ログ収集:Check Pointパラメータ

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

Check Point収集プロトコルは、OPSEC LEAを使ってCheck Pointイベント ソースからイベントを収集します。OPSEC LEAは、ログの抽出を容易にするためのCheck Point Operations Security Log Export APIです。

ワークフロー

このワークフローでは、ログ収集機能を介してイベントの収集を開始するために必要な基本タスクを示しています。

ThisThis workflow illustrates the basic tasks needed to start collecting events through Log Collection.

実行したいことは何ですか?

                                        
ロール実行したいことドキュメント
管理者

基本的なログ収集の実装。

基本的な実装
管理者Lockboxの設定を管理するためのLockboxの設定。Lockbox設定

管理者

ログ収集サービスの開始。

収集サービスの開始

管理者*ログ収集プロトコルおよびイベント ソースの構成。 収集プロトコルおよびイベント ソースの構成

管理者

ログ収集が動作していることを確認する。

ログ収集の動作確認

*このタスクはここで実行できます。

関連トピック

Check Point収集構成パラメータ

基本パラメータ

                                                       
パラメータ説明
名前*イベント ソースの名前です。
アドレス*Check PointサーバのIPアドレスです。
サーバ名*Check Pointサーバの名前です。
証明書

転送モードがhttpsである場合に使用するセキュア接続の証明書名です。このパラメータを設定する場合、[設定]タブで作成した証明書トラスト ストアに証明書が存在する必要があります。

ドロップダウン リストから証明書を選択します。Check Pointイベント ソース証明書のファイルの命名規則は、checkpoint_name-of-event-sourceです。

クライアント識別

Check Pointサーバのクライアント識別名を入力します。

クライアント エンティティ名

Check Pointサーバのクライアント エンティティ名を入力します。

サーバ識別

Check Pointサーバのサーバ識別名を入力します。

有効

イベント ソース構成を有効化して収集を開始するには、このチェックボックスをオンにします。このチェックボックスは、デフォルトでオンになっています。

証明書の受信

初めて証明書の受信を行う場合は、このチェックボックスをオンにします。  証明書を受信すると、その証明書がトラスト ストアで使用可能になります。

証明書サーバ アドレス

証明書が格納されているサーバのIPアドレス。デフォルトは、イベント ソース アドレスです。

パスワード

初回に[証明書の受信]チェックボックスをオンにした場合にのみアクティブになります。証明書を受信するにはパスワードが必要です。パスワードは、Check Pointサーバ上のCheck PointにOPSECアプリケーションを追加するときに作成されるアクティベーション キーです。

Check Point収集の拡張パラメータ値の決定

Check Pointイベント ソースへの接続を開いておくタイミングとイベント ボリュームを指定する(一時的に接続を開く)と、システム リソースの使用量を抑えることができます。RSA NetWitness Suiteはデフォルトで次の接続パラメータを使用して、一時的な接続を確立します。

  • ポーリング間隔 = 180(3分)
  • ポーリング最大継続時間 = 120(2分)
  • ポーリング最大イベント数 = 5000(ポーリング間隔あたり5000イベント)
  • ポーリング最大アイドル時間 = 0

Check Pointのイベント ソースから大量のイベントが発生する場合、収集を停止するまで接続を開いておく(持続的な接続を使用する)ように設定することをお勧めします。この設定によって、チェック ポイント収集において大量のログを生成するイベント ソースから生成されるイベント収集の速度を維持できます。永続的な接続によって、収集の再開や接続の遅延が回避され、Check Point収集がイベント生成よりも遅延することを防ぎます。

Check Pointイベント ソースに対する永続的な接続を確立するには、次のパラメータに値を設定します。

  • ポーリング間隔 = -1
  • ポーリング最大継続時間 = 0
  • ポーリング最大イベント数 = 0
  • ポーリング最大アイドル時間 = 0
                                                   
パラメータ説明
ポートLog Collectorが接続するCheck Pointサーバのポート番号です。デフォルト値は18184です。
ログの収集タイプ

収集するログのタイプを選択します。  有効な値は次のとおりです。

  • 監査:監査イベントを収集します。
  • セキュリティ:セキュリティ イベントを収集します。

監査イベントとセキュリティ イベントの両方を収集する場合、同じイベント ソースを新たに作成する必要があります。たとえば、最初に[監査]を選択したイベント ソースを作成し、このイベント ソースのためにトラスト ストアから証明書を受信します。次に、別のイベント ソースとして、[ログの収集タイプ]で[セキュリティ]を選択し、その他は同一のパラメータ値を持つイベント ソースを作成する場合、最初のパラメータ セットを設定したときに受信した同じ証明書を[証明書]で選択します。[証明書の受信]が選択されていないことを確認します。

ログの収集開始点

Check Pointイベント ソースを設定すると、NetWitnessは現在のログ ファイルからイベントを収集します。有効な値は次のとおりです。

  • 現在:現在の時点からログを収集します(現在のログ ファイルの現時点から)。 
  • 最初から:現在のログ ファイルの最初からログを収集します。

このパラメータ値で「最初から」を選択すると、現在のログ ファイルでイベントを保持している期間に応じて、収集されるデータの量が非常に多くなることがあります。このオプションは、最初のコレクション セッションに対してのみ有効なことに注意してください。

ポーリング間隔

ポーリングの間隔(秒)です。デフォルト値は180です。

たとえば、180と指定すると、Collectorは、イベント ソースへのポーリングを180秒ごとに実行します。直前のポーリング サイクル(収集)がまだ完了していない場合、そのサイクルが完了するまで待機します。ポーリング中のイベント ソースが多数ある場合、スレッドがビジーになるため、ポーリングが開始するまでに180秒より長くかかる場合があります。

ポーリング最大継続時間ポーリング サイクルの最大継続時間(サイクルがどれだけ続行されるか)(秒)です。
ポーリング最大イベント数ポーリング サイクルごとのイベントの最大値(ポーリング サイクルごとに収集されるイベント数)です。
ポーリング最大アイドル時間ポーリング サイクルの、秒単位のアイドル時間です。0は制限がないことを示します。デフォルト値は> 300です。
フォワーダフォワーダとしてCheck Pointサーバを有効または無効にします。デフォルトでは無効です。

ログ タイプ(名前と値のペア)

名前と値の形式のイベント ソースのログです。デフォルトでは無効です。

デバッグ

注意:イベント ソースに問題が発生し、その問題を調査する必要がある場合にのみ、デバッグを有効に(このパラメータをOnまたはVerboseに設定)します。デバッグを有効にすると、Log Collectorのパフォーマンスに影響があります。

イベント ソースのデバッグ ログ記録を有効および無効にします。

有効な値は次のとおりです。

  • Off = (デフォルト)無効
  • On = 有効
  • Verbose = verboseモードで有効になります。スレッド情報とソース コンテキスト情報をメッセージに追加します。

このパラメータは、イベント収集の問題をデバッグまたは監視するような状況で使用するよう設計されています。パフォーマンスへの影響を最小限にするために、デバッグのVerboseモードは、監視するイベント ソース数が限定された環境で設定するようにしてください。

この値を変更すると、変更はすぐに反映されます(再起動は不要です)。

Previous Topic:Azureパラメータ
You are here
Table of Contents > 参考情報 > Check Pointパラメータ

Attachments

    Outcomes