螺子です。本連載記事では、リモートアクセスログを、さまざまなSSBの機能を使用して調査してみます。
(リモートアクセスのセキュリティ対策については、こちらをご参照ください。)
弊社ブログがリニューアルしました。装いも新たに本記事から執筆してまいります。編集長も変わりオオバツ状態ですが、めげずに頑張っていきます。
はじめに
SSBでは、ログデータから特定のカラム(フィールド)に関して、ログの発生件数をカウントしグラフで表示することができます。SSBでは、このような機能を”カスタム統計情報”と呼んでいます。
ログをリスト出力するだけでなく、グラフ化することでリモートアクセスの傾向や兆候、イメージが確認しやすくなります。
今回は、この”カスタム統計情報”機能を使用して、リモートアクセスログから時間外勤務の実態(“誰が業務時間外にアクセスしているか?”、”何時ごろに業務時間外のアクセス集中しているか?”)をグラフ化して、見やすくしてみます。
※動的カラムの統計情報を作成するには、[Log]>[Logspaces]の[Indexed fields]>[Name/value pairs]を有効にする必要があります(デフォルトで有効)。
カスタム統計情報の表示
前回までの記事で、業務時間外のリモートアクセスのユーザー毎およびアクセス時刻毎のログオン、ログアウトのログが閲覧・検索できるようになりました。
検索ページのログリスト欄には以下のカラムが出力されています。
- .sdata.kv.user: リモートアクセスユーザー
- .sdata.kv.status: ログオン・ログアウトの状態
- .sdata.custom@18372.4.hh: ログオン・ログアウトの時刻
ここでは、リモートアクセスユーザー(動的カラム:”.sdata.kv.user”)毎のログオン、ログアウトのカウントおよびアクセス時刻(動的カラム:”.sdata.custom@18372.4.hh”)毎のログオン、ログアウトの統計情報(グラフ)を表示します。
それぞれの統計情報(グラフ)は、それぞれ、”誰が業務時間外にリモートアクセスしているか?”あるいは”何時ごろに業務時間外のリモートアクセスが集中しているか?”がわかるものになります。
※各動的カラムの出力方法については、過去記事「(その2)「マルチログスペースを使用してログを集約してみる!」」および「(その4)「サービス残業させていない?リライトを使用して日時を指定して検索してみる!」」を参照してください。
統計情報を表示するには、カラムヘッダー(例えば、リモートアクセスユーザーであれば
)の
をクリックします。
統計情報が、メッセージの概要部とメッセージのリスト部の間に表示されます。
統計情報のリストの”Column”の値の上にマウスを置くと、”Column”の値が強調表示され、その部分のチャートが浮かび上がります。
で、統計情報の種類や出力順をカスタマイズできます。
[Top]および[Least]は、データの出力順を指定します。[Top]は、降順、[Least]は、昇順に、それぞれ表示します。
[Pie chart & List]は、円グラフおよびリスト表示で、[Bar chart]は、棒グラフ表示になります。
同様に、ログオン、ログアウト時刻の統計情報を表示するには、カラムヘッダー
の をクリックします。
[Top]では、業務時間外でリモートアクセスしている最多の時間帯が読み取れますし、逆に[Least]からは、異常な時間帯のリモートアクセスが読み取れるのではないでしょうか?このような時間帯へのリモートアクセスが常態化している場合は、労働基準法に抵触するような働き方をさせていないかなどの判断する材料にもなります。
このように、リモートアクセスのログデータからユーザー毎あるいは時刻毎のリモートアクセスのログオン、ログアウトのカウントを円グラフおよび棒グラフで表示することができます。
カスタム統計情報からの検索
また、[Pie chart & List]のリストの”Column”の値部分をクリックすることで、その値に対する検索式が自動で”Search expression”フィールドに入力できます。
ここでは、業務時間外のログを出力する為に、既に検索式が入力されているので、”Search expression”フィールドの横の
をクリックして、検索式をクリアします。
その後、統計情報のリストから検索したい値(ここでは、時刻”02″)選択して、クリックします。
“Search expression”フィールドにプレフィックスを含む、動的カラムの検索式(ここでは、”nvpair:.sdata.custom@18372.4.hh=02”)が自動で入力されます。
検索を実行すると、以下のように指定した時刻のリモートアクセスログオン、ログアウトのログが検索・閲覧できます。
SSBの機能
本記事で使用したSSBの機能は以下の通りです。
- カスタム統計情報
参考資料
ログデータのカスタム統計情報の詳細については、syslog-ng Store Box 6 LTS管理者ガイドの「12.3 ログデータからカスタム統計情報の作成」を参照してください。
いかがでしたでしょうか。今回は、カスタム統計情報機能について紹介しました。次回はカスタムレポート機能を使用してリモートアクセスログについて定期的にレポートしてみます。
それでは、次回の連載記事をお楽しみに!
これまでの「リモートアクセスログを調査」連載記事
- (その1)「フィルターログスペースを使用して必要なログのみ検索・抽出してみる!」
- (その2)「マルチログスペースを使用してログを集約してみる!」
- (その3)「リモートログスペースを使用して他のSSBに保存したログを検索・抽出してみる!」
- (その4)「サービス残業させていない?リライトを使用して日時を指定して検索してみる!」
「syslog-ng Store Box大活用連載企画」連載記事リスト
- 第1回「syslog-ng Store Boxを知る」
- 第2回「syslog-ng Store Boxを仮想環境にインストールする」
- 第3回「syslog-ng Store Boxで出来ることまとめ」
- 第4回「Wiresharkでsyslogプロトコルパケットを覗く」
- 第5回「Ciscoスイッチ、FortigateファイアウォールログをSSBで受信!よりログを検索しやすく」
- 第6回「RPC APIを使ってみる、自社システムに統合!ログ検索の自動化!」
- 第7回「Active Directoryと連携して、Active Directoryユーザー認証!」
- 第8回「SSBをHA(High Availability)構成で構築してみる!」
- 第9回「ログをバイナリおよびテキスト形式で保存、違いを比較してみる」
- 第10回「ログファイルを共有して、外部ホストからアクセスしてみる!」
- 第11回「フィルターを使用して、必要なログのみ保存してみる!」
- 第12回「SSBの監視とアラート!SNMPマネージャーで監視およびSNMPトラップを受信してみる」
- 第13回「コンテンツベースアラート。重要なログを見逃さない!」
- 第14回「設定変更履歴。コンプライアンスにも対応!」
- 第15回「トラブルシューティングに役立つ機能。問題を迅速に解決!」
- 第16回「ユーザーアクセス制御。アクセス権限とタイプを設定してみる!」
- 第17回「リライト機能。ログの整形や正規化!」
- 第18回「バックアップリストア。システムデータおよびログデータをバックアップ、リストアしてみる!」
- 第19回「アーカイブ/クリーンアップ。ログデータをアーカイブ、クリーンアップしてみる!」
- 第20(最終)回「SSBの有効活用および安定稼働のためのポイントを紹介!」
SSBは、高信頼ログ管理アプライアンスです。様々なデバイスおよびアプリケーションからログメッセージを収集、分類、フィルタリング、正規化して安全に保存可能です。ログデータの信頼性を担保し、膨大なログが発生する高負荷環境、あるいはログロストが許されない企業・組織のログ管理に最適です。
syslog-ng Store Boxについての詳細は、製品紹介ページ・製品ガイドをご参照ください。
