イベント ソースを監視するためには、必要なときに通知を生成して送信するようにイベント ソースを構成する必要があります。関連する参照トピックについては、「[ヘルスモニタの設定]ビュー:イベント ソース」を参照してください。
NetWitness Suiteでイベント モニタリングを構成し、有効化するには、次の手順に従います。
- [管理]>[ヘルスモニタ]に移動します。
-
[設定]>[イベント ソース]を選択します。
[イベント ソース]タブが表示されます。
![[ヘルスモニタの設定イベント ソース]タブ](https://community.rsa.com/servlet/JiveServlet/downloadImage/102-90175-2-424163/770-370/11.0esm_monitoring_settings_plain.png)
- [イベント ソース モニタリング]で、
をクリックします。
[監視対象ソースの追加/編集]ダイアログが表示されます。 - NetWitness Suiteへのログ配信の停止を検出するために、監視対象となるイベント ソースについて、[ソース タイプ]、[ソース ホスト]、[閾値]を定義します。 閾値を指定しなかった場合、NetWitness Suiteは、閾値が設定されるまでイベント ソースを監視し続けます。
![[ヘルスモニタの設定イベント ソース]タブ](https://community.rsa.com/servlet/JiveServlet/showImage/102-90175-2-424163/11.0esm_monitoring_settings_plain.png)
注:[ソース タイプ]と[ソース ホスト]については、[管理]>[サービス]>[Log Collectorサービス]>[表示]>[構成]ビューの[イベント ソース]タブで、イベント ソースに対して構成した値を指定する必要があります。監視するイベント ソースを追加または変更します。 イベント ソースを識別するパラメータは、ソース タイプとソース ホストの2つです。グロビング(パターン マッチングとワイルドカード文字)を使用して、イベント ソースの[ソース タイプ]と[ソース ホスト]を指定できます
-
[OK]をクリックします。
イベント ソースがパネルに表示されます。
-
通知方法を構成するには、次のいずれかを実行します。
-
[メール サーバ設定を構成します。]を選択します。
[管理]>[システム]>[メール サーバ設定]パネルが表示され、通知の送信先を指定することができます。
-
[SyslogサーバおよびSNMPトラップ サーバを構成します。]を選択します。
[管理]>[システム]の[監査の構成]パネルが表示され、通知の送信先となるSyslogとSNMPトラップを構成することができます。
-
-
[適用]をクリックします。
このイベント ソースからのイベントの受信が停止し、時間の閾値が経過すると、NetWitness Suiteは通知の送信を開始します。
[イベント ソース モニタリングの設定]ビューのパラメータの詳細については、「[イベント ソース モニタリング]ビュー」を参照してください。
イベント ソース モニタリングの解除
イベント ソース モニタリングを設定したLog Collectorサービス(ローカルCollectorまたはリモートCollector)が運用できなくなった場合、NetWitness SuiteはCollectorが解除されるまで、イベントを受信していないことを通知します。
注意:リモートCollectorでフェイルオーバー ローカルCollectorを構成し、ローカルCollectorがスタンバイLog Decoderにフェイルオーバーした場合、通知を止めるにはローカルCollectorを解除する必要があります。
イベント ソースでのイベント ソース モニタリングを解除する方法
- [管理]>[ヘルスモニタ]に移動します。
- [設定]>[イベント ソース]を選択します。
[イベント ソース]タブが表示されます。 - [解除]で、をクリックします。
[解除]ダイアログが表示されます。 - イベント モニタリングの通知を解除するソースの[ソース タイプ]と[ソース ホスト]を定義します。
![[解除]ダイアログ](https://community.rsa.com/servlet/JiveServlet/showImage/424256/11.0_decommission_dialog.png)