統合ログ管理ソリューション RSA enVision - FAQ

A1.enVisionでサポートしているイベントログの収集方式は、syslog, SNMP, SFTP(FTP), Windows Event log API, ODBC, RDEP(Remote Data Exchange Protocol),SDEE(Secure Device Event Exchange), CheckPoint LEA(Log Export API)があります。

A2.enVisionのログ収集機能については問題ありません。一日一回で収集している事例もあります。
一日一回で収集する場合、ログ収集側で 1日分のログを保持できるようログ格納領域を確保する必要があります。
ログの発生時間とenVisionのログ取得時間が大きく異なる事になるため、レポートや検索での時間指定に注意が必要です。

A3.enVisionで収集できる１つのイベントログの長さは2000Bytesまでとなります。2000Bytesを超えた文字列は切り捨てられます。英文では2000文字となります。

A4.Windows イベントAPI を利用して、enVisionよりWindowsのイベントログ(.evt)を収集しにいくような動作となります。

A5.できます。enVisionはデバイスから送られてきたイベント情報をsyslog形式に変換して保存しますが、データ部分については変更を加えずそのままの形で保管します。

A6.できます。enVisionの管理Webコンソールから収集ポート番号等の設定が可能です。

A7.サポートしています。対応しているOracleのバージョンについては、お問い合わせください。
ODBC経由またはFTP経由でログを送付します。
ODBCの場合はenVisionよりクエリを掛けAuditログを取得します。
FTPの場合は、Oracleの特定フォルダにログ出力の設定をし、それをFTP/SFTPでenVisionへ送付する構成となります。

A8.enVisionでは、対象Windowsのアカウント情報を設定することで、指定された時間間隔でenVision側からログ取得のためのアクセスを行います。
時間間隔は、最小監視間隔と最大監視間隔を 30秒〜32766秒の範囲で指定します。
enVisionはログの取得状況により最小監視間隔と最大監視間隔の範囲で、自動的にログを収集します。

A9.手動での取得実行指示はできません。

A10.ログ収集対象デバイスによって設定可能な収集間隔が異なります。
例えば、Windowsの場合、30〜32766秒の間隔で設定可能です。
Oracleの場合、10秒〜1日の間隔で設定可能です。

A11.パフォーマンスの観点から、デフォルトではRSA独自仕様のバイナリーフォーマットへエンコーディングし、圧縮を実施しています。これにより、秘匿性を確保しています。
NASの場合には、W.O.R.M.（Write Once Read Many）と呼ばれる処理方式を採用可能であり、一度、ディスクに書き込まれたデータは追記不能になるような処理を施すことができます。

A12.ログの種類によりますが、元のサイズの10〜30%程度に圧縮できます。

A13.できます。
管理Webコンソールから書き込み先を自動的変更するように設定をすることができます。

A14.監査対象デバイスの操作履歴にユーザ名が含まれていれば、特定ユーザに絞った形でレポートを出力すること可能です。

A15.HTML、CSV、PDF形式での出力が可能です。

A16.あります。enVisionにはスケジュールレポート機能があり、事前に管理者が設定したレポートを定期的に実行することが可能となっています。また実行後に出力されたレポートは後ほど確認しやすいようにenVisionの管理Webコンソール表示されるカレンダーからアクセスできるようになっています。

A17.enVisionでは、自身へのアクセスや操作のログを出力しているため、誰がどのような操作を行ったかをレポートすることが可能です。

A18.enVisionではアラートが検出された際に以下の方法で、外部出力を行うことができます：
SNMP、SMTP(email)、syslog出力、コマンドの実行、Textファイルへの出力

A19.できます。
管理Webコンソール上で指定した閾値を超えた場合にメッセージID 100009が出力されます。このメッセージが出力された場合にアラートを設定してください。

A20.できます。クエリ機能([Analysis] → [Query])を使用すれば、複数の共通したデバイスから出力されたイベントログから、特定のイベント情報を抽出してCSV形式で情報を出力することができます。

A21. 基本的には、運用前にUDSを定義し、Unknownデバイスと認識されないようにしていただくことを推奨します。
しかし、運用中、UDSを定義する以前に収集したログを再認識させることも可能です。

A1.サイト名に利用できる文字（最大11文字）は英数字のみで、 "- (ハイフン)"や"_ (アンダーバー)"等の記号は使用することができません。
また、最初の文字は大文字で入力していただく必要があります。

A2.ExpressサーバをNASヘッドとして構成することはサポートしていません。iStorageを使用していただくことを推奨します。

A1.できます。enVisionがデバイスから受信したイベントログは、管理Webコンソールでリアルタイムで確認することができます。また、特定のデバイスや特定の文字列や時刻範囲指定で収集されたイベントログを表示させることも可能です。

A2.enVisionにアクセスする方法としては、以下の2つの方法があります。

• Webブラウザからアクセスする。(管理Webコンソール)
  (http://<enVision_IP>:8080/login.jsp)
• Event Explorerを使用してアクセスする。
  (管理者端末に専用ソフトをインストールする)

A3.enVisionでは、ログ情報と設定情報を分けて管理しています。
ログ情報につきましては、サービスを停止する必要はありません。
設定情報につきましては、一日ごとにバックアップが作成されますので、一日前の内容であればサービスを停止する必要はありません。
動作中の設定情報をバックアップする場合は、一時的にサービスを停止させる必要があります。

A4.できます。
enVisionのIPアドレスを変更するためには、enVisionの管理WebコンソールとWindows Networkingの2箇所でIPアドレスの変更を実施する必要があります。

A5.できます。Windowsの「net time」コマンドを使用します。新規に設定したNTPサーバをシステムに反映させるためにはenVisionを再起動します。

A6.enVisionは独立したActive Directoryサーバとして設定されているために、enVisionを既存のWindowsのドメインに追加することはできません。

A7.enVisionに適用すべきWindowsのセキュリティパッチの情報は、NECサポートポータル（https://www.support.nec.co.jp）に月単位で掲載しております。
Windowsのセキュリティパッチを適用するためにWindows Updateの機能は使用しないでください。

A8.Windows上のサービスの停止は実施しないでください。
enVisionでは、enVisionの動作に必要なサービスのみを起動する設定としていますので、サービスの停止はenVisionの動作に影響を及ぼす場合があります。

A9.enVisionでは、毎月一回のペースでEventSource（デバイス定義）のアップデート媒体をリリースしています。
EventSouceのアップデート媒体は過去のアップデート内容を累積的に含みます。
イベントソースのアップデート媒体は、NECサポートポータル（https://www.support.nec.co.jp）に月単位で掲載しております。
また、NECサポートポータルでは、適用方法も掲載しておりますので、併せてご確認ください。
※NECサポートポータルから上記の内容を確認するには、サポート契約が必要となります。

A10.enVisionのサービスパック（以下、SPと呼びます）は、製品出荷時点で最新のものが製品に同梱されておりますが、その後新しいSPがリリースされた場合、NECのサポートポータルから入手することが可能です。
（SPの適用方法についても、サポートポータルに記載されています。） RSA社のサポートWebサイトであるSecureCareOnLine（SCOL）からダウンロード可能なSP媒体は、「RSA enVision powered by Express5800」には適用できませんので、ご注意ください。

A11.同時接続ユーザ数は、enVisionのライセンスによって異なり、以下のようになっております。
ES-560 6ユーザ
ES-1060 8ユーザ
ES-2560 10ユーザ
ES-5060 12ユーザ
ES-7560 16ユーザ
LSシリーズ　Aサーバ　16ユーザ

A12.ES構成の場合は、追加することはできません。
LS構成の場合は、A-SRVを追加することで対応することができます。
1つA-SRVを追加するごとに、5ユーザ増加します。

A1.enVisionの各LANインタフェースはそれぞれ以下の用途での利用を想定しております。
・LAN: ログ収集
・SWITCH: ストレージ接続
・INF2, INF3: セグメントが異なるネットワークへの接続（ストレージ接続や、別セグメントからのログ収集）
ユーザがLANインタフェースを他の用途に利用したいという要望がある場合には、enVision が正常にインストールされた後であれば、LANインタフェースの用途を変更することが可能です。

A2.アプライアンス本体前面の空きHDDスロットに追加HDDを搭載することはできません。
ログ格納領域を増設する場合は、外部ストレージをご利用ください。

A3.enVisionのリカバリディスクが、DVDメディアでの提供になるためです。
納品時にはインストール済のアプライアンスとしてご提供致しますが、再インストールや、バージョンアップ等のソフトウェアインストール対応時に光ディスクドライブを使用します。

A1.ES-7560で７500EPS＝45万件/分となります。

A2.2,500EPSをアベレージで使用する場合、5,000EPSモデル以上の使用を強く推奨します。

A3.基本的には、ログの種類と台数でカウントします。サーバ上で複数のログを収集する必要がある場合は、そのログの数だけカウントすることになります。
例えば、サーバが500台あり、ログ収集対象としてアプリケーションが500、OSが500、DBMSが200の場合は、1200デバイスとカウントします。

A4.LS構成では、最大60,000デバイス、300,000EPSに対応することができます。
ES構成では、最大1,250デバイス、7,500EPSに対応しております。

A5.enVisionでは、既に冗長化されている部品（電源、ファン、HDD）以外の構成品を冗長化することはできません。
LANの冗長化については、お問い合わせください。

A6.
ESシリーズ：
ESシリーズ本体には300GB(RAID1)が内蔵されており、ログ格納領域(IPDB)用に約220GB使用することができます。
それ以上の容量が必要な場合には、DASまたはNASを使用することが可能です。

LSシリーズ：
LSシリーズ本体にはそれぞれのマシンに300GB(RAID1)が内蔵されていますが、共通の外部ストレージとしてNASが必須となります(DASは使用することはできません)。

A7.LSシリーズはスケーラビリティやパフォーマンスの向上のため、複数のマシンでイベント情報を収集、データの解析等を行います。そのため複数のマシンからデータを共有してアクセスする必要があるため、NASが必要となります。DASは直接接続された1台のマシンしかアクセスできないので、LS構成では使用することができません。

A8.Event Viewerは、管理Webコンソール内でのログメッセージの一覧表示機能となります。
一方、Event Explorerは、インシデント発生時のログ解析アプリケーションです。
Event Viewerでは、日本語キーワードによる検索は行うことができませんが、Event Explorerでは可能です。

A9. ライセンスキーの適用方法は以下のとおりになります。(適用時、enVisionのサービスを停止する必要はありません。)
既存のkey.iniファイルをバックアップもしくはリネームします。

1. 既存のkey.iniファィルは以下のディレクトリに存在します。
   ・ESシリーズの場合：
   E:\nic\csd\license\<sitename>フォルダ
   ・LSシリーズの場合：
   各LS Nodeの\\[NAS_IP]\vol0\csd\license配下のフォルダ
2. ライセンスキーのkey.iniファイルを上記のフォルダにコピーします。
3. enVisionの管理Webコンソールで[Overview] → [System Configuration]　→ [Users Display License Information]にアクセスします。
4. 画面下の“Update Key”をクリックします。

A10.enVisionのライセンスキーには有効期限はありません。

A11. enVisionに他社製アプリケーションソフトウェアを導入に対する場合のサポート方針は以下のとおりになります。
現在、他社製アプリケーションソフトウェアについてenVisionの機能、パフォーマンス、およびアプライアンスとしてのセキュリティに問題がないことを認定することは行っておりません。他社製アプリケーションソフトウェアのenVisionへの導入はユーザ様の責任において実施していただくことになります。enVisionへの他社製ソフトウェアの導入に対するRSAの方針は以下のとおりになります。

• 他社製アプリケーションソフトウェアを導入したenVisionで問題が発生した場合には、その他社製アプリケーションソフトウェアが導入されていないシステムでも同様な問題が発生する場合には対応します。
• enVisionでの他社製アプリケーションソフトウェアの動作については保証しません。また。enVisionアップデート後の他社製アプリケーションソフトウェアの動作も保証しません。
• enVisionに他社製アプリケーションソフトウェアを導入したことによるenVisionのパフォーマンスに関する問題については対応できません。
• enVisionに他社製アプリケーションソフトウェアを導入したことによるenVisionのストレージに関する問題については対応できません。

NECとしてのサポート方針としては、上記に加え技術部門にて動作検証を実施した上で、他社製ソフトウェア（バックアップソフトウェアなど）をご案内させていただきますが、万が一、他社製ソフトウェアの動作が原因で、enVisionソフトウェアの動作が不安定になるなどの事象が発生した場合は、導入した他社製ソフトウェアのご利用を中止していいただく可能性がありますので、あらかじめご了承ください。

A12.Microsoft Windows Server 2003 R2 Enterprise x64 Edition（英語版）に対応するアンチウィルスソフトウェアを導入してください。
推奨されるアンチウィルスソフトウェア(動作確認済)は、以下になります。
（1）TrendMicro ウイルスバスター　コーポレートエディション 8.0SP1
（2）McAfee VirusScan Enterprise 8.7i
また、注意事項として、以下のフォルダを検索対象から除外してください。
・管理Webコンソール内の[Overview] → [System Configuration] → [Directories] → [Manager Storage Location]の「Directory Path」で設定しているフォルダ
・テンポラリ領域　D:\tmp 配下

A13.下記の5つの紙文書がセットで送付されます。

1. はじめにお読みください
2. PP・サポートサービス実施条件
3. PP・サポートサービス仕様書
4. PP・サポートサービスを開始するには
5. PPSupportPack 製品シリアルNo.カード

A14. サードパーティ製のバックアップソフトウェアを使用して、enVisionのデータをバックアップすることは可能です。
推奨されるバックアップソフトウェア(動作確認済)は、以下になります。
（1）Backup Exec System Recovery 8.5 Server Edition
（2）Backup Exec System Recovery 2010 Server Edition
※サードパーティ製バックアップソフトご利用時に問題が発生した場合は、enVisionの観点から可能なかぎり対応させていただきますが、場合によっては当該バックアップソフトのご利用を停止いただく可能性があります。

A15.ES構成、LS構成の各モデルとも負荷分散には対応しておりません。

A16.LS構成の場合、複数のマシンでデータ共有を行う必要があるため、NASのみを利用することができます。
NASでの推奨外部ストレージはiStorage(NSシリーズ)となります。
DASや、その他のNASの対応については、サポートまでお問い合わせください。

A17.ES構成から、LS構成へのアップグレードはできません。LS構成で最初から構築しなおしていただく必要があります。その際、以前収集していたログデータに関しては、引き継ぐことが可能です。

A18.enVisionアプライアンスでは、以下のUPS制御ソフトウェアを使用することができます。

1. UL1057-502 :PowerChute Business Edition v.8.0.1
2. UL1047-503 :ESMPRO/UPSManager Ver2.5 (PowerChute Business Editionセット）
3. UL1047-712 :ESMPRO/UPSManager Ver2.5 CoreKit
   ただし、別途、UPS制御ソフトウェアが必要です。

※UPS装置は、N型番のSmart-UPSが必要となり、enVisionアプライアンスとUPS装置との接続はシリアル接続になります。

A19. リモートコレクタは、主に（D-SRVとの通信がWANを経由するような）遠隔地にある場合などのように、データ転送速度が遅く、リアルタイム転送が困難なデバイスのログを収集する必要がある場合に使用します。

リモートコレクタは、内部で一時的にログを保存し、定期的にD-SRVに転送する仕組みになっています。
ローカルコレクタは、ログ収集対象デバイスがローカルネットワークにある場合など、リアルタイム転送が可能なネットワークに接続されているデバイスのログを収集する場合に使用します。

A20.共有する場合は運用者責任で実施していただき、仮に不具合が発生した場合、単一接続でも同じ不具合が発生する場合のみサポートします。

A21.enVisionではWindowsのタスクスケジューラ機能は使用できません。
enVisionの管理WebコンソールからenVisionのスケジューラ機能をご利用ください。

A22.enVisionでサポートしていないデバイスやアプリケーションのイベントログをenVisionで収集、解析をさせるためには、UDS(Universal Device Support)ツールが必要となります。詳しくは、弊社窓口までお問い合わせください。

A23.管理Webコンソールの外観は英語表記となっております。
また、レポートのタイトルやカラム名などに日本語を入力することはできますが、検索やレポートの抽出条件に日本語キーワードを入力することはできません。
Event Explorerでは、日本語キーワードを使った解析が可能です。