Windows Legacy収集:ステップ2. SAでのイベント ソースの構成

Document created by RSA Information Design and Development on Oct 19, 2018
Version 1Show Document
  • View in full screen mode
 

このトピックでは、NetWitness SuiteでWindows Legacyイベント ソースを構成する方法について説明します。

Windows Legacy収集プロトコルでは、Windows 2003以前とNetAppのイベント ソースからイベント データが収集されます。

前提条件

Windows Legacyイベント ソースを構成する前に、次のことを確認してください。

  1. NetWitness Suite Windows LegacyリモートCollectorが、物理環境または仮想環境の64ビットWindows 2008 Serverにインストールされていること。
  2. Windows LegacyリモートCollectorがNetWitness Suiteに追加されていること。

Windows Legacyイベント ソースを追加するには、次の手順を実行します

  1. NetWitness Suiteメニューで[管理]>[サービス]を選択して、[サービス]ビューにアクセスします。
  2. サービス]グリッドで、Windows Legacy Log Decoderサービスを選択します。
  3. [アクション]で、>[表示]>[構成]を選択して、ログ収集に関する構成パラメータのタブを表示します。
  4. イベント ソース]タブをクリックします。
  5. イベント ソース]タブで、ドロップダウン メニューから次のいずれかのオプションを選択します。

    • Windows Legacy/Windows。
    • Windows Legacy/NetApp。
  6. エイリアスを構成します。

    1. イベント カテゴリ]パネル ツールバーで、をクリックします。

      ソースの追加]ダイアログが表示されます。

    2. パラメータに必要な値を指定し、[OK]をクリックします。

      Add source dialog is displayed.

      注:デフォルトでは、[リモート レジストリ]が選択されています。詳細については、以下の「リモート レジストリ アクセス」を参照してください。

      新しく追加されたwindowsイベント ソース タイプが[イベント カテゴリ]パネルに表示されます。

  7. イベント ソースを追加するには、次の手順を実行します。

    1. イベント カテゴリ]パネルで新しいエイリアスを選択し、[ソース]パネルのツールバーでをクリックします。

      ソースの追加]ダイアログが表示されます。

    2. イベント ソースのパラメータに必要な値を指定し、[OK]をクリックします。

      Add Source dialog displayed with selected options.

      詳細については、以下の「Windows Legacy構成パラメータ」を参照してください。

      新しく追加されたWindowsイベント ソースが[イベント カテゴリ]パネルに表示されます。

      Options for Sources dialog.

リモート レジストリ アクセス

Windows Legacy Collectorでは、データ収集の前にイベント ソースの初期確認が実行されます。デフォルトで、Windows Legacy Collectorは、WMI(Windows Management Instrumentation)を使用してこの初期確認を実行します。リモート レジストリ アクセスを有効にした場合、Windows Legacy Collectorはイベント ソースを確認するためにリモート レジストリ クエリを実行します。

Log CollectorとWindows Legacy Collectorの間のプッシュまたはプルの設定

イベント データをローカルCollectorにプッシュするようにWindows Legacy Collectorを設定するか、Windows Legacy Collectorからイベント データをプルするようにローカルCollectorを設定することができます。

ローカルCollectorまたはWindows Legacy Collectorを設定するには、以下の手順を実行します。

  1. [管理]>[サービス]に移動します。
  2. ローカルCollectorまたはWindows Legacy Collectionサービスを選択します。
  3. [アクション]で、>[表示]>[構成]を選択して、ログ収集の構成パラメータのタブを表示します。
  4. ステップ2での選択内容に応じて

    • ローカルCollectorを選択した場合は、[リモートCollector]タブが表示されます。このタブで、ローカルCollectorがイベントをプルするWindows Legacy Collectorを選択します。
    • Windows Legacy Collectorを選択した場合は、[ローカルCollector]タブが表示されます。このタブで、Windows Legacy CollectorがイベントをプッシュするローカルCollectorを選択します。

Windows Legacy構成パラメータ

次の表では、Windows Legacyイベント ソースのパラメータについて説明します。

                                                                         
機能説明
基本
名前*イベント ソースの名前。有効な値は、「[_a-zA-Z] [_a-zA-Z0-9]*」の範囲の名前です。ハイフン「-」を名前の一部として使用できます。
イベント ソース アドレス*イベント ソースのIPアドレス。有効な値は、IPv4アドレス、IPv6アドレス、ドメインの完全修飾名を含むホスト名です。NetWitness Suiteではデフォルトは127.0.0.1になります。
Log Collectorは、重複エントリーを避けるために、ホスト名を小文字に変換します。
イベント ログ名

SystemApplicationSecurityなど、イベント データの収集元となるイベント ログの名前です。
チャネルの例を示します。

  • System:システム サービス アカウント(インストールされたシステム サービス)上で稼働するアプリケーション、またはドライバ、さらにはシステムの稼働状態に関するイベントを出力するコンポーネントやアプリケーションなどに関するイベントです。
  • Application:すべてのユーザ レベル アプリケーションに関するイベントです。このチャネルはセキュリティが設定されていないため、どのアプリケーションからもアクセスすることができます。ある特定のアプリケーションの情報が膨大な場合、アプリケーション固有のチャネルを定義する必要があります。
  • Security:Windows Local Security Authority専用に使われるWindows監査ログ(イベント ログ)。
有効このイベント ソースからイベントを収集するには、このチェックボックスをオンにします。このチェックボックスをオフにすると、Log Collectorはこのイベント ソースからイベントを収集しません。
イベント ディレクトリ パス

NetApp .evtまたは.evtxファイルのディレクトリ パス。これはUNCパスでなければなりません。

NetAppは、イベント データを生成し、これをNetAppアプライアンス上の共有可能ディレクトリに.evtまたは.evtxファイルとして保存します。

  • ポーリング サイクルのたびに、Log Collectorは、[イベント ディレクトリ パス]パラメータと[イベント ファイル プレフィックス]パラメータで指定されたNetApp共有パスを参照して.evtファイルを探します。Log Collectorは以下の処理を行います。

    • event-file-prefix.YYMMDDhhmmss.evt形式に一致するファイルを昇順でソートします。

    • 最後に処理されたファイルのタイムスタンプを使用して、処理が必要なファイルを判定します。部分的に処理されたファイルが見つかった場合、Log Collectorはすでに処理済みのイベントをスキップします。
  • それぞれのポーリング サイクルにおいて、Log Collectorは、[イベント ディレクトリ パス]パラメータと[イベント ファイル プレフィックス]パラメータで指定したNetApp共有パスの.evtxファイルを参照します。Log Collectorでは以下の処理を行います。

    • event-file-prefix.YYMMDDhhmmssms.evtx形式に一致するファイルを昇順でソートします。

    • 最後に処理されたファイルのタイムスタンプを使用して、処理が必要なファイルを判定します。部分的に処理されたファイルが見つかった場合、Log Collectorはすでに処理済みのイベントをスキップします。

イベント ファイル プレフィックスイベント ディレクトリ パスに保存された.evtファイルのプレフィックス(たとえば、adtlog.)。
拡張
イベント バッファ サイズ

各リクエストについてLog Collectorがイベント ソースから受信するデータの最大サイズ。

有効な値は0100 MBの範囲の数値です。この値はKB単位で指定します。

バッファを超えるイベントイベント バッファに対してイベントが大きすぎる場合の動作をLog Collectorに対して指定します。
最大イベント データ

出力に含めるイベント データの最大サイズ。有効な値は0511キロバイトの範囲の数値です。この値はKB単位またはMB単位で指定します。

  • 1 KB~100 MB
  • 0 = イベント データは出力に含められません。
サイクルごとの最大イベント数ポーリング サイクルごとのイベントの最大値(ポーリング サイクルごとに収集されるイベント数)です。
ポーリング間隔

ポーリングの間隔(秒)です。デフォルト値は180です。

たとえば、180と指定すると、Collectorは、イベント ソースへのポーリングを180秒ごとに実行します。直前のポーリング サイクル(収集)がまだ完了していない場合、そのサイクルが完了するまで待機します。ポーリング中のイベント ソースが多数ある場合、スレッドがビジーになるため、ポーリングが開始するまでに180秒より長くかかる場合があります。

デバッグ

注意:イベント ソースに問題が発生し、その問題を調査する必要がある場合にのみ、デバッグを有効に(このパラメータを「On」または「Verbose」に設定)します。デバッグを有効にすると、Log Collectorのパフォーマンスに影響があります。

イベント ソースのデバッグ記録を有効または無効にします。有効な値は次のとおりです。

  • Off = (デフォルト)無効
  • On = 有効
  • Verbose = Verboseモードが有効になります。スレッド情報やソース コンテキスト情報をメッセージに追加します。

このパラメータは、イベント収集の問題をデバッグまたは監視するような状況で使用するよう設計されています。この値を変更すると、変更はすぐに反映されます(再起動は不要です)。パフォーマンスへの影響を最小限にするために、デバッグのverboseモードは、監視するイベント ソース数が限定された環境で設定するようにしてください。

キャンセルWindows Legacyイベント ソースを追加せずにダイアログを閉じます。
OK現在のパラメータ値を新しいイベント ソースとして追加します。
You are here
Table of Contents > 収集プロトコル > Windows Legacy収集およびNetApp収集の構成ガイド > RSA NetWitnessでのWindows LegacyおよびNetAppイベント ソースの構成

Attachments

    Outcomes