DNS 統計の構成 - BlueCat Integrity - 9.5.0

管理ガイド

Locale
日本語
Product name
BlueCat Integrity
Version
9.5.0

以下のセクションでは、DNS 統計を構成する手順について説明します。

重要: イベント メッセージを Splunk ホストに送信するために DNS 統計を構成する場合、Splunk サーバのデフォルト サイズ設定により、Splunk サーバは DNS 統計 JSON イベント メッセージを 短縮することがあります。これが発生した場合、props.conf ファイルで設定された短縮レベルを更新することを推奨します。詳しくは、『Splunk のドキュメント』を参照してください。

DNS/DHCP サーバ で DNS 統計を構成するには:

  1. 構成ドロップダウン メニューから、構成の 1 つを選択します。
  2. [サーバ] タブを選択します。
  3. [サーバ] で、BDDS の名前をクリックします。サーバの [詳細] タブが開きます。
  4. サーバ名メニューをクリックし、[サービス構成] を選択します。
  5. [サービス タイプ] ドロップダウン メニューの [正常性テレメトリ] セクションで、[DNS 統計] を選択します。Address Manager はサーバにクエリを実行して、サービス設定の現在の値を返します。
  6. [一般設定] で以下のパラメータを設定します。
    • DNS 統計の有効化: このチェックボックスを選択すると、DNS 統計が有効になります。このチェックボックスを選択解除すると、DNS 統計が無効になります。
      注: DNS 統計を有効にすると、DNS/DHCP サーバでファイアウォール ルールが変更され、指定された URI エンドポイントへのエグレスが許可されます。指定された IP アドレスに送信トラフィックが許可されます。
    • ポーリング間隔: DNS 統計イベントがポーリングされる頻度を設定します。最小値は 1 分、最大値は 30 日です。
    • 出力タイプ: DNS 統計データの記録場所を選択します。データを HTTP エンドポイント、Splunk サーバ、Kafka クラスタ、または Elasticsearch サーバにデータ ログを記録できます。
      [HTTP] を選択する場合、以下のフィールドが表示されます。
      • 出力 URI: DNS 統計情報を使用する予定の HTTP エンドポイントの URI を入力します。
        注:
        • このフィールドにエンドポイントの IP アドレスを入力することを推奨します。ホスト名を入力する場合、別の DNS サーバをそのホストのリゾルバとして使用する必要があります。DNS 統計を構成する場所の DNS/DHCP サーバは、クライアント用リゾルバとして使用することもできますが、独自の OS 関連参照用リゾルバとして使用することはできません。
        • URI でドメイン名が使用されている場合、DNS/DHCP サーバでドメイン名を解決できることを確認する必要があります。
        • [出力 URI] フィールドの URI は、RFC2396 で定められる形式に従う必要があります。
      • ベアラ トークン (オプション): HTTP エンドポイントの認証に使用されるベアラ トークンを入力します。
      • 正常性チェック: このチェックボックスを選択すると、正常性チェック サービスが有効になります。このチェックボックスを選択解除すると、正常性チェック サービスが無効になります。初期化時、正常性チェックは、ダウンストリーム サービスがアクセス可能で、DNS 統計データを受け入れることができることを確認します。
      • 正常性チェック URI: 正常性チェック情報を使用する予定の HTTP エンドポイントの URI を入力します。
        注: [正常性チェック URI] フィールドの URI は、RFC2396 で定められる形式に従う必要があります。
      [Splunk] を選択する場合、以下のフィールドが表示されます。
      • ホスト: Splunk HEC ホストの URI を入力します。Splunk Enterprise の HEC URI の標準形式は、次のとおりです。
        <protocol>://<FQDN or IP address of the host only>:<port>
        注:
        • このフィールドにエンドポイントの IP アドレスを入力することを推奨します。ホスト名を入力する場合、別の DNS サーバをそのホストのリゾルバとして使用する必要があります。DNS 統計を構成する場所の DNS/DHCP サーバは、クライアント用リゾルバとして使用することもできますが、独自の OS 関連参照用リゾルバとして使用することはできません。
        • URI でドメイン名が使用されている場合、DNS/DHCP サーバでドメイン名を解決できることを確認する必要があります。
        • いかなる要素の追加または省略なく、上の説明で規定される HEC URI 形式に正確に従っていることを確認します。ポートは必須です。例えデフォルトでも指定してください。URI にはスラッシュやフォルダを追加しないでください。
        • [ホスト] フィールドの URI は、RFC2396 で定められる形式に従う必要があります。
      • トークン: Splunk HEC トークンを入力します。
      • 正常性チェック: このチェックボックスを選択すると、正常性チェック サービスが有効になります。このチェックボックスを選択解除すると、正常性チェック サービスが無効になります。初期化時、正常性チェックは、ダウンストリーム サービスがアクセス可能で、DNS 統計データを受け入れることができることを確認します。
        注: このチェックボックスを選択すると、DNS/DHCP サーバは /services/collector/health/1.0 でデフォルトの Splunk 正常性チェック エンドポイントを使用します。
      [Kafka] を選択する場合、以下のフィールドが表示されます。
      • トピック: イベント書き込み先の Kafka トピックの名前を入力します。
      • ブートストラップ サーバ: ホストとポートのペアをコンマ区切りで入力します。このリストは、Kafka クライアントが初めてブートストラップする際にその接続先となる「ブートストラップ」 Kafka クラスタ内の Kafka Broker のアドレスです。このフィールドは、IPv4、IPv6、FQDN 値をサポートします。

        例:10.14.22.123:9092,10.14.23.332:9092

        注:
        • このフィールドには IP アドレスを入力することを推奨します。ホスト名を入力する場合、別の DNS サーバをそのホストのリゾルバとして使用する必要があります。DNS 統計を構成する場所の DNS/DHCP サーバは、クライアント用リゾルバとして使用することもできますが、独自の OS 関連参照用リゾルバとして使用することはできません。
        • Kafka ブローカーのアドレスに http または https を含めないでください。
        • ドメイン名が使用されている場合、DNS/DHCP サーバでドメイン名を解決できることを確認する必要があります。
      • 鍵フィールド (オプション): トピック鍵に使用するログ フィールド名またはタグ鍵を入力します。ログまたはタグ内にフィールドがない場合、空の値が使用されます。指定しない場合、鍵は送信されません。Kafka は、鍵のハッシュを使用してパーティションを選択するか、レコードに鍵が含まれない場合はラウンドロビン方式を使用します。
      • 正常性チェック: このチェックボックスを選択すると、正常性チェック サービスが有効になります。このチェックボックスを選択解除すると、正常性チェック サービスが無効になります。初期化時、正常性チェックは、ダウンストリーム サービスがアクセス可能で、DNS 統計データを受け入れることができることを確認します。
        注: 正常性チェック URI は Kafka Broker アドレスに基づいて構成されます。
      [Elasticsearch] を選択する場合、以下のフィールドが表示されます。
      • エンドポイント: ログ送信先の Elasticsearch エンドポイントを入力します。このフィールドは、IPv4、IPv6、FQDN 値をサポートします。

        例: http://10.24.32.122:9000

        例: https://example.com

        例: https://user:password@example.com

        注:
        • このフィールドには、エンドポイントの IP アドレスを入力することを推奨します。ホスト名を入力する場合、別の DNS サーバをそのホストのリゾルバとして使用する必要があります。DNS 統計を構成する場所の DNS/DHCP サーバは、クライアント用リゾルバとして使用することもできますが、独自の OS 関連参照用リゾルバとして使用することはできません。
        • ドメイン名が使用されている場合、DNS/DHCP サーバでドメイン名を解決できることを確認する必要があります。
      • 索引: イベントの書き込み先の Elasticsearch 索引名を入力します。
      • ユーザ: 基本認証ユーザ名を入力します。
      • パスワード: 基本認証パスワードを入力します。
      • 正常性チェック: このチェックボックスを選択すると、正常性チェック サービスが有効になります。このチェックボックスを選択解除すると、正常性チェック サービスが無効になります。初期化時、正常性チェックは、ダウンストリーム サービスがアクセス可能で、DNS 統計データを受け入れることができることを確認します。
        注: 正常性チェック URI は Elasticsearch インスタンスに基づいて構成されます。
    • TLS オプション: TLS オプションを構成するには、このチェックボックスを選択します。
      重要: 出力を構成するとき、[出力 URI]、[正常性チェック URI]、[ホスト]、[ブートストラップ サーバ]、または [エンドポイント] フィールドに HTTPS エンドポイントを入力する場合、このチェックボックスを選択し、TLS 情報を入力する必要があります。
      • [CA 証明書のアップロード] で [参照] をクリックし、リモート ホストの TLS サーバ証明書で CA 署名の認証に使用される CA 証明書 (信頼されたサードパーティまたは自己署名済み) を見つけます。
        注: CA 証明書または証明書バンドルを格納しているファイルは、PEM 形式でなければなりません。TLS ハンドシェイクの成功を確実にするためには、クライアント (BDDS) にアップロードされた CA 証明書は、サーバによって TLS サーバ証明書の CA 署名の認証に使用される CA 証明書 (および該当する場合は中間証明書) と同じでなければなりません。CA 証明書は、ブラウザ エクスポートまたはその他の信頼できるソースから取得し、PEM 形式に変換できます。
      • [アップロード] をクリックして CA 証明書をアップロードします。
      • アップロードされた CA 証明書とリモート ホストの TLS サーバ証明書を使用して TLS ハンドシェイクを試みる場合は、[証明書を確認] チェックボックスを選択します。
        注: [証明書を確認] は、アップロードされた証明書の信頼性を確認しません。このコンテキストにおいて [証明書を確認] は、有効なハンドシェイクを作成するために CA 証明書が正しく TLS サーバ証明書に一致するかどうかのみを確認します。
        注: [証明書を確認] でエラーが発生したら、場合によっては DNS/DHCP サーバで CA/チェーン CA 証明書を手動でインストールする必要があります。手動インストール手順については、BlueCat カスタマー ケア ポータルで KB-17944 を参照してください。
      • TLS ハンドシェイク時にサーバ証明書の CN (一般名) または SAN (サブジェクトの別名) に対して、URI のホスト名部分を検証するには、[ホスト名の検証] チェックボックスを選択します。
        注: 自己署名済み証明書を使用する場合、サブジェクトの別名と IP アドレス (RFC 5280 4.2.1.6 を参照) を追加するか、[ホスト名の検証] チェックボックスを無効にすることを推奨します。
  7. [バッファ] で以下のパラメータを設定します。
    • 最大イベント数: メモリ バッファ内に保存される DNS 統計イベントの最大数を入力します。イベントの最大値は 36,436,000 です。
  8. [更新] をクリックします。
    [更新] をクリックしても、DNS/DHCP サーバに DNS サービスがデプロイされなかった場合、DNS 統計イベントが発生するには、DNS/DHCP サーバで DNS デプロイメントを実行する必要があります。DNS サービスがすでに DNS/DHCP サーバで構成済みの場合、[更新] をクリックすると DNS 統計サービスが有効になります。

    [DNS アクティビティ統計] で、DNS 統計ログ サービスが DNS/DHCP サーバで実行中であるかどうかを確認できます。

    このサービスは、構成された宛先へ送信されるデータをバッチ処理します。バッチの期間が 1 秒に到達するか、バッチのサイズが 1049000 バイトに到達すると、バッチはシステムからフラッシュされ、構成された宛先へ送信されます。

    サービスが HTTP 応答ステータス コード 429 または 500 以降 (501 を除く) を受信すると、サービスは失敗した要求の送信を 5 回再実行しようと試みます。5 回再実行してもサービスがまだ失敗した要求を送信できない場合、イベント メッセージは削除され、エラー メッセージが記録されます。

DNS 統計を有効にすると、サービスは統計情報の収集を開始し、イベントを選択した宛先へ転送し始めます。xHA ペアで DNS 統計サービスを有効にした場合、プライマリ ノードは DNS 統計情報を取り込みます。
注: 選択した宛先へ転送される統計イベント情報が表示されない場合、DNS サービスが構成されており、DNS/DHCP サーバにデプロイされていることを確認してください。

ネットワーク エラーやシステム クラッシュなどのサービス中断が発生した場合、DNS 統計サービスはイベント ロスを軽減しようと試みます。ネットワーク接続問題が発生した場合、サービスは失敗した要求を再実行します。DNS サービスが実行中で DNS 統計を処理中の間、DNS/DHCP サーバで DNS 統計プロセスが停止すると、データが消失する可能性があります。