VPNでのリモート接続 不正にアクセスされていないか記録・調査していますか?

 「テレワークのため急きょVPNを導入したものの、いつ誰が接続/切断出来てるか把握出来ていない…」
そんなご不安はありませんか?

1. 情報を収集、集約する (WinSyslog)

以下に示すのは、VPN装置からのSyslogを「WinSyslog」で受信した例です。

Firewall機能のログに加えて、Webフィルタリング、IPS、VPNなど様々なログが時系列に並んでいます。

目的の情報(今回はVPN接続/切断のログ)だけを取り出すのは「Retrospective」を利用すると簡単に実現できます。
Retrospectiveは「WinSyslog-J 検索パック」に同梱されている高性能な閲覧・検索アプリです。

2. 条件に合致するログ行だけを表示する (Retrospective)

収集した全ログに対し、Retrospectiveで全検索をかけます。
検索条件は「無し」です。

13,219行のログが表示されました。

次に、VPNに関する行だけを表示します。
この例では、検索条件は「subtype=”vpn”」です。

※VPN装置の機種やバージョン、設定によりログの書式や文言が異なります。
詳細はVPN装置のメーカー様、代理店様にお問合せ下さい。

3,022行のログが表示されました。

VPNのログには接続/切断以外にも、認証のプロセス、失敗、VPNサーバーそのものの立ち上がり等が記録されます。

以下の3章では、Fortigateログの「action=」パラメーターに注目してみましょう。

3. ログ行内の特定のパラメーターに注目し、羅列する「カラム分割」

Retrospectiveには特定のパラメーターだけを取り出し、行として表示させる「カラム分割」の機能があり、とても便利です。

先に「カラム分割」を用いて特定のパラメーターを表示させた結果をご覧頂きましょう。

ログ内の
xauthuser=igarashi が認証時のID、
action=”install_sa” がVPN接続確立、
action=”delete_phase1_sa” がVPN切断にあたります。

※VPN装置の機種やバージョン、設定によりログの書式や文言が異なります。
詳細はVPN装置のメーカー様、代理店様にお問合せ下さい。

xauthuser=のパラメーターを「User」として、
action=のパラメーターを「Action」として抽出、羅列しました。

「カラム分割」を設定するための条件には

  •  セパレーター
  •  正規表現

の2つの方法があります。

ユーザー様のご用途に合わせて様々な便利な機能がご利用いただけます。
詳細についてはお気軽にお問合せください。

こんな記事も読まれています

最新記事

おすすめ記事

  1. 産業スパイを発見し、防ぐ方法とは

  2. Flexible NetFlowとは?を5分で理解する

  3. WinSyslog 使い方ガイド#2 受信時刻とデバイスタイムスタンプ両方を出力する

製品カテゴリー

JTC IT用語集
TOP