SSB 検索画面 |
螺子です。本連載記事では、リモートアクセスログを、さまざまなSSBの機能を使用して調査してみます。
(リモートアクセスのセキュリティ対策については、こちらをご参照ください。)
今回は、リモートログスペース機能を使用して、他のSSB(別のマシンにインストールされたSSB)に保存されているリモートアクセスログを閲覧・検索してみます。
※リモートログスペース機能は、ログの内容(リモートアクセスログなど)に依存せず動作します。
リモートログスペース
前回は、マルチログスペースを使用し、複数のログスペースに保存されているログを集約し閲覧・検索しました。
SSBのリモートログスペース機能は、他のSSBに保存したログスペースにアクセスし閲覧・検索できます。これにより他のSSBに保存されているログを横断的に閲覧・検索できます。
(リモートログスペース機能も、SSB 5 LTS以降で追加された仮想ログスペースの一つです。)
ここで、リモートログスペース機能を使用して、他のSSBに保存されているリモートアクセスログを閲覧・検索してみます。
"リモートログスペース"を作成するには、まず、リモートで接続する他のSSB(リモートSSB)のサーバー証明書が必要です。リモートSSBで、[Basic Settings]>[Management]>[SSL certificate]セクションの[CA X.509 certificate]の識別名(DN) 図1の赤枠部分をクリックして、ポップアップウィンドウの[Download]>[PEM]をクリックして証明書をダウンロードします。
※PEM形式を使用してください。PEM形式でない場合、以降の手順で証明書のアップロード時にエラーが発生します。
図1. [CA X.509 certificate]セクション例 |
図2. 証明書ダウンロード画面例 |
"リモートログスペース"を作成するには、[Log]>[Remote Logspaces]に移動します。
ボタンをクリックします。新しい"リモートログスペース"を作成するための追加のフィールドが表示されます。
"リモートログスペース"名(ここでは、"remotelog-other")を入力し、[Host]、[Username]、[Password]、[Remote logspace name]フィールドに、それぞれリモート接続するSSBのホスト名、ユーザー名、パスワードおよびログスペース名を入力します。
※ホスト名は証明書のサブジェクト名(CN)と一致している必要があります。必要に応じて名前解決が必要です。
[Remote root certificate authority]フィールド横のをクリックして、証明書をアップロードします。
図3. "リモートログスペース"設定画面例 |
図4. 証明書アップロード画面例 |
[Commit]をクリックして、設定を保存します。
リモートログスペースの閲覧
ここで、検索ページに移動して、[Logspace]ドロップダウンリストを表示してみます。
前述で、作成した"リモートログスペース"(remotelog-other)の名前が通常のログスペースと同様に出力されています。
図5. [Logspace]ドロップダウンリスト(リモートログスペース)例 |
"リモートログスペース"(remotelog-other)を選択すると、リモート先のSSBの"remotelog"ログスペースが閲覧できていることがわかります。
他のSSBに保存されているリモートアクセスログがローカルディスクに保存されているのと同様にシームレスに閲覧・検索できるようになりました。
図6. "リモートログスペース"の閲覧例 |
このようにして、異なるSSBに保存されているリモートアクセスログを閲覧・検索することができます。
わざわざ、異なるSSBに保存されているリモートアクセスログをCSV形式でダウンロードして、テキストツールなどでそれらのログをマージなどする必要はありません。
SSBの機能
本記事で使用したSSBの機能は以下の通りです。
- リモートログスペース
参考資料
リモートログスペースの詳細については、syslog-ng Store Box 6 LTS管理者ガイドの「8.5 リモートログスペースの作成」をご参照ください。
また、過去記事「syslog-ng Store Box (SSB)拡張されたログビューア機能のご紹介!」も参照してください。
いかがでしたでしょうか。今回は、リモートログスペース機能について紹介しました。次回はリライト機能を使用してリモートアクセスログを調査してみます。
それでは、次回の連載記事をお楽しみに!
「syslog-ng Store Box大活用」連載記事リスト
- syslog-ng Store Box大活用連載企画第1回「syslog-ng Store Boxを知る」
- syslog-ng Store Box大活用連載企画第2回「syslog-ng Store Boxを仮想環境にインストールする」
- syslog-ng Store Box大活用連載企画第3回「syslog-ng Store Boxで出来ることまとめ」
- syslog-ng Store Box大活用連載企画第4回「Wiresharkでsyslogプロトコルパケットを覗く」
- syslog-ng Store Box大活用連載企画第5回「ciscoスイッチ、fortigateファイアウォールログをSSBで受信!よりログを検索しやすく」
- syslog-ng Store Box大活用連載企画第6回「RPC APIを使ってみる、自社システムに統合!ログ検索の自動化!」
- syslog-ng Store Box大活用連載企画第7回「Active Directoryと連携して、Active Directoryユーザー認証!」
- syslog-ng Store Box大活用連載企画第8回「SSBをHA(High Availability)構成で構築してみる!」
- syslog-ng Store Box大活用連載企画第9回「ログをバイナリおよびテキスト形式で保存、違いを比較してみる」
- syslog-ng Store Box大活用連載企画第10回「ログファイルを共有して、外部ホストからアクセスしてみる!」
- syslog-ng Store Box大活用連載企画第11回「フィルターを使用して、必要なログのみ保存してみる!」
- syslog-ng Store Box大活用連載企画第12回「SSBの監視とアラート!SNMPマネージャーで監視およびSNMPトラップを受信してみる」
- syslog-ng Store Box大活用連載企画第13回「コンテンツベースアラート。重要なログを見逃さない!」
- syslog-ng Store Box大活用連載企画第14回「設定変更履歴。コンプライアンスにも対応!」
- syslog-ng Store Box大活用連載企画第15回「トラブルシューティングに役立つ機能。問題を迅速に解決!」
- syslog-ng Store Box大活用連載企画第16回「ユーザーアクセス制御。アクセス権限とタイプを設定してみる!」
- syslog-ng Store Box大活用連載企画第17回「リライト機能。ログの整形や正規化!」
- syslog-ng Store Box大活用連載企画第18回「バックアップリストア。システムデータおよびログデータをバックアップ、リストアしてみる!」
- syslog-ng Store Box大活用連載企画第19回「アーカイブ/クリーンアップ。ログデータをアーカイブ、クリーンアップしてみる!」
- syslog-ng Store Box大活用連載企画第20(最終)回「SSBの有効活用および安定稼働のためのポイントを紹介!」
SSBは、高信頼ログ管理アプライアンスです。様々なデバイスおよびアプリケーションからログメッセージを収集、分類、フィルタリング、正規化して安全に保存可能です。ログデータの信頼性を担保し、膨大なログが発生する高負荷環境、あるいはログロストが許されない企業・組織のログ管理に最適です。