Skip to main content

サーバの設定

サーバの設定画面より、各環境(開発、テスト、本番)でサーバがどのように機能するかを設定できます。

サーバとAssessの解析方法の調整

新規に登録されたサーバは、設定したサーバの環境(開発、QA、本番など)に応じて、最適なチューニング構成が自動的に選択されます。2025年5月20日より前に登録されていた既存のサーバについては、カスタムサンプリングを有効にしていない限り、開発環境とQA環境には「開発環境向け」構成が、本番環境には「本番環境向け」構成が割り当てます。カスタムのサンプリングを有効にしている場合は、カスタムの構成が割り当てられ、指定された値がそのまま適用されます。

本番環境が設定されていてAssessが有効になっているサーバの場合、Contrastは機密データが記録されるのを防ぐため、取得されたサンプルのユーザ入力値を常に難読化します。

手順

  1. Contrast Webインターフェイスのナビゲーションバーで、サーバを選択します。

  2. 以下のいずれかの方法で、設定を変更するサーバを検索します。

    • サーバ列の上部にあるフィルターアイコン(icon-filter.svg)を選択

    • 虫眼鏡のアイコン(icon-search.svg)を使用して検索

  3. 以下のいずれかの方法で、「サーバの設定」にアクセスします。

    • サーバの行の最後にカーソルを合わせ、設定アイコン(icon-settings.svg)を選択

    • サーバの名前を選択してドリルダウンして、画面右上の設定アイコン(icon-settings.svg)を選択

  4. 必要に応じて、設定を変更します。

    • サーバ名を変更します。

    • サーバが稼働する環境(開発環境、QA、本番環境)を指定します。

    • 「サーバログファイル」のフィールドに、優先するパスを入力して、既存のサーバログファイルのパスを上書きします。

      注記

      サーバのログファイルは、ファイル形式が.LOGまたは.TXTのみに制限されます。

    • サーバのログレベルを設定します。

    • ボットのブロックを設定します。

      ボットをブロックすることで、スクレーパー、攻撃ツール、その他の自動化からの不要なトラフィックをブロックできます。

      ブロックされたポッドのアクティビティを表示するには、攻撃 >攻撃イベントで、フィルターにを選択します。

      サポート対象の言語:Java、.NET Framework、.NET Core、Ruby、Python

      注記

      ボットのブロックは、各言語(Java、.NET Framework、.NET Core、Ruby、Python)のエージェントのYAML設定ファイルで指定できます。

    • パフォーマンス向上のためサンプリングを有効にするを選択する。

      この設定は、Assessが有効な時に利用できます。

      サンプリングには、以下を設定します。

    • SyslogへProtectイベントの出力を有効にするを選択します。

      この設定は、Protectが有効な時に利用できます。

      注記

      現在、Contrast PHPエージェントはこの機能をサポートしていません。Contrast Goエージェントは部分的にサポートしています。

      サーバがsyslogに出力するsyslogメッセージの重要度レベルを選択します。Contrastで提供されるsyslogメッセージの重要度は、syslog RFC 3164の仕様に従って分類されます。

      • 開発環境向け構成:エージェントは、全てのURLの観測結果を解析します。コードが頻繁に変更される環境に最適です。このオプションは、アプリケーションのパフォーマンスに最も大きな影響を与えます。

      • QA環境向け構成:エージェントは、大部分のURLの観測結果を解析します。短期的なコードや開発中のコードがある環境に最適です。このオプションは、開発環境向けのオプションよりも、アプリケーションのパフォーマンスへの影響は少なくなります。

      • 本番環境向け構成: 他のオプションよりも、エージェントが解析するURLの観測結果は少なくなります。コードが安定している環境に最適です。このオプションは、アプリケーションのパフォーマンスへの影響が最も小さくなります。

      • カスタム: このオプションを使用すると、解析のカスタム値を設定できます。

        • スタックトレース:エージェントが取得するスタックトレースを全てにするか、一部にするか、またはなしにするかを選択できます。

          一部を選択した場合、脆弱性のソースイベントとシンクイベントのスタックトレースが取得されますが、その間の伝播イベントに関してのスタックトレースは取得されません。通常、この程度の情報があれば、開発者が修正を行うのに十分な詳細があると言えます。完全な詳細が必要な場合は、関連するルートをより低い環境(開発環境やQA環境)で実行することで確認できます。

          取得される詳細情報の正確なレベルは、エージェントの言語とバージョンによっても異なる場合があります。

        • 基準:サンプリングが完了するまでに、ContrastでURLを解析する回数。デフォルトの設定は5です。

        • 頻度:基準のサンプル回数を取得後、毎回N番目のリクエストのみを解析します。頻度には、Nの値を指定します。デフォルトの設定は、10です。

        • サンプル保持画面:基準に戻る前に、Contrastでサンプルを保持する秒数。指定した秒数が経過すると、サンプリングはリセットされ基準サンプルが再度行われます。デフォルトの設定は、180です。

このセクションの内容: