東京は気温が落ち着いてきましたね。
10月には、また組織変更があります。
そこで今回は担当製品のKiwi Syslog Serverについて、改めて紹介いたします。
Kiwi Syslog Serverは、豊富な機能を持つWindows版シスログサーバーソフトウェアです。
ログをテキストファイル形式で保管します。
多数のデバイスから、シスログの受信・分類・分析・後処理を高速に処理します。
2003年から取り扱いを開始し、累計で10,000ライセンス売れ続けている製品です。
安価で、簡単にログを収集できることが選ばれる理由だと考えています。
Kiwi Syslog Serverなら、以下のような課題を解決できます。
「何かあった時のために、とりあえず全てのログを保存しておきたい」
「閾値を設定して、管理者が異常に気づける仕組みがほしい」
「コンプライアンス上1年間は保存しておきたいが、容量が心配だ」
次のルール形式で、ご希望に合わせて最大で100ルールまで設定できます。
・ルール=フィルター(条件)+アクション(動作)
ルールに従って自動で処理がなされるため、ニーズに合ったログの運用・管理が可能です。
・フィルター:受信Syslogを設定した条件で選別
例)デバイスアドレス、時刻、プライオリティ、メッセージ文中の文字列、閾値など
・アクション:フィルターで選別されたログに対する動作
例)ファイル出力、他ログサーバーへ転送、SNMPトラップ転送(v1,v2,v3)、Windowsイベントログ転送、
音を鳴らす、Emailアラート、スクリプト実行、外部プログラム実行など
よく使われるルールセットについて、実用例をまとめてみました。
〇 ログをすべて保存したい
フィルター:なし、アクション:Display、Log to file
※この設定はデフォルトで設定されています
〇 特定のメッセージテキストが含まれる場合にSNMP Trapを発報する
フィルター:Message text、アクション:Send SNMP Trap
例えば、通信機器のポートが別の装置と接続できず、通信できない状態になると「link down」というメッセージテキストを含むシスログ、またはSNMPトラップを発信します。
それを受信したKiwi Syslog Serverにおいて、SNMPトラップをネットワーク監視表示灯へ発報することで、障害の発生を光と音でいち早く管理者に知らせることができます。
Action:Send SNMP Trap
設定詳細は上記画面参照
〇 ログイン試行の失敗を監視する
フィルター:Hostname、Message Text、Flags/Counters、アクション:E-mail message
特定のホストから何度も「login failed」が含まれるメッセージを受信した場合、ブルートフォースアタックの可能性があります。
この例では、30 秒に5 回以上、あるホストにおいて「login failed」を含むメッセージを受信した場合に、管理者へアラートメールを発報します。
Filter: Field=Hostname, Type=Simple
Include: “unixhost01” [S]
※Field=Hostnameを利用する場合はDNS Resolution設定で名前解決を有効にする必要があります。
Filter: Field=Message text, Type=Simple.
Include: “login failed” [S]
Filter: Field=Flags/Counters, Type=Threshold
Filter is true if event occurs 5 times in 30 seconds.
Action:E-mail message
E-mail Subject: Alert — Login failed 5 times in 30 seconds on %MsgHost
E-mail Message:
Login failed 5 times in 30 seconds on %MsgHost
%MsgText
〇 定期的にアーカイブ/クリーンアップする
スケジュール機能で設定が可能です。
アーカイブオプションでは、Zip時に圧縮、圧縮時に暗号化も可能です。
〇 Syslog Statistics(トレンド解析グラフ表示)
メイン画面から View -> View Syslog Statistics を選択するかもしくは Ctrl+S を押し表示できます。
直近1時間と、24時間の受信量のグラフ表示でシスログ受信状況の変化を把握できます。
異常な増減を視覚的に捉えることが可能です。
「こういう使い方をしたい」という問い合わせも大歓迎です。
弊社ではWindows版シスログサーバーとして、WinSyslogも多く引き合いいただいております。
※本製品との比較ページはこちらを参照ください。
Kiwi Syslog Serverは、評価版で14日間、試用可能です。
見積や製品に関する問い合わせはもちろん、デモやお客様向け打ち合わせも対応しております。
お気軽にお問い合わせください。