Archiver:保存ルールの定義

Document created by RSA Information Design and Development on Apr 18, 2018
Version 1Show Document
  • View in full screen mode
 

管理者は、Archiverのログ ストレージ コレクションの保存ルールを定義し、順序を指定することができます。保存ルールで、コレクションに格納するログのタイプを指定します。ログ コレクションにログ データを収集して格納するには、少なくとも1つの保存ルールを関連づける必要があります。保存ルールを構成するには、そのルールの条件とコレクションを指定します。この条件(ルール定義)により、そのコレクションに格納されるログのタイプが決まります。

条件には、通常のクエリのwhere句で使用できるあらゆる表現を使用できます。

たとえば、コンプライアンス サービスからログを取得する場合は、次のような条件を使用できます。

device.group='PCI Devices' || device.group='HIPPA Devices'

コレクションの保存ルールを定義したら、保存ルールの順序を指定することが重要です。NetWitness Suiteは、Archiverの[データ保存]タブにある[保存ルール]セクションの[順序]列の番号順に、すべてのコレクションの保存ルールを評価します(管理> サービスの [構成] ビュー)。

[保存ルール]セクションが表示されます。

注意:ルールの順序は非常に重要です。この情報に基づいて、ストレージに保存するログ データを評価する優先度が決まります。

前提条件

保存ルールを構成する前に、次の作業を完了しておきます。

  • Hot/Warm/Coldストレージ全体の構成
  • ログ ストレージ コレクションの構成

手順

コレクションの保存ルールの定義

  1. [管理]>[サービス]に移動します。
  2. Archiverサービスを選択し、ic-actns.png >[表示]>[構成]
    を選択します。Archiverの[サービス]の[構成]ビューが表示されます。
  3. データ保存]タブの[保存ルール]セクションで
    をクリックしますic-add.png
    ルールの定義]ダイアログが表示されます。
    [ルール定義]ダイアログが表示されます。
  4. 次の表の説明に従って、[ルールの定義]ダイアログのフィールドを構成します。             
    フィールド説明
    ルール名保存ルールの一意の名前を指定します。スペースを含めることはできません。例:LowValueWinLogs
    条件コレクションに含めるログのタイプの条件を指定します。

    すべての文字列リテラルとタイム スタンプは引用符で囲む必要があります。数値およびIPアドレスは引用符で囲まないでください。

    例:
    device.type='winevent_nic' && msg.id='security_4648_security'
    コレクションこのルールを適用するコレクションを選択します。例:LowValue
  5. 保存]をクリックします。
    定義した保存ルールが選択したコレクションに関連づけられます。[データ保存]タブの[コレクション]セクションで、選択したコレクションの[アクション]列のActionsButton.png>[ルールの選択]をクリックすると、そのコレクションに関連づけられている保存ルールが[保存ルール]セクションに表示されます。
    [保存ルール]セクションが表示されます。

保存ルールの順序の指定

すべての保存ルールのリストで順序を指定するには、次の手順を実行します。

  1. データ保存]タブの[保存ルール]セクションで、保存ルールを選択し、ドラッグ アンド ドロップ(またはic-up.png上に移動]とic-down.png下に移動])を使用して優先度リスト内で順序を変更します。

    [データ保存]タブの[保存ルール]セクションが表示されます。
  2. 適用]をクリックして保存ルールの順序を保存します。

注意:ルールの順序は非常に重要です。この情報に基づいて、ストレージに保存するログ データを評価する優先度が決まります。

次のステップ

Reporting EngineにArchiverをデータ ソースとして追加します。

You are here
Table of Contents > Archiverの基本構成 > ステップ3. Archiverのストレージとログ保存の構成 > 保存ルールの定義

Attachments

    Outcomes