レポート:[アラートの作成/変更]パネル

Document created by RSA Information Design and Development on Apr 20, 2018
Version 1Show Document
  • View in full screen mode

[アラートの作成/変更]パネルは、アラート リスト ビュー内のパネルです。このパネルでは、要件ごとにアラートを作成または変更できます。

ワークフロー

[アラート]ビューのワークフロー

実行したいことは何ですか?

                                           
ロール実行したいことドキュメント

管理者/アナリスト

Reporting Engineの構成

Reporting Engineの構成

管理者/アナリスト

アラートの構成*

アラートの構成

管理者/アナリスト

アラートのスケジュール設定アラートのスケジュール設定

管理者/アナリスト

アラートの表示

アラートの表示

管理者/アナリストアラートの調査アラートの調査
管理者/アナリストアラートおよびアラート テンプレートの管理アラートおよびアラート テンプレートの管理

*これらのタスクはここで実行できます。

関連トピック

アラートの概要

アラートの構成

クイック ビュー

次の図は、重要な機能にラベル付けされた例です。

アラートの作成/変更

                             
1監視]>[レポート]をクリックし、[管理]タブを表示します。
2アラート]をクリックし、[アラート]ビューを開きます。
3

をクリックして[アラートの作成/変更]パネルに移動します。

4アラートを有効化し、ルールを参照して、アラートするデータ ソースを選択します。
5アラートの簡単な説明を入力します。
6アラート条件が一致したときにアラートするアラート通知方法(RECORD、SMTP、SNMP、Syslog)を定義します。

[アラートの作成/変更]パネルは次のセクションで構成されます。

  • アラート定義
  • アラートの説明
  • アラートの通知

アラート定義

次の表で、[アラートの定義]のフィールドについて説明します。

                         
フィールド説明
有効化
  • 有効化]:アラートをアクティブ化します。アラートは1分単位でチェックされ(デフォルト)、条件に適合すれば、出力アクションを実行します。
  • 無効化]:アラートを非アクティブ化します。アラートは実行されず、出力アクションは実行されません。
ルール参照]をクリックすると、[ルール ライブラリ]パネルが表示されます。ここで、このアラートのベースとなるルールを選択できます。
アラートに対して固有のWHERE句があるルールを選択する必要があります。
データ ソースアラートのデータ ソースを指定します。
Decoderへのプッシュアラート ルールの「WHERE」句を、選択したNWDBデータ ソースに接続されているDecoderにプッシュします。このオプションでは、アラート条件がDecoderでチェックされることになり、アラートのクエリがNWDBの場合に比べて高速に実行されるため、REアラートを作成する際に使用が推奨されるオプションです。
このオプションをオフにすると、選択したNWDBデータ ソースに対して、アラート ルールのWHERE句のクエリが実行されます。ルールのWHERE句の複雑さやメタの構成によっては、アラートのクエリをNWDBで処理すると、より多くの時間がかかる場合があります。

注:NetWitnessが自動的にデータをDecoderに送信することはありません。

アラートの説明

次の表で、[アラートの説明]のフィールドについて説明します。

                     
フィールド説明
説明アラートの説明を示します。
作成アラートを作成します。(このオプションは、アラートを作成するときに表示されます)。
保存アラートに加えた変更を保存します。(このオプションは、アラートを変更するときに表示されます)。

アラートの通知

[アラートの通知]では、アラートの生成時にNetWitnessが実行する通知アクションを定義し、定義したいずれかの出力アクションを使用してアラートを記録したり送信したりできます。出力アクションは、SMTP(Simple Mail Transfer Protocol)、SNMP(Simple Network Management Protocol)、Syslogメッセージです。

[通知]には、アラートを作成するために使用するデフォルトの[レコード]タブがあります。[レコード]タブの横のアイコンを使用すると、このアラートに対して指定する出力の通知タイプをドロップダウン リスト (SMTP、SNMP、Syslog)から選択できます。

選択した通知タイプに応じ、アラートに対して適切なメタを付け加える変数を含む事前定義済みのテキストが、[通知]セクションに表示されます。Reporting Engineでは、これらの変数は実際の値に置き換えられます。次の表に、変数とその説明のリストを示します。

                                 
変数説明
${meta.<metakey>} メタ キー値。

注:<metakey>によって値がフェッチされなかった場合、空の文字列("")が出力されます。
デフォルトでは、Reporting Engineは、1つのメタ キーに同じ値が何度も出現する場合、すべて繰り返し表示します。アラートの出力に同じメタ値を繰り返し表示したくない場合は、Reporting Engineサービスの[構成]>[エクスプローラ]で、[Configuration]>[AlertConfiguration]に移動し、「removeRepeatedMetaValue」オプションを有効化します。
たとえば、HTTPセッションのactionの値が、get、get、put、put、post、getのように表示されていたとします。このオプションが有効な場合、値はget、put、postとして表示されます。

${meta.time} / ${meta.time:<time_format>} ${meta.time}:セッション時間が、「yyyy-MMM-dd HH:mm:ss」の形式で出力されます。
${meta.time:<time_format>}- セッション時間が、ユーザ定義されたカスタム時間形式で出力されます。たとえば、 ${meta.time:dd-MM-yyyy HH:mm:ss}です。
サポートされている時間形式の詳細については、 http://docs.oracle.com/javase/7/docs/api/java/text/SimpleDateFormat.htmlを参照してください。

注:ユーザが指定した時間形式が無効な場合、デフォルトの時間形式が使用されます。デフォルトの時間形式は「yyyy-MMM-dd HH:mm:ss」です。

${name}      Reporting Engineで定義されているアラートの名前。
${count}     特定のタイム フレームでアラートが検出される回数。(デフォルトは1分間です)
${nw.host}     Reporting Engineで構成されているNetWitnessホスト名。
${device.id}      データ ソースのNetWitnessデバイスID。

[アラートの通知]には4つのタブがあります。

[レコード]タブ

[レコード]タブを使用すると、アラートを記録する頻度と、アラートが生成されたときに生成するメッセージを定義できます。

アラートの[レコード]ペイン

次の表に、[レコード]タブのフィールドとその説明のリストを示します。

                     
フィールド説明
実行アラートを記録する頻度。
  • 1回]:アラートの生成回数に関係なく、アラートの間隔に基づいて1回のみアラートを記録します。NetWitnessでは時間内に実際にアラートが生成された回数をログ ファイルに記録するため、アナリストは特定のアラートが実際に生成された回数を知ることができます。
  • イベントごと]:アラートが生成されるたびに記録します。アラートが1日に何度も生成された場合は、それらのアラートはノイズとして扱われることが多く、ネットワーク構成の変更やDDOS攻撃など、継続的な監視が必要なアラートを除いて無視できます。

注:SNMPおよびSyslog出力アクションに対しては、[実行]ドロップダウン リストから[イベントごと]を選択します。 

本文メッセージの本文。
本文テンプレート(オプション)テンプレートが定義されている場合は、アラート メッセージのテンプレートを選択します。 

[SMTP]タブ

[SMTP]タブでは、このアラートのSMTP(メール)通知を定義できます。

アラートの[SMTP]ペイン

次の表に、[SMTP]タブのフィールドとその説明のリストを示します。

                             
フィールド説明
実行アラートに対してメール メッセージを送信する頻度。
  • 1回]:一定時間内に生成されたアラートは、生成回数に関係なく、その時間内につき1回のみメールを送信します。
  • イベントごと]:ルール条件を満たすイベントが発生するたびにアラートを通知するメールを送信します。
宛先このアラートを送信するメール アドレス。 
件名メール メッセージの件名。
本文メッセージの本文。
本文テンプレート(オプション)テンプレートが定義されている場合は、SMTPメッセージのテンプレートを選択し、そのまま使用することも、変更して使用することもできます。

[SNMP]タブ

[SNMP]タブでは、アラートのSNMP通知を定義できます。

アラートの[SNMP]ペイン
次の表に、[SNMP]タブの各フィールドとその説明のリストを示します。

                     
フィールド説明
実行アラートに対してSNMP出力を送信する頻度。
  • 1回]:一定時間内に生成されたアラートは、生成回数に関係なく、その時間内につき1回のみ、SNMPメッセージを送信します。
  • イベントごと]:ルール条件を満たすイベントが発生するたびにアラートを通知するSNMPメッセージを送信します。
本文メッセージの本文。
本文テンプレート(オプション)テンプレートが定義されている場合は、SNMPメッセージのテンプレートを選択し、そのまま使用するか、変更して使用します。

[Syslog]タブ

[Syslog]タブでは、このアラートのSyslogメッセージ通知を定義できます。

アラートの[Syslog]ペイン

をクリックし、Syslog構成をアラートに追加します。[新しいSyslog構成]ダイアログ ボックスが表示されます。

新しいSyslog構成
次の表で、[新しいSyslog構成]ダイアログについて説明します。

                                 
フィールド説明
Syslog構成[デバイス]の[構成]ビューの[Syslog構成]パネルにあるSyslog構成。
実行アラートに対してSyslog出力を送信する回数。
  • 1回]:一定時間内に生成されたアラートは、生成回数に関係なく、その時間内につき1回のみ、Syslog出力を送信します。
  • イベントごと]:ルール条件を満たすイベントが発生するたびにアラートを通知するSyslog出力を送信します。
ファシリティメッセージのログ記録を行っているプログラムのタイプ。プログラム タイプの例として、Syslog、Daemon、Mail、Kernelがあります。
重大度生成されるアラートの重大度レベル。
  • 緊急
  • アラート
  • 重大
  • エラー
  • 警告
  • 通知
  • 情報
  • デバッグ
本文メッセージの本文。
本文テンプレート(オプション)テンプレートが定義されている場合は、Syslogメッセージのテンプレートを選択し、そのまま使用するか、変更して使用します。
You are here
Table of Contents > アラート設定に関する参考情報 > [アラートの作成/変更]パネル

Attachments

    Outcomes