Decoder:収集設定の構成

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

Decoderを初めてセットアップする場合は、ネットワーク アダプタ インタフェースの構成が必要です。追加のオプション収集設定を指定できます。頻繫に使用される設定は2つあり、Berkeley Packet Filterおよび収集の自動開始です。

収集設定の構成を使用したDecoderの構成ワークフローで、最初のステップがハイライト表示されています。

基本的なネットワーク アダプタ インタフェース設定だけでなく、「(オプション)パケットMMAP収集インタフェースを使用したVLANタグの保持」または「(オプション)すべてのタイプのネットワーク インタフェースでデータを収集するDecoderの構成」で説明する特殊用途の構成のいずれかを使用することができます。

残りの収集設定では、ほとんどの場合に効果的なデフォルト設定が選択されています(詳細なリストについては、「[サービス]の[構成]ビュー:[全般]タブ」を参照してください)。ある特定の状況(カスタマー サポートによる変更の推奨など)では、これらを調整できます。いつでも収集設定を編集することができます。

ネットワーク アダプタの選択

下の表では、Decoderのネットワーク アダプタの設定について説明しています。システム管理者は、Decoderのインストール時に、デフォルトのネットワーク アダプターを設定します。詳細については、システム管理者に相談してください。

                       
Adapter (アダプタ) パラメータ説明
Berkeley Packet Filter BPF(Berkeley Packet Filters)は、パケットがDecoderアダプタにコピーされる前に、パケット ストリームに適用されます。これによって、不要なトラフィックを効率的に破棄できます。ただし、破棄されたパケットに関する情報は、{{nd}}のどの統計情報(収集レート、ドロップされたパケット、フィルタされたパケット、合計パケット)にも反映されません。
収集インタフェースの選択 Decoderがパケットを収集するために使うアダプタを選択します。低速な内部の収集インタフェースの場合、マザーボードの監視ポートに対応するpacket_mmap_,7,eth1アダプタを使います。さらに6つの収集ポートがあります。
  • packet_mmap_,1,lo (bpf)
  • packet_mmap_,2,eth2 (bpf)
  • packet_mmap_,3,eth3 (bpf)
  • packet_mmap_,4,eth4 (bpf)
  • packet_mmap_,5,eth5 (bpf)
  • packet_mmap_,8,ALL (bpf)
3つのWireless収集サービスが使用できます。
  • packet_netmon_ (Microsoft Netmon)
  • packet_mac80211_ (Linux mac80211)
  • packet_airport_ (Mac OS X AirPort)

Log Decoder用の収集インタフェースの選択

次の収集サービスが利用できます。

  • log_events,Log Events

Decoderでネットワーク アダプターを構成するには:

  1. [管理]>[サービス]に移動します。
  2. [管理]の[サービス]ビューで、Decoderを選択し、アクション メニュー[表示]>[構成]の順に選択します。
    サービスの[構成]ビューが表示され、[全般]タブが開きます。
    [全般]タブの[Decoder構成]セクションの上半分です。
  3. 収集インタフェースの選択]フィールドで、Decoderに最適なネットワーク アダプターを選択します。
  4. 適用]をクリックして、変更を保存します。

  5. 変更を有効にするために再起動が必要な場合は、[管理]の[サービス]ビューに戻り、Decoderを選択してアクション メニュー>[再起動]を選択します。

Decoderの構成によるデータの自動収集の開始

  1. [管理]>[サービス]に移動します。
  2. [管理]の[サービス]ビューで、Decoderを選択し、アクション メニュー[表示]>[構成]の順に選択します。
    サービスの[構成]ビューが表示され、[全般]タブが開きます。
    [全般]タブの[Decoder構成]セクションの上半分です。
  3. 収集設定]で、[収集の自動開始]チェック ボックスを選択します。
  4. 適用]をクリックして、変更を保存します。

  5. 変更を有効にするために再起動が必要な場合は、[管理]の[サービス]ビューに戻り、Decoderを選択してアクション メニュー>[再起動]を選択します。

オプション収集設定の構成

  1. [管理]>[サービス]に移動します。

  2. [管理]の[サービス]ビューで、Decoderを選択し、アクション メニュー[表示]>[構成]の順に選択します。
    サービスの[構成]ビューが表示され、[全般]タブが開きます。
    [全般]タブの[Decoder構成]セクションの上半分です。
    [全般]タブの[Decoder構成]セクションの下半分です。
  3. パケット ストリームにシステム レベルのフィルタを適用する場合は、解析のためにパケットがDecoderアダプタにコピーされる前に、「(オプション)システムレベル(BPF)のパケット フィルタリングの構成」で説明されているようにBerkeley Packet Filterを設定します。
  4. 収集設定]セクションで、デフォルト値を確認します。サービスが最初に追加されたときはデフォルト値が有効であり、カスタマー サポートが変更をアドバイスしたときなど、特別な状況でのみ変更する必要があります。これらの設定の詳細については、「[サービス]の[構成]ビュー:[全般]タブ」を参照してください。
  5. データベースの最大ファイル サイズ]セクションで、デフォルト値を確認します。サービスが最初に追加されたときはデフォルト値が有効であり、カスタマー サポートが変更をアドバイスしたときなど、特別な状況でのみ変更する必要があります。これらの設定の詳細については、「[サービス]の[構成]ビュー:[全般]タブ」を参照してください。
  6. この機能を使用している場合は、[ハッシュ]セクションで、ハッシュ ファイルのディレクトリを定義します。これらの設定の詳細については、[[サービス]の[構成]ビュー:[全般]タブ]を参照してください。
You are here
Table of Contents > Decoderでの一般的な設定の構成 > 収集設定の構成

Attachments

    Outcomes