ファイル イベント ソースの構成

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

このトピックでは、ファイル収集プロトコルを構成する方法について説明します。

ファイル イベント ソースの構成

ファイル イベント ソースを構成するには、次の手順を実行します。

  1. NetWitness Suiteメニューから[管理]>[サービス]に移動します。
  2. [Log Collector]サービスを選択します。
  3. [アクション]で、>[表示]>[構成]を選択して、ログ収集に関する構成パラメータのタブを表示します。
  4. イベント ソース]タブをクリックします。

    Event Sources drop-down menu is displayed.

  1. イベント ソース]タブで、ドロップダウン メニューから[ファイル/構成]を選択します。
  2. イベント カテゴリ]パネル ツールバーで、をクリックします。

    使用可能なイベント ソース タイプ]ダイアログが表示されます。

  3. ファイル イベント ソース タイプを選択し、[OK]をクリックします。

    新しく追加されたイベント ソース タイプが[イベント カテゴリ]パネルに表示されます。

  4. イベント カテゴリ]パネルで新しいタイプを選択し、[ソース]ツールバーでをクリックします。

    ソースの追加]ダイアログが表示されます。

  5. 格納先ディレクトリ名、およびその他の必要なパラメータを入力します。詳細については、下の「ファイル収集のパラメータ」を参照してください。

  6. 公開鍵を取得し、それをダイアログ ボックスに入力するには、次の手順を実行します。

    1. 次のコマンドを実行して、イベント ソースから公開鍵を選択し、コピーします。cat ~/.ssh/id_rsa.pub
    2. 公開鍵を[イベント ソースSSHキー]フィールドにペーストします。
  7. OK]をクリックします。

変更を反映させるには、ファイル収集を再起動する必要があります。

ファイル収集の停止と再開

ファイル収集を使用する新しいイベント ソースを追加した後は、NetWitness Suiteファイル収集サービスを停止して再開する必要があります。これは、新しいイベント ソースにキーを追加するために必要となります。

ファイル収集のパラメータ

次の表に、ファイル収集のソース パラメータの説明を示します。

                                                                                                          
名前説明
基本
格納先ディレクトリ名*

ファイル イベント ソースがそのファイルを格納するディレクトリ(たとえば、Eur_London100)。有効な値は、次の正規表現に従う文字列です。

[_a-zA-Z][_a-zA-Z0-9]*


ファイル ディレクトリ名は文字で始まる必要があり、数字、文字、下線などが続きます。このパラメータは、イベント データの収集を始めた後は変更できません。

コレクションを作成した後、Log Collectorはcollectionディレクトリの下に、work、save、errorの各サブ ディレクトリを作成します。

アドレス*イベント ソースのIPアドレス。有効な値は、IPv4アドレスIPv6アドレス、ドメインの完全修飾名を含むホスト名です。
収集するファイルの形式(regex)正規表現で指定します。たとえば、^.*$ではすべてを処理します。
ファイル エンコーディング

ファイルで多言語対応が必要な場合にファイルのエンコーディングを指定します。ファイルのエンコーディング方式を入力します。次の例は有効な方式です。

  • UTF-8(デフォルト)
  • UCS-16LE
  • UCS-16BE
  • UCS-32LE
  • UCS-32BE
  • SHIFT-JIS
  • EBCDIC-US
有効イベント ソース構成を有効化して収集を開始するには、このチェックボックスをオンにします。このチェックボックスは、デフォルトでオンになっています。
拡張
エンコード変換
エラー無視

エンコード変換エラーと無効なデータを無視する場合は、このチェックボックスをオンにします。このチェックボックスは、デフォルトでオンになっています。

注意:これにより、パースと変換のエラーが発生する可能性があります。

ファイル ディスク クォータ

エラー時に保存]および[成功時に保存]パラメータ設定に関係なく、ファイルの保存を停止するタイミングを決定します。たとえば、値が10の場合、使用可能なディスクが10%未満になると、Log Collectorはファイルの保存を停止し、推定される通常収集処理のために十分なスペースを確保します。

注意:使用可能なディスクとは、ベースとなるcollectionディレクトリがマウントされているパーティションを指します。Log Collectorサーバに10 TBのディスク サイズがあり、2 TBがベースのcollectionディレクトリに割り当て済みの場合、この値を10に設定すると、ログ収集は残りのスペースが0.2 TB(2 TBの10%)未満になると停止します。10 TBの10%ではありません。

有効な値の範囲は0100です。デフォルト値は10です。

シーケンシャル処理

シーケンシャル処理フラグ:

  • 収集した順にイベント ソース ファイルを処理する場合は、このチェックボックスをオンにします(デフォルト)。
  • 並列でイベント ソース ファイルを処理する場合は、このチェックボックスをオフにします。
エラー時に保存エラー フラグが発生した場合にファイルを保存します。Log Collectorでエラーが発生したときにeventsource collectionファイルを保持する場合は、このチェックボックスをオンにします。このチェックボックスは、デフォルトでオンになっています。
成功時に保存処理フラグの完了後にeventsource collectionファイルを保存します。ファイルの処理後にeventsource collectionファイルを保存する場合は、このチェックボックスをオンにします。このチェックボックスは、デフォルトではオンになっていません。
イベント ソースSSHキー

このイベント ソースのファイルのアップロードに使用するSSH公開キーです。キーの生成手順については、「SFTP Agentのインストールと更新ガイド」の「イベント ソースでの鍵ペアの生成およびLog Collectorへの公開鍵のインポート」を参照してください。

注:ファイル収集が停止した場合に、authorized_keysファイルが、このパラメータで追加または変更されたSSH公開キーに、NetWitness Suiteで自動的に更新されることはありません。公開キーを更新するには、ユーザがファイル収集を再開する必要があります。
このパラメータでは、ファイル収集が実行されていなくても、複数のファイル イベント ソースについて公開キーの値を追加または変更できますが、NetWitness Suiteでファイル収集が再開されるまでは、authorized_keysファイルが更新されません。

エラー ファイルの管理

デフォルトで、Log Collectorは[ファイル ディスク クォータ]パラメータを使用して、ディスクがエラー ファイルでフルにならないようにします。このパラメータを[有効]に設定すると、次のいずれかを指定できます。

  • エラー ファイルのサイズ]パラメータでエラー ファイルに割り当てる最大容量を指定します。
  • エラー ファイル数]パラメータでエラー ファイルの最大数を指定します。

削減量の割合を指定することもできます。このパラメータを指定すると、最大値に達したときに指定された割合でファイルが削減されます。

エラー ファイルを管理する場合は、このチェックボックスをオンにします。このチェックボックスは、デフォルトではオンになっていません。

エラー ファイルのサイズ

エラー ファイルの管理]および[エラー時に保存]パラメータが[有効]に設定されている場合のみ設定できます。
NetWitness Suiteがどれだけのエラー ファイルを保存するかを指定します。指定する値は、errorディレクトリにあるすべてのファイルの最大合計サイズです。

有効な値の範囲は0281474976710655です。これらの値は、KB単位、MB単位、GB単位のいずれかで指定します。デフォルト値は100 MBです。このパラメータを変更した場合、収集を再開するまで、またはLog Collectorのサービスを再起動するまで有効になりません。

エラー ファイル数

エラー ファイルの管理]および[エラー時に保存]パラメータが[有効]に設定されている場合のみ設定できます。errorディレクトリで許可されるエラー ファイルの最大数を指定します。有効な値の範囲は065536です。デフォルト値は65536です。

このパラメータを変更した場合、収集を再開するまで、またはLog Collectorのサービスを再起動するまで有効になりません。

エラー ファイル削減量 %

ファイルが最大サイズまたは最大数に達したときに、Log Collectorサービスが削除するエラー ファイルのサイズまたは数の割合を指定します。サービスは、最初に最も古いファイルから削除します。

有効な値の範囲は0100です。デフォルト値は10です。

保存ファイルの管理

保存ファイルを管理する場合は、このチェックボックスをオンにします。このチェックボックスは、デフォルトではオンになっていません。
デフォルトで、Log Collectorは[ファイル ディスク クォータ]パラメータを使用して、ディスクが保存ファイルでフルにならないようにします。このチェックボックスをオンにすると、次のいずれかを指定できます。

  • 保存ファイルのサイズ]パラメータで保存ファイルに割り当てる最大容量を指定します。
  • 保存ファイル数]パラメータで保存ファイルの最大数を指定します。

削減量の割合を指定することもできます。このパラメータを指定すると、最大値に達したときに指定された割合でファイルが削減されます。

保存ファイルのサイズ

保存ファイルの管理]および[成功時に保存]パラメータが[有効]に設定されている場合のみ設定できます。
saveディレクトリに格納するすべてのファイルの最大合計サイズを指定します。有効な値の範囲は0281474976710655です。これらの値は、KB単位、MB単位、GB単位のいずれかで指定します。デフォルト値は100 MBです。

このパラメータを変更した場合、収集を再開するまで、またはLog Collectorのサービスを再起動するまで有効になりません。

保存ファイル数

保存ファイルの管理]および[成功時に保存]パラメータが[有効]に設定されている場合のみ設定できます。saveディレクトリで許可されるエラー ファイルの最大数を指定します。有効な値の範囲は065536です。デフォルト値は65536です。

このパラメータを変更した場合、収集を再開するまで、またはLog Collectorのサービスを再起動するまで有効になりません。

保存されたファイルの削減量

ファイルが最大サイズまたは最大数に達したときに、Log Collectorサービスが削除する保存ファイルのサイズまたは数の割合を指定します。サービスは、最初に最も古いファイルから削除します。

有効な値の範囲は0100です。デフォルト値は10です。

デバッグ

注意:イベント ソースに問題が発生し、その問題を調査する必要がある場合にのみ、デバッグを有効に(このパラメータを「On」または「Verbose」に設定)します。デバッグを有効にすると、Log Collectorのパフォーマンスに影響が生じる場合があります。

イベント ソースのデバッグ ログを有効または無効にします。
有効な値は次のとおりです。

  • Off = (デフォルト)無効
  • On = 有効
  • Verbose = verboseモードで有効になります。スレッド情報とソース コンテキスト情報をメッセージに追加します。

このパラメータは、イベント収集の問題をデバッグまたは監視するような状況で使用するよう設計されています。パフォーマンスへの影響を最小限にするために、デバッグのVerboseモードは、監視するイベント ソース数が限定された環境で設定するようにしてください。

この値を変更すると、変更はすぐに反映されます(再起動は不要です)。

キャンセルイベント ソースを追加または保存せずに、ダイアログを閉じます。
OKイベント ソースを追加または保存します。

 

You are here
Table of Contents > 収集プロトコル > ファイル イベント ソースの構成

Attachments

    Outcomes