Azureイベント ソースの構成

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

このトピックでは、Azure収集プロトコルを構成する方法について説明します。Microsoft Azureは、Microsoftが管理するデータ センターのグローバル ネットワークを通じてアプリケーションとサービスを構築、導入、管理するためのクラウド コンピューティング プラットフォームおよびインフラストラクチャです。

NetWitness Suiteでの構成

イベント ソースとしてのAzureの構成に関する詳細については、RSA Linkから利用できる「Azureのイベント ソース構成ガイド」を参照してください。

Azureのイベント ソースを構成するには、次の手順を実行します。

  1. NetWitness Suiteメニューから[管理]>[サービス]に移動します。
  2. [Log Collector]サービスを選択します。
  3. [アクション]で、>[表示]>[構成]を選択して、ログ収集に関する構成パラメータのタブを表示します。
  4. イベント ソース]タブをクリックします。

    Event Sources drop-down menu is displayed.

  1. イベント ソース]タブで、ドロップダウン メニューから[プラグイン]と[構成]を選択します。
  2. イベント カテゴリ]パネル ツールバーで、をクリックします。

    使用可能なイベント ソース タイプ]ダイアログが表示されます。

  3. azureaudit]を選択して[OK]をクリックします。

    新しく追加されたイベント ソース タイプが[イベント カテゴリ]パネルに表示されます。

  4. イベント カテゴリ]パネルで新しいタイプを選択し、[ソース]ツールバーでをクリックします。

    ソースの追加]ダイアログが表示されます。

  5. パラメータ値を定義します。詳細については、以下の「NetWitness SuiteでのAzureイベント ソースの構成」を参照してください。
  6. 接続のテスト]をクリックします。

    テストの結果がダイアログ ボックスに表示されます。テストが失敗した場合は、デバイスまたはサービスの情報を編集し、再試行します。

    Log Collectorでは、約60秒後にテストの結果を返します。制限時間を超えると、テストがタイムアウトになり、NetWitness Suiteはエラー メッセージを表示します。

  7. テストが正常に実行された場合は、[OK]をクリックします。

    新しいイベント ソースが[ソース]パネルに表示されます。

Azureパラメータ

このトピックでは、Azureイベント ソース構成パラメータについて説明します。

注:アスタリスク(*)が付いている項目は必須です。

基本パラメータ

                                                       
名前説明

名前*

英数字からなる、分かりやすいソースの名前を入力します。この値を使用するのは、このスクリーンで名前を表示するときだけです。

有効

イベント ソース構成を有効化して収集を開始するには、このチェックボックスをオンにします。このチェックボックスはデフォルトでオンになっています。

クライアントID*

クライアントIDは、Azureアプリケーション構成タブにあります。表示されるまで下にスクロールします。

クライアント シークレット*

イベント ソースを構成している場合、キーを作成して、有効期間を選択したときに、クライアント シークレットが表示されます。

表示されるのは1回のみで、後で取得することはできないので、必ず保存してください。

APIリソース ベースURL*

https://management.azure.com/」を入力します。最後のスラッシュ(/)を必ず含めてください。

フェデレーション メタデータ エンドポイント*

使用するAzureアプリケーションで、[エンドポイントの表示]ボタン(ウィンドウの下部)をクリックします。

同じ文字列で始まる多くのリンクがあります。URLを比較し、それらのほとんどの先頭にある共通文字列を見つけます。この共通文字列が、ここで入力する必要のあるエンドポイントです。

サブスクリプションID*

Microsoft Azureのダッシュボードで確認できます。左側のリストの下部にあるサブスクリプションをクリックします。

テナント ドメイン*

Active Directoryに移動し、ディレクトリをクリックします。テナント ドメインはURLで、manage.windowsazure.com/の直後に続く文字列です。テナント ドメインは、.comまでを含む文字列です。

リソース グループ名*

Azureでは、左側のナビゲーション ペインペインで、リソース グループを選択し、使用するグループを選択します。

開始日*

収集を開始する日付を選択します。デフォルトは設定当日です。

接続のテスト

このダイアログで指定された構成パラメータをチェックして、正しいことを確認します。

詳細パラメータ

詳細]の横にあるをクリックして、必要に応じて、拡張パラメータを表示し、編集します。

                                   
名前説明

ポーリング間隔

ポーリングの間隔(秒)です。デフォルト値は180です。
たとえば、180と指定すると、Collectorは、イベント ソースへのポーリングを180秒ごとに実行します。ポーリング サイクル(収集)が進行中である場合、Collectorは、そのサイクルが完了するまで待機します。ポーリング中のイベント ソースが多数ある場合、スレッドがビジーになるため、ポーリングが開始するまでに180秒より長くかかる場合があります。

ポーリング最大継続時間

ポーリング サイクルの最大継続時間(秒)です。値ゼロは制限がないことを示します。

ポーリング最大イベント数

ポーリング サイクルごとのイベントの最大値(ポーリング サイクルごとに収集されるイベント数)です。

ポーリング最大アイドル時間

ポーリング サイクルの最大継続時間(秒)です。値ゼロは制限がないことを示します。

コマンド引数

スクリプトの起動に追加するオプションの引数です。

デバッグ

注意:イベント ソースに問題が発生し、その問題を調査する必要がある場合にのみ、デバッグを有効に(このパラメータを「On」または「Verbose」に設定)します。デバッグを有効にすると、Log Collectorのパフォーマンスに影響があります。

注意:イベント ソースのデバッグ ログを有効または無効にします。有効な値は次のとおりです。

  • Off = (デフォルト)無効
  • On = 有効
  • Verbose = verboseモードで有効になります。スレッド情報とソース コンテキスト情報をメッセージに追加します。

このパラメータは、イベント収集の問題をデバッグまたは監視するような状況で使用するよう設計されています。この値を変更すると、変更はすぐに反映されます(再起動は不要です)。パフォーマンスへの影響を最小限にするために、デバッグのVerboseモードは、監視するイベント ソース数が限定された環境で設定するようにしてください。

You are here
Table of Contents > 収集プロトコル > Azureイベント ソースの構成

Attachments

    Outcomes