Netflowイベント ソースの構成

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

このトピックでは、Netflow収集プロトコルを構成する方法について説明します。

Netflowイベント ソースの構成

Netflowイベント ソースの構成するには、次の手順を実行します。

  1. NetWitness Suiteメニューから[管理]>[サービス]に移動します。
  2. [Log Collector]サービスを選択します。
  3. [アクション]で、>[表示]>[構成]を選択して、ログ収集に関する構成パラメータのタブを表示します。
  4. イベント ソース]タブをクリックします。

    Event Sources tab is displayed.

  1. イベント ソース]タブで、ドロップダウン メニューから[Netflow/構成]を選択します。
  2. イベント カテゴリ]パネル ツールバーで、をクリックします。

    使用可能なイベント ソース タイプ]ダイアログが表示されます。

  3. netflowのイベント ソース タイプを選択し、[OK]をクリックします。

    Available Event Source Types dialog is displayed.

    新しく追加されたイベント ソース タイプが[イベント カテゴリ]パネルに表示されます。

  4. イベント カテゴリ]パネルで新しいタイプを選択し、[ソース]ツールバーでをクリックします。

    ソースの追加]ダイアログが表示されます。

  5. ポート」フィールドにポート番号を入力して、[有効]チェックボックスがオンになっていることを確認します。

    注:NetWitness Suiteがデフォルトでファイアウォールの2055、4739、6343、9995のポートを開きます。  必要な場合は、Netflow用に他のポートを開きます。

    その他のパラメータの詳細については、以下の「Netflow収集のパラメータ」を参照してください。

  6. OK]をクリックします。

新しいイベント ソースがリストに表示されます。

Netflow収集のパラメータ

次の表に、Netflow収集のソース パラメータの説明を示します。

                                         
名前説明
基本
ポートNetflowイベント ソースを構成するポート番号を指定します。
NetWitness Suiteはデフォルトでは、Netflow用ポート2055、4739、6343、9995を開きます。必要な場合は、Netflow用に他のポートを開きます。
有効イベント ソース構成を有効化して収集を開始するには、このチェックボックスをオンにします。このチェックボックスは、デフォルトでオンになっています。
拡張
インフライト公開ログ閾値

この閾値に達すると、イベント フローの問題を解決するのに役立つログ メッセージがNetWitness Suiteによって生成されます。この閾値には、現在イベント ソースからNetWitness Suiteに流れているnetflowイベント メッセージのサイズを指定します。

有効な値は次のとおりです。

  • 0(デフォルト):ログ メッセージは無効化されます。
  • 100-100000000 -  指定した数のNetflowイベントがこのLog Collectorで処理されると、ログ メッセージが生成されます。  たとえば、この値を「100」に設定すると、特定のバージョン(V5またはV9)のNetflowイベントが100件処理された時点で、NetWitness Suiteによりログ メッセージが生成されます。
デバッグ

注意:イベント ソースに問題が発生し、その問題を調査する必要がある場合にのみ、デバッグを有効に(このパラメータを「On」または「Verbose」に設定)します。デバッグを有効にすると、Log Collectorのパフォーマンスに影響が生じる場合があります。

イベント ソースのデバッグ ログを有効または無効にします。

有効な値は次のとおりです。

  • Off = (デフォルト)無効
  • On = 有効
  • Verbose = verboseモードで有効になります。スレッド情報とソース コンテキスト情報をメッセージに追加します。

このパラメータは、イベント収集の問題をデバッグまたは監視するような状況で使用するよう設計されています。パフォーマンスへの影響を最小限にするために、デバッグのVerboseモードは、監視するイベント ソース数が限定された環境で設定するようにしてください。
この値を変更すると、変更はすぐに反映されます(再起動は不要です)。

キャンセルイベント ソースを追加または保存せずに、ダイアログを閉じます。
OKイベント ソースを追加または保存します。
You are here
Table of Contents > 収集プロトコル > Netflowイベント ソースの構成

Attachments

    Outcomes