「テレワークのため急きょVPNを導入したものの、いつ誰が接続/切断出来てるか把握出来ていない...」
そんなご不安はありませんか?
1. 情報を収集、集約する (WinSyslog)
以下に示すのは、VPN装置からのSyslogを「WinSyslog」で受信した例です。
Firewall機能のログに加えて、
Webフィルタリング、IPS、VPNなど様々なログが時系列に並んでいます。
目的の情報(今回はVPN接続/切断のログ)だけを取り出すのは「Retrospective」を利用すると簡単に実現できます。
Retrospectiveは「WinSyslog-J 検索パック」に同梱されている高性能な閲覧・検索アプリです。
2. 条件に合致するログ行だけを表示する (Retrospective)
収集した全ログに対し、Retrospectiveで全検索をかけます。
検索条件は「無し」です。
13,219行のログが表示されました。
次に、VPNに関する行だけを表示します。
この例では、検索条件は「subtype="vpn"」です。
※VPN装置の機種やバージョン、設定によりログの書式や文言が異なります。
詳細はVPN装置のメーカー様、代理店様にお問合せ下さい。
3,022行のログが表示されました。
VPNのログには接続/切断以外にも、
認証のプロセス、失敗、VPNサーバーそのものの立ち上がり等が記録されます。
以下の3章では、
Fortigateログの「action=」パラメーターに注目してみましょう。
3. ログ行内の特定のパラメーターに注目し、羅列する「カラム分割」
Retrospectiveには特定のパラメーターだけを取り出し、行として表示させる
「カラム分割」の機能があり、とても便利です。
先に「カラム分割」を用いて特定のパラメーターを表示させた結果をご覧頂きましょう。
ログ内の
xauthuser=igarashi が認証時のID、
action="install_sa" がVPN接続確立、
action="delete_phase1_sa" がVPN切断にあたります。
※VPN装置の機種やバージョン、設定によりログの書式や文言が異なります。
詳細はVPN装置のメーカー様、代理店様にお問合せ下さい。
xauthuser=のパラメーターを「User」として、
action=のパラメーターを「Action」として抽出、羅列しました。
「カラム分割」を設定するための条件には
- セパレーター
- 正規表現
の2つの方法があります。
ユーザー様のご用途に合わせて様々な便利な機能がご利用いただけます。
詳細についてはお気軽にお問合せください。
