目次

ログとイベントの保存

イベントの保存期間を参照してください。システムおよびセキュリティイベントの保存期間については、 を参照してください。

ストレージを制御する手順

  1. セキュリティイベントを外部ストレージに転送します。「外部のSyslogサーバまたはSIEMサーバへのイベントの転送」を参照してください。
  2. セキュリティログ監視モジュールで、イベントの保存と転送に関するしきい値を設定します。[重要度のクリッピング] を使用すると、セキュリティログ監視ルールの重要度レベルに基づいて、イベントをSyslogサーバ (有効な場合) に送信、またはイベントを保存できます。詳細については、「イベントの保存と転送に関するしきい値」を参照してください。

ログファイルのサイズを制限する

個々のログファイルの最大サイズ、および保持される最新ファイルの数を指定できます。イベントログファイルは、最大許容サイズに達するまで書き込まれ、最大サイズに達すると新しいファイルが作成され、そのファイルが最大サイズに達するまで書き込まれます。最大ファイル数に達すると、最も古いファイルが削除され、その後、新しいファイルが作成されます。通常、イベントログエントリのサイズは平均約200バイトであるため、4MBのログファイルには約20,000ログエントリが保持されます。ログファイルがどのぐらいの期間でいっぱいになるかは、実行されるルールの数によって異なります。

  1. 設定するポリシーの コンピュータまたはポリシーエディタ を開きます。
  2. [設定]→[詳細]→[イベント] の順に選択します。
  3. 次のプロパティを設定します。

    • イベントログファイルの最大サイズ (Agent/Appliance):ログファイルの最大サイズです。このサイズに達すると、新しいファイルが作成されます。
    • 保管するイベントログファイル数 (Agent/Appliance):保持されるログファイルの最大数です。ログファイルの最大数に達すると、最も古いファイルが削除され、その後、新しいファイルが作成されます。
    • がソースIPアドレスが のイベントを記録しないこのオプションは、 Workload Security が特定の信頼されたコンピュータからのトラフィックのイベント記録を実行しないようにする場合に便利です。

    集約されたイベントは、次の3つの設定で調整します。ディスク領域を節約するために、エージェントは複数回発生する同一イベントを1つのエントリに集約し、「繰り返し回数」、「最初の発生」、および「最後の発生」のタイムスタンプを追加します。イベントエントリを集約するには、エージェントでエントリをメモリにキャッシュして、ディスクに書き込む必要があります。

    • キャッシュサイズ: 任意の時点で追跡するイベントの数を決定します。値を10に設定すると、繰り返し回数、初出現、最終出現のタイムスタンプを付けた、10種類のイベントを追跡することになります。新規のイベントの種類が発生すると、最も古い10のイベントは集約され、キャッシュから消去されてディスクに書き込まれます。
    • キャッシュの存続期間: レコードをディスクにフラッシュするまでにキャッシュ内のレコードを保持する期間を指定します。値が10分に設定され、記録をフラッシュする状況が発生しなければ、10分を経過した記録はディスクへ書き込まれます。
    • **キャッシュ無効日時: ** 最近の増分カウントが更新されていないレコードを保持する期間を指定します。キャッシュの寿命が10分で有効期間が2分の場合、更新されずに2分経過したイベントのレコードはディスクへ書き込まれ、キャッシュから消去されます。

    上記の設定に関係なく、 Workload Securityにイベントが送信されるたびにキャッシュがフラッシュされます。

  4. [Save] をクリックします。

イベントログのヒント

  • 重要度が低いコンピュータのログ収集量を変更します。これは、 コンピュータまたはポリシーエディタの[設定]→[詳細な ]タブの Events および Advanced Network Engine Optionsの 領域で実行できます。
  • [ファイアウォールステートフル設定] のログオプションを無効にして、ファイアウォールルール処理のイベントログを削減することを検討します(たとえば、UDPログを無効にすると、未承諾UDPのログエントリが除外されます)。
  • 侵入防御ルールの場合、破棄されたパケットのみをログに記録することをお勧めします。パケットの変更をログに記録すると、ログエントリが多くなりすぎることがあります。
  • 侵入防御ルールの場合、特定の攻撃の挙動に関する調査が必要なときのみパケットデータを含めます (侵入防御ルールの [プロパティ] 画面のオプション)。すべてのパケットデータを含めることは、ログサイズが大きくなるので推奨されません。