NWの構成:監査ログのローカル保存場所

Document created by RSA Information Design and Development on Apr 20, 2018
Version 1Show Document
  • View in full screen mode
 

NetWitness Suiteには、グローバル監査ログ機能が用意されています。グローバル監査ログを構成すると、すべてのNetWitness Suiteコンポーネントの監査ログを一元化されたシステムに集め、そこで必要な形式に変換して、サード パーティのSyslogサーバまたはLog Decoderに転送することができます。 

個々のサービスからの監査ログは、ローカル監査ログの場所で確認できます。次の表に、NetWitness Suiteユーザ インタフェースとさまざまなNetWitness Suiteサービスの監査ログのローカル ディレクトリ パスを示します。

                         
サービス/モジュール監査ログの場所
NetWitness Suiteユーザ インタフェース
(NetWitness Suite Webサーバ)
NetWitness Suiteユーザ インタフェースは、監査ログを次の場所に送信します。
  • /var/lib/netwitness/uax/logs/audit/audit.log(ヒューマンリーダブル形式)
  • ローカル ホストで実行されているSyslog(JSON形式)
NetWitness Suiteユーザ インタ-フェイスインタ-フェイスは、SyslogのAUTHファシリティを使用して、監査ログをSyslogに書き込みます。最初の場所(/var/lib/netwitness/uax/logs/audit/audit.log)でのみ監査ログを確認できます。
Coreサービス(Decoder、Log Decoder、Concentrator、Broker、Archiver)、Log Collector、
Warehouse Connector、Workbench、IPDB Extractor
Coreサービスおよび同様のサービスは、監査ログを、ローカル ホストで実行されているSyslogに送信します。
パス:/var/log/secure(JSON形式)

Core サービスは、SyslogのAUTHPRIVファシリティを使用して、監査ログをSyslogに書き込みます。
Reporting Engine、
Malware Analysis、
対応、
ESA(Event Stream Analysis)
これらのサービスは、監査ログを次の場所に送信します。
  • <application home directory>/logs/audit/audit.log(ヒューマンリーダブル形式)
  • ローカル ホストで実行されているSyslog(JSON形式)
これらのサービスの監査ログの場所を次に示します。
Reporting Engine:
/home/rsasoc/rsa/soc/reporting-engine/logs/audit/audit.log

Respond Server

/var/log/netwitness/respond-server/respond-server-audit.log

 

Malware Analysis:
/var/lib/netwitness/rsamalware/spectrum/logs/audit/audit.log


Event Stream Analysis:
/opt/rsa/esa/logs/audit/audit.log

これらのサービスでは、SyslogのAUTHファシリティを使用して、監査ログをSyslogに書き込みます。最初の場所(<application home directory>/logs/audit/audit.log)でのみ監査ログを確認できます。
ヘルスモニタ、ESM(イベント ソース管理)、ASG(Appliance and Service Grouping)これらのサービスは、監査ログを次の場所に送信します。
  • /opt/rsa/sms/logs/audit/audit.log(ヒューマンリーダブル形式)
  • ローカル ホストで実行されているSyslog(JSON形式)
これらのサービスでは、SyslogのAUTHファシリティを使用して、監査ログをSyslogに書き込みます。最初の場所(/opt/rsa/sms/logs/audit/audit.log)でのみ監査ログを確認できます。
You are here
Table of Contents > 追加の手順 > 監査ログのローカル保存場所

Attachments

    Outcomes