ローカルCollectorおよびリモートCollectorの構成

このトピックでは、ローカルCollectorおよびリモートCollectorを構成する方法について説明します。

ログ収集を導入する場合、各種イベント ソースからログ イベントを収集するようにLog Collectorを構成する必要があります。Log Collectorを構成することで、これらのイベントをLog Decoderサービスに安全かつ確実に配信できます。配信されたイベントは解析され、今後の解析のために保存されます。

イベント データをローカルCollectorにプッシュするように1つ以上のリモートCollectorを構成するか、あるいは1つ以上のリモートCollectorからイベント データをプルするようにローカルCollectorを構成することができます。

このトピックでは、次の方法について説明します。

• リモートCollectorからイベントをプル受信するためのローカルCollectorの構成

  ローカルCollectorからリモートCollectorのイベントをプルする場合、ローカルCollectorの［構成］ビューにある［リモートCollector］タブで設定を行います。

• ローカルCollectorにイベントをプッシュするためのリモートCollectorの構成

  リモートCollectorからローカルCollectorにイベントをプッシュする場合、リモートCollectorの［構成］ビューにある［ローカルCollector］タブで設定を行います。プッシュ構成では、次の内容も構成できます。

  • リモートCollectorでのフェイルオーバー ローカルCollectorの構成

    ローカルCollectorで構成される宛先を設定します。  プライマリ ローカルCollectorに接続できない場合、リモートCollectorは、宛先内の各ローカルCollectorに対して、成功するまで接続を試行します。

  • レプリケーションの構成

    複数の宛先グループへのレプリケーションを設定します。これにより、NetWitnessは、各グループにイベント データをレプリケートします。宛先グループの1つに接続できない場合でも、他の宛先グループにデータがレプリケートされている場合、必要なデータをリカバリできます。

  • 特定のプロトコルのログ ルーティングの構成

    プロトコル タイプに応じて特定のロケーションにイベント データを転送する、宛先グループ内の複数の宛先を設定します。
    

• リモートCollectorのチェーンの構成

  イベント データをローカルCollectorにプッシュするように1つ以上のリモートCollectorを構成するか、1つ以上のリモートCollectorからイベント データをプル受信するようにローカルCollectorを構成することができます。

  • 1つのリモートCollectorにイベント データをプッシュするように1つ以上のリモートCollectorを構成することができます。
  • 1つ以上のリモートCollectorからイベント データをプル受信するように1つのリモートCollectorを構成することができます。

フェールオーバー、レプリケーション、ロード バランシング

このセクションでは、RSA NetWitness Suiteでのフェールオーバー、レプリケーション、ロード バランシングの動作方法について説明します。

次の図は、ロード バランシング、フェールオーバー、レプリケーション用に構成されたリモートCollectorを示しています。

• フェールオーバーは、同じ宛先に複数のコレクターを設定することで実現されます。宛先1には、プライマリ コレクターと、2番目のフェールオーバー コレクターがあります。これは、NetWitness Suiteで複数のLog Collectorを同じ宛先に追加することで実行されます。

  

  10.101.214.8が最初に表示されているため、これがプライマリ コレクターとなり、10.101.214.9はフェールオーバーとなります。10.101.214.9をプライマリにするには、上矢印を使用して順序を変更します。

  以下では、2つのコレクターの両方が宛先1の一覧に表示されていることが分かります。プライマリ（10.101.214.8）は、太字で表示されています。

   

• レプリケーションは、複数の宛先グループを設定することで実現されます。各グループには、メッセージ データのセット全体があります。

  

  次の画面では、メッセージ データがグループ1とグループ2のコレクターに送信されていることが分かります。

  

• ロード バランシングは、1つのグループ内に複数の宛先を設定することで実現されます。

  

  次の画面では、グループ1が、宛先1および宛先2の2つの宛先を持つことが分かります。メッセージ データは、グループ内の宛先間で均等に分割されます。

  

  宛先が2つの場合、各宛先は、メッセージ データの半分を使用します。宛先が3つの場合、全メッセージ データの3分の1を使用します。宛先を追加し続けると、各宛先のコレクターに対する負荷がさらに削減されます。

注：特定のプロトコルのイベント データが特定の宛先に送信されるようにログのルーティングを設定することもできます。

ローカルCollectorまたはリモートCollectorの構成

［サービス］ビューで導入パラメータの定義の対象となるLog Collector（ローカルCollectorまたはリモートCollector）を選択します。次の手順は、［サービス］ビューのナビゲーション方法、ローカルCollectorまたはリモートCollectorの選択方法、サービスの導入パラメータ インタフェースの表示方法を示しています。

ローカルCollectorまたはリモートCollectorを構成するには、次の手順を実行します。

1. ［管理］＞［サービス］に移動します。
2. ［Local Log Collection］または［Remote Log Collection］サービスを選択します。
3. ［アクション］で、＞［表示］＞［構成］を選択して、ログ収集の構成パラメータのタブを表示します。

4. ステップ2での選択内容に応じて

   • ローカルCollectorを選択した場合は、［リモートCollector］タブが表示されます。このタブで、ローカルCollectorがイベントをプルするリモートCollectorを選択します。
   • リモートCollectorを選択した場合は、［ローカルCollector］タブが表示されます。このタブで、リモートCollectorがイベントをプッシュするローカルCollectorを選択します。

［リモートCollector］タブ

次の図は、ローカルCollectorの［リモートCollector］タブを設定し、リモートCollectorからイベントをプルする構成を示しています。［管理］＞［サービス］でローカルCollectorを選択した場合に、このタブがNetWitness Suiteに表示されます。

リモートCollectorの［ローカルCollector］タブ

次の図は、リモートCollectorの［ローカルCollector］タブを設定し、ローカルCollectorまたは別のリモートCollectorにイベントをプッシュする構成を示しています。

次の図は、リモートCollectorの［ローカルCollector］タブを設定し、リモートCollectorからイベントをプルする構成を示しています。［管理］＞［サービス］でリモートCollectorを選択した場合に、このタブがNetWitness Suiteに表示されます。

パラメータ

「 リモートCollector/ローカルCollectorの構成パラメータ 」