SA構成:監査ログのローカル保存場所

Document created by RSA Information Design and Development on Feb 17, 2017
Version 1Show Document
  • View in full screen mode
  

Security Analyticsに、グローバル監査ログ機能が追加されました。グローバル監査ログを構成すると、すべてのSecurity Analyticsコンポーネントの監査ログを一元化されたシステムに集約できます。監査ログは必要な形式に変換され、サード パーティのSyslogサーバまたはLog Decoderに転送されます。 

個々のサービスからの監査ログは、ローカル監査ログの場所で確認できます。次の表に、Security Analyticsユーザー インターフェイスとさまざまなSecurity Analyticsサービスの監査ログのローカル ディレクトリ パスを示します。

                         
サービス/モジュール監査ログの場所
Security Analyticsユーザー インタフェース
(Security Analytics Web Server)
Security Analyticsユーザー インターフェイスは、監査ログを次の場所に送信します。
  • /var/lib/netwitness/uax/logs/audit/audit.log(ヒューマンリーダブル形式)
  • ローカル ホストで実行されているSyslog(JSON形式)
Security Analyticsユーザー インターフェイスは、SyslogのAUTHファシリティを使用して、監査ログをSyslogに書き込みます。最初の場所(/var/lib/netwitness/uax/logs/audit/audit.log)でのみ監査ログを確認できます。
Security Analytics Coreサービス(Decoder、Log Decoder、Concentrator、Broker、Archiver)、Log Collector、
Warehouse Connector、Workbench、IPDB Extractor
Security Analytics Coreサービスおよび同様のサービスは、監査ログを、ローカル ホストで実行されているSyslogに送信します。 
パス:/var/log/secure(JSON形式)

Security Analytics Coreサービスでは、SyslogのAUTHPRIVファシリティを使用して、監査ログをSyslogに書き込みます。
Reporting Engine、
Malware Analysis、
インシデントの管理、および
Event Stream Analysis(ESA)
これらのサービスは、監査ログを次の場所に送信します。
  • <application home directory>/logs/audit/audit.log(ヒューマンリーダブル形式)
  • ローカル ホストで実行されているSyslog(JSON形式)
これらのサービスの監査ログの場所を次に示します。
Reporting Engine: 
/home/rsasoc/rsa/soc/reporting-engine/logs/audit/audit.log

インシデントの管理:
/opt/rsa/im/logs/audit/audit.log


Malware Analysis:
/var/lib/netwitness/rsamalware/spectrum/logs/audit/audit.log


Event Stream Analysis:
/opt/rsa/esa/logs/audit/audit.log

これらのサービスでは、SyslogのAUTHファシリティを使用して、監査ログをSyslogに書き込みます。最初の場所(<application home directory>/logs/audit/audit.log)でのみ監査ログを確認できます。
ヘルスモニタ、ESM(イベント ソース管理)、ASG(Appliance and Service Grouping)これらのサービスは、監査ログを次の場所に送信します。
  • /opt/rsa/sms/logs/audit/audit.log(ヒューマンリーダブル形式)
  • ローカル ホストで実行されているSyslog(JSON形式)
これらのサービスでは、SyslogのAUTHファシリティを使用して、監査ログをSyslogに書き込みます。最初の場所(/opt/rsa/sms/logs/audit/audit.log)でのみ監査ログを確認できます。
You are here
Table of Contents > 参考資料 > [グローバル監査ログの構成]パネル > 監査ログのローカル保存場所

Attachments

    Outcomes