オフラインログファイルのインポート
管理者は、過去に生成されたログファイルのログを確認できます。過去に発生したセキュリティ脅威やパターンアノマリなどを、SmartEventをインストールする前に確認することができます。脆弱なホストに対する不正なスキャン、不正なグループ、DoS攻撃、ネットワークアノマリ、それ以外のホストベースのアクティビティなどの脅威を調査できます。
管理者は過去の一定期間のログをレビューし、アクティブかつ検知されていなかった脅威に対しリソース導入に注力できます(動的に更新される新しいイベントを過去の期間上で処理することができます)。
SmartEvent Serverからのログファイルのインポート
デフォルトで、過去1日のオフラインログをインポートすることができます。インポートする日数を増やすには、ログインデックス設定で変更します。
ログインデックス設定を変更するには
注 - 1日前より古いログをインポートするためには、SmartEventサーバをインストールする前に実行してください。
-
次を実行:
# evstop -
次を実行:
$INDEXERDIR/log_indexer -days_to_index <days><days>は、SmartEvent Serverでインデックス化するログの日数です。例えば、過去30日間のログをインポートしてインデックス化する場合、この値は30になります。注 - オフラインログをインデックス化する際にパフォーマンスへの影響を低減するには、必要な日数のログだけをインポートします。
-
SmartEventサーバのLogs > Storageページで、Keep indexed logs for...が選択されていない、または
days_to_indexで設定した日数以上で設定されていることを確認します。 -
次を実行:
# evstart
SmartEvent Serverdeオフラインログファイルのインデックス化を許可するには
-
ログファイルと関連するポインタファイル
<log file name>.log*を$FWDIR/logにコピーします。SmartEvent Serverへログを送るログサーバに、ファイルをコピーします。 -
オプション:各ログファイルに対してOffline Work for Correlated Eventsのプロシージャを実行します。このプロシージャは、イベントポリシー(SmartEvent GUIクライアントで定義)に基づいて相関分析を行う相関ユニットでログファイルを実行するために行います。
複数のログファイルにSmartEventオフラインジョブを実行する場合は、sk98894を参照してください。
相関イベントのオフライン作業
疑わしいログ記録アクティビティ(SmartEvent GUI > Policyのイベントポリシーに基づく)を検出するには、相関ユニットでオフラインログファイルを実行します。
オフラインログを生成する設定:SmartEvent GUIクライアント > Policyタブ > General Settings > Initial Settings > Offline Jobsで、Security Management ServersまたはMulti-Domain Serverに接続されている状態。
設定は以下のとおりです。
-
Add - オフラインログファイルプロシージャを設定します。
-
Name - 今後の処理で、特定のオフラインラインログファイルを認識できます。
-
Comment - オフラインジョブの内容。
-
Offline Job Parameters:
SmartEvent Correlation Unit:オフラインログを読み込んで処理するマシン。
Log Server:オフラインログファイルを含むマシン。SmartEventからこのログサーバにクエリを行い、利用可能なログファイルを見つけ出します。
Log File - 選択したログサーバで見つかった利用可能なログファイルのリスト。これらのログファイルはSmartEvent相関ユニットで処理されます。このウィンドウで、履歴情報を取得するログファイルを選択します。
-
-
Edit - オフラインログファイルプロシージャのパラメータを変更します。
-
Remove - オフラインログファイルプロシージャを削除します。オフラインログファイルプロシージャが開始した後は、削除できません。
-
Start - オフラインログファイルプロシージャを実行します。
-
Stop - オフラインログファイルプロシージャを停止します。プロシージャをすべて削除するわけではなく、特定のポイントでプロシージャを停止します。
