syslog-ng Store Box (SSB)でリモートアクセスログを調査(その6)「サービス残業させていない?レポートを日ごと、週ごと、月ごとに定期的に送信!」

螺子です。本連載記事では、リモートアクセスログを、さまざまなSSBの機能を使用して調査してみます。
(リモートアクセスのセキュリティ対策については、こちらをご参照ください。)

はじめに

前回は、リモートアクセスログを基データにしてグラフを表示することでリモートアクセスの傾向など、イメージ(“誰が業務時間外にアクセスしているか?”、”何時ごろに業務時間外のアクセス集中しているか?”など)が確認しやすくなりました。
過去記事、「(その5)「サービス残業させていない?業務時間外勤務の実態をグラフで見やすく! 」」参照。

この情報を、毎回SSBの検索ページで検索し表示するのではなく、定期的にレポートとして管理者に自動で送信できたら便利ではありませんか?

SSBの”カスタム統計情報レポート”機能を使用することで、これらの情報を管理者にメールで定期的に通知することができます。

今回は、検索ページで表示したグラフ(カスタム統計情報)をレポートにして、管理者に定期的に通知してみます。

カスタム統計情報レポート作成

以下では、リモートアクセスユーザー毎のログオン、ログアウトカウントのグラフをレポート(カスタム統計情報レポート)として作成し、カスタムレポートを設定してメールでレポートを管理者に定期的に送信してみます。

カスタム統計情報の表示画面で、をクリックします。

図1. カスタム統計情報レポート作成画面例

[Report settings]セクションが展開されるので、作成するカスタム統計情報レポートに関する設定を行います。

  • [Report subchapter name]フィールドにカスタム統計情報レポートの名前(サブチャプター名)を入力します。
  • [Visualization]でレポートの表示方法([List](リスト形式)、[Pie chart](円グラフ)または[Bar chart](棒グラフ))およびソート方法([Top](降順)または[Least](昇順))を選択します。
  • [Number of entries]にレポートに出力する要素の数を選択します([List]選択時のみ)。
  • [Grant access for the following user groups]フィールドにサブチャプターにアクセスできるユーザーグループを選択します。

をクリックして、設定を保存します。

ここでは、カスタム統計情報を以下の3種類のカスタム統計情報レポートの設定で保存します。

Report subchapter name:				remote_access_counts_per_user.pie
Visualization:					Pie chart / Top
Grant access for the following user groups:	-

図2. カスタム統計情報レポート設定(Pie chart)例

Report subchapter name:				remote_access_counts_per_user.bar
Visualization:					Bar chart / Top
Grant access for the following user groups:	-

図3. カスタム統計情報レポート設定(Bar chart)例

Report subchapter name:				remote_access_counts_per_user.list
Visualization:					List / Top
Number of entries:				50
Grant access for the following user groups:	-

図4. カスタム統計情報レポート設定(List)例

カスタムレポート作成

作成したカスタム統計情報レポートを、レポートとして生成し、送信するには[Reports]>[Configuration]でカスタムレポートを作成(あるいは既存のレポートに追加)する必要があります。

ここでは、新規にカスタムレポートを作成してみます。

[Reports]>[Configuration]に移動し、ボタンをクリックします。新しいレポート設定を記述するための追加のフィールドが表示されます。

新しいカスタムレポート名として、”remote_report”と入力します(この名前はPDFファイル名とレポートタイトル名に使用されます)。

図5. レポート設定画面例

[Add Chapter]をクリックして、チャプター名を入力します。ここでは、”remotereport”と入力します。

※レポートはチャプター(Chapter)とサブチャプター(Subchapter)で構成されます。チャプターはレポートの章として出力され、サブチャプターはカスタム統計情報レポートを指定します。サブチャプター(レポート)はチャプター以下に出力されます。

図6. チャプター入力画面例

[Add Subchapter]ボタンが有効になるので、 [Add Subchapter]ボタンをクリックします。

[Add Subchapter]画面が表示され、利用できるサブチャプター(レポート)がリストされます。

レポートに含めるサブチャプター(ここでは、前手順で作成したカスタム統計情報レポートの”remote_access_counts_per_user.pie”、”remote_access_counts_per_user.bar”および”remote_access_counts_per_user.list”)を選択し、[OK]をクリックします。

図7. [Add Subchapter]画面例

オプションで、[Recipient]セクションで、送信先メールアドレスを指定します。デフォルトでは、[Basic Settings]>[Management]>[Mail settings]で設定したメールアドレスにレポートが送信されます。

図8. レポート設定例

[Commit]をクリックして、設定を保存します。

カスタム統計情報レポート内容

カスタムレポート設定後、SSBは定期的(デフォルトで”Day”(毎日)、”Week”(毎週)、”Month”(毎月))にレポートを設定したメールアドレスへ送信します。

以下は、カスタムレポートのメール受信例(日ごと: “Day”(毎日))です。

図9. レポートのメール受信例

レポートは、PDF形式のファイルで送信され、トップページにはレポートタイトルおよびレポートのもとになるログの抽出期間が記載されています。

図10. レポートタイトル例

続いて、レポートの目次が出力されます。

図11. レポート目次例

今回、作成したカスタム統計情報レポートは、以下のように表示されます。

図12. Pie chart例
図13. Bar chart例
図14. List例

SSBの機能

本記事で使用したSSBの機能は以下の通りです。

  • カスタム統計情報レポート
  • レポート

参考資料

カスタム統計情報レポートおよびカスタムレポートの作成の詳細については、syslog-ng Store Box 6 LTS管理者ガイドの「12.3 ログデータからカスタム統計情報の作成」および「13.7 レポート」を参照してください。

また、レポートについては、過去記事「syslog-ng Store Box(SSB) レポート機能の紹介!」も参照してください。レポート全体のサンプルなどが確認できます。

いかがでしたでしょうか。今回は、”カスタム統計情報レポート”機能について紹介しました。次回はCSVエクスポート機能を使用してリモートアクセスログを調査してみます。



それでは、次回の連載記事をお楽しみに!

これまでの「リモートアクセスログを調査」連載記事

「syslog-ng Store Box大活用連載企画」連載記事リスト

SSBは、高信頼ログ管理アプライアンスです。様々なデバイスおよびアプリケーションからログメッセージを収集、分類、フィルタリング、正規化して安全に保存可能です。ログデータの信頼性を担保し、膨大なログが発生する高負荷環境、あるいはログロストが許されない企業・組織のログ管理に最適です。

syslog-ng Store Boxについての詳細は、製品紹介ページ・製品ガイドをご参照ください。

製品紹介ページ
製品ガイド
評価版ダウンロード
お問い合わせ

こんな記事も読まれています

最新記事

おすすめ記事

  1. 産業スパイを発見し、防ぐ方法とは

  2. Flexible NetFlowとは?を5分で理解する

  3. WinSyslog 使い方ガイド#2 受信時刻とデバイスタイムスタンプ両方を出力する

製品カテゴリー

NetFlow sFlow SNMP SSB Syslogサーバー シスログサーバー セキュリティブログ トラフィック監視 ネットワークモニター ネットワーク監視 ログサーバー ログ保存 ログ管理 ログ管理ブログ 機器・サーバー監視のへや

JTC IT用語集
TOP