2021年12月17日金曜日

syslog-ng Store Box (SSB)でリモートアクセスログを調査(その3)「リモートログスペースを使用して他のSSBに保存したログを閲覧・検索してみる!」

SSB 検索画面

螺子です。本連載記事では、リモートアクセスログを、さまざまなSSBの機能を使用して調査してみます。
(リモートアクセスのセキュリティ対策については、こちらをご参照ください。)


今回は、リモートログスペース機能を使用して、他のSSB(別のマシンにインストールされたSSB)に保存されているリモートアクセスログを閲覧・検索してみます。
※リモートログスペース機能は、ログの内容(リモートアクセスログなど)に依存せず動作します。






リモートログスペース

前回は、マルチログスペースを使用し、複数のログスペースに保存されているログを集約し閲覧・検索しました。

SSBのリモートログスペース機能は、他のSSBに保存したログスペースにアクセスし閲覧・検索できます。これにより他のSSBに保存されているログを横断的に閲覧・検索できます。
(リモートログスペース機能も、SSB 5 LTS以降で追加された仮想ログスペースの一つです。)

ここで、リモートログスペース機能を使用して、他のSSBに保存されているリモートアクセスログを閲覧・検索してみます。

"リモートログスペース"を作成するには、まず、リモートで接続する他のSSB(リモートSSB)のサーバー証明書が必要です。リモートSSBで、[Basic Settings]>[Management]>[SSL certificate]セクションの[CA X.509 certificate]の識別名(DN) 図1の赤枠部分をクリックして、ポップアップウィンドウの[Download]>[PEM]をクリックして証明書をダウンロードします。
※PEM形式を使用してください。PEM形式でない場合、以降の手順で証明書のアップロード時にエラーが発生します。

図1. [CA X.509 certificate]セクション例
図2. 証明書ダウンロード画面例

"リモートログスペース"を作成するには、[Log]>[Remote Logspaces]に移動します。

ボタンをクリックします。新しい"リモートログスペース"を作成するための追加のフィールドが表示されます。

"リモートログスペース"名(ここでは、"remotelog-other")を入力し、[Host]、[Username]、[Password]、[Remote logspace name]フィールドに、それぞれリモート接続するSSBのホスト名、ユーザー名、パスワードおよびログスペース名を入力します。
※ホスト名は証明書のサブジェクト名(CN)と一致している必要があります。必要に応じて名前解決が必要です。

[Remote root certificate authority]フィールド横のをクリックして、証明書をアップロードします。

図3. "リモートログスペース"設定画面例
図4. 証明書アップロード画面例

[Commit]をクリックして、設定を保存します。


リモートログスペースの閲覧

ここで、検索ページに移動して、[Logspace]ドロップダウンリストを表示してみます。

前述で、作成した"リモートログスペース"(remotelog-other)の名前が通常のログスペースと同様に出力されています。

図5. [Logspace]ドロップダウンリスト(リモートログスペース)例

"リモートログスペース"(remotelog-other)を選択すると、リモート先のSSBの"remotelog"ログスペースが閲覧できていることがわかります。

他のSSBに保存されているリモートアクセスログがローカルディスクに保存されているのと同様にシームレスに閲覧・検索できるようになりました。

図6. "リモートログスペース"の閲覧例

このようにして、異なるSSBに保存されているリモートアクセスログを閲覧・検索することができます。

わざわざ、異なるSSBに保存されているリモートアクセスログをCSV形式でダウンロードして、テキストツールなどでそれらのログをマージなどする必要はありません。


SSBの機能

本記事で使用したSSBの機能は以下の通りです。

  • リモートログスペース

参考資料

リモートログスペースの詳細については、syslog-ng Store Box 6 LTS管理者ガイドの「8.5 リモートログスペースの作成」をご参照ください。

また、過去記事「syslog-ng Store Box (SSB)拡張されたログビューア機能のご紹介!」も参照してください。




いかがでしたでしょうか。今回は、リモートログスペース機能について紹介しました。次回はリライト機能を使用してリモートアクセスログを調査してみます。



それでは、次回の連載記事をお楽しみに!


「syslog-ng Store Box大活用」連載記事リスト



SSBは、高信頼ログ管理アプライアンスです。様々なデバイスおよびアプリケーションからログメッセージを収集、分類、フィルタリング、正規化して安全に保存可能です。ログデータの信頼性を担保し、膨大なログが発生する高負荷環境、あるいはログロストが許されない企業・組織のログ管理に最適です。


syslog-ng Store Boxについての詳細は、製品紹介ページ・製品ガイドをご参照ください。


評価版のダウンロード

問合わせ