本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。
本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。
ログとイベントの保存に関するベストプラクティス
ログおよびイベントのデータストレージのベストプラクティスは、PCIやHIPAAなど、満たす必要があるデータコンプライアンス規制に基づいています。また、データベースを最適に使用できるように考慮する必要があります。保存するデータが多すぎると、データベースのパフォーマンスやサイズの要件に影響する可能性があります。
データベースに保存するデータが多すぎると、次のような症状が発生することがあります。
- データベースの処理が実行されていない可能性を示すエラーメッセージが表示される
- ソフトウェアアップデートをインポートできない
- Deep Securityの一般な低速化
これらの症状を防ぐには、次の手順に従います。
-
準拠する標準の要件に合わせて、保存するシステムイベントを設定します。
-
システムおよびセキュリティイベントを外部ストレージに転送します。Deep SecurityイベントをSyslogまたはSIEMサーバに転送するを参照してください。これにより、ローカルデータベースでのイベント保持期間を短縮できるようになります。
-
セキュリティログ監視モジュールで、イベントの保存と転送に関するしきい値を設定します。[重要度のクリッピング] を使用すると、セキュリティログ監視ルールの重要度レベルに基づいて、イベントをSyslogサーバ (有効な場合) に送信、またはイベントを保存できます。詳細については、セキュリティログ監視イベントの転送と保存を設定するを参照してください。
次の表に、ローカルストレージの初期設定を示します。これらの設定を変更するには、[管理]→[システム設定]→[ストレージ] の順に選択します。ソフトウェアバージョンまたは古いルールアップデートを削除するには、[管理]→[アップデート]→[ソフトウェア]→[ローカル] または [管理]→[アップデート]→[セキュリティ]→[ルール] に移動します。
データタイプの設定 | データ削除の初期設定 |
---|---|
次の日数を経過した不正プログラム対策イベントを自動的に削除する | 7日 |
次の日数を経過したWebレピュテーションイベントを自動的に削除する: | 7日 |
次の日数を経過したファイアウォールイベントを自動的に削除する: | 7日 |
次の日数を経過した侵入防御イベントを自動的に削除する: | 7日 |
次の日数を経過した変更監視イベントを自動的に削除する: | 7日 |
次の日数を経過したセキュリティログ監視イベントを自動的に削除する: | 7日 |
次の日数を経過したアプリケーションコントロールイベントを自動的に削除する: | 7日 |
次の日数を経過したデバイスコントロールイベントを自動的に削除する: | 7日 |
次の期間を経過したシステムイベントを自動的に削除する: | 53週間 |
次の期間を超過したサーバログを自動的に削除する: | 7日 |
次の期間を経過したカウンタを自動的に削除する: | 13週間 |
プラットフォームごとに保持しておく古いソフトウェアバージョンの数: * | 5 |
保持しておく古いルールアップデートの数: | 10 |
* マルチテナントが有効になっている場合、この設定は使用できません。
イベントは、個々のイベントのレコードです。イベントは [イベント] ページに表示されます。
カウンタは、個々のイベントが発生した回数です。カウンタはダッシュボードのウィジェット (過去7日間のファイアウォールイベントの数など) およびレポートに表示されます。
サーバのログファイル は、 Deep Security ManagerのWebサーバから取得したログファイルです。ネットワークのWebサーバにインストールされたAgentのイベントログは含まれません。
トラブルシューティング
トラブルシューティングの際にログレベルを上げてイベントをより詳細に記録すると、問題解決に役立つ場合があります。
- コンピュータまたはポリシーエディタこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。を開きます。
- [設定]→[一般]→[ログレベル] の順に選択します。
- このコンピュータに割り当てられたポリシーからログ記録のオーバーライド設定を継承する場合は [継承]、ログ記録の設定をオーバーライドしない場合は [オーバーライドしない]、トリガされたファイアウォールルールをすべて記録する場合は [完全なファイアウォールイベントのログ記録]、トリガされた侵入防御ルールをすべて記録する場合は [完全な侵入防御イベントのログ記録]、トリガされたルールをすべて記録する場合は [完全なログ記録] を選択します。
- [保存] をクリックします。
ログファイルのサイズを制限する
個々のログファイルの最大サイズ、および保持される最新ファイルの数を指定できます。イベントログファイルは、最大許容サイズに達するまで書き込まれ、最大サイズに達すると新しいファイルが作成され、そのファイルが最大サイズに達するまで書き込まれます。最大ファイル数に達すると、最も古いファイルが削除され、その後、新しいファイルが作成されます。通常、イベントログエントリのサイズは平均約200バイトであるため、4MBのログファイルには約20,000ログエントリが保持されます。ログファイルがどのぐらいの期間でいっぱいになるかは、実行されるルールの数によって異なります。
- 設定するポリシーのコンピュータエディタまたはポリシーエディタこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。を開きます。
- [設定]→[詳細]→[イベント] の順に選択します。
-
次のプロパティを設定します。
- イベントログファイルの最大サイズ (Agent/Appliance):ログファイルの最大サイズです。このサイズに達すると、新しいファイルが作成されます。
- 保管するイベントログファイル数 (Agent/Appliance):保持されるログファイルの最大数です。ログファイルの最大数に達すると、最も古いファイルが削除され、その後、新しいファイルが作成されます。
- が次の送信元IPを持つイベントを記録しない: Deep Securityが特定の信頼するコンピュータからのトラフィックに対してレコードイベントを作成しないようにする場合に便利です。
集約されたイベントは、次の3つの設定で調整します。ディスク容量を節約するために、 Deep Security AgentおよびApplianceは同じイベントが複数発生し、それらを1つのエントリに集約し、「repeat count」、「first occurrence」のタイムスタンプ、および「last occurrence」のタイムスタンプを追加します。イベントエントリを集約するには、 Deep Security AgentおよびApplianceがメモリ内のエントリをキャッシュしてディスクに書き込む必要があります。
- キャッシュサイズ: 指定された時間にいくつのイベントの種類を追跡するか決定します。値を10に設定すると、繰り返し回数、初出現、最終出現のタイムスタンプを付けた、10種類のイベントを追跡することになります。新規のイベントの種類が発生すると、最も古い10のイベントは集約され、キャッシュから消去されてディスクに書き込まれます。
- キャッシュの寿命: ディスクへ書き込まれる前に、どれだけの期間キャッシュに保存するかを決定します。値が10分に設定され、記録をフラッシュする状況が発生しなければ、10分を経過した記録はディスクへ書き込まれます。
- キャッシュの有効期間: 最近更新されていない繰り返し回数のレコードをどのくらいの期間保持しておくかを決定します。キャッシュの寿命が10分で有効期間が2分の場合、更新されずに2分経過したイベントのレコードはディスクへ書き込まれ、キャッシュから消去されます。
上記の設定に関係なく、キャッシュは、イベントがDeep Security Managerに送信されるたびにフラッシュされます。
- [保存] をクリックします。
イベントログのヒント
- 重要度が低いコンピュータのログ収集量を変更します。この設定は、コンピュータエディタまたはポリシーエディタこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。の [設定]→[詳細] タブにある、[イベント] エリアおよび [ネットワークエンジンの詳細オプション] エリアで変更できます。
- [ファイアウォールステートフル設定] のログオプションを無効にして、ファイアウォールルール処理のイベントログを削減することを検討します(たとえば、UDPログを無効にすると、未承諾UDPのログエントリが除外されます)。
- 侵入防御ルールの場合、破棄されたパケットのみをログに記録することをお勧めします。パケットの変更をログに記録すると、ログエントリが多くなりすぎることがあります。
- 侵入防御ルールの場合、特定の攻撃の挙動に関する調査が必要なときのみパケットデータを含めます (侵入防御ルールの [プロパティ] 画面のオプション)。すべてのパケットデータを含めることは、ログサイズが大きくなるので推奨されません。