Cisco Security MARS リリース 6.x デバイス コンフィギュレーション ガイド
Web サーバ デバイスの設定
Web サーバ デバイスの設定
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

Web サーバ デバイスの設定

Microsoft Internet Information Sever

Snare Agent for IIS のインストールと設定

IIS を Web ロギング用に設定する手順

MARS 側の設定

ホストの設定情報を追加する手順

Solaris または RedHat Linux の Apache Web サーバ

Solaris の Sun Java System Web Server

汎用 Web サーバ全般

Solaris または Linux 側の設定

UNIX または Linux での Web エージェントのインストールと設定

Web サーバの設定

Apache Web サーバをエージェントに対して設定する手順

iPlanet Web サーバをエージェントに対して設定する手順

MARS 側の設定

Web サーバ デバイスの設定

MARS による Web ロギングを使用するためには、ホスト、Web サーバ、および MARS を設定する必要があります。MARS はホストからの 1 回の受信につき、最大 100 MB の Web ログ データを処理できます。この章では、Web サーバ デバイスをブートストラップして MARS に追加する方法を説明します。


) Web ロギングがサポートされているのは、Microsoft IIS(Windows)、Apache(Solaris または Linux)、または iPlanet(Solaris)が実行されているホストだけです。


この章は、次の内容で構成されています。

「Microsoft Internet Information Sever」

「Solaris または RedHat Linux の Apache Web サーバ」

「Solaris の Sun Java System Web Server」

「汎用 Web サーバ全般」

Microsoft Internet Information Sever

Microsoft Windows が実行されているコンピュータをレポート デバイスとして MARS に追加できます。Microsoft Windows コンピュータでは、MARS への Web ログ データの送信元となる InterSect Alliance SNARE for IIS を実行する必要があります。


) Microsoft Windows システムと MARS のクロックを同期して、これらの時間を一致させてください。


ここでは、次の内容について説明します。

「Snare Agent for IIS のインストールと設定」

「MARS 側の設定」

Snare Agent for IIS のインストールと設定

MARS にログをパブリッシュするように IIS を設定するために、ログ エージェントをインストールして、設定する必要があります。このエージェントは InterSect Alliance に無償で用意されています。Snare Agent for IIS Servers は次の URL からダウンロードできます。

http://www.intersectalliance.com/projects/SnareIIS/index.html#Download

Windows Web サーバに SNARE をダウンロードおよびインストールしたら、MARS の正しい設定が詳しく説明されているこの項の手順に進んでください。

SNARE を Web ロギング用に設定する手順は、次のとおりです。


ステップ 1 [Start] > [Programs] > [InterSect Alliance] > [Audit Configuration] の順に選択します。

図 34-1 SNARE の Web ロギングの設定

 

ステップ 2 [Target Host] に、MARS の IP アドレスを入力します。

ステップ 3 [Log Directory] に、ログを配置するディレクトリを入力します。

ステップ 4 [Destination] で [Syslog] オプション ボタンをクリックします。

ステップ 5 [OK] をクリックします。


 

IIS を Web ロギング用に設定する手順


ステップ 1 [Start] > [Programs] > [Administrative Tools] > [Internet Services Manager] の順にクリックします。

図 34-2 IIS の Web ロギング用の設定

 

ステップ 2 左の [Tree] タブで [Default Web Site] を右クリックします。

ステップ 3 ショートカット メニューで [Properties] を選択します。

図 34-3 ロギングのイネーブル化

 

ステップ 4 [Web Site] タブで、次の作業を行います。

a. [Enable Logging] がオンになっていることを確認します。

b. [Active log format] リストで [W3C Extended Log Format] を選択します。

c. [Properties] をクリックします。

図 34-4 一般的なログ設定の選択

 

d. [General Properties] タブで、[New Log Time Period] を [Daily] に設定します。


) [Log file directory] は Audit Configuration プログラムを使用して設定した値と一致する必要があります


e. [Extended Properties] タブで、使用可能なプロパティがすべて選択されていることを確認します。

図 34-5 拡張ログ イベントの選択

 

f. [OK] をクリックします。

ステップ 5 [OK] をクリックします。


 

MARS 側の設定

ホストの設定情報を追加する手順


ステップ 1 [Admin] > [System Setup] > [Security and Monitor Devices] > [Add] をクリックします。

ステップ 2 [Device Type] リストから、新しいホストでは [Add SW Security apps]、既存のホストでは [Add SW security apps] を選択します。

ステップ 3 新しいホストを追加する場合、[Device Name] および [IP Addresses] を入力します。

ステップ 4 [Operation System] リストで [Windows] を選択します。

ステップ 5 [Logging Info] をクリックします。

ステップ 6 この設定の場合、[Receive host log] ボックスをオンにする必要があります。

図 34-6 Windows Web サーバのロギング メカニズム

 

ステップ 7 [Submit] をクリックします。

ステップ 8 インターフェイスの追加を続行します。

最初のインターフェイスの場合、インターフェイスの名前、IP アドレス、およびマスクを入力します。

複数のインターフェイスの場合、[Add Interface] をクリックし、新しい各インターフェイスの名前、IP アドレス、およびマスクを追加します。

ステップ 9 [Add IP/Network Mask] をクリックして、IP アドレスとマスクを必要なだけインターフェイスに追加します。

ステップ 10 [Apply] をクリックします。

ステップ 11 [Reporting Applications] タブをクリックします。

ステップ 12 [Select Application] リストから [Generic Web Server Generic] を選択します。

ステップ 13 [Add] をクリックします。

図 34-7 Windows Web ログの形式の選択

 

ステップ 14 [W3C_EXTENDED_LOG] を選択します。

ステップ 15 [Submit] をクリックします。


) 両側を設定してアクティブにした場合は、新しいイベントが発生するまでに 2 つ分のプル インターバルの時間がかかります(デフォルト時間は 10 分)。



 

Solaris または RedHat Linux の Apache Web サーバ

Solaris の Sun Java System Web Server


) Sun Java System Web Sever の従来の製品名は、Netscape Enterprise Server、iPlanet Web Server、および Sun ONE Web Server でした。


汎用 Web サーバ全般

Solaris または Linux が実行されているコンピュータをレポート デバイスとして MARS に追加できます。このコンピュータでは、Web ログ データを MARS に送信するオープンソースのエージェントが実行されていなければなりません。

Solaris または Linux 側の設定

ユーザは、シスコから提供されているオープンソースのロギング エージェントと、対応するコンフィギュレーション ファイルを使用できます。このエージェントは、次の URL のソフトウェア ダウンロード センターからダウンロードできます。

http://www.cisco.com/cgi-bin/tablebuild.pl/cs-mars-misc


) UNIX または Linux システムと MARS のクロックを同期して、これらの時間を一致させてください。


UNIX または Linux での Web エージェントのインストールと設定

MARS が Web サーバからログを受信するために、Web エージェント(agent.pl バージョン 1.1)をターゲット Web サーバにインストールして、MARS アプライアンスにログをパブリッシュするようにエージェントに指定する必要があります。


) エージェントをインストールする前に、perlcurl をシステムにインストールしておく必要があります。


UNIX ホストまたは Linux ホストにエージェントをインストールする手順は、次のとおりです。


ステップ 1 ルート ユーザとしてホストにログインします。

ステップ 2 /opt/webagent というディレクトリを作成します。

ステップ 3 ファイル agent.pl および webagent.conf /opt/webagent ディレクトリにコピーします。

ステップ 4 すべてのユーザが読み取って実行できるように、エージェント スクリプト( agent.pl )の保護を設定します。

cd /opt/webagent
chmod 755 agent.pl
 

ステップ 5 設定ファイル(weblogagent.conf)を次のように編集します。

logfile_location = access_log_path
MARS_ip_port = MARS_ip_address
username = a
password = b
 

次の値を指定します。

access_log_path :Web サーバのアクセス ログへの絶対パス名を指定します。

MARS_ip_address :MARS アプライアンスの IP アドレスです。

このファイルでユーザ名とパスワードは編集する必要はありません。


) プルするアクセス ログごとに、独立した webagent.conf ファイルが必要です。これらのファイルには webagent1.conf、webagent2.conf などの名前を付けることを推奨します。また、これらのファイルは /opt/webagent ディレクトリに格納してください。


webagent.conf 以外の設定ファイルを使用してエージェントを実行するコマンドを次に示します。

agent.pl other_config_file
 

other_config_file は、Web エージェントの設定ファイルの名前に置き換えます。

ステップ 6 一定の間隔で MARS にログをプッシュするように、crontab ファイルを編集します。次の例では、5 分おきにアクセス ログから新しいエントリを取得し、MARS にプッシュします。

crontab -e
5,10,15,20,25,30,35,40,45,50,55,0 * * * *
(cd /opt/webagent;./agent.pl weblogagent1.conf)
5,10,15,20,25,30,35,40,45,50,55,0 * * * *
(cd /opt/webagent;./agent.pl weblogagent2.conf)
 


 

Web サーバの設定

Apache Web サーバをエージェントに対して設定する手順


ステップ 1 ファイル httpd.conf で、LogFormat が common または combined であることと、MARS で設定された形式と一致することを確認します。

ステップ 2 Apache サーバを停止して再度起動し、変更内容を有効にします。


 

iPlanet Web サーバをエージェントに対して設定する手順


ステップ 1 iPlanet サーバ管理ツールで、[Preferences] タブをクリックします。

ステップ 2 左側のメニューで、[Logging Options] リンクをクリックします。

ステップ 3 [Log File] が MARS で設定されているログ ファイルの名前と一致することを確認します。

ステップ 4 [Format] のオプション ボタン [Use Common Logfile Format] がオンになっていることを確認します。

ステップ 5 変更を行った場合は、[OK] をクリックします。

ステップ 6 必要に応じて、iPlanet Web サーバをシャットダウンし、再度起動します。


 

MARS 側の設定

ホストの設定情報を追加するには、次の手順を実行します。


ステップ 1 [Admin] > [System Setup] > [Security and Monitor Devices] > [Add] をクリックします。

ステップ 2 [Device Type] リストから、新しいホストでは [Add SW Security apps]、既存のホストでは [Add SW security apps] を選択します。

ステップ 3 新しいホストを追加する場合、[Device Name] および [IP Addresses] を入力します。

ステップ 4 [Operation System] リストで [Solaris] または [Linux] を選択します。

ステップ 5 [Logging Info] をクリックします。

ステップ 6 この設定の場合、[Receive host log] ボックスをオンにする必要があります。

図 34-8 Unix Web サーバまたは Linux Web サーバのロギングのメカニズム

 

ステップ 7 [Submit] をクリックします。

ステップ 8 インターフェイスの追加を続行します。

最初のインターフェイスの場合、インターフェイスの名前、IP アドレス、およびマスクを入力します。

複数のインターフェイスの場合、[Add Interface] をクリックし、新しい各インターフェイスの名前、IP アドレス、およびマスクを追加します。

ステップ 9 [Add IP/Network Mask] をクリックして、IP アドレスとマスクを必要なだけインターフェイスに追加します。

ステップ 10 [Apply] をクリックします。

ステップ 11 [Reporting Applications] タブをクリックします。

ステップ 12 [Select Application] リストから [Generic Web Server Generic] を選択します。

ステップ 13 [Add] をクリックします。

図 34-9 Linux オペレーティング システムの Web ログの形式

 

ステップ 14 [Web Log Format] リストで、適切な形式を選択します。

ステップ 15 [Submit] をクリックします。


) デバイスを編集したら、[Activate] をクリックして変更内容を有効にする必要があります。