Warehouse Connectorの概要

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、Warehouse Connectorの概要について説明します。Warehouse Connectorにより、DecoderおよびLog Decoderからメタとイベントを収集し、AVRO形式でHadoopベースの分散コンピューティング システムに書き込むことができます。

実装オプション

Warehouse Connectorは、既存のLog DecoderまたはDecoderホスト上のサービスとして設定することも、仮想環境内の仮想アプライアンスとして実行することもできます。Warehouse Connectorは、RPMパッケージ ファイルとして、またはOVA(Open Virtual Appliance)ファイルとして提供されます。

  • 既存のLog DecoderまたはDecoderホスト上のサービスとしてWarehouse Connectorを設定する場合、RPMパッケージ ファイルを使用します。以下を参照してください:Log DecoderまたはDecoderへのWarehouse Connectorサービスのインストール.
  • Warehouse Connector仮想アプライアンスを設定する場合、OVAファイルを使用します。「仮想ホスト設定ガイド」を参照してください。

Warehouse Connectorのコンポーネント

Warehouse Connectorには、次のコンポーネントが含まれます。

  • データ ソース
  • 宛先
  • データ ストリーム

データ ソース

データ ソースとは、Warehouse Connectorが宛先に格納するデータを収集するサービスです。サポートされるデータ ソースは、Log DecoderとDecoderのサービスです。Log Decoderはログ イベントのみを、Decoderはパケットとメタを収集します。

宛先

宛先は、セキュリティ情報の分析やレポートの収集、管理を行うためのHadoopベースの分散コンピューティング システムです。サポートされる宛先は次のとおりです。

  • RSA Analytics Warehouse(MapR)の導入
  • RSA Analytics Warehouse(Pivotal)の導入
  • WebHDFSまたはNFSでマウント可能なHDFSファイル システムが構成されているHadoopベースの分散コンピューティング システム 
    • 例:商用MapR M5 Enterprise Edition for Apache Hadoop

データ ストリーム

データ ストリームは、データ ソースと宛先の論理的な接続です。収集されたデータの異なるサブセットに応じて複数のストリームを使用できます。複数のストリームを設定することで、DecoderとLog Decoderの複数のサービスからのデータを分けて管理できます。複数のデータ ソースと1つの宛先を使用したストリーム、または1つのデータ ソースと宛先を使用したストリームを作成できます。

Warehouse Connectorの機能

Warehouse Connectorによって提供される機能を次に示します。

  • DecoderとLog Decoderからの生のセッション データやログ データを集計する。
  • サポートされている宛先(Hadoopベースの環境など)に集計データを転送する。
  • スキーマとデータの両方を含む集計データをAVRO形式にシリアライズする。

メタ フィルタ

Warehouse Connectorのメタ フィルタにより、Warehouseに書き込む必要があるメタをフィルタできます。詳細については、次のトピックを参照してください:メタ フィルタの指定.

複数値メタのサポート

RSA Analytics Warehouseでは、複数値メタがサポートされています。複数値メタとは、配列タイプのメタ フィールドです。メタ ライブラリを使用して配列タイプのメタ フィールドを決定し、正しい配列構文を使ってHiveクエリーを記述することができます。デフォルトでは、次のメタは複数値として扱われ、Warehouse Connectorの/etc/netwitness/ngにあるファイルmultivalue-bootstrap.xmlで定義されます。

  • alias.host
  • action
  • username
  • alias.ip
  • alias.ipv6
  • email

既存のメタまたはカスタム メタを、複数値メタとして処理されるように定義することもできます。それには、次の操作を行います。

注意:既存のメタを複数値メタとして処理されるように定義すると、メタのデータ タイプが変わり、関連付けられているレポートが失敗する場合があります。

  1. /etc/netwitness/ngディレクトリに、ファイル名multivalue-users.xmlで新しいファイルを作成します。
  2. 次のエントリーを追加します。

    ここでNEWMETANAMEは複数値のメタとして扱われる既存のメタまたはカスタム メタです。 

    注意:デフォルトで非複数値として扱われるメタは追加しないでください。

  1. Warehouse Connectorストリームを再ロードします。詳細については、次のトピックを参照してください: サービスの[構成]ビュー:Warehouse Connector.

チェックサム検証

Warehouse Connectorでは、Warehouse Connectorからデータの宛先に転送されるAVROファイルの整合性を検証できます。Warehouse Connectorの構成で、チェックサム検証を有効にする必要があります。

Lockboxのサポート

Lockboxは、Warehouse Connectorが機微データの格納と保護に使用する暗号化ファイルを提供します。Lockboxを作成するには、Warehouse Connectorの初回構成時にLockboxのパスワードを指定する必要があります。

You are here
Table of Contents > Warehouse Connectorの概要

Attachments

    Outcomes