オープンソース

  1. サーバ構築のデージーネットTOP
  2. OSS情報
  3. OSS紹介
  4. 統合ログ管理・監視のOSS~Graylog~
  5. Graylog5.1日本語マニュアル
一覧へ

4. ログ参照ユーザの管理をするには

Graylogは、あらゆる操作をログイン認証を経て行います。

Graylogでは、以下の5つの要素を組み合わせてユーザ権限を管理します。

  • Authentication(認証プロバイダ)
  • Users(ユーザ)
  • Roles(ロールと呼ばれる権限情報)
  • Teams(チーム)
  • Sharing(共有機能)

Note

Teamsの機能は、Graylogの有償ライセンスを取得している場合にのみ利用できます。

4.1. Graylogの認証プロバイダ

Graylogで、利用できる認証プロバイダは LDAP/ActiveDirectory のみです。 Graylogの認証プロバイダ画面には、 System メニューの Authentication から移動できます。

Graylogの認証プロバイダへの移動

認証プロバイダを登録し有効化することで、連携することができます。

Graylogの認証プロバイダ

4.2. Graylogのユーザ

Graylogのユーザの管理画面には、 System メニューの User and Teams から移動できます。

Graylogのユーザ管理画面への遷移

Grayogのユーザアカウントは、ユーザ名、メールアドレス、氏名、パスワードなど、一般的に設定する項目があります。 これらに加えて、セッションのタイムアウト時間、ロール、タイムゾーンを設定することができます。

Graylogのユーザ管理画面

4.2.1. セッション

ユーザがログインすると、そのユーザが利用しているブラウザごとにセッションが作成されます。 このセッションは、セキュリティ上の理由から、一定期間使用しない場合に終了します。 この終了までの期間が、 Timeout の期間です。この期間が過ぎるとユーザは自動的にログアウトします。

4.2.2. タイムゾーン

Graylogは、内部的にUTCのタイムゾーンで時間情報を保存します。そのためGraylogを使用するユーザの地域に合わせたタイムゾーンで表示するように設定を変更してください。

4.2.3. ロール

Graylogのユーザには、少なくとも1つのロールが必要です。 デフォルトでは、Graylogユーザに基本的なアクセス許可を付与するための Reader というロールが適用されます。

4.3. Graylogのロール

Graylogのロールでは、ユーザが実行できる操作を制御することができます。

ただし、Streamやダッシュボードなど、どのエンティティで実行できるかの制御はできません。誰が何にアクセスできるかを設定するには、共有機能と組み合わせて設定する必要があります。

Note

ここでは、Graylogのロール設定について解説します。 Graylogのロール画面には、 System メニューの Roles から移動できます。

Graylogのロール画面への遷移

Graylogロールは、すでに登録されているものを使用します。 WEB画面から新しくロールを作成することはできません。

Graylogのロール画面

利用できるロールは以下の通りです。

  • Admin:管理者向けのすべての権限を付与します
  • Alerts Manager:イベント定義とイベント通知の読み取りと書き込みを許可します
  • Dashboad Creator:ダッシュボードの作成を許可します
  • Event Definition Creator:イベント定義の作成を許可します
  • Event Notification Creator:イベント通知の作成を許可します
  • Pipelines Manager:処理パイプラインの完全な制御を許可します
  • Reader:すべてのGraylogユーザーに対する基本的な権限を付与します
  • Sidecar System(Internal):Sidecarノードの登録と構成情報の取得に必要な権限を付与します
  • User Inspector:すべてのユーザーアカウントの一覧表示を許可します
  • Views Manager:すべてのビューや拡張検索の読み取りと書き込みを許可します

Graylogのロールをユーザに適用するには二つの方法があります。

  1. ロールの編集画面から適用
  2. ユーザの編集画面から適用

ここでは、testuserにダッシュボードの作成権限を付与する方法を例に解説します。

4.3.1. ロールの編集画面から適用

ロールの編集画面から適用するユーザを選択する場合は、 System メニューの Roles をクリックし、ロールの一覧画面を表示します。

ロール一覧から、該当のロールを選択します。 ここでは Dashboad Creator を選択します。

Graylogのロール画面への遷移

ロールの詳細画面にある Edit Role をクリックします。

Graylogのロール編集

ロールの編集画面に切り替わりますので、Usersの項目で対象のユーザを設定します。

Graylogのロール編集画面

Assign Usersのプルダウンメニューから適用するユーザを選択します。 ユーザ選択後、 Assign User をクリックすることで、ロールにユーザが適用されます。

これにより、testuserはダッシュボードの作成を行うことができるようになります。

Graylogのダッシュボードの作成画面

Note

ダッシュボードを作成するためには、作成に必要な情報を共有する必要があります。 共有機能については、 Graylogの共有機能 を参照してください。

4.3.2. ユーザの編集画面から適用

ユーザの編集画面から適用するロールを選択する場合は、 System メニューの Users and Teams をクリックし、ユーザの一覧画面を表示します。

ユーザ一覧から、該当のユーザを選択します。 ここでは testuser を選択します。

Graylogのユーザ一覧

ユーザの詳細画面が表示されます。 Edit User をクリックします。

Graylogのユーザ詳細

ユーザの編集画面に切り替わりますので、Rolesの項目で対象のロールを設定します。

Graylogのユーザ編集

Assign Rolesのプルダウンメニューから適用するロールを選択します。 ユーザ選択後、 Assign Role をクリックすることで、ユーザがロール適用されます。

Graylogのダッシュボードの作成画面

Note

ダッシュボードを作成するためには、作成に必要な情報を共有する必要があります。 共有機能については、 Graylogの共有機能 を参照してください。

4.4. Graylogの共有機能

ユーザに権限を付与するには、 Graylogのロール の設定を行いますが、ロールだけでは、Streamやダッシュボードなど、どのエンティティで実行できるかの制御はできません。

そのため、 ロールの編集画面から適用 のようにダッシュボードの作成権限をユーザに付与しただけでは、Streamへのアクセス権がないため、以下のように作成のための情報を得ることができません。

Graylogのダッシュボードの作成画面エラー

そこで必要となるのが共有機能です。 共有機能を使用することで、誰が何にアクセスできるかを設定することができます。

Note

共有機能を利用することで、エンティティごとにユーザやチームに付与するアクセス権を管理することができます。

ここでは、 httpd_access_log_stream を共有する方法を例に解説します。

4.4.1. Streamの共有

Streamを共有するには、 Streams メニューをクリックします。 共有したいStreamの右側にある Share をクリックします。

Graylogのストリーム一覧画面

共有設定画面が表示されます。

Graylogの共有設定

設定する項目は以下の通りです。

  • Add collaborator : 共有するユーザまたはチームを選択します。また、以下のアクセスレベルのいずれかを選択します。
    • Viewer : 読み込み専用
    • Manager : 読み書き編集(削除)が可能
    • Owner : Managerの権限に加え、エンティティの追加共有が可能

以下は、testuserをViewerとして追加する例です。

Graylogの共有設定

共有するユーザまたはチームを追加後、 Add Collaborator をクリックし、 Update sharing で反映します。

これにより、testuserは httpd_access_log_stream の情報を使ってダッシュボードの作成ができるようになります。

ダッシュボードの作成については 複数のグラフを管理するには(Dashboardの設定) を参照してください。

一覧へ