SA構成:グローバル監査ログの構成の定義

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

このトピックでは、管理者がグローバル監査ログの構成を定義する方法について説明します。この手順は、導入環境で監査ログの一元化を行う場合にのみ実行する必要があります。このグローバル監査ログの構成では、グローバル監査ログを、外部SyslogシステムまたはLog Decoderに転送する方法を定義します。監査ログは、選択した通知サーバに転送されます。

前提条件

この手順を開始する前に、グローバル監査ログに使用する次のアイテムを構成します。

  • Syslog通知サーバ
  • 監査ログ テンプレート

通知サーバおよびテンプレートは[グローバル通知]パネルで構成します。[グローバル通知]パネルにアクセスするには、[グローバル監査ログの構成]パネルで[設定の表示]リンクをクリックします。グローバル監査ログでは、Syslogタイプの通知サーバのみを使用できます。Log Decoderの場合は、Syslogタイプの通知サーバとCEF(CommonEventFormat)監査ログ テンプレートを使用する必要があります。デフォルトの監査ログ テンプレートを使用するか、独自のテンプレートを定義することができます。複数の監査ログ テンプレートとSyslog通知サーバを作成して、グローバル監査ログの構成に使用できます。 

グローバル監査ログをLog Decoderに転送する場合は、Common Event Format Parserを、Liveからご使用のLoc Decoderに導入します。

グローバル監査ログの構成の追加

  1. Security Analyticsメニューで、[Administration]>[システム]を選択します。
  2. [オプション]パネルで、[グローバル監査]を選択します。
    グローバル監査ログの構成]パネルが表示されます。
  3. をクリックして、グローバル監査ログの構成を追加します。
    新しい構成の追加]ダイアログが表示されます。
  4. 構成名]フィールドに、グローバル監査ログの一意の名前を入力します。特定のタイプのグローバル監査ログの構成を作成できます。たとえば、「HQ SA」という名前で、Security Analyticsの本社用の構成を作成できます。
  5. 通知]セクションで、この構成に使用するSyslog通知サーバを選択します。通知サーバは、グローバル監査ログの送信先です。
  6. この構成に使用する監査ログ通知テンプレートを使用します。監査ログ テンプレートによって、送信形式と送信される監査ログ メッセージ フィールドが定義されます。 
  7. Saveをクリックします。

[新しい構成の追加]ダイアログ には、ログに記録されるユーザー アクションの追加情報と例が記載されています。Security Analyticsの各種コンポーネントによってログに記録される一連のメッセージ タイプについては、次のトピックを参照してください:グローバル監査ログに記録される操作の一覧.

グローバル監査ログの構成の編集

このトピックでは、グローバル監査ログの構成を編集する方法について説明します。グローバル監査ログの構成を編集して、別の通知サーバを選択することにより、グローバル監査ログの送信先を変更することができます。また別の通知テンプレートを選択して、グローバル監査ログのエントリーの形式やメッセージのフィールドを変更することもできます。通知サーバやテンプレートの変更は、[グローバル通知]パネルで行います。[グローバル通知]パネルにアクセスするには、[グローバル監査ログの構成]パネルで[設定を表示]リンクをクリックします。

グローバル監査ログへの記録および送信の対象となるSecurity Analyticsユーザー アクションを変更することはできません。 

  1. Security Analyticsメニューで、[Administration]>[システム]を選択します。
  2. [オプション]パネルで、[グローバル監査]を選択します。
  3. グローバル監査ログの構成]パネルで、編集する構成を選択してをクリックします。
  4. 新しい構成の追加]ダイアログで、グローバル監査ログの構成を必要に応じて変更します。構成名を変更して、別の通知サーバまたはテンプレートを選択することができます。
  5. 保存]をクリックします。

グローバル監査ログの構成の削除

グローバル監査ログの構成を削除しても、関連づけられている通知サーバやテンプレートは削除されません。グローバル監査ログの構成を削除した後、その構成で指定したグローバル監査ログの転送は中止されます。

  1. Security Analyticsメニューで、[Administration]>[システム]を選択します。
  2. [オプション]パネルで、[グローバル監査]を選択します。
  3. グローバル監査ログの構成]パネルで、削除する構成を選択し、をクリックします。
    確認ダイアログが表示されます。
  4. はいをクリックします。
    選択した構成が削除されます。
You are here
Table of Contents > 標準的な手順 > グローバル監査ログの構成 > グローバル監査ログの構成の定義

Attachments

    Outcomes