本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。
ログとイベントの保存に関するベストプラクティス
ログとイベントのデータの保存に関するベストプラクティスは、準拠する必要があるPCIやHIPAAなどの規制に応じて異なります。また、データベースを最適に使用できるように考慮する必要があります。保存するデータが多すぎると、データベースのパフォーマンスやサイズの要件に影響する可能性があります。
データベースに保存するデータが多すぎる場合は、エラーメッセージが表示されてデータベースの処理を実行できなくなったり、ソフトウェアアップデートをインポートできなくなったり、単純にDeep Securityの処理全体が遅くなったりする現象が生じることがあります。
上記の現象を回避するには、次の手順に従います。
-
準拠する標準の要件に合わせて、保存するシステムイベントを設定します。
-
システムおよびモジュールのイベントをSyslogサーバまたはSIEMに転送するように設定します。詳細については、外部のSyslogサーバまたはSIEMサーバへのイベントの転送を参照してください。これにより、必要に応じて [ストレージ] タブで保持期間を短縮できるようになります。
-
セキュリティログ監視モジュールで、イベントの保存と転送に関するしきい値を設定します。これにより、Deep Securityのドキュメントで「重要度に基づく削除」と呼んでいる機能を使用して、syslogサーバ (有効な場合) へのイベントの送信やイベントの保存をセキュリティログ監視ルールの重要度に基づいて制御することができます。詳細については、イベントの保存と転送に関するしきい値を参照してください。
次の表に、ローカルストレージの初期設定を示します。これらの設定を変更するには、[管理]→[システム設定]→[ストレージ] の順に選択します。ソフトウェアのバージョンまたは古いルールのアップデートを削除するには、 の[管理]→[アップデート]→[ソフトウェア]→[ローカル ]または[の管理]→[アップデート]→[セキュリティ]→[ルール]の順に選択します。
データタイプの設定 | データ削除の初期設定 |
---|---|
次の日数を経過した不正プログラム対策イベントを自動的に削除する: | 7日間 |
次の日数を経過したWebレピュテーションイベントを自動的に削除する: | 7日間 |
次の日数を経過したファイアウォールイベントを自動的に削除する: | 7日間 |
次の日数を経過した侵入防御イベントを自動的に削除する: | 7日間 |
次の日数を経過した変更監視イベントを自動的に削除する: | 7日間 |
次の日数を経過したセキュリティログ監視イベントを自動的に削除する: | 7日間 |
次の日数を経過したアプリケーションコントロールイベントを自動的に削除する: | 7日間 |
次の期間を経過したシステムイベントを自動的に削除する: | 53週間 |
次の期間を超過したサーバログを自動的に削除する: | 7日間 |
次の期間を経過したカウンタを自動的に削除する: | 13週間 |
プラットフォームごとに保持しておく古いソフトウェアバージョンの数:*† | 5件まで |
保持しておく古いルールアップデートの数:† | 10件まで |
* マルチテナントを有効にした場合、この設定は使用できません。
† ソフトウェアバージョンまたは古いルールアップデートを削除するには、[管理]→[アップデート]→[ソフトウェア]→[ローカル] または [管理]→[アップデート]→[セキュリティ]→[ルール] に移動します。