[Retrospective] VPN装置の記録(Syslog)を、さらに見やすい形で表示する

2021年10月4日公開
2021年12月8日更新
Retrospective WinSyslog
Fortigate syslog Syslog Server Syslogサーバー VPN カラム分割テレワークログログ管理ブログ

※前回記事
「VPNでのリモート接続不正にアクセスされていないか記録・調査していますか？」
の続きです。

弊社では、SyslogサーバーWinSyslogのオプションとして、
Syslogを含むテキストを閲覧・検索するツール「Retrospective」をご提供しております。

Retrospectiveは、膨大なLog群から非常に高速に閲覧・検索出来るのが特徴ですが、
その他にも目的のデータを見やすく活用しやすい形で表示する便利な機能があります。
その一つが以下に述べる「カラム分割」です。

前回記事では、
VPN装置(Fortigate)の出力したSyslogのうち、

全て 13,219行 (条件：なし)
VPNに関する行 3,022行 (条件：subtype=”vpn”を含む)
VPN接続確立 (条件：action=”install_sa”を含む)
VPN切断 (action=”delete_phase1_sa” “を含む)

条件を与えて、必要なSyslogだけに絞り込むことに成功しました。

今回は、
絞り込んだSyslogを、さらに見やすい形で表示する方法をご案内致します。
以下のSyslog一覧表示と見比べてみて下さい。

ログ本文(ラベルはData)から2つの値「User」と「Action」が抽出され、
別の独立したカラム(列)として表示されています。

Retrospectiveの便利な機能「カラム分割」を設定するには、
「プロファイル管理＝Profile Manager」画面を開く必要があります。
…Step1

何を基準にカラムを分割するかの選択肢は複数ありますが、

特定文字、今回はカンマを使った区切り …Step2A
正規表現を用いた抽出 …Step2B

の2つをご紹介しましょう。

[Step 1 – プロファイル管理＞カラム分割]

「カラム分割」の取り掛かりとして、「プロファイル管理＝Profile Manager」を起動してみましょう。
Retrospectiveのメニューから「View＞Profile Manager」を選択して下さい(下図参照)。

Profile Manager (プロファイル管理)が立ち上がりました(下図参照)。
事前にＣドライブにSyslogファイル「fortigate-2021-07-05.log」を置き、
「Profile1」の検索対象をこのファイルに指定しました。

プロファイル管理画面右下の「Add field to new column」を押して下さい。

プロファイル管理画面内で、Add Field (カラム分割の追加)が立ち上がりました。

いくつかの選択肢がありますが、ここでは下にスクロールし、
Regular Expression Field (正規表現)
Split Field (特定文字のよる区切り)
のどちらかを選択します(下図参照)。

次のStep2ではこの2つについて詳しく解説します。

[Step 2A – カラム分割＞カンマ区切り]

Retrospectiveのメニューから
File＞Profile Manager (プロファイル管理)を選択し、
Add Field (カラム分割の追加)ボタンを押します。

下にスクロールしSplit Field (特定文字のよる区切り)を選択します。

Separator(分割のための特定文字)を今回はカンマとし、
Position(分割の何番目を抽出するか)を20としました。

ログ(Syslog)本文から
カンマ区切りの20番目を抽出し羅列しました。

[Step 2B – カラム分割＞正規表現]

Retrospectiveのメニューから
File＞Profile Manager (プロファイル管理)を選択し、
Add Field (カラム分割の追加)ボタンを押します。

下にスクロールしRegular Expression Field (正規表現による区切り)を選択します。

Expression欄に、正規表現
(?<=status=)[^¥W]+
を入力します。

ログ(Syslog)本文から
正規表現に合致する部分を抽出し羅列しました。

次回は、
Retrospectiveの「カラム分割」を実際に使用して、
Fortigateのログ(Syslog)を見やすくした実例と、その活用例についてご紹介致します。

弊社ではWindows上で稼働するSyslogサーバー製品
「WinSyslog」を提供、販売しております。

主な特長としては、
日本語インターフェイス
日本語ログを正常に処理
フィルタにより受信時アクションをカスタマイズ
などです。

評価版のダウンロード、マニュアル等をご用意しておりますので、
WinSyslogをこの機会に是非お試しください。

WinSyslogについての詳細は、製品紹介ページをご参照ください。

評価版のダウンロード

問合わせ

「SSBの有効活用および安定稼働のためのポイントを紹介！」syslog-ng Store Box活用連載企画vol.20(最終回)

Ekranで情報漏えい元と漏えいした内容を調査する

[Retrospective] VPN装置の記録(Syslog)を、さらに見やすい形で表示する

こんな記事も読まれています

WinSyslogプラス2に付属のバックアップツール「Backup4all」機能紹介

おすすめSyslogサーバーって？機能を比較してみました

WinSyslog使い方ガイド#１~送信元や受信年月でフォルダを自動分割~

アライドテレシスSES連携第3弾！
「Zerona/Zerona PLUS」で検知した被疑端末を隔離遮断

Syslog閲覧・検索ソフトウェア「Retrospective」v5.6.0リリース

オススメ！日本語GUIで使い易い WindowsでSyslogサーバーを構築する

おすすめ記事

次世代ファイアウォールPalo Alto(Prisma)のログをSOCへ転送！syslog-ng Store Box (SSB)で課題解決！

デスクトップ仮想化の 4 通りの構成と Windows 11 マルチセッション

Flexible NetFlowとは?を5分で理解する

[Retrospective] VPN装置の記録(Syslog)を、さらに見やすい形で表示する

こんな記事も読まれています

WinSyslogプラス2に付属のバックアップツール「Backup4all」機能紹介

おすすめSyslogサーバーって？機能を比較してみました

WinSyslog使い方ガイド#１~送信元や受信年月でフォルダを自動分割~

アライドテレシスSES連携第3弾！「Zerona/Zerona PLUS」で検知した被疑端末を隔離遮断

Syslog閲覧・検索ソフトウェア「Retrospective」v5.6.0リリース

オススメ！ 日本語GUIで使い易い WindowsでSyslogサーバーを構築する

おすすめ記事

次世代ファイアウォールPalo Alto(Prisma)のログをSOCへ転送！syslog-ng Store Box (SSB)で課題解決！

デスクトップ仮想化の 4 通りの構成と Windows 11 マルチセッション

Flexible NetFlowとは?を5分で理解する

アライドテレシスSES連携第3弾！
「Zerona/Zerona PLUS」で検知した被疑端末を隔離遮断

オススメ！日本語GUIで使い易い WindowsでSyslogサーバーを構築する