Syslog は、Linux/Unixデバイスやネットワークデバイス(スイッチ、ルーター、ファイアウォールなど)で生成されるログです。Syslogは、Syslogサーバー(Syslogデーモンまたはsyslogdが動作しているサーバー)に集約することによって、一元管理できます。デバイスからSyslogデーモンにSyslogを送信する際は、TCP、UDP、RELPが使用されます。
UDP(User Datagram Protocol)
UDPは、接続の確立が行われない、信頼性の低いプロトコルです。SyslogデーモンにSyslogメッセージが送信されても、受信の確認応答は行われません。デフォルトでは、UDPによるSyslogの送信は514番ポートで行われますが、このポート番号をいつでも変更可能です。
一般的に、UDPを使用した送信は推奨されません。その理由は、SyslogパケットがSyslogサーバーで正しく受信されない可能性があり、結果として重要な情報が失われる場合があるからです。
サーバーをSyslogデーモンとして機能させるためには、UDPの514番ポートでリッスンするようにサーバーを構成する必要があります。
- ターミナルで、etc/syslog.confファイルを開きます。
- 以下の記述を見つけて、コメントアウトを解除します。
- $ModLoad imudp。
- $UDPServerRun 514
- マシンを再起動し、変更が適用されていることを確認します。
TCP(Transmission Control Protocol)
TCPは信頼性の高い、接続指向型の通信プロトコルであり、514番ポートを使用してSyslogメッセージをSyslogデーモンに送信します。TCPはデフォルトで、rsyslogやsyslog-ngなどのSyslog収集ツールによるデータ送信に使用されます。syslogdは、受信したすべてのSyslogメッセージに対して確認応答を送り、すべてのSyslogメッセージが単一のリポジトリに確実に格納されます。
サーバーをSyslogデーモンとして機能させるためには、以下のコマンドを使用して、TCPの514番ポートでリッスンするようにサーバーを構成します。
- ターミナルで、etc/syslog.confファイルを開きます。
- 以下の記述を見つけて、コメントアウトを解除します。
- $ModLoad imudp。
- $UDPServerRun 514
- マシンを再起動して、変更が適用されていることを確認します。
RELP(Reliable Event Logging Protocol)
もともとrsyslog間の通信用に開発されたRELPは、イベントメッセージを宛先に送信するための信頼性の高いネットワークプロトコルです。RELPは、TCPでSyslogを送信しますが、バックチャネルを使用して、Syslogデーモンで正しく受信されたメッセージを確認する機能も備えています。バックチャネルによって、デバイスから送信されたSyslogメッセージを確認できると同時に、受信側でSyslogメッセージの監視も可能です。
Syslogを送信している途中に接触が突然中断された場合、RELPは、送信中のメッセージがSyslogサーバーで受信されたかどうかを明確にします。Syslogサーバーが処理したSyslogについて、送信側に確認のメッセージを返送することで、受信が成功したかを確認します。
Syslogの監視
Syslogには、ネットワークで発生するイベントについての重要な情報が記録されています。一元管理された場所にSyslogを安全に送信し、分析することで、クリティカルイベントを容易に解決できます。grepなどのコマンドを使用した手動によるSyslog分析も可能ですが、時間と労力がかかります。そこで、EventLog Analyzerのような自動ログ管理ソリューションを使用すれば、ネットワークのデバイスが生成するSyslogの、収集・解析・分析を効率的に実現できます。
EventLog Analyzerは、Syslogと他のネットワークログとの相関関係を見つけることで、セキュリティインシデントや脅威をリアルタイムで特定できます。さらに、セキュリティ監査やコンプライアンス管理に役立つ定義済みのレポートやアラートプロファイルも提供します。EventLog Analyzerの詳細については、こちらをご確認ください。