ファイアウォールのログが一時的に急増した…Nagios Log Serverを使えば、このような現象に容易に気づくことができ、簡単な操作で原因を調査することができます。
フリー版でできるリアルタイムログ監視 記事一覧
・#1 Nagios Log Serverの特長とダッシュボードカスタマイズ例
・#2 ログの急増を調査する(本記事)
・#3 社内の不正アクセスを調査する
・#4 機器固有のログ形式に対応するダッシュボードを作りたい
・#5 Windowsイベントログの監視
Nagios Log Serverでのログ調査
ある日、いつもと同じようにNagios Log Serverにログインしてダッシュボードを開いてみると、午前6時頃のログ収集量が急増していることに気づきました。一体何があったのでしょうか…?今回はこの現象を調査してみたいと思います。
ログが急増している期間にズームインしてみます。操作は簡単。グラフ上で範囲選択するだけです。
フィルター条件が自動で適用され、グラフが範囲選択した期間に切り替わります。
任意の棒グラフにマウスをかざすと、ログの件数が表示されます。
この例の場合、10秒間に603メッセージが収集されていることが分かります。
何のログが多いのでしょうか?
まずは、どの機器からのログが多いのか? ログの送信元を調べます。
ログの送信元を特定する方法は複数ありますが、今回は[type]フィールドを使ってみます。
画面下部の左のフィールド一覧で[type]を選択すると、タイプ別のログの内訳が分かります。この例の場合、[ssg5_log]のログ量が最も多いことが分かります。[ssg5_log]は、SSG 5(ファイアウォール)から受信したログを表すタイプです。(※ログ収集処理をカスタマイズしています。出荷時設定のまま利用している場合は、このタイプは存在しません。)
SSG 5 のログが多いことが分かったので、事前に作成しておいた SSG 5用のダッシュボードに切り替えてログを調査することにします。
*今見ている[My Default Dashboard]は、インストール直後から利用できる(出荷時に組み込まれている)デフォルトのダッシュボードで、Nagios Log Serverで収集された直近24時間のすべてのログが表示されます。このダッシュボードのまま調査することももちろん可能ですが、一般的にはログ内容に対応するカスタムダッシュボードを使用するほうが効率よく調査することができます。
ダッシュボードは、画面上部のフォルダアイコンをクリックして希望のダッシュボードリンクをクリックすることで切り替わります。
ここでは、SSG 5用のダッシュボードに切り替えます。
このダッシュボードにはSSG 5のログのみが表示されるように事前にフィルター条件が設定されています。また、SSG 5のログ固有の情報が表示されるように(マウスクリック操作で簡単にフィルター条件を適用できるように)構成されています。
このSSG 5用のダッシュボードからも同じ時間帯(午前 6時頃)にログが急増していることが分かります。
ログが急増した期間にズームインします。
期間を絞り込んでみると、特定の[DST IP](宛先 IPアドレス)と[https]サービス関連のログ数が際立って多いことが分かります。
*際立って数が多い[DST IP]の IPアドレスは、グローバル IPアドレスでした。同時に[https]サービスアクセスが多いことから、この時点で今回のログ急増の原因はWebサーバーに関係していると推測できます。
さらにログ数が多い[DST IP] のIPアドレスでログを絞り込んでみます。
[DST IP]パネルで[Count](件数)が際立って多い IPアドレスの虫眼鏡アイコンをクリックします。
フィルター条件が追加され、[DST IP]パネルには選択した IPアドレスのみが表示されました。
この例の場合、[SRC IP](送信元 IPアドレス)パネルと[SRC_XLATED_IP](送信元NAT変換 IPアドレス)パネルの表示内容がほぼ同じ(重複)になってしまいました。情報が重複しているので、[SRC_XLATED_IP]パネルの表示内容を変更することにします。
パネルの表示内容の変更も簡単です。
変更したいパネルの右上にある[構成]アイコンをクリックします。
設定画面が表示されます。
[タイトル]と[フィールド]を変更し、[保存]ボタンをクリックします。
この例の場合は、[dst_xlated_ip](宛先のNAT変換 IPアドレス)フィールドの値を表示するように設定を変更しました。
[DST_XLATED_IP]パネルを確認すると、WEBサーバーの内部アドレスが表示されました(今回のログの急増は、推測通りWEBサーバーに関係するものでした)。さらに[SRC IP]パネルを見てみると、上位4つのIPアドレスからのアクセスが全体の大半を占めていることが分かります。
これら上位 4つのIPアドレスからは、毎日同じようにアクセスがあるのだろうか?
このような疑問にもNagios Log Serverはすぐに答えます。
下の例では、送信元の IPアドレスをクエリ条件に指定(この場合、第3オクテットまで共通であったため、第3オクテットまでを固定し第4オクテットにワイルドカード[*]を使用)し、対象期間に[直近 7d]を指定して過去 7日間のログを確認してみたところ、同様のアクセスがあったのは過去 7日間のうち今朝だけであったということが一目でわかります。
ついでに過去 7日間のSSG 5のログ収集量の変化も確認してみることにします。
これも簡単。クエリ条件をワイルドカード「*」に戻して虫眼鏡アイコンをクリックするだけです。過去 7日間のログ量の変化をみても、今朝の 6時のログ収集量が際立って多いことがわかります。
ここまでの情報をWEBサーバーの管理者へ連絡し、調査と必要な対応を依頼しました。
*WEBサーバーのログをNagios Log Serverで収集していれば、引き続き同様の操作でWEBアクセスログを調査することができます。
Nagios Log Serverはビジュアルでわかるのと、(適切なカスタムダッシュボードがあれば)マウス操作で必要なログを簡単に抽出できるのでとても便利です。毎日のログ監視作業がきっと楽になりますよ。
