ファイアウォールのログに存在しない IPアドレスへのアクセスが記録されている…Nagios Log Serverを使えば、このような現象に容易に気づくことができ、簡単な操作で原因を調査することができます。
フリー版でできるリアルタイムログ監視 記事一覧
・#1 Nagios Log Serverの特長とダッシュボードカスタマイズ例
・#2 ログの急増を調査する
・#3 社内の不正アクセスを調査する(本記事)
・#4 機器固有のログ形式に対応するダッシュボードを作りたい
・#5 Windowsイベントログの監視
Nagios Log Serverでのログ調査
ある日、ファイアウォールのログを見ていると、社内で使用されていないはずのポートを宛先とする通信が比較的多いことに気がつきました。一体どの端末が何のために行っている通信なのでしょうか…? 今回はこれを調査してみたいと思います。
まずは、気になるポート番号の虫眼鏡アイコンをクリックします。
フィルター条件が適用され、虫眼鏡アイコンをクリックしたポートを宛先ポートとするログのみが表示されます。
画面上部の[EVENTS OVER TIME]パネルのグラフを見ると、このログは(夜間、早朝も含め)連続して一定量発生していることがわかりました。また、[DST IP](宛先 IPアドレス)パネルから、宛先の IPアドレスが 192.168.56.3 であることもわかりました。
宛先の 192.168.56.3 はローカル IPアドレスですが、社内にこの IPアドレスが割り当てられた機器は存在しません。つまり、存在しない IPアドレスに対して不正なアクセスが発生しています。
この通信の発生元はどこなのでしょうか?
これは[SRC IP](送信元 IPアドレス)パネルの内容を見ればすぐにわかります(この例の場合、[SRC IP]パネルに2つの IPアドレスが表示されています)。
ところで、この例で使用しているダッシュボードは、複数のファイアウォール(SSG 5とFortiGate)からのログを1つの画面で閲覧できるように構成されています(1つのダッシュボードに複数機器からのログが表示されます)。1つのダッシュボード上で複数機器からのログを閲覧できることは、相互に関連するログを画面を切り替える手間なく調査することができるため便利です。しかし時には、特定の機器からのログのみに限定して調査を行いたい場合もあります。このような場合も簡単です。ログの送信元機器やタイプの情報を画面上でクリックするだけで、必要なログのみにフィルターする(絞り込む)ことができます(別のダッシュボードに切り替える必要はありません)。この例の場合は、[TYPE]パネルの円グラフ上で特定のファイアウォールタイプをクリックしてログをさらに絞り込みました。
この結果、[SRC IP](送信元 IPアドレス)パネルに表示される IPアドレスが1つだけになり、不正アクセスの発生元機器の IPアドレスを特定することができました。また、このログは10分間に約40回発生していることもわかりました。
この調査で特定された IPアドレスをもとに確認したところ、不正アクセスの発生元機器は業務用のWindows PCであることがわかりました。このPCの使用者に確認してみると、心当たりがないとの回答であったため、このPC端末で問題のポートを使用しているプロセスをnetstatコマンドで調査し、そのプロセスを使用しているサービスをtasklistコマンドで特定しました。
調査の結果、この通信は syslog-ng-agent.exeが行っていることが分かりました。
タスクマネージャーでこのサービスが[実行中]であることを確認し、[停止]に変更しました。
Windows PC上で問題のサービスが停止しました。
これにより、不正なアクセスが停止したか(アクセスに関するログが発生しなくなったか)をNagios Log Serverのダッシュボードで確認します。
画面上部にある期間フィルターで [直近 5m](直近 5分間)を選択して、ダッシュボードに直近のログのみが表示されるようにします。
さらに、10秒ごとに画面が自動更新されるように [自動更新] > [10s] を選択します。
しばらく待ちます。
[EVENTS OVER TIME]パネルを見ていると、新しいグラフの描画がなくなったことに気づきます。つまり、定期的に発生していたログが発生しなくなったことがわかります。
5分経過すると、[EVENTS OVER TIME]パネルのグラフは空欄になり、他のパネルにも情報が表示されなくなりました。
試しに、期間フィルターを [直近 1h](直近 1時間)に切り替えてみます。
5分ほど前まで定期的に発生していたログが、問題のサービスを停止させたことで発生しなくなったことが確認できました。
※今回の不正アクセスの原因は、過去に検証目的で syslog-ng Agentをインストールして使用していたが、検証が終了した後もアンインストール(またはサービス起動を停止)せず、そのままの状態で放置してしまっていたことでした。
Nagios Log Serverはリアルタイムでログをビジュアル化してくれるので、隠れている問題にも「気づく」ことができます。対処後の(ログ発生状況の変化の)確認も簡単です。毎日のログ監視作業にきっと役立ちます。
