基本的な手順は、サポートされているすべての収集プロトコルで同じです。
-
収集対象のイベント ソースを設定します。 サポート対象の各イベント ソースの構成ドキュメントが、RSA Linkの「RSA Supported Event Sources」領域で入手できます。
- RSA Linkの「RSA Supported Event Sources」領域に移動します。
-
イベント ソースに対応する手順を検索します。
「Overview」ページには現在サポートされているすべてのイベント ソースに加え、収集方法、デバイス クラス、サポートされるバージョンに関する情報が一覧表示されます。
- イベント ソースに対応する構成手順をダウンロードし、それらに従ってください。
- RSA NetWitness Suiteで収集を構成します。イベント ソース構成ガイドには、これらの手順が記載されています。ただし、このガイドには、イベント ソースで使用される収集方法に基づいた手順も記載されています。詳細については、「収集プロトコル」を参照してください。
- 収集方法に対応するサービスを開始します。 通常、この収集方法を使用する最初のイベント ソースに対してのみこの作業を行う必要があります。たとえば、初めてファイルの収集を使用するイベント ソースを構成するときに、NetWitness Suiteでファイル サービスを開始する必要がある場合があります。
- イベント ソースに対して収集が機能しているか確認します。
以下では、ステップ2、3、および4について詳しく説明します。
RSA NetWitness Suiteでの収集の構成
イベント ソースを構成するプロセスは、それらのソースが使用する収集方法によって異なります。ただし、これらのプロセスは非常に似ていることに注意してください。次の手順は一般的な手順です。個別の収集方法の詳細については、それぞれの特定の収集方法の詳細について説明するトピックに記載されています。
- NetWitness Suiteメニューから[管理]>[サービス]に移動します。
- [Log Collector]サービスを選択します。
- [アクション]で、
>[表示]>[構成]を選択して、ログ収集に関する構成パラメータのタブを表示します。
-
[イベント ソース]タブをクリックします。
- Log Collectorの[イベント ソース]タブで、ドロップダウン メニューから収集方法を選択します。
-
[イベント カテゴリ]パネル ツールバーで、
をクリックします。
[使用可能なイベント ソース タイプ]ダイアログ ボックスが表示されます。
-
イベント ソース タイプを選択し、[OK]をクリックします。
新しく追加されたイベント ソース タイプが[イベント カテゴリ]パネルに表示されます。
-
[イベント カテゴリ]パネルで新しいタイプを選択し、[ソース]ツールバーで
をクリックします。
[ソースの追加]ダイアログが表示されます。
-
指定可能なパラメータの値を入力します。
構成している特定の収集方法の「パラメータ」セクションを参照してください。
- [OK]をクリックします。
収集方法に対応するサービスの開始
収集方法に対応するサービスを開始するには、次の手順を実行します。
- [管理]>[サービス]に移動します。
- Log Collectorを選択し、
>[表示]>[システム]を選択します。
-
[収集]>[protocol]>[開始]をクリックします。
ここでprotocoは、Netflowなどの開始するプロトコルです。
イベント ソースに対して収集が機能していることの確認
Netflow収集の稼働状況は、[管理]>[ヘルスモニタ]>[イベント ソース モニタリング]タブで確認できます。
イベント ソースに対して収集が機能しているか確認するには、次の手順を実行します。
- [管理]>[ヘルスモニタ]に移動します。
- [イベント ソース モニタリング]タブをクリックします。
- グリッドで、[Log Decoder]、[イベント ソース]、[イベント ソース タイプ]を確認します。
- イベント ソースの[件数]列で、収集がイベントを受信していることを確認します。