりのイベント数)別の推奨されるCPU仕様、メモリ、ディスク サイズを示します。

                                  
次の表に、リモートLog Collectorで推奨されるCPU仕様、メモリとディスクのサイズの一覧をEPS別に示します。収集レートRAMディスク
30,000 EPS815 GB150 GB

15,000 EPS

4

7.5 GB

150 GB

2,500 EPS23.75 GB150 GB

インスタンスの詳細の構成

インスタンスの詳細を構成するには、次の手順を実行します。詳細な説明については、下の表を参照してください。

注:適切なインスタンスの構成の選択については、AWS管理者にお問い合わせください。

  1. ドロップダウン リストから[インスタンス数]を選択します。

    注:一度に1つ以上のインスタンスを作成することができます。

  2. (オプション)[購入オプション]で、[スポット インスタンスをリクエストする]チェックボックスをオンにします。
  3. ドロップダウン リストから[ネットワーク]を選択します。
  4. ドロップダウン リストから[アベイラビリティ ゾーン]を選択します。 

  5. ドロップダウン リストから[IAMロール]を選択します。
    デフォルトは[なし]です。
  6. ドロップダウン リストから[シャットダウンの動作]を選択します。
  7. (オプション)[終了防止の有効化]では、[予期しない終了を防止する]チェックボックスをオンにします。
  8. (オプション)[モニタリング]では、[CloudWatchによる詳細モニタリングを有効化する]チェックボックスをオンにします。
  9. 次へ:ストレージの追加]をクリックします。

  

次の表では、インスタンス構成オプションに関する情報を提供します。

                                                    
フィールド説明
インスタンス数

構成するインスタンスの数を入力します。一度に1つ以上のインスタンスを構成できることに注意してください。

(オプション)購入
オプション:
スポット インスタンスのリクエスト

スポット インスタンスにより、EC2インスタンスを入札することができるため、Amazon EC2コストを大幅に削減できます。(各アベイラビリティ ゾーン内の各インスタンス タイプの)スポット インスタンスの1時間単位の料金はAmazon EC2によって設定され、スポット インスタンスの供給と需要に応じて変動します。スポット インスタンスは、入札が現在の市場価格を超えると必ず実行されます。

アプリケーションの実行タイミングに柔軟に対応できる場合で、バッチ ジョブやバックグラウンド処理タスクを実行するなど、アプリケーションを中断することができる場合は、この購入オプションを選択します。

ネットワーク

ネットワークを選択すると、Amazon VPC(仮想プライベート クラウド)でインスタンスを起動することができます。VPCを作成し、独自のIPアドレス範囲の選択、サブネットの作成、ルート テーブルの構成、ネットワーク ゲートウェイの構成を行うことができます。
サブネットVPCのIPアドレス範囲。VPCを他のEC2リソースやインターネットから分離するために設定します。1つのアベイラビリティ ゾーンに、1つのサブネットが存在します。
アベイラビリティ ゾーン(デフォルトは選択なし)

他のアベイラビリティ ゾーンの障害から分離するように設計されたリージョン内の独立した区画です。同じリージョン内の他のアベイラビリティ ゾーンには、安価な低遅延のネットワークで接続できます。

IAMロールの選択(デフォルトはなし) IAMロールは、AWSで実行できることと実行できないことを決定する権限ポリシーを持つAWS IDです。IAMロールは、1人のユーザーに一意に関連づけるのではなく、そのロールを必要とするすべてのユーザーに関連づけることができます。また、ロールには、認証情報(パスワードまたはアクセス キー)は関連づけられません。ユーザーにロールを割り当てると、アクセス キーが動的に作成され、ユーザーに付与されます。

シャットダウンの動作

OSレベルでシャットダウンが実行されたときのインスタンスの動作を指定します。インスタンスを終了するか、停止することができます。
(オプション)
終了保護の有効化

インスタンスが予期せず終了されるのを防ぐことができます。有効にすると、終了保護を無効にするまで、このインスタンスはAPIまたはAWS管理コンソールから終了できなくなります。

(オプション)モニタリング:CloudWatchによる詳細モニタリングの有効化

Amazon CloudWatchからインスタンスに関するメトリックを監視、収集、分析することができます。このオプションを有効にした場合は、追加料金が適用されます。

テナント

専用の物理サーバ上でインスタンスを実行できます。hostテナンシーの場合には、Dedicated Host上でインスタンスを起動する必要がありますが、dedicatedテナンシーの場合は専用インスタンスとしてインスタンスを起動します。hostテナンシーまたはdedicatedテナンシーを選択すると、専用のAmazon VPC(仮想プライベート クラウド)で、インスタンスを起動できます。

ストレージの追加

Amazon EC2では、柔軟なデータ ストレージ オプションを選択することができます。

インスタンスのストレージを構成するには、次の手順を実行します。

  1. サイズ]フィールドにストレージ サイズを入力します。
    ボリューム サイズは、ゼロまたは使用済みスナップショットのサイズより大きくなければなりません。プロビジョンドIOPS(SSD)ボリュームのサイズは4 GB以上にする必要があります。
  2. ドロップダウン リストから[ボリューム タイプ]を選択します。
  3. 次へ:インスタンスのタグの追加]をクリックします。

次の表で、[ストレージの追加]画面の各フィールドについて説明します。

                                         
フィールド説明
タイプAmazon EBSは、EC2インスタンスの有効期間とは独立して維持されるブロック レベルのストレージ ボリュームです。このため、インスタンスを停止し、後で再起動することができます。一時インスタンス ストア ボリュームは、ホスト コンピューターに物理的に接続されています。インスタンス ストア上のデータは、インスタンスの有効期間中のみ、存続します。
デバイスボリュームに使用可能なデバイス名。選択したAMIのカーネルのブロック デバイス ドライバーによっては、指定する名前とは異なる名前でデバイスが接続される場合があります。
スナップショットスナップショットは、S3に格納されているEC2ボリュームのバックアップです。スナップショットのIDを入力することによって、スナップショットに格納されたデータを使用して、新しいボリュームを作成することができます。[スナップショット]フィールドにテキストを入力して、パブリック スナップショットを検索できます。記述は大文字と小文字を区別します。
サイズボリューム サイズは、ゼロまたは使用済みスナップショットのサイズより大きくなければなりません。プロビジョンドIOPS(SSD)ボリュームのサイズは4 GB以上にする必要があります。
ボリューム タイプ

磁気ボリュームは平均100 IOPSを提供し、数百IOPSまでバーストできます。これは、推奨される低コスト オプションです。

汎用(SSD)ボリュームは、3,000 IOPSまでバーストでき、一貫したベースラインとして3 IOPS/GBを提供します。

プロビジョンドIOP(SSD)ボリュームは、最大20,000 IOPSを提供し、EBSに最適化されたインスタンスに最適です。

IOPS

注:次に示す要件は、推奨される磁気ボリュームでは必要ありません。

ボリュームでサポート可能な1秒あたりのI/O処理のリクエスト数。

プロビジョンドIOPS(SSD)ボリュームの場合、GBあたり30 IOPSまでプロビジョニングできます。

1,000 GB未満の汎用(SSD)ボリュームの場合、GBあたり3 IOPSのベースライン パフォーマンスで、3,000 IOPSまでバーストできます。

1,000 GB以上の汎用(SSD)ボリュームの場合、GBあたり3 IOPSのベースライン パフォーマンスで、10,000 IOPSまでバーストできます。

終了時に削除EBSボリュームは、EC2インスタンスの実行期間とは独立して存続します。ただし、関連づけられたインスタンスが終了するときにEBSボリュームを自動的に削除することができます。
暗号化暗号化されたスナップショットから作成されたボリュームは自動的に暗号化され、暗号化されていないスナップショットから作成されたボリュームは自動的に暗号化されません。スナップショットが選択されていない場合は、ボリュームを暗号化することができます。

インスタンスのタグの追加

タグは、大文字と小文字を区別するキーと値のペアで構成され、インスタンスの管理に役立ちます。 

インスタンスにタグを追加するには、次の手順を実行します。

  1. 名前と値を入力します(例:AWS-VLC1)。

    タグには、次の制限事項が適用されます。

    • タグのキーと値は大文字と小文字を区別します。
    • リソースあたりのタグの最大数は10です。
    • キーの最大長は、UTF-8のUnicode 127文字です。
    • 値の最大長は、UTF-8のUnicode 255文字です。
    • タグの名前および値の先頭に、aws:を指定しないでください。Amazon Web Servicesで予約されているためです。
  2. 次へ:セキュリティ グループの構成]をクリックします。

セキュリティ グループの構成

1つまたは複数のインスタンスのトラフィックを制御する仮想ファイアウォールとして機能するセキュリティ グループを構成することができます。セキュリティ グループにルールを追加し、関連づけられているインスタンスのトラフィックを許可できます。

                         
フィールド説明
タイプネットワーク トラフィックが利用するプロトコル。SSH(Linuxインスタンスの場合)、RDP(Windowsインスタンスの場合)、HTTP、HTTPSなど、インターネット トラフィックがご使用のインスタンスまで到達可能な、一般的なプロトコルを選択できます。カスタム ポートまたはポート範囲を手動で入力することもできます。
プロトコルたとえば、TCP、UDPなどのプロトコルのタイプ。ICMPの場合は、追加の選択肢があります。
ポート範囲カスタム ルールおよびプロトコルには、ポート番号またはポート範囲を手動で入力できます。
サービス ポートの一覧については、次の表を参照してください。
送信元

ご使用のインスタンスに到達可能なトラフィックを特定します。単一のIPアドレスまたはIPアドレス範囲を、CIDR表記(たとえば、203.0.113.5/32など)で指定します。

ファイアウォールの内側から接続する場合は、クライアント コンピューターが使用するIPアドレス範囲を指定する必要があります。同じリージョン内の別のセキュリティ グループの名前またはIDを指定できます。

別のAWSアカウント(EC2-Classicのみ)のセキュリティ グループを指定する場合は、先頭にアカウントIDとスラッシュを付けます。例:111122223333/OtherSecurityGroup

セキュリティ グループを作成するには、次の手順を実行します。

  1. セキュリティ グループの作成]を選択するか、既存のセキュリティ グループを選択して編集します。
  2. ドロップダウン リストから[タイプ]を選択します。
  3. プロトコル]を入力します。
  4. ポート範囲]を入力します。
  1. 確認して起動]をクリックします。


注:AWSのセキュリティ グループでは、リモートLog Collectorのインバウンド ポートとアウトバウンド ポートの両方を構成する必要があります。

                                                                                                   
カテゴリープロトコルポート番号アプライアンス方向
SSHTCP22リモートLog Collector(AWS)インバウンド
RabbitMQTCP15671リモートLog Collector(AWS)(インバウンド、アウトバウンド)
AMQPTCP5671/5672リモートLog Collector(AWS)とリモートLog Collector(社内)の間(インバウンド、アウトバウンド)
PuppetTCP8140リモートLog Collector(AWS)からSecurity Analyticsサーバアウトバウンド
Log CollectorTCP 50001/56001リモートLog Collector(AWS)とSecurity Analyticsサーバの間(インバウンド、アウトバウンド)

Syslog

TCP

514

イベント ソースからリモートLog Collector(AWS)

インバウンド

Syslog UDP514イベント ソースからリモートLog Collector(AWS)インバウンド

Netflow

UDP

9995

イベント ソースからリモートLog Collector(AWS)

インバウンド

SNMPUDP162イベント ソースからリモートLog Collector(AWS)インバウンド

Windows

TCP

5985

 

リモートLog Collector(AWS)からイベント ソース

アウトバウンド

アウトバウンド

ODBCTCPさまざまリモートLog Collector(AWS)からイベント ソースアウトバウンド

SDEE

TCP

443

リモートLog Collector(AWS)からイベント ソース

アウトバウンド

ファイアウォールに許可ルールを構成

上記の表に記載されているリモートLog Collector(AWS)とNetWitnessコンポーネント間の通信を許可するようにファイアウォールを構成します。

注:リモートLog CollectorとSecurity Analyticsサーバの間、Log Decoder上で稼働するLog Collectorとの間でポートを開く必要があります。

次の表に、Security Analyticsホストとそのサービス ポートを示します。

                                                                                                 
From ホストTo ホストTo ポート(プロトコル)コメント
Security AnalyticsサーバリモートLog Collector

56001(TCP)または
50001(TCP)

SSL
非SSL
Security AnalyticsサーバリモートLog Collector50101

REST 

(オプション)

Security AnalyticsサーバリモートLog Collector5672(TCP)RabbitMQ
Security AnalyticsサーバリモートLog Collector50055(TCP)RSA-SMS
Security AnalyticsサーバリモートLog Collector50056(TCP)RSA-SMS
リモートLog CollectorSecurity Analyticsサーバ8140(TCP)Puppet
Security AnalyticsサーバリモートLog Collector61614(TCP)MCollective

リモートLog Collector

Security Analyticsサーバ

61614(TCP)

MCollective

Security AnalyticsサーバリモートLog Collector15671(TCP)Puppet

リモートLog Collector

Security Analyticsサーバ

15671(TCP)

Puppet

プル モード:  

 

 

Log Collector(Log Decoder上)

リモートLog Collector

5671(TCP)

RabbitMQ

プッシュ モード:    

リモートLog Collector

Log Collector(Log Decoder上)

5671(TCP)

RabbitMQ

各アプライアンスで開く必要があるポートについては、次のリンクで確認できます:https://community.rsa.com/docs/DOC-54917

インスタンス起動の確認

インスタンスの起動処理を完了する前に、AMIを確認して編集する機会があります。AMIを変更しない場合は、[起動]を選択します。[AMIの編集]を選択した場合は、変更を加えた後で[起動]を選択します。 

起動]を選択した後、次のダイアログが画面に表示されます。

key pair.png

インスタンスの起動時に、インスタンスの接続に使用するキー ペアの名前を指定する必要があります。インスタンスの起動時に既存のキー ペアの名前を指定しない場合、インスタンスに接続することはできません。インスタンスに接続する時に、インスタンスの起動時に指定したキー ペアの秘密キーを指定する必要があります。

インスタンスの起動処理を完了するには、[インスタンスの起動]をクリックします。

次のトピックを参照してください:ステップ3:AWSでのリモートLog Collectorサービスの導入 。AWS環境にリモートLog Collectorサービスを導入する詳細な手順を確認できます。

You are here
Table of Contents > AWSへのリモートLog Collectorサービスの構成と導入 > ステップ2:リモートLog Collectorサービスの構成

Attachments

    Outcomes