ログ収集:基本的な操作

Document created by RSA Information Design and Development on Feb 16, 2017Last modified by Susan Ewald on May 8, 2017
Version 2Show Document
  • View in full screen mode
  

このトピックでは、ログ収集の仕組みとその導入方法について説明し、サポートされている収集プロトコルの一覧を示します。さらに、基本的な実装について説明し、ログ収集を構成および導入する方法を示します。

ログ収集の仕組み

Log Collectorサービスは、組織内のIT環境にあるイベント ソースからログを収集して他のSecurity Analyticsコンポーネントに転送します。ログは、メタ データとともに格納され、調査やレポートに使用することができます。

イベント ソースとは、サーバ、スイッチ、ルータ、ストレージ アレイ、オペレーティング システム、ファイアウォールなど監視対象となるネットワーク上の資産を指します。多くの場合、IT部門がLog Collectorサービスにログを送信するためにイベント ソースを構成し、Security Analytics管理者は、イベント ソースをポーリングしてログを取得するためにLog Collectorサービスを構成します。Log Collectorは、元の形式のまますべてのログを受信します。

サポートされている収集プロトコル

Log Collectorサービスは、次の収集プロトコルをサポートしています。

                                                     
収集プロトコル説明
AWS

AWS(Amazon Web Services)CloudTrailからイベントを収集します。  CloudTrailイベントには、アカウントのAWS APIコールが記録されます。
詳細については、次のトピックを参照してください:基本的な操作AWS(CloudTrail)収集構成ガイド」内。

AWS環境でリモートLog Collectorを構成して導入する方法については、以下を参照してください:ステップ1:AWSへのログインとインスタンスの作成AWSでのリモートLog Collectorの導入と構成ガイド」内。

Check Point

OPSEC LEAを使用してCheck Pointイベント ソースからイベントを収集します。  OPSEC LEAは、ログの抽出を容易にするためのCheck Point Operations Security Log Export APIです。
詳細については、次のトピックを参照してください:基本的な操作Check Point収集構成ガイド」内。

ファイル

ログ ファイルからイベントを収集します。イベント ソースはログ ファイルを生成します。このファイルは、セキュアなファイル転送方式を使用してLog Collectorサービスに転送されます。
詳細については、次のトピックを参照してください:基本的な操作ファイル収集プロトコル構成ガイド」内。

Netflow

Netflow v5およびNetflow v9からのイベントを収集します。 
詳細については、次のトピックを参照してください:基本的な操作Netflow収集構成ガイド」内。

ODBCODBC(Open Database Connectivity)ソフトウェア インタフェースを使用して、イベント ソースとして構成されたデータベースの監査データからイベントを収集します。
詳細については、次のトピックを参照してください:基本的な操作ODBC収集構成ガイド」内。
SDEE

IDS(侵入検知システム)およびIPS(侵入防止サービス)のメッセージを収集します。
詳細については、次のトピックを参照してください:基本的な操作SDEE収集構成ガイド」内。

SNMPトラップSNMPトラップを収集します。
詳細については、次のトピックを参照してください:基本的な操作SNMP収集構成ガイド」内。
Syslog

Syslogメッセージを発行するイベント ソースからのメッセージを収集します。

VMwareVMware仮想インフラストラクチャからのイベントを収集します。
詳細については、次のトピックを参照してください:基本的な操作VMware収集構成ガイド」内。
Windows

Microsoft Windows イベントAPIをサポートするWindowsマシンからのイベントを収集します。Windows NT 6.0系(Microsoft Windows VistaとWindows Server 2008)のオペレーティング システムでサポートされている、イベント ログとトレースのフレームワークを使用します。

詳細については、次のトピックを参照してください:基本的な操作Windows収集構成ガイド」内。

Windows Legacy

次のソースからのイベントを収集します。

  • Windows 2000やWindow 2003などWindowsの古いバージョン。RSA enVisionでの収集用に構成されたWindowsイベント ソースからデータを収集でき、再構成を行う必要はありません。
  • NetApp ONTAPアプライアンス イベント ソース。NetApp .evtファイルを収集してパースできます。
  • 詳細については、次のトピックを参照してください:基本的な操作Windows Legacy収集およびNetApp収集の構成ガイド」内。

注:SALegacyWindowsCollector-version-number.exeを使用して、Security AnalyticsのWindows LegacyCollectorを物理または仮想のWindows Server 2008 R2 SP1 64ビット版にインストールします。より詳細な導入手順については、「 Windows収集構成ガイド 」を参照してください。

このトピックでは、Security Analytics Log Collectorサービスを使用してイベントの収集を開始する前の基本的なタスクについて説明します。より詳細な導入手順については、「 ログ収集の導入ガイド 」を参照してください。

基本的な実装

ログ収集を実装するには、次の手順を実行する必要があります。

  1. Log Decoder上で、Log Collector(ローカルCollectorとして機能する)をローカルに設定します。組織の要件に従って、任意の数のリモートの設置場所にLog Collector(リモートCollectorとして機能する)を設定できます。
  2. 次のアイテムを構成します。

    • Security Analyticsログ収集:イベント ソースからのイベントを収集します
    • イベント ソース:イベントをSecurity Analytics Log Collectorサービスに送信します。

ローカルCollectorおよびリモートCollectorの役割

ローカルCollector(LC)は、Log Decoderホスト上で実行されるLog Collectorサービスです。  ローカルへの導入シナリオでは、Log Collectorサービスは、Log Decoderホスト上にLog Decoder サービスとともに導入されます。WindowsやODBCなどの各種プロトコルからのログ収集はLog Collectorサービスで実行され、イベントはLog Decoderサービスに転送されます。ローカルCollectorは、収集されたすべてのイベント データをLog Decoderサービスに送信します。

非Syslogイベントを収集するためには少なくとも1つのローカルCollectorが必要です。

リモートCollector(RC)は、スタンドアロンの仮想マシン上で実行されるLog Collectorサービスで、VLC(Virtual Log Collector)とも呼ばれます。リモートCollectorはオプションです。リモート サイトで収集したイベントをローカルCollectorに送信します。リモートCollectorは、リモート サイトでログを収集する必要がある場合に適しています。リモートCollectorは、ログを圧縮および暗号化してからローカルCollectorに送信します。

ログ収集の導入および構成

次の図に、ログ収集を導入および構成する前の基本的なタスクを示します。ログ収集を導入するには、ローカルCollectorを設定する必要があります。1つまたは複数のリモートCollectorを導入することもできます。ログ収集を導入した後は、Security Analyticsでイベント ソースを構成する必要があります。次の図に、ローカルCollectorと、イベントをローカルCollectorにプッシュする1つのリモートCollectorを示します。

Local CollectorとRemote Collectorを設定します。

Local Collectorは、Log Decoderホスト上で実行されるLog Collectorサービスです。

リモートCollectorは、仮想マシンまたはリモートのWindowsサーバ上で実行されるLog Collectorサービスです。

Basic_LC_Deployment_Config2.png

イベント ソースを構成します。

  • Security Analyticsで収集プロトコルを構成します。
  • Security Analytics Log Collectorと通信するようにそれぞれのイベント ソースを構成します。  

Security AnalyticsへのローカルCollectorとリモートCollectorの追加

次の図は、ローカルCollectorとリモートCollectorをSecurity Analyticsに追加する方法を示しています。

AddRCLA1(simple).png

サービス]ビューにアクセスします。

AddRCLA2(simple).png

サービスの追加]ダイアログを開きます。

 

AddRCLA3(simple)Basics.png

ログ収集]サービスの詳細を定義します。

接続のテスト]を選択して、ローカルまたはリモートのCollectorが追加されたことを確認します。

ログ収集の構成

[サービス]ビューでパラメータを定義するLog Collectorとして、ローカルCollector(LC)またはリモートCollector(RC)を選択します。次の図に、[サービス]ビューを表示し、Log Collectorサービスを選択して、サービスの構成パラメーター インターフェイスを表示する方法を示します。

AddRCLA1(simple).png

1サービス]ビューにアクセスします。

LCParamConfigNav.png

2Log Collector]サービスを選択します。

3アクション]の下のAdvcdExpandBtn.PNGをクリックし、[表示]>[構成]を選択してログ収集に関する構成パラメーターのタブを表示します。

LCConfigTabs.png

4 全般的なログ収集パラメーターを 
全般]タブで定義します。

5 次のように表示されます。

  • ローカルCollectorを選択した場合、[リモートCollector]タブが表示されます。このタブで、ローカルCollectorがイベントをプルするリモートCollectorを選択します。
  • リモートCollectorを選択した場合、[ローカルCollector]が表示されます。このタブで、リモートCollectorがイベントをプッシュするローカルCollectorを選択します。

6ファイル]タブで、構成ファイルをテキスト ファイルとして編集します。

7イベント ソース]タブで、収集プロトコル パラメーターを定義します。

8 [設定]タブで、Lockbox、暗号化キー、証明書を定義します。

9Applianceサービス構成]タブで、Applianceサービスのパラメーターを定義します。

データ フロー図

Log Collectorサービスによって収集されたログ データを使用して、組織内のシステムの稼働状態の監視および調査を実施します。次の図は、Security Analyticsのログ収集からInvestigation(調査)までのデータ フローを示しています。

LC_Data_Flow.png

Next Topic:手順
You are here

Table of Contents > ログ収集のスタート > 基本的な操作

Attachments

    Outcomes