ESM：［モニタリングポリシー］タブ

Document created by RSA Information Design and Development on Apr 19, 2018•Last modified by RSA Information Design and Development on Apr 29, 2019

Version 2Show Document

Like • Show 0 Likes0
Comment • 0
View in full screen mode

［モニタリングポリシー］タブには、イベントソースグループ別に閾値が表示されます。

このタブにアクセスするには、［管理］＞［イベントソース］に移動します。［管理］タブが表示されます。［モニタリングポリシー］タブを選択します。

ワークフロー

このワークフローは、イベントソース構成の全体的なプロセスを示しています。

実行したいことは何ですか？

ロール	実行したいこと	ドキュメント
管理者	イベントソースを表示および変更します。	イベントソースグループの管理
管理者	イベントソースを確認しマッピングします。	イベントソースの確認とマッピング
管理者	Log DecoderにParserマッピングを追加および構成します。	Parserマッピングの管理
管理者	イベントソースアラームを表示します。	イベントソースアラームの表示
管理者	*モニタリングポリシーを表示します。	モニタリングポリシー
管理者	イベントソース管理をトラブルシューティングします。	ESMのトラブルシューティングおよび付録

*このタスクはここで実行できます。

［グループ］パネル

このパネルで選択したグループの閾値が、［閾値］パネルに表示されます。イベントソースグループごとに閾値のセットを定義できます。グループが表示される順序には意味があります。

順序を変更するには、グループをドラッグアンドドロップします。
上位に表示されるグループほど、閾値の優先順位が高くなります。RSA NetWitness Platformは、このパネルに表示されている順序で閾値をチェックします。そのため、優先度の最も高いグループをこのリストの最上部に置く必要があります。

［閾値］パネル

この図は、イベントソースグループの［閾値］パネルの例です。

［閾値］パネルには以下の機能が用意されています。

機能	説明
有効化	［有効化］チェックボックスは、グループに対して定義した閾値が有効化されているかどうかを示します。有効化されている場合は、そのグループの閾値で定義した範囲から外れるたびに通知が送信されます。有効化されていない場合、そのイベントソースグループの監視は行われません。注：閾値を構成し、有効化しないで保存しようとすると、ポリシーを有効化するかどうかを確認するメッセージが表示されます。閾値を設定しないで、ポリシーを有効化した場合、通知を設定している限り、自動（ベースライン）アラートの通知は受信できます。通知の設定の詳細については、以下を参照してください。
イベント数の下限閾値下限閾値の期間（分または時間）	下限の閾値です。時間あたりの最小のイベント数を入力します。グループのイベントソースが、指定した期間に受信するイベントメッセージの数が、ここで指定した値を下回った場合、閾値違反としてアラームが発生します。
イベント数の上限閾値上限閾値の期間（分または時間）	下限閾値と同様の働きをします。つまり、ここで指定した期間に、指定した値を上回る数のイベントメッセージを受信した場合、閾値違反として、アラームが発生します。
最終更新日	このフィールドには、閾値が最後に変更された日時が表示されます。
保存	閾値に対して行った変更を保存します。

［通知］パネル

この図は、イベントソースグループの［通知］パネルの例です。

次の表に、［通知］パネルの各フィールドとその説明を示します。

フィールド	説明
ツール + -	ツールバーでは、次のアイテムを使用できます。追加（+）：追加をクリックすると、通知タイプを選択するためのメニューが表示されます。削除（-）：選択された行をリストから削除します。
通知の設定	このリンクをクリックすると、新しいブラウザタブが開き、NetWitness Platformの［管理］＞［システム］＞［グローバル通知］ページが表示されます。
タイプ	選択した通知のタイプが表示されます。使用可能なオプションは次のとおりです。メール SNMP Syslog
通知	詳細については、「システム構成ガイド」の「通知出力の構成」を参照してください。
通知サーバ	詳細については、「システム構成ガイド」の「通知サーバの構成」を参照してください。
テンプレート	RSAでは、イベントソース管理向けの3つの通知テンプレートをデフォルトで提供しています。次のテンプレートはそのまま使用するか、組織のニーズに基づいてカスタマイズすることができます。メールテンプレート：指定されたメールアドレスに通知を送信します。 SNMPテンプレート：指定されたSNMPサーバに通知を送信します。 Syslogテンプレート：指定されたSyslogサーバに通知を送信します。詳細については、「システム構成ガイド」の「通知テンプレートの構成」を参照してください。
出力抑制の間隔	短期間に大量のアラームがトリガーされた場合を考慮し、このポリシーの通知を受け取る頻度を制限するために設定します。

次の図は、デフォルトのテンプレートを使用した通知のサンプルです。

メール：

メール通知の場合、3列目の［Alarm Type］に、トリガーされたアラームがポリシーの閾値により発生したか、またはベースラインからの逸脱により発生したかが指定されます。自動モニタリングまたは自動モニタリングの通知がオフになっている場合、Automaticの通知は受信しません。これはSyslogやSNMPでも同じですが、通知の形式が異なります。

SNMPトラップのサンプル：

 11-11-2015 11:57:33 Local7.Debug 127.0.0.1 community=public, enterprise=1.3.6.1.4.1.36807.1.20.1, uptime=104313, agent_ip=10.251.37.92, version=Ver2, 1.3.6.1.4.1.36807.1.20.1="NetWitness Platform Event Source Monitoring Notification: Group: PCI Event Source(s) High Threshold: Greater than 500 events in 5 minutes 10.17.0.10,ciscopix,Manual 10.17.0.13,ciscopix,Manual 10.17.0.8,ciscopix,Manual 10.17.0.8,ciscopix,Automatic 10.17.0.12,ciscopix,Manual 10.17.0.5,ciscopix,Manual 10.17.0.6,ciscopix,Manual 10.17.0.4,ciscopix,Manual 10.17.0.4,ciscopix,Automatic 10.17.0.3,ciscopix,Manual"

Syslogのサンプル：

 11-11-2015 11:57:33 User.Info 127.0.0.1 Nov 11 11:57:33 localhost CEF:0|RSA|NetWitness Platform Event Source Monitoring|10.6.0.0.0| HighThresholdAlert|ThresholdExceeded|1|cat=PCI Event Source(s)|Devices| src=10.17.0.10,ciscopix,Manual|src=10.17.0.13,ciscopix,Manual|src=10.17.0.8,ciscopix,Manual|src=10.17.0.8,ciscopix,Automatic|src=10.17.0.12,ciscopix,Manual|src=10.17.0.5,ciscopix,Manual|src=10.17.0.6,ciscopix,Manual|src=10.17.0.4,ciscopix,Manual|src=10.17.0.4,ciscopix,Automatic|src=10.17.0.3,ciscopix,Manual|

Previous Topic:［アラーム］タブ

Next Topic:［設定］タブ

You are here

Table of Contents > 参考情報 > ［モニタリングポリシー］タブ

ESM：［モニタリングポリシー］タブ

［グループ］パネル

［閾値］パネル

［通知］パネル

Attachments

Outcomes

Related Content

Recommended Content

Incoming Links

1	［グループ］パネルが表示されます。
2	［閾値］パネルが表示されます。
3	［通知］パネルが表示されます。