このガイドでは、次を含むイベント ソースのログ収集を設定および構成する手順の概要とサブタスクについて説明します。
-
ログ収集の機能とその仕組みの概要、および概要レベルの導入図を示します。
- イベント収集の開始方法。
- より複雑な構成で導入するための手順の掲載場所。
- 収集プロトコルの開始方法。
- ログ収集を構成するためのユーザ インタフェースの説明。
- ログ収集の問題をトラブルシューティングするためのツールや、全般的なトラブルシューティングの手順のリスト。
- 使用中の環境におけるログ収集の精査とカスタマイズに関する方法。
-
個別の収集プロトコルの構成方法。手順については、各ログ収集セクションを参照してください。
ワークフロー
このワークフローでは、ログ収集機能によるイベント収集の開始に必要な基本タスクを示しています。
手順の概要
これらは、ログを収集する際に従う必要がある概要レベルの手順です。
-
ローカルCollectorおよびリモートCollectorをRSA NetWitness Suiteに追加します。
Log CollectorをLog Decoder上でローカルに設定します(つまり、ローカルCollector)。組織の要件に従って、任意の数のリモートの設置場所にLog Collector(リモートCollectorとして機能する)を設定できます。詳細については、「基本的な実装」を参照してください。
-
Liveからの最新のコンテンツをダウンロードします。Liveで提供されるコンテンツは定期的に更新されるため、このタスクは定期的に実行してください。
LIVEは、RSA NetWitness® Suiteのコンテンツ管理システムで、ここから最新のコンテンツをダウンロードします。ログ収集に関するコンテンツには、次の2つのリソース タイプがあります。
- RSA Log Collector:イベント ソース タイプの収集を可能にするコンテンツ。
- RSA Log Device:サポートされる最新のイベント ソースParser。
Liveのコンテンツをサブスクライブすることもできます。詳細については、「Liveサービス管理ガイド」を参照してください。
-
設定(Lockboxと証明書のセットアップ)を構成します。
-
イベント ソースを構成します。
ログ情報をRSA NetWitness Suiteに送信するように、ネットワーク上のすべてのイベント ソースを構成します。新しいイベント ソースを追加したら、必ずこの手順も実行する必要があります。イベント ソースの構成ガイドはすべて、RSA Linkの「RSA Supported Event Sources」に掲載されています。
- 構成されたプロトコルのサービスを開始および停止します。RSA NetWitness Suiteに追加する新しいイベント ソースに応じて、サービスの停止と再開が必要になる場合があります。
-
ログ収集が動作していることを確認します。
新しいイベント ソースをセットアップりたり、新しい収集プロトコルを追加したら、必ず適切なログがRSA NetWitness Suiteに送信されていることを確認する必要があります。