ログ検索の必要性と課題
イベントログやSyslogなどのログデータをたとえ集中管理できていたとしても、ログの内容から必要な情報を迅速に抽出することができなければ、情報を集約している意味がありません。
集積されたログを検索できることによって初めて、追跡したいイベントの情報を得ることができます。たとえば、システムに障害の起きた日時やエラーの具体的内容、システムへのアクセス時刻やアクセス元IPアドレスなどの具体的情報を突き止めるには、それが記録されているログメッセージを膨大なログの中から見つけ出す必要があります。
ログ管理ツールにおけるログの検索においては、任意の文字列を使用した検索のほかにも、時間帯による絞り込みなど、IT管理部門・IT管理担当者が、これまでに蓄積した過去のイベントログ・Syslogの内容から目的とするログデータを探し出す機能の使いやすさが求められます。イベントログ・Syslogの検索性能が求められるのは、たとえば、社内のコンピューターがウイルスに感染し、感染経路を突き止めたいような場合です。組織内にある全てのPCのログを直接調査するのは時間も手間もかかります。
効率よくイベントログを検索するためには、目的に合った機能を持ったツールを導入することが鍵となります。
ログの検索に求められる機能とは?必要な4つの条件
イベントログやSyslogなどのログを検索するツールには、次のような機能が求められます。
機能 | 詳細 |
---|---|
自動ログ収集機能 | 一定期間ごとに、自動的にログを収集する機能 |
自動ログ圧縮機能 | 一定期間ごとに、収集したログを圧縮する機能 |
ログの一元保管機能 | ログを一箇所にまとめて保管する機能 |
検索機能 | 保管したログをツール側からテキスト検索する機能 |
上記の機能がすべて単一のツールで実現できれば、効率的・効果的なログの検索を実現することができます。たとえば、圧縮されたログをそのまま検索できたり、収集したログのさまざまなフォーマットを意識せずに複数の種類のログを横断的に検索できれば、管理者の負担は軽減されます。
当社は、こうしたログ検索の現場で求められる高度な機能を備えたツールを開発しました。
必要十分な機能を備えたログ検索ツール
ManageEngineが提供する統合ログ管理ツール「EventLog Analyzer」は、イベントログ・Syslogの検索を簡単に実施できる便利なソフトウェアです。イベントログの自動収集、保管、圧縮はもちろんのこと、ログを圧縮した状態で、ツール側からテキストベースでの検索ができます。
ログ検索機能
EventLog Analyzerのログ検索機能は以下の通りです。
異なるデバイス種別のログを横断して検索可能
EventLog Analyzerはログの一元管理を容易にし、時系列で複数の機器のログを確認可能です。検索の際は、イベントIDやメッセージ、ユーザー名などの条件に基づき検索することができます。
ログの検索方法には、以下の2種類があります。
ログの基本検索
「基本検索」では、ワイルドカードやブーリアンを組み合わせたクエリによる、詳細な検索を行うことが可能です。また、フィールドを入力する際には候補が自動でリストアップされるため、効率的に検索を行うことができます。
▼基本検索の紹介動画
※動画:「再生ボタン」をクリックして再生できます
ログの詳細検索
「詳細検索」では、[イベントID]、[重要度]、[ユーザー]、[ソース]、[タイプ]、[メッセージ]、[ユーザーフィールド]の中から、条件を指定してログを検索することが可能です。また、条件はプルダウンメニューから選択するというシンプルな操作となっているため、簡単にログの検索を行うことができます。
▼詳細検索の紹介動画
※動画:「再生ボタン」をクリックして再生できます
Syslog &イベントログ分析
EventLog Analyzer は、 分散配置されたWindowsホストから収集したイベントログ、およびLinux/Unixホストやルーター/スイッチ、その他Syslogをサポートしている機器から収集したログを分析します。また、インポートされたログファイルの分析も可能です。
例えば、ネットワーク内にあるマシンで重要なセキュリティイベントが生成されたとき、EventLog Analyzerは該当のログを収集して分析を実行します。そして、そのイベントをEventLog Analyzerのダッシュボードにリアルタイム表示します。分析されたログを元に生成するログレポートからオリジナルのイベントログにドリルダウンしていくことで、問題の原因をすばやく分析できます。
アーカイブされたログやインポートされたログ分析も可能なため、各種監査の際にも使用できます。
インスタントアラート
ログ分析機能では、特定のイベントがサーバー上で生成されたときアラートを発生させるよう設定することができます。例えば、メールサーバー上で緊急のイベントが生成されたときアラートを発生させて、別途メールで通知することが可能です。