このトピックでは、さまざまなタイプの通知サーバの構成に使用する[通知サーバの定義]ダイアログについて説明します。通知サーバは、[管理]>[システム]>[グローバル通知]>[サーバ]タブで構成します。
通知は、ESA(Event Stream Analysis)、対応、グローバル監査ログなど、NetWitness Suiteのさまざまなコンポーネントで使用されます。通知設定を通知サーバといいます。[通知]パネルの[管理]の[システム]ビューの[サーバ]タブで、複数の通知サーバ構成を作成できます。
NetWitness Suiteでは、次のタイプの通知サーバを構成できます。
グローバル監査ログでは、Syslog通知サーバのみを使用できます。
通知サーバに関連する処理手順は、「通知サーバの構成」で説明されています。
[通知サーバの定義]ダイアログにアクセスするには、次の処理手順を実行します。
- [管理]>[システム]に移動します。
- 左のナビゲーション パネルで、[グローバル通知]を選択します。
- [通知サーバ]パネルで、
をクリックしてから、通知サーバのタイプ(メール、SNMP、Syslog、スクリプト)を選択します。
選択内容に応じた[通知サーバの定義]ダイアログが表示されます。
通知サーバを構成するダイアログは4種類あります。
メール
メール通知サーバでは、メール サーバ設定を構成して、アラート通知を送信することができます。
次の図に、[メール通知サーバの定義]ダイアログを示します。
![[メール通知サーバの定義]ダイアログ ボックス](https://community.rsa.com/servlet/JiveServlet/downloadImage/102-89701-1-422095/01._Define_Email_Notification_512x413.png)
次の表に、メール通知サーバに対して定義する必要のあるパラメータを示します。
有効化 | 選択すると、通知サーバが有効化されます。 |
名前 | 通知サーバを識別またはラベル付けするための名前。 |
説明 | 通知サーバに関する簡単な説明。 |
サーバIPまたはホスト名 | メール サーバのホスト名。ESM/SMSおよびESAの通知の場合は、ホスト名またはFQDNを指定する必要があります。 |
サーバ ポート | サーバのポート。 |
SSL | 通信にSSLを使用する場合、このオプションを選択します。 |
差出人メール アドレス | メール通知の差出人のメール アカウント。 |
ユーザ名 | メールを正しくリレーするためにSMTPサーバでユーザ認証が必要な場合、メール アカウントへのログイン ユーザ名を指定します。 |
パスワード | メールをリレーするためにSMTPサーバでユーザ認証が必要な場合、メール アカウントにログインするためのユーザ パスワードを指定します。 |
1分あたり最大アラート数 | 1分あたりの最大アラート数を表します。 |
最大アラート待ちキュー サイズ | キューに登録できる最大アラート数で、これを超えるとアラートは破棄されます。 |
SNMP
SNMP通知サーバでは、SNMPトラップ ホスト設定を通知サーバとして構成して、アラート通知を送信することができます。
次の図に、[SNMP通知サーバの定義]ダイアログを示します。
次の表に、SNMP通知サーバに対して定義する必要のあるパラメータを示します。
有効化 | 選択すると、通知サーバが有効化されます。 |
名前 | 通知サーバを識別またはラベル付けするための名前。 |
説明 | 通知サーバに関する簡単な説明。 |
サーバIPまたはホスト名 | SNMPトラップ ホストのIPアドレスまたはホスト名。 |
サーバ ポート | SNMPトラップ ホストがリスンするポート番号。 |
SNMPバージョン | SNMPのバージョン。次のオプションから選択できます。 - V1
- V2C
- V3
SNMPバージョン3(v3)を選択した場合、次のパラメータが表示されます。 パラメータ | 説明 | 通知のタイプ | 通知タイプに基づいて、アラートが生成されるたびにSNMPメッセージが 送信されます。 次の通知 タイプがサポートされています。 - 通知:通知は確認されるトラップです。送信者は、受信者からの確認を取得します。
- トラップ:トラップは確認されない通知です。
| 信頼できるエンジンID(このオプションは、トラップの通知タイプにのみ使用可能です) | エージェントを識別するために使用される識別子。信頼できるエンジンIDとユーザ名が、エージェントを一意に識別するために使用されます。 | セキュリティ レベル | セキュリティ レベルを定義します。次の オプションから選択できます。 -
認証なし/暗号化なし - 認証あり/暗号化なし
- 認証あり/暗号化あり
| 認証プロトコル(このオプションは、認証あり/暗号化なしおよび認証あり/暗号化ありのセキュリティ レベルにのみ使用可能です) | サーバへのアクセスを提供する前にユーザの妥当性検査を行うために使用される認証プロトコルプロトコル。オプションは次のとおりです。 | 認証キー(このオプションは、認証あり/暗号化なしおよび認証あり/暗号化ありのセキュリティ レベルにのみ使用可能です) | 認証に使用するパスワード。 | プライバシー プロトコル(このオプションは、認証あり/暗号化ありのセキュリティ レベルにのみ使用可能です) | プライバシー プロトコルは、データ通信の暗号化技術です。 | プライバシー キー(このオプションは、認証あり/暗号化ありのセキュリティ レベルにのみ使用可能です) | 暗号化に使用するパスワード。 | |
コミュニティ | SNMPトラップ ホストでの認証に使用するコミュニティ文字列。デフォルト値はpublicです。 |
再試行回数 | トラップの再試行回数。 |
1分あたり最大アラート数 | 1分あたりの最大アラート数。 |
最大アラート待ちキュー サイズ | キューに登録できる最大アラート数で、これを超えるとアラートは破棄されます。 |
Syslog
Syslog通知サーバでは、通知サーバとしてSyslog設定を構成して、通知を送信できます。Syslog通知サーバを有効にした場合、RFC 5424 Syslogプロトコルを使用して監査を行うことができます。Syslogは、さまざまなオープン ソースや独自システムからのログを統合し、レポート作成や解析を行う場合に効果的な形式です。
グローバル監査ログ構成に関連づけられた通知サーバは無効化できません。
次の図に、[Syslog通知サーバの定義]ダイアログを示します。
次の表に、Syslog通知サーバに対して定義する必要のあるパラメータを示します。
有効化 | 選択すると、通知サーバが有効化されます。 |
名前 | 通知サーバを識別またはラベル付けするための名前。 |
説明 | 通知サーバに関する簡単な説明。 |
サーバIPまたはホスト名 | ターゲットSyslogプロセスが動作しているホストの名前。 |
サーバ ポート | ターゲットSyslogプロセスがリスンしているポート番号。 |
プロトコル | Syslogファイルの転送に使用するプロトコル。 |
ファシリティ | すべての送信メッセージに使用するSyslogファシリティ。
メッセージをログに記録するプログラムの種類を指定するために使用されます。使用可能な値はKERN、USER、MAIL、DAEMONです。これにより、送信元のファシリティごとにメッセージの処理を分けるように構成ファイルで指定できます。 |
1分あたり最大アラート数 | 1分あたりの最大アラート数。 このフィールドはグローバル監査ログには使用されません。 |
最大アラート待ちキュー サイズ | キューに登録できる最大アラート数で、これを超えるとアラートは破棄されます。 このフィールドはグローバル監査ログには使用されません。 |
スクリプト
スクリプト通知サーバでは、通知サーバとしてスクリプトを構成できます。
次の図に、[スクリプト通知サーバの定義]ダイアログを示します。
次の表に、スクリプト通知サーバに対して定義する必要のあるさまざまなパラメータを示します。
有効化 | 選択すると、通知サーバが有効化されます。 |
名前 | 通知サーバを識別またはラベル付けするための名前。 |
説明 | 通知サーバに関する簡単な説明。 |
実行ユーザ | スクリプトが実行されるユーザIDの名前。デフォルトのユーザIDはnotificationです。 ESAの場合、ESAホストにアカウントを作成しない限り、他の値を設定することはできません。 |
最大実行時間(秒) | スクリプトの実行が許可される最大時間(秒)。 |