SmartEventの導入

SmartEvent ServerはSecurity Management Serverアーキテクチャに統合されています。ログサーバと通信してログ読み取りと分析を行います。Security Management ServerでSmartEventを有効にすることも、専用のログサーバを導入することもできます。

Security Management Serverのみ、SmartEvent Serverとして動作できます。マルチドメイン環境では、専用サーバにSmartEventをインストールする必要があります。

次の場合は、リモートのSmartEvent Server上でデータベースのインストール機能を実行する必要があります:

SmartEvent Server Blade(サーバオブジェクトのログインデックス作成など)を有効/無効にする場合。
新しいSmartEvent Serverをシステムに追加する場合。
SmartEvent Serverのログ設定を変更、または他のSmartEvent Serverオブジェクトを変更する場合。
SmartEvent Serverに影響する可能性があるグローバルプロパティへの変更を加える場合。

SmartEventライセンス

SmartEventは次の方法で導入できます。

SmartEventの一部として - SmartEventパッケージとして、更新可能な年間ライセンスが含まれています。
専用サーバとして - SmartEvent Serverの永久ライセンスを購入できます。

Security Management ServerでのSmartEventの有効化

SmartConsoleを開きます。
左側のナビゲーションパネルから[ゲートウェイ&サーバ]をクリックします。
Security Management Serverオブジェクトを開きます。
管理タブで、Software Bladeを選択します:
- ログ記録とステータス
- SmartEventサーバ
- SmartEvent相関ユニット
［OK］をクリックします。。
SmartConsoleセッションの公開。

注 - セキュリティゲートウェイR77.30およびそれ以前の場合、ネットワークアクティビティレポートのファイアウォールセッションを有効にします。ビューとレポートのエクスポートを参照してください。

システム要件

R81以前のバージョンの場合、1つのバージョンからのSmartEventサーバは複数の管理バージョンで管理することが可能です。

SmartEvent Serverの管理サーバサポート
	管理サーバのバージョン
SmartEventサーバのバージョン	R77.30	R80	R80.10	R80.20	R80.30	R80.40
R77.30
R80
R80.10
R80.20.M1
R80.30
R80.40

R81以降、SmartEvent Serverは同じバージョンのSecurity Management Serverでのみ管理できます。SmartEventをそれ以前のバージョンのSecurity Management Serverで管理することはサポートされません。

SmartEventを使用するには、 R81.10 Release Notes で要件を確認してください。

専用SmartEvent Serverのインストール

SmartEvent Serverのインストール方法については、 R81.10 Installation and Upgrade Guide を参照してください。

インストールするISOファイルをダウンロードします。
ISOをSmart-1アプライアンスまたはオープンサーバにインストールします。

パーティションのサイズを割り当てます:
- ルートパーティション: 最低20 GB
- ログパーティション: サーバで履歴を長く保持できるよう、ルートおよびバックアップの割り当て以上(可能な最高値)。
プロンプトが表示されたら、再起動します。
Gaia初期設定ウィザードを実行します。

初期設定ウィザードでのSmartEventコンポーネントの設定

Smart-1アプライアンスまたはオープンサーバのSmartEventに、専用サーバのコンポーネントを設定します。

SmartEvent Serverのインストール方法については、 R81.10 Installation and Upgrade Guide を参照してください。

R81.10 SmartEventのR81.10 Security Managementサーバへの接続

以下のプロシージャでは、次のコンポーネントの専用サーバの設定方法を示します:

SmartEvent ServerとSmartEvent相関ユニット

注 - 専用SmartEvent Serverのインストール方法については、 R81.10 Installation and Upgrade Guide を参照してください。

R81.10 SmartEvent ServerとSmartEvent相関ユニットをR81.10 Security Management Serverに接続するには

SmartConsoleで、SmartEvent Serverの専用サーバにCheck Pointホストオブジェクトを作成します。
バージョンフィールドで、R81.10を選択します。
専用SmartEvent ServerでSICトラストを作成します。
管理タブで、Software Bladeを選択します:
- ログ記録とステータス
- SmartEventサーバ
- SmartEvent相関ユニット
ログサーバではない専用SmartEvent Severで(推奨):

ログページで、ログのインデックス作成の有効化が選択されていないことを確認します。

これにより、ファイアウォール接続(ビューとレポートに関連しない)がインデックス作成されません。
［OK］をクリックします。。
SmartConsoleセッションの公開。
メニュー > データベースのインストール > すべてのオブジェクトを選択 > インストールをクリックします。

相関ユニットの1つである専用SmartEvent Serverの詳細設定

SmartEvent GUIを開きます
1. SmartConsole > ログ&モニタリングで、+をクリックしてカタログを開きます(新しいタブ)。
2. SmartEvent設定 & ポリシーをクリックします。
ポリシータブ > 相関ユニットで、相関ユニットオブジェクトを定義します。
SmartEvent Serverでログを読み取るよう運用ログサーバとローカルログサーバを選択します。
ポリシータブ > 内部ネットワークで、内部ネットワークを定義します。
［保存］をクリックします。。
イベントポリシーを相関ユニットにインストールします。

SmartEventメニュー > アクション > イベントポリシーのインストールをクリックします。

R81.10 SmartEventのR81.10マルチドメインサーバへの接続

SmartEventコンポーネントの専用R81.10サーバを設定し、R81.10マルチドメインセキュリティ管理環境の1つ以上のドメインに接続できます。

以下のプロシージャでは、次のSmartEventコンポーネントの専用サーバの設定方法を示します:

SmartEvent ServerとSmartEvent相関ユニット

注：

R81以降では、SmartEvent ServerとSmartEvent相関ユニットをグローバルドメインおよび特定ドメインのレベルで設定できます。
SmartEventで1つまたは複数のドメインからのログを読み取るよう設定します。

R81.10 SmartEvent ServerとSmartEvent相関ユニットをR81.10マルチドメインサーバのグローバルドメインに接続

SmartConsoleとグローバルドメインを接続します。
1. マルチドメインサーバに接続します。
2. ドメインのリストからグローバルを選択します。
専用のSmartEvent Server R81.10にCheck Pointホストオブジェクトを作成します。
Check Pointホストオブジェクト > 一般のプロパティページ > 管理タブで、Software Bladeを選択します:
- ログ記録とステータス
- SmartEventサーバ
- SmartEvent相関ユニット
専用SmartEvent Server R81.10でSICを初期化します。
［OK］をクリックします。。
SmartConsoleセッションの公開。
SmartEventを使用するドメインのグローバルポリシーを再割り当てします。

新しいドメインには新しくグローバル割り当てを作成します。
SmartEventを使用する各ドメイン管理サーバで:
1. SmartConsoleを開きます。
2. メニュー>ポリシー > データベースのインストール >すべてのオブジェクトを選択 > インストールをクリックします。
3. ドメイン管理サーバが同期してSmartEventのプロセスを読み込むまで待ちます。

R81.10 SmartEvent ServerとSmartEvent相関ユニットをR81.10マルチドメインサーバの特定ドメインに接続

SmartConsoleと特定のドメインを接続します。
1. マルチドメインサーバに接続します。
2. ドメインのリストから該当する特定のグローバルを選択します。
専用のSmartEvent Server R81.10にCheck Pointホストオブジェクトを作成します。
Check Pointホストオブジェクト > 一般のプロパティページ > 管理タブで、Software Bladeを選択します:
- ログ記録とステータス
- SmartEventサーバ
- SmartEvent相関ユニット
専用SmartEvent Server R81.10でSICを初期化します。
［OK］をクリックします。。
SmartConsoleセッションの公開。
メニュー>ポリシー > データベースのインストール >すべてのオブジェクトを選択 > インストールをクリックします。
ドメイン管理サーバが同期してSmartEventのプロセスを読み込むまで待ちます。

相関ユニットの1つである専用SmartEvent Serverの詳細設定(R81.10 SmartEventのR81.10 Security Management Serverへの接続)も参照してください。

注 - セキュリティゲートウェイR77.30およびそれ以前の場合、ビューとレポートのエクスポートで、ネットワークアクティビティレポートのファイアウォールセッションを有効にします。

SmartEventで非標準LEAポートを使用する設定

サードパーティ製ログサーバを対象に、ログを送ったり取得したりできます。Check Point Log Serverとサードパーティ製ログサーバでは、LEA (ログエクスポートAPI)プロトコルを使用してログを読み取ります。デフォルトでは、Check Point Log Serverは接続にポート18184を使用します。ログサーバで別のLEAポートを使用するよう設定している場合、手動で新しいポートをSmartEventサーバとSmartEvent相関ユニットに設定する必要があります。

注 - Log Exporterを使用する場合このプロシージャは該当しません。

デフォルトのLEAのポートを変更するには

$INDEXERDIR/log_indexer_custom_settings.confをテキストエディタで開きます。
次の行をに追加します。

:lea_port (<new_port_number>)
ファイルでの変更を保存して終了します。
SmartEventクライアントで、新しいポートを相関ユニットに設定します。
ポリシータブ > 相関ユニットで、ローカルのログサーバ(SmartEvent Server)からログを読み取るよう相関ユニットを設定します。
SmartEvent Serverで、新しいポートを相関ユニットに設定します。
1. ポリシータブ > ネットワークオブジェクトで、SmartEvent Serverオブジェクトをダブルクリックします。
2. LEAポート番号パラメータを<new_port_number>に変更します。
イベントポリシーを相関ユニットにインストールします。(アクション > イベントポリシーのインストールをクリック)
SmartEventサーバで
1. cpstopを実行します。
2. $FWDIR/conf/fwopsec.confをテキストエディタで開きます。
3. 以下のパラメータを設定します。
  
  lea_server auth_port <new_port_number>
  lea_server port 0
4. ファイルでの変更を保存して終了します。
5. cpstartを実行します。

SmartEventで外部ログを読み取る設定

SmartEventで外部管理のログサーバまたは外部のSecurity Management Serverからログを読み取るよう設定するには、sk35288を参照してください。

外部管理のログサーバは、SmartEvent Serverを管理するサーバとは異なるSecurity Management Serverで管理されます。外部のSecurity Management Serverは、SmartEvent Serverを管理するサーバではありません。