すべてのサービスにホストが必要です。ホストのセットアップ後、ホストにサービスを割り当て、さらに、このホストからNetWitness Platform導入環境の別のホストにサービスを割り当てることができます。
ステップ1. ホストの導入
注意:ホスト名に「.」を含める場合は、有効なドメイン名も含める必要があります。
-
ホストを導入します。
物理ホスト(RSAアプライアンス)、オンプレミスの仮想ホスト、AWSの仮想ホスト、Azureの仮想ホストを導入できます。ホストを導入する手順については、次のガイドを参照してください。
- RSA NetWitness® Platform 物理ホスト インストール ガイド
- RSA NetWitness® Platform 仮想ホスト インストール ガイド
- RSA NetWitness® Platform AWSインストール ガイド
- RSA NetWitness® Platform Azureインストール ガイド
-
[管理]>[ホスト]に移動します。
[新しいホスト]ダイアログが表示され、導入したホストが表示されます。
-
有効化するホストを選択します。
[有効化]メニュー オプションがアクティブになります。
-
[有効化]をクリックします。
-
有効化したホストを選択します。
ホストは[ホスト]ビューに表示されます。この時点で、ホストにサービスをインストールできます。
ステップ2. ホストへのサービスのインストール
サービスをホストにインストールするには、次の手順を実行します。
-
NetWitness Platformで、[管理]>[ホスト]に移動します。
[ホスト]ビューが表示されます。
- サービスをインストールするホストを選択します(たとえば、Event Stream Analysis)。
-
[サービスのインストール]ダイアログが表示されます。
-
[カテゴリ]ドロップダウン リストからサービス(ESAプライマリなど)を選択します。
ステップ3. 信頼接続のためのSSLポートの確認
各コア サービスは、暗号化されない非SSLポートと暗号化されたSSLポートの2つのポートを使用し、信頼接続をサポートします。信頼接続では、暗号化されたSSLポートを使用します。
暗号化されたSSLポート
10.4以降を新規インストールするかまたはアップグレードすると、デフォルトで次の2つの設定により信頼接続が確立されます。
- SSLが有効になります。
- コア サービスはSSLポートに接続し、通信が暗号化されます。
各NetWitness Platformコア サービスは、次の2つのポートを使用します。
- 暗号化されない非SSLポート
例:Archiver 50008 - 暗号化されたSSLポート
例:Archiver 56008
SSLポートは、非SSLポート+6000です。
次の表は、すべてのNetWitness Platformサービスとそれぞれのポートの一覧です。各コア サービスが2つのポートを使用します。以下のポート番号はすべてTCP用です。
ステップ4. サービスへのアクセスの管理
信頼接続では、各サービスはNW Serverを明示的に信頼し、ユーザの管理と認証を行います。この信頼関係により、[管理]>[サービス]で、NetWitness Platformの各コア サービスに認証情報を定義する必要がなくなります。NW Serverで認証されたユーザは、パスワードを入力することなくサービスにアクセスできます。
信頼接続のテスト
前提条件
- ユーザにロールが割り当てられている必要があります。
詳細については、『システム セキュリティとユーザ管理ガイド』の「ユーザの追加とロールの割り当て」のトピックを参照してください。 - ユーザは次の条件を満足する必要があります。
- NetWitness Platformにログインし、NW Serverにより認証を受ける
- サービスへのアクセス権限を持っている
手順
- NetWitness Platformで、[管理]>[サービス]に移動します。
[サービス]ビューが表示されます。 - テストするサービス(Concentratorなど)を選択し、
をクリックします。
[サービスの編集]ダイアログが表示されます。 - 認証情報なしで接続をテストするには、[ユーザ名]を削除します。
- [接続のテスト]をクリックします。
「接続のテストに成功しました」のメッセージが表示される場合は、信頼接続が確立されたことを意味します。
事前に認証されたユーザは、ユーザ名とパスワードを入力することなくサービスにアクセスできます。 - [保存]をクリックします。
ホストへのバージョン更新の適用
ホストを新しいバージョンに更新するには、次のタスクを実行します。
次の方法を使用して、ホストにバージョン更新を適用します。
注:リポジトリの場所を変更した場合は、「RSAおよびOS更新用の外部リポジトリのセットアップ」の説明を参照してください。
[ホスト]ビューから更新を適用する(Webアクセスあり)
タスク1:ローカル リポジトリに更新を配置するか、外部リポジトリをセットアップする
NW Serverをセットアップする際に、ローカル リポジトリ(Repo)または外部リポジトリ(Repo)を選択します。[ホスト]ビューでは、この時選択したリポジトリからバージョン更新を取得します。
ローカル リポジトリを選択した場合、セットアップする必要はありませんが、最新バージョンの更新を配置する必要があります。バージョン更新を配置する手順については、「ローカル リポジトリへの更新の配置」を参照してください。
注:外部リポジトリを選択した場合は、セットアップする必要があります。リポジトリにバージョン更新を配置する方法の詳細については、「RSAおよびOS更新用の外部リポジトリのセットアップ」を参照してください。
タスク2:[ホスト]ビューから各ホストに更新を適用する
[ホスト]ビューには、ローカル更新リポジトリにある使用可能なソフトウェアの更新バージョンが表示されます。[ホスト]ビューから必要な更新を選択して適用します。
この手順では、ホストをNetWitness Platformの新しいバージョンに更新する方法について説明します。
注: このトピックでは、例としてNetWitness Platform 11.0.x.xから11.3.0.0への更新を使用します。
- NetWitness Platformにログインします。
- [管理]>[ホスト]に移動します。
-
(オプション)最新の更新をチェックします。
-
1つまたは複数のホストを選択します。
最初にNW Serverを最新バージョンに更新する必要があります。その他のホストは任意の順序で更新することができますが、混在モードでの実行のガイドラインに従うことを推奨します。
選択したホスト用のバージョン更新がローカル更新リポジトリにある場合は、[ステータス]列に[更新あり]が表示されます。 -
[更新のバージョン]列から適用するバージョンを選択します。
次のガイドラインに従ってください。
- 複数のホストを同じバージョンに更新する場合は、NW Serverホストを更新した後、対象ホストの左のチェックボックスを選択します。現在サポートされている更新バージョンのみが表示されます。
-
各更新の主な機能をダイアログに表示したい場合は、更新バージョン番号の右側にある
をクリックします。次のようなダイアログが表示されます。
- 目的のバージョンが見つからない場合は、[更新]>[更新の確認]を選択し、リポジトリ内の使用可能な更新をチェックします。更新が利用可能な場合、「新しい更新が利用可能です」というメッセージが表示され、[ステータス]列が自動的に更新され、[更新あり]と表示されます。デフォルトでは、選択したホストでサポートされている更新のみが表示されます。
-
ツールバーの[更新]>[ホストの更新]をクリックします。
選択した更新に関する情報がダイアログに表示されます。[更新を開始]をクリックします。
[ステータス]列には、次のような更新の各段階の状況が表示されます。
- ステージ1:更新パッケージのダウンロード - 選択したホスト上のサービスに適用されるリポジトリ アーティファクトをNW Serverにダウンロードします。
- ステージ2:更新パッケージの構成 - 更新ファイルを正しい形式に構成します。
- ステージ3:更新が進行中です - ホストを新しいバージョンに更新しています。
-
「更新が進行中です」が表示されたら、ブラウザをリフレッシュします。
この操作により、[NetWitnessログイン]画面が表示される場合がありますが、再度ログインして[ホスト]ビューに戻ることができます。
ホストの更新が完了すると、NetWitness Platformがホストの再起動を求めるメッセージを表示します。
-
ツールバーの[ホストの再起動]をクリックします。
NetWitness Platformは、ホストがオンラインに戻るまで「再起動中...」のステータスを表示します。ホストがオンラインに戻ると、[ステータス]には[最新]と表示されます。ホストがオンラインに戻らない場合は、カスタマー サポートにお問い合わせください。
注:Defense Information Systems Agency Security Technical Implementation Guides(DISA STIG)を有効にしている場合、コア サービスを開始するには約5~10分かかります。この遅延は新しい証明書を生成するために生じます。
コマンド ラインから更新を適用する(Webアクセスなし)
NetWitness Platform導入環境がWebアクセスできない場合は、次の手順に従ってバージョン更新を適用します。
注:次の手順では、例として、11.1.0.0へのバージョン更新を使用しています。
- 目的のバージョンの.zip更新パッケージ(たとえば、netwitness-11.1.0.0.zip)をRSA Linkからローカル ディレクトリにダウンロードします。
- SSHでNW Serverホストに接続します。
- 目的のバージョン用に/tmp/upgrade/<version>ステージング ディレクトリを作成します(たとえば、tmp/upgrade/11.1.0.0)。
mkdir –p /tmp/upgrade/11.1.0.0 -
.zip更新パッケージを、ステージング ディレクトリ以外のNW Server上のディレクトリ(/tmpなど)にコピーします。
- 作成したステージング ディレクトリ(たとえば、/tmp/upgrade/11.1.0.0)にパッケージを解凍します。
unzip /<download-location>/netwitness-11.1.0.0.zip -d /tmp/upgrade/11.1.0.0 - NW Serverで更新を初期化します。
upgrade-cli-client --init --version 11.1.0.0 --stage-dir /tmp/upgrade/ - NW Serverに更新を適用します。
upgrade-cli-client --upgrade --host-addr <NW Server IP> --version 11.1.0.0 - NetWitness Platformにログインし、[ホスト]ビューでNW Serverホストを再起動します。
- 非NW Serverの各ホストに更新を適用します。
upgrade-cli-client --upgrade --host-addr <non-NW Server IP address> --version 11.1.0.0
更新は、ポーリングが完了した時点で完了します。 - NetWitness Platformにログインし、[ホスト]ビューでホストを再起動します。
次のコマンドを使用して、ホストに適用されたバージョンを確認できます。
upgrade-cli-client --list
ローカル更新リポジトリへの更新の配置
NetWitness Platformは、バージョンの更新をLive更新リポジトリからローカル更新リポジトリに送信します。Live更新リポジトリへのアクセスには、[管理]>[システム]>[Live]で構成したLiveアカウントの認証情報を使用する必要があります。さらに、最新の更新を毎日取得して、ローカル リポジトリに配置するために、[管理]>[システム]>[更新]の[Automatically download information about new updates every day]チェックボックスをオンにする必要があります。
次の図は、Webアクセスが可能なNetWitness Platform導入環境で、バージョンの更新を取得する方法を示しています。
注:Live更新リポジトリに最初に接続する場合、CentOS 7のシステム パッケージとRSA製品パッケージすべてにアクセスすることになります。この初回の同期では、2.5GBを超えるデータがダウンロードされます。同期に要する時間は、使用するNW Serverのインターネット接続環境やRSA Live更新リポジトリのトラフィックによって異なります。Live更新リポジトリの使用は必須ではありません。また、付録C:「Appendix C. Set Up External Repo」の説明に従って、外部リポジトリを使用することもできます。
Live更新リポジトリに接続するには、[管理]>[システム]ビューに移動し、オプション パネルで[Liveサービス]を選択して、認証情報が構成されていることを確認します([接続済み]ボタンが緑色)。緑色でない場合は、[サインイン]をクリックして、接続します。
注:Live更新リポジトリへの接続にプロキシを使用する必要がある場合、プロキシ ホスト、プロキシ ユーザ名、プロキシ パスワードを構成できます。詳細については、『システム構成ガイド』の「NetWitness Platformのプロキシの構成」を参照してください。
WebアクセスができないNetWitness Platform導入環境の場合は、「コマンド ラインから更新を適用する(Webアクセスなし)」を参照してください。
次の図は、WebアクセスがないNetWitness Platform導入環境で、バージョンの更新を取得する方法を示しています。
RSAおよびOS更新用の外部リポジトリのセットアップ
注:次の手順では、例として、11.1.0.0へのバージョン更新を使用しています。
外部リポジトリ(Repo)をセットアップするには、次の手順を実行します。
注:1.) この手順を完了するには、ホストに解凍ユーティリティがインストールされている必要があります。2.) 次の手順を実行する前に、Webサーバの作成方法を理解する必要があります。
- (オプション)外部リポジトリがあり、それを上書きする場合に、この手順を実行します。
- ケース1:外部リポジトリからホストをセットアップしたが、NetWitness Serverホスト上のローカル リポジトリを使用してアップグレードしたい場合。
- /etc/netwitness/platform/repobaseファイルを作成します。
vi /etc/netwitness/platform/repobase - repobaseファイルを編集して、ファイル内の情報が次のURLだけになるようにします。
https://nw-node-zero/nwrpmrepo - upgrade-cli-client ツールを使用したアップグレードの手順を完了します。
- /etc/netwitness/platform/repobaseファイルを作成します。
- ケース2:NetWitness Serverホスト上のローカル リポジトリからホストをセットアップしたが、外部リポジトリを使用してアップグレードしたい場合。
- /etc/netwitness/platform/repobaseファイルを作成します。
vi /etc/netwitness/platform/repobase - repobaseファイルを編集して、ファイル内の情報が次のURLだけになるようにします。
https://<webserver-ip>/<alias-for-repo> - upgrade-cli-clientツールを使用したアップグレードの手順を完了します。
「コマンド ラインから更新を適用する(Webアクセスなし)」の手順を参照します。
- /etc/netwitness/platform/repobaseファイルを作成します。
- ケース1:外部リポジトリからホストをセットアップしたが、NetWitness Serverホスト上のローカル リポジトリを使用してアップグレードしたい場合。
- 外部リポジトリをセットアップします。
- Webサーバ ホストにログインします。
- NWリポジトリ(netwitness-11.3.0.0.zip)をホストするディレクトリを作成します(例:Webサーバのweb-root の下のziprepo)。たとえば、/var/netwitnessがweb-root場合、次のコマンドを実行します。
mkdir -p /var/netwitness/<your-zip-file-repo> - 11.3.0.0 ディレクトリを/var/netwitness/<your-zip-file-repo>の下に作成します。
mkdir -p /var/netwitness/<your-zip-file-repo>/11.3.0.0 - OSディレクトリとRSAディレクトリを/var/netwitness/<your-zip-file-repo>/11.3.0.0の下に作成します。
mkdir -p /var/netwitness/<your-zip-file-repo>/11.3.0.0/OS
mkdir -p /var/netwitness/<your-zip-file-repo>/11.3.0.0/RSA - netwitness-11.3.0.0.zipファイルを/var/netwitness/<your-zip-file-repo>/11.3.0.0ディレクトリに解凍します。
unzip netwitness-11.3.0.0.zip -d /var/netwitness/<your-zip-file-repo>/11.3.0.0
netwitness-11.3.0.0.zipを解凍すると、2つのzipファイル(OS-11.3.0.0.zipおよびRSA-11.3.0.0.zip)とその他のファイルがいくつか現れます。 - 以下のように解凍します。
OS-11.3.0.0.zipを /var/netwitness/<your-zip-file-repo>/11.3.0.0/OSディレクトリに解凍します。
unzip /var/netwitness/<your-zip-file-repo>/11.3.0.0/OS-11.3.0.0.zip -d /var/netwitness/<your-zip-file-repo>/11.3.0.0/OS
次の例は、ファイル解凍後のOS(オペレーティング システム)ファイルの構造を示しています。Repoの外部URLはhttp://<web server IP address>/<your-zip-file-repo>です。
- 以下のように解凍します。
RSA-11.3.0.0.zipを/var/netwitness/<your-zip-file-repo>/11.3.0.0/RSAディレクトリに解凍します。
unzip /var/netwitness/<your-zip-file-repo>/11.3.0.0/RSA-11.3.0.0.zip -d /var/netwitness/<your-zip-file-repo>/11.3.0.0/RSA
次の例は、ファイル解凍後のRSAバージョン更新ファイルの構造を示しています。 - (オプション:Azureの場合):Azureの更新の場合は、次の手順を実行します。
- mkdir -p /var/netwitness/<your-zip-file-repo>/11.3.0.0/OS/other
- unzip nw-azure-11.3-extras.zip -d /var/netwitness/<your-zip-file-repo>/11.3.0.0/OS/other
- cd /var/netwitness/<your-zip-file-repo>/11.3.0.0/OS
- createrepo
- NW 11.3.0.0セットアップ プログラム(nwsetup-tui)が[Enter the base URL of the external update repositories]プロンプトを表示したら、 http://<web server IP address>/<your-zip-file-repo>と入力します。
ホスト グループの作成と管理
[ホスト]ビューでは、ホストのグループを作成および管理するためのオプションが提供されます。[グループ]パネルのツールバーには、ホスト グループの作成、編集、削除のオプションがあります。グループの作成後、[ホスト]パネルからグループに各ホストをドラッグできます。
グループは、機能別、地域別、あるいはプロジェクト別など、組織における運用管理方式に従って構成できます。1つのホストが複数のグループに属することができます。ここでは、考えられる分類の例をいくつか示します。
- すべてのBroker、Decoder、Concentratorの構成と監視を容易にするために、カテゴリごとにグループ化。
- 同じデータ フローを構成しているホスト(たとえば、Brokerとそれに関連するすべてのConcentratorとDecoder)をグループ化。
- ホストが配置されている地域や場所に従ってグループ化。これにより、ある地域で大規模な停電が発生した場合に、影響を受ける可能性があるホストを容易に識別可能です。
グループの作成
- [管理]>[ホスト]を選択します。
[ホスト]ビューが表示されます。 - [グループ]パネルのツールバーで、
をクリックします。
新しいグループのフィールドが表示され、カーソルが点滅します。 - このフィールドに新しいグループの名前(「Geo 1」など)を入力し、Enterキーを押します。
グループはツリー内にフォルダとして作成されます。グループの横にある数値は、そのグループ内のホストの数を示します。
グループ名の変更
- [ホスト]ビューの[グループ]パネルで、グループ名をダブル クリックするか、グループを選択し、
をクリックします。
名前のフィールドが表示され、カーソルが点滅します。 - グループの新しい名前を入力し、Enterキーを押します。
[名前]フィールドが閉じ、新しいグループ名がツリーに表示されます。
グループへのホストの追加
[ホスト]ビューの[ホスト]パネルで、ホストを選択して、[グループ]パネルのグループ フォルダにドラッグします。
グループにホストが追加されます。
グループ内のホストの表示
グループ内のホストを表示するには、[グループ]パネルのグループをクリックします。
[ホスト]パネルには、そのグループ内のホストが一覧表示されます。
グループからのホストの削除
- [ホスト]ビューの[グループ]パネルで、削除するホストが含まれているグループを選択します。そのグループ内のホストが[ホスト]パネルに表示されます。
- [ホスト]パネルで、グループから削除するホストを1つ以上選択し、ツールバーで
>[グループから削除]を選択します。
選択したホストはグループから削除されますが、NetWitness Platformユーザ インタフェースからは削除されません。表示されるホスト数は、グループから削除されたホストの数だけ減ります。[すべて]グループには、グループから削除されたホストが含まれます。
次の例では、[Geo 1]という名前のホスト グループにはホストが含まれていません。グループからすべてのホストを削除したためです。
グループの削除
- [ホスト]ビューの[グループ]パネルで、削除するグループを選択します。
-
をクリックします。
選択したグループが[グループ]パネルから削除されます。グループに含まれていたホストはNetWitness Platformユーザ インタフェースからは削除されません。[すべて]グループには、削除されたグループのホストが含まれています。
ホストの検索
[ホスト]ビューに表示されるホストの一覧からホストを検索できます。[ホスト]ビューでは、名前やホスト名でホストの一覧をすばやくフィルタ表示できます。多数のNetWitness Platformホストを管理する場合に便利です。ホストの一覧をスクロールするのではなく、フィルタを設定することによって、管理するホストに素早くアクセスすることができます。
[サービス]ビューでは、サービスを検索して、そのサービスを実行するホストを迅速に見つけることができます。
ホストの検索
- [管理]>[ホスト]を選択します。
- [ホスト]パネルのツールバーの[フィルタ]フィールドに、ホストの名前またはホスト名を入力します。
[フィルタ]フィールドに入力した名前に一致するホストが、[ホスト]パネルに表示されます。
サービスを実行するホストの検索
- [管理]>[サービス]を選択します。
- [サービス]ビューで、サービスを選択します。関連づけられたホストが、そのサービスの[ホスト]列に表示されます。
- [ホスト]ビューを開いてそのホストを管理するには、サービスの[ホスト]列のリンクをクリックします。選択したサービスに関連づけられたホストが[ホスト]ビューに表示されます。
ホスト タスク リストからのタスクの実行
- [管理]>[サービス]を選択します。
- [サービス]グリッドで、サービスを選択し、
>[表示]>[システム]をクリックします。
注:Admin、Config、Orchestration、Security、Investigate、Respondの各サービスには[システム]ビューはありません。これらのサービスには[エクスプローラ]ビューしかありません。
サービスの[システム]ビューが表示されます。 - サービスの[システム]ビューのツールバーで、
をクリックします。
- [ホスト タスク リスト]で、[タスク]フィールドをクリックし、ホストで実行するタスクのドロップダウン リストを表示します。
- タスクを選択します。たとえば、[サービスの停止]をクリックします。
タスクが[タスク]フィールドに表示され、タスクの説明、引数の例、セキュリティ ロール、パラメータが[情報]セクションに表示されます。 - 必要に応じて引数を入力し、[実行]をクリックします。
コマンドが実行され、結果が[出力]セクションに表示されます。
ファイル システム監視の追加と削除
サービスによって特定のファイル システムを監視する必要がある場合、サービスを選択してパスを指定し、監視を設定できます。NetWitness Platformによって、ファイルシステム監視が追加されます。ファイル システム監視をサービスに追加すると、ファイル システム監視を削除するまで、そのサービスは指定されたパスのトラフィックを監視します。
ファイル システム監視の構成
- [管理]>[サービス]を選択します。
- [サービス]グリッドで、サービスを選択し、
>[表示]>[システム]をクリックします。
サービスの[システム]ビューが表示されます。 - サービスの[システム]ビューのツールバーで、[ホスト タスク]をクリックします。
- [ホスト タスク リスト]で、[ファイル システム監視の追加]を選択します。
[情報]セクションに、タスクの概要とタスクの引数が表示されます。 - [引数]フィールドに、監視するファイル システムのパスを入力します。例:
path=/var/netwitness/decoder/packetdb - [実行]をクリックします。
結果が[出力]領域に表示されます。サービスによってファイル システムの監視が開始され、ファイル システム監視を削除するまで監視が継続されます。
ファイル システム監視の削除
- [ホスト タスク リスト]ダイアログに移動します。
- [ホスト タスク リスト]で、[ファイル システム監視の削除]を選択します。
[情報]セクションに、タスクの概要とタスクの引数が表示されます。 - [引数]フィールドに、監視を停止するファイル システムのパスを入力します。例:
path=/var/netwitness/decoder/packetdb - [実行]をクリックします。
結果が[出力]領域に表示されます。サービスによってファイル システムの監視が停止されます。
ホストの再起動
特定の状況(たとえば、ソフトウェアをアップグレードした後など)では、ホストの再起動が必要になります。この手順では、[ホスト タスク リスト]を使用してホストのシャットダウンと再起動を行います。
NetWitness Platformでは、他の方法でホストをシャットダウンすることもできます。
- ホスト上のサービスを選択して、ホストをシャットダウンし、再起動する場合は、[サービス]ビューでサービスを選択してから[ホスト]ビューに移動し(「ホストの検索」を参照)、「[ホスト]ビューからのホストのシャットダウンおよび再起動」の手順を実行します。
- 再起動ではなく、物理ホストをシャットダウンする手順については、「ホストのシャットダウン」を参照してください。
[ホスト]ビューからのホストのシャットダウンおよび再起動
[ホスト タスク リスト]からのホストのシャットダウンおよび再起動
- [管理]>[サービス]を選択します。
- [サービス]パネルで、サービスを選択し、
>[表示]>[システム]をクリックします。
サービスの[システム]ビューが表示されます。 - サービスの[システム]ビューのツールバーで、[ホスト タスク]をクリックします。
- [ホスト タスク リスト]で、[タスク]フィールドから[ホストの再起動]を選択します。
引数は必要ありません。 - [実行]をクリックします。
ホストが再起動され、結果が[出力]領域に表示されます。
ホスト内蔵クロックの設定
シャットダウンまたはバッテリ故障の後に、ホスト上でローカル クロックの設定が必要になる場合があります。ホスト内蔵クロックの設定タスクにより、時刻をリセットできます。
ローカル クロックの時刻の設定
- [管理]>[サービス]を選択します。
- [サービス]グリッドで、サービスを選択し、
>[表示]>[システム]を選択します。
サービスの[システム]ビューが表示されます。 - サービスの[システム]ビューのツールバーで、[ホスト タスク]をクリックします。
- [ホスト タスク リスト]で、[ホスト内蔵クロックの設定]を選択します。タスクのヘルプが[情報]領域に表示されます。
- [引数]フィールドに日付と時刻を入力します。たとえば、2017年10月31日11:59:59 PMを指定するには、次のように入力します。
set=20171031T235959 - [実行]をクリックします。
クロックが指定した時刻に設定され、メッセージが[出力]領域に表示されます。
ネットワーク構成の設定
構成済みのコア ホストのアドレスを変更する必要がある場合、[ホスト タスク リスト]で、[ネットワーク構成の設定]タスクを選択して、ホストの新しいネットワーク アドレス、サブネット マスク、ゲートウェイを設定できます。
注意:変更がただちに有効になり、ホストがNetWitnss Platformから切断されます。切断されたホストは、新しいネットワーク アドレスを使用してNetWitness Platformに再度追加する必要があります。
ホストのネットワーク アドレスの指定
- [管理]>[サービス]を選択します。
- [サービス]グリッドで、サービスを選択し、
>[表示]>[システム]をクリックします。
サービスの[システム]ビューが表示されます。 - サービスの[システム]ビューのツールバーで、[ホスト タスク]をクリックします。
- [ホスト タスク リスト]で、[ネットワーク構成の設定]をクリックします。
タスクが[タスク]フィールドに表示され、ヘルプが[情報]セクションに表示されます。 - [引数]フィールドに引数を入力します。例:
mode=static address=192.168.0.20 netmask=255.255.255.0 gateway=192.168.0.1 - [実行]をクリックします。
タスクが実行され、結果が[出力]領域に表示されます。ホストがNetWitness Platformから切断されます。新しいアドレスでホストを再度追加する必要があります。
注:ネットワーク インタフェースのmodeがDHCPの場合、NetWitness Platformからは新しいアドレスを確認できません。新しいアドレスを確認するには、ホストに直接接続する必要があります。
ネットワーク タイム ソースの設定
ホストでネットワーク クロック ソースを使用する場合には、ホストのネットワーク クロック ソースとなるNTPサーバのホスト名またはアドレスを設定します。ホストでローカル クロック ソースを使用する場合には、ここにlocalを指定し、ローカル クロック ソースの設定を有効にする必要があります。
ネットワーク クロック ソースの指定
- [管理]>[サービス]を選択します。
- [サービス]グリッドで、サービスを選択し、
>[表示]>[システム]をクリックします。
サービスの[システム]ビューが表示されます。 - サービスの[システム]ビューのツールバーで、[ホスト タスク]をクリックします。
- [ホスト タスク リスト]で、[ネットワーク タイム ソースの設定]を選択します。
- 次のいずれかを実行します。
- このホストのクロック ソースとして使用するNTPサーバのホスト名またはアドレスを入力します。たとえば、次のように入力します。source=tictoc.localdomain
- クロック ソースとしてホストのローカル クロックを使用する場合は、次のように入力します。
source=local
- [実行]をクリックします。
クロック ソースが設定され、メッセージが[出力]領域に表示されます。
注:NTPクロック ソースとしてlocalを指定した場合、ホストのローカル クロックが使用され、時刻は「ホスト内蔵クロックの設定」を使用して構成されます。
SNMPの設定
[ホスト タスク リスト]の[SNMPの設定]により、ホスト上のSNMPサービスを有効化または無効化します。ホストがSNMP通知を受信できるようにするには、SNMPサービスを有効化します。NetWitness Platformの通知でSNMPを使用しない場合、このサービスを有効化する必要はありません。
ホスト上のSNMPサービスのオン/オフ
- [管理]>[サービス]を選択します。
- [サービス]グリッドで、サービスを選択し、
>[表示]>[システム]をクリックします。
サービスの[システム]ビューが表示されます。 - サービスの[システム]ビューのツールバーで、[ホスト タスク]をクリックします。
- [ホスト タスク リスト]で、[setSNMP]を選択します。
[情報]セクションに、タスクの概要とタスクの引数が表示されます。 - 次のいずれかを実行します。
- [実行]をクリックします。
結果が[出力]領域に表示されます。
Syslog転送の設定
Syslog転送を設定し、NetWitness Platformホストのオペレーティング システムのログをリモートSyslogサーバに転送することができます。Syslog転送を有効化または無効化するには、[ホスト タスク リスト]で[Syslog転送の設定]タスクを選択します。
Syslog転送の設定と開始
- [管理]>[サービス]を選択します。
- [サービス]グリッドで、サービスを選択し、
>[表示]>[システム]をクリックします。
サービスの[システム]ビューが表示されます。 - サービスの[システム]ビューのツールバーで、[ホスト タスク]をクリックします。
- [ホスト タスク リスト]で、[Syslog転送の設定]を選択します。
[情報]セクションに、タスクの概要とタスクの引数が表示されます。 - [引数]フィールドで、次のいずれかを実行します。
- Syslog転送を有効化するには、次のいずれかの形式を指定します。
- host=<loghost>.<localdomain>(例:host=syslogserver.local)
- host=<loghost>.<localdomain>:<port>(例:host=syslogserver.local:514)
- host=<IP>(例:host=10.31.244.244)
- host=<IP>:<port>(例:host=10.31.244.244:514)
次の表に、Syslog転送の有効化に使用するパラメータを示します。
- Syslog転送を無効化するには、host=disableと入力します。
- Syslog転送を有効化するには、次のいずれかの形式を指定します。
- [実行]をクリックします。
結果が[出力]領域に表示されます。
Syslog転送が有効化または無効化されると、/etc/rsyslog.confファイルが自動的に更新され、リモートSyslogサーバへのSyslog転送が有効化または無効化され、Syslogサービスが再起動されます。
Syslog転送を有効化した場合、構成されたサービスからのログは定義されたSyslogサーバに転送され、無効化するまで転送されます。
注:リモートSyslogサーバにログインし、Syslog転送を構成したNetWitness Platformサービスからのメッセージを受信しているかどうかを確認できます。
ネットワーク ポート ステータスの表示
[ホスト タスク リスト]の[ネットワーク ポート ステータスの表示]タスクは、ホストに構成されたすべてのポートのステータスを表示します。
ネットワーク ポート ステータスの表示
- [管理]>[サービス]を選択します。
- [サービス]グリッドで、サービスを選択し、
>[表示]>[システム]を選択します。
選択したサービスの[システム]ビューが表示されます。 - サービスの[システム]ビューのツールバーで、[ホスト タスク]をクリックします。
- [ホスト タスク リスト]で、[ネットワーク ポート ステータスの表示]をクリックします。
タスクが[タスク]フィールドに表示され、タスクに関する情報が[情報]セクションに表示されます。 - タスクを実行するには、[実行]をクリックします。
ホスト上の各ポートのステータスが[出力]領域に表示されます。
シリアル番号の表示
[ホスト タスク リスト]の[シリアル番号の表示]タスクは、ホストのシリアル番号を表示します。
シリアル番号の表示
- [管理]>[サービス]を選択します。
- [サービス]グリッドで、サービスを選択し、
>[表示]>[システム]をクリックします。
サービスの[システム]ビューが表示されます。 - サービスの[システム]ビューのツールバーで、[ホスト タスク]をクリックします。
- [ホストタスク リスト ]で、[シリアル番号の表示]を選択します。
[情報]セクションに、タスクの概要とタスクの引数が表示されます。 - このタスクでは、引数は必要ありません。[実行]をクリックします。
選択したホストのシリアル番号が[出力]領域に表示されます。
ホストのシャットダウン
特定の状況(たとえばハードウェアのアップグレード、バックアップ電源容量を超過する長時間の停電など)で、物理ホストのシャットダウンが必要になることがあります。ホストをシャットダウンすると、ホストで実行するすべてのサービスが停止し、物理ホストの電源がオフになります。
物理ホストは自動的に再起動しません。電源スイッチを使用してホストを再起動します。物理ホストが再起動すると、ホストとサービスは自動的に再起動するよう構成されています。
ホストをシャット ダウンすることなく開始および停止するには、ホストを再起動します。
ホストのシャットダウン
- [ホスト タスク リスト]ダイアログの[タスク]フィールドで、[ホストのシャットダウン]を選択します。
- タスクを実行するには、[実行]をクリックします。
ホストがシャットダウンし、電源がオフになります。
ホスト上のサービスの停止と開始
ホスト タスク リストには、ホスト上のサービスを停止および開始するためのオプションが2つあります。[サービスの停止]タスクを使用してサービスを停止した場合、サービスのすべてのプロセスが停止し、サービスに接続していたユーザは切断されます。サービスに問題がない限り、自動的に再起動します。これは、サービスの[システム]ビューの[サービスのシャットダウン]オプションと同じです。
停止後にサービスが自動的に再起動しない場合、[サービスの開始]タスクを使用して手動でサービスを再起動できます。
ホスト上のサービスの停止
- [管理]>[サービス]を選択します。
- [サービス]グリッドで、サービスを選択し、
>[表示]>[システム]をクリックします。
サービスの[システム]ビューが表示されます。 - サービスの[システム]ビューのツールバーで、[ホスト タスク]をクリックします。
- [ホスト タスク リスト]で、[サービスの停止]をクリックします。
タスクが[タスク]フィールドに表示され、タスクに関する情報が[情報]セクションに表示されます。 - 停止するサービス(decoder、concentrator、broker、logdecoder、logcollector)を[引数]フィールドに指定します。例:service=decoder
- タスクを実行するには、[実行]をクリックします。
サービスが停止し、ステータスが[出力]セクションに表示されます。サービスのすべてのプロセスが停止し、サービスに接続するユーザが切断されます。サービスに問題がない限り、自動的に再起動します。
ホスト上のサービスの開始
- [ホスト タスク リスト]で、[タスク]ドロップダウン リストから[サービスの開始]を選択します。
タスクが[タスク]フィールドに表示され、タスクに関する情報が[情報]セクションに表示されます。 - [引数]フィールドで、開始するサービス(decoder、concentrator、broker、logdecoder、logcollector)を指定します。たとえば、次のように指定します。
service=decoder - タスクを実行するには、[実行]をクリックします。
サービスが開始し、ステータスが[出力]セクションに表示されます。
サービス ユーザの追加、レプリケート、削除
次の場合は、ユーザをサービスに追加する必要があります。
- 集計
- 下記を使用してサービスにアクセスする場合:
- シック クライアント
- REST API
注:このトピックは、NetWitness Serverのユーザ インタフェースからサービスにアクセスするユーザには適用されません。それらのユーザは、サービスではなく、システムに追加する必要があります。詳細については、「システム セキュリティとユーザ管理」の「ユーザの設定」のトピックを参照してください。
各サービス ユーザについて、次のタスクを実行できます。
- サービスのユーザ認証とクエリ処理プロパティを構成する
- ユーザをロールのメンバに追加する。このロールにより、ユーザに付与される権限が決まります。
- 他のサービスにユーザ アカウントをレプリケートする
- 選択したサービス上のユーザ パスワードを変更する
「サービス ユーザのパスワードの変更」では、複数のサービスのサービス ユーザのパスワードを変更する手順について説明します。
手順
[セキュリティ]ビューへのアクセス
以下の各手順は、サービスの[セキュリティ]ビューから開始します。
サービスの[セキュリティ]ビューに移動するには、次の手順を実行します。
- NetWitness Platformで、[管理]>[サービス]に移動します。
- サービスを選択し、
>[表示]>[セキュリティ]をクリックします。
選択したサービスの[セキュリティ]ビューが表示され、[ユーザ]タブが開きます。
注:NetWitness Platform 10.4以前のサービス バージョンでは、[ユーザ設定]セクションに[Coreクエリ タイムアウト]ではなく[クエリ レベル]フィールドが表示されます。
サービス ユーザの追加
- [ユーザ]タブで、
をクリックします。
- サービスにアクセスするユーザ名を入力し、Enterキーを押します。
[ユーザ情報]セクションにユーザ名が表示され、残りのフィールドが編集可能になります。 - [パスワード]および[パスワードの確認]フィールドで、サービスにログオンするためのパスワードを入力します。
- (オプション)追加情報を入力します。
- NetWitness Platformにログオンするための名前
- メール アドレス
- ユーザの説明
- [ユーザ設定]セクションで、次の情報を選択します。
- 認証タイプ
- NetWitness Platformがユーザを認証する場合は、[Netwitness]を選択します。
- ユーザ認証のためにActive DirectoryまたはPAMがNetWitness Serverに構成されている場合は、[外部]を選択します。
- [Coreクエリ タイムアウト]は、ユーザがサービスに対して1つのクエリを実行できる最長時間(分)です。このフィールドはNetWitness Platform 10.5以降のサービス バージョンで使用され、10.4以前のバージョンには表示されません。
- (オプション)追加のクエリ条件を指定します。
- [クエリ プレフィックス]はクエリのフィルタです。プレフィックスを入力して、ユーザに表示される結果を制限します。
- [セッション閾値]は、メタ値のセッション数を判断するためのスキャンを制御します。メタ値のセッション数が閾値を上回ると、セッション数のカウントを停止します。
- [ロール メンバシップ]セクションで、ユーザに割り当てるロールを選択します。ユーザがサービス上のロールのメンバになると、ロールに割り当てられた権限が付与されます。
- 新しいサービス ユーザをアクティブ化するには、[適用]をクリックします。
他のサービスへのユーザのレプリケート
- [ユーザ]タブで、ユーザを選択して、
>[レプリケート]をクリックします。
[他のサービスへのユーザのレプリケート]ダイアログが表示されます。 - パスワードを入力し、確認のためもう一度入力します。
- ユーザのレプリケート先のサービスを選択します。
- [レプリケート]をクリックします。
サービス ユーザの削除
- [ユーザ]タブで、ユーザ名を選択し、
をクリックします。
NetWitness Platformによって、選択したユーザの削除を確認するプロンプトが表示されます。 - ユーザを削除するには、[はい]をクリックします。
サービス ユーザのロールの追加
NetWitness Platformには、サーバおよび各サービスに事前構成されたロールがあります。カスタム ロールを追加することもできます。次の表に、事前構成されたシステム ロールとその権限を示します。
以下ようなユーザやロールを追加した場合、サービス ロールを追加する必要があります。
- 新しい権限のセットを必要とするサービス ユーザ。
- NetWitness Server上のカスタム ロール。信頼接続では、NW Serverと、カスタム ロールがアクセスする各サービスの両方に、同一のカスタム ロールが存在する必要があるためです。これらの名前は同一である必要があります。たとえば、NW Server上にJunior Analystsロールを追加した場合、そのロールがアクセスする各サービスにJunior Analystsロールを追加する必要があります。詳細については、「システム セキュリティとユーザ管理」の「ロールの追加と権限の割り当て」を参照してください。
事前構成されたAggregationサービス ロールもあります。詳細については、「Aggregationロール」と「サービスのユーザ ロールと権限」を参照してください。
手順
サービスのユーザ ロールを追加して権限を割り当てるには、次の手順を実行します。
- NetWitness Platformで、[管理]>[サービス]に移動します。
- サービスを選択し、
>[表示]>[セキュリティ]を選択します。
選択したサービスの[セキュリティ]ビューが表示され、[ユーザ]タブが開きます。 - [ロール]タブを選択し、
をクリックします。
[ロール]タブには、5つの事前構成されたロールが一覧表示されます。 -
をクリックし、ロール名を入力して、Enterキーを押します。
ロール名は、[ロールの権限]セクションの上部に表示されます。 - ロールに付与するサービスの権限を選択します。
- [適用]をクリックします。
[ユーザ]タブで、サービス ユーザをロールのメンバに追加できます。
サービス ユーザのパスワードの変更
この手順により、管理者がサービス ユーザのパスワードを変更し、新しいパスワードを、そのユーザ アカウントが定義されているすべてのコア サービスにレプリケートできます。選択されたコア サービスにレプリケートされるのは、ユーザ アカウント全体ではなく、パスワードの変更のみです。また、管理者は、コア サービスのadminアカウントのパスワードを変更することもできます。
注:[パスワードの変更]オプションは、外部ユーザには適用されません。
サービス ユーザのパスワードを変更するには、次の手順を実行します。
- NetWitness Platformで、[管理]>[サービス]に移動します。
[管理]の[サービス]ビューが表示されます。 - サービスを選択し、
>[表示]>[セキュリティ]をクリックします。
選択したサービスの[セキュリティ]ビューが表示されます。 - [ユーザ]タブで、ユーザを選択して、アクション アイコンから[パスワードの変更]を選択します。
[パスワードの変更]ダイアログが表示されます。 - ユーザの新しいパスワードを入力し、パスワードを確認します。
- ユーザのパスワードを変更するサービスを選択します。
- [パスワードの変更]をクリックします。
選択したサービスのパスワード変更のステータスが表示されます。
サービス グループの作成と管理
[管理]の[サービス]ビューでは、サービスのグループを作成および管理するためのオプションが提供されます。[サービス]パネルのツールバーには、サービス グループの作成、編集、削除のオプションがあります。グループの作成後、[サービス]パネルからグループに各サービスをドラッグできます。
グループは、機能別、地域別、あるいはプロジェクト別など、組織における運用管理方式に従って構成できます。1つのサービスが複数のグループに属することができます。ここでは、考えられる分類の例をいくつか示します。
- すべてのBroker、Decoder、Concentratorの構成と監視を容易にするために、サービス タイプごとにグループ化。
- 同じデータ フローを構成しているサービス(たとえば、Brokerとそれに関連するすべてのConcentratorとDecoder)をグループ化。
- サービスが配置されている地域や場所に従ってグループ化。これにより、ある地域で大規模な停電が発生した場合に、影響を受ける可能性があるサービスを容易に識別可能です。
グループの作成
- NetWitness Platformで、[管理]>[サービス]に移動します。
[管理]の[サービス]ビューが表示されます。 - [グループ]パネルのツールバーで、
をクリックします。
新しいグループのフィールドが表示され、カーソルが点滅します。 - このフィールドに新しいグループの名前(「A New Group」など)を入力し、Enterキーを押します。
グループはツリー内にフォルダとして作成されます。グループの横にある数値は、そのグループ内のサービスの数を示します。
グループ名の変更
- [サービス]ビューの[グループ]パネルで、グループ名をダブル クリックするか、グループを選択し、
をクリックします。 [名前]フィールドが表示され、カーソルが点滅します。
- グループの新しい名前を入力し、Enterキーを押します。
[名前]フィールドが閉じ、新しいグループ名がツリーに表示されます。
グループへのサービスの追加
[サービス]ビューの[サービス]パネルで、サービスを選択し、[グループ]パネル内のグループ フォルダ(たとえば、[Log Collectors])にサービスをドラッグします。
グループにサービスが追加されます。
グループ内のサービスの表示
グループ内のサービスを表示するには、[グループ]パネルでグループをクリックします。
[サービス]パネルに、そのグループ内のサービスが表示されます。
グループからのサービスの削除
- [サービス]ビューの[グループ]パネルで、削除するサービスが含まれるグループを選択します。そのグループ内のサービスが[サービス]パネルに表示されます。
- [サービス]パネルで、グループから削除するサービスを1つ以上選択し、ツールバーで
>[グループから削除]を選択します。
選択したサービスはグループから削除されますが、NetWitness Platformユーザ インタフェースからは削除されません。表示されるサービス数は、グループから削除されたサービスの数だけ減ります。[すべて]グループには、グループから削除されたサービスが含まれます。
次の例では、[A New Group]という名前のサービス グループにはサービスが含まれていません。グループ内のサービスを削除したためです。
グループの削除
- [サービス]ビューの[グループ]パネルで、削除するグループを選択します。
-
をクリックします。
選択したグループが[グループ]パネルから削除されます。グループに含まれていたサービスはNetWitness Platformユーザ インタフェースからは削除されません。[すべて]グループには、削除されたグループのサービスが含まれます。
サービス ロールの複製またはレプリケート
新しいサービス ロールを追加する効率的な方法として、同じロールを複製して新しい名前で保存し、すでに割り当てられている権限を変更することができます。たとえば、Analystsロールを複製できます。複製したら、JuniorAnalystsという名前で保存し、権限を変更します。
既存のロールを別のサービスに簡単に追加する方法として、ロールをレプリケートすることができます。たとえば、BrokerにあるJuniorAnalystsロールをConcentratorおよびLog Decoderにレプリケートできます。
以下の各手順は、サービスの[セキュリティ]ビューから開始します。
サービスの[セキュリティ]ビューに移動するには、次の手順を実行します。
- NetWitness Platformで、[管理]>[サービス]に移動します。
- サービスを選択し、
>[表示]>[セキュリティ]をクリックします。
選択したサービスの[セキュリティ]ビューが表示され、[ユーザ]タブが開きます。 - [ロール]タブを選択します。
サービス ロールの複製
- [ロール]タブで、複製するロールを選択します。
-
(ロールの複製)をクリックします。
- 新しい名前を入力し、[適用]をクリックします。
- 新しいロールを選択します。
- [ロールの権限]セクションで、権限を選択または選択解除し、新しいロールで実行できる内容を変更します。
ロールのレプリケート
- [ロール]タブで、レプリケートするロールを選択し、[レプリケート]をクリックします。
- [他のサービスへのロールのレプリケート]ダイアログで、ロールを追加するサービスを選択します。
- [レプリケート]をクリックします。
コア サービス構成ファイルの編集
Decoder、Log Decoder、Broker、Concentrator、Archiver、Workbenchサービスのサービス構成ファイルは、テキスト ファイルとして編集できます。サービスの[構成]ビューの[ファイル]タブでは、次のタスクを実行できます。
- NetWitness Platformシステムが現在使用しているサービス構成ファイルを表示および編集する。
- ファイルの最新のバックアップを取得したり、バックアップをリストアする。
- ファイルを他のサービスにプッシュする。
- ファイルの変更を保存する。
編集可能なファイルは、構成するサービスのタイプによって異なります。すべてのコア サービスに共通のファイルは次のとおりです。
- サービス インデックス ファイル
- netwitnessファイル
- crash reporterファイル
- schedulerファイル
Decoderには、上記に加えて、Parser、Feed定義、Wireless LANアダプタを構成するためのファイルがあります。
注:これらの構成ファイルのデフォルト値は一般的な利用環境では変更する必要はありませんが、crash reporterやschedulerなどのオプション サービスを使用する場合は、編集が必要になります。[ファイル]タブでこれらのファイルを変更する場合は、ネットワーク環境やデータ収集および解析への影響について十分に理解している管理者のみが実施するようにしてください。
サービス構成ファイルの編集
ファイルを編集するには、次の手順を実行します。
- NetWitness Platformで、[管理]>[サービス]に移動します。
- [サービス]グリッドでサービスを選択します。
-
>[表示]>[構成]を選択します。
サービスの[構成]ビューが表示され、[全般]タブが開きます。 - [ファイル]タブをクリックします。
選択したサービス(Concentratorなど)が右側のドロップダウン リストに表示されます。 - (オプション)サービスではなくホストのファイルを編集するには、ドロップダウン リストで[ホスト]を選択します。
- [編集するファイルを選択してください]ドロップダウン リストからファイルを選択します。
ファイルの内容が編集モードで表示されます。 - ファイルを編集して、[適用]をクリックします。
現在のファイルは上書きされ、バックアップ ファイルが作成されます。変更はサービスの再起動後に有効になります。
バックアップのサービス構成ファイルへのロールバック
構成ファイルに変更を加えて保存し、サービスを再起動すると、バックアップ ファイルが使用可能になります。バックアップした構成ファイルにロールバックする場合は、次の手順を実行します。
- このトピックの最初の手順のステップ1~6を実行して、構成ファイルを選択します。
-
をクリックします。
バックアップ ファイルが開きます。 - 構成ファイルをバックアップ バージョンに戻すには、[保存]をクリックします。
変更はサービスの再起動後に有効になります。
他のサービスへの構成ファイルのプッシュ
サービス構成ファイルを編集した後、同じタイプの他のサービスに同じ構成をプッシュできます。
- このトピックの最初にある「サービス構成ファイルの編集」手順のステップ1~6を実行して、構成ファイルを選択します。
-
をクリックします。[サービスの選択]ダイアログが表示されます。
- 構成ファイルをプッシュするサービスを選択します。
[サービス]ビューで選択したサービスと同じタイプのサービスを選択する必要があります。注意:構成ファイルをプッシュしない場合は、[キャンセル]をクリックします。
- 選択したすべてのサービスに構成ファイルをプッシュする場合は、[OK]をクリックします。
構成ファイルは、選択したすべてのサービスにプッシュされます。
タスク スケジューラの構成
schedulerファイル
schedulerファイルは、サービスの[構成]ビューの[ファイル]タブで編集できます。このファイルは、サービスに標準で組み込まれたタスク スケジューラを構成します。タスク スケジューラは、指定された間隔または指定された時間に自動的にタスク メッセージを送信してタスクを実行します。
タスク スケジューラの構文
schedulerファイルのタスク行は、次の構文で記述します。<Value>にはスペースを含めることはできません。
<ParamName>=<Value>
<Value>にスペースが含まれる場合は、次のように記述します。
<ParamName>="<Value>"
各タスク行では、次のガイドラインに従います。
- timeパラメータ、またはインターバル パラメータ(seconds、minutes、hours)のいずれかが必要です。
- 特殊文字は\(バックスラッシュ)によってエスケープします。
タスク行パラメータ
スケジューラでは、次のタスク行パラメータを使用できます。
メッセージ
タスク スケジューラのmsgパラメータには、次のメッセージ文字列を指定できます。
サンプル タスク行
schedulerファイルの次のタスク行の例は、Feedのホスト サーバから120分ごとにDecoderにFeedパッケージ ファイル(feeds.zip)をダウンロードします。
minutes=120 pathname=/parsers msg=feed params="type\=wget file\=http://feedshost/nwlive/feeds.zip"
サービス インデックス ファイルの編集
このトピックでは、サービスの[構成]ビューの[ファイル]タブで編集可能なサービス カスタム インデックス ファイルを構成するための重要な情報やガイドラインについて説明します。
インデックス ファイルは、他の構成ファイルとともに、各コア サービスの処理を制御します。NetWitness Platformのサービスの[構成]ビューでインデックス ファイルを開くと、ファイルを編集できます。
注:インデックス ファイルの変更は、コア サービスの構成に関する詳細で包括的な知識を持つ管理者のみが実施するようにしてください。インデックス ファイルは、アプライアンス サービスの核となる構成ファイルの1つです。すべてのコア サービスで一貫性のある変更を行う必要があります。無効な値が入力されたりファイルが誤って構成されたりすると、システムが開始できない状態になり、結果的にRSAカスタマー サポートの支援が必要になる可能性があります。
インデックス ファイルには次のものがあります。
- index-broker.xmlおよび index-brokercustom.xml
- index-concentrator.xmlおよびindex-concentrator‐custom.xml
- index-decoder.xmlおよびindex-decodercustom.xml
- index-logdecoder.xmlおよびindex-logdecodercustom.xml
- index-archiver.xmlおよび index-archiver‐custom.xml
- index-workbench.xmlおよびindex-workbench‐custom.xml
インデックス ファイルとカスタム インデックス ファイル
ユーザ固有のインデックスの変更はすべて、index-<service>-custom.xmlに記述します。このファイルの設定は、RSAのみが管理するindex-<service>.xmlの設定を上書きします。
カスタム インデックス ファイル(index-<service>‐custom.xml)を使用することによって、アップグレードによる変更の影響を受けることなく、独自のlanguageキーの定義や設定の上書きを行うことができます。
- index-<service>‐custom.xmlに定義されたキーは、index-<service>.xmlの定義を置き換えます。
- index-<service>custom.xmlに追加され、index‐<service>.xmlに存在しないキーは、新しいキーとしてlanguageに追加されます。
インデックス ファイルの編集は、次のような場合に必要です。
- 新しいカスタム メタ キーを追加して、NetWitness Platformのユーザ インタフェースに新しいフィールドを追加する。
- 「データ プライバシーの管理」ガイドの説明に従い、プライバシー対策の一環として保護されたメタ キーを構成する。
- 「NetWitness Platformコア データベース チューニング ガイド」の説明に従い、NetWitness Platformコア データベースのクエリ パフォーマンスを調整する。
注意:Decoderから集計するConcentratorまたはArchiverがある場合は、DecoderのIndexKeysまたはIndexValuesにインデックス レベルを設定しないでください。デフォルトのtimeメタ キーを超えるインデックス作成をサポートするには、インデックスのパーティション サイズが小さ過ぎます。
Crash Reporterサービスの有効化
Crash Reporterは、NetWitness Platformサービスのオプション サービスです。コア サービスでアクティブ化すると、Crash Reporterは、サービスに障害が発生したときに、その原因の診断や解決に使用する情報のパッケージを自動的に生成します。パッケージは、解析のためにRSAに自動的に送信するよう設定できます。送信された内容は、調査のためにRSAのサポート部門に転送されます。
RSAに送信される情報パッケージには、収集されたデータは含まれません。このパッケージには、次の情報が含まれます。
- スタック トレース
- ログ
- 構成設定
- ソフトウェア バージョン
- CPU情報
- インストールされたRPM
- ディスク ジオメトリ
Crash Reporterによるクラッシュの解析は、コア製品に対してアクティブ化できます。
crashreporter.cfgファイル
サービスの[構成]ビューの[ファイル]タブで編集可能なファイルの1つに、Crash Reporterクライアント サーバ構成ファイル、crashreporter.cfgがあります。
このファイルは、ホスト上でCrash Reportのチェック、更新、作成を行うスクリプトによって使用されます。監視する製品として、Decoder、Concentrator、ホスト、Brokerを含めることができます。
次の表で、crashreporter.cfgファイルの設定について説明します。
Crash Reporterサービスの構成
Crash Reporterサービスを構成するには、次の手順を実行します。
- [管理]>[サービス]を選択します。
- サービスを選択し、
>[表示]>[構成]をクリックします。
- [ファイル]タブを選択します。
- crashreporter.cfgを編集します。
- [保存]をクリックします。
- サービスの[システム]ビューを表示するため、[構成]>[システム]を選択します。
- サービスを再起動するため、
をクリックします。
サービスがシャットダウンして再起動します。
Crash Reporterサービスの開始と停止
Crash Reporterサービスを開始するには、次の手順を実行します。
- ツールバーで
をクリックします。
[ホスト タスク リスト]が表示されます。 - [タスク]ドロップダウン リストで、[サービスの開始]を選択します。
- [引数]フィールドに「crashreporter」と入力し、[実行]をクリックします。
Crash Reporterサービスが起動されます。サービスは停止するまでアクティブです。
Crash Reporterサービスを停止するには、[タスク]ドロップダウン リストで[サービスの停止]を選択します。
テーブル マップ ファイルの維持
RSAが提供するテーブル マッピング ファイル、table-map.xmlは、Log Decoderを構成する非常に重要なファイルです。このファイルは、ログ パーサが使用するキーをMetaDBのキーにマッピングするメタ定義ファイルです。
注:table-map.xmlファイルは編集しないでください。変更が必要な場合は、table-map-custom.xmlファイルを変更します。最新のtable-map.xmlファイルはLiveから入手でき、RSAでは必要に応じてこのファイルを更新しています。table-map.xmlファイルを変更しても、サービスまたはコンテンツのアップグレードにより、変更が上書きされる可能性があります。
table-mapファイルとtable-map-customファイルには、次の2つの目的があります。
- ログ パーサが使用する変数を、NetWitnessのメタ キー名に変換する
- どのメタ キーをConcentratorに送出するかをシステムに伝える
たとえば、標準提供のPalo Alto用ログ パーサに含まれる、stransaddrメタ キーを例にとります。このメタ キーは、変換されたソース アドレス(source translated address)を表します。table-map.xmlファイルを見ると、このメタ キーがTransientに設定されていることがわかります。
<mapping envisionName="stransaddr" nwName="stransaddr" flags="Transient" format="Text" />
このメタ キーは、Transientに設定されているため、Concentratorには送出されません。実際、Concentratorでログからパースしたメタをすべて表示しても、このキーは表示されません。
table-map-customの値を次のように変更すると仮定します。
<mapping envisionName="stransaddr" nwName="stransaddr" flags="None" format="Text" />
この場合、key:valueはConcentratorにコピーされ、そこからインデックスを作成するかどうかを選択できます。
table-map.xmlでは、Transientに設定されたメタ キーとNoneに設定されたメタ キーがあります。メタ キーを保存し、インデックスを作成するには、Noneに設定する必要があります。マッピングを変更するには、Log Decoderでtable-map-custom.xmlという名前のファイルのコピーを作成し、メタ キーをNoneに設定する必要があります。
メタ キーのインデックス作成について
- Log Decoderのtable-map.xmlファイルで、メタ キーにNoneが設定されている場合、そのメタ キーのインデックスが作成されます。
- Log Decoderのtable-map.xmlファイルで、メタ キーにTransientが設定されている場合、そのメタ キーのインデックスは作成されません。そのメタ キーのインデックスを作成する場合は、table-map-custom.xmlファイルにエントリーをコピーして、flags="Transient"をflags="None"に変更します。
- メタ キーがLog Decoderのtable-map.xmlファイルに存在しない場合は、table-map-custom.xmlファイルにエントリーを追加します。
注意:table-map.xmlファイルはアップグレードによって上書きされる可能性があるため、更新しないでください。必要な変更はすべてtable-map-custom.xmlファイルに追加します。
前提条件
Log Decoderにtable-map-custom.xmlファイルがない場合は、table-map.xmlをコピーし、名前をtable-map-custom.xmlに変更します。
手順
テーブル マッピング ファイルを検証して更新するには、次の手順を実行します。
- [管理]>[サービス]に移動します。
- [サービス]グリッドで、Log Decoderを選択し、
>[表示]>[構成]をクリックします。
- [ファイル]タブをクリックして、table-map.xmlファイルを選択します。
- flagsキーワードがTransientまたはNoneに正しく設定されていることを確認します。
- エントリーを変更する必要がある場合は、table-map.xml ファイルを変更しないでください。代わりに、table-map-custom.xmlファイルを選択して、table-map-custom.xmlファイルでエントリーを検索し、flagsキーワードをTransientからNoneに変更します。
たとえば、次のhardware.idメタ キー(table-map.xmlファイル内)はflagsキーワードがTransientに設定されており、インデックスは作成されません。
<mapping envisionName="hardware_id" nwName="hardware.id" flags="Transient"/>
hardware.idメタ キーのインデックスを作成するには、table-map-custom.xmlでflagsキーワードをTransientからNoneに変更します。
<mapping envisionName="hardware_id" nwName="hardware.id" flags="None"/> - エントリーがtable-map.xmlファイルに含まれていない場合は、table-map-custom.xmlファイルにエントリーを追加します。
- table-map-custom.xmlファイルを変更した後で、[適用]をクリックします。
注意:テーブル マッピング ファイルを変更する前に、インデックスをTransientからNoneに変更することによる影響を慎重に検討してください。使用可能なストレージ容量とLog Decoderのパフォーマンスに影響が及ぶ可能性があります。そのため、デフォルトでインデックスを作成するメタ キーは限られています。table-map-custom.xmlファイルはさまざまな用途で使用します。
サービスの編集または削除
ホスト名またはポート番号の変更など、サービス設定を変更したり、必要なくなったサービスを削除できます。
次に説明する各手順は、[サービス]ビューから実行します。
[サービス]ビューに移動するには、NetWitness Platformで、[管理]>[サービス]に移動します。
手順
サービスの編集
- [サービス]ビューで、サービスを選択し、
または
>[編集]をクリックします。
[サービスの編集]ダイアログが表示されます。ここには、選択したサービスに適用されるフィールドのみが表示されます。 - 次のいずれかのフィールドを変更して、サービスの詳細を編集します。
- 名前
- ポート - 各コア サービスには、SSLと非SSLの2つのポートがあります。信頼接続の場合、SSLポートを使用する必要があります。
- SSL - 信頼接続の場合、SSLを使用する必要があります。
- [ユーザ名]および[パスワード] - これらの認証情報を使用して、サービスへの接続をテストします。
- 信頼接続を使用する場合、ユーザ名は削除します。
信頼接続を使用しない場合、ユーザ名およびパスワードを入力します。 - [接続のテスト]をクリックします。
- 信頼接続を使用する場合、ユーザ名は削除します。
- [保存]をクリックします。
サービスの削除
削除されたサービスは、NetWitness Platformで使用できなくなります。
サービスのプロパティ ツリーの表示と編集
サービスの[エクスプローラ]ビューでは、サービスの詳細な設定にアクセスし、制御することができます。このビューは2つの部分で構成されます。[ノード]リストには、フォルダ ツリー構造でサービス機能が表示されます。[監視]パネルには、[ノード]リストで選択したフォルダまたはファイルのプロパティが表示されます。
次に説明する各手順は、[エクスプローラ]ビューから実行します。
[エクスプローラ]ビューに移動するには、次の手順を実行します。
- NetWitness Platformで、[管理]>[サービス]に移動します。
- サービスを選択して、
>[表示]>[エクスプローラ]を選択します。
[エクスプローラ]ビューが表示されます。[ノード]リストは左側に、[監視]パネルは右側にあります。
サービス プロパティの表示または編集
サービス プロパティを表示する場合は、次の手順を実行します。
- [ノード]リストまたは[監視]パネルでファイルを右クリックします。
- [プロパティ]をクリックします。
サービス プロパティの値を編集する場合は、次の手順を実行します。
- [監視]パネルで、編集可能なプロパティ値を選択します。
- 新しい値を入力します。
ノードへのメッセージの送信
- [プロパティ]ダイアログで、メッセージ タイプを選択します。[ノード]リストで選択したファイルによって表示されるオプションは異なります。
選択したメッセージ タイプの説明が[メッセージのヘルプ]フィールドに表示されます。 - (オプション)メッセージの実行に必要な場合は、[パラメータ]フィールドにパラメータを入力します。
- [送信]をクリックします。
値または形式が、[応答出力]フィールドに表示されます。
サービスへの接続の終了
サービスの[システム]ビューでは、サービスで実行中のセッションを表示できます。セッション リストからセッションを強制終了したり、セッション内でアクティブなクエリを強制終了することができます。
サービスのセッションの強制終了
- NetWitness Platformで、[管理]>[サービス]に移動します。
[管理]の[サービス]ビューが表示されます。 - サービスを選択し、
>[表示]>[システム]を選択します。
サービスの[システム]ビューが表示されます。 - 下部の[セッション情報]グリッドで、セッション番号をクリックします。
確認ダイアログが表示されます。 - [はい]をクリックします。
セッションのアクティブなクエリの強制終了
- [セッション情報]グリッドまでスクロールします。
- [アクティブなクエリ]列で、ゼロ以外の数をクリックします。アクティブなクエリの数がゼロの場合は、クリックできません。
[アクティブなクエリ]ダイアログが表示されます。 - クエリを選択し、[クエリのキャンセル]をクリックします。
クエリが停止し、[アクティブなクエリ]の列が更新されます。
サービスの検索
[サービス]ビューに表示されるサービスの一覧から目的のサービスを検索することができます。[サービス]ビューでは、名前、ホスト、サービス タイプによって、サービスの一覧をすばやくフィルタすることができます。[フィルタ]ドロップダウン メニューと[フィルタ]フィールドを別々に使用するか、同時に使用して[サービス]ビューをフィルタできます。
サービスの検索
- NetWitness Platformで、[管理]>[サービス]に移動します。
-
[サービス]パネルのツールバーの[フィルタ]フィールドに、サービスの名前またはホストを入力します。
[フィルタ]フィールドに入力した名前と一致するサービスが[サービス]パネルに一覧表示されます。次の例は、[フィルタ]フィールドにlogと入力した後の検索結果を示しています。
サービスのタイプによるフィルタ
- NetWitness Platformで、[管理]>[サービス]に移動します。
-
[サービス]ビューで、
をクリックし、[サービス]ビューに表示したいサービス タイプを選択します。
選択したサービス タイプが[サービス]ビューに表示されます。次の例は、[Concentrator]と[Decoder]でフィルタした[サービス]ビューを示しています。
ホスト上のサービスの検索
[サービス]ビューで各ホストのサービスを確認できます。また、[ホスト]ビューでも、各ホスト上で実行されるサービスをすばやく見つけることができます。
- NetWitness Platformで、[管理]>[ホスト]に移動します。
- [ホスト]ビューでホストを選択し、[サービス]列の数字(サービス数)が表示されているボックスをクリックします。
選択したホスト上のサービスが一覧表示されます。
次の例は、4という数字が表示されているボックスをクリックしたイメージです。選択したホスト上の4つのサービスが一覧表示されています。
- サービスのリンクをクリックすると、選択したサービスの[サービス]ビューが表示されます。
サービスの起動、停止、再起動
これらの手順は、コア サービスのみに適用されます。
次に説明する各手順は、[サービス]ビューから実行します。NetWitness Platformで、[管理]>[サービス]に移動します。
サービスの開始
サービスの停止
サービスを停止すると、そのサービスのプロセスもすべて停止し、アクティブ ユーザはサービスから切断されます。
サービスを停止するには、次の手順を実行します。
サービスの再起動
構成変更の適用などで、サービスの再起動が必要な場合があります。再起動が必要なパラメータを変更した場合は、NetWitness Platformにメッセージが表示されます。
サービスを再起動するには、次の手順を実行します。
サービスがいったん停止してから自動的に再起動します。
サービスの詳細の表示
サービスの情報を表示および編集するには、サービスの[表示]メニューにあるオプションを使用します。
サービスの各ビューの目的
各ビューには、サービスの機能とその説明が個別に表示されます。
- [システム]ビューには、サービス、アプライアンス サービス、ホスト ユーザ、セッションに関する情報のサマリーが表示されます。
- サービスの[統計]ビューには、サービスの動作とステータスを監視する方法が用意されています。
- サービスの[構成]ビューでは、サービスの詳細を構成できます。
- サービスの[エクスプローラ]ビューでは、ホストとサービスの構成を表示および編集できます。
- [システム ログ]パネルには、検索可能なサービス ログが表示されます。
- サービスの[セキュリティ]ビューでは、NetWitness Platformのコア ユーザ アカウント(集計用)、シック クライアント ユーザ、REST APIユーザを追加できます。
サービス ビューへのアクセス
サービスの各ビューにアクセスするには、次の手順を実行します。
- NetWitness Platformで、[管理]>[サービス]に移動します。
-
[表示]メニューが表示されます。
-
オプションからビューを選択します。
-
以下のツールバーを使用してビューを移動できます。