ログ収集の構成:Log Collectorのイベント フィルタの構成

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

このトピックでは、すべての収集プロトコルを対象としたイベント フィルタの作成方法と管理方法について説明します。

注:Syslogの収集はローカルLog Collectorに対して構成することはできません。リモートCollectorに対してのみ、Syslogの収集を構成する必要があります。詳細な構成情報については、「ローカルCollectorおよびリモートCollectorの構成」を参照してください。

イベント フィルタの構成

イベント ソースを構成するには、次の手順を実行します。

  1. [管理]>[サービス]に移動します。
  2. [Log Collector]サービスを選択します。
  3. [アクション]で、[表示]>[構成]を選択して、ログ収集に関する構成パラメータのタブを表示します。
  4. イベント ソース]タブをクリックします。

  5. イベント ソース]タブで、ドロップダウン メニューから任意の収集方法や[フィルタ]を選択します。

    次の画面に、選択したSyslogを示します。

    Event Sources tab shows Filters drop-down menu.

    注:Syslogの構成はリモートCollectorでのみ利用可能です。ローカルCollectorサービスを使用している場合、Syslogをドロップダウン メニューから選択することはできません。

    フィルタ]ビューでは、選択された収集方法(ある場合)に対して構成されているフィルタを表示します。

  6. フィルタ]パネルのツールバーでをクリックします。

    フィルタの追加]ダイアログが表示されます。

    Add Filter dialog is displayed.

  7. 新しいフィルタの名前と説明を入力して[追加]をクリックします。

    フィルタ]パネルに新しいフィルタが表示されます。

    Event Sources tab is displayed.

  8. フィルタ]パネルで新しいフィルタを選択し、[フィルタ ルール]パネルのツールバーでをクリックします。

    フィルタ ルールの追加]ダイアログが表示されます。

  9. ルールの条件]の下のをクリックします。
  10. ルールのパラメータを追加し、[更新]>[OK]をクリックします。

    Add Filter Rule dialog is displayed.

NetWitness Suiteにより、定義されたルールを使用してフィルタが更新されます。

注:ルールは、アクション タイプが処理を中止したり、最後のルールがチェックされるまで上から順に処理されます。デフォルトの動作では、一致が検出されない場合はルールを受け入れます。

次の表では、フィルタ ルールを追加するためのパラメータについて説明します。

イベント フィルタ ルールの「キー」パラメータ

[キー]フィールドの値は、フィルタに適用される収集メソッドによって異なります。

                               
収集方法

キー」]フィールドの値

チェックポイント、ファイル、Netflow、プラグイン、
SDEE SNMP とVMware

  • すべてのデータ フィールド
  • イベント ソース タイプ
  • イベント ソース名
  • ソースIP
  • RAWイベント

ODBC

  • すべてのデータ フィールド
  • イベント ソース タイプ
  • イベント ソース名
  • ソースIP
  • メッセージID
  • メッセージ レベル

Syslog

  • すべてのデータ フィールド
  • イベント ソース タイプ
  • イベント ソース名
  • ソースIP
  • Syslogレベル
  • RAWイベント

Windows

  • すべてのデータ フィールド
  • イベント ソース タイプ
  • イベント ソース名
  • ソースIP
  • イベントID
  • プロバイダー
  • チャネル
  • コンピューター
  • ユーザ名
  • ドメイン名

Windows Legacy

  • すべてのデータ フィールド
  • イベント ソース タイプ
  • イベント ソース名
  • ソースIP
  • イベントID

その他のイベント フィルタ ルール パラメータ

次の表では、イベント フィルタ ルールを作成するために利用可能なその他すべてのフィールドについて説明します。

                               
フィールド説明
演算子

有効な値は次のとおりです。

  • Contains
  • Equal
Regexの使用

(オプション) Regexを使用する場合に、選択します。

条件を構成するためのキーの値を指定します。

たとえば、キーにSyslogレベルを選択している場合、この値はSyslogレベルを表す数値になります。

大文字と小文字を区別しない

(オプション) 大文字と小文字を区別しないときに選択します。

アクション

一致した場合、Accept(許可)、Drop(ドロップ)、Next Condition(次の条件)、Next Rule(次のルール)のいずれかのアクションを選択できます。

  • 許可:提供されているIDに一致するイベントがイベント ログに含まれ、Systems AnalyticsのUIに表示されます。
  • ドロップ:提供されているIDに一致するイベントはイベント ログに含まれず、UIに表示されません。
  • 次の条件:フィルタは一致するIDをもつイベントを無視し、次のルール条件に移動します。
  • 次のルール:フィルタは一致するIDをもつイベントを無視し、次のルールに移動します。

一致しない場合、Accept(許可)、Drop(ドロップ)、Next Condition(次の条件)、Next Rule(次のルール)のいずれかのアクションを選択できます。

フィルタ ルールの変更

イベント ソースを変更するには、次の手順を実行します。

  1. [管理]>[サービス]に移動します。
  2. [Log Collector]サービスを選択します。
  3. [アクション]で、[表示]>[構成]を選択して、ログ収集に関する構成パラメータのタブを表示します。
  4. イベント ソース]タブをクリックします。

  5. イベント ソース]タブで、ドロップダウン メニューから任意の収集方法や[フィルタ]を選択します。

    次の画面に、選択したCheck Pointを示します。

    Filters view is displayed.

    フィルタ]ビューでは、選択された収集方法(ある場合)に対して構成されているフィルタを表示します。

  6. フィルタ ルール]リストで、ルールを選択し、をクリックします。

    フィルタ ルールの編集]ダイアログが表示されます。

    Edit Filter Rule dialog is displayed.

  7. 変更するルール条件を選択します。

    Select Rule Conditions is displayed.

  8. 変更が必要なパラメータを変更し、[更新]>[OK]をクリックします。

NetWitness Suiteにより、選択したフィルタ ルールにパラメータの変更が適用されます。

Previous Topic:基本的な手順
You are here
Table of Contents > ログ収集の基礎 > Log Collectorのイベント フィルタの構成

Attachments

    Outcomes