Syslogの一元管理に最適なツール:rsyslog、syslog-ng、Logstash、Fluentd、EventLog Analyzer

Syslogを一元管理すべき理由

SyslogはLinux/Unixシステムやネットワークデバイスから生成されます

Syslogには、ネットワークにおける不正アクティビティの特定に役立つ重要な情報が含まれているため、Syslogを常に監視する必要があります。Syslogが一元管理されたリポジトリに集約されていれば、ログの検索と分析が容易になります。

Syslogを効率的に監視するためのツール

rsyslog

rsyslogは、「rocket fast system for log processing(ログ処理用の高速システム)」の略で、BSD Syslogプロトコルを使用します。ネットワーク上のさまざまなログソースで生成されるログに対応しています。

rsyslogは、TCP、RELP、SSH、TLSを使用して、Syslogの格納時と送信時の信頼性とセキュリティを確保しています。rsyslogデーモンは、すべてのログメッセージを解釈し、IT管理者にメールでアラートを送信できます。しかし、詳細な分析を目的としたログメッセージの分類、タグ付け、相関関係の特定は行えません。

rsyslogは、ommailというメールモジュールを使用しており、このモジュールはSMTPの直接送信にのみ対応しています。「<ホスト名>でディスク障害が発生しました」などの軽微な不具合も、事前に設定した時間間隔でメール通知されます。メールの大量配信によって重要なアラートを見逃してしまう可能性があるため、ommailの構成時には送信間隔を慎重に指定してください。

syslog-ng

syslog-ngは、汎用的なログ収集を可能にするsyslog管理ソリューションです。多くのエージェントをホストに展開することなく、ネットワークデバイスからログを効果的に収集し、ローカルまたはリモートのサーバーに送信できます。また、Windowsイベントコレクター(WEC)を使用すれば、Windowsイベントログの収集も可能です。

TCP、RLTP、SSL、TLSを使用しているため、ログファイルの保存と送信において高い安全性と信頼性が確保されています。syslog-ngはログデータを処理し、正規化し、相関させ、Hadoop、MangoDB、Elastic Searchなどのプラットフォームに転送できます。

ログ管理ソリューションは、相関ログを分析・解釈して、レポートやアラートを生成します。syslog-ngには標準でログ分析機能が搭載されていませんが、構造化されたデータをログ管理ソリューションに提供することで、迅速な分析に役立てることができます。

Logstash

Logstashは、syslog-ngと同様に、ログの収集、解析、フィルタリングを行うソリューションです。Syslog、Apacheログ、Windowsイベントログ、AWSプラットフォームのログなど、さまざまなデバイスのログデータに対応しています。カスタマイズ可能な標準搭載のパーサーやプラグインを使用して、形式や複雑さに関係なくログデータをインデックス化し、解析できます。

また、Logstashは、IPアドレスを使用して、さまざまなホストの地理的な位置を特定できます。インデックス化・正規化されたログは、検索エンジンまたはログ管理ソリューションに送信できます。Elastic Searchなどの検索エンジンに送れば、シンプルなクエリを使ったログ検索が可能になります。一方、ログ管理ソリューションに送れば、ログの分析や解釈が可能になり、異常や脅威の特定に活かすことができます。

Fluentd

Fluentdは、Logstashと同様の機能を持つログ管理ソリューションで、さまざまなソースのログデータの収集・解析・フィルタリングを行います。ログデータをJSON形式に変換し、統一された仕組みでログを収集します。インデックス化・正規化されたログデータは、検索ツール(Elastic Search)、ログ分析ツール(Nagios)、ストレージサービス(Amazon S3)などに送信できます。

Fluentdは、多数のプラグインを活用できるため、ログデータの入力ソースや出力先をカスタマイズできます。しかし、ログ分析と異常検知に関しては、サードパーティ製の分析ツールに依存しています。

ManageEngine EventLog Analyzer

EventLog Analyzerは、多くの優れた機能を備えた統合ログ管理ソリューションです。ネットワーク上のスイッチ、ファイアウォール、ルーター、サーバー、データベース、アプリケーション、クラウドプラットフォーム、デバイスなど、各種のログソースからログを収集します。ログの一元管理、解析、インデックス化、正規化によって、ログの解釈を容易に実現し、シンプルなテキストクエリを使った検索も可能になります。EventLog Analyzerはログの相関分析を行い、異なるネットワークデバイスで生成されたログの中から、共通のイベントに起因するものを特定します。

EventLog Analyzerは、ネットワークで発生するすべてのアクティビティを対象として、直感的に理解できるレポートを生成します。UEBA(ユーザーおよびエンティティの行動分析)を使用してユーザーの異常な行動を予測し、高度な脅威分析(Advanced Threat Analytics)によって脅威となるIPアドレスを特定し、アラートを生成できます。さらに、ネットワークにおけるITコンプライアンス規制への準拠状況も常に確認・評価します。

基本機能として提供されている、カスタマイズ可能なアラートプロファイルを使用して、メールやSMSによって即時のアラートを送信できます。アラートにより、ITセキュリティ管理者に、早急な対応を要する攻撃の前兆について通知します