ESM:イベント ソースのインポート

Document created by RSA Information Design and Development on Apr 19, 2018Last modified by RSA Information Design and Development on Apr 29, 2019
Version 2Show Document
  • View in full screen mode
 

イベント ソース属性はCSV形式のファイルからインポートできます。CMDB(構成管理データベース)、スプレッドシート、その他の種類のファイルから情報をインポートするには、まずその情報をCSVファイルに変換または保存します。

注:イベント ソースの識別情報である、IPIPv6HostnameEvent Source TypeLog CollectorLog Decoderは特別に処理されます。これらのフィールドのいずれかに(NetWitness Platformの既存の値と比較して)異なる値が設定されているイベント ソースをインポートした場合、NetWitness Platform側の元の値は上書きされません

インポートした属性は一致するイベント ソースに設定され、イベント ソース グループを作成するためのルールの中で使用できます。

RSA NetWitness Platformでは、インポート ファイルが正確であり、完全なレコードであると見なします。この想定に基づき、イベント ソース属性のインポートは次のように処理されます。

  • デフォルトでは、属性をインポートすると、システムによって既存のイベント ソースの属性だけが更新されます。
  • イベント ソースがインポート ファイル側にあるものの、NetWitness Platform側にはない場合は、そのイベント ソースの属性は無視されます。つまりNetWitness Platform側でそれらの属性を格納する新しいイベント ソースが作成されることはありません
  • イベント ソースがインポート ファイルとNetWitness Platformの両方にある場合は、そのイベント ソースの値が上書きされます。
  • インポート ファイルで属性の値が空白になっている場合は、NetWitness Platform側の対応する属性の値がクリアされます。
  • インポート ファイルに属性が指定されていない場合は、NetWitness Platform側では対応する属性は無視されます(つまりクリアされません)。

注:値が空白の属性とまったく指定されていない属性には違いがあります。属性が指定されていても値が空白の場合は、空白にすることが意図されていると見なし、NetWitness Platform側では対応するイベント ソースの属性の値をクリアします。しかし属性がまったく指定されていない場合は、変更が想定されていないものと見なします。

上記の処理がデフォルトです。この処理は次の手順で変更することができます。

イベント ソース属性のインポート

イベント ソース属性をファイルからインポートするには、次の手順を実行します。

  1. [管理]>[イベント ソース]に移動します。
  2. 管理]タブを選択します。

    [イベント ソースの管理]タブが表示されます。

    Event Sources Manage tab is displayed.

  3. ツールバーのメニュー()から、[インポート]()を選択します。

    [イベント ソースのインポート]ダイアログが表示されます。

    Import Event Sources dialog is displayed.

  4. インポート ファイルを指定して、次の適切なボックスを選択します。

    • デフォルト:前述のデフォルトの処理を実行します。
    • 追加のみ:NetWitness Platform側の対応する属性が空白の場合にのみ属性をインポートします。したがって既存の値は上書きされません。
    • 値をクリアしない:インポート ファイルで値が空白になっている属性について、NetWitness Platform側の属性の値をクリアしません。
    • 不明なソースを追加する:インポート ファイル側のアイテムに基づいて、新規イベント ソースを追加します。

    注:オプションは複数選択できます。

  5. インポート]をクリックします。
  6. 確認ダイアログで[はい]をクリックしてインポートを実行します。

インポート ファイルのトラブルシューティング

インポート ファイルの形式が正しくなかった場合、または必要な情報が不足していた場合は、エラーが発生し、そのファイルはインポートされません。

以下の点を確認します。

  • 不明なソースを追加する場合は、ファイル内の各行に次の必須属性の組み合わせが指定されている必要があります。
    • IP、IPv6、 Hostnameのいずれか
    • Event Source Type
  • ファイルの先頭のヘッダー行に属性名を記述し、その名前がNetWitness Platform側の名前と一致している必要があります。イベント ソースを1つエクスポートすると、正しい列名のリストを得ることができます。エクスポートされたCSVファイルと比較し、インポート ファイルの先頭行に正しい属性名が指定されていることを確認してください。

インポート ファイルの形式が正しくなかった場合、または必要な情報が不足していた場合は、エラーが発生し、そのファイルはインポートされません。

You are here
Table of Contents > イベント ソース グループの管理 > イベント ソースのインポート

Attachments

    Outcomes