[グローバル監査ログの構成]パネル

Document created by RSA Information Design and Development on Apr 20, 2018
Version 1Show Document
  • View in full screen mode
 

グローバル監査ログの構成]パネル([管理]>[システム]>[グローバル監査])では、グローバル監査ログを外部Syslogシステムに転送する方法を定義することにより、グローバル監査ログを構成します。グローバル監査ログは、グローバル監査ログ構成の中で選択した通知テンプレートを使用し、選択した通知サーバに転送されます。 

グローバル監査ログは、監査者への一元的かつリアルタイムな監査ログの提供により、NetWitness Suite内でのユーザ アクティビティに対する統合的な可視化を実現します。

ワークフロー

このワークフローは、グローバル監査ログの構成と確認に必要な手順を示しています。

グローバル監査ログの構成のワークフロー

グローバル監査ログの構成を定義する前に、[グローバル通知]>[サーバ]タブでSyslog通知サーバを作成する必要があります。Syslog通知サーバは、グローバル監査ログを受信する送信先です。次に、[グローバル通知]>[テンプレート]タブで監査ログ テンプレートを選択または定義する必要があります。監査ログ テンプレートは、Log Decoderまたはサード パーティのSyslogサーバに送信される監査ログの形式およびメッセージ フィールドを定義します。Log Decoderを使用する場合は、LiveからCommon Event Format Parserを取得し、Log Decoderに導入します。

注:グローバル監査ログの場合は[グローバル通知]>[出力]タブを構成する必要はありません。 

ここでグローバル監査ログの構成を追加すると、構成で選択した通知サーバに監査ログが転送されます。監査ログを確認して、監査ログ テンプレートで定義されているように、監査イベントが表示されることを確認します。

実行したいことは何ですか?

                                 
ロール 実行したいこと手順
管理者Syslog通知サーバの作成。

グローバル監査ログの送信先の構成

管理者監査ログ テンプレートの選択。

グローバル監査ログ テンプレートの定義

管理者グローバル監査ログの構成

グローバル監査ログの構成の定義

完全な手順については、「グローバル監査ログの構成」の「グローバル監査ログ - 手順の概要」を参照してください。

管理者グローバル監査ログの検証

グローバル監査ログの検証

関連トピック

簡単な説明

次の例は、グローバル監査ログの構成を示しています。この構成は、NetWitness Suiteがグローバル監査ログを外部のSyslogシステムに転送する方法を定義します。

[システム]タブの下の[グローバル監査ログの構成]パネル

                         
1[グローバル監査ログの構成]パネルが表示されます。
2グローバル監査ログの構成を識別する名前。
3グローバル監査ログの構成に割り当てられた通知サーバ。
4グローバル監査ログの構成に割り当てられた通知テンプレート。
5グローバル監査ログを構成するために必要なサーバとテンプレートを設定する、[グローバル通知]パネルが表示されます。

ツールバー

次の表は、ツールバーのアクションについて説明しています

                       
アイコン 説明

グローバル監査ログの構成を追加します。

グローバル監査ログの構成を削除します。グローバル監査の構成を削除しても、関連づけられた通知サーバとテンプレートは削除されません。グローバル監査ログの構成を削除した後、その構成で指定したグローバル監査ログの転送は中止されます。

グローバル監査ログの構成を編集します。別の通知サーバを選択することにより、グローバル監査ログの送信先を変更することができます。別の通知テンプレートを選択して、グローバル監査ログのエントリーの形式およびメッセージ フィールドを変更することもできます。グローバル監査ログへの記録および送信の対象となるNetWitness Suiteユーザ アクションを変更することはできません。

構成

次の表に、表示される構成の説明を示します。

                           
タイトル 説明

個々の構成を選択するには、構成の横のチェックボックスを選択します。
すべての構成を選択するには、表のタイトル バー内のチェックボックスを選択します。
名前グローバル監査ログ構成の名前を表示します。たとえば、HQ SAやMy Syslog Serverなど、グローバル監査ログの宛先に基づいて構成に名前を付けることができます。
通知サーバグローバル監査ログの送信先として選択されたSyslog通知サーバを表示します。グローバル監査ログをLog Decoderに転送する場合、Syslogタイプの通知サーバを作成します。グローバル監査ログ用のSyslog通知サーバを作成する手順は、「グローバル監査ログの送信先の構成」で説明しています。
通知テンプレート構成で使用する監査ログ通知テンプレートを表示します。テンプレートは、監査ログ エントリーのフォーマットとメッセージ フィールドを定義します。
Log Decoderの場合は、Default Audit CEF Templateを使用します。特定の要件がある場合は、CEF(Common Event Format)テンプレートのフィールドを追加および削除することもできます。「グローバル監査ログ テンプレートの定義」で手順を説明し、「サポートされるCEFメタ キー」で使用できるCEFメタ キーについて説明します。
サード パーティのSyslogサーバの場合は、デフォルトの監査ログ テンプレートを使用するか、独自の形式(CEFまたはCEF以外)を定義することができます。「グローバル監査ログ テンプレートの定義」ではその手順について説明し、「グローバル監査ログでサポートされるメタ キー変数」では使用可能なメタ キー変数について説明しています。
Previous Topic:参考情報
You are here
Table of Contents > 参考情報 > [グローバル監査ログの構成]パネル

Attachments

    Outcomes