Archiver:Hot/Warm/Coldストレージの構成

Document created by RSA Information Design and Development on Apr 18, 2018
Version 1Show Document
  • Comment0
  • View in full screen mode
 

このトピックでは、管理者向けにArchiverのHot/Warm/Coldストレージ全体を構成する方法を説明します。

Archiverホストには、あらかじめデフォルト値に構成されたHotストレージがあります。管理者は、特定のビジネス要件を満たすようにHot/Warm/Coldストレージ全体を構成できます。Archiverでは、Hotストレージは構成されている必要がありますが、WarmおよびColdストレージの構成はオプションです。NetWitness Suiteでは、Coldストレージは管理されません。

前提条件

以下の条件を満たしていることを確認します。

  1. ネットワーク環境にArchiverホストがインストールされていること。
  2. Log Decoderがネットワーク環境にインストールされ、構成されていること。
  3. NetWitness Suite導入環境にコア サービスとしてArchiverが追加されていること。
  4. Archiverのデータ ソースとしてLog Decoderサービスが追加されていること。
  5. ネットワーク環境にDACやその他の物理ストレージがインストールされ、構成されていること。
  6. ログの保存期間とストレージの要件が決定されていること。

手順

ArchiverのHotストレージ合計の構成

  1. [管理]>[サービス]に移動します。

  2. Archiverサービスを選択し、ic-actns.png >[表示]>[構成]を選択します。

    Archiverの[サービス]の[構成]ビューが表示されます。

  3. データ保存]タブの[Hotストレージ合計]セクションで、ic-settings.pngをクリックしてHotストレージ合計を構成します。

    Archiverの[サービス]の[構成]ビューが表示されます。

  4. Hotストレージ マウント ポイント]ダイアログで、Archiverホストに接続されているマウント ポイントのうち、Hotストレージ合計に含めるマウント ポイントを追加します。

    これらは、DACストレージやSANなどの高パフォーマンス ストレージへのパスです。マウント ポイントにコレクションやサブディレクトリを追加することはできません。

    マウント ポイントを追加するには、ic-add.pngをクリックし、マウント ポイントへのパスを入力します。

    [Hotストレージ マウント ポイント]ダイアログが表示されます。

  5. マウント ポイントのパスが正しいことを確認して[保存]をクリックします。
    NetWitness Suiteは自動的にmetadb、packetdb、sessiondbを作成し、Archiverで定義されている各コレクションのディレクトリへのインデックスが付与されます。
    <storageLocation>/<CollectionName>/metadb
    <storageLocation>/<CollectionName>/packetdb
    <storageLocation>/<CollectionName>/sessiondb
    <storageLocation>/<CollectionName>/index

    For example, if your mount point is /var/netwitness/archiver, then the following directories will be created for each of your collections:
    /var/netwitness/archiver/<CollectionName>/metadb
    /var/netwitness/archiver/<CollectionName>/packetdb
    /var/netwitness/archiver/<CollectionName>/sessiondb
    /var/netwitness/archiver/<CollectionName>/index

    Archiverサービスが再起動されると、定義済みのコレクションへのデータの保存が開始されます。Archiverサービスを再開する前に、ログ保存コレクションが正しいことを確認します。

注意:マウント ポイントにデータが保存されると、ユーザ インタフェースからはデータを削除できません。

ArchiverのWarmストレージ合計の構成

(オプション)ArchiverのWarmストレージ合計を構成する手順は、Hotストレージ合計の場合とほぼ同じです。ただし、[Warmストレージ合計]セクションでic-settings.pngをクリックして、Warmストレージとして使用するマウント ポイントを追加する点が異なります。追加するマウント ポイントは、NAS(ネットワーク接続ネットワーク接続型ストレージ)などのWarmストレージへの物理パスです。

[Warmストレージ マウント ポイント]ダイアログが表示されます。

ArchiverのColdストレージ合計の構成

(オプション)ArchiverのColdストレージ合計を構成する手順は、Hotストレージ合計の場合とほぼ同じです。ただし、[Coldストレージ合計]セクションでic-settings.pngをクリックして、Coldストレージのマウント ポイントを1つだけ追加する点が異なります。NetWitness Suiteでは、Coldストレージは管理されません。

コレクション間でのファイル名の競合を回避するために、Coldストレージ マウント ポイントのパス名のいずれかの部分にコレクション名の書式指定子%nを含める必要があります。

[Coldストレージ マウント ポイント]ダイアログが表示されます。

パスでは次の書式指定子を使用できます。

                                   
書式指定子説明
%nコレクション名(必須)
%yデータがColdストレージに移動された年
%m
%d
%h時間
%##r現在の日付の時間のブロック。たとえば、8時間ずつの3ブロックに分ける場合は、%8rに設定します。1日の最初の8時間は0、2番目の8時間は1、最後の8時間は2となります。

変更は即座に有効になります。

たとえば、complianceという名前のコレクションがあり、次のようなColdストレージ パスを作成するとします。

/sa-cold-storage/%n/%y-%m-%d/

NetWitness Suiteでは、次の形式で毎日ディレクトリが作成されます。

/sa-cold-storage/compliance/2015-11-20/

Hot、Warm、Cold階層のストレージ機能

次の表に、[Hot/Warm/Coldストレージ マウント ポイント]ダイアログの機能を示します。

                               
機能説明
ic-add.png マウント ポイントを追加します。
ic-delete.png マウント ポイントを削除します。使用中のマウント ポイントは、関連するコレクションを削除しないと削除できません。
ic-checkbox.png Hot/Warm/Coldストレージ合計に含めるマウント ポイントを選択します。Coldストレージ合計のマウント ポイントは1つだけ選択できます。
マウント ポイント

接続されている物理ストレージのパスが表示されます。例:/var/netwitness/archiver/database0(Hotストレージ用のDACの場所)

マウント ポイントにコレクションやサブディレクトリを追加しないでください。NetWitness Suiteは自動的にmetadb、packetdb、sessiondbを作成し、Archiverで定義されている各コレクションのディレクトリへのインデックスが付与されます。
<storageLocation>/<CollectionName>/metadb
<storageLocation>/<CollectionName>/packetdb
<storageLocation>/<CollectionName>/sessiondb
<storageLocation>/<CollectionName>/index

たとえば、Hotストレージのマウント ポイントが/var/netwitness/archiverである場合は、各コレクションで次のディレクトリが作成されます。
/var/netwitness/archiver/<CollectionName>/metadb
/var/netwitness/archiver/<CollectionName>/packetdb
/var/netwitness/archiver/<CollectionName>/sessiondb
/var/netwitness/archiver/<CollectionName>/index

Coldストレージでは、コレクション間でのファイル名の競合を回避するために、Coldストレージ マウント ポイントのパス名のいずれかの部分にコレクション名の書式指定子%nを含める必要があります。

ストレージ サイズ接続されているストレージのサイズが表示されます。参照用にストレージの合計容量が[データ保存]タブに表示されます。

コレクション

[コレクション]セクションには、すべてのストレージ コレクションのリストが表示されます。それぞれについて、HotストレージとWarmストレージの合計容量も表示されます。

[コレクション]セクションでは、すべてのストレージ コレクションが表示されます。

コレクション機能

次の表に、[コレクション]セクションのアイコンと列を示します。一部の列については、要件に応じて非表示にすることが可能です。

                                                                                 
機能説明
ic-add.png [コレクション]ダイアログを開くとストレージ コレクションを追加できます。
ic-delete.png 選択したコレクションを削除します。コレクションを削除すると、そのコレクションに格納されているすべてのデータが完全に削除されますが、データ ディレクトリは空の状態で残ります。
ic-edit.png [コレクション]ダイアログを開くとストレージ コレクションを編集できます。
ic-refresh.png コレクションの情報を更新します。
ic-checkbox.png コレクションを選択します。たとえば、編集または削除するコレクションを選択できます。
コレクション

コレクションの名前が表示されます(例:Default、Compliance、MediumValue、LowValue)。異なる条件でログを保持する複数のコレクションを作成できます。コレクションを作成しない場合は、デフォルトのコレクションが使用されます。

コレクションにエラーがある場合は、コレクション名とエラーがある列が赤色のテキストで表示されます。

使用量/HotストレージHotストレージの現在の使用量とコレクションに使用できる最大容量が表示されます。ログのサイズがHotストレージの最大容量に達すると、ログが削除されるか、使用可能な次のストレージ階層(WarmまたはCold)にロールオーバーされます。
使用量/WarmストレージWarmストレージの現在の使用量とコレクションに使用できる最大容量が表示されます。ログのサイズがWarmストレージの最大サイズに達すると、ログが削除されるか、使用可能なColdストレージにロールオーバーされます。
ColdストレージColdストレージが有効か無効かを示します。緑色で塗りつぶされた丸は、Coldストレージが有効化されていることを示します()。塗りつぶされていない白色の丸は、Coldストレージが無効になっていることを示します。
保存期間ログを保存する日数が表示されます。この日数を超えたログは、削除されるかColdストレージに移動されます。[制限なし]は、ログの保存期間が指定の日数で制限されないことを示します。
HotストレージとWarmストレージについては、コレクションのサイズと保存期間のどちらの条件を先に満たしたかに基づいて、それらの設定を相互にオーバーライドできます。
変化(過去1時間)過去1時間に収集されたログの数が表示されます。
最も古い日付コレクションに格納された最も古いデータの日付が表示されます。
期間コレクションに格納された最も古いデータの概算の保存期間が表示されます。例:20日
圧縮コレクションのメタおよびrawデータに使用する圧縮のタイプが表示されます。
ハッシュハッシュが有効か無効かが表示されます。有効になっている場合、保存するファイルのデータ整合性を確認するためにハッシュ アルゴリズムが使用されます。デフォルトでは、ハッシュの対象となるデータはrawログのみです。ハッシュ ファイルはデータと同じディレクトリに保存されます。
ルール数

コレクションに適用されるルールの数が表示されます。
コレクションごとに少なくとも1つのルールを定義します。ルールが関連づけられていないコレクションでは、警告として赤色のテキストで0が表示されます。コレクション名も赤色で表示され、コレクション内にエラーがあることが示されます。

注意:コレクションにルールがない場合、そのコレクションにはログが格納されません。

アクション<actions button>>>[ルールの選択]を選択すると、コレクションに関連づけられているルールが[保存ルール]セクションに表示されます。[保存ルール]セクションで、コレクション全体におけるルールの優先度を変更できます。
ストレージ合計 使用量/Hotストレージ]列の下に、Hotストレージの現在の合計使用量と最大合計容量が表示されます。[使用量/Warmストレージ]列の下にも、Warmストレージの現在の合計使用量と最大合計容量が表示されます。

コレクションにエラーがある場合はコレクション名が赤で表示されます。点線の下線は、エラーに関する情報をツールチップで確認できることを示しています。

コレクションのエラーは赤色で表示されます。

編集が無効(グレー表示)になっているコレクションにも、問題に関する情報がツールチップに表示されます。

保存ルール

[保存ルール]セクションには、ストレージ コレクションに使用されるすべての保存ルールが実行順に表示されます。

[保存ルール]セクションの例。

次の表に、[保存ルール]セクションの機能を示します。

                                                               
機能説明
ic-add.png [ルールの定義]ダイアログを開くと、ストレージ コレクションで使用する保存ルールを追加できます。
ic-delete.png 選択した保存ルールを削除します。ログ コレクションにログ データを収集して格納するには、少なくとも1つの保存ルールを関連づける必要があります。
ic-edit.png [ルールの定義]ダイアログを開くと、選択した保存ルールを編集できます。
ic-refresh.png 保存ルールの情報を更新します。
ic-up.png上に移動

選択した保存ルールを優先度リストの上方向に移動します。保存ルールの順序は非常に重要です。NetWitness Suiteでは、すべてのコレクションの保存ルールが[保存ルール]セクションにある[順序]列の番号順に評価されます。

保存ルールの順序はドラッグ アンド ドロップで変更することもできます。

ic-down.png下に移動選択した保存ルールを優先度リストの下方向に移動します。保存ルールの順序は非常に重要です。NetWitness Suiteでは、すべてのコレクションの保存ルールが[保存ルール]セクションにある[順序]列の番号順に実行されます。
適用ルールの順序の変更を保存します。
ic-revert.png元に戻すルールの順序の変更を元に戻します。
ic-checkbox.png 保存ルールを選択します(選択されている保存ルールを示します)。
順序すべての保存ルールの順序が表示されます。
ルール名ルールの名前が表示されます(例:ComplianceDevices、GeneralWindowsLogs)。
条件

ルールの条件が表示されます。これらの条件で、コレクションに含めるログのタイプが指定されます。

コア サービスのすべてのクエリとルール条件に適用されるガイドラインについては、「保存ルールの定義」を参照してください。

コレクションコレクション名とコレクションの保存日数が表示されます。次に例を示します。MediumValue (30 Days)

[コレクション]ダイアログ

Archiverの管理>[サービス]>[構成]ビュー>[データ保存]タブでは、管理者がログ保存とストレージの基準を定義することができます。[コレクション]セクションからアクセスできる[コレクション]ダイアログで、ログのタイプごとに個別のストレージ コレクションを定義できます。たとえば、コンプライアンス用のコレクションを作成したり、重要なログだけを選択して保存するコレクションを作成できます。

このダイアログ ボックスに関連する手順については、「Archiverのストレージとログ保存の構成」および「ログ ストレージ コレクションの構成」で説明しています。

[コレクション]ダイアログにアクセスするには、次の手順を実行します。

  1. [管理]>[サービス]を選択します。
  2. Archiverサービスを選択し、[表示]>[構成]を選択します。
  3. 選択したサービスの[サービス]の[構成]ビューで、[データ保存]タブをクリックします。
  4. コレクション]セクションでic-add.pngをクリックし、ルールを追加または編集します。
    [コレクション]ダイアログが表示されます。

Archiverの[コレクション]ダイアログが表示されます。

次の表に、[コレクション]ダイアログのフィールドを示します。

                                   > 
フィールド説明
コレクション名コレクションの名前を指定します(例:Compliance、MediumValue、LowValue)。
Hotストレージ このコレクション用のHotストレージの最大サイズまたは割合を指定します。このフィールドの横に、Hotストレージに使用できる空きスペースとHotストレージの合計容量が表示されます。
ログのサイズがHotストレージの最大サイズに達すると、ログが削除されるか、使用可能な次のストレージ階層(WarmまたはCold)にロールオーバーされます。
Warmストレージ(オプション)このコレクション用のWarmストレージの最大サイズまたは割合を指定します。このフィールドの横に、Warmストレージに使用できる空きスペースと、Warmストレージの合計容量が表示されます。
ログのサイズがWarmストレージの最大サイズに達すると、ログが削除されるか、使用可能なColdストレージにロールオーバーされます。
Coldストレージ(オプション)このコレクションでColdストレージを使用するかどうかを指定します。コレクションにColdストレージを使用する場合、指定されたサイズと保存制限外のログがColdストレージにロールオーバーされます。Coldストレージを使用しない場合、指定されたサイズと保存制限外のログは削除されます。
保存期間(オプション)ログを保存する日数を指定します。この日数を超えたログは削除されるかColdストレージにロールオーバーされます。
HotストレージとWarmストレージについては、コレクションのサイズと保存期間のどちらの条件を先に満たしたかに基づいて、それらの設定を相互にオーバーライドできます。
圧縮コレクション内のメタとRAWログに使用する圧縮のタイプを指定します。スペースを節約するために、GZIPまたはLZMAを使用してメタとRAWログを圧縮できます。GZIPの圧縮と解凍は非常に高速ですが、LZMAほどには圧縮されません。LZMAは圧縮率が優れていますが、解凍速度が遅くなります(GZIPの約3倍の時間がかかります)。圧縮率はデータに大きく依存します。
デフォルトの圧縮方法はGZIPです。
ハッシュハッシュを有効にするか無効にするかを指定します。有効にした場合、保存するファイルのデータ整合性を検証するためにハッシュ アルゴリズムが使用されます。デフォルトでは、ハッシュの対象となるデータはrawログのみです。ハッシュ ファイルはデータと同じディレクトリに保存されます。

注:コレクションのストレージ割り当てを減らしたり保存期間を短くしたりすると、移動(ロールオーバー)するデータの量によっては、データを移動して領域を使用できるようになるまでに数分から数時間かかることがあります。デフォルトでは、サイズ ロールオーバーは20分ごと、タイム ロールオーバーは6時間ごとに行われます。

[ルール定義]ダイアログ

Archiverの管理>[サービス]>[構成]ビュー>[データ保存]タブでは、管理者がログ保存とストレージの基準を定義することができます。[ルールの定義]ダイアログは[保存ルール]セクションからアクセス可能で、ストレージ コレクションを使用する保存ルールを定義できます。

このダイアログ ボックスに関連する手順については、「Archiverのストレージとログ保存の構成」および「保存ルールの定義」で説明しています。

[ルール定義]ダイアログにアクセスするには、次の手順を実行します。

  1. [管理]>[サービス]を選択します。
  2. Archiverサービスを選択し、[表示]>[構成]を選択します。
  3. 選択したサービスの[サービス]の[構成]ビューで、[データ保存]タブをクリックします。
  4. 保存ルール]セクションでまたはをクリックします。
    [ルールの定義]ダイアログが表示されます。
    [ルール定義]ダイアログが表示されます。

次の表に、[ルールの定義]ダイアログのフィールドを示します。

      >        >   > 
フィールド説明
名前保存ルールの一意の名前を指定します。次に例を示します。ComplianceDevices
条件

コレクションに含めるログのタイプの条件を指定します。

すべての文字列リテラルとタイム スタンプは引用符で囲む必要があります。数値およびIPアドレスは引用符で囲まないでください。

次に例を示します。

device.group='PCI Devices' || device.group='HIPPA Devices'

コレクションこのルールを適用するコレクションを選択します。次に例を示します。コンプライアンス

次のステップ

ログ ストレージ コレクションを構成します。

You are here
Table of Contents > Archiverの基本構成 > ステップ3. Archiverのストレージとログ保存の構成 > Hot/Warm/Coldストレージの構成

Attachments

    Outcomes