このトピックでは、NetWitness Suiteでのログ収集の実行方法について説明します。
ログ収集の導入方法
組織のニーズに従って、ログ収集を導入できます。これには、複数の設置場所にまたがるログ収集の導入、さまざまなイベント ソースからのデータ収集が含まれます。こうした設定を実装するには、複数のリモートCollectorとローカルCollectorをセットアップします。
ログ収集のコンポーネント
次の図に、NetWitness Suite Log Collectorを通じたイベント収集に関わるすべてのコンポーネントを示します。
ローカルCollectorおよびリモートCollector
次の図に、ローカルCollectorおよびリモートCollectorがすべての場所からイベントを収集する方法を示します。
このようなシナリオでは、WindowsやODBCなどの各種プロトコルからのログ収集は、リモートCollectorとLog Collectorサービスの両方で実行されます。ログ収集がローカルCollectorによって行われた場合、ローカルの導入シナリオと同様に、Log Decoderサービスに転送されます。収集がリモートCollectorによって行われた場合、これらがローカルCollectorに転送される方法は2つあります。
- プル構成:ローカルCollectorから、イベントをプルするリモートCollectorを選択する。
- プッシュ構成:リモートCollectorから、イベントをプッシュするローカルCollectorを選択する。
注:通常の用途はプッシュです。プルは、環境内にDMZがある場合に使用できます。より安全なネットワーク セグメントに接続するために、安全性の低いネットワーク セグメントは使用できません。プルでは、安全なネットワーク内のLog Collector(またはVirtual Log Collector)が安全性の低いネットワーク内のVLCへの接続を開始され、ログは接続ルールを破ることなく転送されます。
イベント データをローカルCollectorにプッシュするように1つ以上のリモートCollectorを構成するか、あるいは1つ以上のリモートCollectorからイベント データをプルするようにローカルCollectorを構成することができます。
さらに、構成可能なリモートCollectorのチェーンを設定することができます。
- 1つのリモートCollectorにイベント データをプッシュする1つ以上のリモートCollector。
- 1つ以上のリモートCollectorからイベント データをプルする1つのリモートCollector。
Windows Legacy リモートCollector
RSA NetWitness® Suite Windows Legacy Collectorは、WindowsドメインにインストールできるMicrosoft WindowsベースのリモートLog Collector(RC)です。
次のソースからの収集がサポートされます。
- Windows 2003以前のイベント ソース
- NetApp ONTAPホストのevtファイル
次の図に、Windows Legacyイベント ソースからイベントを収集するために必要な導入環境を示します。