Archiver：Hot/Warm/Coldストレージの構成

Document created by RSA Information Design and Development

on Apr 18, 2018

Version 1Show Document

Like • Show 0 Likes0
Comment • 0
View in full screen mode

このトピックでは、管理者向けにArchiverのHot/Warm/Coldストレージ全体を構成する方法を説明します。

Archiverホストには、あらかじめデフォルト値に構成されたHotストレージがあります。管理者は、特定のビジネス要件を満たすようにHot/Warm/Coldストレージ全体を構成できます。Archiverでは、Hotストレージは構成されている必要がありますが、WarmおよびColdストレージの構成はオプションです。NetWitness Suiteでは、Coldストレージは管理されません。

前提条件

以下の条件を満たしていることを確認します。

ネットワーク環境にArchiverホストがインストールされていること。
Log Decoderがネットワーク環境にインストールされ、構成されていること。
NetWitness Suite導入環境にコアサービスとしてArchiverが追加されていること。
ArchiverのデータソースとしてLog Decoderサービスが追加されていること。
ネットワーク環境にDACやその他の物理ストレージがインストールされ、構成されていること。
ログの保存期間とストレージの要件が決定されていること。

手順

ArchiverのHotストレージ合計の構成

［管理］＞［サービス］に移動します。
Archiverサービスを選択し、 ＞［表示］＞［構成］を選択します。

Archiverの［サービス］の［構成］ビューが表示されます。
［データ保存］タブの［Hotストレージ合計］セクションで、をクリックしてHotストレージ合計を構成します。
［Hotストレージマウントポイント］ダイアログで、Archiverホストに接続されているマウントポイントのうち、Hotストレージ合計に含めるマウントポイントを追加します。

これらは、DACストレージやSANなどの高パフォーマンスストレージへのパスです。マウントポイントにコレクションやサブディレクトリを追加することはできません。

マウントポイントを追加するには、をクリックし、マウントポイントへのパスを入力します。
マウントポイントのパスが正しいことを確認して［保存］をクリックします。
NetWitness Suiteは自動的にmetadb、packetdb、sessiondbを作成し、Archiverで定義されている各コレクションのディレクトリへのインデックスが付与されます。
<storageLocation>/<CollectionName>/metadb
<storageLocation>/<CollectionName>/packetdb
<storageLocation>/<CollectionName>/sessiondb
<storageLocation>/<CollectionName>/index

For example, if your mount point is /var/netwitness/archiver, then the following directories will be created for each of your collections:
/var/netwitness/archiver/<CollectionName>/metadb
/var/netwitness/archiver/<CollectionName>/packetdb
/var/netwitness/archiver/<CollectionName>/sessiondb
/var/netwitness/archiver/<CollectionName>/index

Archiverサービスが再起動されると、定義済みのコレクションへのデータの保存が開始されます。Archiverサービスを再開する前に、ログ保存コレクションが正しいことを確認します。

注意：マウントポイントにデータが保存されると、ユーザインタフェースからはデータを削除できません。

ArchiverのWarmストレージ合計の構成

（オプション）ArchiverのWarmストレージ合計を構成する手順は、Hotストレージ合計の場合とほぼ同じです。ただし、［Warmストレージ合計］セクションでをクリックして、Warmストレージとして使用するマウントポイントを追加する点が異なります。追加するマウントポイントは、NAS（ネットワーク接続ネットワーク接続型ストレージ）などのWarmストレージへの物理パスです。

ArchiverのColdストレージ合計の構成

（オプション）ArchiverのColdストレージ合計を構成する手順は、Hotストレージ合計の場合とほぼ同じです。ただし、［Coldストレージ合計］セクションでをクリックして、Coldストレージのマウントポイントを1つだけ追加する点が異なります。NetWitness Suiteでは、Coldストレージは管理されません。

コレクション間でのファイル名の競合を回避するために、Coldストレージマウントポイントのパス名のいずれかの部分にコレクション名の書式指定子%nを含める必要があります。

パスでは次の書式指定子を使用できます。

書式指定子	説明
%n	コレクション名（必須）
%y	データがColdストレージに移動された年
%m	月
%d	日
%h	時間
%##r	現在の日付の時間のブロック。たとえば、8時間ずつの3ブロックに分ける場合は、%8rに設定します。1日の最初の8時間は0、2番目の8時間は1、最後の8時間は2となります。

変更は即座に有効になります。

たとえば、complianceという名前のコレクションがあり、次のようなColdストレージパスを作成するとします。

/sa-cold-storage/%n/%y-%m-%d/

NetWitness Suiteでは、次の形式で毎日ディレクトリが作成されます。

/sa-cold-storage/compliance/2015-11-20/

Hot、Warm、Cold階層のストレージ機能

次の表に、［Hot/Warm/Coldストレージマウントポイント］ダイアログの機能を示します。

機能	説明
	マウントポイントを追加します。
	マウントポイントを削除します。使用中のマウントポイントは、関連するコレクションを削除しないと削除できません。
	Hot/Warm/Coldストレージ合計に含めるマウントポイントを選択します。Coldストレージ合計のマウントポイントは1つだけ選択できます。
マウントポイント	接続されている物理ストレージのパスが表示されます。例：/var/netwitness/archiver/database0（Hotストレージ用のDACの場所）マウントポイントにコレクションやサブディレクトリを追加しないでください。NetWitness Suiteは自動的にmetadb、packetdb、sessiondbを作成し、Archiverで定義されている各コレクションのディレクトリへのインデックスが付与されます。 <storageLocation>/<CollectionName>/metadb <storageLocation>/<CollectionName>/packetdb <storageLocation>/<CollectionName>/sessiondb <storageLocation>/<CollectionName>/index たとえば、Hotストレージのマウントポイントが/var/netwitness/archiverである場合は、各コレクションで次のディレクトリが作成されます。 /var/netwitness/archiver/<CollectionName>/metadb /var/netwitness/archiver/<CollectionName>/packetdb /var/netwitness/archiver/<CollectionName>/sessiondb /var/netwitness/archiver/<CollectionName>/index Coldストレージでは、コレクション間でのファイル名の競合を回避するために、Coldストレージマウントポイントのパス名のいずれかの部分にコレクション名の書式指定子%nを含める必要があります。
ストレージサイズ	接続されているストレージのサイズが表示されます。参照用にストレージの合計容量が［データ保存］タブに表示されます。

コレクション

［コレクション］セクションには、すべてのストレージコレクションのリストが表示されます。それぞれについて、HotストレージとWarmストレージの合計容量も表示されます。

コレクション機能

次の表に、［コレクション］セクションのアイコンと列を示します。一部の列については、要件に応じて非表示にすることが可能です。

機能	説明
	［コレクション］ダイアログを開くとストレージコレクションを追加できます。
	選択したコレクションを削除します。コレクションを削除すると、そのコレクションに格納されているすべてのデータが完全に削除されますが、データディレクトリは空の状態で残ります。
	［コレクション］ダイアログを開くとストレージコレクションを編集できます。
	コレクションの情報を更新します。
	コレクションを選択します。たとえば、編集または削除するコレクションを選択できます。
コレクション	コレクションの名前が表示されます（例：Default、Compliance、MediumValue、LowValue）。異なる条件でログを保持する複数のコレクションを作成できます。コレクションを作成しない場合は、デフォルトのコレクションが使用されます。コレクションにエラーがある場合は、コレクション名とエラーがある列が赤色のテキストで表示されます。
使用量/Hotストレージ	Hotストレージの現在の使用量とコレクションに使用できる最大容量が表示されます。ログのサイズがHotストレージの最大容量に達すると、ログが削除されるか、使用可能な次のストレージ階層（WarmまたはCold）にロールオーバーされます。
使用量/Warmストレージ	Warmストレージの現在の使用量とコレクションに使用できる最大容量が表示されます。ログのサイズがWarmストレージの最大サイズに達すると、ログが削除されるか、使用可能なColdストレージにロールオーバーされます。
Coldストレージ	Coldストレージが有効か無効かを示します。緑色で塗りつぶされた丸は、Coldストレージが有効化されていることを示します（）。塗りつぶされていない白色の丸は、Coldストレージが無効になっていることを示します。
保存期間	ログを保存する日数が表示されます。この日数を超えたログは、削除されるかColdストレージに移動されます。［制限なし］は、ログの保存期間が指定の日数で制限されないことを示します。 HotストレージとWarmストレージについては、コレクションのサイズと保存期間のどちらの条件を先に満たしたかに基づいて、それらの設定を相互にオーバーライドできます。
変化（過去1時間）	過去1時間に収集されたログの数が表示されます。
最も古い日付	コレクションに格納された最も古いデータの日付が表示されます。
期間	コレクションに格納された最も古いデータの概算の保存期間が表示されます。例：20日
圧縮	コレクションのメタおよびrawデータに使用する圧縮のタイプが表示されます。
ハッシュ	ハッシュが有効か無効かが表示されます。有効になっている場合、保存するファイルのデータ整合性を確認するためにハッシュアルゴリズムが使用されます。デフォルトでは、ハッシュの対象となるデータはrawログのみです。ハッシュファイルはデータと同じディレクトリに保存されます。
ルール数	コレクションに適用されるルールの数が表示されます。コレクションごとに少なくとも1つのルールを定義します。ルールが関連づけられていないコレクションでは、警告として赤色のテキストで0が表示されます。コレクション名も赤色で表示され、コレクション内にエラーがあることが示されます。注意：コレクションにルールがない場合、そのコレクションにはログが格納されません。
アクション	<actions button>＞＞［ルールの選択］を選択すると、コレクションに関連づけられているルールが［保存ルール］セクションに表示されます。［保存ルール］セクションで、コレクション全体におけるルールの優先度を変更できます。
ストレージ合計	［使用量/Hotストレージ］列の下に、Hotストレージの現在の合計使用量と最大合計容量が表示されます。［使用量/Warmストレージ］列の下にも、Warmストレージの現在の合計使用量と最大合計容量が表示されます。

コレクションにエラーがある場合はコレクション名が赤で表示されます。点線の下線は、エラーに関する情報をツールチップで確認できることを示しています。

編集が無効（グレー表示）になっているコレクションにも、問題に関する情報がツールチップに表示されます。

保存ルール

［保存ルール］セクションには、ストレージコレクションに使用されるすべての保存ルールが実行順に表示されます。

次の表に、［保存ルール］セクションの機能を示します。

機能	説明
	［ルールの定義］ダイアログを開くと、ストレージコレクションで使用する保存ルールを追加できます。
	選択した保存ルールを削除します。ログコレクションにログデータを収集して格納するには、少なくとも1つの保存ルールを関連づける必要があります。
	［ルールの定義］ダイアログを開くと、選択した保存ルールを編集できます。
	保存ルールの情報を更新します。
上に移動	選択した保存ルールを優先度リストの上方向に移動します。保存ルールの順序は非常に重要です。NetWitness Suiteでは、すべてのコレクションの保存ルールが［保存ルール］セクションにある［順序］列の番号順に評価されます。保存ルールの順序はドラッグアンドドロップで変更することもできます。
下に移動	選択した保存ルールを優先度リストの下方向に移動します。保存ルールの順序は非常に重要です。NetWitness Suiteでは、すべてのコレクションの保存ルールが［保存ルール］セクションにある［順序］列の番号順に実行されます。
適用	ルールの順序の変更を保存します。
元に戻す	ルールの順序の変更を元に戻します。
	保存ルールを選択します（選択されている保存ルールを示します）。
順序	すべての保存ルールの順序が表示されます。
ルール名	ルールの名前が表示されます（例：ComplianceDevices、GeneralWindowsLogs）。
条件	ルールの条件が表示されます。これらの条件で、コレクションに含めるログのタイプが指定されます。コアサービスのすべてのクエリとルール条件に適用されるガイドラインについては、「保存ルールの定義」を参照してください。
コレクション	コレクション名とコレクションの保存日数が表示されます。次に例を示します。MediumValue (30 Days)

［コレクション］ダイアログ

Archiverの管理＞［サービス］＞［構成］ビュー＞［データ保存］タブでは、管理者がログ保存とストレージの基準を定義することができます。［コレクション］セクションからアクセスできる［コレクション］ダイアログで、ログのタイプごとに個別のストレージコレクションを定義できます。たとえば、コンプライアンス用のコレクションを作成したり、重要なログだけを選択して保存するコレクションを作成できます。

このダイアログボックスに関連する手順については、「Archiverのストレージとログ保存の構成」および「ログストレージコレクションの構成」で説明しています。

［コレクション］ダイアログにアクセスするには、次の手順を実行します。

［管理］＞［サービス］を選択します。
Archiverサービスを選択し、＞［表示］＞［構成］を選択します。
選択したサービスの［サービス］の［構成］ビューで、［データ保存］タブをクリックします。
［コレクション］セクションでをクリックし、ルールを追加または編集します。
［コレクション］ダイアログが表示されます。

次の表に、［コレクション］ダイアログのフィールドを示します。

フィールド	説明
コレクション名	コレクションの名前を指定します（例：Compliance、MediumValue、LowValue）。
Hotストレージ	このコレクション用のHotストレージの最大サイズまたは割合を指定します。このフィールドの横に、Hotストレージに使用できる空きスペースとHotストレージの合計容量が表示されます。ログのサイズがHotストレージの最大サイズに達すると、ログが削除されるか、使用可能な次のストレージ階層（WarmまたはCold）にロールオーバーされます。
Warmストレージ	（オプション）このコレクション用のWarmストレージの最大サイズまたは割合を指定します。このフィールドの横に、Warmストレージに使用できる空きスペースと、Warmストレージの合計容量が表示されます。ログのサイズがWarmストレージの最大サイズに達すると、ログが削除されるか、使用可能なColdストレージにロールオーバーされます。
Coldストレージ	（オプション）このコレクションでColdストレージを使用するかどうかを指定します。コレクションにColdストレージを使用する場合、指定されたサイズと保存制限外のログがColdストレージにロールオーバーされます。Coldストレージを使用しない場合、指定されたサイズと保存制限外のログは削除されます。
保存期間	（オプション）ログを保存する日数を指定します。この日数を超えたログは削除されるかColdストレージにロールオーバーされます。 HotストレージとWarmストレージについては、コレクションのサイズと保存期間のどちらの条件を先に満たしたかに基づいて、それらの設定を相互にオーバーライドできます。
圧縮	コレクション内のメタとRAWログに使用する圧縮のタイプを指定します。スペースを節約するために、GZIPまたはLZMAを使用してメタとRAWログを圧縮できます。GZIPの圧縮と解凍は非常に高速ですが、LZMAほどには圧縮されません。LZMAは圧縮率が優れていますが、解凍速度が遅くなります（GZIPの約3倍の時間がかかります）。圧縮率はデータに大きく依存します。デフォルトの圧縮方法はGZIPです。
ハッシュ	ハッシュを有効にするか無効にするかを指定します。有効にした場合、保存するファイルのデータ整合性を検証するためにハッシュアルゴリズムが使用されます。デフォルトでは、ハッシュの対象となるデータはrawログのみです。ハッシュファイルはデータと同じディレクトリに保存されます。

注：コレクションのストレージ割り当てを減らしたり保存期間を短くしたりすると、移動（ロールオーバー）するデータの量によっては、データを移動して領域を使用できるようになるまでに数分から数時間かかることがあります。デフォルトでは、サイズロールオーバーは20分ごと、タイムロールオーバーは6時間ごとに行われます。

［ルール定義］ダイアログ

Archiverの管理＞［サービス］＞［構成］ビュー＞［データ保存］タブでは、管理者がログ保存とストレージの基準を定義することができます。［ルールの定義］ダイアログは［保存ルール］セクションからアクセス可能で、ストレージコレクションを使用する保存ルールを定義できます。

このダイアログボックスに関連する手順については、「Archiverのストレージとログ保存の構成」および「保存ルールの定義」で説明しています。

［ルール定義］ダイアログにアクセスするには、次の手順を実行します。

［管理］＞［サービス］を選択します。
Archiverサービスを選択し、＞［表示］＞［構成］を選択します。
選択したサービスの［サービス］の［構成］ビューで、［データ保存］タブをクリックします。
［保存ルール］セクションでまたはをクリックします。
［ルールの定義］ダイアログが表示されます。

次の表に、［ルールの定義］ダイアログのフィールドを示します。

> > >

フィールド	説明
名前	保存ルールの一意の名前を指定します。次に例を示します。ComplianceDevices
条件	コレクションに含めるログのタイプの条件を指定します。すべての文字列リテラルとタイムスタンプは引用符で囲む必要があります。数値およびIPアドレスは引用符で囲まないでください。次に例を示します。 device.group='PCI Devices' \|\| device.group='HIPPA Devices'
コレクション	このルールを適用するコレクションを選択します。次に例を示します。コンプライアンス

フィールド

説明

名前

保存ルールの一意の名前を指定します。次に例を示します。ComplianceDevices

条件

コレクションに含めるログのタイプの条件を指定します。

すべての文字列リテラルとタイムスタンプは引用符で囲む必要があります。数値およびIPアドレスは引用符で囲まないでください。

次に例を示します。

device.group='PCI Devices' || device.group='HIPPA Devices'

コレクション

このルールを適用するコレクションを選択します。次に例を示します。コンプライアンス

次のステップ

ログストレージコレクションを構成します。

Previous Topic:ステップ3. Archiverのストレージとログ保存の構成

Next Topic:ログストレージコレクションの構成

You are here

Table of Contents > Archiverの基本構成 > ステップ3. Archiverのストレージとログ保存の構成 > Hot/Warm/Coldストレージの構成

Archiver：Hot/Warm/Coldストレージの構成

Hot、Warm、Cold階層のストレージ機能

コレクション

コレクション機能

保存ルール

［コレクション］ダイアログ

［ルール定義］ダイアログ

Attachments

Outcomes

Related Content

Recommended Content

Incoming Links