接続イベントが FireSIGHT Management Center から消えたように見える

ダウンロード オプション

  • PDF     (329.4 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (84.9 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (69.5 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2015 年 5 月 20 日
Document ID:118012

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

このドキュメントでは、システムを数日間実行すると、接続イベントが FireSight Management Center から消える問題の根本原因を判別してトラブルシュートする方法について説明します。これは、Management Center の設定が原因で発生する可能性があります。

前提条件

要件

FireSIGHT Management Centerに関する知識があることが推奨されます。

使用するコンポーネント

このドキュメントの情報は、次のハードウェアとソフトウェアのバージョンに基づいています。

  • FireSIGHT 管理センター
  • ソフトウェア バージョン 5.2 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、その潜在的な影響について確実に理解しておく必要があります。

トラブルシュート

ステップ1:保存されているイベントの数を特定する

FireSIGHT Management Centerに保存されている接続イベントの数を確認するには、

  1. Analysis > Connections > Table View of Connection Eventsの順に選択します。
  2. 期間ウィンドウを、現在のすべてのイベントを含む幅広い範囲(12か月など)に拡張します。
  3. ページの下部に表示される行の総数を確認します。最後のページをクリックし、使用可能な最後の接続イベントのタイムスタンプをメモします。

この情報から、現在の設定で接続イベントを保持できる数と時間がわかります。

ステップ2:ロギングオプションの決定

どの接続がログに記録されているか、およびフローのどの部分に接続がログに記録されているかを確認します。組織のセキュリティとコンプライアンスのニーズに従って、接続のログを記録する必要があります。生成するイベントの数を制限する場合は、分析に重要なルールのロギングのみを有効にします。ただし、ネットワークトラフィックの広範なビューが必要な場合は、追加のアクセスコントロールルールまたはデフォルトアクションのロギングを有効にできます。不必要なトラフィックの接続ロギングを無効にして、接続イベントをより長い期間にわたって保持できます。

ヒント:パフォーマンスを最適化するために、接続の開始または終了のいずれかをログに記録し、両方はログに記録しないことを推奨します。

:単一の接続の場合、接続の終了イベントには、接続の開始イベントのすべての情報と、セッションの間に収集された情報が含まれます。信頼ルールと許可ルールの場合は、End-of-Connectionを使用することをお勧めします。

次の表に、各ルールアクションで使用できるさまざまなログオプションを示します。

 ルールアクションまたはロギングオプション  開始時にログ  終了時にログ

 信頼性

 デフォルトアクション:信頼

  X  X

 プライベート ネットワーク間で

 デフォルトアクション:侵入

 デフォルトのアクション:検出

  X  X
 モニタ    X(必須)

 Block

 Block with reset

 既定のアクション:ブロック

  X  

 インタラクティブブロック

 リセット付きインタラクティブ ブロック

  X  X(バイパスされた場合)
 セキュリティ インテリジェンス  X  

ステップ3:接続データベースのサイズを調整する

接続イベントは、システムポリシーのMaximum Connection Events設定に応じてプルーニングされます。設定を変更するには、次の手順を実行します。

  1. System > Local > System Policyの順に選択します。
  2. 現在適用されているポリシーを編集するには、鉛筆アイコンをクリックします。
  3. Database > Connection Database > Maximum Connection Eventsの順に選択します。
  4. Maximum Connection Eventsの値を変更します。
  5. Save Policy and Exitをクリックし、次にアプライアンスにポリシーをApplyします。

保存可能な接続イベントの最大量は、Management Centerモデルによって異なります。

:最大イベント数の制限は、接続イベントとセキュリティインテリジェンスイベントで共有されます。2つのイベントに設定されている最大数の合計は、最大イベント数の制限を超えることはできません。

Management Centerモデル イベントの最大数
FS750、DC750 5,000万
FS1500、DC1500 1億
FS2000 3億
FS3500、DC3500 5億
FS4000 10億
仮想アプライアンス 1,000万

注意:データベース制限を増やすと、デバイスのパフォーマンスに悪影響を及ぼす可能性があります。パフォーマンスを向上させるには、定期的に作業するイベント数に合わせてイベント制限を調整する必要があります。

一定時間範囲のイベント数を表示するウィジェットの場合、イベントの合計数は、イベントビューアで詳細データを使用できるイベントの数を反映しない場合があります。これは、ディスク領域の使用状況を管理するために、システムが古いイベントの詳細をプルーニングする場合があるためです。イベント詳細プルーニングの発生を最小限に抑えるために、イベントロギングを微調整して、展開にとって最も重要なイベントだけをログに記録できます。

関連情報

更新履歴

改定 発行日 コメント
1.0
20-May-2015
初版
TAC Authored

シスコ エンジニア提供

  • Nazmul Rajib
    Cisco TAC Engineer.

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています