SSB 検索画面 |
螺子です。本連載記事では、リモートアクセスログを、さまざまなSSBの機能を使用して調査してみます。
(リモートアクセスのセキュリティ対策については、こちらをご参照ください。)
今回は、マルチログスペース機能を使用して、複数のログスペースに保存されているログを集約してみます。
マルチログスペース
前回の記事では、フィルターログスペース機能で、リモートアクセスのログオンとログアウトのログを異なるログスペースにわけて、わかりやすく表示できるようになりました。
ところで、特定のユーザーのログオン、ログアウトのログ(誰が何時にログオンしてログアウトしたか)を一緒に見たい場合、どうすればいいでしょうか?
ログオンとログアウトの両方を表示するフィルターログスペースを新規に作成するという方法もありますが、ここではSSBのマルチログスペース機能を使用してみます。
マルチログスペース機能は、異なるログスペース(フィルターログスペースを含む)に保存されたログを1つのログスペースとして、表示し閲覧・検索することができます。
(マルチログスペース機能も、SSB 5 LTS以降で追加された仮想ログスペースの一つです。)
それでは、マルチログスペース機能を使用して、ログオンおよびログアウトのログを1つのログスペースとして閲覧・検索してみます。
"マルチログスペース"を作成するには、[Log]>[Multiple Logspaces]に移動します。
ボタンをクリックします。新しい"マルチログスペース"を作成するための追加のフィールドが表示されます。
"マルチログスペース"名(ここでは、"remotelog")を入力し、[Member logspaces]セクションでメンバーにするログスペースを選択します。ログスペースを追加するには[+]をクリックしてフィールドを追加します。
ここでは、次の2つの"remotelogon"と"remotelogout"ログスペース(フィルターログスペース)を選択します。
図1. "マルチログスペース"設定画面例 |
[Commit]をクリックして、設定を保存します。
マルチログスペースの閲覧
ここで、検索ページに移動して、[Logspace]ドロップダウンリストを表示してみます。
前述で、作成した"マルチログスペース"(remotelog)の名前が通常のログスペースと同様に出力されています。
図2. [Logspace]ドロップダウンリスト(マルチログスペース)例 |
"マルチログスペース"(remotelog)を選択すると、ログオンおよびログアウトのログが表示されていることがわかります。
図3. "マルチログスペース"の閲覧例 |
動的カラムの表示
さて、マルチログスペース機能を使用し、必要なログ(リモートアクセスのログオンおよびログアウトログ)を抽出しました。
しかし、ログは長く、一目で誰がログオンあるいはログアウトしたかわかりません(図3.参照)。
SSBの動的カラムを表示することで、可読性が大幅に向上します。
ここでは、既にname-valueパーサーを使用してメッセージを動的カラムに分割しています。動的カラムは、SSBに保存されたログメッセージの構造化されたデータパラメーター(name-valueペア)から自動的に作成されます。
必要な動的カラムを表示するには、検索ページのをクリックします。
図4. [Customize columns]セクション画面例 |
[Customize columns]セクション画面が表示され、[Available dynamic columns]以下に、利用可能な動的カラムがリストされます([Available static columns]は、静的カラムのリストです)。
今回は、次の動的カラム(".sdata.kv.user"(ログオンユーザー)と".sdata.kv.status"(ログオンステータス))を選択して、[+]をクリックしてログメッセージのリストのカラムの列に表示させます。
以下の図のように、ログの詳細を調べなくても、ログオンユーザーおよびログオンステータスを確認できます。
図5. 動的カラムの表示例 |
動的カラムの検索
また、動的カラムに対しても、他のメッセージ部(メッセージ部、ホスト部など)と同様に検索できます。
検索式に、"nvpair:"プレフィックスを指定してデータパラメーターの名前と値を入力(例、nvpair:.sdata.kv.user=<ユーザー名>)することで、特定ユーザーのログオンおよびログアウトを検索できます。
図6. 動的カラムの検索例 |
SSBの機能
本記事で使用したSSBの機能は以下の通りです。
- マルチログスペース
参考資料
マルチログスペースの詳細については、syslog-ng Store Box 6 LTS管理者ガイドの「8.6 マルチプルログスペースの作成」をご参照ください。
また、過去記事「syslog-ng Store Box (SSB)拡張されたログビューア機能のご紹介!」も参照してください。
いかがでしたでしょうか。今回は、マルチログスペース機能について紹介しました。次回はリモートログスペース機能を使用してリモートアクセスログを調査してみます。
それでは、次回の連載記事をお楽しみに!
「syslog-ng Store Box大活用」連載記事リスト
- syslog-ng Store Box大活用連載企画第1回「syslog-ng Store Boxを知る」
- syslog-ng Store Box大活用連載企画第2回「syslog-ng Store Boxを仮想環境にインストールする」
- syslog-ng Store Box大活用連載企画第3回「syslog-ng Store Boxで出来ることまとめ」
- syslog-ng Store Box大活用連載企画第4回「Wiresharkでsyslogプロトコルパケットを覗く」
- syslog-ng Store Box大活用連載企画第5回「ciscoスイッチ、fortigateファイアウォールログをSSBで受信!よりログを検索しやすく」
- syslog-ng Store Box大活用連載企画第6回「RPC APIを使ってみる、自社システムに統合!ログ検索の自動化!」
- syslog-ng Store Box大活用連載企画第7回「Active Directoryと連携して、Active Directoryユーザー認証!」
- syslog-ng Store Box大活用連載企画第8回「SSBをHA(High Availability)構成で構築してみる!」
- syslog-ng Store Box大活用連載企画第9回「ログをバイナリおよびテキスト形式で保存、違いを比較してみる」
- syslog-ng Store Box大活用連載企画第10回「ログファイルを共有して、外部ホストからアクセスしてみる!」
- syslog-ng Store Box大活用連載企画第11回「フィルターを使用して、必要なログのみ保存してみる!」
- syslog-ng Store Box大活用連載企画第12回「SSBの監視とアラート!SNMPマネージャーで監視およびSNMPトラップを受信してみる」
- syslog-ng Store Box大活用連載企画第13回「コンテンツベースアラート。重要なログを見逃さない!」
- syslog-ng Store Box大活用連載企画第14回「設定変更履歴。コンプライアンスにも対応!」
- syslog-ng Store Box大活用連載企画第15回「トラブルシューティングに役立つ機能。問題を迅速に解決!」
- syslog-ng Store Box大活用連載企画第16回「ユーザーアクセス制御。アクセス権限とタイプを設定してみる!」
- syslog-ng Store Box大活用連載企画第17回「リライト機能。ログの整形や正規化!」
- syslog-ng Store Box大活用連載企画第18回「バックアップリストア。システムデータおよびログデータをバックアップ、リストアしてみる!」
- syslog-ng Store Box大活用連載企画第19回「アーカイブ/クリーンアップ。ログデータをアーカイブ、クリーンアップしてみる!」
- syslog-ng Store Box大活用連載企画第20(最終)回「SSBの有効活用および安定稼働のためのポイントを紹介!」
SSBは、高信頼ログ管理アプライアンスです。様々なデバイスおよびアプリケーションからログメッセージを収集、分類、フィルタリング、正規化して安全に保存可能です。ログデータの信頼性を担保し、膨大なログが発生する高負荷環境、あるいはログロストが許されない企業・組織のログ管理に最適です。