Syslog転送とは?
ネットワークデバイスは、さまざまなイベントのログを生成してローカルに記録します。管理者は、そのログを確認して分析できます。とはいえ、ネットワークで大量のデバイスがホストされている場合、各デバイスからイベントログを収集する作業は、時間がかかり、現実的な対応ではありません。
Syslog(System Logging Protocol)は標準プロトコルであり、システムログやイベントメッセージを中央のSyslogサーバーに送信することによって、上記の問題を解決します。このプロトコルは、ルーター、スイッチ、ファイアウォールなど、多くのネットワークデバイスで有効になっています。Syslogは、UnixおよびLinuxベースのシステムや、ApacheなどのWebサーバーでも利用できます。
EventLog Analyzerは、Syslogサーバーとしての機能を果たし、ネットワーク上のデバイスからイベントメッセージを収集します。また、収集したログを、サードパーティサーバーやSIEM(Security Information and Event Management)アプリケーションに転送する機能も持っています。
EventLog AnalyzerのSyslog転送機能の仕組み
EventLog AnalyzerのSyslog転送機能は、Syslogを受け取り、適切なシステムにデータを送信するように設計されています。EventLog Analyzerは、指定されたUDP(User Datagram Protocol)ポート(デフォルト設定ではポートは513)を待ち受けます。ログを受信すると、EventLog AnalyzerのUDP転送機能が、指定された宛先サーバーに情報を転送します。Syslogデバイスのログは、生ログとして転送されますが、他のイベントソースからのログは、RFC3164またはRFC5424に変換され、指定された宛先ホストに転送されます。
EventLog Analyzerの最も大きな強みは、Syslogサーバーとしての機能と転送機能の両方を兼ね備えている点です。
Syslog転送のメリット
Syslog転送により、重要なイベントのログを確実に残し、元のサーバーとは異なる場所で保管できます。
システム侵入後に攻撃者が取る最初の行動は、ログに記録された侵入の証跡を隠滅することですが、イベントのログが転送されていれば、攻撃者はどうしようもありません。収集されたログを別のサーバーに複製しておけば、元のデータが失われた場合のバックアップとして使用できます。また、複製されたデータを用いて、元のデータが改ざんされたかどうかの照合もできます。
