このトピックでは、ローカルCollectorおよびリモートCollectorの初期設定の方法について説明します。
前提条件
Log Decoderについて以下のことを確認します。
- データの収集が開始している。
- 最新のコンテンツがロードされている。
- 適切なライセンスが供与されている。
ローカルCollectorおよびリモートCollectorの役割
ローカルCollector(LC)は、Log Decoderホスト上で実行されるLog Collectorサービスです。ローカルへの導入シナリオでは、Log CollectorサービスがLog DecoderサービスとともにLog Decoderホスト上に導入されます。WindowsやODBCなどの各種プロトコルからのログ収集はLog Collectorサービスで実行され、イベントはLog Decoderサービスに転送されます。ローカルCollectorは、収集されたすべてのイベント データをLog Decoderサービスに送信します。
非Syslogイベントを収集するためには少なくとも1つのローカルCollectorが必要です。
リモートCollector(RC)は、スタンドアロンの仮想マシン上で実行されるLog Collectorサービスで、仮想Log Collector(VLC)とも呼ばれます。リモートCollectorはオプションです。リモート サイトで収集したイベントをローカルCollectorに送信します。リモートCollectorは、リモート サイトでログを収集する必要がある場合に適しています。リモートCollectorは、ログを圧縮および暗号化してからローカルCollectorに送信します。
ログ収集の導入および構成
次の図に、ログ収集を導入および構成する前の基本的なタスクを示します。ログ収集を導入するには、ローカルCollectorを設定する必要があります。1つまたは複数のリモートCollectorを導入することもできます。ログ収集を導入した後は、NetWitness Suiteでイベント ソースを構成する必要があります。次の図に、ローカルCollectorと、イベントをローカルCollectorにプッシュする1つのリモートCollectorを示します。
Local CollectorとRemote Collectorを設定します。
ローカルCollectorは、Log Decoderホスト上で実行されるLog Collectorサービスです。
リモートCollectorは、リモートの場所にある仮想マシンまたはWindowsサーバ上で実行されるLog Collectorサービスです。
- バージョン11.0で収集プロトコルを構成します。
- NetWitness Suite Log Collectorと通信するようにそれぞれのイベント ソースを構成します。
NetWitness SuiteへのローカルCollectorとリモートCollectorの追加
ローカルCollectorとリモートCollectorをNetWitness Suiteに追加するには、次の手順を実行します。
- [管理]>[サービス]に移動します。
-
をクリックし、メニューから[Log Collector]を選択します。
[サービスの追加]ダイアログ ボックスが表示されます。
- Log Collectorサービスの詳細を定義します。
- [接続のテスト]を選択して、ローカルまたはリモートCollectorが追加されたことを確認します。
ログ収集の構成
[サービス]ビューでパラメータを定義するLog Collectorとして、LC(ローカルCollector)またはRC(リモートCollector)を選択します。次の図に、[サービス]ビューを表示し、Log Collectorサービスを選択して、サービスの構成パラメータ インタフェースを表示する方法を示します。
- [管理]>[サービス]に移動します。
-
[Log Collector]サービスを選択します。
- [アクション]の下の
をクリックし、[表示]>[構成]を選択して、ログ収集の構成パラメータのタブを表示します。
- [全般]タブで、全般的なログ収集パラメータを定義します。
-
次に、
- ローカルCollectorを選択した場合は、NetWitness Suiteに[リモートCollector]タブが表示されます。このタブで、ローカルCollectorがイベントをプルするリモートCollectorを選択します。
- リモートCollectorを選択した場合は、NetWitness Suiteに[ローカルCollector]タブが表示されます。このタブで、リモートCollectorがイベントをプッシュするローカルCollectorを選択します。
- [ファイル]タブで、構成ファイルをテキスト ファイルとして編集します。
- [イベント ソース]タブで、収集プロトコル パラメータを定義します。
- [設定]タブで、Lockbox、暗号化キー、証明書を定義します。
- [Applianceサービス構成]タブで、Applianceサービスのパラメータを定義します。
データ フロー図
Log Collectorサービスによって収集されたログ データを使用して、組織内のシステムの稼働状態の監視および調査を実施します。次の図は、NetWitness Suiteのログ収集からInvestigation(調査)までのデータ フローを示しています。