syslogデバイスアクティビティの監査

ManageEngine > イベントログ・syslog対応ログ管理ソフト > 機能 > syslogデバイスアクティビティの監査

syslogデバイスアクティビティの監査

スイッチからルーターまで、ほとんどすべてのネットワークデバイスはsyslogを生成します。ネットワークには数多くのsyslogデバイスが存在するため、追跡、監視、分析を含む監査には多大な時間と労力がかかります。これらのタスクにどれほどの労力がかかるとしても、組織は、これらのデバイスの体系的な検証を省略することはできません。監査は、ネットワークセキュリティの抜け穴を特定し、ネットワークのセキュリティポリシーを強化し、ネットワークのパフォーマンスを向上させ、システムのダウンタイムを減少させるのに役立ちます。

EventLog Analyzerは、ネットワーク上のすべてのデバイスからsyslogデータを自動で収集し、分析して、個別に監査レポートを生成することでネットワークデバイスを監査する労力を減らします。EventLog Analyzerの監査レポートは、設定済みのものもカスタマイズ可能なものもあり、自動配信するようにスケジュール設定したり、複数の形式で利用したりすることが可能であり、簡単に理解することができます。SMSまたはメールを介してリアルタイムで通知するアラートを作成することで、ネットワークで発生した重大なイベントを常に把握することができます。

EventLog Analyzerは、監査レポートとリアルタイムアラートだけでなく、すべてのsyslogデータを安全にアーカイブ化して、さらに活用することもできます。セキュリティインシデントが発生したときには、ログ検索機能を使用して、特定のインシデントに絞り込んで、攻撃ベクトルをバックトラッキングします。このようなフォレンジック調査は、脅威を緩和し、さらなる問題の発生を未然に防ぐのに役立ちます。EventLog Analyzerにより、すべてのネットワークアクティビティをリアルタイムで把握して、ネットワークデバイスのコントロールを維持することができます。EventLog Analyzerによるネットワークデバイスの監査には、他にも次のような利点があります:

  • 集約型のカスタマイズ可能なダッシュボード。
  • 設定済みのカスタマイズ可能な監査およびコンプライアンスレポート。
  • アカウント管理、特権ユーザーアカウント、ネットワークファイルシステム、ユーザーのログオンおよびログオフアクティビティに関連付けられた重大なイベントを追跡する機能。
  • 安全で暗号化され、柔軟に活用できるログのアーカイブ化。
  • 重大なイベントのリアルタイムアラートをメールまたはSMSで送信。
  • ログフォレンジックを実行するための高度なログ検索機能。

EventLog Analyzerは、Unix/Linux端末、VMware、IBM AS/400/iSeriesマシーン、macOSを起動しているコンピューターを含むすべてのネットワークデバイスからのsyslogデータ収集をサポートしています。EventLog Analyzerは、これら全ての機器について次のように分類される130以上のレポートを提供しています:

ログオンおよびログオフレポート:

ユーザーのログオンの試みをすべて監視し、ログオンの成功と失敗のトレンドを特定します。どのユーザーがログオンしているか、SSH、SU、FTPのような方法を含むログオン方法の中から、どのようなログオン方法が使用されているか、リモートデバイス経由のログオンを把握します。

ユーザーアカウントの管理レポート:

新しい/削除された/無効化された/改名されたユーザー、アカウント、パスワードの修正、ユーザーの権限レベルの変更などに関するすべてのユーザーベースの情報を検証します。重大なオブジェクトを常に把握して、セキュリティの脅威をすばやく検知することができます。

Unixのメールサーバーのレポート

メールの受信、送信、拒否を送信者とリモートデバイスごとに分けて、Unixのメールサーバーに関係するすべての情報を表示します。メールサーバー、メールエラー、配信失敗、不正なメールアドレス、ストレージ容量ごとの上位の受信者と送信者を監査します。メールサーバーの操作とその中で行われているすべてのトランザクションを追跡します。

UnixのFTPサーバーのレポート:

FTPアクティビティの概要と、アップロードおよびダウンロードされたファイル、ログイン、接続、アイドルセッション、無転送タイムアウト、およびユーザーとリモートデバイスに基づくFTP操作に関する情報を使用して、ファイル転送プロトコル(FTP)サーバーで発生するすべてのことを調べます。

Unix脅威レポート:

ネットワークが晒されるすべての攻撃を把握します。これらの脅威レポートを深く掘り下げることで、予防的な対策を講じます。これらのレポートを使用して、エラーの逆引き、不良デバイスコンフィグのエラー、不良ISPエラー、およびサービス拒否攻撃を特定することができます。

その他のUnixレポート:

Unixマシーンの様々な側面に関する定義済みのレポートを生成することもできます。最も頻繁に使用されるレポートの例

  • ユーザーごとのNFSマウント成功、拒否。
  • SUDOコマンドの成功と失敗。
  • 取り外し可能なUSB接続。
  • Cronジョブの変更。
  • 無効化されたサービス。
  • セッションの接続と切断。
  • 保護されていないプロトコルバージョン。
  • デバイス名とアドレスの不一致エラー。

VMwareサーバーレポート:

VMのゲストログイン、VMの作成と削除、VMにおける重大な変化、VMイベントの概要に関する情報を取得します。

重大度、重大、システムレポート:

  • 要性レポート:重大度 (例:緊急、アラート、重大、エラー、警告、通知、情報、デバッグ) に応じてイベントを追跡します。
  • 重大レポート:トレンドおよびアクティビティ全体に関する情報付きで、イベント、デバイス、リモートデバイスに基づく重大アクティビティをすべて検証します。
  • システムレポート:syslogサービス、ディスク容量、yumアップデート、システムシャットダウン、ASPストレージ容量、ハードウェアエラー、システム時間アップデートに関する情報を表示します。