オープンソース

  1. サーバ構築のデージーネットTOP
  2. OSS情報
  3. OSS紹介
  4. Graylog~ログ管理の課題を解決するOSS~
  5. Graylog Content Packs「windows_authentication」
一覧へ

3. ダッシュボード・アラート通知メールの補足説明

ここでは、Graylog Content Packs「windows_authentication」をインストールしたことで利用可能になるダッシュボードの各コンテンツについての説明と、アラート検知をした際に実際に届くアラート通知メールの例について記載します。

3.1. ダッシュボードの各コンテンツについて

3.1.1. Message Count

時間帯ごとに、受信したイベントログの件数が棒グラフ形式で表示されます。(Graylogで標準搭載されているものです)
_images/MessageCount.png

3.1.2. Recent authentication failure events

直近で発生したイベントログが一覧形式で表示されます。デフォルトの設定では、新しい順に10件表示されるようになっています。表示される項目は次の通りです。
  • timestamp:発生した日時
  • source:イベントの概要
  • EventID:イベントID
  • TargetUserName:発生したユーザ
  • IpAddress:発生したFromIPアドレス
_images/RecentAuthenticationFailureEvents.png

なお、表示されている行をクリックすることで、該当イベントログの詳細を確認することができます。

3.1.3. Top Users by Number of Failures

イベントを発生させたユーザと件数が表形式で表示されます。デフォルトの設定では、多い順に10件表示されるようになっています。表示される項目は次の通りです。
  • TargetUserName:発生させたユーザ
  • Count:件数
_images/TopUsersByNumberOfFailures.png

3.1.4. Top IP Addresses by Number of Failures

イベントを発生させた接続元IPアドレスと件数が表形式で表示されます。デフォルトの設定では、多い順に10件表示されるようになっています。表示される項目は次の通りです。
  • IpAddress:発生させた接続元IPアドレス
  • Count:件数
_images/TopIPAddressesByNumberOfFailures.png

3.1.5. Top Hosts by Number of Failures

イベントが発生したホストと件数が表形式で表示されます。デフォルトの設定では、多い順に10件表示されるようになっています。表示される項目は次の通りです。
  • source:発生したホスト
  • Count:件数
_images/TopHostsByNumberOfFailures.png

3.1.6. Trend in the Number of Authentication Failures

イベントが発生したホストと件数が棒グラフ形式で表示されます。デフォルトの設定では、1分ごとの発生件数の推移を表示するようになっています。
_images/TrendInTheNumberOfAuthenticationFailures.png

3.1.7. Breakdown of authentication failure types

発生したイベントのイベントID毎の割合が円グラフで表示されます。
_images/BreakdownOfAuthenticationFailureTypes.png

3.1.8. All Messages

受信したイベントログが一覧形式で表示されます。(Graylogで標準搭載されているものです)
_images/AllMessages.png

なお、表示されている行をクリックすることで、該当イベントログの詳細を確認することができます。

3.2. 実際に届くアラート通知メールについて

3.2.1. Windows Auth Failures - Volume Threshold

指定時間内に複数回イベントが発生した際に届くメールです。デフォルトの設定では、5分間に10件イベントが発生した際に届くようになっています。メール本文に表示される内容は次の通りです。
  • Overview:アラートの概要や、検知した日時
  • Summary:イベントの発生件数
  • Backlog:検知対象のログの内容(最大5件分)
_images/Alertmail_VolumeThreshold.png

3.2.2. Windows Auth Failures - Repeated Failures From Same IP

指定時間内に同一の接続元IPにて複数回イベントが発生した際に届くメールです。デフォルトの設定では、10分間に5件イベントが発生した際に届くようになっています。メール本文に表示される内容は次の通りです。
  • Overview:アラートの概要や、検知した日時
  • Summary:検知した接続元IPアドレスと、イベントの発生件数
  • Backlog:検知対象のログの内容(最大5件分)
_images/Alertmail_RepeatedFailuresFromSameIP.png

3.2.3. Windows Auth Failures - Privileged Account Failure

管理者ユーザにてイベントが発生した際に届くメールです。デフォルトの設定では、5分間に1件イベントが発生した際に届くようになっています。メール本文に表示される内容は次の通りです。
  • Overview:アラートの概要や、検知した日時
  • Summary:イベントの発生件数
  • Backlog:検知対象のログの内容(最大5件分)
_images/Alertmail_PrivilegedAccountFailure.png
一覧へ