この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
• 「データの書式」
• 「時間範囲」
• 「エクスポート」
• 「エクスポート」
• 「使用シナリオ」
Cisco Web セキュリティ アプライアンス用 Splunk アプリケーションには、一連の定義済みレポートが含まれます。レポート機能は、Cisco Web セキュリティ アプライアンスのネイティブなレポート機能との一貫性をできる限り保ちます。
(注) Cisco Web セキュリティ アプライアンス用 Splunk アプリケーションを使って生成されるレポートは、レポートのロード時間を促進するサマリー インデックスを使用することで、Splunk を通じて取得できるデータと比べ、より多くのデータを表示する場合があります。
ヒント Splunk の管理者は、概要レポートおよび Web トラッキング レポートに表示されるホストを制御できます。追加、削除、または名前を変更したいホストがある場合は、その詳細を Splunk 管理者に知らせてください。
Cisco WSA Splunk アプリケーションを通じて取得できるデータの形式は、ネイティブなレポート作成機能で利用できるデータ形式とは異なる場合があります。
|
|
---|---|
ヒント より迅速に結果を返すには、より小さな時間範囲を選択します。
|
|
|
---|---|---|
ヒント [ジョブ(jobs)] メニューを使用して、スケジュールされた検索が長時間実行していないことを確認します。[超過(Too long)] は、たとえば、週間検索が 1 週間以上続くなど、頻度が高いことを示します。
ヒント [ジョブ(Jobs)] メニューを選択します。各レポートの検索に、検索の説明とインターバルのサマリーを表示するマーカーがあります。たとえば、「_dashboard_users_base-search(*,1d)」の検索は、ユーザの 1 日のサマリーを表します。
サマリー インデックスは、レポート生成のスピードを促進します。サマリーは 1 時間ごとに生成されます。毎晩、毎時のサマリーは日々のサマリーに集約されます。毎週、毎日のサマリーは週単位の要約に集約されます。
|
|
---|---|
ステップ 2 [エクスポート(Export)] を選択します。
• Splunk 管理者が PDF 出力を有効化していることを確認します。
ステップ 2 [PDF として保存(Save as PDF)] を選択します。
事前定義された汎用レポートには、事前定義された特定レポートへのハイパーリンクがあります。
たとえば、ユーザに関する特定の情報を表示する場合は、事前に定義されたユーザ レポートから開始します。
ステップ 2 詳細を知りたいサブジェクトのハイパーリンクをクリックします。
たとえば、ハイパーリンクがついたユーザ名、または個々のユーザの IP アドレスを指定します。
• 「エクスポート」
Web トラッキング レポートを使って、簡易検索およびアドバンス検索オプションを利用できます。
ワンポイント アドバイス 検索対象をできるだけ特定し、時間範囲を狭めてください。
ヒント Cisco Web セキュリティ アプライアンス用 Splunk アプリケーションでは、一連のファイルを使用して、Web トラッキング ページのメニューを表示します。[Web トラッキング(Web Tracking)] ページのメニューに問題が発生した場合は、これらのファイルがアプリケーションの参照フォルダにあることを確認します。
ヒント Splunk 管理者は、Splunk 内に表示される URL カテゴリのリストを編集できます。カテゴリがアクセス ログに表示されるが参照ファイルにはない場合、Cisco Web セキュリティ アプライアンス用 Splunk アプリケーションに [カスタムカテゴリ(Custom Category)] が表示されます。
departments.csv は、役割ベースのセキュリティ機能の一部として使用されるファイルです。このファイルは、手動またはロール ディスカバリ スクリプトの設定(アプリケーションの bin フォルダで使用可能)によって編集できます。Linux と Windows、両方のスクリプトがあります。
• ファイルがアプリケーションの参照フォルダにあることを確認します。
• Linux バージョンを使用している場合は、CLI ldapsearch がインストールされ、Splunk ユーザのパスにあることを確認します。
• Windows バージョンを使用している場合は、どこでどのような理由でエラーが発生したかについての特定情報を明示するため、「option explicit」がコメントアウトされる可能性があります。
• バインド サービスのアカウント名が正しいことを確認します。
• 正しいバインド パスワードが入力されていることを確認します。
• 正しい属性がグループ メンバーシップに使用されたことを確認します。
ヒント Splunk 管理者は、Web トラッキング フォームのドロップダウン フィールドに使用できるオプションを制御できます。
• 「検索」
ここでは、システム管理者がどのように社内の特定ユーザを調査するかについて例を挙げます。このシナリオでは、ある従業員が勤務中に不適切な Web サイトにアクセスしている、という苦情を管理者が受け取っています。システム管理者は、この問題を調査するにあたり、従業員の Web 使用状況のトレンドおよびトランザクション履歴を見る必要があります。
• 特定のユーザ ID またはクライアント IP と一致するポリシー
システム管理者は、これらのレポートを使用することにより、たとえば、ユーザの「johndoe」がブロックされた URL にアクセスしようとしていたかどうかを把握することができます。これは、[ドメイン(Domains)] セクションにある [ブロックされたトランザクション(Transactions Blocked)] 列に表示されます。
ステップ 1 Cisco WSA Splunk アプリケーションのドロップダウンメニューから、[ユーザ(Users)] を選択します。
ステップ 2 ユーザ ID またはクライアント IP アドレスを指定します。
(注) 調べたいクライアント IP アドレスまたはユーザ ID が見つからない場合は、適当なユーザ ID またはクライアント IP を指定します。ユーザ ID またはクライアント IP アドレスのすべてまたは一部を検索します。
ステップ 3 (任意)[アクション(Actions)] > [印刷(Print)] を選択します。
ステップ 1 Cisco WSA Splunk アプリケーションのドロップダウン メニューから、[Web トラッキング(Web Tracking)] を選択します。
ステップ 2 ユーザ/クライアント IP アドレスを [検索(Search)] します。
ステップ 3 トランザクションごとに表示される情報を変更するには、トランザクション リスト上部の [選択フィールド(Pick fields)] をクリックします。
ステップ 4 (任意)CSV ファイルにデータをエクスポートするには、[エクスポート(Export)] をクリックします。
このシナリオでは、セールス マネジャーが、前週、社内において最もアクセス数の高かった Web サイトのうち、上位 5 つを知りたいと考えています。さらに、どのユーザがこれらの Web サイトにアクセスしているかについても知りたいとします。
ステップ 1 Cisco WSA Splunk アプリケーションのドロップダウン メニューから、[Web サイト(Web Sites)] を選択します。
ステップ 2 [時間範囲(Time Range)] のドロップダウン リストから[週(Week)] を選択します。
ステップ 3 ドメインと一致する表で、上位 25 のドメインが表示されます。
ステップ 4 ドメインをクリックすると、そのドメインをブラウズしたユーザが頻度の高い順に表示されます。
このシナリオでは、人事部マネジャーが、過去 30 日間で社内において最もアクセス数の高かった URL カテゴリーの上位 3 つを知りたいと考えています。さらに、ネットワーク管理者が、同様の情報を使って帯域幅の使用状況をモニタし、最も帯域幅を使用している URL がどれかを知りたいと考えています。以下の例は、複数の人の関心事に対応するデータを 1 つのレポートで提供する方法を示します。
• 「(任意)スケジュール済 PDF レポートのセットアップ」
ステップ 1 Cisco WSA Splunk アプリケーションのドロップダウン メニューから、[URL カテゴリ(URL Categories)] を選択します。
ステップ 2 トータル トランザクションのグラフでは、上位 10 の URL カテゴリを表示します。
ステップ 3 [アクション(Actions)] > [PDF 配信スケジュール(Schedule for PDF Delivery)] を選択します。
ステップ 5 URL カテゴリの照合表で [許容バイト数(Bytes Allowed)] コラムを参照します。
ステップ 6 [アクション(Actions)] > [PDF 配信スケジュール(Schedule for PDF Delivery)] を選択します。
ステップ 7 ネットワーク管理者に PDF ファイルを送信します。
ステップ 8 より細かく制御するために、特定の URL カテゴリをクリックします。