ページの先頭です。
本文へジャンプする。

本ウェブサイトでは、JavaScriptおよびスタイルシートを使用しております。
お客さまがご使用のブラウザではスタイルが未適応のため、本来とは異なった表示になっておりますが、情報は問題なくご利用いただけます。

ここからサイト内共通メニューです。
サイト内共通メニューを読み飛ばす。
サイト内共通メニューここまで。
サイト内の現在位置を表示しています。
ホーム > 製品 > ソフトウェア > RSA enVision powered by Express5800 > FAQ
ページ共通メニューここまで。

統合ログ管理ソリューション RSA enVision - FAQ

機能

イベント収集

Q1.enVisionでは、どのような方法でイベントログを収集できるのでしょうか?
対応しているイベント収集方式を教えてください。

A1.enVisionでサポートしているイベントログの収集方式は、syslog, SNMP, SFTP(FTP), Windows Event log API, ODBC, RDEP(Remote Data Exchange Protocol),SDEE(Secure Device Event Exchange), CheckPoint LEA(Log Export API)があります。

Q2.リアルタイム性を問われない場合、Syslogを一日1回の収集で特に支障はないでしょうか?

A2.enVisionのログ収集機能については問題ありません。一日一回で収集している事例もあります。
一日一回で収集する場合、ログ収集側で 1日分のログを保持できるようログ格納領域を確保する必要があります。
ログの発生時間とenVisionのログ取得時間が大きく異なる事になるため、レポートや検索での時間指定に注意が必要です。

Q3.enVisionで収集できる1つのイベントメッセージの文字数に制限はありますか?

A3.enVisionで収集できる1つのイベントログの長さは2000Bytesまでとなります。2000Bytesを超えた文字列は切り捨てられます。英文では2000文字となります。

Q4.enVision で Windows Server のWindows イベントログを収集する方法はどのようにするのでしょうか?

A4.Windows イベントAPI を利用して、enVisionよりWindowsのイベントログ(.evt)を収集しにいくような動作となります。

Q5.enVisionでは、日本語OSメッセージは文字化けせずに受信できますか?

A5.できます。enVisionはデバイスから送られてきたイベント情報をsyslog形式に変換して保存しますが、データ部分については変更を加えずそのままの形で保管します。

Q6.enVisionでイベントログ収集のためにsyslog over TCPを使用することはできますか?

A6.できます。enVisionの管理Webコンソールから収集ポート番号等の設定が可能です。

Q7.収集対象デバイスとして、Oracleはサポートしていますか?
対応しているのであれば、どのように取得するのでしょうか?

A7.サポートしています。対応しているOracleのバージョンについては、お問い合わせください。
ODBC経由またはFTP経由でログを送付します。
ODBCの場合はenVisionよりクエリを掛けAuditログを取得します。
FTPの場合は、Oracleの特定フォルダにログ出力の設定をし、それをFTP/SFTPでenVisionへ送付する構成となります。

Q8.Windowsサーバに対するログ収集間隔はどの程度で設定できますか?

A8.enVisionでは、対象Windowsのアカウント情報を設定することで、指定された時間間隔でenVision側からログ取得のためのアクセスを行います。
時間間隔は、最小監視間隔と最大監視間隔を 30秒〜32766秒の範囲で指定します。
enVisionはログの取得状況により最小監視間隔と最大監視間隔の範囲で、自動的にログを収集します。

Q9.管理者がログの取得失敗に気づいた場合、手動で取得実行を指示することはできますか?

A9.手動での取得実行指示はできません。

Q10.enVisionで設定できるログ収集間隔を教えてください。

A10.ログ収集対象デバイスによって設定可能な収集間隔が異なります。
例えば、Windowsの場合、30〜32766秒の間隔で設定可能です。
Oracleの場合、10秒〜1日の間隔で設定可能です。

ページの先頭へ戻る

ログの保存&管理

Q11.保存しているログは暗号化されていますか?
もしくは改ざん対策はなされていますか?

A11.パフォーマンスの観点から、デフォルトではRSA独自仕様のバイナリーフォーマットへエンコーディングし、圧縮を実施しています。これにより、秘匿性を確保しています。
NASの場合には、W.O.R.M.(Write Once Read Many)と呼ばれる処理方式を採用可能であり、一度、ディスクに書き込まれたデータは追記不能になるような処理を施すことができます。

Q12.平均のログ圧縮率はどのくらいですか?

A12.ログの種類によりますが、元のサイズの10〜30%程度に圧縮できます。

Q13.ディスクの空き容量が少なくなった場合に、ログ格納領域の書き込み先を自動的変更するように設定することはできますか?

A13.できます。
管理Webコンソールから書き込み先を自動的変更するように設定をすることができます。

レポート

Q14.ユーザ毎の操作履歴をレポートにすることは可能でしょうか?

A14.監査対象デバイスの操作履歴にユーザ名が含まれていれば、特定ユーザに絞った形でレポートを出力すること可能です。

Q15.enVisionでは、どのようなフォーマットでレポート出力することができますか?

A15.HTML、CSV、PDF形式での出力が可能です。

Q16.設定されたレポートを定期的に出力するスケジュール機能はありますか?

A16.あります。enVisionにはスケジュールレポート機能があり、事前に管理者が設定したレポートを定期的に実行することが可能となっています。また実行後に出力されたレポートは後ほど確認しやすいようにenVisionの管理Webコンソール表示されるカレンダーからアクセスできるようになっています。

Q17.enVisionの管理webコンソールでの操作履歴(ログインやレポート出力など)の記録は可能でしょうか?

A17.enVisionでは、自身へのアクセスや操作のログを出力しているため、誰がどのような操作を行ったかをレポートすることが可能です。

アラート

Q18.enVisionで収集したイベントからアラートをあげることができるかと思いますが、アラートを通知するためにどのような機能がありますか?(SNMP, emailなど)

A18.enVisionではアラートが検出された際に以下の方法で、外部出力を行うことができます:
SNMP、SMTP(email)、syslog出力、コマンドの実行、Textファイルへの出力

Q19.ディスクの空き容量が少なくなった場合に、アラートをあげることはできますか?

A19.できます。
管理Webコンソール上で指定した閾値を超えた場合にメッセージID 100009が出力されます。このメッセージが出力された場合にアラートを設定してください。

その他

Q20.複数の共通したデバイスから出力されたイベントログから、認証失敗などの情報を抽出して必要な内容だけをCSV形式などで出力することはできますか?

A20.できます。クエリ機能([Analysis] → [Query])を使用すれば、複数の共通したデバイスから出力されたイベントログから、特定のイベント情報を抽出してCSV形式で情報を出力することができます。

Q21.一度、Unknownと認識されたデバイスに対して、UDSを定義した場合、既に収集されたログデータを再認識させることはできますか?

A21. 基本的には、運用前にUDSを定義し、Unknownデバイスと認識されないようにしていただくことを推奨します。
しかし、運用中、UDSを定義する以前に収集したログを再認識させることも可能です。

ページの先頭へ戻る

構築

Q1.enVisionのサイト名(マシン名、ドメイン名に使用)に設定できる文字に制限はありますか?

A1.サイト名に利用できる文字(最大11文字)は英数字のみで、 "- (ハイフン)"や"_ (アンダーバー)"等の記号は使用することができません。
また、最初の文字は大文字で入力していただく必要があります。

Q2.enVision ログ格納用NASとして、通常のExpressサーバをNASヘッドとして構成する場合、何か制限がありますか?

A2.ExpressサーバをNASヘッドとして構成することはサポートしていません。iStorageを使用していただくことを推奨します。

ページの先頭へ戻る

運用管理

Q1.enVisionが受信したイベントログを管理者端末でリアルタイムに表示確認をすることは可能でしょうか?また特定のイベントだけをフィルタすることはできますか?

A1.できます。enVisionがデバイスから受信したイベントログは、管理Webコンソールでリアルタイムで確認することができます。また、特定のデバイスや特定の文字列や時刻範囲指定で収集されたイベントログを表示させることも可能です。

Q2.enVisionにアクセスするためにはどのような方法が提供されていますか?

A2.enVisionにアクセスする方法としては、以下の2つの方法があります。

  • Webブラウザからアクセスする。(管理Webコンソール)
    (http://<enVision_IP>:8080/login.jsp)
  • Event Explorerを使用してアクセスする。
    (管理者端末に専用ソフトをインストールする)

Q3.サービスが動作している状態で、バックアップ可能でしょうか?(リストア時に整合性がとれますか?)

A3.enVisionでは、ログ情報と設定情報を分けて管理しています。
ログ情報につきましては、サービスを停止する必要はありません。
設定情報につきましては、一日ごとにバックアップが作成されますので、一日前の内容であればサービスを停止する必要はありません。
動作中の設定情報をバックアップする場合は、一時的にサービスを停止させる必要があります。

Q4.運用中のenVisionのIPアドレスを変更することはできますか?

A4.できます。
enVisionのIPアドレスを変更するためには、enVisionの管理WebコンソールとWindows Networkingの2箇所でIPアドレスの変更を実施する必要があります。

Q5.enVisionでのNTPサーバの設定を変更することはできますか?

A5.できます。Windowsの「net time」コマンドを使用します。新規に設定したNTPサーバをシステムに反映させるためにはenVisionを再起動します。

Q6.enVisionを既存のWindowsのドメインに追加することはできますか?

A6.enVisionは独立したActive Directoryサーバとして設定されているために、enVisionを既存のWindowsのドメインに追加することはできません。

Q7.enVisionに適用すべきWindowsの最新パッチの情報はどこで入手できますか?

A7.enVisionに適用すべきWindowsのセキュリティパッチの情報は、NECサポートポータル(https://www.support.nec.co.jp)に月単位で掲載しております。
Windowsのセキュリティパッチを適用するためにWindows Updateの機能は使用しないでください。

Q8.enVisionで起動しているWindows上のサービスを停止しても問題ありませんか?

A8.Windows上のサービスの停止は実施しないでください。
enVisionでは、enVisionの動作に必要なサービスのみを起動する設定としていますので、サービスの停止はenVisionの動作に影響を及ぼす場合があります。

Q9.デバイスの定義を最新版にアップデートするにはどうすればよいですか?

A9.enVisionでは、毎月一回のペースでEventSource(デバイス定義)のアップデート媒体をリリースしています。
EventSouceのアップデート媒体は過去のアップデート内容を累積的に含みます。
イベントソースのアップデート媒体は、NECサポートポータル(https://www.support.nec.co.jp)に月単位で掲載しております。
また、NECサポートポータルでは、適用方法も掲載しておりますので、併せてご確認ください。
※NECサポートポータルから上記の内容を確認するには、サポート契約が必要となります。

Q10.enVisionのサービスパックは、どこから入手できますか?

A10.enVisionのサービスパック(以下、SPと呼びます)は、製品出荷時点で最新のものが製品に同梱されておりますが、その後新しいSPがリリースされた場合、NECのサポートポータルから入手することが可能です。
(SPの適用方法についても、サポートポータルに記載されています。) RSA社のサポートWebサイトであるSecureCareOnLine(SCOL)からダウンロード可能なSP媒体は、「RSA enVision powered by Express5800」には適用できませんので、ご注意ください。

Q11.enVisionの管理Webコンソールでアクセス可能な同時接続ユーザ数について教えてください。

A11.同時接続ユーザ数は、enVisionのライセンスによって異なり、以下のようになっております。
ES-560 6ユーザ
ES-1060 8ユーザ
ES-2560 10ユーザ
ES-5060 12ユーザ
ES-7560 16ユーザ
LSシリーズ Aサーバ 16ユーザ

Q12.Event Explorerの同時接続ユーザ数が5ユーザでは足りないため追加したいのですが、可能でしょうか?

A12.ES構成の場合は、追加することはできません。
LS構成の場合は、A-SRVを追加することで対応することができます。
1つA-SRVを追加するごとに、5ユーザ増加します。

ページの先頭へ戻る

ハードウェア

Q1.enVisionには LAN/ SWITCH/ INF2/ INF3と4つのLANインタフェースがありますが、どのような用途で使用しますか?

A1.enVisionの各LANインタフェースはそれぞれ以下の用途での利用を想定しております。
・LAN: ログ収集
・SWITCH: ストレージ接続
・INF2, INF3: セグメントが異なるネットワークへの接続(ストレージ接続や、別セグメントからのログ収集)
ユーザがLANインタフェースを他の用途に利用したいという要望がある場合には、enVision が正常にインストールされた後であれば、LANインタフェースの用途を変更することが可能です。

Q2.アプライアンス本体前面には、HDDスロットが6つあり、そのうち4つが空きスロットとなっていますが、空きスロットにHDDを追加で搭載することはできますか?

A2.アプライアンス本体前面の空きHDDスロットに追加HDDを搭載することはできません。
ログ格納領域を増設する場合は、外部ストレージをご利用ください。

Q3.enVisionアプライアンスのHWには、光ディスクドライブ(CD-RW/DVD−ROM装置)がついていますが、何のために使うのですか?

A3.enVisionのリカバリディスクが、DVDメディアでの提供になるためです。
納品時にはインストール済のアプライアンスとしてご提供致しますが、再インストールや、バージョンアップ等のソフトウェアインストール対応時に光ディスクドライブを使用します。

ページの先頭へ戻る

全般

Q1.ESシリーズで何万件/分のログに対応できますか?

A1.ES-7560で7500EPS=45万件/分となります。

Q2.2,500件/秒のログに対応する必要があります。その時のシステム構成は?

A2.2,500EPSをアベレージで使用する場合、5,000EPSモデル以上の使用を強く推奨します。

Q3.「デバイス数」の数え方を教えてください。

A3.基本的には、ログの種類と台数でカウントします。サーバ上で複数のログを収集する必要がある場合は、そのログの数だけカウントすることになります。
例えば、サーバが500台あり、ログ収集対象としてアプリケーションが500、OSが500、DBMSが200の場合は、1200デバイスとカウントします。

Q4.enVisionの最大監視対象デバイス数と最大EPS数はいくつになりますか?

A4.LS構成では、最大60,000デバイス、300,000EPSに対応することができます。
ES構成では、最大1,250デバイス、7,500EPSに対応しております。

Q5.enVisionのCPU、LANボードの冗長化することはできますか?

A5.enVisionでは、既に冗長化されている部品(電源、ファン、HDD)以外の構成品を冗長化することはできません。
LANの冗長化については、お問い合わせください。

Q6.enVisionに標準添付されているHDDは300GBですが、ログ格納用に利用できる容量はいくらですか?
また、内蔵HDDで足りない場合、利用可能なストレージについて教えてください。

A6.
ESシリーズ:
ESシリーズ本体には300GB(RAID1)が内蔵されており、ログ格納領域(IPDB)用に約220GB使用することができます。
それ以上の容量が必要な場合には、DASまたはNASを使用することが可能です。

LSシリーズ:
LSシリーズ本体にはそれぞれのマシンに300GB(RAID1)が内蔵されていますが、共通の外部ストレージとしてNASが必須となります(DASは使用することはできません)。

Q7.LSシリーズでは、NASが必須となっていますが、なぜDASや内蔵HDDではいけないのでしょうか?

A7.LSシリーズはスケーラビリティやパフォーマンスの向上のため、複数のマシンでイベント情報を収集、データの解析等を行います。そのため複数のマシンからデータを共有してアクセスする必要があるため、NASが必要となります。DASは直接接続された1台のマシンしかアクセスできないので、LS構成では使用することができません。

Q8.Event ViewerとEvent Explorerの違いは何ですか?

A8.Event Viewerは、管理Webコンソール内でのログメッセージの一覧表示機能となります。
一方、Event Explorerは、インシデント発生時のログ解析アプリケーションです。
Event Viewerでは、日本語キーワードによる検索は行うことができませんが、Event Explorerでは可能です。

Q9.enVisionのライセンスキーの適用方法について教えてください。

A9. ライセンスキーの適用方法は以下のとおりになります。(適用時、enVisionのサービスを停止する必要はありません。)
既存のkey.iniファイルをバックアップもしくはリネームします。

  1. 既存のkey.iniファィルは以下のディレクトリに存在します。
    ・ESシリーズの場合:
    E:\nic\csd\license\<sitename>フォルダ
    ・LSシリーズの場合:
    各LS Nodeの\\[NAS_IP]\vol0\csd\license配下のフォルダ
  2. ライセンスキーのkey.iniファイルを上記のフォルダにコピーします。
  3. enVisionの管理Webコンソールで[Overview] → [System Configuration] → [Users Display License Information]にアクセスします。
  4. 画面下の“Update Key”をクリックします。

詳細は製品添付のドキュメント「RSA enVision powered by Express5800 ラインセンスキーに関するご案内」にも記載されています。

Q10.enVisionのライセンスキーに有効期限はありますか?

A10.enVisionのライセンスキーには有効期限はありません。

Q11.enVisionに他社製のアプリケーションソフトウェアを導入しても問題ありませんか?

A11. enVisionに他社製アプリケーションソフトウェアを導入に対する場合のサポート方針は以下のとおりになります。
現在、他社製アプリケーションソフトウェアについてenVisionの機能、パフォーマンス、およびアプライアンスとしてのセキュリティに問題がないことを認定することは行っておりません。他社製アプリケーションソフトウェアのenVisionへの導入はユーザ様の責任において実施していただくことになります。enVisionへの他社製ソフトウェアの導入に対するRSAの方針は以下のとおりになります。

  • 他社製アプリケーションソフトウェアを導入したenVisionで問題が発生した場合には、その他社製アプリケーションソフトウェアが導入されていないシステムでも同様な問題が発生する場合には対応します。
  • enVisionでの他社製アプリケーションソフトウェアの動作については保証しません。また。enVisionアップデート後の他社製アプリケーションソフトウェアの動作も保証しません。
  • enVisionに他社製アプリケーションソフトウェアを導入したことによるenVisionのパフォーマンスに関する問題については対応できません。
  • enVisionに他社製アプリケーションソフトウェアを導入したことによるenVisionのストレージに関する問題については対応できません。

NECとしてのサポート方針としては、上記に加え技術部門にて動作検証を実施した上で、他社製ソフトウェア(バックアップソフトウェアなど)をご案内させていただきますが、万が一、他社製ソフトウェアの動作が原因で、enVisionソフトウェアの動作が不安定になるなどの事象が発生した場合は、導入した他社製ソフトウェアのご利用を中止していいただく可能性がありますので、あらかじめご了承ください。

Q12.enVision自体のウイルス対策として、推奨されるアンチウィルスソフトウェアはありますか?また、インストールする場合の注意事項はありますか?

A12.Microsoft Windows Server 2003 R2 Enterprise x64 Edition(英語版)に対応するアンチウィルスソフトウェアを導入してください。
推奨されるアンチウィルスソフトウェア(動作確認済)は、以下になります。
(1)TrendMicro ウイルスバスター コーポレートエディション 8.0SP1
(2)McAfee VirusScan Enterprise 8.7i
また、注意事項として、以下のフォルダを検索対象から除外してください。
・管理Webコンソール内の[Overview] → [System Configuration] → [Directories] → [Manager Storage Location]の「Directory Path」で設定しているフォルダ
・テンポラリ領域 D:\tmp 配下

Q13.enVisionのソフトウェア保守の”納品物”は何でしょうか?

A13.下記の5つの紙文書がセットで送付されます。

  1. はじめにお読みください
  2. PP・サポートサービス実施条件
  3. PP・サポートサービス仕様書
  4. PP・サポートサービスを開始するには
  5. PPSupportPack 製品シリアルNo.カード

Q14.enVisionにバックアップソフトウェアをインストールすることはできますか?またどのようなバックアップソフトウェアに対応していますか?

A14. サードパーティ製のバックアップソフトウェアを使用して、enVisionのデータをバックアップすることは可能です。
推奨されるバックアップソフトウェア(動作確認済)は、以下になります。
(1)Backup Exec System Recovery 8.5 Server Edition
(2)Backup Exec System Recovery 2010 Server Edition
※サードパーティ製バックアップソフトご利用時に問題が発生した場合は、enVisionの観点から可能なかぎり対応させていただきますが、場合によっては当該バックアップソフトのご利用を停止いただく可能性があります。

Q15.負荷分散には対応していますか?

A15.ES構成、LS構成の各モデルとも負荷分散には対応しておりません。

Q16.enVisionで利用できる外部ストレージ製品を教えてください。

A16.LS構成の場合、複数のマシンでデータ共有を行う必要があるため、NASのみを利用することができます。
NASでの推奨外部ストレージはiStorage(NSシリーズ)となります。
DASや、その他のNASの対応については、サポートまでお問い合わせください。

Q17.ES構成でenVisionを構築したのですが、業務システムの増加により、LS構成を検討しています。ES構成からLS構成へのアップグレードはできますか?

A17.ES構成から、LS構成へのアップグレードはできません。LS構成で最初から構築しなおしていただく必要があります。その際、以前収集していたログデータに関しては、引き継ぐことが可能です。

Q18.enVisionで利用できるUPS制御ソフトを教えてください。

A18.enVisionアプライアンスでは、以下のUPS制御ソフトウェアを使用することができます。

  1. UL1057-502 :PowerChute Business Edition v.8.0.1
  2. UL1047-503 :ESMPRO/UPSManager Ver2.5 (PowerChute Business Editionセット)
  3. UL1047-712 :ESMPRO/UPSManager Ver2.5 CoreKit
    ただし、別途、UPS制御ソフトウェアが必要です。

※UPS装置は、N型番のSmart-UPSが必要となり、enVisionアプライアンスとUPS装置との接続はシリアル接続になります。

Q19.LS構成にて、リモートコレクタとローカルコレクタは、どのように使い分けるのですか?

A19. リモートコレクタは、主に(D-SRVとの通信がWANを経由するような)遠隔地にある場合などのように、データ転送速度が遅く、リアルタイム転送が困難なデバイスのログを収集する必要がある場合に使用します。

リモートコレクタは、内部で一時的にログを保存し、定期的にD-SRVに転送する仕組みになっています。
ローカルコレクタは、ログ収集対象デバイスがローカルネットワークにある場合など、リアルタイム転送が可能なネットワークに接続されているデバイスのログを収集する場合に使用します。

Q20.enVisionが利用しているストレージを、他の製品のストレージとして共用はできますか?

A20.共有する場合は運用者責任で実施していただき、仮に不具合が発生した場合、単一接続でも同じ不具合が発生する場合のみサポートします。

Q21.Windowsの標準機能のタスクスケジューラを使用できますか?

A21.enVisionではWindowsのタスクスケジューラ機能は使用できません。
enVisionの管理WebコンソールからenVisionのスケジューラ機能をご利用ください。

Q22.enVisionで標準で提供されていないアプリケーションのログをenVisionで収集、解析ができるようにしたいのですが、どうしたらよろしいでしょうか?

A22.enVisionでサポートしていないデバイスやアプリケーションのイベントログをenVisionで収集、解析をさせるためには、UDS(Universal Device Support)ツールが必要となります。詳しくは、弊社窓口までお問い合わせください。

Q23.enVisionの日本語対応について教えてください。

A23.管理Webコンソールの外観は英語表記となっております。
また、レポートのタイトルやカラム名などに日本語を入力することはできますが、検索やレポートの抽出条件に日本語キーワードを入力することはできません。
Event Explorerでは、日本語キーワードを使った解析が可能です。

ページの先頭へ戻る



お問い合わせ

ページの先頭へ戻る

Copyright NEC Corporation. All rights reserved.