Novell Doc: Sentinel Log Manager 1.1インストールガイド

1.1 製品の概要

Novell Sentinel Log Manager 1.1は、柔軟かつスケーラブルなログ管理ソリューションを組織に提供します。Novell Sentinel Log Managerは、ログの収集および管理に関する基本的な問題に対処するためのログ管理ソリューションです。また、リスク管理におけるコストと複雑さの削減およびコンプライアンス要件の単純化に重点を置いた完全なソリューションを実現します。

図 1-1 Novell Sentinel Log Managerのアーキテクチャ

Novell Sentinel Log Managerには次の特長があります。

分散検索機能により、ローカルのSentinel Log Managerサーバだけでなく、複数のSentinel Log Managerサーバで、収集されたイベントを中央のコンソールから検索できます。
コンプライアンスレポートがあらかじめ用意されているので、監査および法令分析用のコンプライアンスレポートを簡単に作成できます。
非専有ストレージテクノロジを使用し、既存のインフラストラクチャを活用してコストを詳細に管理できます。
ログデータの収集、保存、レポーティング、および検索をサポートするブラウザベースのユーザインタフェースが強化され、タスクの監視および管理が大幅に単純化されました。
IT管理者は、新しいグループおよびユーザ権限機能を使用したきめの細かい効率的な管理とカスタマイズが可能になり、ITインフラの動作に関するさらなる透明性を確保できます。

このセクションでは、次の項目について説明します。

1.1.1 イベントソース

Novell Sentinel Log Managerは、Syslog、Windowsイベントログ、ファイル、データベース、SNMP、Novell Audit、Security Device Event Exchange (SDEE)、Check Point Open Platforms for Security (OPSEC)、およびその他のストレージメカニズムやプロトコルにログを生成するイベントソースからデータを収集します。

Sentinel Log Managerでは、イベントソースからのデータを解析するための適切なコネクタがあれば、それらのイベントソースをすべてサポートします。Novell Sentinel Log Managerには、各種イベントソース用のコレクタが用意されています。認識されていないイベントソースであっても、適切なコネクタがあれば、一般的なイベントコレクタでデータを収集して処理することができます。

データ収集対象とするイベントソースは、イベントソースの管理インタフェースで設定できます。

サポートされるすべてのイベントソースのリストについては、セクション 2.6, サポートされるイベントソースを参照してください。

1.1.2 イベントソースの管理

イベントソースの管理インタフェースにより、Sentinel 6.0および6.1のコネクタとコレクタをインポートおよび環境設定できます。

イベントソースの管理ウィンドウのライブビューを使用して次のタスクを実行できます。

環境設定ウィザードを使用してイベントソースに対する接続を追加または編集する。
イベントソースへの接続のステータスをリアルタイムに表示する。
ライブビューで、イベントソースの環境設定をインポートまたはエクスポートする。
Sentinelとともにインストールされているコネクタとコレクタを表示および環境設定する。
中央リポジトリとの間で、コネクタとコレクタをインポートまたはエクスポートする。
環境設定されたコレクタおよびコネクタを通過するデータを監視する。
生データ情報を表示する。
イベントソース階層のコンポーネントを設計、環境設定、および作成し、これらのコンポーネントを使用して必要なアクションを実行する。

詳細については、『Sentinelユーザガイド』の「イベントソースの管理」セクションを参照してください。

1.1.3 データコレクション

Novell Sentinel Log Managerは、コネクタおよびコレクタを使用して、環境設定されたイベントソースからデータを収集します。

コレクタは、さまざまなイベントソースからのデータを解析して正規化されたSentinelイベント構造に変換したり、場合によっては外部のデータソースから別の形式のデータを収集したりします。各コレクタは、互換性のあるコネクタと対で展開する必要があります。コネクタは、Sentinel Log Managerコレクタとイベントソースまたはデータソースとの間の接続を容易にします。

Novell Sentinel Log Managerでは、SyslogおよびNovell Auditに対応したWebベースのユーザインタフェースを通じて、さまざまなイベントソースからログを容易に収集することができます。

Novell Sentinel Log Managerでは、次のようなさまざまな接続方式を使用してデータを収集できます。

Syslogコネクタは、User Datagram Protocol (UDP)、Transmission Control Protocol (TCP)、またはセキュアなTransport Layer System (TLS)でデータを送信するSyslogデータソースを自動的に認識し、環境設定します。
監査コネクタは、監査に対応したNovellデータソースを自動的に認識および環境設定します。
ファイルコネクタはログファイルを読み込みます。
SNMPコネクタは、SNMPトラップを受信します。
JDBCコネクタは、データベーステーブルから読み込みます。
WMSコネクタは、デスクトップおよびサーバ上のWindowsイベントログにアクセスします。
SDEEコネクタはCiscoデバイスなどのSDEEプロトコルをサポートするデバイスに接続します。
Check Point Log Export API (LEA)コネクタは、SentinelコレクタとCheck Pointファイアウォールサーバ間の統合を容易にします。
Sentinel Linkコネクタは、他のNovell Sentinel Log Managerサーバからのデータを認識します。
プロセスコネクタは、イベントログの出力用に作成されたカスタムプロセスからのデータを認識します。

追加のライセンスを購入して、SAPおよびメインフレームオペレーティングシステム用のコネクタをダウンロードすることもできます。

ライセンスを取得するには、1-800-529-3400にお電話いただくか、Novellテクニカルサポートにお問い合わせください。

コネクタの環境設定の詳細については、SentinelコンテンツのWebサイトのコネクタのドキュメントを参照してください。

データコレクションの環境設定の詳細については、『Sentinel Log Manager 1.1 Administration Guide（Sentinel Log Manager 1.1管理ガイド）』の「Configuring Data Collection」を参照してください。

メモ:常に最新バージョンのコレクタおよびコネクタをダウンロードしてインポートする必要があります。最新のコレクタおよびコネクタは定期的にSentinel 6.1のコンテンツのWebサイトにアップロードされます。コネクタおよびコレクタのアップデートには、プログラムの修正、追加イベントのサポート、パフォーマンスの向上などが含まれます。

1.1.4 コレクタマネージャ

コレクタマネージャは、Sentinel Log Managerのための、柔軟なデータ収集ポイントです。Novell Sentinel Log Managerのインストール時に、デフォルトでコレクタマネージャがインストールされます。ただし、ネットワーク内のリモートな場所にコレクタマネージャをインストールすることもできます。このリモートのコレクタマネージャがコネクタおよびコレクタを使用して収集したデータは、Novell Sentinel Log Managerに転送され、そこで保存および処理されます。

追加のコレクタマネージャのインストールについては、追加のコレクタマネージャのインストールを参照してください。

1.1.5 データストレージ

データは、データコレクションコンポーネントからデータストレージコンポーネントに移動します。これらのコンポーネントは、ファイルベースのデータストレージとインデックスシステムを使用して、収集したデバイスログデータを保持します。また、PostgreSQLデータベースを使用して、Novell Sentinel Log Managerの環境設定データを保持します。

データはサーバのファイルシステムに圧縮形式で保存され、設定された場所に長期間保存されます。データは、ローカルに保存することも、リモートでマウントされたSMB (CIFS)またはNFS共有に保存することもできます。データファイルは、データ保持ポリシーで設定されたスケジュールに基づいて、ローカルおよびネットワークストレージの場所から削除されます。

データ保持ポリシーは、特定のデータのデータ保持期間の制限を超えた場合、または使用可能なディスクスペースが指定した値を下回った場合に保存場所からデータを削除するように設定することができます。

データストレージの環境設定の詳細については、『Sentinel Log Manager 1.1 Administration Guide（Sentinel Log Manager 1.1管理ガイド）』の「Configuring Data Storage」を参照してください。

1.1.6 検索とレポーティング

検索コンポーネントおよびレポーティングコンポーネントを使用して、ローカルデータストレージやネットワークデータストレージ、およびインデックスシステムで、イベントログデータを検索してレポートを作成することができます。保存されたイベントデータは、全体を検索することも、送信元ユーザ名などの特定のイベントフィールド内を検索することもできます。これらの検索結果は、さらに絞り込んだりフィルタをかけたりすることができるほか、今後使用するレポートのテンプレートとして保存することもできます。

Sentinel Log Managerには、あらかじめいくつかのレポートが用意されています。また、追加のレポートをアップロードすることもできます。レポートは、スケジュールに基づいて実行することも、必要なときに実行することもできます。

デフォルトのレポートの一覧については、『Sentinel Log Manager 1.1 Administration Guide（Sentinel Log Manager 1.1管理ガイド）』の「Reporting」を参照してください。

イベントの検索およびレポートの生成の詳細については、『Sentinel Log Manager 1.1 Administration Guide（Sentinel Log Manager 1.1管理ガイド）』の「検索」および「Reporting」を参照してください。

1.1.7 Sentinel Link

Sentinel Linkは、あるSentinel Log Managerから別のSentinel Log Managerにイベントデータを転送するために使用できます。Sentinel Log Managerの階層セットにより、複数の地理的な場所で完全なログを保持しつつ、より重要なイベントを単一のSentinel Log Managerに転送して一元化された検索とレポーティングを実行することができます。

また、Sentinel Linkでは、より高度な関連付け、インシデント対応、および価値の高いコンテキスト情報(サーバの重要度や識別情報管理システムからの識別情報など)の挿入のために、重要なイベントを完全なSIEM(Security Information Event Management)システムであるNovell Sentinelに転送することもできます。

1.1.8 Webベースのユーザインタフェース

Novell Sentinel Log Managerでは、WebベースのユーザインタフェースでLog Managerを環境設定および使用することができます。ユーザインタフェース機能は、Java Web Startに基づくWebサーバおよびグラフィカルユーザインタフェースによって提供されます。すべてのユーザインタフェースとサーバとのやり取りには、暗号化された接続が使用されます。

Novell Sentinel Log Managerでは、Webインタフェースを通じて次のタスクを実行できます。

イベントの検索
検索基準をレポートテンプレートとして保存
レポートの表示と管理
イベントソースの管理インタフェースを起動して、SyslogおよびNovellアプリケーション以外のデータソースのデータコレクションの環境設定をする(管理者のみ)
データ転送の環境設定(管理者のみ)
リモートインストール用のSentinelコレクタマネージャのインストーラのダウンロード(管理者のみ)
イベントソースのヘルスの表示(管理者のみ)
SyslogおよびNovellデータソースのデータコレクションの環境設定(管理者のみ)
データストレージの環境設定、およびデータベースのヘルスの表示(管理者のみ)
データアーカイブの環境設定(管理者のみ)
条件に一致するイベントデータを出力チャネルに送信するための関連するアクションの環境設定(管理者のみ)
ユーザアカウントおよび権限の管理(管理者のみ)