2021年11月11日木曜日

syslog-ng Store Box (SSB)でリモートアクセスログの調査(その2)「マルチログスペースを使用してログを集約してみる!」

SSB 検索画面

螺子です。本連載記事では、リモートアクセスログを、さまざまなSSBの機能を使用して調査してみます。
(リモートアクセスのセキュリティ対策については、こちらをご参照ください。)


今回は、マルチログスペース機能を使用して、複数のログスペースに保存されているログを集約してみます。



これまでの「syslog-ng Store Box (SSB)でリモートアクセスログを調査」連載記事:


マルチログスペース

前回の記事では、フィルターログスペース機能で、リモートアクセスのログオンとログアウトのログを異なるログスペースにわけて、わかりやすく表示できるようになりました。

ところで、特定のユーザーのログオン、ログアウトのログ(誰が何時にログオンしてログアウトしたか)を一緒に見たい場合、どうすればいいでしょうか?

ログオンとログアウトの両方を表示するフィルターログスペースを新規に作成するという方法もありますが、ここではSSBのマルチログスペース機能を使用してみます。

マルチログスペース機能は、異なるログスペース(フィルターログスペースを含む)に保存されたログを1つのログスペースとして、表示し閲覧・検索することができます。
(マルチログスペース機能も、SSB 5 LTS以降で追加された仮想ログスペースの一つです。)


それでは、マルチログスペース機能を使用して、ログオンおよびログアウトのログを1つのログスペースとして閲覧・検索してみます。

"マルチログスペース"を作成するには、[Log]>[Multiple Logspaces]に移動します。

ボタンをクリックします。新しい"マルチログスペース"を作成するための追加のフィールドが表示されます。

"マルチログスペース"名(ここでは、"remotelog")を入力し、[Member logspaces]セクションでメンバーにするログスペースを選択します。ログスペースを追加するには[+]をクリックしてフィールドを追加します。

ここでは、次の2つの"remotelogon"と"remotelogout"ログスペース(フィルターログスペース)を選択します。

図1. "マルチログスペース"設定画面例

[Commit]をクリックして、設定を保存します。


マルチログスペースの閲覧

ここで、検索ページに移動して、[Logspace]ドロップダウンリストを表示してみます。

前述で、作成した"マルチログスペース"(remotelog)の名前が通常のログスペースと同様に出力されています。

図2. [Logspace]ドロップダウンリスト(マルチログスペース)例

"マルチログスペース"(remotelog)を選択すると、ログオンおよびログアウトのログが表示されていることがわかります。

図3. "マルチログスペース"の閲覧例

動的カラムの表示

さて、マルチログスペース機能を使用し、必要なログ(リモートアクセスのログオンおよびログアウトログ)を抽出しました。

しかし、ログは長く、一目で誰がログオンあるいはログアウトしたかわかりません(図3.参照)。

SSBの動的カラムを表示することで、可読性が大幅に向上します。

ここでは、既にname-valueパーサーを使用してメッセージを動的カラムに分割しています。動的カラムは、SSBに保存されたログメッセージの構造化されたデータパラメーター(name-valueペア)から自動的に作成されます。

必要な動的カラムを表示するには、検索ページのをクリックします。

図4. [Customize columns]セクション画面例

[Customize columns]セクション画面が表示され、[Available dynamic columns]以下に、利用可能な動的カラムがリストされます([Available static columns]は、静的カラムのリストです)。

今回は、次の動的カラム(".sdata.kv.user"(ログオンユーザー)と".sdata.kv.status"(ログオンステータス))を選択して、[+]をクリックしてログメッセージのリストのカラムの列に表示させます。

以下の図のように、ログの詳細を調べなくても、ログオンユーザーおよびログオンステータスを確認できます。

図5. 動的カラムの表示例

動的カラムの検索

また、動的カラムに対しても、他のメッセージ部(メッセージ部、ホスト部など)と同様に検索できます。

検索式に、"nvpair:"プレフィックスを指定してデータパラメーターの名前と値を入力(例、nvpair:.sdata.kv.user=<ユーザー名>)することで、特定ユーザーのログオンおよびログアウトを検索できます。

図6. 動的カラムの検索例

SSBの機能

本記事で使用したSSBの機能は以下の通りです。

  • マルチログスペース

参考資料

マルチログスペースの詳細については、syslog-ng Store Box 6 LTS管理者ガイドの「8.6 マルチプルログスペースの作成」をご参照ください。

また、過去記事「syslog-ng Store Box (SSB)拡張されたログビューア機能のご紹介!」も参照してください。




いかがでしたでしょうか。今回は、マルチログスペース機能について紹介しました。次回はリモートログスペース機能を使用してリモートアクセスログを調査してみます。



それでは、次回の連載記事をお楽しみに!


「syslog-ng Store Box大活用」連載記事リスト


SSBは、高信頼ログ管理アプライアンスです。様々なデバイスおよびアプリケーションからログメッセージを収集、分類、フィルタリング、正規化して安全に保存可能です。ログデータの信頼性を担保し、膨大なログが発生する高負荷環境、あるいはログロストが許されない企業・組織のログ管理に最適です。


syslog-ng Store Boxについての詳細は、製品紹介ページ・製品ガイドをご参照ください。


評価版のダウンロード

問合わせ