syslog-ng Store Box (SSB)でリモートアクセスログを調査(その5)「サービス残業させていない?業務時間外勤務の実態をグラフで見やすく!」

螺子です。本連載記事では、リモートアクセスログを、さまざまなSSBの機能を使用して調査してみます。
(リモートアクセスのセキュリティ対策については、こちらをご参照ください。)

弊社ブログがリニューアルしました。装いも新たに本記事から執筆してまいります。編集長も変わりオオバツ状態ですが、めげずに頑張っていきます。

はじめに

SSBでは、ログデータから特定のカラム(フィールド)に関して、ログの発生件数をカウントしグラフで表示することができます。SSBでは、このような機能を”カスタム統計情報”と呼んでいます。

ログをリスト出力するだけでなく、グラフ化することでリモートアクセスの傾向や兆候、イメージが確認しやすくなります。

今回は、この”カスタム統計情報”機能を使用して、リモートアクセスログから時間外勤務の実態(“誰が業務時間外にアクセスしているか?”、”何時ごろに業務時間外のアクセス集中しているか?”)をグラフ化して、見やすくしてみます。

※動的カラムの統計情報を作成するには、[Log]>[Logspaces]の[Indexed fields]>[Name/value pairs]を有効にする必要があります(デフォルトで有効)。

カスタム統計情報の表示

前回までの記事で、業務時間外のリモートアクセスのユーザー毎およびアクセス時刻毎のログオン、ログアウトのログが閲覧・検索できるようになりました。

検索ページのログリスト欄には以下のカラムが出力されています。

  • .sdata.kv.user: リモートアクセスユーザー
  • .sdata.kv.status: ログオン・ログアウトの状態
  • .sdata.custom@18372.4.hh: ログオン・ログアウトの時刻

ここでは、リモートアクセスユーザー(動的カラム:”.sdata.kv.user”)毎のログオン、ログアウトのカウントおよびアクセス時刻(動的カラム:”.sdata.custom@18372.4.hh”)毎のログオン、ログアウトの統計情報(グラフ)を表示します。

それぞれの統計情報(グラフ)は、それぞれ、”誰が業務時間外にリモートアクセスしているか?”あるいは”何時ごろに業務時間外のリモートアクセスが集中しているか?”がわかるものになります。

※各動的カラムの出力方法については、過去記事「(その2)「マルチログスペースを使用してログを集約してみる!」」および「(その4)「サービス残業させていない?リライトを使用して日時を指定して検索してみる!」」を参照してください。

図1. リモートアクセスログの出力例

統計情報を表示するには、カラムヘッダー(例えば、リモートアクセスユーザーであれば)のをクリックします。

統計情報が、メッセージの概要部とメッセージのリスト部の間に表示されます。

図2. ユーザー毎の統計情報表示例(1)

統計情報のリストの”Column”の値の上にマウスを置くと、”Column”の値が強調表示され、その部分のチャートが浮かび上がります。

図3. ユーザー毎の統計情報表示例(2)

で、統計情報の種類や出力順をカスタマイズできます。

[Top]および[Least]は、データの出力順を指定します。[Top]は、降順、[Least]は、昇順に、それぞれ表示します。

[Pie chart & List]は、円グラフおよびリスト表示で、[Bar chart]は、棒グラフ表示になります。

図4. [Pie chart & List]/[Least](ユーザー)例
図5. [Bar chart]/[Top](ユーザー)例
図6. [Bar chart]/[Least](ユーザー)例

同様に、ログオン、ログアウト時刻の統計情報を表示するには、カラムヘッダーをクリックします。

図7. [Pie chart & List]/[Top](時刻(HH))例
図8. [Pie chart & List]/[Least](時刻(HH))例
図9. [Bar chart]/[Top](時刻(HH))例
図10. [Bar chart]/[Least](時刻(HH))例

[Top]では、業務時間外でリモートアクセスしている最多の時間帯が読み取れますし、逆に[Least]からは、異常な時間帯のリモートアクセスが読み取れるのではないでしょうか?このような時間帯へのリモートアクセスが常態化している場合は、労働基準法に抵触するような働き方をさせていないかなどの判断する材料にもなります。

このように、リモートアクセスのログデータからユーザー毎あるいは時刻毎のリモートアクセスのログオン、ログアウトのカウントを円グラフおよび棒グラフで表示することができます。

カスタム統計情報からの検索

また、[Pie chart & List]のリストの”Column”の値部分をクリックすることで、その値に対する検索式が自動で”Search expression”フィールドに入力できます。

ここでは、業務時間外のログを出力する為に、既に検索式が入力されているので、”Search expression”フィールドの横のをクリックして、検索式をクリアします。

その後、統計情報のリストから検索したい値(ここでは、時刻”02″)選択して、クリックします。

図11. 統計情報のリスト選択例

“Search expression”フィールドにプレフィックスを含む、動的カラムの検索式(ここでは、”nvpair:.sdata.custom@18372.4.hh=02”)が自動で入力されます。

図12. 検索式の自動入力例

検索を実行すると、以下のように指定した時刻のリモートアクセスログオン、ログアウトのログが検索・閲覧できます。

図13. 検索式の自動入力後の検索結果例

SSBの機能

本記事で使用したSSBの機能は以下の通りです。

  • カスタム統計情報

参考資料

ログデータのカスタム統計情報の詳細については、syslog-ng Store Box 6 LTS管理者ガイドの「12.3 ログデータからカスタム統計情報の作成」を参照してください。

いかがでしたでしょうか。今回は、カスタム統計情報機能について紹介しました。次回はカスタムレポート機能を使用してリモートアクセスログについて定期的にレポートしてみます。



それでは、次回の連載記事をお楽しみに!

これまでの「リモートアクセスログを調査」連載記事

「syslog-ng Store Box大活用連載企画」連載記事リスト



SSBは、高信頼ログ管理アプライアンスです。様々なデバイスおよびアプリケーションからログメッセージを収集、分類、フィルタリング、正規化して安全に保存可能です。ログデータの信頼性を担保し、膨大なログが発生する高負荷環境、あるいはログロストが許されない企業・組織のログ管理に最適です。

syslog-ng Store Boxについての詳細は、製品紹介ページ・製品ガイドをご参照ください。

こんな記事も読まれています

最新記事

おすすめ記事

  1. 「リモートデスクトップの操作が遅い!」の原因を高速特定!ntopngによる輻輳原因の究明アプローチを実例でご紹介

  2. フリーWi-Fiに潜む悪魔の双子(エビルツイン)とは。加害者・被害者にならないために知るべきこと

  3. 「疑わしい」Windowsイベントログを抽出して、イベントログを活用する

製品カテゴリー

JTC IT用語集
TOP