Syslogサーバーとは?Windowsにも簡単に構築する方法

Windowsイベントログ・Syslog対応 ログ管理ソフト

Syslogサーバーとは?

UNIX, Linux, Windows, ネットワーク機器など、各種システムに記録されている様々なログをリアルタイムでログサーバーに転送することにより、ログの集中管理や長期保管が可能になるほか、それぞれのシステムにおけるログ保管のためのストレージ容量の節約などのメリットを得ることができます。

昨今では主にサイバーセキュリティやコーポレートガバナンスの観点から、システムの監査証跡としてログの重要性が増しており、ログを効果的に長期間安全に保管しておくことは多くの組織にとって重要な課題となっています。

Syslogを使用することにより、Syslogに対応したネットワーク機器やUNIX系のサーバー等のログを効果的に集中管理することが可能となります。

Syslogサーバーを構築する方法

組織でWindowsのシステムがサーバー用途でもクライアント用途でも数多く存在しているいま、WindowsでSyslog管理をしたいという声もよく耳にします。

Windowsには標準でSyslogに対応したアプリケーションがインストールされていないため、Windowsで動作するSyslogサーバーを導入する必要があります。様々な製品が存在しますが、LinuxなどのUNIX系OSであればSyslogdなど無償のアプリケーションで構築できてしまうのに対し、Windows向けのSyslogサーバー製品は高機能な有償製品が多く、また、無償で使えるものはその機能や取得できるログの数に制限があるケースがほとんどです。

また、Syslogサーバーは24時間365日、休まずに安定稼働することが求められます。Windowsの場合はログオフすることでプログラムが停止してしまうような簡易ツールではビジネス要求に対応できないため、最低でもWindowsサービスとして動作することが必須です。プログラムの長期安定動作のためには、信頼性の高いソフトウェアを選択することも重要となるため、個人が作成したフリーソフトのSyslogサーバーでは要件を満たせないケースもあるでしょう。

Syslogサーバーは、Syslogエージェントが送ってきたSyslogメッセージを受信して集中保管するサービスのことを示しますが、保管したログメッセージの解析や検索などの付加機能が存在しなければ、ただログを一箇所に集めているだけで、ログの活用のためには別のツールが必要となる場合もあります。

そのため、Syslogを受信する本来のSyslogサーバーの機能をもつソフトウェアの導入のほか、収集したログをもとに統計情報をグラフ化する機能や、エラーやセキュリティ上の懸念が発生した際にただちに管理者へ通知する機能、さまざまなログ情報をまとめてレポートに出力する機能など、Syslogの総合的な管理に求められる機能は数多く、それらをすべて生ログを直接エディタ等で開いて確認することは現実的ではありません。

そこで、ログ管理に必要な機能をすべて網羅した統合ログ管理ツールが求められています。

SyslogサーバーをWindows上にも簡単に構築できるツール

ManageEngineが提供する統合ログ管理ツール「EventLog Analyzer」は今すぐ簡単にSyslogサーバーとしても活用できるパッケージソフトウェアです。Linux版だけでなくWinodows版も用意されており、インストール後最短10分でログ収集を開始します。

また、Syslogサーバーを運用する多くの方が、ため込んだログを活用できていないことに課題を感じています。EventLog Analyzerを導入することで、収集、長期保管だけでなく、可視化、監視、通知など、さまざまな機能でログを活用できるようになります。

Syslogサーバー関連機能

Syslogサーバーを監視し、レポートとアラートを生成

Windowsのイベントログだけでなく、EventLog Analyzerは、ルーター、スイッチ、LinuxとUnixのデバイス、およびその他のsyslogサポートデバイスのようなネットワークデバイスからシステムログ(Syslog)を収集できます。また、レポートを生成し、分析することもできます。Syslogは、フォレンジックおよび法定のコンプライアンス要件のニーズを満たすために、Windowsのイベントログと同じようにアーカイブ化されます。

Syslogをリアルタイムで収集、分析、可視化

EventLog Analyzerには、備え付けのSyslogサーバーがあります。syslogレポート (UDP) を確認することで、syslogイベントをリアルタイムで収集します。また、syslogを確認して、1つ以上のポートをコンフィグ することもできます。これは、デバイスの一部が他のポートを使用してsyslogを送信している場合に役立ちます。他のログ管理アプリケーションでは、個別のsyslogサーバーまたはフォワーダーが必要になる場合があります。

EventLog Analyzerは、Syslogsを分析し、ネットワーク管理者がネットワークアクティビティを監視し、疑わしい行動を検知 (異常検知) するために使用するためのレポートを生成し、監査役にコンプライアンスレポート(SOX、HIPAA、PCIなど) を提供します

また、EventLog Analyzerは、様々なプラットフォームとデバイスからsyslogをアーカイブ化することもできます。そのため、幅広い用途で活用でき、様々なベンダーのホストとデバイスを有する企業に最適です。

Syslogデバイスアクティビティの監査

スイッチからルーターまで、ほとんどすべてのネットワークデバイスはsyslogを生成します。ネットワークには数多くのsyslogデバイスが存在するため、追跡、監視、分析を含む監査には多大な時間と労力がかかります。これらのタスクにどれほどの労力がかかるとしても、組織は、これらのデバイスの体系的な検証を省略することはできません。監査は、ネットワークセキュリティの抜け穴を特定し、セキュリティポリシーを強化し、パフォーマンスを向上させ、システムのダウンタイムを減少させるのに役立ちます。

EventLog Analyzerは、ネットワーク上のすべてのデバイスからsyslogデータを自動で収集し、分析して、個別に監査レポートを生成することでネットワークデバイスを監査する労力を減らします。

EventLog Analyzerの監査レポートは、のものやカスタマイズ可能なものもあり、また自動配信するようにスケジュール設定したり、複数の形式で利用したりすることが可能です。SMSまたはメールを介してリアルタイムで通知するアラートを作成することで、ネットワークで発生した重大なイベントを常に把握することができます。

EventLog Analyzerは、監査レポートとリアルタイムアラートだけでなく、すべてのsyslogデータを安全にアーカイブ化して、さらに活用することもできます。セキュリティインシデントが発生したときには、ログ検索機能を使用して、特定のインシデントに絞り込んで、攻撃ベクトルをバックトラッキングします。このようなフォレンジック調査は、脅威を緩和し、さらなる問題の発生を未然に防ぐのに役立ちます。EventLog Analyzerにより、すべてのネットワークアクティビティをリアルタイムで把握して、ネットワークデバイスのコントロールを維持することができます。EventLog Analyzerによるネットワークデバイスの監査には、他にも次のような利点があります:

  • 集約型のカスタマイズ可能なダッシュボード
  • 設定済みのカスタマイズ可能な監査およびコンプライアンスレポート
  • アカウント管理、特権ユーザーアカウント、ネットワークファイルシステム、ユーザーのログオンおよびログオフアクティビティに関連付けられた重大なイベントを追跡する機能
  • 安全で暗号化され、柔軟に活用できるログのアーカイブ化
  • 重大なイベントのリアルタイムアラートをメールまたはSMSで送信
  • ログフォレンジックを実行するための高度なログ検索機能

EventLog Analyzerは、Unix/Linux端末、VMware、IBM AS/400/iSeries端末、macOSのコンピューターを含むすべてのネットワークデバイスからのsyslogデータ収集をサポートしています。EventLog Analyzerは、次のような、これらのすべてのデバイス用の130種類以上のレポートを提供します:

ログオンおよびログオフレポート:

ユーザーのログオンの試みをすべて監視し、ログオンの成功と失敗のトレンドを特定します。どのユーザーがログオンしているか、SSH、SU、FTPのような方法を含むログオン方法の中から、どのようなログオン方法が使用されているか、リモートデバイス経由のログオンを把握します。

ユーザーアカウントの管理レポート:

新しい/削除された/無効化された/改名されたユーザー、アカウント、パスワードの修正、ユーザーの権限レベルの変更などに関するすべてのユーザーベースの情報を検証します。重大なオブジェクトを常に把握して、セキュリティの脅威をすばやく検知することができます。

Unixのメールサーバーのレポート:

メールの受信、送信、拒否を送信者とリモートデバイスごとに分けて、Unixのメールサーバーに関係するすべての情報を表示します。メールサーバー、メールエラー、配信失敗、不正なメールアドレス、ストレージ容量ごとの上位の受信者と送信者を監査します。メールサーバーの動作と、サーバーで発生するすべてのトランザクションを常に追跡します。

UnixのFTPサーバーのレポート:

ファイル転送プロトコル (FTP) サーバーのすべてを、ファイルのアップロードおよびダウンロード、ログイン、接続、アイドルセッション、転送なしのタイムアウト、ユーザーおよびリモートデバイスごとのFTP操作に関するFTPアクティビティの概要と情報付きで確認することができます。

Unix脅威レポート:

ネットワークに対するすべての攻撃を把握。これらの脅威レポートを深く検討することで、積極的な対策を実施することができます。これらのレポートを使用して、エラーの逆引き、不良デバイスコンフィグのエラー、不良ISPエラー、およびサービス拒否攻撃を特定することができます。

その他のUnixレポート:

Unix端末の様々な側面に関する設定済みのレポートを生成することもできます。最も頻繁に使用されるレポートの例:

  • ユーザーごとのNFSマウント成功、拒否
  • SUDOコマンドの成功と失敗
  • 取り外し可能USBデバイスの接続
  • Cronジョブの変更
  • サービスの停止
  • セッションの接続と切断
  • 保護されていないプロトコルバージョン
  • デバイス名とアドレスの不一致エラー

VMwareサーバーのレポート:

VMのゲストログイン、VMの作成と削除、VMにおける重大な変化、VMイベントの概要に関する情報を取得します。

重大度、重大、システムレポート:

  • 重大度レポート:重大度 (例:緊急、アラート、重大、エラー、警告、通知、情報、デバッグ) に応じてイベントを追跡します
  • 重大レポート:トレンドのアクティビティ全体に関する情報付きで、イベント、デバイス、リモートデバイスに基づく重大アクティビティをすべて検証します
  • システムレポート:syslogサービス、ディスク容量、yumアップデート、システムシャットダウン、ASPストレージ容量、ハードウェアエラー、システム時間アップデートに関する情報を表示します