syslog-ng Store Box大活用連載企画第13回「コンテンツベースアラート。重要なログを見逃さない！」

コンテンツベースアラート設定例(検索ページ)

螺子です。syslog-ng Store Box(SSB)のコンテンツベースアラートは、ログを数秒間隔で自動検索して検索式に一致した場合にアラートメールを送信することができます。

これにより、重要なログあるいは定期的にチェックしているログの発生を検知し、それらのログを見逃すリスクを低減できます。

コンテンツベースアラートは、コンテンツベースアラートの送信先を設定し、2つの方法(「検索インターフェースでのアラート設定」あるいは「[Content-Based Alerts]ページでのアラート設定」)によりアラート設定を行えます。

今回は、コンテンツベースアラートを設定し、アラートメールを送信してみます。

これまでの連載記事：

• syslog-ng Store Box大活用連載企画第1回「syslog-ng Store Boxを知る」
• syslog-ng Store Box大活用連載企画第2回「syslog-ng Store Boxを仮想環境にインストールする」
• syslog-ng Store Box大活用連載企画第3回「syslog-ng Store Boxで出来ることまとめ」
• syslog-ng Store Box大活用連載企画第4回「Wiresharkでsyslogプロトコルパケットを覗く」
• syslog-ng Store Box大活用連載企画第5回「ciscoスイッチ、fortigateファイアウォールログをSSBで受信！よりログを検索しやすく」
• syslog-ng Store Box大活用連載企画第6回「RPC APIを使ってみる、自社システムに統合！ログ検索の自動化！」
• syslog-ng Store Box大活用連載企画第7回「Active Directoryと連携して、Active Directoryユーザー認証！」
• syslog-ng Store Box大活用連載企画第8回「SSBをHA(High Availability)構成で構築してみる！」
• syslog-ng Store Box大活用連載企画第9回「ログをバイナリおよびテキスト形式で保存、違いを比較してみる」
• syslog-ng Store Box大活用連載企画第10回「ログファイルを共有して、外部ホストからアクセスしてみる！」
• syslog-ng Store Box大活用連載企画第11回「フィルターを使用して、必要なログのみ保存してみる！」
• syslog-ng Store Box大活用連載企画第12回「SSBの監視とアラート！SNMPマネージャーで監視およびSNMPトラップを受信してみる」

目次：

1. アラートターゲット(アラート送信先)設定
2. 検索インターフェースでのアラート設定
3. [Content-Based Alerts]ページでのアラート設定
4. コンテンツベースアラート送信メール例
5. 参考資料

アラートターゲット(アラート送信先)設定

まず、コンテンツベースアラートの送信先を設定します。

1. [Policies]>[Alert targets]に移動します。
2. +ボタンをクリックして、設定画面を開きます。
3. アラートターゲット名を入力し、[Target email address]フィールドにアラートメールの送信先アドレスを入力します。[Cooldown period]には、次のアラートメールが送信されるまでの間隔(秒)を指定します(注意：間隔(秒)の最小値は60です。この間隔内のアラートが送信されます)。
4. [Commit]をクリックして、設定を保存します。

図1. [Alert targets]設定例

※[Basic Settings]>[Management]の[Mail settings]セクションでメールサーバーが適切に設定されている必要があります。

検索インターフェースでのアラート設定

次に、コンテンツベースアラートの条件を設定します。1つ目は検索インターフェースからの設定です。

1. [Search]>[Logspaces]に移動します。
2. [Logspace]ドロップダウンリストからログを検索するログスペースを選択します。
3. [Search expression]フィールドに、検索式を入力します。
4. [Search]ボタンをクリックして、検索結果を出力します。
5. をクリックします。
6. [Logspace]と[Search expression]フィールドの値は既に設定済みになります。
7. [Alert name]にアラート名を入力し、[Targets]フィールドに、送信先(上述で設定したアラートターゲット)を選択します。
8. [Create alert]をクリックして、設定を保存します。

図2. 検索インターフェースでのコンテンツベースアラート設定例

[Content-Based Alerts]ページでのアラート設定

2つ目は、コンテンツベースアラート設定ページ([Search]>[Content-Based Alerts])で直接設定を行います。

1. [Search]>[Content-Based Alerts]に移動します。
2. +ボタンをクリックして、設定画面を開きます。
3. コンテンツベースアラート名を入力し、[Search expression]フィールドにメッセージの検索式を入力します。
4. [Logspace]ドロップダウンリストからログを検索するログスペースを選択します。
5. [Alert targets]セクションで送信先(上述で設定したアラートターゲット)を選択します。
6. [Commit]をクリックして、設定を保存します。

図3.[Content-Based Alerts]ページでの設定例

コンテンツベースアラート送信メール例

コンテンツベースアラートに設定したメッセージが指定したログスペースに受信されると、以下のようなアラートメールが送信されます。

図4.コンテンツベースアラートメール受信例

Alert: There were at least 10 matches between Fri 11 Dec 2020 17:00:23 JST and Fri 11 Dec 2020 17:00:31 JST on
 * logspace: "center"
 * alert: "content-alert"
 * search expression: "host:win-it2jgkb304e AND Administrator"

To review these matches on your SSB appliance, see:
https://ssb600/index.php?_backend=SearchLogspace#logspace_name=center&from=1607673623&to=1607673631&search_expression=host%3Awin-it2jgkb304e%20AND%20Administrator

Note: You will not receive a new alert message for a cooldown period of 10 minutes for this alert.

図5. コンテンツベースアラートメール受信例(テキスト)

コンテンツベースアラートメールに記載された、URLにアクセスすると検知したログメッセージがリストされている検索ページが開きます。

図6. リンク先表示例

※URLはホスト名を使用しています。DNSで名前解決できない場合、クライアントのhostsファイルにホスト名と対応するIPアドレスを記述してください。

参考資料

コンテンツベースアラートの詳細については、syslog-ng Store Box6 LTS管理者ガイドの「12.4 コンテンツベースアラートの作成」をご覧ください。

いかがでしたでしょうか。重要なログあるいは定期的にチェックしているログの発生を検知してアラートを送信することができました。

それでは、次回の連載記事をお楽しみに！

---

SSBは、高信頼ログ管理アプライアンスです。様々なデバイスおよびアプリケーションからログメッセージを収集、分類、フィルタリング、正規化して安全に保存可能です。ログデータの信頼性を担保し、膨大なログが発生する高負荷環境、あるいはログロストが許されない企業・組織のログ管理に最適です。

---

syslog-ng Store Boxについての詳細は、製品紹介ページ・製品ガイドをご参照ください。

評価版のダウンロード

問合わせ