DHCPサーバーログとは
DHCP(Dynamic Host Configuration Protocol)サーバーログとは、ネットワークに接続するコンピュータにIPアドレスを自動的に割り当てる機能を持つDHCPサーバーが出力したイベントログです。
そのログファイルには、例えば、以下の情報が記載されています。
- イベント日時
- クライアントのIPアドレス
- クライアントのホスト名
プロキシサーバーログとは
プロキシ(Proxy)サーバーログとは、一般的にクライアントとWebサーバ-間に位置し、クライアントに代わりhttp通信を行う代理応答サーバー(プロキシサーバー)が記録するアクセスログです。
そのログファイルには、例えば、以下の情報が記載されています。
- アクセス日時
- クライアントのIPアドレス
- ユーザー名
調査時はIPアドレスではなく、ホスト名/ユーザー名を把握したい
例えば、ファイアウォールのログを確認することで、外部からの不正アクセスがあった可能性を調査している、あるいは、障害対応の真っ最中で危機迫る中調査を進めているという場合、いち早く把握したいのが「いつ・誰が・何をしていたか」です。
DHCPやプロキシサーバーを導入している環境の場合、ここで問題になるのがIPアドレスが特定できてもホスト名/ユーザー名を特定できないという点です。これをクリアするために、ファイアウォールとDHCPまたはプロキシサーバーのログを読み解き、突き合わせ、ホスト名/ユーザー名を特定する作業は非常に難易度が高く、工数もかかるため現実的ではありません。
もちろん、社内でWeb認証などをもちいていれば、ログを確認することでもう少し楽にホスト名/ユーザー名を特定できます。しかしそれも生ログを解析する作業には変わりません。シニアエンジニアでないとできないという問題や、工数のかかる大変な作業という問題には変わりません。
そのため、多くのネットワーク管理者がDHCP/プロキシサーバーのログからIPアドレスとホスト名/ユーザー名を紐づける機能を持つファイアウォールログ解析ツールを活用しています。
DHCP/プロキシログから、IPアドレスとホスト名/ユーザー名を紐づけてくれるログ解析ツール
ManageEngineが提供するFirewall Analyzerは、各ベンダーのプロキシサーバーやファイアウォール、UTMのログを収集・可視化、また、未使用ポリシー(ルール)・重複ポリシーを可視化する解析ツールです。運用に乗せやすいシンプルで分かりやすい管理画面が特長です。
最短10分で可視化できます[機能・台数 無制限]
Firewall Analyzerは、DHCP/プロキシサーバーのログからIPアドレスとホスト名/ユーザー名が対応する情報を取得します。以下のオプションにより構成されます。
- IPアドレスまたはDNS名
- プロキシサーバーを利用しているユーザー名とIPアドレスの情報を取得
- DHCPサーバーにより割り当てられたホスト名/MACアドレスとIPアドレスの情報を取得
これらの情報により詳細に個人を特定することができ、Firewall Analyzerに搭載されているさまざまなレポートを有効活用することができます。
DNS逆引き解析設定
標準では、ファイアウォールを通過した通信の送信元と宛先を IP アドレスで表示します。Firewall Analyzerでは、IPアドレスをDNS解決し、各レポートでDNS名を表示するように設定することができます。各レポートの [DNSによる名前解決] にチェックを入れることで、レポート内の表示がDNS名に変更されます。また、Firewall Analyzer は、全レポートに DNS解決 の設定を反映させるオプションがあります。 DNSに登録されていないIPアドレスをFirewall Analyzerのレポートで表示するために、DNS名を手動でマッピングする機能を追加しました。
DNS逆引き解析設定