ログおよびイベントデータストレージのベストプラクティスは、PCIやHIPAAなど、遵守しなければならないデータコンプライアンス規制に依存します。また、データベースの使用を最適化することも検討してください。データを過剰に保存すると、データベースのパフォーマンスやサイズ要件に影響を与える可能性があります。
データベースに過剰なデータを保存している場合、次の症状が発生する可能性があります:
  • システムがデータベース活動の損失を経験している可能性があるエラーメッセージ
  • ソフトウェア更新をインポートできません
  • Deep Securityの一般的な遅延
これらの症状を避けるには:
  1. 準拠する標準の要件に合わせて、システムイベントを保存します。
  2. システムおよびセキュリティイベントを外部ストレージに転送します。イベントを外部のSyslogまたはSIEMサーバに転送するを参照してください。その後、ローカルデータベースにイベントを保持する期間を短縮できます。
  3. セキュリティログ監視モジュールでイベントストレージまたはイベント転送のしきい値を設定します。[Severity clipping]を使用すると、イベントをSyslogサーバ (有効にされている場合) に送信するか、セキュリティログ監視ルールの重大度レベルに基づいてイベントを保存することができます。イベントストレージまたはイベント転送のしきい値を参照してください。
デフォルトのローカルストレージ設定は以下の表にあります。これらの設定を変更するには、[管理]→[システム設定]→[ストレージ]に移動してください。ソフトウェアバージョンや古いルール更新を削除するには、[管理]→[アップデート]→[ソフトウェア]→[ローカル]または[管理]→[アップデート]→[セキュリティ]→[ルール]に移動してください。
ヒント
ヒント
データベースのディスク使用量を減らすために、イベントを外部のSyslogサーバまたはSIEMに転送し、ローカルのイベント保持時間を短縮します。カウンタのみをローカルに保持します。
データ型設定
データ削除の初期設定
次の日数を経過した不正プログラム対策イベントを自動的に削除する
7日
次の日数を経過したWebレピュテーションイベントを自動的に削除する:
7日
次の日数を経過したファイアウォールイベントを自動的に削除する:
7日
次の日数を経過した侵入防御イベントを自動的に削除する:
7日
次の日数を経過した変更監視イベントを自動的に削除する:
7日
次の日数を経過したセキュリティログ監視イベントを自動的に削除する:
7日
次の日数を経過したアプリケーションコントロールイベントを自動的に削除する:
7日
次の日数を経過したデバイスコントロールイベントを自動的に削除する:
7日
次の期間を経過したシステムイベントを自動的に削除する:
53週間
次の期間を超過したサーバログを自動的に削除する:
7日
次の期間を経過したカウンタを自動的に削除する:
13週間
プラットフォームごとに保持しておく古いソフトウェアバージョンの数:*
5
保持しておく古いルールアップデートの数:
10
* マルチテナントが有効になっている場合、この設定は使用できません。
注意
注意
PostgreSQLデータベースを使用している場合、古いイベントはすぐには削除されないことがあります。PostgreSQLのメンテナンスジョブは定期的に古いイベントのデータベースパーティションを削除します。削除は次のスケジュールされたジョブの際に行われます。
イベントは個々のイベントの記録です。これらは[イベント]ページに表示されます。
カウンタは、個々のイベントが発生した回数です。ダッシュボードのウィジェット (過去7日間のファイアウォールイベントの数など) およびレポートの作成に使用されます。
サーバログファイルはDeep Security Managerのウェブサーバからのものです。ネットワークのウェブサーバにインストールされたエージェントからのイベントログは含まれていません。

トラブルシューティング

トラブルシューティング中に、ログレベルを上げてより詳細なイベントを記録することが役立つ場合があります。
ログの増加はディスクスペースの使用量を大幅に増加させる可能性があります。トラブルシューティングが完了したら、再度ログレベルを下げてください。
  1. [コンピュータエディタとポリシーエディタ]を開く。
  2. [設定]→[一般]→[ログレベル]に移動してください。
  3. このコンピュータに割り当てられたポリシーからログ記録のオーバーライド設定を継承する場合は [継承]、ログ記録の設定をオーバーライドしない場合は [オーバーライドしない]、トリガされたファイアウォールルールをすべて記録する場合は [完全なファイアウォールイベントのログ記録]、トリガされた侵入防御ルールをすべて記録する場合は [完全な侵入防御イベントのログ記録]、トリガされたルールをすべて記録する場合は [完全なログ記録] を選択します。
  4. [保存]をクリックします。

ログファイルのサイズを制限する

各個別のログファイルの最大サイズと、保持する最新ファイルの数を設定できます。イベントログファイルは、許可された最大サイズに達するまで書き込まれ、その時点で新しいファイルが作成され、最大サイズに達するまで書き込まれます。このプロセスは繰り返されます。ファイルの最大数に達すると、新しいファイルが作成される前に最も古いファイルが削除されます。イベントログエントリは通常約200バイトのサイズであり、4MBのログファイルには約20,000のログエントリが含まれます。ログファイルがどれだけ早く埋まるかは、設定されているルールの数に依存します。
  1. 構成したいポリシーの[コンピュータエディタとポリシーエディタ]を開きます。
  2. [設定]→[詳細]→[イベント]に移動してください。
  3. 次のプロパティを設定します。
    • イベントログファイルの最大サイズ (Agent/Appliance):: ログファイルの最大サイズです。このサイズに達すると、新しいファイルが作成されます。
    • 保管するイベントログファイル数 (on Agent/Appliance):: 保持されるログファイルの最大数。ログファイルの最大数に達すると、最も古いファイルが削除され、その後、新しいファイルが作成されます。
    • 次の送信元IPのイベントは記録しない:: このオプションは、Deep Security で特定の信頼されたコンピュータからのトラフィックのイベントが記録されないようにする場合に役立ちます。
      注意
      注意
      次の3つの設定により、イベント集約を微調整できます。ディスクスペースを節約するために、Deep Security Agentおよびアプライアンスは、同一イベントの複数の発生を1つのエントリに集約し、「繰り返し回数」、「最初の発生」タイムスタンプ、および「最後の発生」タイムスタンプを追加します。イベントエントリを集約するために、Deep Security Agentおよびアプライアンスはエントリをメモリにキャッシュし、その後ディスクに書き込みます。
    • キャッシュサイズ::任意の時点で追跡するイベントの種類の数を決定します。値を10に設定すると、10種類のイベントが追跡されます (繰り返し回数、最初の発生タイムスタンプ、および最後の発生タイムスタンプを含む)。新しい種類のイベントが発生すると、10個の集約されたイベントの中で最も古いものがキャッシュから消去され、ディスクに書き込まれます。
    • キャッシュの寿命::レコードをディスクに書き込む前にキャッシュに保持する時間を決定します。この値が10分で、他にレコードをディスクに書き込む原因がない場合、10分経過したレコードはディスクに書き込まれます。
    • キャッシュの有効期間::は、繰り返し回数が最近増加していないレコードをどのくらいの期間保持するかを決定します。キャッシュの有効期間が10分でキャッシュの非アクティブ期間が2分の場合、2分間増加していないイベントレコードはフラッシュされてディスクに書き込まれます。
      注意
      注意
      上記の設定にかかわらず、イベントがDeep Security Managerへ送信されるたびに、キャッシュは消去されます。
  4. [保存]をクリックしてください。

イベントログのヒント

  • 重要度の低いコンピュータでは、収集されるログの量を変更します。これは[コンピュータまたはポリシーエディタ]→[設定]→[詳細設定]タブの[イベント]および[ネットワークエンジンの詳細オプション]領域で行うことができます。
  • ファイアウォールステートフル設定でイベントログオプションを無効にして、ファイアウォールルール処理のイベントログを削減することを検討します。(たとえば、UDPログを無効にすると、許可されていないUDP応答のログエントリは除外されます。)
  • 侵入防御ルールの場合、破棄されたパケットのみをログに記録することをお勧めします。パケットの変更をログに記録すると、ログエントリが多くなりすぎることがあります。
  • 侵入防御ルールの場合、特定の攻撃の挙動に関する調査が必要なときのみパケットデータを含めます (侵入防御ルールの [プロパティ] 画面のオプション)。パケットデータはログサイズを増加させるため、すべてに使用すべきではありません。