セキュリティ管理者の重要な業務の1つに、Linux/Unixシステムやネットワークデバイスで生成されるSyslogの解析があります。Syslog解析を効率的に行うためには、Syslogの一元管理が重要になります。この記事では、CentOSシステムを一元管理用のrsyslogサーバーとして構成する手順を説明します。
1. CentOS 8には、rsyslogがデフォルトでインストールされています。確認するには、端末に以下のコマンドを入力します。
$ systemctl status rsyslog
2. rsyslogのステータスが「Active: active (running)」になっていない場合は、端末に以下のコマンドを入力して、rsyslogをインストールします。
$ sudo yum install rsyslog
3. UDPプロトコルとTCPプロトコルで他のデバイスからSyslogを受け取るには、/etc/rsyslog.confの該当する行のコメントアウトを解除して、TCP接続とUDP接続を有効にする必要があります。
- UDPプロトコルを使用するには、以下の行のコメントアウトを解除します。
module(load='imudp') #needs to be done just once
input(type='imudp' port='514') - TCPプロトコルを使用するには、以下の行のコメントアウトを解除します。
module(load='imtcp') #needs to be done just once
input(type='imtcp' port='514')注記:514番ポートは、UDPとTCPのデフォルトのポート番号です。必要に応じて、いつでも変更できます。
4. 構成を保存して終了します。
5. クライアントマシンが構成済みのrsyslog CentOSサーバーを識別して通信できることを確認してください。通信を有効にするには、以下のコマンドを使用して、ファイアウォールで514番ポートを開放する必要があります。
$ sudo firewall-cmd --add-port=514/tcp --zone=public --permanent
6. 以下のコマンドを使用して、ファイアウォールをリロードし、変更を保存します。
$ sudo firewall-cmd --reload
7. rsyslog CentOSサーバーを再起動し、以下のコマンドを入力して、rsyslogサーバーが514番ポートでリスニングしているか確認します。
$ sudo netstat -pnltu
8. 514番ポートの状態が「LISTEN」に設定されているかを確認します。
これで、CentOS上で稼働する一元管理用のSyslogサーバーを正常に構成できました。収集されたログをリアルタイムで表示するには、rsyslogサーバーで以下のコマンドを実行します。
$ tail -f var/log/messages
rsyslogファイルを監視する方法
Syslogファイルの監視は、ネットワークアクティビティに関する有益な情報源になるため、極めて重要です。Syslogファイルには、イベントに関する情報(関係するIP、イベントのタイムスタンプ、実行されたアクティビティ、重要なシステム変更など)がすべて含まれています。しかし、Syslogを分析する上で、手動でのrsyslogファイル監視は、手間で非効率です。そこで、ログ管理ソリューションを使用してrsyslogファイルを監視することにより、効率的で高度なログ分析を実現できます。
効果的なログ管理ソリューションであるEventLog Analyzerは、大量のrsyslogデータの収集・解析・インデックス付け・分析を実施し、直感的に理解できるレポートを生成します。悪意のあるアクティビティを脅威として検知し、SMSやメールで即時アラートを発信することで、ITセキュリティ管理者は攻撃の予兆を把握できます。