目次

ログとイベントの保存

システムイベントとセキュリティイベントの保存期間の詳細については、長いイベントの保存 を参照してください。

ストレージを制御する手順

  1. セキュリティイベントを外部ストレージに転送します。「外部のSyslogサーバまたはSIEMサーバへのイベントの転送」を参照してください。
  2. セキュリティログ監視モジュールで、イベントの保存と転送に関するしきい値を設定します。[重要度のクリッピング] を使用すると、セキュリティログ監視ルールの重要度レベルに基づいて、イベントをSyslogサーバ (有効な場合) に送信、またはイベントを保存できます。詳細については、「イベントの保存と転送に関するしきい値」を参照してください。

ログファイルのサイズを制限する

個々のログファイルの最大サイズと、最新のファイルのうちいくつを保持するかを設定できます。イベントログファイルは、最大許容サイズに達するまで書き込まれます。最大サイズに達すると、新しいファイルが作成され、最大サイズに達するまで書き込まれます。ファイルが最大数に達すると、新しいファイルが作成される前に最も古いファイルが削除されます。イベントログエントリの平均サイズは通常約200バイトであるため、4MBのログファイルには約20,000件のログエントリが格納されます。ログファイルがいっぱいになるまでの時間は、設定されているルールの数によって異なります。

  1. 設定するポリシーの コンピュータまたはポリシーエディタ を開きます。
  2. [設定]→[詳細]→[イベント] の順に選択します。
  3. 次のプロパティを設定します。

    • イベントログファイルの最大サイズ (Agent/Appliance):ログファイルの最大サイズです。このサイズに達すると、新しいファイルが作成されます。
    • 保持するイベントログファイルの数 (Agent/Appliance上): 保持するログファイルの最大数。ログファイルが最大数に達すると、新しいファイルが作成される前に最も古いファイルが削除されます。
    • 次の送信元IPのイベントを記録しない: このオプションは、特定の信頼済みコンピュータからのトラフィックについて、ワークロードセキュリティでイベントを記録しない場合に便利です。

    次の3つの設定では、イベントの集約を微調整できます。ディスク容量を節約するために、エージェントは同一のイベントが複数回発生した場合、それらを1つのエントリに集約し、繰り返し回数、最初の発生のタイムスタンプ、および最終発生のタイムスタンプを追加します。イベントエントリを集約するには、エージェントがエントリをメモリにキャッシュしてからディスクに書き込む必要があります。

    • キャッシュサイズ: 任意の時点で追跡するイベントの数を決定します。値を10に設定すると、繰り返し回数、初出現、最終出現のタイムスタンプを付けた、10種類のイベントを追跡することになります。新規のイベントの種類が発生すると、最も古い10のイベントは集約され、キャッシュから消去されてディスクに書き込まれます。
    • キャッシュの存続期間: レコードをディスクにフラッシュするまでにキャッシュ内のレコードを保持する期間を指定します。値が10分に設定され、記録をフラッシュする状況が発生しなければ、10分を経過した記録はディスクへ書き込まれます。
    • **キャッシュ無効日時: ** 最近の増分カウントが更新されていないレコードを保持する期間を指定します。キャッシュの寿命が10分で有効期間が2分の場合、更新されずに2分経過したイベントのレコードはディスクへ書き込まれ、キャッシュから消去されます。

    これらの設定に関係なく、イベントがWorkload Securityに送信されるたびにキャッシュがフラッシュされます。

  4. [Save] をクリックします。

イベントログのヒント

  • 重要度が低いコンピュータのログ収集量を変更します。これは、 コンピュータまたはポリシーエディタの[設定]→[詳細な ]タブの Events および Advanced Network Engine Optionsの 領域で実行できます。
  • ファイアウォールのステートフル設定でイベントログオプションを無効にして、ファイアウォールルールアクティビティのイベントログを削減することを検討してください。たとえば、UDPログを無効にすると、不要なUDPログエントリが削除されます。
  • 侵入防御ルールの場合、破棄されたパケットのみをログに記録することをお勧めします。パケットの変更をログに記録すると、ログエントリが多くなりすぎることがあります。
  • 侵入防御ルールについては、特定の攻撃の動作を調査する場合にのみパケットデータを含めます (侵入防御ルールの [ プロパティ] ウィンドウのオプション)。パケットデータはログサイズを増加させるため、すべてに使用することはできません。