SSB 検索画面 |
螺子です。前回の「syslog-ng Store Box大活用」連載企画記事の投稿が終わり、ほっと一息ついたのも束の間、「次の連載記事を早く執筆しろ!」と編集長(?)から言われ、〆切に追われるマンガ家になった気分です。
さて、シスログサーバーには、さまざまなログ(ファイアウォールログ、Webサーバーログ、Windowsイベントログ、ルーターログ、スイッチログなど)が収集され、保存されています。
今回のsyslog-ng Store Box (SSB)の連載記事は、そのログの中からリモートアクセスログを、さまざまなSSBの機能を使用して調査してみます。
(リモートアクセスのセキュリティ対策については、こちらをご参照ください。)
本記事では、SSBのフィルターログスペース機能を使用して、必要なリモートアクセスログのみを閲覧・検索および抽出してみます。
フィルターログスペースについては、過去記事「syslog-ng Store Box (SSB)拡張されたログビューア機能のご紹介!」も参照してください。
SSBでは、ログの閲覧・検索機能が標準で実装されています。SSBの検索ページについては、過去記事「syslog-ng Store Box (SSB)のログ閲覧・検索」も参照してください。
なお、ここでは、既にkey=valueパーサーを使用して受信メッセージログをname-valueペアに分割しています。key=valueパーサーについては、過去記事「syslog-ng Store Box大活用連載企画第5回「Ciscoスイッチ、FortigateファイアウォールログをSSBで受信!よりログを検索しやすく」」も参照してください。
リモートアクセスログの検索
シスログサーバーには、さまざまなログ(ファイアウォールログ、Webサーバーログ、Windowsイベントログ、ルーターログ、スイッチログなど)が収集され、大量のログが保存されています。
図1. SSBのログ検索画面 |
図2. SSBの統計情報例 |
SSBでは、ログの閲覧・検索機能がデフォルトで実装されています。SSBの検索ページで閲覧・検索が可能です。
リモートアクセス(ログインおよびログアウト)ログを検索するには、[Search expression]フィールドに検索式を入力して、[Search]ボタンをクリックします。
以下の例は、ログ送信元ホストが"192.168.91.8"、かつ、key=valueパーサーで分割したメタデータ("nvpair:.sdata.kv.logdesc")が、"Authentication\ logon"(ログオン)または"Authentication\ logout"(ログアウト)を抽出する検索式です("\"は、特殊文字(スペース)をバックスラッシュでエスケープしています)。
host:192.168.91.8 AND (nvpair:.sdata.kv.logdesc=Authentication\ logon OR nvpair:.sdata.kv.logdesc=Authentication\ logout)
図4. 検索結果画面例 |
[Search expression]フィールド横の[?]ボタンをクリックすると、検索式に関するヘルプ画面が表示されます。
図5. 検索式のヘルプ画面例 |
フィルターログスペース
このようにして、SSBでは必要なログを検索・閲覧できますが、検索ページで同様なログを検索するのに、毎回、検索式を入力して検索するのは手間ではありませんか?
SSBでは、このような処理を省くのに、フィルターログスペース機能があります。これは、SSB 5 LTS以降で追加された仮想ログスペースの一つで、ログスペース(リモートも含む)をフィルター(検索ページと同じ検索式)で絞り込みサブセット(仮想的なログスペース)を作成できます。
"フィルターログスペース"を作成するには、[Log]>[Filtered Logspaces]に移動します。
ボタンをクリックします。新しい"フィルターログスペース"を作成するための追加のフィールドが表示されます。
"フィルターログスペース"名を入力し、[Base logspace]フィールドでフィルターするログスペースを選択します。[Filter]フィールドに検索式を入力します。
ここでは、以下の2つの"フィルターログスペース"を作成します。
ログスペース名: remotelogon [Base logspace] center [Filter] host:192.168.91.8 nvpair:.sdata.kv.logdesc=Authentication\ logon ログスペース名: remotelogout [Base logspace] center [Filter] host:192.168.91.8 nvpair:.sdata.kv.logdesc=Authentication\ logout
図7. "フィルターログスペース"設定画面例 |
[Commit]をクリックして、設定を保存します。
フィルターログスペースの閲覧
ここで、検索ページに移動して、[Logspace]ドロップダウンリストを表示してみます。
前述で、作成した"フィルターログスペース"の名前が通常のログスペースと同様に出力されています。
図8. [Logspace]ドロップダウンリスト例 |
"フィルターログスペース"(remotelogon)を選択すると、検索式に一致したログのみが表示されていることがわかります。
図9. "フィルターログスペース"の閲覧例 |
SSBの機能
本記事で使用したSSBの機能は以下の通りです。- key=valueパーサー
- フィルターログスペース
参考資料
SSBの検索ページの詳細については、syslog-ng Store Box 6 LTS管理者ガイドの「12.1 検索インターフェースの使用」をご参照ください。
key=valueパーサーの詳細については、syslog-ng Store Box 6 LTS管理者ガイドの「10.7 key-value ペアのパーサー」をご参照ください。
フィルターログスペースの詳細については、syslog-ng Store Box 6 LTS管理者ガイドの「8.4 フィルターログスペースの作成」をご参照ください。
また、本記事の冒頭で紹介している、過去記事も併せてご参照ください。いかがでしたでしょうか。今回は、フィルターログスペース機能について紹介しました。次回はマルチログスペース機能を使用してリモートアクセスログを調査してみます。
それでは、次回の連載記事をお楽しみに!
「syslog-ng Store Box大活用」連載記事リスト
- syslog-ng Store Box大活用連載企画第1回「syslog-ng Store Boxを知る」
- syslog-ng Store Box大活用連載企画第2回「syslog-ng Store Boxを仮想環境にインストールする」
- syslog-ng Store Box大活用連載企画第3回「syslog-ng Store Boxで出来ることまとめ」
- syslog-ng Store Box大活用連載企画第4回「Wiresharkでsyslogプロトコルパケットを覗く」
- syslog-ng Store Box大活用連載企画第5回「Ciscoスイッチ、FortigateファイアウォールログをSSBで受信!よりログを検索しやすく」
- syslog-ng Store Box大活用連載企画第6回「RPC APIを使ってみる、自社システムに統合!ログ検索の自動化!」
- syslog-ng Store Box大活用連載企画第7回「Active Directoryと連携して、Active Directoryユーザー認証!」
- syslog-ng Store Box大活用連載企画第8回「SSBをHA(High Availability)構成で構築してみる!」
- syslog-ng Store Box大活用連載企画第9回「ログをバイナリおよびテキスト形式で保存、違いを比較してみる」
- syslog-ng Store Box大活用連載企画第10回「ログファイルを共有して、外部ホストからアクセスしてみる!」
- syslog-ng Store Box大活用連載企画第11回「フィルターを使用して、必要なログのみ保存してみる!」
- syslog-ng Store Box大活用連載企画第12回「SSBの監視とアラート!SNMPマネージャーで監視およびSNMPトラップを受信してみる」
- syslog-ng Store Box大活用連載企画第13回「コンテンツベースアラート。重要なログを見逃さない!」
- syslog-ng Store Box大活用連載企画第14回「設定変更履歴。コンプライアンスにも対応!」
- syslog-ng Store Box大活用連載企画第15回「トラブルシューティングに役立つ機能。問題を迅速に解決!」
- syslog-ng Store Box大活用連載企画第16回「ユーザーアクセス制御。アクセス権限とタイプを設定してみる!」
- syslog-ng Store Box大活用連載企画第17回「リライト機能。ログの整形や正規化!」
- syslog-ng Store Box大活用連載企画第18回「バックアップリストア。システムデータおよびログデータをバックアップ、リストアしてみる!」
- syslog-ng Store Box大活用連載企画第19回「アーカイブ/クリーンアップ。ログデータをアーカイブ、クリーンアップしてみる!」
- syslog-ng Store Box大活用連載企画第20(最終)回「SSBの有効活用および安定稼働のためのポイントを紹介!」
SSBは、高信頼ログ管理アプライアンスです。様々なデバイスおよびアプリケーションからログメッセージを収集、分類、フィルタリング、正規化して安全に保存可能です。ログデータの信頼性を担保し、膨大なログが発生する高負荷環境、あるいはログロストが許されない企業・組織のログ管理に最適です。