システムおよびセキュリティイベントの保存期間の詳細については、長期イベントの保存を参照してください。
ストレージを制御する手順
- セキュリティイベントを外部ストレージに転送します。イベントを外部のSyslogまたはSIEMサーバに転送するを参照してください。
- ログインスペクションモジュールでイベントストレージまたはイベント転送のしきい値を設定します。[重要度のクリッピング]を使用すると、イベントをSyslogサーバ (有効な場合) に送信したり、ログインスペクションルールの重大度レベルに基づいてイベントを保存したりできます。セキュリティログ監視を参照してください。
ログファイルのサイズを制限する 
各個のログファイルの最大サイズと、保持する最新ファイルの数を設定できます。イベントログファイルは、最大許可サイズに達するまで書き込まれ、その後新しいファイルが作成され、再び最大サイズに達するまで書き込まれます。ファイルの最大数に達すると、新しいファイルが作成される前に最も古いファイルが削除されます。イベントログエントリは通常約200バイトのサイズであるため、4MBのログファイルには約20,000のログエントリを保持できます。ログファイルがどれだけ早くいっぱいになるかは、設定されているルールの数に依存します。
- 構成したいポリシーの[コンピュータエディタとポリシーエディタ]を開きます。
- の順に選択します。
- 次のプロパティを設定します。
- [イベントログファイルの最大サイズ (Agent/Appliance):] ログファイルが新しく作成される前に到達できる最大サイズ。
- [保管するイベントログファイル数 (Agent/Appliance):]保持されるログファイルの最大数。ログファイルの最大数に達すると、新しいファイルが作成される前に最も古いファイルが削除されます。
- [次の送信元IPのイベントは記録しない:] このオプションは、特定の信頼できるコンピュータからのトラフィックに対してWorkload Securityがイベントを記録しないようにしたい場合に便利です。
次の3つの設定では、イベントの集約を微調整できます。ディスク容量を節約するために、エージェントは同一のイベントが複数回発生した場合、それらを1つのエントリに集約し、繰り返し回数、最初の発生のタイムスタンプ、および最終発生のタイムスタンプを追加します。イベントエントリを集約するには、エージェントがエントリをメモリにキャッシュしてからディスクに書き込む必要があります。- [キャッシュサイズ:]は、任意の時点で追跡するイベントの種類の数を決定します。値を10に設定すると、10種類のイベントが追跡されます (繰り返し回数、最初の発生時刻、および最後の発生時刻を含む)。新しい種類のイベントが発生すると、10個の集約されたイベントの中で最も古いものがキャッシュから削除され、ディスクに書き込まれます。
- [キャッシュの寿命:]は、キャッシュ内のレコードをディスクにフラッシュするまでの保持時間を決定します。この値が10分で、他にレコードをフラッシュする原因がない場合、10分経過したレコードはディスクにフラッシュされます。
- [キャッシュの有効期間:]は、繰り返し回数が最近増加していないレコードをどのくらいの期間保持するかを決定します。キャッシュの有効期間が10分でキャッシュの非アクティブ期間が2分の場合、2分間増加しなかったイベントレコードはフラッシュされ、ディスクに書き込まれます。
これらの設定に関係なく、イベントがWorkload Securityに送信されるたびにキャッシュがフラッシュされます。 - [保存] をクリックします。
イベントログガイドライン
- 重要度の低いコンピュータでは、収集するログの量を変更します。これは、タブの[イベント]および[ネットワークエンジンの詳細オプション]エリアで行うことができます。
- ファイアウォールのステートフル設定でイベントログオプションを無効にして、ファイアウォールルールアクティビティのイベントログを削減することを検討してください。たとえば、UDPログを無効にすると、不要なUDPログエントリが削除されます。
- 侵入防御ルールの場合、破棄されたパケットのみをログに記録することをお勧めします。パケットの変更をログに記録すると、ログエントリが多くなりすぎることがあります。
- IPSルールでは、特定の攻撃の挙動を調査する場合にのみ、パケットデータを含めてください (IPSルールの[プロパティ]ウィンドウのオプション)。パケットデータはログサイズを増加させるため、すべてに使用すべきではありません。