ESA構成:ESAコンポーネントのバージョンおよびステータスの確認

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

このトピックでは、監査ログの詳細と、インストールされているEvent Stream Analysisコンポーネントのバージョンを確認する手順について説明します。これらの手順は、ESA Correlation Rulesに適用されます。

監査ログ ルール

監査ログでは、NetWitness Suiteで作成および編集したルールの詳細を表示することができます。

監査ログにアクセスする方法の詳細については、「システム構成ガイド」の「Local Audit Log Locations」を参照してください。

次の例は、ルールの作成、更新、削除のログです。

  • 作成ログの例: 2016-03-10 14:19:37,951 deviceVersion: "10.6.1.0-SNAPSHOT" deviceService: "EVENT_STREAM_ANALYSIS" category: SYSTEM operation: "CREATE RULE" parameters: "Epl Module Identifier: 56e1f2adbee8290008241296, Esper Instance: default, Rule Enabled: true, Trial Rule: false " key: "Epl Rule: @RSAAlert select * from Event;" identity: "admin" userRole: "ROLE_ESA_ADMINISTRATOR"
  • 更新ログの例: 2016-03-10 14:19:37,951 deviceVersion: "10.6.1.0-SNAPSHOT" deviceService: "EVENT_STREAM_ANALYSIS" category: SYSTEM operation: "UPDATE RULE" parameters: "Epl Module Identifier: 56e1f2adbee8290008241296, Esper Instance: default, Rule Enabled: true , Trial Rule: false " key: "Epl Rule: @RSAAlert select * from Event;" identity: "admin" userRole: "ROLE_ESA_ADMINISTRATOR
  • 削除ログの例: 2016-03-10 14:19:37,951 deviceVersion: "10.6.1.0-SNAPSHOT" deviceService: "EVENT_STREAM_ANALYSIS"category: SYSTEM operation: "DELETE RULE" parameters: "Epl Module Identifier: 56e1f2adbee8290008241296, Esper Instance: default, Rule Enabled: true , Trial Rule: false " key: "Epl Rule: @RSAAlert select * from Event;" identity: "admin" userRole: "ROLE_ESA_ADMINISTRATOR "

各ログには、次のパラメータが含まれています。

  • タイム スタンプ:ルールが変更された時刻。例:2016-03-10 14:19:37,951

  • DeviceVersion:ESAデバイスのバージョン。例:"10.6.1.0-SNAPSHOT“

  • DeviceService:例:EVENT_STREAM_ANALYSIS

  • Category:例:SYSTEM

  • Operation:Example: DELETE/CREATE/UPDATE RULE

  • Parameters :次のキーのプレースホルダー:

  • Epl Module Identifier:ルールの一意識別子。例:56e1f2adbee8290008241296

  • Esper Instance:ルールが導入されているEsperのインスタンス。例:default

  • Rule Enabled:ルールが有効であるかどうかが表示されます。例:Rule Enabled: true

  • Trial Rule:ルールが評価版ルールとして構成されているかどうかが表示されます。例:Trial Rule: false

  • Epl Rule:ルールの構文が表示されます。例:

    @RSAAlert select * from Event;" identity: "admin" userRole: "ROLE_ESA_ADMINISTRATOR+ROLE_ESA_ADMINISTRATOR+ROLE_ESA_ADMIN"

  • [Identity]:例:“admin"

  • userRole:例:"ROLE_ESA_ADMINISTRATOR"

    注:ルールを無効にすると、同じルールについて2つのログが生成されます。最初に、"DELETE RULE" [Rule enabled attribute = true]監査ログが作成され、次に"CREATE RULE" [Rule enabled attribute =false]監査ログが作成されます。

ESA Serverのバージョンの確認

ESA Serverのバージョンを確認するには、次の手順を実行します。

  1. sshを使用してESAサービスに接続し、rootユーザとしてログインします。
  2. 次のコマンドを入力し、Enterキーを押します。
    rpm -qa | grep rsa-nw-esa-server
    ESA Serverのバージョンが表示されます。

MongoDBのバージョンの確認

MongoDBのバージョンを確認するには、次の手順を実行します。

  1. sshを使用してESAサービスに接続し、rootユーザとしてログインします。
  2. 次のコマンドを入力し、Enterキーを押します。
    mongo --version
    MongoDBのバージョンが表示されます。

MongoDBのステータスの確認

MongoDBのステータスを確認するには、次の手順を実行します。

  1. sshを使用してESAサービスに接続し、rootユーザとしてログインします。
  2. 次のコマンドを入力し、Enterキーを押します。
    systemctl status mongod
  3. MongoDBが実行されていない場合は、次のコマンドを実行します。
    systemctl start mongod
Next Topic:参考情報
You are here
Table of Contents > ESA相関ルールのその他の処理手順 > 監査ログとESAコンポーネントのバージョンおよびステータスの確認

Attachments

    Outcomes