IDSコレクタ

IDSコレクタを使用すると、Flowmon IDSプローブまたはその他の互換IDS (Suricataなど)からSyslogを使用して収集および集約できます。これらのイベントは、分析ページの[IDSカテゴリ]タブを使用して閲覧できます。[IDSカテゴリ]タブは、IDSイベントコレクタが有効になっている場合にのみ表示されることに注意してください(以下のセクションを参照)。IDSシステムによって検知されたイベントを参照するには、コンテキストメニューセクションで説明されている[IDSイベントの閲覧]または[関連するIDSイベント]メニューオプションを使用する方法もあります。

設定

IDSイベント処理機能を有効にするためには、[設定] → [システム設定] → [IDSコレクタ]でIDSイベントコレクタを有効にする必要があります。

Flowmon IDSプローブモジュールがローカルにインストールされている場合(Flowmonアプライアンスが同時にプローブとコレクタとして使用されている場合)、設定を行わなくてもIDSイベントが自動的に処理されます。リモートデバイス(Flowmon IDSプローブパッケージがインストールされている場合には通常、Flowmonプローブ)からイベントを受信するには、追加のステップを実行する必要があります。

• Flowmonコレクタで、Flowmon Configuration Center → [システム] → [システム設定] → [Syslogサーバ]へ移動します。[外部syslogの有効化]をクリックして新しいSyslogクライアントを追加します。[IPアドレス]フィールドに、Flowmon IDSプローブがインストールされているデバイスのIPアドレスを入力し、Syslogサーバがリスンするポートを選択します(標準のポートは514)。その後、[OK]および[保存]ボタンをクリックします。

• Flowmon IDSプローブがインストールされているFlowmonデバイスで、Flowmon Configuration Center → [システム] → [システム設定] → [Syslogイベントロギング]に移動し、[Syslogイベントロギングを使用する]をクリックします。新しいSyslogサーバを追加して、[IPアドレス]フィールドにFlowmonコレクタのIPアドレスを入力し、[ポート]フィールドに前の手順で選択したものと同じポート番号を入力します。[OK]および[保存]ボタンをクリックして、変更した設定内容を保存します。

上記の手順をすべて実行すれば設定が終了し、IDSイベントがIDSブラウザに表示されるようになります。

クォータ

IDSコレクタのクォータは、Flowmon Configuration Center → [リソースの管理]で別に設定できます。クォータのサイズによって、IDSコレクタから保存されるイベントの数が制限されます。