ログファイルのインポート
EventLog Analyzerは、サーバー、ネットワークデバイス、アプリケーションなどのさまざまなソースからログを収集して分析するのに役立ちます。このソリューションは、セキュリティチームが組織内のセキュリティの脅威を常に把握するのに役立つ実用的なインテリジェンスを提供します。
このソリューションは、ログファイルをインポートする機能を提供します。サポートされているログ形式には、Windowsおよびsyslogデバイス形式、アプリケーションログ形式、アーカイブファイルログ形式が含まれます。
Windowsおよびsyslogデバイスのログ形式
- Windowsイベントログ(EVTX形式)
- IBM AS/400
- Linux / Unix Syslog形式(RFC 5424および2131)
注意:.evtログ(Windows XPおよびWindows 2003)をインポートするには、EventLog Analyzerのインストールでコマンド(wevtutil export-log application.evt application.evtx /lf)を使用して、.evtを.evtxに変換する必要があります。
アプリケーションログ形式
- Apacheアクセスログ
- DHCP Linuxログ
- DHCP Windowsログ
- IBM Maximoログ
- IIS W3C FTPログ
- IIS W3C Webサーバーログ
- MSSQL Serverログ
- MySQLログ
アーカイブ済みファイルのログ形式
- Ciscoアーカイブファイル
- Syslogアーカイブファイル
- Windowsアーカイブファイル
ログファイルをインポートする手順
以下の手順のいずれかを実施して、[インポート設定]ページに移動します。
- [+追加] > [ログをインポート]
- [設定] > [インポート済みログデータ]
さまざまな場所からログファイルをインポートする
ローカルパスからのログファイルのインポート
EventLog Analyzerにアクセスできる任意のデバイスからログファイルをインポートできます。
注意:ログのインポートを定期的に実行するようにスケジュールすることはできません。
- [ファイルを参照]オプションから、[ローカルパス]を選択します。
- [参照する]をクリックして、ローカルデバイスから必要なファイルを選択します。デバイスのホスト名またはデバイスのIPアドレスの完全なUNCパスを指定して、[開く]をクリックすることもできます。
- ログファイルのログ形式がわかっている場合は、ドロップダウンメニューからログ形式を選択します。ログ形式がわからない場合は、[自動的に識別する]を選択します。
メモ:選択したログファイルの[ログの表示/フィールドの抽出]リンクをクリックし、ブラウザでポップアップウィンドウオプションを有効にすると、選択したログファイルのプレビューを表示し、目的のフィールドを抽出できます。
- [+]ボタンをクリックし、ログファイルを関連付けるデバイスを選択します(必須)。デバイスの名前を入力するか、表示されるポップアップからデバイスを選択できます。
- インポートしたログを2日間保存する場合は、[短期間、ログを保存する]オプションを有効にします。デフォルトでは、ログの保存期間は32日です。
- [インポートする]をクリックします。
共有パスまたはUNCパスからのログファイルのインポート
汎用命名規則(UNC)パスを介したログファイルのインポートにより、ローカルエリアネットワーク(LAN)上の共有ネットワークフォルダにアクセスできます。
- [ファイルを参照]オプションから、[共有パス]を選択します。
- ログファイルのアップロード元のデバイス名またはIPアドレスを入力します。または、[参照する]をクリックしてWindowsデバイスを選択することもできます。
- デバイスから目的のファイルを選択し、[OK]をクリックします。
- ログファイルのログ形式がわかっている場合は、ドロップダウンからログ形式を選択します。ログ形式がわからない場合は、[自動的に識別する]を選択します
- [+]ボタンをクリックし、ログファイルを関連付けるデバイスを選択します。デバイスの名前を入力するか、表示されるポップアップからデバイスを選択できます。
- インポートしたログを2日間保存する場合は、[短期間、ログを保存する]オプションを有効にします。デフォルトでは、ログの保存期間は32日です。
- ログファイルのインポートを定期的に自動化する場合は、[ログをインポートをスケジュールする]オプションを有効にします。
- [スケジュール]ドロップダウンメニューを使用して、インポートの時間間隔をカスタマイズできます。
- [ファイル名のパターンを指定してください]オプションを有効にすることで、時刻フォーマットを使用してファイル名パターンを作成できます。作成したファイル名パターンに合致したファイルをインポートします。
- [インポート]をクリックします。
リモートパスからのログファイルのインポート
リモートパスからログファイルをインポートするには、アクセス先デバイスの資格情報(ユーザー名とパスワード)が必要です。
- [ファイルを参照]オプションから、[リモートパス]を選択します。
- ログファイルのアップロード元のデバイス名またはIPアドレスを入力します。または、[+]ボタンをクリックし、Windowsデバイスを選択することもできます。
- デバイスから目的のファイルを選択し、[OK]をクリックします。
- インポートに使用するプロトコル(SMB-Windows、FTP、SFTP)を選択し、ポート番号を入力します。
- 所定のフィールドに認証情報を入力します(例:リモートデバイスのユーザー名とパスワード)。
- ログファイルのログ形式がわかっている場合は、ドロップダウンメニューからログ形式を選択します。ログ形式がわからない場合は、[自動的に識別する]を選択します。
- [+]ボタンをクリックし、ログファイルを関連付けるデバイスを選択します。デバイスの名前を入力するか、表示されるポップアップからデバイスを選択できます。
- インポートしたログを2日間保存する場合は、[短期間、ログを保存する]オプションを有効にします。デフォルトでは、ログの保存期間は32日です。
- ログファイルのインポートを定期的に自動化する場合は、[ログインポートをスケジュールする]オプションを有効にします。
- [スケジュール]ドロップダウンメニューを使用して、インポートの時間間隔をカスタマイズできます。
- [ファイル名のパターンを指定してください]オプションを有効にすることで、時刻フォーマットを使用してファイル名パターンを作成できます。作成したファイル名パターンに合致したファイルをインポートします。
- [インポート]をクリックします。
インポートするログファイルを選択したら、[詳細]をクリックして、インポートしたログのエンコードタイプとタイムゾーンを選択します。
ファイルのエンコーディング
EventLog Analyzerは、ログファイルのさまざまなエンコーディングタイプをサポートしています。インポートするログファイルのエンコードタイプを選択できます。デフォルトのエンコーディングタイプはUTF-8です。
タイムゾーン
EventLog Analyzerには、インポートしたログが記録されたタイムゾーンを選択するオプションがあります。デフォルトのタイムゾーンは、EventLog Analyzerサーバーが構成されているタイムゾーンです。
クラウドストレージからのログファイルのインポート
AWS S3バケットからログをインポートするには、まずS3バケットにアクセスできるIAMユーザーを作成する必要があります。このリンクに記載されている手順に従って、特定のS3バケットのみへのアクセスをユーザーに許可することもできます。
ログをインポートするためにAWS S3バケットを設定するには、
- [クラウド]タブで、表示されたリンクをクリックしてAWSアカウントを設定します。
- AWSアカウントの表示名、アクセスキー、秘密キーを入力し、[追加]をクリックします。
- AWSアカウントが追加されると、[クラウド]タブのドロップダウンリストに表示されます。
- ドロップダウンリストから、AWSアカウントを選択してから、ログのインポート元のS3バケットを選択します。
- [インポート]をクリックして、ログのインポートを開始します。
MySQLログ
EventLog Analyzerは、MySQLからのエラーログと一般ログのみをサポートします。MySQLログオンの失敗は、MySQLの一般的なクエリログから考慮されます。
MySQLへのログインを有効にするには、
- My.cnfファイル(Linuxの場合)またはmy.iniファイル(Windowsの場合)を開き、以下のエントリをファイルに追加します。
- エラーログの場合:log_error=<error-log-file-name>
- 一般的なログの場合:
- >= v5.1.29: general_log_file=<general-log-file-name> general_log=1 (or) ON
- < v5.1.29: log=<log-file-name>
- 変更を有効にするには、MySQLインスタンスを再起動します。
- MySQLログファイルは、ローカルパス、共有パス、またはリモートパスからインポートできます。
- MySQLログファイルをインポートするには、ログ形式を手動で選択する必要があります。適切なファイルを選択したら、[選択したファイル]セクションの[ログ形式]ドロップダウンリストから[MySQLログ]を選択します。
- [インポート]をクリックして、ログのインポートプロセスを開始します。
SAP ERP監査ログ
監視用のSAPERPアプリケーションを追加するには、監査ログを有効にする必要があります。
SAP ERP監査ログを有効にするには:
「<SAP_installed path>\sys\profile」にあるDEFAULT.PFLファイルに、次を追加します。
- rsau/enable = 1
- rsau/local/file = <log location>/audit_00
注意:ユーザーには、インポート中にこの監査ファイルを読み取る権限が必要です。
DB2監査ログ
Db2データベースシステムでは、インスタンスレベルとデータベースレベルの両方で監査できます。Db2auditツールは、監査プロセスを構成するために使用されます。このツールを使用して、インスタンスレベルとデータベースレベルの両方から監査ログをアーカイブおよび抽出することもできます。監査機能は、次の6つの手順に従って構成できます。
- Db2auditデータ・パス、アーカイブ・パス、およびスコープを構成。
- データベース監査の監査ポリシーを作成。
- データベースへの監査ポリシーの割り当て。
- アクティブログのアーカイブ。
- アーカイブログの抽出。
- ログをEventLog Analyzerにインポート。
1. db2auditデータ・パス、アーカイブ・パス、およびスコープの構成
Configureパラメーターは、インスタンスのセキュリティー・サブディレクトリーにあるdb2audit.cfg構成ファイルを変更します。このファイルへのすべての更新は、インスタンスが停止している場合でも発生します。インスタンスがアクティブなときに発生する更新は、Db2インスタンスによって実行される監査に動的に影響します。構成ファイルで可能なすべてのアクションの詳細については、ソースを参照してください
- 管理者権限でDB2コマンド行プロセッサーを開きます。
- 次のコマンドを実行します。
db2audit configure datapath"C:\IBM\DB2\DataPath"archivepath"C:\IBM\DB2\ArchivePath"
注意:指定されたパスを、データパスとアーカイブパスにそれぞれ選択したパスに置き換えます。
- 次のコマンドを実行します。
db2audit configure scope all status both error type normal
- 次のコマンドを実行します。
db2audit start
2. データベース監査の監査ポリシーの作成
- 管理者権限でDB2コマンド行プロセッサーを開きます。
- 次のコマンドを実行して、データベースに接続します。
db2 connect toyour_database
注意:「Your_database」を選択したデータベース名に置き換えます。
- 次のコマンドを実行して、データベースの監査ポリシーを作成します。
db2 create audit policypolicy_namecategoriesallstatusbotherror typeaudit
注意:「Policy_name」を選択したポリシー名に置き換えます。指定されたパラメーターを、選択したコマンドパラメーターに置き換えます。許可されるコマンドパラメータの詳細については、ソースを参照してください。
- 次のコマンドを実行してコミットします。
db2 commit
これで、監査ポリシーが作成されました。
3. データベースへの監査ポリシーの割り当て
- 管理者権限でDB2コマンド行プロセッサーを開きます。
- 次のコマンドを実行して、データベースにポリシーを割り当てます。
db2 audit database using policypolicy_name
注意:「Policy_name」を、作成した監査ポリシーの名前に置き換えます。
- 次のコマンドを実行してコミットします。
db2 commit
これで、作成された監査ポリシーがデータベースに割り当てられます。
4. アクティブなログのアーカイブ
インスタンスとデータベースの両方からアクティブログをアーカイブできます。ログは、最初の手順で構成したアーカイブパスにアーカイブされます。
- 管理者権限でDB2コマンド行プロセッサーを開きます。
- 次のコマンドを実行して、アクティブなデータベースログをアーカイブします。
db2audit archive databaseyour_database
注意:「Your_database」をデータベースの名前に置き換えます。
- 次のコマンドを実行して、アクティブなインスタンスログをアーカイブします。
db2audit archive
- インスタンスログファイル:db2audit.instance.log.0.20060418235612
- データベースログファイル:db2audit.db.your_database.log.0.20060418235612
EventLog Analyzerにインポートするには、両方のファイルを人間が読める形式に抽出する必要があります。
5. アーカイブログの抽出
- 管理者権限でDB2コマンド行プロセッサーを開きます。
- 次のコマンドを実行して、アーカイブされたインスタンスログを抽出します。
db2audit extract fileC:/IBM/DB2/instancelog.txt from files db2audit.instance.log.0.20060418235612
注意:インスタンスログを選択したファイル名に置き換えます。「Db2audit.instance.log.0.20060418235612」をアーカイブされたインスタンスログのファイル名に置き換えます。
- 次のコマンドを実行して、アーカイブされたデータベースログを抽出します。
db2audit extract fileC:/IBM/DB2/databaselog.txt from files db2audit.db.your_database.log.0.20060418235612
注意:「Databaselog」を選択したファイル名に置き換えます。「Db2audit.db.your_database.log.0.20060418235612」をアーカイブされたデータベースログのファイル名に置き換えます。
両方のファイルが指定されたアーカイブパスに抽出され、EventLog Analyzerにインポートできます。
6. EventLog Analyzerへのログのインポート
次に、抽出したデータベースとインスタンスのログファイルをEventLog Analyzerにインポートする必要があります。これは、EventLog Analyzerにログファイルをインポートする方法に関する包括的なガイドです。
診断ログ
EventLog Analyzerは、診断ログのレポートも提供します。診断ログレポートを生成するには、所定の手順に従います。
- 次のコマンドを実行して、診断ログファイルの場所を見つけます。
db2 get dbm cfg | findstr DIAGPATH
db2 get dbm cfg | grep DIAGPATH
db2 get dbm cfg
注意:現在のメンバーが解決したDIAGPATHに対応するパスは、診断ログファイルへのパスです。
- 指定されたパスに移動し、db2diag.txtという名前のファイルをEventLog Analyzerにインポートします。
インポートのトラブルシューティングのヒント
ログファイルをインポートできない場合は、次のことを確認してください。
- 使用される資格情報は有効であり、必要な権限がある。
- デバイスに到達可能である。
- 指定されたファイルが存在し、アクセス可能です。
- ドロップダウンから選択したログファイル形式は、選択したファイルのログ形式と一致します。
ログからのフィールド抽出
- ログメッセージの右上隅にあるツールアイコンをクリックして、カスタムフィールドを作成できます。ログにカスタムパターンを使用するには、このページに記載されている手順に従ってください。
a. これで、カスタムフィールドも左側のペインに表示されます。
b. [保存]ボタンをクリックします。
インポートされたログファイルのリスト
EventLog Analyzerのインストールでインポートされたすべてのログファイルのリストを表示できます。これは、ログのインポートオプションが選択されたときに表示されるデフォルトのページです。このページには、ファイル名、デバイス、監視間隔、ログファイルのインポートにかかった時間、ログ形式、ログファイルのサイズなど、インポートされたログファイルの詳細が表示されます。
