Archiver:ステップ3. Archiverのストレージとログ保存の構成

Document created by RSA Information Design and Development on Apr 18, 2018
Version 1Show Document
  • View in full screen mode
 

このトピックでは、管理者向けにArchiverのストレージとログ保存を構成する方法を説明します。

コンプライアンス上の理由から、ログのタイプに応じて異なる保存期間を適用しなければならないことがよくあります。法的に慎重な取り扱いが求められ長期間保存できないログもあれば、数年間保存しておかなければならないログもあります。コンプライアンス上の理由以外にも、履歴フォレンジックに役立つログもあれば、セキュリティや運用にはほとんど影響しないために短期間で削除して構わないログもあります。

ビジネス要件の変化に対応できるように、NetWitness Suiteでは、コレクションというログ保存セットを構成してログ データを格納できます。各コレクションについて、総ストレージ領域に対する使用上限とコレクション内のログを保持する日数を指定できます。コレクションに格納するログのタイプを指定するには、保存ルールを定義してコレクションに関連づけます。すべてのコレクションの保存ルールが、定義した順序でシーケンシャルシーケンシャルに実行されます。

このためには、まずコレクション全体の物理ストレージ領域を定義する必要があります。NetWitness Suiteでは3種類のストレージを定義できます。

  • Hot階層ストレージ:このストレージには、業務プロセスで頻繁に使用されるログ データが格納されます。これらのログは、他のタイプのストレージよりも迅速にアクセスできるため、レポート作成などのタスクに使用すると便利です。Hotストレージは、通常、DAC(Direct-Access Capacity)ストレージまたはSANストレージで構成されます。
  • Warm階層ストレージ:(オプション)このストレージには、古くなったログ データがArchiverによってまとめて格納されます。ログ データへのアクセスには、Hotストレージに比べると時間がかかります。これらのログもレポート作成などのタスクに使用できます。Warmストレージは、通常、NAS(ネットワーク接続ネットワーク接続型ストレージ)で構成されます。
  • Cold階層ストレージ:(オプション)このストレージには、業務の遂行に必要か、規制上の要件で保存が義務づけられている最も古いログ データが格納されます。これらのログはオフラインであり、レポート作成などのタスクを行うためにArchiverからアクセスすることはできません。ただし、このログ データにアクセスする必要がある場合は、Archiverサービスで作成したコレクションにデータをリストアして、レポート作成などの目的に使用できます。Coldストレージは、通常、NASなどのオフライン ストレージのほか、テープにアーカイブするまでの一時的なストレージとして使用されます。Cold階層に移動されたデータはArchiverでは管理されなくなります。移動後のバックアップや管理は外部プロセスで行われ、Cold階層のスペースが100%に達しないように管理されます。容量がいっぱいになると、問題が解消されるまでArchiverによる集計は停止されます。

Archiverは使用可能なHotストレージとデフォルトのログ コレクションを使用するように事前に構成されているため、ログ保存の要件が複雑でなければ、Archiverのストレージとログ保存の構成を行う必要はありません。

ログは異なるタイプのストレージ間で次のように移動できます。

  • Hotストレージ>Coldストレージ
  • Hotストレージ>Warmストレージ>Coldストレージ

図は、Hot、Cold、Warmストレージの間の接続を示しています。

コレクションがHotストレージおよびWarmストレージの保存期限に達すると、NetWitness SuiteによってHotストレージまたはWarmストレージからログ データが削除されます。Coldストレージが構成されている場合は、ログ データがHotストレージまたはWarmストレージから削除される前に、Coldストレージにコピーされます。たとえば、HotストレージとWarmストレージがそれぞれ1 TBで、Coldストレージを有効にしたコレクションの場合、Hotストレージのログ データが1 TBに達すると最も古いログ データがWarmストレージに移動されます。Warmストレージのログ データが1 TBに達すると、Warmストレージの最も古いログ データがColdストレージにコピーされ、Warmストレージから削除されます。

HotストレージとWarmストレージについては、コレクションのサイズと保存期間のどちらの条件を先に満たしたかに基づいて、それらの設定を相互にオーバーライドできます。たとえば、Hotストレージが1 TBでWarmストレージとColdストレージは使用していないコレクションで、保存期間を20日に設定している場合、ログ データが11日目に1 TBを超えると、保存期間の20日に達していなくても1 TBを超えたログが古いものから削除されます。

Hot、Warm、Coldのストレージを作成したら、ログ保存ストレージ コレクションを構成します。コレクションのHotストレージおよびWarmストレージの最大容量、Coldストレージを使用するかどうか、コレクションへのログの保存日数、データ圧縮方法、保存するファイルのデータ整合性を検証するためにハッシュ アルゴリズムを使用するかどうかを指定できます。

コレクションを構成したら、コレクションの保存ルールを定義します。これらのルールで、コレクションに格納するログのタイプを指定します。コレクションにログ データを格納するには、それぞれ少なくとも1つの保存ルールに関連づける必要があります。

手順

ストレージとログ保存を構成するには、次のタスクを記載された順序で実行します。

                       
タスク参照
1. Hot/Warm/Coldストレージ全体を構成します。 Hot/Warm/Coldストレージの構成」を参照してください。
2. ログ保存ストレージ コレクションを構成します。 ログ ストレージ コレクションの構成」を参照してください。
3. コレクションの保存ルールを定義し、すべての保存ルールのリストで実行順序を決めます。 保存ルールの定義」を参照してください。

 

You are here
Table of Contents > Archiverの基本構成 > ステップ3. Archiverのストレージとログ保存の構成

Attachments

    Outcomes