DHCP/プロキシログからFWを通過したホスト/ユーザーを特定する方法

ファイアウォール・プロキシ ログ管理

DHCPサーバーログとは

DHCP(Dynamic Host Configuration Protocol)サーバーログとは、ネットワークに接続するコンピュータにIPアドレスを自動的に割り当てる機能を持つDHCPサーバーが出力したイベントログです。

そのログファイルには、例えば、以下の情報が記載されています。

  • イベント日時
  • クライアントのIPアドレス
  • クライアントのホスト名

プロキシサーバーログとは

プロキシ(Proxy)サーバーログとは、一般的にクライアントとWebサーバ-間に位置し、クライアントに代わりhttp通信を行う代理応答サーバー(プロキシサーバー)が記録するアクセスログです。

そのログファイルには、例えば、以下の情報が記載されています。

  • アクセス日時
  • クライアントのIPアドレス
  • ユーザー名

調査時はIPアドレスではなく、ホスト名/ユーザー名を把握したい

例えば、ファイアウォールのログを確認することで、外部からの不正アクセスがあった可能性を調査している、あるいは、障害対応の真っ最中で危機迫る中調査を進めているという場合、いち早く把握したいのが「いつ・誰が・何をしていたか」です。

DHCPやプロキシサーバーを導入している環境の場合、ここで問題になるのがIPアドレスが特定できてもホスト名/ユーザー名を特定できないという点です。これをクリアするために、ファイアウォールとDHCPまたはプロキシサーバーのログを読み解き、突き合わせ、ホスト名/ユーザー名を特定する作業は非常に難易度が高く、工数もかかるため現実的ではありません。

もちろん、社内でWeb認証などをもちいていれば、ログを確認することでもう少し楽にホスト名/ユーザー名を特定できます。しかしそれも生ログを解析する作業には変わりません。シニアエンジニアでないとできないという問題や、工数のかかる大変な作業という問題には変わりません。

そのため、多くのネットワーク管理者がDHCP/プロキシサーバーのログからIPアドレスとホスト名/ユーザー名を紐づける機能を持つファイアウォールログ解析ツールを活用しています。

DHCP/プロキシログから、IPアドレスとホスト名/ユーザー名を紐づけてくれるログ解析ツール

ManageEngineが提供するFirewall Analyzerは、各ベンダーのプロキシサーバーやファイアウォール、UTMのログを収集・可視化、また、未使用ポリシー(ルール)・重複ポリシーを可視化する解析ツールです。運用に乗せやすいシンプルで分かりやすい管理画面が特長です。

最短10分で可視化できます[機能・台数 無制限]

ダウンロードはこちら概要資料はこちら

Firewall Analyzerは、DHCP/プロキシサーバーのログからIPアドレスとホスト名/ユーザー名が対応する情報を取得します。以下のオプションにより構成されます。

  • IPアドレスまたはDNS名
  • プロキシサーバーを利用しているユーザー名とIPアドレスの情報を取得
  • DHCPサーバーにより割り当てられたホスト名/MACアドレスとIPアドレスの情報を取得

これらの情報により詳細に個人を特定することができ、Firewall Analyzerに搭載されているさまざまなレポートを有効活用することができます。

DNS逆引き解析設定

標準では、ファイアウォールを通過した通信の送信元と宛先を IP アドレスで表示します。Firewall Analyzerでは、IPアドレスをDNS解決し、各レポートでDNS名を表示するように設定することができます。各レポートの [DNSによる名前解決] にチェックを入れることで、レポート内の表示がDNS名に変更されます。また、Firewall Analyzer は、全レポートに DNS解決 の設定を反映させるオプションがあります。 DNSに登録されていないIPアドレスをFirewall Analyzerのレポートで表示するために、DNS名を手動でマッピングする機能を追加しました。

DNS逆引き解析DNS逆引き解析設定