次の表は、NetWitness Suiteの事前定義ポリシーと、各ポリシーに定義されたルールのリストを示しています。
これらのポリシーに対して次のタスクを実行できます。
- サービス/グループの割り当ての変更。
- ポリシーの無効化/有効化。
これらのポリシーに対して次のタスクを実行することはできません。
- ポリシーの削除。
- ポリシー名の編集。
注:事前定義ポリシーに関する追加情報については、
[ヘルスモニタ]の[ポリシー]下のユーザ インタフェースを参照してください。
| ポリシー名 | ルール名 | アラームのトリガー |
|---|---|---|
| Communication Failure Between Master Security Analytics Host and a Remote Host | 10分以上にわたって、ホストがダウンしている、ネットワークがダウンしている、メッセージ ブローカーがダウンしている、セキュリティ証明書が無効または見つからない。 | |
| NetWitnessサーバ Monitoring Policy | Critical Usage on Rabbitmq Message Broker Filesystem | var/lib/rabbitmqで、マウントされたファイル システム全体のディスク使用率が75%を超える。 |
| Filesystem is Full | マウントされたファイル システム全体のディスク使用率が100%に達する。 | |
| High Filesystem Usage | マウントされたファイル システムのディスク使用率が95%を超える。 | |
| High System Swap Utilization | スワップの使用率が5%を超える状態が5分以上継続する。 | |
| High Usage on Rabbitmq Message Broker Filesystem | マウントされたファイル システム全体のディスク使用率が60%を超える。 | |
| Host Unreachable | ホストがダウンしている。 | |
| LogCollector Event Processor Exchange Bindings Status | 10分以上にわたってログ収集メッセージ ブローカー キューに問題がある。 | |
| LogCollector Event Processor Queue with No Bindings | 10分以上にわたってログ収集メッセージ ブローカー キューに問題がある。 | |
| LogCollector Event Processor Queue with No Consumers | 10分以上にわたってログ収集メッセージ ブローカー キューに問題がある。 | |
| Power Supply Failure | ホストの電源がない。 | |
| RAID Logical Drive Degraded | RAID論理ドライブのステータスが「Degraded」または「Partially Degraded」である。 | |
| RAID Logical Drive Failed | RAID論理ドライブのステータスが「Offline」、「Failed」、「Unknown」である。 | |
| RAID Logical Drive Rebuilding | RAID論理ドライブのステータスが「Rebuild」である。 | |
| RAID Physical Drive Failed | RAID物理ドライブのステータスが、「Online」、「Online Spun Up」、「Hotspare」のいずれでもない。 | |
| RAID Physical Drive Failure Predicted | RAID物理ドライブの予測障害数が1より大きい。 | |
| RAID Physical Drive Rebuilding | RAID物理ドライブのステータスが「Rebuild」である。 | |
| RAID Physical Drive Unconfigured | RAID物理ドライブのステータスが「Unconfigured(good)」である。 | |
| SD Card Failure | SDカードのステータスがOKでない。 | |
| NetWitness Suite Archiver Monitoring Policy | Archiver Aggregation Stopped | Archiverのステータスが「開始」でない。 |
| Archiver Database(s) Not Open | データベースのステータスが「オープン」でない。 | |
| Archiver Not Consuming From Service | デバイスのステータスが「consuming」でない。 | |
| Archiver Service in Bad State | サービスのステータスが「開始」または「Ready」でない。 | |
| Archiver Service Stopped | サービスのステータスが「開始」でない。 | |
| NetWitness Suite Broker Monitoring Policy | Broker >5 Pending Queries | 保留クエリが5個以上ある状態が10分以上継続している。 |
| Broker Aggregation Stopped | Brokerのステータスが「開始」でない。 | |
| Broker Not Consuming From Service | デバイスのステータスが「consuming」でない。 | |
| Broker Service in Bad State | サービスのステータスが「開始」または「Ready」でない。 | |
| Broker Service Stopped | サービスのステータスが「開始」でない。 | |
| Broker Session Rate Zero | セッション レート(現在)が0の状態が2分以上継続している。 | |
| NetWitness Suite Concentrator Monitoring Policy | Concentrator >5 Pending Queries | 保留クエリが5個以上ある状態が10分以上継続している。 |
| Concentrator Aggregation Behind >100K Sessions | 未処理デバイス セッションが100,000以上の状態が1分以上継続している。 | |
| Concentrator Aggregation Behind >1M Sessions | 未処理デバイス セッションが1,000,000以上の状態が1分以上継続している。 | |
| Concentrator Aggregation Behind >50M Sessions | 未処理デバイス セッションが50,000,000以上の状態が1分以上継続している。 | |
| Concentrator Aggregation Stopped | Brokerのステータスが「開始」でない。 | |
| Concentrator Database(s) Not Open | データベースのステータスが「オープン」でない。 | |
| Concentrator Meta Rate Zero | Concentratorメタ レート(現在)が0の状態が2分以上継続している。 | |
| Concentrator Not Consuming From Service | デバイスのステータスが「consuming」でない。 | |
| Concentrator Service in Bad State | サービスのステータスが「開始」または「Ready」でない。 | |
| Concentrator Service Stopped | サービスのステータスが「開始」でない。 | |
| NetWitness Suite Decoder Monitoring Policy | Decoder Capture Not Started | 収集ステータスが「開始」でない。 |
| Decoder Capture Rate Zero | 収集レート(現在)が0の状態が2分以上継続している。 | |
| Decoder Database Not Open | データベースのステータスが「オープン」でない。 | |
| Decoder Dropping >1% of Packets | 収集のパケット ドロップ レート(現在)が1%以上である。 | |
| Decoder Dropping >10% of Packets | 収集のパケット ドロップ レート(現在)が10%以上である。 | |
| Decoder Dropping >5% of Packets | 収集のパケット ドロップ レート(現在)が5%以上である。 | |
| Decoder Packet Capture Pool Depleted | パケット収集キューが0の状態が2分以上継続している。 | |
| Decoder Service in Bad State | サービスのステータスが「開始」または「Ready」でない。 | |
| Decoder Service Stopped | サービスのステータスが「開始」でない。 | |
| NetWitness Suite Event Steam Analysis Monitoring Policy | ESA Overall Memory Utilization > 85% | ESAの総メモリ使用率が85%以上である。 |
| ESA Overall Memory Utilization > 95% | ESAの総メモリ使用率が95%以上である。 | |
| ESA Service Stopped | サービスのステータスが「開始」でない。 | |
| ESA Trial Rules Disabled | 評価版ルールのステータスが有効でない。 | |
| NetWitness Suite IPDB Extractor Monitoring Policy | IPDB Extractor Service in Bad State | サービスのステータスが「開始」または「Ready」でない。 |
| IPDB Extractor Service Stopped | サービスのステータスが「開始」でない。 | |
| NetWitness Suite Incident Management Monitoring Policy | Incident Management Service Stopped | サービスのステータスが「開始」でない。 |
| NetWitness Suite Log Collector Monitoring Policy | Log Collector Service Stopped | サービスのステータスが「開始」でない。 |
| Log Decoder Event Queue > 50% Full | 現在のキューのイベント数がキューの50%以上を使用している。 | |
| Log Decoder Event Queue > 80% Full | 現在のキューのイベント数がキューの80%以上を使用している。 | |
| Log Collector Service in Bad State | サービスのステータスが「開始」または「Ready」でない。 | |
| NetWitness Suite Log Decoder Monitoring Policy | Decoder Dropping>10% of Packets | 収集のパケット ドロップ レート(現在)が10%以上である。 |
| Log Capture Not Started | 収集ステータスが「開始」でない。 | |
| Log Decoder Capture Rate Zero | 収集レート(現在)が0の状態が2分以上継続している。 | |
| Log Decoder Database Not Open | データベースのステータスが「オープン」でない。 | |
| Log Decoder Dropping >1% of Logs | 収集のパケット ドロップ レート(現在)が1%以上である。 | |
| Log Decoder Dropping >5% of Logs | 収集のパケット ドロップ レート(現在)が5%以上である。 | |
| Log Decoder Packet Capture Pool Depleted | パケット収集キューが0の状態が2分以上継続している。 | |
| Log Decoder Service Stopped | サービスのステータスが「開始」でない。 | |
| Log Decoder Service in Bad State | サービスのステータスが「開始」または「Ready」でない。 | |
| NetWitness Suite Malware Analysis Monitoring Policy | Malware Analysis Service Stopped | サービスのステータスが「開始」でない。 |
| NetWitness Suite Reporting Engine Monitoring Policy | Reporting Engine Alerts Critical Utilization | アラート使用率が10%以上の状態が5分以上継続している。 |
| Reporting Engine Available Disk <10% | 使用可能ディスク領域が10%未満である。 | |
| Reporting Engine Available Disk <5% | 使用可能ディスク領域が5%未満である。 | |
| Reporting Engine Charts Critical Utilization | チャート使用率が10%以上の状態が5分以上継続している。 | |
| Reporting Engine Rules Critical Utilization | ルール使用率が10%以上の状態が5分以上継続している。 | |
| Reporting Engine Schedule Task Pool Critical Utilization | スケジュール タスク プール使用率が10%以上の状態が15分以上継続している。 | |
| Reporting Engine Service Stopped | サービスのステータスが「開始」でない。 | |
| Reporting Engine Shared Task Critical Utilization | 共有タスクプール使用率が10%以上の状態が5分以上継続している。 | |
| NetWitness Suite Warehouse Connector Monitoring Policy | Warehouse Connector Service in Bad State | サービスのステータスが「開始」または「Ready」でない。 |
| Warehouse Connector Service Stopped | サービスのステータスが「開始」でない。 | |
| Warehouse Connector Stream Behind | 未処理のストリームが2,000,000以上である。 | |
| Warehouse Connector Stream Disk Utilization > 75% | ストリーム ディスク使用率(宛先ロード待ち)が75%以上である。 | |
| Warehouse Connector Stream in Bad State | ストリームのステータスが、「consuming」または「Online」でない状態が10分以上継続している。 | |
| Warehouse Connector Stream Permanently Rejected Files > 300 | 永続的に拒否したファイルの数が300以上である。 | |
| Warehouse Connector Stream Permanently Rejected Folder > 75% Full | 拒否フォルダの使用率が75%以上である。 | |
| NetWitness Suite Workbench Monitoring Policy | Workbench Service in Bad State | サービスのステータスが「開始」または「Ready」でない。 |
| Workbench Service Stopped | サービスのステータスが「開始」でない。 |
Previous Topic:ヘルスモニタのメール テンプレート
Next Topic:[システム統計ブラウザ]ビュー
You are here
Table of Contents > 参考情報 > ヘルス モニタ > [ポリシー]ビュー > NetWitness Suiteの標準提供のポリシー