ログ収集：Check Pointパラメータ

Document created by RSA Information Design and Development

on Oct 19, 2018

Version 1Show Document

Like • Show 0 Likes0
Comment • 0
View in full screen mode

Check Point収集プロトコルは、OPSEC LEAを使ってCheck Pointイベントソースからイベントを収集します。OPSEC LEAは、ログの抽出を容易にするためのCheck Point Operations Security Log Export APIです。

ワークフロー

このワークフローでは、ログ収集機能を介してイベントの収集を開始するために必要な基本タスクを示しています。

実行したいことは何ですか?

ロール	実行したいこと	ドキュメント
管理者	基本的なログ収集の実装。	基本的な実装
管理者	Lockboxの設定を管理するためのLockboxの設定。	Lockbox設定
管理者	ログ収集サービスの開始。	収集サービスの開始
管理者	*ログ収集プロトコルおよびイベントソースの構成。	収集プロトコルおよびイベントソースの構成
管理者	ログ収集が動作していることを確認する。	ログ収集の動作確認

*このタスクはここで実行できます。

基本パラメータ

パラメータ	説明
名前*	イベントソースの名前です。
アドレス*	Check PointサーバのIPアドレスです。
サーバ名*	Check Pointサーバの名前です。
証明書	転送モードがhttpsである場合に使用するセキュア接続の証明書名です。このパラメータを設定する場合、［設定］タブで作成した証明書トラストストアに証明書が存在する必要があります。ドロップダウンリストから証明書を選択します。Check Pointイベントソース証明書のファイルの命名規則は、checkpoint_name-of-event-sourceです。
クライアント識別	Check Pointサーバのクライアント識別名を入力します。
クライアントエンティティ名	Check Pointサーバのクライアントエンティティ名を入力します。
サーバ識別	Check Pointサーバのサーバ識別名を入力します。
有効	イベントソース構成を有効化して収集を開始するには、このチェックボックスをオンにします。このチェックボックスは、デフォルトでオンになっています。
証明書の受信	初めて証明書の受信を行う場合は、このチェックボックスをオンにします。証明書を受信すると、その証明書がトラストストアで使用可能になります。
証明書サーバアドレス	証明書が格納されているサーバのIPアドレス。デフォルトは、イベントソースアドレスです。
パスワード	初回に［証明書の受信］チェックボックスをオンにした場合にのみアクティブになります。証明書を受信するにはパスワードが必要です。パスワードは、Check Pointサーバ上のCheck PointにOPSECアプリケーションを追加するときに作成されるアクティベーションキーです。

Check Point収集の拡張パラメータ値の決定

Check Pointイベントソースへの接続を開いておくタイミングとイベントボリュームを指定する（一時的に接続を開く）と、システムリソースの使用量を抑えることができます。RSA NetWitness Suiteはデフォルトで次の接続パラメータを使用して、一時的な接続を確立します。

ポーリング間隔 = 180（3分）
ポーリング最大継続時間 = 120（2分）
ポーリング最大イベント数 = 5000（ポーリング間隔あたり5000イベント）
ポーリング最大アイドル時間 = 0

Check Pointのイベントソースから大量のイベントが発生する場合、収集を停止するまで接続を開いておく（持続的な接続を使用する）ように設定することをお勧めします。この設定によって、チェックポイント収集において大量のログを生成するイベントソースから生成されるイベント収集の速度を維持できます。永続的な接続によって、収集の再開や接続の遅延が回避され、Check Point収集がイベント生成よりも遅延することを防ぎます。

Check Pointイベントソースに対する永続的な接続を確立するには、次のパラメータに値を設定します。

ポーリング間隔 = -1
ポーリング最大継続時間 = 0
ポーリング最大イベント数 = 0
ポーリング最大アイドル時間 = 0

パラメータ	説明
ポート	Log Collectorが接続するCheck Pointサーバのポート番号です。デフォルト値は18184です。
ログの収集タイプ	収集するログのタイプを選択します。有効な値は次のとおりです。監査：監査イベントを収集します。セキュリティ：セキュリティイベントを収集します。監査イベントとセキュリティイベントの両方を収集する場合、同じイベントソースを新たに作成する必要があります。たとえば、最初に［監査］を選択したイベントソースを作成し、このイベントソースのためにトラストストアから証明書を受信します。次に、別のイベントソースとして、［ログの収集タイプ］で［セキュリティ］を選択し、その他は同一のパラメータ値を持つイベントソースを作成する場合、最初のパラメータセットを設定したときに受信した同じ証明書を［証明書］で選択します。［証明書の受信］が選択されていないことを確認します。
ログの収集開始点	Check Pointイベントソースを設定すると、NetWitnessは現在のログファイルからイベントを収集します。有効な値は次のとおりです。現在：現在の時点からログを収集します（現在のログファイルの現時点から）。最初から：現在のログファイルの最初からログを収集します。このパラメータ値で「最初から」を選択すると、現在のログファイルでイベントを保持している期間に応じて、収集されるデータの量が非常に多くなることがあります。このオプションは、最初のコレクションセッションに対してのみ有効なことに注意してください。
ポーリング間隔	ポーリングの間隔（秒）です。デフォルト値は180です。たとえば、180と指定すると、Collectorは、イベントソースへのポーリングを180秒ごとに実行します。直前のポーリングサイクル(収集)がまだ完了していない場合、そのサイクルが完了するまで待機します。ポーリング中のイベントソースが多数ある場合、スレッドがビジーになるため、ポーリングが開始するまでに180秒より長くかかる場合があります。
ポーリング最大継続時間	ポーリングサイクルの最大継続時間（サイクルがどれだけ続行されるか）（秒）です。
ポーリング最大イベント数	ポーリングサイクルごとのイベントの最大値（ポーリングサイクルごとに収集されるイベント数）です。
ポーリング最大アイドル時間	ポーリングサイクルの、秒単位のアイドル時間です。0は制限がないことを示します。デフォルト値は> 300です。
フォワーダ	フォワーダとしてCheck Pointサーバを有効または無効にします。デフォルトでは無効です。
ログタイプ（名前と値のペア）	名前と値の形式のイベントソースのログです。デフォルトでは無効です。
デバッグ	注意：イベントソースに問題が発生し、その問題を調査する必要がある場合にのみ、デバッグを有効に（このパラメータをOnまたはVerboseに設定）します。デバッグを有効にすると、Log Collectorのパフォーマンスに影響があります。イベントソースのデバッグログ記録を有効および無効にします。有効な値は次のとおりです。 Off = （デフォルト）無効 On = 有効 Verbose = verboseモードで有効になります。スレッド情報とソースコンテキスト情報をメッセージに追加します。このパラメータは、イベント収集の問題をデバッグまたは監視するような状況で使用するよう設計されています。パフォーマンスへの影響を最小限にするために、デバッグのVerboseモードは、監視するイベントソース数が限定された環境で設定するようにしてください。この値を変更すると、変更はすぐに反映されます（再起動は不要です）。

Previous Topic:Azureパラメータ

Next Topic:ファイルパラメータ

You are here

Table of Contents > 参考情報 > Check Pointパラメータ

ログ収集：Check Pointパラメータ

基本パラメータ

Check Point収集の拡張パラメータ値の決定

Attachments

Outcomes

Related Content

Recommended Content

Incoming Links