ジュピターテクノロジー株式会社のブログへようこそ!本連載記事の執筆者楊枝(ヨウジ)です。
本連載企画は、わたくし楊枝と螺子(ネジ)2名で全20回に渡ってsyslog-ng Store Box及びその最新周辺技術を紹介、読者の皆様と一緒に勉強・検証していくスキルアップブログを目指しております。
syslog-ng Store Box大活用連載企画第1回「syslog-ng Store Boxを知る」でご案内した通り、今回はいよいよsyslog-ng Store Box(以降、SSB)を触ろう!といった企画となります。仮想環境を利用すれば比較的容易にSSBを使って集中ログ管理が実現できてしまうので、本記事に従って是非お手元の検証環境で動かしてみてくださいね。
表1に楊枝のWindows10検証環境を記載しました。不足しているソフトウェアがあれば、参考にしてください。SSB自体を仮想環境上に構築するのに必要なコンポーネントは表2の通りです。Windows10 64bit環境にOracle VirtualBoxをインストールし、ゲストOSとしてSSBを構築します。お手持ちの使っていないパソコン、仮想環境であればOracle VirtualBoxに限らずHyper-VやVMware上に最低メモリ1GB、HDDサイズ10GB程度のリソースを確保出来ればSSBをインストールし検証することが出来ますので、是非試してみてください。
表2の項番2の備考欄にSSBのインストーラとライセンスを入手するための弊社リンクを張っております。お気軽にお申込みください。3か月無償で検証できるライセンスと本記事で利用するISOファイルのダウンロードサイトを案内させていただきます。
Oracle VirtualBoxのインストールに関しましては、表2の項番1備考欄記載のリンクファイルからインストーラーをダウンロードしてインストールしてください。Oracle VirtualBoxのインストールが完了し、SSBのインストーラ(ISOファイル)とライセンス(txtファイル)を入手しましたら、以下の順番でSSBをセットアップしていきます。
仮想マシンの作成
※図中の文字が見にくい場合は、図を左クリックして拡大表示してご確認ください。
図2の画面が表示されますので、”名前”にsyslog-ng Store Box、”タイプ(T)”にLinuxを選択、バージョン(V)にUbuntu(64-bit)を選択してください。メモリーサイズ(M)は、デフォルトの1024で検証可能です。”作成”ボタンを押してください。
図3が表示されます。ファイルサイズは、デフォルトの10.00GBのままで設定してください。他の選択項目もデフォルトで”作成”ボタンを押してください。
図4が表示されますので、作成した仮想マシン”syslog-ng Store Box”が選択されていることを確認し、設定ボタンを押してください。
図4 Oracle VM Virtualboxマネージャー
図5が表示されますので、左メニューの”ネットワーク”を押し、アダプター1の”割り当て(A)”を”ブリッジアダプター”に変更し、”OK”ボタンを押してください。この設定でホストである、Windows10と同じネットワークに仮想マシンが所属できることになります。
以上で仮想マシンの作成は完了しました。続いて弊社から入手したSSBのISOファイルを作成した仮想マシンにマウントして、SSBのインストールを実行しましょう。
SSBのインストール
図4と同じ手順で、設定画面を開き左メニューの”ストレージ”を選択し、”コントローラIDE”の”空”を選択します。右メニューのCDアイコンを押して”仮想光学ディスクファイルを選択”を押してください。
図7のファイル選択画面が表示されますので、入手したSSBのISOファイルを選択して、”開く(O)”ボタンを押してください。図6の画面に戻りますので”OK”ボタンを押してください。
図8のOracle VM VirtualBoxマネージャ画面から、syslog-ng Store Boxの仮想マシンが選択されていることを確認し、”起動(T)”ボタンを押してください。
図8 仮想マシンの起動
図9のSSBインストール画面表示されますので、図9の画面上でマウスの左クリックを押し、仮想マシン上にカーソルを合わせてから、”Installer”が選択されていることを確認し、”Enter”ボタンを押してください。
図10の確認画面が表示されますので、大文字で”YES”を入力し”Enter”ボタンを押してください。
インストールが実行され、図11のインストーラの初期画面が再び表示されたらSSBのインストールは完了しております。画面が表示されたら”Boot MBR on first hard drive”を選択し、”Enter”ボタンを押してください。
図12のように”ssbX login:”プロンプトが表示されたら正常に起動しております。
図8の”Oracle VM VirtualBoxマネージャ”画面に戻り、”設定(S)”→”ストレージ”を押し画面中央のコントローラ配下のISOファイルを選択してください。次に”属性”のCDアイコンを押し”仮想ドライブからディスクを除去”を押し次回仮想マシン起動時に再びSSBのインストーラが起動しないようにしてください。
図14のSSB起動画面上でマウスを左クリックし、キーボードの”スペース”ボタンを押してください。図14のように”https://xxx.xxx.xxx with your web browser”と表示されます。”DHCP”環境であれば、インストールした環境でのIPアドレスが表示されると思います。DHCP環境でなければ、”https://192.168.1.1 with your web browser”と表示されます。
図14 SSB起動画面
SSBライセンス認証と初期設定
SSBの起動
“危険性を承知で続行”ボタンを押して進んでください。
図25のログイン画面が表示されますので、図20で設定したadminのパスワードを入力してください。
ログインが完了すると、SSBの初期画面が図26のように表示されます。
以上で、SSBの起動は完了です。
SSBの動作確認
最後にSSBのlocal(内部)ログを表示、検索してみましょう。図26の画面左のメニューから、”Search”→”Logspaces”を選択、画面上の”Logspace”プルダウンメニューから、”local”を選択してください。”local”とは、ビルトインのログスペース設定でSSB自身のログの保管先となります。
ここで、少しだけSSBの詳しいお話をします。図28をクリックして拡大表示してご参照ください。SSB左メニューの”Log”→”Paths”とクリックして表示される画面となります。
図28左側の”Source”と右側の”Destination”を説明します。”Source”は、ログの受信設定、”Destination”はログの出力先と、ここでは理解してください。表3に、インストール時にデフォルトで設定されている”Source”と”Destination”の一覧とその説明を記載します。
“Destination”のlocalログスペースは、SSB自身とsyslog-ngデーモンが出力するためのログスペースとなります。一方、centerログスペースは、外部からのログ受信用として設定されているものです。つまり、いまSSBがログを収集しているのはlocalログスペースのSourceのみといった設定がデフォルトでは設定されております。
次に、画面左メニューから、”Search”→”Logspaces”をクリックし、Logspaceに”local”を設定してください。図29の画面のようにSSB自身のログが表示されます。上段の”Search expression”では検索したいログの文字列やログのカラムを指定して目標のログを抽出するのに利用します。図29では、”Host”が”ssbtrial”であるログを抽出した例となります。カラムとキーワードはコロン”:”でつなぐと検索できます。
中段のグラフでは、それぞれの時間帯に受信したログをグラフ表示しています。カーソルのドラッグアンドドロップやカレンダーロゴを押すことで、対象とするログ日時を設定することが可能です。
下段のログ表示画面では、指定したログスペースのログが表示されます。それぞれのログの”>“マークを押してください。図30のようにログの詳細を確認することが可能です。
今回は、Oracle VirtualBox上に仮想マシンを作成し、SSBのインストール、ライセンス認証、動作確認、ビルトインログスペースのlocalログ表示・検索を体験してもらいました。如何でしたでしょうか?以外に時間がかからず、簡単にセットアップ出来たのではないでしょうか。次回の連載第3回目の記事は、いったん検証環境から離れコーヒーブレークします。記事内容は、syslog-ng Store Boxで何が出来て何が出来ないのか?を読者の皆さんに把握してもらい、syslog-ng Store Boxの理解を一段深めて頂きたいと思います。次回、syslog-ng Store Box大活用連載企画第3回「syslog-ng Store Boxで出来ることをまとめ」”をお楽しみに!
<場所>
国際展示場ホール4
ブース番号【4U08】小間番号【INT-37】
是非とも、この機会にSSBを体験してください!
<タイムテーブル>
・6月12日(水) 15:00-15:40 Room D【D1-05】
・6月14日(金) 15:00-15:40 Room D【D3-05】
<セミナータイトル>
「サイバー攻撃から特権IDを守れ!世界が注目するセキュリティ対策、特権IDアクセス管理(PAM)の最適ソリューションとは?」
こちらも是非、ご参加ください!!
SSBは、高信頼ログ管理アプライアンスです。様々なデバイスおよびアプリケーションからログメッセージを収集、分類、フィルタリング、正規化して安全に保存可能です。ログデータの信頼性を担保し、膨大なログが発生する高負荷環境、あるいはログロストが許されない企業・組織のログ管理に最適です。
