ログ収集アーキテクチャ

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

このトピックでは、NetWitness Suiteでのログ収集の実行方法について説明します。

ログ収集の導入方法

組織のニーズに従って、ログ収集を導入できます。これには、複数の設置場所にまたがるログ収集の導入、さまざまなイベント ソースからのデータ収集が含まれます。こうした設定を実装するには、複数のリモートCollectorとローカルCollectorをセットアップします。

ログ収集のコンポーネント

次の図に、NetWitness Suite Log Collectorを通じたイベント収集に関わるすべてのコンポーネントを示します。

Example shows all the components involved in log collection through the NetWitness Suite.

ローカルCollectorおよびリモートCollector

次の図に、ローカルCollectorおよびリモートCollectorがすべての場所からイベントを収集する方法を示します。

このようなシナリオでは、WindowsやODBCなどの各種プロトコルからのログ収集は、リモートCollectorとLog Collectorサービスの両方で実行されます。ログ収集がローカルCollectorによって行われた場合、ローカルの導入シナリオと同様に、Log Decoderサービスに転送されます。収集がリモートCollectorによって行われた場合、これらがローカルCollectorに転送される方法は2つあります。

  • プル構成:ローカルCollectorから、イベントをプルするリモートCollectorを選択する。
  • プッシュ構成:リモートCollectorから、イベントをプッシュするローカルCollectorを選択する。

注:通常の用途はプッシュです。プルは、環境内にDMZがある場合に使用できます。より安全なネットワーク セグメントに接続するために、安全性の低いネットワーク セグメントは使用できません。プルでは、安全なネットワーク内のLog Collector(またはVirtual Log Collector)が安全性の低いネットワーク内のVLCへの接続を開始され、ログは接続ルールを破ることなく転送されます。

イベント データをローカルCollectorにプッシュするように1つ以上のリモートCollectorを構成するか、あるいは1つ以上のリモートCollectorからイベント データをプルするようにローカルCollectorを構成することができます。

さらに、構成可能なリモートCollectorのチェーンを設定することができます。

  • 1つのリモートCollectorにイベント データをプッシュする1つ以上のリモートCollector。
  • 1つ以上のリモートCollectorからイベント データをプルする1つのリモートCollector。

Example shows a Remote Collector pulling event data from one or more Remote Collectors.

Windows Legacy リモートCollector

RSA NetWitness® Suite Windows Legacy Collectorは、WindowsドメインにインストールできるMicrosoft WindowsベースのリモートLog Collector(RC)です。

次のソースからの収集がサポートされます。

  • Windows 2003以前のイベント ソース
  • NetApp ONTAPホストのevtファイル

次の図に、Windows Legacyイベント ソースからイベントを収集するために必要な導入環境を示します。

Example illustrates the deployment required to collect events from Windows Legacy event sources.

You are here
Table of Contents > ログ収集アーキテクチャ

Attachments

    Outcomes