Ubuntu 18.04 LTSサーバーをrsyslogサーバーとして構成する方法

Ubuntuシステムは、Syslogサーバーとして構成可能で、さまざまなデバイスからSyslogメッセージを収集・分析できます。以下は、Ubuntu 18.04 LTS上で稼働する中央rsyslogサーバーを構成するための手順です。

  1. 以下のコマンドを実行して、Ubuntu OSにrsyslogをインストールします。

    apt-get install rsyslog -y

  2. 以下のコマンドを入力して、rsyslogのステータスが「Active: active (running)」(実行中)になっていることを確認します。

    systemctl status rsyslog

  3. /etc/rsyslog.confで以下の行を探してコメントアウトを解除し、TCP接続とUDP接続を有効にします。
    $ModLoad imudp
    $UDPServerRun 514
    $ModLoad imtcp
    $InputTCPServerRun 514

    注記::514番ポートは、UDPとTCPのデフォルトポート番号です。必要に応じて、いつでも変更可能です。

  4. 以下のコマンドを使用して、514番ポートを使用できるIP、ドメイン、サブネットに権限を付与します。
    $AllowedSender TCP
    $AllowedSender UDP
  5. 以下のコマンドを使用して、受信したログの保存先となるファイルを指定するテンプレート作成します。
    $template remote-incoming-logs,
    '/var/log/%HOSTNAME%/%PROGRAMNAME%.log'
    *.* ?remote-incoming-logs
  6. 構成を保存して終了します。
  7. 以下のコマンドを実行し、rsyslogデーモンが514番ポートでリッスンしているかを確認します。
    netstat -4altunp | grep 514 出力結果でTCPとUDPに対して「LISTEN」が表示されているかを確認します。
  8. rsyslogサーバーで以下のコマンドを入力し、リアルタイムに収集されたログを表示します。
    ls /var/log/rsyslog-client/
  9. rsyslogdファイルを監視する方法

単にrsyslogを表示させるだけでは不十分です。普段と異なるシステム構成の変更や認証の失敗などのクリティカルイベントを特定するためには、異なる複数のログファイルを横断的に解釈・分析する必要があるからです。Syslogには、すべてのイベントについて、誰が、いつ、どこで、何をしたかに関する重要な情報が含まれています。ログの情報を活用することで、ネットワークデバイスでの異常なアクティビティを特定できるため、脅威の影響を減らし、攻撃を阻止できます。ログの監視・分析を手動で行えば非常に手間がかかりますが、ログ管理ソリューションを使用すれば、作業を自動化できます。

効果的なログ管理ソリューションであるEventLog Analyzerは、ログデータを解釈・分析し、分かりやすいレポートを提供します。また、EventLog Analyzerでアラートを設定すれば、脅威となる不審な行動を検知し、攻撃の兆候についてSMSやメールでリアルタイムに通知を送信します。詳細については、 こちらをご確認ください。