Deep Security 11のサポートは終了しています。バージョンセレクタ(上記)を使用して、より新しいバージョンのヘルプセンターを表示します。

本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。

ログとイベントの保存に関するベストプラクティス

ログおよびイベントのデータストレージのベストプラクティスは、満たす必要があるデータコンプライアンス規制(PCIやHIPAAなど)によって異なります。また、データベースの使用を最適化することも検討する必要があります。保存するデータが多すぎると、データベースのパフォーマンスやサイズの要件に影響する可能性があります。

データベースのデータを大量に格納していると、システムでデータベースのアクティビティが失われたり、ソフトウェアのアップデートをインポートできなかったり、 Deep Securityで一般的な処理が遅くなったりするというエラーメッセージが表示されることがあります。

上記の現象を回避するには、次の手順を実行します。

  1. 準拠する標準の要件に合わせて、保存するシステムイベントを設定します。

  2. システムおよびモジュールのイベントをsyslogサーバ (SIEM) に転送するように設定します。詳細については、Deep SecurityイベントをSyslogまたはSIEMサーバに転送するを参照してください。これにより、必要に応じて [ストレージ] タブで保持期間を短縮できるようになります。

  3. セキュリティログ監視モジュールで、イベントの保存と転送に関するしきい値を設定します。重要度のクリッピングを使用すると、セキュリティログ監視ルールの重要度レベルに基づいて、イベントをSyslogサーバ (有効な場合) に送信、またはイベントを保存できます。詳細については、セキュリティログ監視イベントの転送と保存を設定するを参照してください。

次の表に、ローカルストレージの初期設定を示します。これらの設定を変更するには、[管理]→[システム設定]→[ストレージ] の順に選択します。ソフトウェアバージョンまたは古いルールアップデートを削除するには、[管理]→[アップデート]→[ソフトウェア]→[ローカル] または [管理]→[アップデート]→[セキュリティ]→[ルール] に移動します。

データベースのディスク使用量を削減するには、イベントを外部SyslogサーバまたはSIEMに転送し、ローカルのイベント保持期間を短縮します。ローカルではカウンタのみを保持してください。
データタイプの設定 データ削除の初期設定
次の日数を経過した不正プログラム対策イベントを自動的に削除する 7日
次の日数を経過したWebレピュテーションイベントを自動的に削除する: 7日
次の日数を経過したファイアウォールイベントを自動的に削除する: 7日
次の日数を経過した侵入防御イベントを自動的に削除する: 7日
次の日数を経過した変更監視イベントを自動的に削除する: 7日
次の日数を経過したセキュリティログ監視イベントを自動的に削除する: 7日
次の日数を経過したアプリケーションコントロールイベントを自動的に削除する: 7日
次の期間を経過したシステムイベントを自動的に削除する: 53週間
次の期間を超過したサーバログを自動的に削除する: 7日
次の期間を経過したカウンタを自動的に削除する: 13週間
platfromfrom:*ごとに保持する古いソフトウェアバージョンの数 5
保存する古いルールのアップデート数: 10

1 マルチテナントが有効な場合、この設定は使用できません。

2 ソフトウェアのバージョンまたは古いルールのアップデートを削除するには、 の[管理]→[アップデート]→[ソフトウェア]→[ローカル]または[管理]→[アップデート]→[セキュリティ]→[ルール]の順に選択します。

ほとんどの設定は保護モジュールのイベントログの最大保持期間で、カウンタは各種イベントログの総数です。これらの設定は、レポートの生成とダッシュボードのウィジェットへの入力に使用されます。サーバログファイルDeep Security ManagerのWebサーバのデータで、ネットワークのWebサーバにインストールされたAgentのイベントログは含まれません。

トラブルシューティング

トラブルシューティングのために、ログレベルを上げて、より多くのイベントを記録します。ログレベルを上げると、イベントログの合計サイズが大幅に増えるため、使用時には注意してください。

  1. 設定するコンピュータまたはポリシーエディタClosedYou can change these settings for a policy or for a specific computer. To change the settings for a policy, go to the Polices page and double-click the policy that you want to edit (or select the policy and click Details). To change the settings for a computer, go to the Computers page and double-click the computer that you want to edit (or select the computer and click Details).を開きます。
  2. [設定]→[一般]→[ログレベル] の順に選択します。
  3. このコンピュータに割り当てられたポリシーからログ記録のオーバーライド設定を継承する場合は [継承]、ログ記録の設定をオーバーライドしない場合は [オーバーライドしない]、トリガされたファイアウォールルールをすべて記録する場合は [完全なファイアウォールイベントのログ記録]、トリガされた侵入防御ルールをすべて記録する場合は [完全な侵入防御イベントのログ記録]、トリガされたルールをすべて記録する場合は [完全なログ記録] を選択します。
  4. [保存] をクリックして変更を適用します。

ログファイルのサイズを制限する

個々のログファイルの最大サイズ、および保持される最新ファイルの数を指定できます。イベントログファイルは、最大許容サイズに達するまで書き込まれ、最大サイズに達すると新しいファイルが作成され、そのファイルが最大サイズに達するまで書き込まれます。最大ファイル数に達すると、最も古いファイルが削除され、その後、新しいファイルが作成されます。通常、イベントログエントリのサイズは平均約200バイトであるため、4MBのログファイルには約20,000ログエントリが保持されます。ログファイルがどのぐらいの期間でいっぱいになるかは、実行されるルールの数によって異なります。

  1. 設定するポリシーのコンピュータまたはポリシーエディタClosedYou can change these settings for a policy or for a specific computer. To change the settings for a policy, go to the Polices page and double-click the policy that you want to edit (or select the policy and click Details). To change the settings for a computer, go to the Computers page and double-click the computer that you want to edit (or select the computer and click Details).を開きます。
  2. [設定]→[詳細]→[イベント] の順に選択します。
  3. 次のプロパティを設定します。

    • イベントログファイルの最大サイズ (Agent/Appliance):ログファイルの最大サイズです。このサイズに達すると、新しいファイルが作成されます。
    • 保管するイベントログファイル数 (Agent/Appliance):保持されるログファイルの最大数です。ログファイルの最大数に達すると、最も古いファイルが削除され、その後、新しいファイルが作成されます。
    • 次の送信元IPのイベントは記録しない:このオプションは、Deep Securityで特定の信頼されたコンピュータからのトラフィックのイベントが記録されないようにする場合に役立ちます。
      集約されたイベントは、次の3つの設定で調整します。ディスク容量を節約するため、Deep Security AgentおよびApplianceは複数発生する同一イベントを1つのエントリに集約し、「繰り返し回数」および「初出現」と「最終出現」のタイムスタンプを追加します。イベントエントリを集約するために、Deep Security AgentおよびApplianceでは、エントリをメモリ内にキャッシュしてからディスクに書き込む必要があります。
    • キャッシュサイズ: 指定された時間にいくつのイベントの種類を追跡するか決定します。値を10に設定すると、繰り返し回数、初出現、最終出現のタイムスタンプを付けた、10種類のイベントを追跡することになります。新規のイベントの種類が発生すると、最も古い10のイベントは集約され、キャッシュから消去されてディスクに書き込まれます。
    • キャッシュの寿命: ディスクへ書き込まれる前に、どれだけの期間キャッシュに保存するかを決定します。値が10分に設定され、記録をフラッシュする状況が発生しなければ、10分を経過した記録はディスクへ書き込まれます。
    • キャッシュの有効期間: 最近更新されていない繰り返し回数のレコードをどのくらいの期間保持しておくかを決定します。キャッシュの寿命が10分で有効期間が2分の場合、更新されずに2分経過したイベントのレコードはディスクへ書き込まれ、キャッシュから消去されます。
      上記の設定にかかわらず、イベントがDeep Security Managerへ送信されるたびに、キャッシュは消去されます。
  4. [保存] をクリックします。

イベントログのヒント