セキュリティ/ユーザ管理:ユーザの追加とロールの割り当て 97882

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

11.1では、RSA® NetWitness® Endpoint Insightsエージェントを使用してWindowsログ収集を実現できます。エージェントのログ収集を有効化すると、Endpointデータに加えて、Windowsログの収集と転送が可能となるよう、エージェント パッケージにログ構成ファイルが追加されます。生成された構成ファイルには、Windowsイベント ログを収集するチャネルと、それらを転送する宛先(Log DecoderまたはリモートLog Collector)の情報が含まれています。生成されたエージェント パッケージは、EndpointデータとWindowsログの両方を収集することができます。Endpointエージェント パッケージは、Windowsマシン上で展開され、エージェント インストーラー ファイルが作成されます。その後、インストーラー ファイルは、サード パーティ製ソフトウェア配布ツールによって、ネットワーク内のすべてのエンドポイントに導入されます。

Windowsログ収集には次の3つのシナリオがあります。

  • ログ収集付きエージェントを生成:[Windowsログ収集を有効化する]オプションを有効にし、詳細を入力した後に[エージェントの生成]をクリックします。生成されたAgentPackager.zipには、ログ収集用のファイルが含まれています。詳細については、「Endpoint Insightsエージェント インストール ガイド」の「Windowsログ収集付きエージェント パッケージを生成する」を参照してください。
  • ログ収集なしのエージェント ファイルを生成:[Windowsログ収集を有効化する]オプションを無効にし、[エージェントの生成]をクリックすると、ログ収集用のファイルを含まないZipファイルが作成されます。詳細については、「Endpoint Insightsエージェント インストール ガイド」の「Endpointエージェント パッケージを生成する」を参照してください。
  • ログ構成のみ生成]をクリックすると、ログ構成ファイルのみが作成されます。これは、既存のログ収集付きEndpointエージェントの導入先でログ構成ファイルを更新する場合、または、Endpointエージェントの導入先にログ構成を追加する場合に使用します。詳細については、「インストール済みのEndpointエージェントにWindowsログ収集構成を追加または更新する」を参照してください。

インストール済みのEndpointエージェントにWindowsログ収集構成を追加または更新する

EndpointエージェントにWindowsログ収集構成ファイルを追加することも、既存のWindowsログ収集構成ファイルを変更することもできます。Endpointエージェントのログ収集の構成に変更が必要な場合、エージェントを再度インストールする必要はありません。ログ構成ファイル(nwelcfg file)をPackagerユーザ インタフェースから生成して変更することができます。

ワークフロー

このワークフローは、Windowsログ収集構成ファイルを追加または更新する手順を示しています。

以下は、構成の変更が必要となる場合の例です。

  • Windowsイベント ログの転送先となる宛先の負荷分散のため、宛先を変更する。
  • エンドポイントがサード パーティのエンドポイント管理システムが定義した新しいグループに移動されたことに伴い、転送先や収集するイベントIDのリストを変更する必要が生じた。
  • 宛先側で取り込みたいイベントIDのリストを変更する要件が生じた。

新しい構成ファイルは、Packagerの画面で新しい値を入力するか、既存の構成ファイルをロードすると生成できます。

注:Endpointエージェントは、configフォルダの下にある最新のタイムスタンプのnwelcfgファイルを読み取るよう設計されています。そのため、サード パーティ製のエンドポイント管理ツールで構成ファイルをプッシュする場合は、構成ファイルのタイムスタンプをエンドポイントの現在時刻に更新するようにしてください。

インストール済みのEndpointエージェントにWindowsログ収集構成ファイルを追加または更新するには、次の手順に従います。

  1. Packger UIで、次のいずれかを実行します。

    1. Windowsログ収集の構成を追加する場合:「Endpoint Insightsエージェント インストール ガイド」の「Windowsログ収集付きエージェント パッケージを生成する」の記載に従い、必須情報を入力します。
    2. Windowsログ収集の構成を更新する場合:[既存の構成をロード]をクリックして、「Endpoint Insightsエージェント インストール ガイド」の「Windowsログ収集付きエージェント パッケージを生成する」の記載に従い、更新が必要なフィールドを編集します。
  2. ログ構成のみ生成]をクリックしてnwelcfgファイルを生成します。
  3. ダウンロードしたnwelcfgファイルを、ログの転送元となるEndpointエージェントにコピーします。構成ファイルは、%ProgramData%\NWEAgentフォルダにコピーする必要があります。構成ファイルを複数のエージェントに導入するには、サード パーティ製のソフトウェア配布ツールを使用します。

エージェントは、最新のタイムスタンプのあるログ構成ファイルを選択するように設計されています。タイム ゾーンの違いがある場合は、構成ファイルをコピーした後、エージェントのタイムスタンプに更新してください。更新するには、エージェントで次のコマンドを実行します。copy /b <filename.nwelcfg> +,,nwelcfgファイルは%programdata%\NWEAgent\フォルダにあります。

Windowsログ収集の検証

EndpointエージェントにWindowsログ収集が正常に導入されたことを検証するには、次の手順に従います。

  1. 管理]>[ヘルスモニタ]>[イベント ソース モニタリング]にアクセスします。
  2. [時間範囲]フィールドで、エージェントをインストールした時間に応じて、[直近5分]または[直近10分]を選択します。
  3. 適用]をクリックします。
  4. 表示されたリストに、[イベント ソース]列がエージェントのIPアドレスで、[イベント ソース タイプ]列が「Windows」のエントリーが存在することを確認します。これにより、エージェントが正常にインストールされたことを確認できます。

Windowsログ収集が正常に更新されたことを検証するには、次の手順に従います。

  1. 調査]>[ナビゲート]に移動します。Endpointエージェントが、新しい構成ファイルを適用するまで2~3分間待ちます。
  2. 調査]から[Concentrator]を選択します。
  3. 時間範囲を[直近5分]またはその他の適切な値に変更します。
  4. 値のロード]をクリックします。
  5. Message IDメタ キーを探します。
  6. agent.testの値を確認します。イベント数が増加している場合は、更新が正常に行われたことを示します。

ログ転送の有効化とLog Decoderの構成

Packager UIで、ログ転送機能を有効にして、Endpoint Hybrid上のLog Decoderを宛先として構成する場合、Endpoint Hybridのiptablesファイルに、ポートTCP/UDP 514を追加する必要があります。

ポートを追加するには、次の手順に従います。

  1. TCPの場合、Endpoint Hybridの/etc/sysconfig/iptablesファイルにある既存のポートのリストに「514」を追加する必要があります。

    INPUT -p tcp -m tcp -m multiport --dports 514, 6514,50002,50102,50202,56002,56202 -m comment --comment "nwlogdecoderPorts" -m conntrack --ctstate NEW -j ACCEPT -

  2. UDPの場合、Endpoint Hybridの/etc/sysconfig/iptablesファイルに下記のコンテンツを追加する必要があります。

    -A INPUT -p udp -m udp -m multiport --dports 514 -m comment --comment "nwlogcollectorUdpPorts" -m conntrack --ctstate NEW -j ACCEPT

  3. iptablesサービスを再起動し、上記の更新を適用します。service iptables restart

 

関連トピック

トラブルシューティング - Endpointエージェントを使用したWindowsログ収集

You are here
Table of Contents > 収集プロトコル > EndpointエージェントのWindowsログ収集

Attachments

    Outcomes