ホストとサービスの処理手順

Document created by RSA Information Design and Development on Apr 19, 2018
Version 1Show Document
  • View in full screen mode
 

すべてのサービスにホストが必要です。ホストの設定後、このホストにサービスを割り当て、さらに、このホストからNetWitness Suite導入環境の別のホストに割り当てることができます。

                           
タスクの概要説明
ホストの設定

ホストを設定するためのタスクを次の順番で実行します。

ステップ1. ホストを導入します。

ステップ2. ホストにサービスをインストールします

ステップ4. 信頼関係接続のためのSSLポートを確認します。

ステップ5. サービスへのアクセスを管理します。

ホストのメンテナンス - 基本

次のメンテナンス タスクは必須ではなく、アルファベット順になっています。

[ホスト タスク リスト]ダイアログからのホストのメンテナンス

[ホスト タスク リスト]ダイアログを使用して、ホストおよびホストとネットワークの通信に関連するタスクを管理できます。コア ホストに対して、複数のサービスおよびホストの構成オプションが使用できます。 

サービスのメンテナンス

次の処理手順では、サービスのメンテナンス方法について説明します。

ステップ1. ホストの導入

  1. ホストを導入します。
    物理ホスト(RSAアプライアンス)、オンプレミスの仮想ホスト、AWSの仮想ホスト、Azureの仮想ホストを導入できます。ホストを導入する手順については、次のガイドを参照してください。
    • RSA NetWitness® Suite物理ホスト導入ガイド
    • RSA NetWitness® Suite仮想ホスト導入ガイド
    • RSA NetWitness® Suite AWS導入ガイド
    • RSA NetWitness® Suite Azure導入ガイド
  2. 管理]>[ホスト]に移動します。
    新しいホスト]ダイアログが表示され、導入したホストが表示されます。
  3. 有効化するホストを選択します。
    有効化]メニュー オプションがアクティブになります。
  4. Enable
    をクリックします。
  5. 有効化したホストを選択します。
    ホストは[ホスト]ビューに表示されます。この時点では、ホストでサービスをインストールできます。

ステップ2. ホストへのサービスのインストール

各サービスはプラグ インとしてモデル化され、ホストの機能に従って有効化または無効化されます。

前提条件

次のマシン(物理または仮想)がインストールされている必要があります。NetWitnessサーバ、Broker、Concentrator、Decoder、Log Decoder、Archiver、Warehouse、Malware Analysisサーバ、Event Stream Analysisサーバ。

処理手順

サービスをホストに追加するには、次の手順を実行します。

  1. NetWitness Suiteで、[管理]>[ホスト]に移動します。
    ホスト]ビューが表示されます。
  2. サービスをインストールするホストを選択します。
  3. ツールバーの(インストール アイコン)をクリックします。
    サービスのインストール]ダイアログが表示されます。
  4. ホスト タイプ]ドロップダウン リストからサービス(ESAプライマリなど)を選択します。
    インストール サービス]ダイアログで(インストール コマンド ボタン)がアクティブになります。
  5. (インストール コマンド ボタン)をクリックします。


ステップ3. 信頼関係接続のためのSSLポートの確認

各コア サービスは、暗号化されていない非SSLポートと暗号化されているSSLポートの2つのポートを提供し、信頼関係接続をサポートします。信頼関係接続では、暗号化されているSSLポートを使用します。 

前提条件

信頼関係接続を確立するには、各NetWitness Suiteコア サービスを10.4以降にアップグレードする必要があります。信頼関係接続は、NetWitness Suiteコア10.3.x以前とは下位互換性互換性がありません。 

暗号化されているSSLポート

10.4以降を新規インストールするかまたはアップグレードすると、デフォルトで次の2つの設定を使用して信頼関係接続が確立されます。

  1. SSLを有効にします。
  2. コア サービスはSSLポートに接続し、通信が暗号化されます。

それぞれのNetWitness Suiteコア サービスは、次の2つのポートを提供します。

  • 暗号化されていない非SSLポート
    例: Archiver 50008
  • 暗号化されているSSLポート
    例: Archiver 56008

SSLポートは、非SSLポート+6000です。

次の表に、すべてのNetWitness Suiteサービスと対応するポートを示して、それぞれのコア サービスが2つのポートを提供していることを示します。ここに示されているポート番号はすべてTCP用です。

                                                                    
サービス暗号化されていない非SSLポート暗号化されているSSLポート
Archiver5000856008
Broker5000356003
Concentrator5000556005
Context HubN/A50022
Decoder(Packets)5000456004
Event Stream AnalysisN/A50030
Log Collector5000156001
Log Decoder5000256002
Malware AnalysisN/A60007
Warehouse Connector5002056020
Workbench5000756007

ステップ4. サービスへのアクセスの管理

信頼関係接続では、サービスはNWサーバを明示的に信頼し、ユーザの管理と認証を行います。このTRUSTにより、[管理]>[サービス]にあるサービスは、NetWitness Suiteコア サービスで認定資格を定義する必要がなくなります。サーバで認証されたユーザは、パスワードを入力せずにサービスにアクセスできます。

信頼関係接続のテスト

前提条件

  1. ユーザにロールが割り当てられている必要があります。
    詳細については、「システム セキュリティとユーザ管理ガイド」の「ユーザの追加とロールの割り当て」トピックを参照してください。
  2. ユーザは次のタスクを実行する必要があります。
    • NetWitness Suiteにログオンしてサーバで認証される
    • サービスにアクセスできるようにする

処理手順

  1. NetWitness Suiteで、[管理]>[サービス]に移動します。
    [サービス]ビューが表示されます。

  2. テストするサービス(Concentratorなど)を選択し、The Edit iconをクリックします。
    サービスの編集]ダイアログが表示されます。
    Edit Service dialog
  3. 11.0.0.0の新規インストール環境では、正確なポート番号が設定されています。[ポート]フィールドを設定する必要はありません。次の手順に進みます。
    11.0.0.0にアップグレードした環境、または11.0.0.0のサーバと10.3のホストの混在環境の場合、[SSL]の選択を解除してから再び選択して、[ポート]を更新する必要があります。更新を行うと、[ポート]番号はサービスの暗号化されたSSLポートに変わります。
  4. 認証情報なしで接続をテストするには、[ユーザ名]を削除します。
  5. 接続のテスト]をクリックします。
    Edit Service dialog with success message
    接続のテストに成功しました」のメッセージが表示される場合は、信頼関係接続が確立されたことを意味します。
    以前に認証されたユーザは、ユーザ名とパスワードを入力せずにサービスにアクセスできます。 
  6. 保存]をクリックします。

ホストへのバージョンの更新の適用

ホストにバージョンの更新を適用する方法は2つあります。

[ホスト]ビューから更新を適用する(Webアクセス)

[ホスト]ビューには、ローカル更新リポジトリにある使用可能なソフトウェアの更新バージョンが表示されます。[ホスト]ビューから必要な更新を選択して適用します。

この手順では、ホストをNetWitness Suiteの新しいバージョンに更新する方法について説明します。 

注:NetWitnessサーバホスト(NWサーバホストとも呼ぶ)を更新すると、NetWitness SuiteはSMS(System Management Service)構成ファイル(wrapper.confファイルを除く)を/opt/rsa/sms/confディレクトリから/opt/rsa/sms/conf_%timestamp%ディレクトリにバックアップします。これは予防措置です。まれにSMSの構成をバックアップからリストアする必要が生じる場合があります。このような場合は、/opt/rsa/sms/confディレクトリ内のファイルを、更新時に/opt/rsa/sms/conf_%timestamp%ディレクトリにバックアップしたファイルで置き換えます。

  1. NetWitness Suiteにログインします。
  2. ローカル更新リポジトリが構成されていることを確認します。
    手順については、「ローカル更新リポジトリに更新を取り込む」を参照してください。
  3. [管理]>[ホスト]に移動します。 
  1. (条件付き)最新の更新をチェックします。

  2. 1つまたは複数のホストを選択します。
    最初にNWサーバを最新バージョンに更新する必要があります。その他のホストは任意の順序で更新することができますが、混合モードでの実行のガイドラインに従うことを推奨します。
    選択したホスト用のバージョン更新がローカル更新リポジトリにある場合は、[ステータス]列に[更新あり]が表示されます。
  3.  [更新のバージョン]列から適用するバージョンを選択します。

    次の手順に従ってください。
    • 複数のホストを同じバージョンに更新する場合は、対象ホストの左のチェックボックスを選択します。現在サポートされている更新バージョンのみが表示されます。
    • 各更新の主な機能と更新に関する情報を示すダイアログを表示するには、更新バージョン番号の右側にある情報アイコンアイコン()をクリックします。次に、このダイアログの例を示します。
    • 目的のバージョンが見つからない場合は、[更新]>[更新の確認]を選択し、リポジトリで使用可能な更新をチェックします。更新が利用可能な場合、「新しい更新が利用可能です」というメッセージが表示され、[ステータス]列が自動的に更新されて、[更新あり]が表示されます。デフォルトでは、選択したホストでサポートされている更新のみが表示されます。
  4. ツールバーの[更新]>[ホストの更新]をクリックします。

    選択した更新に関する情報を示すダイアログが表示されます。[更新を開始]をクリックします。

    ステータス]列には、次のような更新の各段階の状況が表示されます。
    • ステージ1:更新パッケージのダウンロード - 選択したホスト上のサービスに適用されるリポジトリ アーティファクトをダウンロードします。
    • ステージ2:更新パッケージの構成 - 更新ファイルを正しい形式に構成します。
    • ステージ3:更新中 - ホストを新しいバージョンに更新しています。

    ホストを新しいバージョンに更新するときにエラーが発生した場合は、「バージョン更新のトラブルシューティング」を参照してください。

    ホストの更新が完了すると、NetWitness Suiteがホストの再起動を求めるメッセージを表示します。

  5. ツールバーの[ホストの再起動]をクリックします。
    NetWitness Suiteは、ホストがオンラインに戻るまで、[ステータス]に[再起動中]と表示します。ホストがオンラインに戻ると、[ステータス]には[最新]と表示されます。ホストがオンラインに戻らない場合は、カスタマー サポートにお問い合わせください。

注:DISA STIGが有効化されている場合には、コア サービスが起動するまでに5~10分程度かかります。この遅延は新しい証明書を生成するために生じます。

コマンド ラインから更新を適用する(Webアクセスなし)

RSA NetWitness Suite導入環境ではWebアクセスが不可能な場合は、次の手順に従ってバージョン更新を適用します。

注: 次の手順では、すべての11.0バージョンのコード文字列の例として、11.0.1.0バージョンを使用しています。

  1. 目的のバージョンの.zip更新パッケージ(たとえば、netwitness-11.0.1.0.zip)を、RSA Link(https://community.rsa.com/)の[NetWitness Suite]>[RSA NetWitness Logs and Packets]>[Downloadsto]からローカル ディレクトリにダウンロードします。

    注:コマンドラインで、ホストに使用可能な更新が複数存在するとき、以前の更新はスキップする場合でも、中間更新もダウンロードする必要があります。たとえば、11.0.0.1を実行しているホストに対して、11.0.0.2と11.0.0.3の更新が使用可能だとします。直接11.0.0.3に更新する場合、次の操作を行う必要があります。
    1. 11.0.0.2と11.0.0.3の両方をダウンロードします。
    2. 11.0.0.3を初期化します。
    3. 11.0.0.3の更新をホストに適用します。
    初期化を実行する前に、ステージング ディレクトリに11.0.0.2と11.0.0.3を設定した場合、11.0.0.2を適用する必要はありません。

  2. .zip更新パッケージ ファイルをNWサーバ ホスト上のローカル ディレクトリに転送します。

  3. SSHでNWサーバ ホストに接続します。
  4. 目的のバージョン用にtmp/upgrade/<version>ステージング ディレクトリを作成します(たとえば、tmp/upgrade/11.0.1.0)。
    mkdir –p /tmp/upgrade/11.0.1.0
  5. ディレクトリをステージング ディレクトリに変更します。
    cd /tmp/upgrade/11.0.1.0

  6. ローカル ディレクトリからステージング ディレクトリに、直接ファイルを解凍します。
    unzip <local directory>/netwitness-11.0.1.0.zip

    注:作成したステージング ディレクトリに.zipファイルをコピーして、解凍した場合は、ステージングの場所にコピーした初期の.zipファイルは、展開後に必ず削除してください。

  7. NWサーバ上の更新を初期化します。
  8. NWサーバに更新を適用します。
    upgrade-cli-client --init --version 11.0.1.0 --stage-dir /tmp/upgrade/
  9. NWサーバを再起動します。
  10. NWサーバ以外の各ホストに更新を適用します。
    upgrade-cli-client --upgrade --host-addr <non-NW Server IP address> --version 11.0.1.0
    更新は、ポーリングが完了した時点で完了します。
  11. ホストを再起動します。
    次のコマンドを使用して、ホストに適用されたバージョンを確認できます。
    upgrade-cli-client --list

 

ローカル更新リポジトリに更新を取り込む

次の図は、Webアクセスが可能なNetWitness Suite導入環境で、バージョンの更新を取得する方法を示しています。Webアクセスが不可能なNetWitness Suite導入環境の場合は、「コマンド ラインから更新を適用する」を参照してください。

注:Live更新リポジトリに最初に接続する場合、CentOS 7のシステム パッケージとRSA製品パッケージすべてにアクセスすることになります。この同期では2.5GBを超えるデータがダウンロードされるため、同期に要する時間は、使用するSecurity Analyticsサーバのインターネット接続環境やRSAリポジトリのトラフィックによって異なります。Live更新リポジトリの使用は必須ではありません。

Live更新リポジトリに接続するには、[管理]>[システム]ビューに移動し、オプション パネルで[Live]を選択して、認証情報が構成されていることを確認します([接続]ライトは緑色)。緑色でない場合は、[サインイン]をクリックして、接続します。

注:Live更新リポジトリへの接続にプロキシを使用する必要がある場合、プロキシ ホスト、プロキシ ユーザ名、プロキシ パスワードを構成できます。RSA Link(https://community.rsa.com/)上のヘルプの「NetWitness Suiteシステム構成ガイド」にある「NetWitness Suiteのプロキシの構成」を参照してください。

 

RSAおよびOS更新での外部リポジトリの設定

外部リポジトリ(Repo)を設定するには、次の手順を実行します。

  1. Webサーバ ホストにログインします
  2. NWリポジトリ(netwitness-11.0.0.0.zip)をホストするziprepoディレクトリをWebサーバのweb-root 下に作成します。たとえば、/var/netwitnessがWebルートで、次のコマンド文字列を送信します。
    mkdir /var/netwitness/ziprepo
  3. 11.0.0.0 ディレクトリを/var/netwitness/ziprepoの下に作成します。
    mkdir /var/netwitness/ziprepo/11.0.0.0
  4. OSおよびRSAディレクトリを/var/netwitness/ziprepo/11.0.0.0の下に作成します。
    mkdir /var/netwitness/ziprepo/11.0.0.0/OS
    mkdir /var/netwitness/ziprepo/11.0.0.0/RSA
  5. netwitness-11.0.0.0.zipファイルを/var/netwitness/ziprepo/11.0.0.0ディレクトリに解凍します。
    unzip netwitness-11.0.0.0.zip -d /var/netwitness/ziprepo/11.0.0.0
    netwitness-11.0.0.0.zipを解凍すると、2つのzipファイル(OS-11.0.0.0.zipおよびRSA-11.0.0.0.zip)とその他のファイルがいくつか現れます。
  6. 以下を解凍します:
    1. OS-11.0.0.0.zip /var/netwitness/ziprepo/11.0.0.0/OSディレクトリに解凍します。
      unzip /var/netwitness/ziprepo/11.0.0.0/OS-11.0.0.0.zip -d /var/netwitness/ziprepo/11.0.0.0/OS
      次の例は、ファイルを解凍した後、オペレーティング システム(OS)ファイル構造がどのように表示されるかを示しています。


    2. RSA-11.0.0.0.zip/var/netwitness/ziprepo/11.0.0.0/RSAディレクトリに解凍します。
      unzip /var/netwitness/ziprepo/11.0.0.0/RSA-11.0.0.0.zip -d /var/netwitness/ziprepo/11.0.0.0/RSA
      次の例は、ファイルを解凍した後、RSAバージョンの更新ファイル構造がどのように表示されるかを示しています。

    Repoの外部urlはhttp://<web server IP address>/ziprepoです。

  7. http://<web server IP address>/ziprepoを使用して、NW 11.0セットアップ プログラム(nwsetup-tui)からの[外部更新リポジトリのベースURLを入力]プロンプトに対応します。

ホストの名前およびホスト名の変更

[管理]の[ホスト]ビューを使用すると、NetWitness Suiteユーザ インタフェースからホストの名前およびホスト名を変更できます。ホストの更新の詳細については、「ステップ1. ホストの追加」を参照してください。

ホストの編集

  1. NetWitness Suiteで、[管理]>[ホスト]に移動します。
  2. ホスト]ビューで、編集するホストを選択し、ツールバーでThe Edit iconを選択します。
  3. ホストの編集]ダイアログで、いつでも[名前]を更新できます。
  4. 実際のホスト名が変更された場合は、[ホスト名]フィールドを更新します。
    changePuppetMaster.py Pythonスクリプトを使用して、NetWitness Suite導入環境のNetWitnessサーバ ホストまたはその他のホストのIPアドレスまたはホスト名を変更します。このスクリプトは、NetWitnessサーバ ホストのコマンド ラインから実行します。このスクリプトを使用する方法については、「システム メンテナンス」の「ホストのIPアドレスまたはホスト名の変更」トピックを参照してください。
  5. 保存]をクリックします。

ホスト グループの作成と管理

[ホスト]ビューでは、ホストのグループを作成および管理するためのオプションが提供されます。[グループ]パネル ツールバーには、ホスト グループの作成、編集、削除のオプションがあります。グループの作成後、[ホスト]パネルからグループに各ホストをドラッグできます。

グループは、機能別、地域別、あるいはプロジェクト別など、組織における運用管理方式に従って構成できます。1つのホストが複数のグループに属することができます。ここでは、考えられる分類の例をいくつか示します。

  • すべてのBroker、Decoder、Concentratorの構成と監視を容易にするために、さまざまなホスト タイプをグループ化。
  • 同じデータ フローを構成しているホスト(たとえば、Brokerとそれに関連するすべてのConcentratorとDecoder)をグループ化。
  • ホストが配置されている地域や場所に従ってグループ化。こうすることで、ある地域で大規模な停電が発生した場合に、影響を受ける可能性があるホストを容易に識別可能です。

グループの作成

  1. 管理]>[ホスト]を選択します。
    [ホスト]ビューが表示されます。
  2. グループ]パネルのツールバーで、The Add iconをクリックします。
    新しいグループのフィールドが表示され、カーソルが点滅します。
    This is an example of a new group field.
  3. このフィールドに新しいグループの名前(「新規グループ」など)を入力し、Enterキーを押します。
    グループはツリー内にフォルダとして作成されます。グループの横にある数値は、そのグループ内のホストの数を示します。
    This is an example of a new group.

グループ名の変更

  1. [ホスト]ビューの[グループ]パネルで、グループ名をダブル クリックするか、グループを選択し、The Edit iconをクリックします。
    名前のフィールドが表示され、カーソルが点滅します。
  2. グループの新しい名前を入力し、Enterキーを押します。
    [名前]フィールドが閉じ、新しいグループ名がツリーに表示されます。

グループへのホストの追加

[ホスト]ビューの[ホスト]パネルで、ホストを選択して、ホストを[グループ]パネルのグループ フォルダにドラッグします。
グループにホストが追加されます。

グループ内のホストの表示

グループ内のホストを表示するには、[グループ]パネルのグループをクリックします。
ホスト]パネルには、そのグループ内のホストが一覧表示されます。

These are the hosts in the All group

グループからのホストの削除 

  1. [ホスト]ビューの[グループ]パネルで、削除するホストが含まれているグループを選択します。そのグループ内のホストが[ホスト]パネルに表示されます。
  2. ホスト]パネルで、グループから削除するホストを1つ以上選択し、ツールバーでThe Delete icon>[グループから削除]を選択します。
    選択したホストはグループから削除されますが、NetWitness Suiteユーザ インタフェースからは削除されません。表示されているホスト数は、グループから削除されたホストの数だけ減ります。[すべて]グループには、グループから削除されたホストが含まれます。
    次の例では、[新しいグループ]という名前のホスト グループにはホストが含まれていません。グループ内のホストが削除されたためです。
    This is an example of the Groups panel

グループの削除 

  1. [ホスト]ビューの[グループ]パネルで、削除するグループを選択します。 
  2. The Delete iconをクリックします。
    選択したグループが[グループ]パネルから削除されます。グループに含まれていたホストはNetWitness Suiteユーザ インタフェースからは削除されません。[すべて]グループには、削除されたグループのホストが含まれています。

ホストの削除

ホストの削除は、[ホスト]ビューで実行できるホスト管理タスクです。[ホスト]ビューでは、[ホスト]ビューで使用できるホスト管理機能に関する詳しい情報を確認できます。

ホストの削除(再利用なし)

不要になったホストとそのホストに関連づけられているサービスをNetWitness Suiteユーザ インタフェースから削除するには、次の処理手順を実行します。ホストを削除すると、そのホストと、それに関連づけられたサービスをNetWitness Suiteから確認できなくなります。

  1. [管理]>[ホスト]を選択します。
  2. ホスト]ビューで、削除するアプライアンスを選択し、ツールバーでThe Delete icon>[ホストの削除]を選択します。
    警告ダイアログが表示されます。
    This is the warning dialog.
  3. ホストを削除するには、[はい]をクリックします。
    選択したホストとそれに関連づけられたサービスが削除され、NetWitness Suiteから確認できなくなります。

ホストの削除と再利用

ホストを完全に再構築する場合は、次の処理手順を実行します。このオプションは、ホストのプライマリNetWitnessサーバでのみ使用できます。 

  1. 管理]>[ホスト]を選択します。
  2. ホスト]ビューで、削除して再利用するホストを選択し、ツールバーでThe Delete icon>[ホストの削除と再利用]を選択します。
    警告ダイアログが表示されます。
    This is the warning dialog.
  3. ホストを削除して再利用するには、[はい]をクリックします。

ホストの検索

[ホスト]ビューに表示されるホストの一覧からホストを検索できます。[ホスト]ビューでは、名前やホスト名でホストの一覧をすばやくフィルタ表示できます。多数のNetWitness Suiteホストを管理する場合に便利です。ホスト リストをスクロールするのではなく、ホストのリストをフィルタ表示することによって、管理するホストに迅速にアクセスすることができます。

[サービス]ビューでは、サービスを検索して、そのサービスを実行するホストを迅速に見つけることができます。

ホストの検索

  1. 管理]>[ホスト]を選択します。
  2. ホスト]パネル ツールバーの[フィルタ]フィールドに、ホストの名前またはホスト名を入力します。
    This is the unfilled Filter field.
    [フィルタ]フィールドに入力した名前に一致するホストが、[ホスト]パネルに表示されます。

サービスを実行するホストの検索

  1. [管理]>[サービス]を選択します。
  2. [サービス]ビューで、サービスを選択します。関連づけられたホストが、そのサービスの[ホスト]列に表示されます。
    This is an example of services with hosts.
  3. [ホスト]ビューでホストを管理するには、そのサービスの[ホスト]列のリンクをクリックします。選択したサービスに関連づけられたホストが[ホスト]ビューに表示されます。

ホストのタスク リストからのタスクの実行

  1. [管理]>[サービス]を選択します。
  2. サービス]グリッドで、サービスを選択し、The Actions icon[表示]>[システム]をクリックします。

    注:Admin、Config、Orchestration、Security、Investigate、Respondの各サービスには[システム]ビューはありません。これらのサービスには[エクスプローラ]ビューしかありません。
    サービスの[システム]ビューが表示されます。

    This is an example of the System view for a Broker.

  3. サービスの[システム]ビューのツールバーで、Host Tasksをクリックします。
    This is an example of the Host Task List dialog.
  4. ホスト タスク リスト]で、[タスク]フィールドをクリックし、ホストで実行するタスクのドロップダウン リストを表示します。
    This is an example of the Task drop-down menu in the Host Task List dialog.
  5. タスクを選択します。たとえば、[サービスの停止]をクリックします。
    タスクが[タスク]フィールドに表示され、タスクの説明、引数の例、セキュリティ ロール、パラメータが[情報]セクションに表示されます。
    This is an example of the Host Task List dialog with Stop Service selected.
  6. 必要に応じて引数を入力し、[実行]をクリックします。
    コマンドが実行され、結果が[出力]セクションに表示されます。

ファイル システム監視の追加と削除

サービスで個別のファイル システム上のトラフィックを監視する必要がある場合、サービスを選択してパスを指定し、監視を設定できます。Security Analyticsがファイル システム監視を追加します。ファイル システム監視をサービスに追加すると、ファイル システム監視が削除されるまで、そのサービスで該当パス上のトラフィックの監視が継続されます。

ファイル システム監視の構成

  1. [管理]>[サービス]を選択します。
  2. サービス]グリッドで、サービスを選択し、The Actions icon[表示]>[システム]をクリックします。
    サービスの[システム]ビューが表示されます。
  3. サービスの[システム]ビューのツールバーで、[ホスト タスク]をクリックします。
  4. ホスト タスク リスト]で、[ファイル システム監視の追加]を選択します。
    情報]セクションに、タスクの概要とタスクの引数が表示されます。
  5. 引数]フィールドに、監視するファイル システムのパスを入力します。例:
    path=/var/netwitness/decoder/packetdb
    This is an example of the Host Task List for this procedure.
  6. 実行]をクリックします。
    結果が[出力]領域に表示されます。サービスによってファイル システムの監視が開始され、ファイル システム監視を削除するまで監視が継続されます。

ファイル システム監視の削除

  1. ホスト タスク リスト]ダイアログに移動します。
  2. ホスト タスク リスト]で、[ファイル システム監視の削除]を選択します。
    情報]セクションに、タスクの概要とタスクの引数が表示されます。
  3. 引数]フィールドに、監視を停止するファイル システムのパスを入力します。例:
    path=/var/netwitness/decoder/packetdb
    This is an example of the Host Task List dialog for this procedure.
  4. 実行]をクリックします。
    結果が[出力]領域に表示されます。サービスによってファイル システムの監視が停止されます。

ホストの再起動

特定の状況(たとえば、ソフトウェア アップグレードをインストールした後など)で、ホストの再起動が必要な場合があります。この処理手順では、ホスト タスク リスト メッセージを使用してホストのシャットダウンと再起動を行います。 

また、Security Analyticsでは、他の方法を使用してホストをシャットダウンすることもできます。

  • 接続されているサービスを通じてホストをシャットダウンし、再起動するには、[サービス]ビューのサービスから[ホスト]ビューに移動し(「ホストの検索」を参照)、以下の「[ホスト]ビューからのホストのシャットダウンおよび再起動」の手順に従ってください。
  • 再起動ではなく、物理ホストをシャットダウンする手順については、「ホストのシャットダウン」を参照してください。

[ホスト]ビューからのホストのシャットダウンおよび再起動

  1. [管理]>[ホスト]を選択します。
  2. ホスト]パネルでホストを選択します。
  3. ツールバーからThe Reboot Host iconを選択します。

ホスト タスク リストからのホストのシャットダウンおよび再起動

  1. 管理]>[サービス]を選択します。
  2. サービス]パネルで、サービスを選択し、The Actions icon[表示]>[システム]をクリックします。
    サービスの[システム]ビューが表示されます。
  3. サービスの[システム]ビューのツールバーで、[ホスト タスク]をクリックします。
  4. ホスト タスク リスト]で、[タスク]フィールドの[ホストの再起動]を選択します。
    引数は必要ありません。
    This is an example of the Host Task List dialog
  5. 実行]をクリックします。
    ホストが再起動され、結果が[出力]領域に表示されます。

ホスト内蔵クロックの設定

シャットダウンまたはバッテリ故障の後に、ホスト上でローカル クロックの設定が必要な場合があります。ホスト内蔵クロックの設定タスクにより、クロックの時刻がリセットされます。

ローカル クロックでの時刻の設定

  1. [管理]>[サービス]を選択します。
  2. サービス]グリッドで、サービスを選択し、The Actions icon[表示]>[システム]を選択します。
    サービスの[システム]ビューが表示されます。
  3. サービスの[システム]ビューのツールバーで、[ホスト タスク]をクリックします。
  4. ホスト タスク リストで、[ホスト内蔵クロックの設定]を選択します。タスクのヘルプが[情報]領域に表示されます。
  5. 引数]フィールドに日付と時刻の引数を入力します。たとえば、2017年10月31日11:59:59 PMを指定するには、次のように入力します。
    set=20171031T235959
    This is an example of the Host Task List dialog for the procedure
  6. 実行]をクリックします。
    クロックが指定した時間に設定され、メッセージが[出力]領域に表示されます。

ネットワーク構成の設定

構成済みのコア ホストでアドレスを変更する必要がある場合、ホスト タスク リストで、[ネットワーク構成の設定]メッセージを使用して、ホスト用に新しいネットワーク アドレス、サブネット マスク、ゲートウェイを設定できます。 

注意:変更がただちに有効になり、ホストがSecurity Analyticsから切断されます。切断されたホストは、新しいネットワーク アドレスを使用してSecurity Analyticsに再度追加する必要があります。

ホストのネットワーク アドレスの指定

  1. [管理]>[サービス]を選択します。
  2. サービス]グリッドで、サービスを選択し、The Actions icon[表示]>[システム]をクリックします。
    サービスの[システム]ビューが表示されます。
  3. サービスの[システム]ビューのツールバーで、[ホスト タスク]をクリックします。
  4. ホスト タスク リスト]で、[ネットワーク構成の設定]をクリックします。
    タスクが[タスク]フィールドに表示され、ヘルプが[情報]セクションに表示されます。
  5. 引数]フィールドに引数を入力します。例:
    mode=static address=192.168.0.20 netmask=255.255.255.0 gateway=192.168.0.1
    This is an example of the Host Task List dialog for this procedure
  6. 実行]をクリックします。
    タスクが実行され、結果が[出力]領域に表示されます。ホストがSecurity Analyticsから切断されています。新しいアドレスでホストを再度追加する必要があります。

注:ネットワーク インタフェースのmodeがDHCPである場合、Security Analytics上で新しいアドレスを確認できません。新しいアドレスを確認するには、ホストに直接接続する必要があります。

ネットワーク タイム ソースの設定

ホストでネットワーク クロック ソースを使用する場合には、ホストのネットワーク クロック ソースとなるNTPサーバのホスト名またはアドレスを設定します。ホストでローカル クロック ソースを使用する場合には、このタスクのパラメータでlocalを指定し、ローカル クロック ソースの設定を有効にする必要があります。

ネットワーク クロック ソースの指定

  1. [管理]>[サービス]を選択します。
  2. サービス]グリッドで、サービスを選択し、The Actions menu[表示]>[システム]をクリックします。
    サービスの[システム]ビューが表示されます。
  3. サービスの[システム]ビューのツールバーで、[ホスト タスク]をクリックします。
  4. ホスト タスク リスト]で、[ネットワーク タイム ソースの設定]を選択します。
    This is an example of the Host Task List dialog for this procedure.
  5. 次のいずれかの操作を実行します。
  • このホストのクロック ソースとして使用するNTPサーバのホスト名またはアドレスを入力します。たとえば、次のように入力します。source=tictoc.localdomain
  • クロック ソースとしてホスト クロックを使用する場合は、次のように入力します。
    source=local
  1. 実行]をクリックします。
    クロック ソースが設定され、メッセージが[出力]領域に表示されます。

注:NTPクロック ソースとしてlocalを指定した場合、ホスト クロックがクロック ソースとして使用され、時刻は「ホスト内蔵クロックの設定」を使用して構成されます。

SNMPの設定

ホスト タスク リストの[SNMPの設定]により、ホスト上のSNMPサービスを有効化または無効化します。ホストがSNMP通知を受信するには、SNMPサービスを有効化する必要があります。NetWitness Suite通知でSNMPを使用しない場合、このサービスを有効化する必要はありません。

ホスト上のSNMPサービスのオン/オフ

  1. [管理]>[サービス]を選択します。
  2. サービス]グリッドで、サービスを選択し、The Actions icon[表示]>[システム]をクリックします。
    サービスの[システム]ビューが表示されます。
  3. サービスの[システム]ビューのツールバーで、[ホスト タスク]をクリックします。
  4. ホスト タスク リスト]で、[SNMPの設定]を選択します。
    情報]セクションに、タスクの概要とタスクの引数が表示されます。
  5. 次のいずれかの操作を実行します。
  • サービスを無効化する場合は、[引数]フィールドに「enable=0」と入力します。
    This is an example of the Host Task List dialog for this option.
  • サービスを有効化する場合は、[引数]フィールドに「enable=1」と入力します。
    This is an example of the Host Task List dialog for this option.
  1. 実行]をクリックします。
    結果が[出力]領域に表示されます。

Syslog転送の設定

Syslogの転送を、NetWitness Suiteホストのオペレーティング システムシステム ログをリモートSyslogサーバに転送するように構成できます。Syslog転送を有効化または無効化するには、ホスト タスク リストで[Syslog転送の設定]タスクを使用します。

Syslog転送の設定と開始

  1. [管理]>[サービス]を選択します。
  2. サービス]グリッドで、サービスを選択し、The Actions icon[表示]>[システム]をクリックします。
    サービスの[システム]ビューが表示されます。
  3. サービスの[システム]ビューのツールバーで、[ホスト タスク]をクリックします。
  4. ホスト タスク リスト]で、[Syslog転送の設定]を選択します。
    情報]セクションに、タスクの概要とタスクの引数が表示されます。
    This is an example of the the Host Task List dialog for this procedure.
  5. 引数]フィールドで、次のいずれかを実行します。
    • Syslog転送を有効化するには、次のいずれかの形式を指定します。
      • host=<loghost>.<localdomain>(例:host=syslogserver.local)。
      • host=<loghost>.<localdomain>:<port>(例:host=syslogserver.local:514)。
      • host=<IP>(例:host=10.31.244.244)。
      • host=<IP>:<port>(例:host=10.31.244.244:514)。
        次の表に、Syslog転送を有効化するために使用されるパラメータとその説明を示します。
        パラメータ説明
        loghostリモートSyslogサーバのホスト名。
        localdomainリモートSyslogサーバのドメイン。
        portリモートSyslogサーバのIPアドレス。
        IPリモートSyslogサーバがSyslogメッセージを受け取るポートのポート番号。
    • Syslog転送を無効化するには、host=disableと入力します。
  6. 実行]をクリックします。
    結果が[出力]領域に表示されます。

Syslog転送が有効化または無効化されると、/etc/rsyslog.confファイルが自動的に更新されて、リモートのSyslog転送先へのSyslog転送が有効化または無効化され、Syslogサービスが再起動されます。

Syslog転送を有効化した場合、構成されたサービスからのログは定義済みSyslogサーバに転送され、無効化されるまで転送し続けられます。

注:リモートSyslogサーバにログインして、Syslog転送用に構成されたNetWitness Suiteサービスからの
メッセージが受信されているかどうかを確認できます。

ネットワーク ポート ステータスの表示

ホスト タスク リストの[ネットワーク ポート ステータスの表示]タスクは、ホスト上のすべての構成済みポートのステータスを表示します。

ネットワーク ポート ステータスの表示

  1. [管理]>[サービス]を選択します。
  2. サービス]グリッドで、サービスを選択し、The Actions icon>[表示]>[システム]を選択します。
    選択したサービスの[システム]ビューが表示されます。
  3. サービスの[システム]ビューのツールバーで、[ホスト タスク]をクリックします。
  4. ホスト タスク リストで、[ネットワーク ポート ステータスの表示
    ]をクリックします。タスクが[タスク]フィールドに表示され、タスクに関する情報が[情報]セクションに表示されます。
  5. タスクを実行するには、[実行]をクリックします。
    ホスト上の各ポートのステータスが[出力]領域に表示されます。
    This is an example of the Host Task List dialog for this procedure.

シリアル番号の表示

ホスト タスク リストの[シリアル番号の表示]タスクでは、ホストのシリアル番号が表示されます。

シリアル番号の表示

  1. [管理]>[サービス]を選択します。
  2. サービス]グリッドで、サービスを選択し、The Actions icon>[表示]>[システム]をクリックします。
    サービスの[システム]ビューが表示されます。
  3. サービスの[システム]ビューのツールバーで、[ホスト タスク]をクリックします。
  4. ホスト タスク リストで、[シリアル番号の表示
    ]を選択します。[情報]セクションに、タスクの概要とタスクの引数が表示されます。
  5. このタスクでは、引数は必要ありません。[実行]をクリックします。
    選択したホストのシリアル番号が[出力]領域に表示されます。
    This is an example of the Host Task List dialog for this procedure.

ホストのシャットダウン

特定の状況(たとえばハードウェアのアップグレード、バックアップ電源容量を超過する長時間の停電など)で、物理ホストのシャットダウンが必要になることがあります。ホストをシャットダウンすると、ホストで実行されているすべてのサービスが停止し、物理ホストの電源がオフになります。

シャットダウンした物理ホストは自動的には再起動しません。ホストを起動するには電源スイッチを使用する必要があります。物理ホストが再起動すると、ホストとサービスは自動的に起動するように構成されています。

ホストをシャット ダウンせずに開始および停止するには、ホストを再起動します。

ホストのシャットダウン

  1. [ホスト タスク リスト]ダイアログで、[タスク]フィールドの[ホストのシャットダウン]を選択します。
    This is an example of the Host Task List dialog for this procedure.
  2. タスクを実行するには、[実行]をクリックします。
    ホストがシャットダウンし、ホストがオフになります。 

ホストでのサービスの停止と開始

ホスト タスク リストには、ホスト上のサービスを停止および開始するためのオプションが2つあります。サービスの停止メッセージを使用してサービスを停止した場合、サービスのすべてのプロセスが停止し、サービスに接続するユーザが切断されます。サービスに問題がない限り、自動的に再起動します。これは、サービスの[システム]ビューの[サービスのシャットダウン]オプションと同じです。

停止後にサービスが自動的に再起動しない場合、サービスの開始メッセージを使用して手動でサービスを再起動できます。

ホストでのサービスの停止

  1. 管理]>[サービス]を選択します。
  2. サービス]グリッドで、サービスを選択し、The Actions icon>[表示]>[システム]をクリックします。
    サービスの[システム]ビューが表示されます。
  3. サービスの[システム]ビューのツールバーで、[ホスト タスク]をクリックします。
  4. ホスト タスク リスト]で、[サービスの停止]をクリックします。
    タスクが[タスク]フィールドに表示され、タスクに関する情報が[情報]セクションに表示されます。
  5. 引数]フィールドで、停止するサービス(decoder、concentrator、broker、logdecoder、logcollector)を指定します。たとえば、次のように指定します。
    service=decoder
    This is an example of the Host Task List dialog for this procedure.
  6. タスクを実行するには、[実行]をクリックします。
    サービスが停止し、ステータスが[出力]セクションに表示されます。サービスのすべてのプロセスが停止し、サービスに接続するユーザが切断されます。サービスに問題がない限り、自動的に再起動します。

ホストでのサービスの開始

  1. ホスト タスク リスト]で、[タスク]ドロップダウン リストから[サービスの開始]を選択します。
    タスクが[タスク]フィールドに表示され、タスクに関する情報が[情報]セクションに表示されます。
  2. 引数]フィールドで、開始するサービス(decoder、concentrator、broker、logdecoder、logcollector)を指定します。たとえば、次のように指定します。
    service=decoder
    This is an example of the Host Task List dialog for this procedure.
  3. タスクを実行するには、[実行]をクリックします。
    サービスが開始し、ステータスが[出力]セクションに表示されます。

サービス ユーザの追加、レプリケート、削除

次の場合にユーザをサービスに追加する必要があります。

  • 集計の設定
  • 下記のサービスへのアクセス設定:
    • シック クライアント
    • REST API

注:このトピックは、NetWitnessサーバのユーザ インタフェースを通してサービスにアクセスするユーザには適用されません。それらのユーザは、サービスではなく、システムに追加する必要があります。詳細については、「システム セキュリティとユーザ管理」の「ユーザの設定」トピックを参照してください。

各サービス ユーザについて、次のタスクを実行できます。

  • サービスのユーザ認証とクエリ処理プロパティを構成する
  • ユーザをロールのメンバーにする。このロールにはユーザに付与される権限のセットが設定される
  • 他のサービスにユーザ アカウントをレプリケートする
  • 選択したサービス上のユーザ パスワードを変更する

サービス ユーザ パスワードの変更」では、複数のサービスにわたってサービス ユーザ パスワードを変更する手順について説明します。

レプリケーションと移行の考慮事項

NetWitness Suite 10.5以降のサービスからNetWitness Suite 10.4サービスにユーザをレプリケートすると、クエリ タイムアウトは、最も近いレベルのクエリ レベルに移行されます。たとえば、ユーザのクエリ タイムアウトが15分である場合、ユーザはクエリ レベル3を取得します。ユーザのクエリ タイムアウトが35分である場合、ユーザはクエリ レベル2を取得します。ユーザのクエリ タイムアウトが45分である場合、ユーザはクエリ レベル2を取得します。

NetWitness Suite 10.4サービスからNetWitness Suite 10.5以降のサービスにユーザを移行またはレプリケートすると、クエリ レベルは、次の定義に基づいてクエリ タイムアウトに移行されます。

  • クエリ レベル1 = 60分
  • クエリ レベル2 = 40分
  • クエリ レベル3 = 20分

処理手順

[セキュリティ]ビューへのアクセス

以下の各手順は、サービスの[セキュリティ]ビューから開始します。

サービスの[セキュリティ]ビューに移動するには、次の手順を実行します。

  1. NetWitness Suiteで、[管理]>[サービス]に移動します。
  2. サービスを選択し、The Actions drop-down menu[表示]>[セキュリティ]をクリックします。
    選択したサービスの[セキュリティ]ビューが表示され、[ユーザ]タブが開きます。
    This is an example of a Concentrator Security view.

注:NetWitness Suite 10.4以前のサービス バージョンでは、[ユーザ設定]セクションに[コア クエリ タイムアウト]ではなく[クエリ レベル]フィールドが表示されます。

サービス ユーザの追加

  1. ユーザ]タブで、The Add iconをクリックします。
  2. サービスにアクセスするユーザ名を入力し、Enterキーを押します。
    [ユーザ情報]セクションに[ユーザ名]が表示され、残りのフィールドが編集可能になります。
  3. パスワード]および[パスワードの確認]フィールドで、サービスにログオンするためのパスワードを入力します。
  4. (オプション)追加情報を提供します。
  • NetWitness Suiteにログオンするための名前
  • メール アドレス
  • ユーザの説明
  1. [ユーザ設定]セクションで、次の情報を選択します。 
  • 認証タイプ
    • NetWitness Suiteがユーザを認証する場合は、[Netwitness]を選択します。
    • Active DirectoryまたはPAMがユーザ認証のためにNetWitnessサーバで構成されている場合は、[外部]を選択します。

注:10.4以降では、信頼関係接続が使用されるため、サービスで外部ユーザ アカウントを構成する必要はありません。NetWitnessサーバではすべての外部認証構成が一元管理されます。

  • コア クエリ タイムアウト]は、ユーザがサービスに対してクエリを実行できる最長時間(分単位)です。このフィールドはNetWitness Suite 10.5以降のサービス バージョンに適用され、10.4以前のバージョンでは表示されません。
  1. (オプション)追加のクエリ条件を指定します。
  • クエリ プレフィックス]はクエリをフィルタします。プレフィックスを入力して、ユーザに表示される結果を制限します。
  • セッション閾値]は、スキャンするセッションのカウント数を制御します。閾値を上回るセッション カウントを持つメタ値では、セッションのカウントが閾値に達すると停止されます。
  1. ロール メンバーシップ]セクションで、ユーザに割り当てる各ロールを選択します。ユーザがサービス上のロールのメンバーの場合、ユーザにはロールに割り当てられた権限が付与されます。
  2. 新しいサービス ユーザをアクティブ化するには、[適用]をクリックします。

ユーザはすぐにサービスに追加されます。

他のサービスへのユーザのレプリケート

  1. [ユーザ]タブで、ユーザを選択して、The Action drop-down menu>[レプリケート]をクリックします。
    [他のサービスへのユーザのレプリケート]ダイアログが表示されます。
    This is an example of the Replicate User to Other Services dialog
  2. ユーザのパスワードを入力し、パスワードを確認します。
  3. ユーザのレプリケート先となる各サービスを選択します。
  4. レプリケート]をクリックします。

選択した各サービスにユーザ アカウントが追加されます。

サービス ユーザの削除

  1. ユーザ]タブで、ユーザ名を選択し、The delete iconをクリックします。
    NetWitness Suiteによって、選択したユーザを削除するかどうかを確認するように求められます。
  2. ユーザを削除するには、[はい]をクリックします。

ユーザはすぐにサービスから削除されます。

サービス ユーザのロールの追加

NetWitness Suiteには、サーバおよび各サービスに事前定義されたロールがあります。カスタム ロールを追加することもできます。次の表に、事前構成されたシステム ロールとその権限を示します。

                                   
ロール権限
Administratorsフル システム アクセス
Operators構成へのアクセス権を持つが、メタおよびセッションのコンテンツへのアクセス権は持たない
Analystsメタおよびセッションのコンテンツへのアクセス権を持つが、構成へのアクセス権は持たない
SOC_ManagersAnalystsと同じアクセス権に加えて、インシデントの処理に必要な権限を持つ
Malware_Analystsマルウェア イベントへのアクセス権、およびメタおよびセッションのコンテンツへのアクセス権を持つ
Data_Privacy_Officersメタおよびセッションのコンテンツへのアクセス権に加えて、システム内の機微データの難読化と表示を管理する構成オプションへのアクセス権を持つ(「データ プライバシーの管理」を参照)

以下のユーザやロールが必要な場合、サービス ロールを追加する必要があります。

  • 新しい権限のセットを必要とするサービス ユーザ。
  • NetWitnessサーバ上のカスタム ロール。信頼関係接続では、サーバと、カスタム ロールがアクセスする各サービスの両方に、同一のカスタム ロールが存在する必要があるためです。これらの名前は同一である必要があります。たとえば、サーバ上でJunior Analystsロールを追加する場合、そのロールがアクセスする各サービスにJunior Analystsロールを追加する必要があります。詳細については、「システム セキュリティとユーザ管理」の「ロールの追加と権限の割り当て」を参照してください。

事前構成されたAggregationサービス ロールもあります。詳細については、「Aggregationロール」と「サービスのユーザ ロールと権限」を参照してください。

処理手順

サービス ユーザ ロールを追加して権限を割り当てるには:

  1. NetWitness Suiteで、[管理]>[サービス]に移動します。
  2. サービスを選択し、The Actions drop-down menu[表示]>[セキュリティ]を選択します。
    選択したサービスの[セキュリティ]ビューが表示され、[ユーザ]タブが開きます。
  3. ロール]タブを選択し、The Add iconをクリックします。
    [サービス]の[セキュリティ]ビューが表示され、5つの事前構成されたロールが一覧表示されます。
    This is an example of the Roles tab.
  4. The add iconをクリックし、ロール名を入力して、Enterキーを押します。
    ロール名は、ロールの権限セクションの上部に表示されます。
  5. サービス上でロールに付与する各権限を選択します。 
  6. 適用]をクリックします。

ロールは即座にサービスに追加されます。[ユーザ]タブで、サービス ユーザを追加できます。

サービス ユーザ パスワードの変更

この手順により、管理者がサービス ユーザのパスワードを変更し、新しいパスワードを、そのユーザ アカウントが定義されているすべてのコア サービスにレプリケートできます。選択されたコア サービスにレプリケートされるのは、ユーザ アカウント全体ではなく、パスワードの変更のみです。また、管理者は、Coreサービスで、adminアカウントのパスワードを変更することもできます。

注:[パスワードの変更]オプションは、外部ユーザには適用されません。

サービス ユーザのパスワードを変更するには:

  1. NetWitness Suiteで、[管理]>[サービス]に移動します。
    [管理]の[サービス]ビューが表示されます。
  2. サービスを選択し、The actions drop-down menu[表示]>[セキュリティ]をクリックします。
    選択したサービスの[セキュリティ]ビューが表示されます。
  3. ユーザ]タブで、ユーザを選択して、アクション アイコンから[パスワードの変更]を選択します。
    パスワードの変更]ダイアログが表示されます。
    This is an example of the Change Password dialog.
  4. ユーザの新しいパスワードを入力し、パスワードを確認します。
  5. ユーザのパスワードを変更するサービスを選択します。 
  6. パスワードの変更]をクリックします。
    選択したサービスのパスワード変更のステータスが表示されます。

サービス グループの作成と管理

[管理]の[サービス]ビューでは、サービスのグループを作成および管理するためのオプションが提供されます。[サービス]パネル ツールバーには、サービス グループの作成、編集、削除のオプションがあります。グループの作成後、[サービス]パネルからグループに各サービスをドラッグできます。

グループは、機能別、地域別、あるいはプロジェクト別など、組織における運用管理方式に従って構成できます。1つのサービスが複数のグループに属することができます。ここでは、考えられる分類の例をいくつか示します。

  • すべてのBroker、Decoder、Concentratorの構成と監視を容易にするために、さまざまなサービス タイプをグループ化。
  • 同じデータ フローを構成しているサービス(たとえば、Brokerとそれに関連するすべてのConcentratorとDecoder)をグループ化。
  • サービスが配置されている地域や場所に従ってグループ化。こうすることで、ある地域で大規模な停電が発生した場合に、影響を受ける可能性があるサービスを容易に識別可能です。

グループの作成

  1. NetWitness Suiteで、[管理]>[サービス]に移動します。
    [Administration]の[サービス]ビューが表示されます。
  2. グループ]パネルのツールバーで、The Add iconをクリックします。
    新しいグループのフィールドが表示され、カーソルが点滅します。
    This is the Groups panel with a new, unnamed group
  3. このフィールドに新しいグループの名前(「新規グループ」など)を入力し、Enterキーを押します。
    グループはツリー内にフォルダとして作成されます。グループの横にある数値は、そのグループ内のサービスの数を示します。
    This is the Groups panel with the new group added

グループ名の変更

  1. サービス]ビューの[グループ]パネルで、グループ名をダブル クリックするか、グループを選択し、The edit iconをクリックします。 [名前]フィールドが表示され、カーソルが点滅します。
  2. グループの新しい名前を入力し、Enterキーを押します。
    [名前]フィールドが閉じ、新しいグループ名がツリーに表示されます。

グループへのサービスの追加

[サービス]ビューの[サービス]パネルで、サービスを選択し、[グループ]パネル内のグループ フォルダ(たとえば、[Log Collector])にサービスをドラッグします。
グループにサービスが追加されます。

グループ内のサービスの表示

グループ内のサービスを表示するには、[グループ]パネルでグループをクリックします。

サービス]パネルに、そのグループ内のサービスが表示されます。

グループからのサービスの削除 

  1. [サービス]ビューの[グループ]パネルで、削除するサービスが含まれているグループを選択します。そのグループ内のサービスが[サービス]パネルに表示されます。
  2. サービス]パネルで、グループから削除するサービスを1つ以上選択し、ツールバーでThe Delete icon>[グループから削除]を選択します。
    選択したサービスはグループから削除されますが、NetWitness Suiteユーザ インタフェースからは削除されません。表示されているサービス数は、グループから削除されたサービスの数だけ減ります。[すべて]グループには、グループから削除されたサービスが含まれます。
    次の例では、[新しいグループ]という名前のサービス グループにはサービスが含まれていません。グループ内のサービスが削除されたためです。
    This is an example of a group without services

グループの削除

  1. [サービス]ビューの[グループ]パネルで、削除するグループを選択します。 
  2. The delete iconをクリックします。
    選択したグループが[グループ]パネルから削除されます。グループに含まれていたサービスはNetWitness Suiteユーザ インタフェースからは削除されません。[すべて]グループには、削除されたグループのサービスが含まれています。

サービス ロールの複製またはレプリケート

新しいサービス ロールを追加するための効率的な方法として、同じロールを複製して新しい名前で保存し、すでに割り当てられている権限を変更することができます。たとえば、Analystsロールを複製できます。複製したら、JuniorAnalystsとして保存し、権限を変更します。

既存のロールを別のサービスにすばやく追加する方法として、ロールをレプリケートすることができます。たとえば、BrokerにあるJuniorAnalystsロールをConcentratorおよびLog Decoderにレプリケートできます。

以下の各手順は、サービスの[セキュリティ]ビューから開始します。

サービスの[セキュリティ]ビューに移動するには、次の手順を実行します。

  1. NetWitness Suiteで、[管理]>[サービス]に移動します。
  2. サービスを選択し、The Actions icon[表示]>[セキュリティ]をクリックします。
    選択したサービスの[セキュリティ]ビューが表示され、[ユーザ]タブが開きます。
  3. ロール]タブを選択します。

サービス ロールの複製

  1. [ロール]タブで、複製するロールを選択します。
    This is an example of the Roles tab.
  2. The Duplicate icon toロールの複製)をクリックします。
  3. 新しい名前を入力し、[適用]をクリックします。
  4. 新しいロールを選択します。
  5. ロールの権限]セクションで、権限を選択または選択解除し、新しいロールで実行できる内容を変更します。

複製されたロールは、サービスに即座に追加されます。

ロールのレプリケート

  1. ロール]タブで、レプリケートするロールを選択し、[レプリケート]をクリックします。
  2. 他のサービスへのロールのレプリケート]ダイアログで、ロールの追加先の各サービスを選択します。
  3. レプリケート]をクリックします。

レプリケートされたロールは、選択した各サービスに即座に追加されます。

コア サービス設定ファイルの編集

Decoder、Log Decoder、Broker、Concentrator、Archiver、Workbenchサービスのサービス設定ファイルは、テキスト ファイルとして編集できます。[サービス]の[構成]ビュー>[ファイル]タブでは、次のタスクを実行できます。

  • NetWitness Suiteシステムが現在使用しているサービス構成ファイルを表示および編集する。
  • ファイルの最新のバックアップを取得したり、バックアップからリストアしたりする。
  • ファイルを他のサービスにプッシュする。
  • ファイルの変更を保存する。

編集可能なファイルは、構成するサービスのタイプによって異なります。すべてのコア サービスに共通のファイルは次のとおりです。

  • サービス インデックス ファイル。
  • netwitnessファイル。
  • crash reporterファイル。
  • schedulerファイル。 

さらに、Decoderには、ParserやFeedの定義、Wireless LANアダプタを構成するためのファイルがあります。 

注:これらの構成ファイルのデフォルト値は通常、変更する必要はありませんが、crash reporterやschedulerなどのオプション サービスでは編集が必要です。これらの設定を変更する場合には、ネットワーク環境やデータ収集および解析への影響について十分に理解している管理者のみが実施するようにしてください。

サービス構成パラメータの詳細については、「サービス構成設定」を参照してください。

サービス構成ファイルの編集

ファイルを編集するには、次の手順を実行します。

  1. NetWitness Suiteで、[管理]>[サービス]に移動します。
  2. [サービス]グリッドでサービスを選択します。
  3. The actions drop-down menu>[表示]>[構成]を選択します。
    [サービス]の[構成]ビューが表示され、[全般]タブが開きます。
  4. ファイル]タブをクリックします。
    Concentratorなどの選択したサービスが右のドロップダウン リストに表示されます。
  5. (オプション)サービスではなくホストのファイルを編集するには、ドロップダウン リストで[ホスト]を選択します。
  6. 編集するファイルを選択してください]ドロップダウン リストからファイルを選択します。
    ファイルの内容が編集モードで表示されます。
    Editable Files tab in Config view
  7. ファイルを編集して、[適用]をクリックします。

現在のファイルは上書きされ、バックアップ ファイルが作成されます。変更はサービスの再起動後に有効になります。

サービス構成ファイルのバックアップ バージョンへのロール バック

構成ファイルに変更を加えて保存し、サービスを再起動すると、バックアップ ファイルが使用可能になります。構成ファイルをロール バックしてバックアップしたバージョンに戻す方法 

  1. このトピックの最初にある「サービス設定ファイルの編集」処理手順のステップ1~6を実行して、設定ファイルを選択します。
  2. Get Backupをクリックします。
    バックアップ ファイルがテキスト エディタで開きます。
  3. 構成ファイルをバックアップ バージョンに戻すには、[保存]をクリックします。

変更はサービスの再起動後に有効になります。

他のサービスへの構成ファイルのプッシュ

サービス構成ファイルを編集した後、同じタイプの他のサービスに同じ構成をプッシュできます。 

  1. このトピックの最初にある「サービス設定ファイルの編集」処理手順のステップ1~6を実行して、設定ファイルを選択します。
  2. The Push iconをクリックします。[サービスの選択]ダイアログが表示されます。
  3. 設定ファイルをプッシュする各サービスを選択します。
    各サービスは、[サービス]ビューで選択したサービスと同じタイプでなければなりません。

    注意:構成ファイルをプッシュしない場合は、[キャンセル]をクリックします。

  4. 選択したすべてのサービスに構成ファイルをプッシュする場合は、[OK]をクリックします。

構成ファイルは、選択したすべてのサービスにプッシュされます。 

タスク スケジューラの構成

Schedulerファイル

schedulerファイルは、[サービス]の[構成]ビュー>[ファイル]タブで編集できます。このファイルでは、サービスのビルトイン タスク スケジューラを構成します。タスク スケジューラでは、指定された間隔で自動的にタスク メッセージを送信してタスクを実行できます。

タスク スケジューラの構文

schedulerファイルのタスク行は、次の構文から構成されます。<Value>にはスペースは含まれません。

<ParamName>=<Value>

<Value>にスペースが含まれる場合の構文は次のとおりです。

<ParamName>="<Value>"

各タスク行では、次のガイドラインが適用されます。

  • timeパラメータ、またはインターバル パラメータ(secondsminuteshours)のいずれかが必要です。
  • 特殊文字は\(バックスラッシュ)によってエスケープします。

タスク行パラメータ

スケジューラでは、次のタスク行パラメータを使用できます。

                                                       
構文説明
daysOfWeek:<string, optional, {enum-any:sun|mon|tue|wed|thu|fri|sat|all}>タスクを実行する曜日。デフォルト値はall
deleteOnFinish:<bool, optional>正常完了時にタスクを削除する。
hours:<uint32, optional, {range:1 to 8760}>実行間隔(時間)。
logOutput:<string, optional>指定したモジュール名を使用して出力をログに記録。
minutes:<uint32, optional, {range:1 to 525948}>実行間隔(分)。
msg:<string>ノードに送信するメッセージ。
params:<string, optional>メッセージのパラメータ。
pathname:<string>メッセージを受信するノードのパス。
seconds:<uint32, optional, {range:1 to 31556926}>実行間隔(秒)。
time:<string>HH::MM:SS形式での実行時間(このサーバのローカル時間)。
timesToRun:<uint32, optional>サービス開始後のタスク実行回数、0は無制限(デフォルト)

メッセージ

次に、タスク スケジューラのmsgパラメータで使用するメッセージ文字列を示します。

                                 
メッセージ説明
addInter指定された間隔で実行するタスクを追加します。たとえば、次のメッセージは6時間ごとに/index saveコマンドを実行します。

addInterhours=6pathname=/index msg=save
addMil
 
1日の特定の時間、または特定の曜日の特定の時間に実行するタスクを追加します。たとえば、次のメッセージは各営業日の午前1時に/index saveコマンドを実行します。
addMil time= 01:00:00 pathname=/index
msg=save daysOfWeek=mon,tue,wed,thu,fri
delSched既存のスケジュール設定されたタスクを削除します。このタスクのidパラメータは、printメッセージから取得する必要があります。
printスケジュール設定されたタスクを表示します。
replace単一のメッセージでスケジュール設定されたすべてのタスクを割り当て、既存のタスクをすべて削除します。
save設定を保存するようノードに指示します。

サンプル タスク行

schedulerファイルにおける次のタスク行の例では、Feedのホスト サーバから120分ごとにDecoderにFeedパッケージ ファイル(feeds.zip)をダウンロードします。

minutes=120 pathname=/parsers msg=feed params="type\=wget file\=http://feedshost/nwlive/feeds.zip"

サービス インデックス ファイルの編集

このトピックでは、[サービス]の[構成]ビュー>[ファイル]タブで編集可能なサービス カスタム インデックス ファイルを構成するための重要な情報やガイドラインについて説明します。

インデックス ファイルは、他の設定ファイルとともに、各コア サービスの処理を制御します。NetWitness Suiteの[サービス]の[構成]ビューでインデックス ファイルを開くと、テキスト エディタで該当ファイルが開き、ファイルを編集できます。

注:インデックス ファイルに変更を加える場合には、コア サービス構成に関する詳細で包括的な知識を持つ管理者のみが実施するようにしてください。インデックス ファイルは、アプライアンス サービスの核となる設定ファイルの1つです。変更はすべてのコア サービスで同じように行う必要があります。無効な値が入力されたりファイルが誤って構成されたりすると、システムが開始できない状態になることがあり、結果的にRSAのサポートが必要になる場合もあります。

インデックス ファイルには次のものがあります。 

  • index-broker.xmlおよび index-brokercustom.xml
  • index-concentrator.xmlおよびindex-concentrator‐custom.xml
  • index-decoder.xmlおよびindex-decodercustom.xml
  • index-logdecoder.xmlおよびindex-logdecodercustom.xml
  • index-archiver.xmlおよび index-archiver‐custom.xml
  • index-workbench.xmlおよびindex-workbench‐custom.xml

インデックス ファイルとカスタム インデックス ファイル

ユーザ独自のインデックスの変更はすべて、index-<service>-custom.xmlで行われます。このファイルは、RSAでのみ制御するindex-<service>.xmlのすべての設定をオーバーライドします。 

注:10.1より前のバージョンのNetWitness Suiteでは、インデックス ファイルをカスタマイズするにはインデックス ファイルを編集して保存する必要があり、また、この方法は、サービスの再開時に現在のインデックス ファイルのバックアップを作成するNetWitness Suiteに依存していました。このようにして、最新のファイルが上書きされ、バックアップ ファイルが作成されていました。ツールバー オプションでは、インデックス ファイルをバックアップ バージョンに戻すことができます。
ソフトウェア アップグレード中、index-<service>.xmlは保存されません。このファイルは、RSAコンテンツ チームによる変更によって上書きされます。ただし、同じディレクトリにindex-<service>.xml.rpm_pre_saveという名前のバックアップが作成され、必要に応じて、このindex-<service>.xml.rpm_pre_saveファイルを参照して、お客様固有の index-<service>-custom.xmlファイルを作成することができます。この処理を行う必要があるのは1回だけです。以降のRSAのアップグレード プロセスでは、ユーザ独自のインデックス設定を変更せずに、インデックスに変更を加えられます。 

カスタム インデックス ファイル(index-<service>‐custom.xml)を使用することによって、アップグレード プロセスによる変更の影響を受けずに、独自のlanguageキーの定義や設定のオーバーライドを行うことができます。

  • index-<service>‐custom.xmlで定義されているキーは、index-<service>.xmlで検出された定義を置き換えます。
  • index-<service>custom.xmlに追加され、index‐<service>.xmlに存在しないキーは、新しいキーとしてlanguageに追加されます。

インデックス ファイルを編集する応用例としては、次のものがあります。

  • 新しいカスタム メタ キーを追加して、NetWitness Suiteのユーザ インタフェースに新しいフィールドを追加する。
  • データ プライバシーの管理」のガイドで説明されているように、データのプライバシー対策の一環として保護されたメタ キーを構成する。
  • NetWitness Suiteコア データベース チューニング ガイド」で説明されているように、NetWitness Suiteコア データベース クエリのパフォーマンスを調整する。

注:NetWitness Suite 10.1以降では、データ プライバシーの導入シナリオとシステム ロールを除いては、Brokerカスタム インデックス ファイルを編集する必要はありません。Brokerでは包括的なlanguage定義を作成するために、すべてのサービス集計のキーを自動的にマージします。サービスが存在しない場合、またはすべてのサービスがオフラインである場合、index‐broker.xmlおよびindexbroker-custom.xmlで定義されたフォールバック言語が使用されます。

注意:Decoderから集計するConcentratorまたはArchiverがある場合は、DecoderのIndexKeysまたはIndexValuesにインデックス レベルを設定しないでください。デフォルトのtimeメタ キーを超えるインデックス作成をサポートするには、インデックスのパーティション サイズが小さ過ぎます。

Crash Reporterサービスの有効化

Crash Reporterは、NetWitness Suiteデバイスのオプション サービスです。コア サービスがアクティブ化されると、Crash Reporterは、自動的に情報のパッケージを生成し、サービス停止が発生した場合に、その原因の診断や解決のために使用されます。パッケージは、解析のためにRSAに自動的に送信するよう設定できます。送信された内容は、調査のためにRSAサポート部門に転送されます。

RSAに送信される情報パッケージには、収集されたデータは含まれません。この情報パッケージは、次の情報で構成されます。

  • スタック トレース
  • ログ
  • 構成設定
  • ソフトウェア バージョン
  • CPU情報
  • インストールされたRPM
  • ディスク ジオメトリ

Crash Reporterによるクラッシュの解析は、コア製品に対してアクティブ化できます。 

crashreporter.cfgファイル

[サービス]の[構成]ビュー>[ファイル]タブで編集可能なファイルの1つに、Crash Reporterクライアント サーバ設定ファイルcrashreporter.cfgがあります。

このファイルは、ホスト上でCrash Reportのチェック、更新、作成を行うスクリプトによって使用されます。監視する製品としては、Decoder、Concentrator、ホスト、Brokerを含めることができます。

次の表で、crashreporter.cfgファイルの設定について説明します。

                                                                                                           
設定説明
applicationlist=decoder, concentrator, host監視する製品のリストを定義します。
sitedir=/var/crashreporterレポートのサイト ディレクトリの場所。
webdir=/usr/share/crashreporter/WebWebディレクトリの場所。
devdir=/var/crashreporter/DevDevディレクトリの場所。
datadir=/var/crashreporter/dataデータ ファイルを保存するディレクトリの場所。
perldir=/usr/share/crashreporter/perlperlファイルの場所。
bindir=/usr/share/crashreporter/binバイナリ実行プログラムの場所。
libdir=/usr/share/crashreporter/libバイナリ ライブラリの場所。
cfgdir=/etc/crashreporter構成ファイルの場所。
logdir=/var/log/crashreporterlogファイルの場所。
scriptdir=/usr/share/crashreporter/scriptsスクリプトを含むディレクトリの場所。
workdir=/var/crashreporter/workプロセスの作業ディレクトリの場所。
sqldir=/var/crashreporter/sql作成されたsqlファイルが配置される場所。
reportdir=/var/crashreporter/reports一時レポートが作成される場所。
packagedir=/var/crashreporter/packages作成されたパッケージ ファイルの場所。
gdbconfig=/etc/crashreporter/crashreporter.gdbgdb構成ファイルの場所。
corewaittime=30コア ファイルが書き込み中かどうかを特定するためにコア検出後に待機する秒数を定義します。
cyclewaittime=10検索サイクル間で待機する時間 (分)を定義します。
deletecores=1レポート後にコア ファイルを削除するかどうかを指定します。

0=いいえ
1=はい

注:コア ファイルは、削除されるまで、crashreporterが再開されるたびにレポートされます。
deletereportdir=1レポート後にレポート ディレクトリを削除するかどうかを指定します。コア レポートをまとめて表示する場合に役立ちます。

0=いいえ
1=はい

注:ディレクトリを削除しない場合、ディレクトリはパッケージごとに含まれるようになります。
debug=1crashreporterログ出力でデバッグ メッセージをオンまたはオフにするかどうかを指定します。

0=いいえ
1=はい
posturl=https://www.netwitnesslive.com/crash...ter/submit.php送信先となるWebサーバのURLを定義します。
postpackages=0パッケージをWebサーバに送信するかどうかを指定します。

0=いいえ
1=はい
deletepackages=1Webサーバへの送信後にパッケージを削除するかどうかを指定します。

0=いいえ
1=はい

Crash Reporter Serviceの構成

Crash Reporter Serviceを構成するには、次の手順を実行します。

  1. [管理]>[サービス]を選択します。
  2. サービスを選択し、The Actions icon[表示]>[構成]をクリックします。
  3. ファイル]タブを選択します。
  4. crashreporter.cfgを編集します。
  5. 保存]をクリックします。
  6. [サービス]の[システム]ビューを表示するには、[構成]>[システム]を選択します。
  7. サービスを再起動するには、The shutdown service iconをクリックします。
    サービスをシャットダウンして再起動します。

Crash Reporterサービスの開始と停止

Crash Reporterサービスを開始するには、次の手順を実行します。

  1. [管理]>[サービス]を選択します。
  2. サービスを選択し、The Actions icon[表示]>[システム]をクリックします。
  1. ツールバーでHost Tasksをクリックします。
    [ホスト タスク リスト]が表示されます。
  2. [タスク]ドロップダウン リストで、[サービスの開始]を選択します。
  3. [引数]フィールドに「crashreporter」と入力し、[実行]をクリックします。
    This is an example of the Host Task List dialog for this procedure.

Crash Reporterサービスが起動起動されます。サービスは停止されるまで有効です。

Crash Reporterサービスを停止するには、[タスク]ドロップダウン リストで[サービスの停止]を選択します。

テーブル マップ ファイルの維持

RSAによって提供されるテーブル マッピング ファイルtable-map.xmlは、Log Decoderを構成する非常に重要な要素です。このファイルは、ログ パーサで使用されるキーをMetaDBのキーにマッピングするメタ定義ファイルです。 

table-map.xmlファイルは編集しないでください。 table-mapに変更を加える必要がある場合は、table-map-custom.xmlファイルで変更を行います。最新のtable-map.xmlファイルはLiveから入手でき、RSAでは必要に応じてこのファイルを更新しています。table-map.xmlファイルに変更を加えても、サービスまたはコンテンツのアップグレード中に上書きされる可能性があります。

table-map.xmlでは、Transientに設定されるメタ キーとNoneに設定されるメタ キーがあります。特定のメタ キーを格納し、インデックスを作成するには、キーはNoneに設定されている必要があります。マッピングを変更するには、Log Decoderでtable-map-custom.xmlという名前のファイルのコピーを作成し、メタ キーをNoneに設定する必要がありあます。

メタ キーのインデックスづけについて

  • Log Decoderでtable-map.xmlファイルのキーにNoneマークがついている場合、そのキーはインデックスづけされていることを意味します。
  • Log Decoderでtable-map.xmlファイルのキーにTransientマークがついている場合、そのキーはインデックスづけされていないことを意味します。キーをインデックスづけするには、table-map-custom.xmlファイルにエントリーをコピーして、キーワードflags="Transient"flags="None"に変更します。
  • キーがtable-map.xmlファイルに含まれていない場合は、Log Decoderでtable-map-custom.xmlファイルにエントリーを追加します。

注意:table-map.xmlファイルはアップグレードによって上書きされる可能性があるため、更新しないでください。必要な変更はすべてtable-map-custom.xmlファイルに追加します。

前提条件

Log Decoderにtable-map-custom.xmlファイルがない場合は、table-map.xmlのコピーを作成し、名前をtable-map-custom.xmlに変更します。

処理手順

テーブル マッピング ファイルを検証して更新するには、次の手順を実行します。

  1. 管理]>[サービス]に移動します。
  2. [サービス]グリッドで、Log Decoderを選択し、The Actions icon[表示]>[構成]をクリックします。
  3. ファイル]タブをクリックして、table-map.xmlファイルを選択します。
    This is an example of the Files tab with the relevant line highlighted.
  4. flagsキーワードがTransientまたはNoneに正しく設定されていることを確認します。
  5. エントリーを変更する必要がある場合は、table-map.xml ファイルを変更しないでください。代わりに、エントリーをコピーし、table-map-custom.xmlファイルを選択して、そのtable-map-custom.xmlファイルでエントリーを検索し、flagsキーワードをTransientからNoneに変更します。
    たとえば、table-map.xmlファイルのhardware.idメタ キーの次のエントリーはインデックスづけされていません。また、flagsキーワードはTransient: として表示されています
    <mapping envisionName="hardware_id" nwName="hardware.id" flags="Transient"/>
    hardware.idメタ キーにインデックスを付けるには、table-map-custom.xmlでflagsキーワードをTransientからNoneに変更します。
    <mapping envisionName="hardware_id" nwName="hardware.id" flags="None"/>
  6. エントリーがtable-map.xmlファイルに含まれていない場合は、table-map-custom.xmlファイルにエントリーを追加します。
  7. table-map-custom.xmlファイルに変更を加えた後で、[適用]をクリックします。

注意:テーブル マッピング ファイルを変更する前に、インデックスをTransientからNoneに変更することによる影響を慎重に検討してください。使用可能なストレージ容量とLog Decoderのパフォーマンスに影響が及ぶ可能性があります。そのため、デフォルトでインデックスづけされるのは特定のメタ キーに限られています。table-map-custom.xmlファイルはさまざまな用途で使用します。

サービスの編集または削除

ホスト名またはポート番号の変更など、サービス設定を変更したり、必要なくなったサービスを削除したりできます。

[サービス]ビューで次の各手順を実行します。

[サービス]ビューに移動するには、NetWitness Suiteで、[管理]>[サービス]に移動します。

This is the Services view.

処理手順

サービスの編集

  1. [サービス]ビューで、サービスを選択し、The Edit iconまたはThe Actions drop-down menu>[編集]をクリックします。
    サービスの編集]ダイアログが表示されます。ここには、選択したサービスに適用されるフィールドのみが表示されます。
    This is the Edit Service dialog
  2. 次のいずれかのフィールドを変更して、サービスの詳細を編集します。
    • 名前
    • ポート - 各コア サービスには、SSLと非SSLの2つのポートがあります。信頼関係接続の場合、SSLポートを使用する必要があります。
    • SSL - 信頼関係接続の場合、SSLを使用する必要があります。 
    • ユーザ名]および[パスワード] - これらの認定資格を使用して、サービスへの接続をテストします。
      1. 信頼関係接続を使用する場合、ユーザ名は削除します。
        信頼関係接続を使用しない場合、ユーザ名およびパスワードを入力します。
      2. 接続のテスト]をクリックします。
  3. (オプション)サービスにライセンスが必要な場合、[サービスのエンタイトルメント]を選択します。このオプションは、ライセンスを必要とするサービスについてのみ表示されます。
  4. 保存]をクリックします。

変更はすぐに反映されます。

サービスの削除

  1. [サービス]ビューで、1つ以上のサービスを選択し、The Delete iconまたはThe actions drop-down menu>[削除]をクリックします。
  2. 確認のダイアログが表示されます。サービスを削除するには、[はい]をクリックします。

削除されたサービスは、NetWitness Suiteモジュールで使用できなくなります。 

サービスのプロパティ ツリーの表示と編集

[サービス]の[エクスプローラ]ビューでは、サービスの詳細な設定にアクセスし、制御することができます。このビューは2つの部分で構成されます。[ノード]リストには、フォルダのツリー構造でサービス機能が表示されます。[監視]パネルには、[ノード]リストで選択したフォルダまたはファイルのプロパティが表示されます。

[エクスプローラ]ビューで次の各手順を実行します。

[エクスプローラ]ビューに移動する方法

  1. NetWitness Suiteで、[管理]>[サービス]に移動します。
  2. サービスを選択して、The Actions drop-down menu[表示]>[エクスプローラ]を選択します。
    [エクスプローラ]ビューが表示されます。[ノード]リストは左側に、[監視]パネルは右側にあります。
    This is an example of the Explore view

処理手順

サービス プロパティの表示または編集

サービス プロパティを表示する方法

  1. [ノード]リストまたは[監視]パネルでファイルを右クリックします。
  2. プロパティをクリックします。

サービス プロパティの値を編集する方法

  1. [監視]パネルで、編集可能なプロパティ値を選択します。
  2. 新しい値を入力します。 

ノードへのメッセージの送信

  1. [プロパティ]ダイアログで、メッセージ タイプを選択します。[ノード]リストで選択したファイルによってオプションは異なります。
    選択したメッセージ タイプの説明が[メッセージのヘルプ]フィールドに表示されます。
  2. (オプション)メッセージの実行に必要な場合は、パラメータを入力します。 
  3. 送信]をクリックします。
    値または形式は、[応答出力]フィールドに表示されます。

サービスへの接続の切断

サービスの[システム]ビューで、サービスで実行しているセッションを表示できます。このセッション リストからセッションを終了したり、セッションで実行中のクエリを終了したりすることができます。

サービスのセッションの終了

  1. NetWitness Suiteで、[管理]>[サービス]に移動します。
    [管理]の[サービス]ビューが表示されます。
  2. サービスを選択し、The Actions icon[表示]>[システム]を選択します。
    [サービス]の[システム]ビューが表示されます。
    This is an example of the Service System view
  3. 下部の[セッション情報]グリッドで、session-numberをクリックします。
    次の確認ダイアログが表示されます。
    This is the Kill Session confirmation dialog
  4. はい]をクリックします。

セッションが終了し、グリッドから削除されます。

セッションのアクティブなクエリの終了

  1. セッション]グリッドまでスクロールします。
  2. アクティブなクエリ]列で、セッションのアクティブなクエリ数としてゼロ以外の数をクリックします。アクティブなクエリ数がゼロである場合は、クリックできません。
    [アクティブなクエリ]ダイアログが表示されます。
    This is an example of the Active Queries dialog
  3. クエリを選択し、[クエリのキャンセル]をクリックします。
    クエリが停止し、[アクティブなクエリ]の列が更新されます。

サービスの検索

[サービス]ビューに表示されるサービスの一覧から目的のサービスを検索することができます。[サービス]ビューでは、名前、ホスト、サービス タイプによって、サービスの一覧をすばやくフィルタ表示することができます。[フィルタ]ドロップダウン メニューと[フィルタ]フィールドを別々に使用するか、同時に使用して[サービス]ビューをフィルタ表示します。 

[サービス]ビューで各ホストのサービスを確認できます。また、[ホスト]ビューでも、各ホスト上で実行されるサービスをすばやく見つけることができます。

サービスの検索

  1. NetWitness Suiteで、[管理]>[サービス]に移動します。
  2. サービス]パネル ツールバーの[フィルタ]フィールドに、サービスの名前またはホストを入力します。
    This is the Filter field.

    [フィルタ]フィールドに入力した名前と一致するサービスが[サービス]パネルに一覧表示されます。次の例は、[フィルタ]フィールドにlogと入力した後の検索結果を示しています。
    This is the Services panel with two results matching a search for log

サービスのタイプによるフィルタリング

  1. NetWitness Suiteで、[管理]>[サービス]に移動します。
  2. [サービス]ビューで、The Filter iconをクリックし、[サービス]ビューに表示したいサービス タイプを選択します。


    選択したサービス タイプが[サービス]ビューに表示されます。次の例は、[Concentrator]と[Decoder]でフィルタした[サービス]ビューを示しています。

    This is the Services panel filtered for Concentrator and Decoder.

ホスト上のサービスの検索

[サービス]ビューで各ホストのサービスを確認できます。また、[ホスト]ビューでも、各ホスト上で実行されるサービスをすばやく見つけることができます。 

  1. NetWitness Suiteで、[管理]>[ホスト]に移動します。
  2. [ホスト]ビューでホストを選択し、[サービス]列の数字(サービス数)が表示されているボックスをクリックします。
    選択したホスト上のサービスが一覧表示されます。

次の例は、3という数字が表示されているボックスをクリックしたイメージです。選択したホスト上の3つのサービスが一覧表示されています。
The is an example of the dialog that appears when you click the service count

  1. サービスのリンクをクリックすると、対応するサービスが[サービス]ビューに表示されます。

サービスの起動、停止、再起動

これらの手順は、コア サービスのみに適用されます。

[サービス]ビューで次の各手順を実行します。NetWitness Suiteで、[管理]>[サービス]に移動します。

サービスの開始

サービスを選択してThe Actions drop-down menu>[開始]をクリックします。

サービスの停止

サービスを停止すると、そのサービスのプロセスもすべて停止し、アクティブ ユーザはサービスから切断されます。

サービスを停止するには、次の手順を実行します。

  1. サービスを選択し、The Actions drop-down menu>[停止]をクリックします。
  2. 確認のダイアログが表示されます。サービスを停止するには、[はい]をクリックします。

サービスの再起動

構成変更の適用などで、サービスの再起動が必要な場合があります。再起動が必要となるパラメータを変更する場合、NetWitness Suiteにメッセージが表示されます。

サービスを再起動するには、次の手順を実行します。

  1. サービスを選択し、The Actions drop-down menu>[再起動]をクリックします。
  2. 確認のダイアログが表示されます。サービスを停止するには、[はい]をクリックします。

サービスがいったん停止してから自動的に再起動します。

サービスの詳細の表示

サービスの情報を表示および編集するには、サービスの[表示]メニューにあるオプションを使用します。
This is the service View menu

各サービス ビューの目的

各ビューには、サービスの機能とその説明が個別に表示されます。

  • [システム]ビューには、サービス、アプライアンス サービス、ホスト ユーザ、ライセンス、セッションに関する情報のサマリが表示されます。
  • [サービス]の[統計]ビューには、サービスの動作とステータスを監視する方法が用意されています。 
  • [サービス]の[構成]ビューでは、サービスの詳細を構成できます。 
  • [サービス]の[エクスプローラ]ビューでは、ホストとサービスの構成を表示および編集できます。
  • [システム ログ]パネルには、検索可能なサービス ログが表示されます。 
  • [サービス]の「セキュリティ」ビューでは、Security Analyticsのコア ユーザ アカウント(集計用)、シック クライアント ユーザ、REST APIユーザを追加できます。

サービス ビューへのアクセス

サービスの各ビューにアクセスするには、次の手順を実行します。

  1. NetWitness Suiteで、[管理]>[サービス]に移動します。 
  2. サービスを選択し、The Actions menu>[表示]をクリックします。

    [表示]メニューが表示されます。

    This is the View menu

  3. オプションからビューを選択します。

    以下はBrokerの[システム]ビューです。

    This is an example of the System view

  4. 以下のツールバーを使用してナビゲートします。

    This is the service toolbar

    1. 別のサービスを選択するには、[サービスの変更]をクリックします。
      サービスの管理]ダイアログが表示されます。
    2. 目的のサービスの左側にあるチェックボックスをオンにします。
    3. [表示]ドロップダウン メニューで選択したサービスに使用するビューを選択します。

      This is the View menu

      新しいビュー(たとえば、統計)が、選択したサービスに対して表示されます。

You are here
Table of Contents > ホストとサービスの処理手順

Attachments

    Outcomes