Windowsイベント ソースの構成

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

このトピックでは、Windows収集プロトコルを構成する方法について説明します。

RSA NetWitness Suiteで、Kerberosレルムを構成し、Windowsイベント ソース タイプを追加する必要があります。

Windows収集のKerberosレルムを構成するには、次の手順を実行します。

  1. [管理]>[サービス]に移動します。
  2. [Log Collector]サービスを選択します。
  3. [アクション]で、[表示]>[構成]を選択して、ログ収集に関する構成パラメータのタブを表示します。
  4. イベント ソース]タブをクリックします。

    Event Sources tab is displayed.

  5. ドロップダウン メニューから[Windows/Kerberosレルム]を選択します。
  6. [Kerberosレルム構成]パネルのツールバーで、をクリックして新しいレルムを追加します。

    [Kerberosドメインの追加]ダイアログが表示されます。

  7. 以下のガイドラインを使用して、パラメータを入力します。

                           
    パラメータ詳細

    Kerberosレルム名

    レルム名をすべて大文字で入力します。たとえば、DSNETWORKING.COM。[マッピング]パラメータにはさまざまなレルム名が自動的に入力されることに注意してください。

    KDCホスト名

    ドメイン コントローラの名前を入力してください。ここでは、完全修飾名を使用しないでください。DCのホスト名のみです。

    注:Log Collectorは必ず、企業のDNSサーバのDNSクライアントとして構成してください。そうしないと、Log CollectorはKerberosレルムの検索方法を認識できません。

    Admin Server

    (オプション)FQDN形式のKerberos管理サーバ名。

  8. 保存]をクリックしてKerberosドメインを追加します。

Windowsイベント ソースを追加するには、次の手順を実行します。

  1. [管理]>[サービス]に移動します。
  2. [Log Collector]サービスを選択します。
  3. [アクション]で、>[表示]>[構成]を選択して、ログ収集に関する構成パラメータのタブを表示します。
  4. イベント ソース]タブをクリックします。

  1. Log Collectorの[イベント ソース]タブで、ドロップダウン メニューから[Windows/構成]を選択します。

    [イベント カテゴリ]パネルに、構成済みのVMwareイベント ソースが表示されます(存在する場合)。

次に、現在の画面から続行し、Windowsイベントのカテゴリとタイプを追加します。

Windowsイベント タイプを構成するには、次の手順を実行します。

  1. ドロップダウン メニューから、[Windows/構成]を選択します。

  2. [イベント カテゴリ]パネル ツールバーで、をクリックしてソースを追加します。

    [ソースの追加]ダイアログが表示されます。

  3. 以下のガイドラインを使用して、パラメータを入力します。

                                           
    パラメータ詳細

    エイリアス

    分かりやすい名前を入力します。

    認証方法

    ネゴシエート]を選択します。

    チャネル

    Windows収集を使用しているほとんどのイベント ソースについては、[セキュリティ]、[システム]、および[アプリケーション]チャネルから収集します。

    ユーザ名

    NetWitnessとの通信用に以前設定したWindowsユーザ アカウントのアカウント名を入力します。ドメインを含む完全なアカウント名を入力する必要があることに注意してください。たとえば、rsalog@DSNETWORKING.COM

    パスワード

    ユーザ アカウントの適切なパスワードを入力します。

    サイクルごとの最大イベント数

    オプションです。RSAでは、この値を0(すべてを収集)に設定することを推奨します。

    ポーリング間隔

    オプションです。ほとんどのユーザにとっては、値60で適切に動作します。

  4. OK]をクリックしてソースを追加します。

    新しく追加されたWindowsイベント ソースが[イベント カテゴリ]パネルに表示されます。

  5. [イベント カテゴリ]パネルで新しいイベント ソースを選択します。

    ホスト]パネルがアクティブ化されます。

  6. [ホスト]パネル ツールバーで、をクリックします。
  7. 以下のガイドラインを使用して、パラメータを入力します。

                               
    パラメータ詳細

    イベント ソース アドレス

    WindowsホストのIPアドレスを入力します。

    ポート

    デフォルト値の5985をそのまま使用します。

    転送モード

    httpと入力します。

    有効

    このボックスを必ずオンにします。

  8. 接続のテスト]をクリックします。

    注:Windowsサービスが実行されていない場合でも、接続テストを正常に実行できる必要があります。

前述のいずれかのステップの詳細については、「NetWitness Suiteユーザ ガイド」の次のヘルプ トピックを参照してください。

You are here
Table of Contents > 収集プロトコル > Windowsイベント ソースの構成

Attachments

    Outcomes