本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。リンク切れなどお気づきの点がございましたら、トレンドマイクロサポート窓口までご連絡ください。

ログとイベントの保存に関するベストプラクティス

イベントのデータの保存に関するベストプラクティスは、準拠する必要があるPCIやHIPAAなどの規制に応じて異なります。Deep Security as a Serviceのセキュリティイベント保持期間は32~39日間、システムイベント保持期間は13~17週間です (データベースメンテナンスの日程により変動します)。

考慮すべき手順:

  1. セキュリティイベントを外部ストレージに転送します。外部のSyslogサーバまたはSIEMサーバへのDeep Securityイベントの転送を参照してください。

  2. セキュリティログ監視モジュールで、イベントの保存と転送に関するしきい値を設定します。[重要度のクリッピング] を使用すると、セキュリティログ監視ルールの重要度レベルに基づいて、イベントをSyslogサーバ (有効な場合) に送信、またはイベントを保存できます。詳細については、セキュリティログ監視イベントの転送と保存を設定するを参照してください。

ログファイルのサイズを制限する

個々のログファイルの最大サイズ、および保持される最新ファイルの数を指定できます。イベントログファイルは、最大許容サイズに達するまで書き込まれ、最大サイズに達すると新しいファイルが作成され、そのファイルが最大サイズに達するまで書き込まれます。最大ファイル数に達すると、最も古いファイルが削除され、その後、新しいファイルが作成されます。通常、イベントログエントリのサイズは平均約200バイトであるため、4MBのログファイルには約20,000ログエントリが保持されます。ログファイルがどのぐらいの期間でいっぱいになるかは、実行されるルールの数によって異なります。

  1. 設定するポリシーのコンピュータエディタまたはポリシーエディタこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。 ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。 コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。を開きます。
  2. [設定]→[詳細]→[イベント] の順に選択します。
  3. 次のプロパティを設定します。

    • イベントログファイルの最大サイズ (Agent/Appliance):ログファイルの最大サイズです。このサイズに達すると、新しいファイルが作成されます。
    • 保管するイベントログファイル数 (Agent/Appliance):保持されるログファイルの最大数です。ログファイルの最大数に達すると、最も古いファイルが削除され、その後、新しいファイルが作成されます。
    • 次の送信元IPのイベントは記録しない:このオプションは、Deep Securityで特定の信頼されたコンピュータからのトラフィックのイベントが記録されないようにする場合に役立ちます。
      集約されたイベントは、次の3つの設定で調整します。ディスク容量を節約するため、Deep Security AgentおよびApplianceは複数発生する同一イベントを1つのエントリに集約し、「繰り返し回数」および「初出現」と「最終出現」のタイムスタンプを追加します。イベントエントリを集約するために、Deep Security AgentおよびApplianceでは、エントリをメモリ内にキャッシュしてからディスクに書き込む必要があります。
    • キャッシュサイズ: 指定された時間にいくつのイベントの種類を追跡するか決定します。値を10に設定すると、繰り返し回数、初出現、最終出現のタイムスタンプを付けた、10種類のイベントを追跡することになります。新規のイベントの種類が発生すると、最も古い10のイベントは集約され、キャッシュから消去されてディスクに書き込まれます。
    • キャッシュの寿命: ディスクへ書き込まれる前に、どれだけの期間キャッシュに保存するかを決定します。値が10分に設定され、記録をフラッシュする状況が発生しなければ、10分を経過した記録はディスクへ書き込まれます。
    • キャッシュの有効期間: 最近更新されていない繰り返し回数のレコードをどのくらいの期間保持しておくかを決定します。キャッシュの寿命が10分で有効期間が2分の場合、更新されずに2分経過したイベントのレコードはディスクへ書き込まれ、キャッシュから消去されます。
      上記の設定にかかわらず、イベントがDeep Security Managerへ送信されるたびに、キャッシュは消去されます。
  4. [保存] をクリックします。

イベントログのヒント