Kiwi Syslog Serverの使用例
ネットワークの規模の拡大はログの集中管理ニーズを生み出しました。
技術者にはネットワークセキュリティ、接続状態、その他の情報をアクセスするツールが必要です。
Kiwi Syslog Server(旧Kiwi Syslog Daemon)はネットワークのログ処理のためのsyslogサーバーですが、ロギングの他、フィルタリング、表示、通知オプションなどの機能を含みます。
これらはネットワーク専門家が問題を解決し、特定のネットワークアクティビティを監視し、最小の努力で各種機能を実行するために欠かせない機能です。
この文書によりセキュリティ専門家の方々の、広範な目的で使われるネットワーク情報を効果的に入手するための、Kiwi Syslog Serverに対する理解が深まることと思われます。
導入ステップ
ステップ1
Kiwi Syslog Serverをスタートします。デフォルト設定は(i)受信メッセージをすべて画面に表示、(ii)それらをSyslogCatchAll.txtファイルに記録、となっています。
画面の表示は日付、時刻、プライオリティ、送信ホストアドレス、テキストです。この表示はリアルタイムです。
使い始めはデフォルト設定のままが良いでしょう。どのような syslog メッセージを受信しているかすべてわかります。
もっと慣れてきたら重要なメッセージのみを取り出すのが容易になるよう制限することができます。
ステップ2
syslog送信可能なデバイスをsyslog出力可能にし、送信先をSyslogサーバーに設定することです。具体的な設定はデバイスに依存します。
共通にいえることは必要に応じログ出力レベルを変更できることです。
ここまでうまく行けばsyslog画面に受信ログが表示されます。
高度な設定
設定初期画面
Kiwi Syslog Serverをさらに高度に使用するための機能を説明します。この画面からすべてのフィルター、アクション、オプション、を含むすべてのパラメータの設定を行います。
フィルターとアクションは、Kiwi Syslog Serverでもっともすばらしい機能です。
syslogメッセージをフィルターとして設定した条件でスキャンし、一致すると指定したアクションを実行します。単にsyslogメッセージテキストをログファイルに保存するだけではありません。
メッセージフィルターとアクション例
誰かがルータやスイッチにログインしコンフィグレーションを変更したらE-mailによる通知がほしい場合を考えます。
メッセージテキストフィルターでこれが可能です。
左はメッセージテキストに”configured”あるいは”executed”が含まれており、さらに”vty”あるいは”console”が含まれている例です。
誰かがルータにログインしコンフィグレーションモードで実行した場合”IP Address configured by console”あるいは”IP Address configured by VTYx”のようなsyslogメッセージが送信されます(Ciscoルータの場合)。
Kiwi syslogサーバーはこのメッセージをフィルター条件と照合し、どのアクションを実行するかを決定します。このフィルターの設定に続けてアクションを設定します。
この設定ではuser@company.comからsyslog@company.comにE-mailが送信されます。
件名は”Syslog message from ホスト名”、メッセージはsyslogメッセージ全体です。
件名や、メッセージ本文は自由に編集できます。
このアクションは他のフィルターと組み合わせてさらにカスタマイズできます。
たとえばTime of dayフィルターで特定時間に限りE-mail送信アクションを実行することが可能です。
結論として、Kiwi Syslog Serverは容易なフィルターやアクションの設定が可能であり、syslogメッセージ送信の可能なデバイスの管理ツールや、侵入検出ツールとして使えます。
たとえばデバイス設定変更がAだけに許可されている場合、A以外がが変更したらすぐAにE-mailが送信されます。Aは即座にセキュリティポリシーに基づく適切な対応が可能です。
ミッションクリティカルリンクの監視例
ミッションクリティカルなネットワークリンクがダウンした場合、即座に通知が必要な例です。ルータにsyslog機能があればこの例のように簡単にフィルター/アクションを設定できます。
syslogメッセージテキストに”link”や”status”を含みさらに”updown”や”changed”を含むフィルターを設定します。これはCiscoルータの例です。
syslogメッセージにリンクがUPまたはDOWNしたというテキストが含まれる場合、syslog@company.comからuser@company.comにE-mailが送信されます。
件名にLink UP/DOWNの文字が含まれますので受信者はE-mail本文を読む前に、何が起きたか判断することが可能です。
もっと複雑なフィルター、たとえば日時、デバイス、デバイスグループなどと組み合わせることも可能です。
繰り返しますがデバイスはsyslogサーバーに接続されていなければなりません。
この例ではリンクダウンしたルータがsyslogサーバーに接続されていると機能しません。ルータにフィルターやアクションを設定するだけでなく、ルータに接続されるデバイスについてもフィルターやアクションの設定が望まれます。
結論として、Kiwi Syslog Daemonは基本的なネットワーク監視や通知サービスにも使用できるということです。
トラブルシューティング
Kiwi Syslog Serverをトラブルシューティングに使うことも可能です。
たとえばVPNサーバーを導入したが接続できないような場合です。
ルータにVPNサーバーが使うポートのアクセスリストを登録しそのアクセスリストに一致するイベントをsyslogサーバーに送信してください。VPNサーバーにsyslog機能がありsyslogサーバーに送信できれば正常に機能しているかどうかを確認することができます。
同様に、どのポートを使うアプリケーションでもトラブルシューティングを行うことができます。
確認したいポートのみを記録したり画面に表示することをお勧めします。
複数デバイスを監視するにはソートしたり、不要な情報を分離することが必要です。ファイアーウォール、ルータ、スイッチは特に大量のログをsyslogとして出力しますので、どの情報が必要かをよく判断してください。
アーカイビング例
Kiwiが受信する全メッセージは単純なテキストファイルに保存されます。
これらのファイルは周期的にアーカイブすることが可能です。使い方やセキュリティポリシーに依存しますが、いずれにしろ必要な機能です。
この例では毎日、午前0時にD:\Program Files\LogのログファイルをD:\Program Files\DatedLogsにyyyy-mm-dd.txtという名前でアーカイブファイルを作成します。
この設定画面においてはアーカイブ終了後にプログラムの実行を指定できます。
ログの解析を行ったり、アーカイブファイルをバックアップするのに特に有効です。小さなバッチファイルを作成すると簡単にこれらが実現できます。
セキュリティポリシー
どのような場合でもsyslogサーバーは会社のセキュリティポリシーに調和するように組み込んでください。
syslog専用ポリシーがない場合は、他のポリシーや手続きと同じものを適用することもひとつの方法ですが、syslog専用のポリシーや手続きをぜひ作成してください。
syslog専用ポリシーとしては下記の項目を考慮してください。
- どんなサービスを採用しているか?
- 何を記録するか?
- サーバー管理責任者は誰か?
- ログ管理責任者は誰か?
- ログ分析責任者は誰か?
- 他のポリシーに影響するイベントをsyslogサーバーが検出した場合のアクションは何か?
- ロギング以外のsyslogサーバーの使用目的は何か? トラブルシューティング? リンク監視?その他?
- 上記以外のsyslogサーバーの機能追加や削除責任者は誰か?
- ログファイル保存ポリシーは?
- 長期間のログファイル保存責任者は誰か?
- ログファイルの機密性をどのように確保するか?
- 上記以外の会社独自のポリシーはないか?