以下のセクションでは、監査データのエクスポートを有効にする手順について説明します。Splunk™ サーバに監査データをエクスポートするために構成する場合、Splunk HTTP Event Collector (HEC) ホストおよびトークン情報があることを確認してください。Splunk HTTP Event Collector の構成に関する詳細は、『Splunk 取扱説明書』を参照してください。
重要:
- Kafka クラスタおよび Elasticsearch サーバへの出力は、Address Manager v9.5.0 でのみ構成できます。
- Address Manager v9.5.0 からは、監査データ エクスポート サービスが更新され、Address Manager サーバのホスト名を含む有効な JSON としてデータが出力されるようになりました。これにより、ログ管理ツール (Splunk サーバなど) を使用して、データを JSON として適切に解析できるようになり、ユーザは複数の Address Manager サーバが存在する環境でデータ ソースを特定しやすくなりました。警告: 既存の監査データ エクスポート構成を使用するユーザは、v9.5.0 にアップグレードした後、ログ管理ツール (データ シンク) の設定を更新しないとメッセージの受信を継続できない場合があります。アップグレード後にメッセージが受信されなくなった場合、ソースおよびシンク タイプを JSON が設定されていることを確認し、ログ ツールを再起動してください。
- 監査データのエクスポート サービスは、イベント データが HTTP、Splunk、Kafka、または Elasticsearch エンドポイントにエクスポートされる前にそのデータをバッファに保存します。サービスがデータをエンドポイントにエクスポートできない場合、イベント データは失われる可能性があります。サービスが有効でも機能していない場合、外部データベースに正常にエクスポートされるまで、BAM データベースで監査データを保持するための追加ディスク領域が消費されます。
- Address Manager v9.5.0 からは、イベントごとに送信される Address Manager データベース行の初期設定数は、デフォルトの Splunk 設定を超えないようにするため、20 から 5 へ減少しました。ただし、Address Manager データベース テーブルがデフォルト設定より大きくなる場合、イベントごとに送信される行の数はテーブル サイズに合わせて拡張します。これは、データベースが大きい場合にデフォルトの Splunk 制限を超過する可能性があることを意味します。Splunk 設定が大量のデータをエクスポートできるようにするために、お客様は監査データ エクスポート出力をモニタリングすることを推奨します。大量の監査データ エクスポート イベントの処理をサポートするために、以下の Splunk 設定を変更できます。イベントごとに送信される行の正確な数を指定し、詳細について次のリスト アイテムを参照するために、Address Manager サーバでパラメータを設定することもできます。
TRUNCATE 行ごとの文字数を定義します。制限に到達すると、超過文字は削除されます。 MAX_EVENTS 複数行イベントごとの最大行数を定義します。制限に到達するとイベントは分割され、超過行は新しいイベントとして解釈されます (これにより、新しいタイムスタンプが削除されることがあります)。 - Address Manager v9.5.0 からは、イベントごとに送信するデータベース テーブル行の正確な数を指定し、自動的な増加を無効にするために、Address Manager サーバでプロパティを構成できます。シンク設定の超過を回避するためにプロパティ構成が必要な場合、このサーバ プロパティの構成についてカスタマー ケアにお問い合わせください。警告: このプロパティが構成されており、システムがビジー状態の場合、シンクへの送信の前にデータを保持するために使用されるキューが増大し、ビジー システム内のディスク領域使用量が増加する可能性があります。このオプションを使用する場合、ユーザはディスク領域を慎重にモニタリングすることを推奨します。
- 災害復旧用にデータベースをレプリケーションする場合、レプリケーションを構成する前にすべての BAM で監査データのエクスポート サービスが有効になっていることを確認してください。すべての BAM で監査データのエクスポート サービスを有効にすると、監査データのエクスポート サービスとその設定がすべての BAM でレプリケーションに存在することが確実になり、フェールオーバーを実行できます。これにより、フェールオーバーが実行されても監査データが失われないことも確実になります。
- 監査データのエクスポートの前にデータベース レプリケーションを有効にした場合、既存レプリケーション環境で監査データのエクスポートを構成する手順について、BlueCat カスタマー ケアにお問い合わせください。
監査データのエクスポートを有効にするには:
監査データのエクスポートを有効にし、BAM でセッションおよびイベント ログを生成したら、受信側サーバにログインして詳細なイベント情報を確認します。
注: BAM UI は、SIEM ソリューションに完全に接続される前に完了します。したがって、ユーザは BAM でイベント ログをモニタリングしてエラーがないか確認して、エクスポートが実行されているか検証する必要があります。SNMP を取得するか、またはイベントのメール通知を受信するようにモニタリング サービスを設定することを推奨します。