参照イベントの保存期間システムイベントとセキュリティイベントの保存期間の詳細については、を参照してください。
ストレージを制御するために考慮すべき手順:
手順
- セキュリティイベントを外部ストレージに転送します。参照外部SyslogサーバまたはSIEMサーバへのイベントの転送。
- イベントの保存または転送に関するログ検査モジュールのしきい値を設定します。 [重大度のクリッピング] を使用すると、Syslogサーバにイベントを送信したり (有効な場合)、ログインスペクションルールの重大度に基づいてイベントを保存したりできます。参照イベントストレージまたはイベント転送のしきい値。
次に進む前に
ログファイルサイズの制限
個々のログファイルの最大サイズと、最新のファイルのうちいくつを保持するかを設定できます。イベントログファイルは、最大許容サイズに達するまで書き込まれます。最大サイズに達すると、新しいファイルが作成され、最大サイズに達するまで書き込まれます。ファイルが最大数に達すると、新しいファイルが作成される前に最も古いファイルが削除されます。イベントログエントリの平均サイズは通常約200バイトであるため、4MBのログファイルには約20,000件のログエントリが格納されます。ログファイルがいっぱいになるまでの時間は、設定されているルールの数によって異なります。
手順
- 設定するポリシーの [コンピュータエディタとポリシーエディタ] を開きます。
- に移動 。
- 次のプロパティを設定します。
- [イベントログファイルの最大サイズ (Agent/Appliance):] 新しいログファイルが作成されるまでのログファイルの最大サイズ。
- [保管するイベントログファイル数 (Agent/Appliance):] 保持するログファイルの最大数。ログファイルが最大数に達すると、新しいファイルが作成される前に最も古いファイルが削除されます。
- [次の送信元IPのイベントは記録しない:] このオプションは、特定の信頼済みコンピュータからのトラフィックのイベントを Server & Workload Protection に記録させたくない場合に便利です。
注意
次の3つの設定では、イベントの集約を微調整できます。ディスク容量を節約するために、エージェントは同一のイベントが複数回発生した場合、それらを1つのエントリに集約し、「繰り返し回数」、「最初の発生」、および「最終発生」のタイムスタンプを追加します。イベントエントリを集約するには、エージェントがエントリをメモリにキャッシュしてからディスクに書き込む必要があります。- [キャッシュサイズ:] 任意の時点で追跡するイベントの種類の数を決定します。値を10に設定すると、10種類のイベントが追跡されます (繰り返し回数、初回発生タイムスタンプ、および最終発生タイムスタンプ付き)。新しい種類のイベントが発生すると、集約された10件のイベントのうち最も古いイベントがキャッシュから消去され、ディスクに書き込まれます。
- [キャッシュの寿命:] レコードをディスクにフラッシュする前にキャッシュに保持する期間を指定します。この値が10分で、それ以外に何もレコードがフラッシュされない場合、10分経過したレコードはすべてディスクにフラッシュされます。
- [キャッシュの有効期間:] 繰り返し回数が最近増加していないレコードを保持する期間を指定します。 Cache Lifetimeが10分で、Cache Staletimeが2分の場合、増分されずに2分経過したイベントレコードはフラッシュされ、ディスクに書き込まれます。
注意
上記の設定に関係なく、イベントが Server & Workload Protectionに送信されるたびにキャッシュがフラッシュされます。 - [保存]をクリックします。
次に進む前に
イベントログのヒント
- 重要度の低いコンピュータでは、収集するログの量を変更します。これは、イベントそしてネットワークエンジンの詳細オプションの領域 タブをクリックします。
- ファイアウォールのステートフル設定でイベントログオプションを無効にして、ファイアウォールルールアクティビティのイベントログを削減することを検討してください。 (たとえば、UDPログを無効にすると、不要なUDPログエントリが削除されます)。
- 侵入防御ルールのベストプラクティスは、ドロップされたパケットのみをログに記録することです。パケットの変更をログに記録すると、ログエントリが多すぎる可能性があります。
- 侵入防御ルールでは、特定の攻撃の動作を調査する場合にのみパケットデータを含めます (侵入防御ルールの Properties ウィンドウのオプション)。パケットデータはログサイズを増加させるため、すべてに使用することはできません。