このトピックでは、管理者がグローバル監査ログの構成を定義する方法について説明します。この手順は、導入環境で監査ログの一元化を行う場合にのみ実行する必要があります。このグローバル監査ログの構成では、グローバル監査ログを、外部SyslogシステムまたはLog Decoderに転送する方法を定義します。監査ログは、選択した通知サーバに転送されます。
前提条件
この手順を開始する前に、グローバル監査ログに使用する次のアイテムを構成します。
- Syslog通知サーバ
- 監査ログ テンプレート
通知サーバおよびテンプレートは[グローバル通知]パネルで構成します。[グローバル通知]パネルにアクセスするには、[グローバル監査ログの構成]パネルで[設定の表示]リンクをクリックします。グローバル監査ログでは、Syslogタイプの通知サーバのみを使用できます。Log Decoderの場合は、Syslogタイプの通知サーバとCEF(CommonEventFormat)監査ログ テンプレートを使用する必要があります。デフォルトの監査ログ テンプレートを使用するか、独自のテンプレートを定義することができます。複数の監査ログ テンプレートとSyslog通知サーバを作成して、グローバル監査ログの構成に使用できます。
グローバル監査ログをLog Decoderに転送する場合は、Common Event Format Parserを、Liveからご使用のLoc Decoderに導入します。
グローバル監査ログの構成の追加
- [管理]>[システム]に移動します。
- [オプション]パネルで、[グローバル監査]を選択します。
[グローバル監査ログの構成]パネルが表示されます。 -
をクリックして、グローバル監査ログの構成を追加します。
[新しい構成の追加]ダイアログが表示されます。 - [構成名]フィールドに、グローバル監査ログの一意の名前を入力します。特定のタイプのグローバル監査ログの構成を作成できます。たとえば、「HQ NW」という名前で、NetWitness Suiteの本社用の構成を作成できます。
- [通知]セクションで、この構成に使用するSyslog通知サーバを選択します。通知サーバは、グローバル監査ログの送信先です。
- この構成に使用する監査ログ通知テンプレートを使用します。監査ログ テンプレートによって、送信形式と送信される監査ログログ メッセージ フィールドが定義されます。
- [保存]をクリックします。
「[新しい構成の追加]ダイアログ」には、ログに記録されるユーザ アクションの追加情報と例が記載されています。NetWitness Suiteの各種コンポーネントによってログに記録される一連のメッセージ タイプについては、「[グローバル監査ログの構成]パネル」を参照してください。
グローバル監査ログの構成の編集
このトピックでは、グローバル監査ログの構成を編集する方法について説明します。グローバル監査ログの構成を編集して、別の通知サーバーを選択することにより、グローバル監査ログの送信先を変更することができます。また別の通知テンプレートを選択して、グローバル監査ログのエントリーの形式やメッセージのフィールドを変更することもできます。通知サーバやテンプレートの変更は、[グローバル通知]パネルで行います。[グローバル通知]パネルにアクセスするには、[グローバル監査ログの構成]パネルで[設定を表示]リンクをクリックします。
グローバル監査ログへの記録および送信の対象となるNetWitness Suiteユーザ アクションを変更することはできません。
- [管理]>[システム]に移動します。
- [オプション]パネルで、[グローバル監査]を選択します。
- [グローバル監査ログの構成]パネルで、編集する構成を選択して
をクリックします。
- [新しい構成の追加]ダイアログで、グローバル監査ログの構成を必要に応じて変更します。構成名を変更して、別の通知サーバまたはテンプレートを選択することができます。
- [保存]をクリックします。
グローバル監査ログの構成の削除
グローバル監査ログの構成を削除しても、関連づけられている通知サーバやテンプレートは削除されません。グローバル監査ログの構成を削除した後、その構成で指定したグローバル監査ログの転送は中止されます。