監査データのエクスポートの有効化 - BlueCat Integrity - 9.5.0

管理ガイド
Locale
日本語
Product name
BlueCat Integrity
Version
9.5.0

以下のセクションでは、監査データのエクスポートを有効にする手順について説明します。Splunk™ サーバに監査データをエクスポートするために構成する場合、Splunk HTTP Event Collector (HEC) ホストおよびトークン情報があることを確認してください。Splunk HTTP Event Collector の構成に関する詳細は、『Splunk 取扱説明書』を参照してください。

重要:
  • Kafka クラスタおよび Elasticsearch サーバへの出力は、Address Manager v9.5.0 でのみ構成できます。
  • Address Manager v9.5.0 からは、監査データ エクスポート サービスが更新され、Address Manager サーバのホスト名を含む有効な JSON としてデータが出力されるようになりました。これにより、ログ管理ツール (Splunk サーバなど) を使用して、データを JSON として適切に解析できるようになり、ユーザは複数の Address Manager サーバが存在する環境でデータ ソースを特定しやすくなりました。
    警告: 既存の監査データ エクスポート構成を使用するユーザは、v9.5.0 にアップグレードした後、ログ管理ツール (データ シンク) の設定を更新しないとメッセージの受信を継続できない場合があります。アップグレード後にメッセージが受信されなくなった場合、ソースおよびシンク タイプを JSON が設定されていることを確認し、ログ ツールを再起動してください。
  • 監査データのエクスポート サービスは、イベント データが HTTP、Splunk、Kafka、または Elasticsearch エンドポイントにエクスポートされる前にそのデータをバッファに保存します。サービスがデータをエンドポイントにエクスポートできない場合、イベント データは失われる可能性があります。サービスが有効でも機能していない場合、外部データベースに正常にエクスポートされるまで、BAM データベースで監査データを保持するための追加ディスク領域が消費されます。
  • Address Manager v9.5.0 からは、イベントごとに送信される Address Manager データベース行の初期設定数は、デフォルトの Splunk 設定を超えないようにするため、20 から 5 へ減少しました。ただし、Address Manager データベース テーブルがデフォルト設定より大きくなる場合、イベントごとに送信される行の数はテーブル サイズに合わせて拡張します。これは、データベースが大きい場合にデフォルトの Splunk 制限を超過する可能性があることを意味します。Splunk 設定が大量のデータをエクスポートできるようにするために、お客様は監査データ エクスポート出力をモニタリングすることを推奨します。
    大量の監査データ エクスポート イベントの処理をサポートするために、以下の Splunk 設定を変更できます。
    TRUNCATE 行ごとの文字数を定義します。制限に到達すると、超過文字は削除されます。
    MAX_EVENTS 複数行イベントごとの最大行数を定義します。制限に到達するとイベントは分割され、超過行は新しいイベントとして解釈されます (これにより、新しいタイムスタンプが削除されることがあります)。
    イベントごとに送信される行の正確な数を指定し、詳細について次のリスト アイテムを参照するために、Address Manager サーバでパラメータを設定することもできます。
  • Address Manager v9.5.0 からは、イベントごとに送信するデータベース テーブル行の正確な数を指定し、自動的な増加を無効にするために、Address Manager サーバでプロパティを構成できます。シンク設定の超過を回避するためにプロパティ構成が必要な場合、このサーバ プロパティの構成についてカスタマー ケアにお問い合わせください。
    警告: このプロパティが構成されており、システムがビジー状態の場合、シンクへの送信の前にデータを保持するために使用されるキューが増大し、ビジー システム内のディスク領域使用量が増加する可能性があります。このオプションを使用する場合、ユーザはディスク領域を慎重にモニタリングすることを推奨します。
  • 災害復旧用にデータベースをレプリケーションする場合、レプリケーションを構成する前にすべての BAM で監査データのエクスポート サービスが有効になっていることを確認してください。すべての BAM で監査データのエクスポート サービスを有効にすると、監査データのエクスポート サービスとその設定がすべての BAM でレプリケーションに存在することが確実になり、フェールオーバーを実行できます。これにより、フェールオーバーが実行されても監査データが失われないことも確実になります。
  • 監査データのエクスポートの前にデータベース レプリケーションを有効にした場合、既存レプリケーション環境で監査データのエクスポートを構成する手順について、BlueCat カスタマー ケアにお問い合わせください。

監査データのエクスポートを有効にするには:

  1. [管理] タブを選択します。タブは最後に作業したページを記憶するので、もう一度タブを選択して、[管理] ページにいることを確認します。
  2. [データ管理] で、[監査データ設定] をクリックします。
  3. [監査データのエクスポート] をクリックします。
  4. [一般] で以下のパラメータを設定します。
    • 監査データのエクスポートを有効化: このチェックボックスを選択すると、[監査データのエクスポート] 機能が有効になります。
    • ログの宛先: 監査データのエクスポート先を選択します。データを HTTP エンドポイント、Splunk サーバ、Kafka クラスタ、または Elasticsearch サーバにデータ ログを記録できます。
      [HTTP] を選択する場合、以下のフィールドが表示されます。
      • 出力 URI: HTTP の URI を入力します。
        注:
        • このフィールドにエンドポイントの IP アドレスを入力することを推奨します。
        • [出力 URI] フィールドの URI は、RFC2396 で定められる形式に従う必要があります。
      • 正常性チェック: このチェックボックスを選択すると、正常性チェック サービスが有効になります。このチェックボックスを選択解除すると、正常性チェック サービスが無効になります。初期化時、正常性チェックは、ダウンストリーム サービスがアクセス可能で、監査データを受け入れることができることを確認します。
      • 正常性チェック URI: 正常性チェック情報を使用する予定の HTTP エンドポイントの URI を入力します。
        注: [正常性チェック URI] フィールドの URI は、RFC2396 で定められる形式に従う必要があります。
      [Splunk] を選択する場合、以下のフィールドが表示されます。
      • ホスト: Splunk HEC ホストの URI を入力します。Splunk Enterprise の HEC URI の標準形式は、次のとおりです。
        <protocol>://<FQDN or IP address of the host only>:<port>
        注:
        • このフィールドにエンドポイントの IP アドレスを入力することを推奨します。
        • いかなる要素の追加または省略なく、上の説明で規定される HEC URI 形式に正確に従っていることを確認します。ポートは必須です。例えデフォルトでも指定してください。URI にはスラッシュやフォルダを追加しないでください。
        • [ホスト] フィールドの URI は、RFC2396 で定められる形式に従う必要があります。
      • トークン: Splunk HEC トークンを入力します。
      • 正常性チェック: このチェックボックスを選択すると、正常性チェック サービスが有効になります。このチェックボックスを選択解除すると、正常性チェック サービスが無効になります。初期化時、正常性チェックは、ダウンストリーム サービスがアクセス可能で、監査データを受け入れることができることを確認します。
        注: このチェックボックスを選択すると、Address Manager サーバは /services/collector/health/1.0 でデフォルトの Splunk 正常性チェック エンドポイントを使用します。
      [Kafka] を選択する場合、以下のフィールドが表示されます。
      • トピック: イベント書き込み先の Kafka トピックの名前を入力します。
      • ブートストラップ サーバ: ホストとポートのペアをコンマ区切りで入力します。このリストは、Kafka クライアントが初めてブートストラップする際にその接続先となる「ブートストラップ」 Kafka クラスタ内の Kafka Broker のアドレスです。このフィールドは、IPv4、IPv6、FQDN 値をサポートします。

        例:10.14.22.123:9092,10.14.23.332:9092

        注:
        • このフィールドには IP アドレスを入力することを推奨します。
        • Kafka ブローカーのアドレスに http または https を含めないでください。
      • 鍵フィールド (オプション): トピック鍵に使用するログ フィールド名またはタグ鍵を入力します。ログまたはタグ内にフィールドがない場合、空の値が使用されます。指定しない場合、鍵は送信されません。Kafka は、鍵のハッシュを使用してパーティションを選択するか、レコードに鍵が含まれない場合はラウンドロビン方式を使用します。
      • 正常性チェック: このチェックボックスを選択すると、正常性チェック サービスが有効になります。このチェックボックスを選択解除すると、正常性チェック サービスが無効になります。初期化時、正常性チェックは、ダウンストリーム サービスがアクセス可能で、監査データを受け入れることができることを確認します。
        注: 正常性チェック URI は Kafka Broker アドレスに基づいて構成されます。
      [Elasticsearch] を選択する場合、以下のフィールドが表示されます。
      • エンドポイント: ログ送信先の Elasticsearch エンドポイントを入力します。このフィールドは、IPv4、IPv6、FQDN 値をサポートします。

        例: http://10.24.32.122:9000

        例: https://example.com

        例: https://user:password@example.com

        注:
        • このフィールドにエンドポイントの IP アドレスを入力することを推奨します。
      • 索引: イベントの書き込み先の Elasticsearch 索引名を入力します。
      • ユーザ: 基本認証ユーザ名を入力します。
      • パスワード: 基本認証パスワードを入力します。
      • 正常性チェック: このチェックボックスを選択すると、正常性チェック サービスが有効になります。このチェックボックスを選択解除すると、正常性チェック サービスが無効になります。初期化時、正常性チェックは、ダウンストリーム サービスがアクセス可能で、監査データを受け入れることができることを確認します。
        注: 正常性チェック URI は Elasticsearch インスタンスに基づいて構成されます。
    • TLS オプション: TLS オプションを構成するには、このチェックボックスを選択します。
      重要: 出力を構成するとき、[出力 URI]、[正常性チェック URI]、[ホスト]、[ブートストラップ サーバ]、または [エンドポイント] フィールドに HTTPS エンドポイントを入力する場合、このチェックボックスを選択し、TLS 情報を入力する必要があります。
      • [CA 証明書のアップロード] で [参照] をクリックし、リモート ホストの TLS サーバ証明書で CA 署名の認証に使用される CA 証明書 (信頼されたサードパーティまたは自己署名済み) を見つけます。
        注: CA 証明書または証明書バンドルを格納しているファイルは、PEM 形式でなければなりません。TLS ハンドシェイクの成功を確実にするためには、クライアント (BAM) にアップロードされた CA 証明書は、サーバによって TLS サーバ証明書の CA 署名の認証に使用される CA 証明書 (および該当する場合は中間証明書) と同じでなければなりません。CA 証明書は、ブラウザ エクスポートまたはその他の信頼できるソースから取得し、PEM 形式に変換できます。
      • [アップロード] をクリックして CA 証明書をアップロードします。
      • アップロードされた CA 証明書とリモート ホストの TLS サーバ証明書を使用して TLS ハンドシェイクを試みる場合は、[証明書を確認] チェックボックスを選択します。
        注: [証明書を確認] は、アップロードされた証明書の信頼性を確認しません。このコンテキストにおいて [証明書を確認] は、有効なハンドシェイクを作成するために CA 証明書が正しく TLS サーバ証明書に一致するかどうかのみを確認します。
        注: [証明書を確認] でエラーが発生したら、場合によっては Address Manager サーバで CA/チェーン CA 証明書を手動でインストールする必要があります。手動インストール手順については、BlueCat カスタマー ケア ポータルで KB-17944 を参照してください。
      • TLS ハンドシェイク時にサーバ証明書の CN (一般名) または SAN (サブジェクトの別名) に対して、URI のホスト名部分を検証するには、[ホスト名の検証] チェックボックスを選択します。
        注: 自己署名済み証明書を使用する場合、サブジェクトの別名と IP アドレス (RFC 5280 4.2.1.6 を参照) を追加するか、[ホスト名の検証] チェックボックスを無効にすることを推奨します。
  5. [更新] をクリックします。
監査データのエクスポートを有効にし、BAM でセッションおよびイベント ログを生成したら、受信側サーバにログインして詳細なイベント情報を確認します。
注: BAM UI は、SIEM ソリューションに完全に接続される前に完了します。したがって、ユーザは BAM でイベント ログをモニタリングしてエラーがないか確認して、エクスポートが実行されているか検証する必要があります。SNMP を取得するか、またはイベントのメール通知を受信するようにモニタリング サービスを設定することを推奨します。