ログ収集の構成:リモートCollectorのSyslogイベント ソースの構成

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • Comment0
  • View in full screen mode
 

このトピックでは、Log CollectorにSyslogイベント ソースを構成する方法について説明します。

ローカルLog CollectorにはSyslog収集を構成しないでください。Syslog収集を構成する必要があるのは、リモートCollectorのみです。

Syslogイベント ソースの構成

UDPポート514、TCPポート514、SSLポート6514のSyslogリスナーはデフォルトで作成されます。TCPリスナーおよびSSLリスナーのSSL設定は変更しないでください。SSL証明書の検証が必要な場合は、別のポートをリスンする新しいイベント ソース タイプを作成します。なお、そのポートを開くにはiptablesを構成する必要があります。

リモートLog CollectorにSyslog収集を構成するには、次の手順を実行します。

  1. [管理]>[サービス]に移動します。
  2. [サービス]グリッドで、リモートLog Collectorを選択し、[アクション]メニューから>[表示]>[構成]を選択します。
  3. イベント ソース]タブを選択します。

  4. ドロップダウン メニューから、[Syslog/構成]を選択します。

    [イベント カテゴリ]パネルに、構成済みのSyslogイベント ソースが表示されます(存在する場合)。

    注:RSA NetWitness Suiteでは、一部のSyslogイベント ソースがデフォルトで構成されています。その場合、ステップ6に進むことができます。

  5. [イベント カテゴリ]パネル ツールバーで、をクリックします。

    [使用可能なイベント ソース タイプ]ダイアログが表示されます。

  6. syslog tcp]または[syslog udp]のいずれかを選択します。組織のニーズに応じて、いずれか一方または両方を設定できます。

  7. [イベント カテゴリ]パネルで新しいタイプを選択し、[ソース]パネルのツールバーでをクリックします。

    [ソースの追加]ダイアログが表示されます。

  8. ポート番号を入力し、[有効]を選択します。必要に応じて、オプションで任意の拡張パラメータを構成します。

    OK]をクリックして変更内容を承認し、ダイアログ ボックスを閉じます。

1つまたは両方のsyslogタイプを構成すると、Log DecoderまたはリモートLog Collectorは、すべての使用可能なイベント ソースからメッセージを収集します。そのため、RSA NetWitness Suiteでさらに構成を行う必要なく、Syslogイベント ソースをシステムに追加できます。

Syslogパラメータ

次の表では、Syslogの構成で使用できる基本パラメータと拡張パラメータについて説明します。

基本パラメータ

                       
名前説明
ポート*デフォルトのポートは514です。
有効イベント ソース構成を有効化して収集を開始するには、このチェックボックスをオンにします。このチェックボックスは、デフォルトでオンになっています。
SSLレシーバー

注:このパラメータはRSA NetWitness® Suiteバージョン11.1以降に適用されます。syslog-tcpイベント カテゴリでのみ使用できます。

チェックボックスをオンにすると、イベント ソースはSSL/TLS接続のみを受け入れます。また、この設定を変更した場合は、変更を適用するためにSyslog収集を停止して再開する必要があります。

詳細パラメータ

                               
名前説明
インフライト公開ログ閾値

この閾値に達すると、イベント フローの問題を解決するのに役立つログ メッセージがNetWitnessによって生成されます。この閾値には、現在イベント ソースからNetWitnessに流れているSyslogイベント メッセージのサイズを指定します。

有効な値は次のとおりです。

  • 0(デフォルト):ログ メッセージは無効化されます
  • 100~100000000:現在イベント ソースからNetWitnessに流れているSyslogイベント メッセージが100から100,000,000バイトの範囲内であるとき、ログ メッセージが生成されます。
最大レシーバ数収集されたSyslogイベントの処理に使用される最大レシーバ リソース数です。  デフォルト値は2です。
イベント フィルタ

フィルタを選択します。

フィルタの定義方法に関する説明は、「Collectorのイベント フィルタの構成」を参照してください。

デバッグ

注意:イベント ソースに問題が発生し、その問題を調査する必要がある場合にのみ、デバッグを有効に(このパラメータをOnまたはVerboseに設定)します。デバッグを有効にすると、Log Collectorのパフォーマンスに影響します。

イベント ソースのデバッグ ログを有効または無効にします。

有効な値は次のとおりです。

  • Off = (デフォルト)無効
  • On = 有効
  • Verbose = verboseモードで有効になります。スレッド情報とソース コンテキスト情報をメッセージに追加します。

このパラメータは、イベント収集の問題をデバッグまたは監視するような状況で使用するよう設計されています。パフォーマンスへの影響を最小限にするために、デバッグのVerboseモードは、監視するイベント ソース数が限定された環境で設定するようにしてください。
この値を変更すると、変更はすぐに反映されます(再起動は不要です)。

SSL検証モード

注:このパラメータはRSA NetWitness® Suiteバージョン11.1以降に適用されます。syslog-tcpイベント カテゴリでのみ使用できます。

この設定は、[SSLレシーバー]設定が選択された場合にのみ関係します。また、SSL検証モードを変更した場合は、変更を適用するためにSyslog収集を停止して再開する必要があります。

選択可能なオプション:

  • verify-none:(デフォルト)サーバはクライアントの証明書を検証しません(存在する場合)。クライアントは証明書を提示することなく接続できます。

  • verify-peer:サーバはクライアントの証明書を検証します(存在する場合)。クライアントは証明書を提示することなく接続できます。

    注: 検証に失敗した場合、警告が記録されますが、メッセージは引き続き受け入れられます。

  • verify-peer-fail-if-no-cert:クライアントは必ず証明書を提示し、サーバは検証する必要があります。

    注:このモードを使用する場合、クライアントのCA証明書は、REST APIを使用してLog Collectorのトラストストアにアップロードする必要があります http://LC-ip-address:50101/sys/caupload

You are here
Table of Contents > 収集プロトコル > リモートCollectorのSyslogイベント ソースの構成

Attachments

    Outcomes