2021年11月1日月曜日

syslog-ng Store Box (SSB)でリモートアクセスログを調査(その1)「フィルターログスペースを使用して必要なログのみ検索・抽出してみる!」

SSB 検索画面

螺子です。前回の「syslog-ng Store Box大活用」連載企画記事の投稿が終わり、ほっと一息ついたのも束の間、「次の連載記事を早く執筆しろ!」と編集長(?)から言われ、〆切に追われるマンガ家になった気分です。

さて、シスログサーバーには、さまざまなログ(ファイアウォールログ、Webサーバーログ、Windowsイベントログ、ルーターログ、スイッチログなど)が収集され、保存されています。

今回のsyslog-ng Store Box (SSB)の連載記事は、そのログの中からリモートアクセスログを、さまざまなSSBの機能を使用して調査してみます。
(リモートアクセスのセキュリティ対策については、こちらをご参照ください。)


本記事では、SSBのフィルターログスペース機能を使用して、必要なリモートアクセスログのみを閲覧・検索および抽出してみます。

フィルターログスペースについては、過去記事「syslog-ng Store Box (SSB)拡張されたログビューア機能のご紹介!」も参照してください。

SSBでは、ログの閲覧・検索機能が標準で実装されています。SSBの検索ページについては、過去記事「syslog-ng Store Box (SSB)のログ閲覧・検索」も参照してください。

なお、ここでは、既にkey=valueパーサーを使用して受信メッセージログをname-valueペアに分割しています。key=valueパーサーについては、過去記事「syslog-ng Store Box大活用連載企画第5回「Ciscoスイッチ、FortigateファイアウォールログをSSBで受信!よりログを検索しやすく」」も参照してください。




シスログサーバーには、さまざまなログ(ファイアウォールログ、Webサーバーログ、Windowsイベントログ、ルーターログ、スイッチログなど)が収集され、大量のログが保存されています。

図1. SSBのログ検索画面
図2. SSBの統計情報例

SSBでは、ログの閲覧・検索機能がデフォルトで実装されています。SSBの検索ページで閲覧・検索が可能です。

リモートアクセス(ログインおよびログアウト)ログを検索するには、[Search expression]フィールドに検索式を入力して、[Search]ボタンをクリックします。

以下の例は、ログ送信元ホストが"192.168.91.8"、かつ、key=valueパーサーで分割したメタデータ("nvpair:.sdata.kv.logdesc")が、"Authentication\ logon"(ログオン)または"Authentication\ logout"(ログアウト)を抽出する検索式です("\"は、特殊文字(スペース)をバックスラッシュでエスケープしています)。

host:192.168.91.8 AND (nvpair:.sdata.kv.logdesc=Authentication\ logon OR nvpair:.sdata.kv.logdesc=Authentication\ logout)
図3. 検索式例
図4. 検索結果画面例

[Search expression]フィールド横の[?]ボタンをクリックすると、検索式に関するヘルプ画面が表示されます。

図5. 検索式のヘルプ画面例

フィルターログスペース

このようにして、SSBでは必要なログを検索・閲覧できますが、検索ページで同様なログを検索するのに、毎回、検索式を入力して検索するのは手間ではありませんか?

SSBでは、このような処理を省くのに、フィルターログスペース機能があります。これは、SSB 5 LTS以降で追加された仮想ログスペースの一つで、ログスペース(リモートも含む)をフィルター(検索ページと同じ検索式)で絞り込みサブセット(仮想的なログスペース)を作成できます。

"フィルターログスペース"を作成するには、[Log]>[Filtered Logspaces]に移動します。

ボタンをクリックします。新しい"フィルターログスペース"を作成するための追加のフィールドが表示されます。

"フィルターログスペース"名を入力し、[Base logspace]フィールドでフィルターするログスペースを選択します。[Filter]フィールドに検索式を入力します。

ここでは、以下の2つの"フィルターログスペース"を作成します。

ログスペース名: remotelogon
[Base logspace] center
[Filter] host:192.168.91.8 nvpair:.sdata.kv.logdesc=Authentication\ logon

ログスペース名: remotelogout
[Base logspace] center
[Filter] host:192.168.91.8 nvpair:.sdata.kv.logdesc=Authentication\ logout
図6. "フィルターログスペース"設定例
図7. "フィルターログスペース"設定画面例

[Commit]をクリックして、設定を保存します。


フィルターログスペースの閲覧

ここで、検索ページに移動して、[Logspace]ドロップダウンリストを表示してみます。

前述で、作成した"フィルターログスペース"の名前が通常のログスペースと同様に出力されています。

図8. [Logspace]ドロップダウンリスト例

"フィルターログスペース"(remotelogon)を選択すると、検索式に一致したログのみが表示されていることがわかります。

図9. "フィルターログスペース"の閲覧例

SSBの機能

本記事で使用したSSBの機能は以下の通りです。
  • key=valueパーサー
  • フィルターログスペース

参考資料

SSBの検索ページの詳細については、syslog-ng Store Box 6 LTS管理者ガイドの「12.1 検索インターフェースの使用」をご参照ください。

key=valueパーサーの詳細については、syslog-ng Store Box 6 LTS管理者ガイドの「10.7 key-value ペアのパーサー」をご参照ください。

フィルターログスペースの詳細については、syslog-ng Store Box 6 LTS管理者ガイドの「8.4 フィルターログスペースの作成」をご参照ください。

また、本記事の冒頭で紹介している、過去記事も併せてご参照ください。


いかがでしたでしょうか。今回は、フィルターログスペース機能について紹介しました。次回はマルチログスペース機能を使用してリモートアクセスログを調査してみます。



それでは、次回の連載記事をお楽しみに!


「syslog-ng Store Box大活用」連載記事リスト


SSBは、高信頼ログ管理アプライアンスです。様々なデバイスおよびアプリケーションからログメッセージを収集、分類、フィルタリング、正規化して安全に保存可能です。ログデータの信頼性を担保し、膨大なログが発生する高負荷環境、あるいはログロストが許されない企業・組織のログ管理に最適です。


syslog-ng Store Boxについての詳細は、製品紹介ページ・製品ガイドをご参照ください。


評価版のダウンロード

問合わせ