基本的な実装

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

このトピックでは、ローカルCollectorおよびリモートCollectorの初期設定の方法について説明します。

前提条件

Log Decoderについて以下のことを確認します。

  • データの収集が開始している。
  • 最新のコンテンツがロードされている。
  • 適切なライセンスが供与されている。

ローカルCollectorおよびリモートCollectorの役割

ローカルCollector(LC)は、Log Decoderホスト上で実行されるLog Collectorサービスです。ローカルへの導入シナリオでは、Log CollectorサービスがLog DecoderサービスとともにLog Decoderホスト上に導入されます。WindowsやODBCなどの各種プロトコルからのログ収集はLog Collectorサービスで実行され、イベントはLog Decoderサービスに転送されます。ローカルCollectorは、収集されたすべてのイベント データをLog Decoderサービスに送信します。

非Syslogイベントを収集するためには少なくとも1つのローカルCollectorが必要です。

リモートCollector(RC)は、スタンドアロンの仮想マシン上で実行されるLog Collectorサービスで、仮想Log Collector(VLC)とも呼ばれます。リモートCollectorはオプションです。リモート サイトで収集したイベントをローカルCollectorに送信します。リモートCollectorは、リモート サイトでログを収集する必要がある場合に適しています。リモートCollectorは、ログを圧縮および暗号化してからローカルCollectorに送信します。

ログ収集の導入および構成

次の図に、ログ収集を導入および構成する前の基本的なタスクを示します。ログ収集を導入するには、ローカルCollectorを設定する必要があります。1つまたは複数のリモートCollectorを導入することもできます。ログ収集を導入した後は、NetWitness Suiteでイベント ソースを構成する必要があります。次の図に、ローカルCollectorと、イベントをローカルCollectorにプッシュする1つのリモートCollectorを示します。

Diagram shows the Local Collector with one Remote Collector that pushes events to the Local Collector.

Local CollectorとRemote Collectorを設定します。

ローカルCollectorは、Log Decoderホスト上で実行されるLog Collectorサービスです。

リモートCollectorは、リモートの場所にある仮想マシンまたはWindowsサーバ上で実行されるLog Collectorサービスです。

Diagram shows a Remote Collector service running on a virtual machine or a Windows server in a remote location.

イベント ソースを構成します。

  • バージョン11.0で収集プロトコルを構成します。
  • NetWitness Suite Log Collectorと通信するようにそれぞれのイベント ソースを構成します。  

NetWitness SuiteへのローカルCollectorとリモートCollectorの追加

ローカルCollectorとリモートCollectorをNetWitness Suiteに追加するには、次の手順を実行します。

  1. [管理]>[サービス]に移動します。
  2. をクリックし、メニューから[Log Collector]を選択します。

    サービスの追加]ダイアログ ボックスが表示されます。

  3. Log Collectorサービスの詳細を定義します。
  4. 接続のテスト]を選択して、ローカルまたはリモートCollectorが追加されたことを確認します。

ログ収集の構成

[サービス]ビューでパラメータを定義するLog Collectorとして、LC(ローカルCollector)またはRC(リモートCollector)を選択します。次の図に、[サービス]ビューを表示し、Log Collectorサービスを選択して、サービスの構成パラメータ インタフェースを表示する方法を示します。

  1. [管理]>[サービス]に移動します。
  2. [Log Collector]サービスを選択します。

  3. アクション]の下のをクリックし、[表示]>[構成]を選択して、ログ収集の構成パラメータのタブを表示します。
  4. 全般]タブで、全般的なログ収集パラメータを定義します。
  5. 次に、

    • ローカルCollectorを選択した場合は、NetWitness Suiteに[リモートCollector]タブが表示されます。このタブで、ローカルCollectorがイベントをプルするリモートCollectorを選択します。
    • リモートCollectorを選択した場合は、NetWitness Suiteに[ローカルCollector]タブが表示されます。このタブで、リモートCollectorがイベントをプッシュするローカルCollectorを選択します。
  6. ファイル]タブで、構成ファイルをテキスト ファイルとして編集します。
  7. イベント ソース]タブで、収集プロトコル パラメータを定義します。
  8. [設定]タブで、Lockbox、暗号化キー、証明書を定義します。
  9. Applianceサービス構成]タブで、Applianceサービスのパラメータを定義します。

データ フロー図

Log Collectorサービスによって収集されたログ データを使用して、組織内のシステムの稼働状態の監視および調査を実施します。次の図は、NetWitness Suiteのログ収集からInvestigation(調査)までのデータ フローを示しています。

Figure shows data flowing through the NetWitness Log Collection to Investigation.

You are here
Table of Contents > 構成 > ローカルCollectorおよびリモートCollectorの追加

Attachments

    Outcomes