Endpointエージェント パッケージの生成

Document created by RSA Information Design and Development on Oct 12, 2018
Version 1Show Document
  • View in full screen mode
 

エンドポイント データ収集用のエージェント パッケージの生成

ホストからエンドポイント データのみを収集するエージェント パッケージを生成するには、次の手順を実行します。

  1. NetWitness Suiteにログインします。

    ブラウザに、https://<NW-Server-IP-Address>/loginと入力し、NetWitness Suiteログイン画面を表示します。

  2. [管理]>[サービス]をクリックします。

  3. Endpoint Server]サービスを選択し、Settings menu>[表示]>[構成]>[Packager]タブをクリックします。[Packager]タブが表示されます。

    Packager

  4. 次のフィールドに値を入力します。

                                                       
    フィールド説明
    Endpoint ServerEndpoint Serverのホスト名またはIPアドレス。例:10.10.10.3
    HTTPSポートポート番号。たとえば、443です。

    サーバの検証

    エージェントがEndpoint Serverの証明書を検証する方法を指定します。

    • [なし]:エージェントはサーバ証明書を検証しません。
    • [証明書の拇印]:デフォルトの選択です。エージェントは、サーバ証明書のルートCAの拇印を検証することにより、サーバを識別します。
    証明書のパスワードパッケージのダウンロードに使用するパスワード。同じパスワードが、エージェント インストーラーの生成時に使用されます。たとえば、netwitnessです。
    自動アンインストールエージェントが自動的にアンインストールされる日付と時刻。不要な場合は、空白のままにします。

    強制的に上書き

    バージョンに関係なく、インストールされているWindowsエージェントを上書きします。このオプションを選択しない場合、1つのシステムで同じインストーラーを複数回実行できますが、エージェントがインストールされるのは1回のみです。

    注:このオプションを有効にする場合は、新しいエージェントを作成する際に、必ず、以前にインストールしたエージェントと同じサービス名を指定してください。

    サービス名 エージェントの名前。このフィールドは、Windowsにのみ適用されます。たとえば、NWEAgentです。

    表示名

    エージェントの表示名。 このフィールドは、Windowsにのみ適用されます。たとえば、NWEです。

    説明エージェントの説明。 このフィールドは、Windowsにのみ適用されます。たとえば、RSA NetWitness Endpointです。
    エージェントの生成エージェント パッケージを生成します。
  5. エージェントの生成]をクリックします。
    これにより、NetWitness Suiteユーザ インタフェースへのアクセスに使用しているホストにエージェント パッケージ(AgentPackager.zip)がダウンロードされます。

Windowsログ収集付きのエージェント パッケージの生成

エージェント パッケージの生成時に、エージェントのWindowsログ収集機能を有効にすることができます。このオプションを有効にすると、ログ構成ファイルが生成され、エージェントがWindowsログを収集して転送できるようになります。Windowsログ収集を有効化するには、次の手順を実行します。

  1. エンドポイント データ収集用のエージェント パッケージの生成」の手順1~4を実行します。

  2. Windowsログ収集を有効化する]を選択します。

    Packager with Windows Collection Enabled

  3. 次のフィールドに値を入力するか、選択します。

                                                   
    フィールド説明

    構成名

  4. 構成の名前。構成名には、特殊文字、英数字、ハイフン、スペース、アンダースコアを使用できます。
  5. 既存の構成をロード

    ユーザのシステムから既存の構成をロードします。アップロードが正常に完了すると、Windowsログ収集のフィールドに取り込んだ情報が表示されます。

    注:エラーまたは警告がある場合、アップロード中に警告メッセージが表示されます。

    プライマリLog Decoder/Log Collector

    ログ転送先のプライマリLog DecoderまたはLog Collector。ここには、現在の導入環境にあるLog DecoderまたはリモートLog Collectorのリストが表示されるので、その中から選択します。このフィールドには、サービスの表示名、ホスト名、サービス タイプの組み合わせが表示されます。

    (オプション)セカンダリLog Decoder/Log Collector

    ログ転送先のセカンダリLog DecoderまたはLog Collector。エージェントがプライマリLog DecoderまたはLog Collectorに到達できない場合には、セカンダリLog DecoderまたはLog CollectorがWindowsイベントを受信します。

    注:UDPプロトコルでは、セカンダリLog DecoderまたはLog Collectorは機能しません。プライマリがダウンした場合、ログはセカンダリLog DecoderまたはLog Collectorに転送されないため、イベントは失われます。

    プロトコルドロップダウン メニューからプロトコルを選択します。利用可能なオプションは、[UDP]、[TCP]、[TLS]です。デフォルトのプロトコルはTCPです。
    チャネル フィルタ

    ログを収集するチャネル。チャネル フィルタは追加または削除できます。ログを収集するには、少なくとも1つのチャネル フィルタが必要です。

    • チャネル名:ドロップダウン メニューからチャネルを選択します。選択可能なオプションは、[システム]、[セキュリティ]、[アプリケーション]、[Setup]、[Forwarded Events]です。カスタム チャネル名のパスを入力して、カスタム チャネルを作成することもできます。カスタム チャネルは、チャネル名のリストに追加されます。カスタム チャネルを検索するには、コンピューターの[Windowsイベント ビューアー]にアクセスしてください。
    • フィルタAdd Channel Filterをクリックして、チャネル フィルタを追加します。 ドロップダウン メニューをクリックして、[Include]または[Exclude]を選択し、特定のチャネルから収集するイベントIDを指定したり、除外するイベントIDを指定します。エージェント パッケージまたはログ構成ファイルの生成時に反映されます。[Include]オプションの場合、デフォルトで、[イベントID]は[ALL]に設定されます。[Exclude]オプションの場合、[イベントID]は空白に設定されます。チャネル フィルタを削除するには、Delete Channel Filterをクリックします。
    • イベントID:このチャネルのイベントIDを入力します。これらはチャネルに固有のIDであり、収集する必要があるIDです。イベントIDには、数値または範囲を指定できます。たとえば、15-32のように範囲を指定できます。ただし、32-15のような逆の指定方法は許可されません。イベントIDは、組み合わせて使用することもできます。たとえば、248, 903, 16384のように、イベントIDをコンマで区切ったリストを指定します。

    注:[ALL]と入力した場合、そのチャネルのすべてのイベントIDを意味します。

    Windowsイベント ビューアーを使用して、UIで設定するイベントIDおよびチャネル名を識別できます。次の例は、Windows PowershellのイベントIDとチャネル名を取得するための操作を示しています。情報を表示するには、[ファイル名を指定して実行]を選択し、「Event Viewer」と入力して、[アプリケーションとサービス ログ]>[Windows Powershell]を選択します。[アプリケーションとサービス ログ]にWindows PowershellのイベントIDおよびチャネル名が表示されます。

    テスト ログを送信

    テスト ログ メッセージを送信します。このオプションは、デフォルトで有効です。テスト ログ メッセージが、エージェントの新規導入時または構成変更時にエージェントからLog Decoderに送信されます。テスト ログ メッセージには、エージェントに構成されたすべてのフィールドが含まれます。テスト ログ メッセージは、エージェントから宛先への接続について調べるために役立ちます。

    エージェントの生成エージェント パッケージを生成します。AgentPackager.zipファイルには生成されたログ構成ファイルが含まれます。

    ログ構成のみ生成

    指定したパラメータ、または[既存の構成をロード]オプションを使用してアップロードしたパラメータに従って、ログ構成ファイルを生成します。

    注:生成されたログ構成ファイルの内容は変更しないでください。編集した場合は、エージェントがそのファイルから情報を読み取れなくなります。

    注:ログ構成ファイルをダウンロードして導入することにより、Windowsログ収集機能を後から有効化することができます。詳細については、「ログ収集の構成ガイド」の「エンドポイント エージェントを使用したWindowsログ収集ファイルの追加/更新」セクションを参照してください。

Previous Topic:Prerequisites
You are here
Generate an Agent Packager

Attachments

    Outcomes