構築事例:Graylogによるセキュリティログ管理サーバ
ISPを運営しているお客様から、セキュリティログの検索やログの管理を効率よくできないかという相談がありました。外部からの問い合わせで、IPアドレスから顧客を特定したい場合や、サーバに攻撃があった場合に、素早くログを解析し対応できるようにするためです。そこで、デージーネットからはGraylogを提案しました。
- お客様が悩まれていた課題
- ログの検索に時間が掛かる
- システム管理者の負担が大きい
- ログの検索に時間が掛かり迅速な対応ができない
- +導入企業プロフィール
- ★
導入企業業種
情報・通信
ユーザー規模
30000人
利用OS
CentOS7
導入月
2017年10月
デージーネットが提案した「Graylogによるセキュリティログ管理サーバ」
大量ログでも検索・管理できるGraylogを導入
ISPを運営しているお客様から、セキュリティログの検索や管理を効率化できないかという相談がありました。例えば、外部からの問い合わせで、メールアドレスやIPアドレスから顧客を特定したいような場合があります。このような場合には、メールサーバのログでIPアドレスを調べます。さらに、DHCPサーバのログから、IPアドレスとMACアドレスを調べます。さらに、MACアドレスから顧客を特定する必要がありました。ログが大きく、しかも複数のログを調べる必要があります。そのため、この作業に何時間もかかることがあるため改善したいということでした。
また、WWWサーバやDNSサーバに攻撃があった場合には、各サーバのログから攻撃の状況を把握し、できるだけ早く問題に対応できるようにしたいという要望もありました。
Graylogにログを集約し管理
それまでは、ログは各サーバで個別に管理されていました。ログの調査に時間がかかる原因の一つは、関係しているサーバを探し、ログインをして個別に検索を掛けていたからです。そのため、ログを一つのログサーバに集約することにしました。
しかし、集約するログの量は、一日に数十ギガとかなりの量になります。そのため、Zabbixのようなデータベースに保管する仕組みのログサーバでは、無理があることが分かりました。また、大量のログの中から、検索を行うため、膨大な検索時間がかかることが予想されました。
そのため、ビックデータの解析などで使われるElasticsearchにログを保管し、ログの検索や管理はGraylogで行う方法を提案しました。
ダッシュボードで常に状態を把握
Graylogは、ログを可視化する機能に優れていて、セキュリティインシデントのトップ10を表示したり、アクセスの状況をグラフ化することができます。
また、ダッシュボードの機能では、これらの情報を常に表示するように設定することができます。これまで管理者が、定期的にチェックしていた情報を、ダッシュボードに掲載し、いつでもチェックできるようにしました。
サポート担当者がログを調査
Graylogには、複数のユーザを作ることができ、各ユーザのアクセス権を設定することができます。この機能を使って、システム管理者以外でも、必要な時にログを検索できるようにしました。そのため、顧客から電話やメールで問い合わせがあったときに、サポート担当者が自分でログを検索し、回答ができるようになりました。
導入後の結果
それまでシステム管理者が何時間も掛けて調査していたログに関する業務が、システム管理者が不在でも数秒~数分で行えるようになりました。そのため、ログの検索やログの管理に関するシステム管理者の業務は、非常に簡略化されました。その結果、顧客の問い合わせにも迅速に対応できるようになりました。
また、セキュリティインシデントが発生した場合にも、素早くログを調査し原因を絞り込めるようになりました。ログを調査し原因をしっかり把握してからベンダーと協議することで、迅速な対策を行えるようになりました。
【Webセミナー】Rocket.Chatだけじゃない!OSSビジネスチャットの最新情報
日程: | 12月19日(木)Webセミナー「BigBlueButton」を使用します。 |
内容: | Rocket.Chatの機能制限でお困りの方も必見!ライセンスフリーで利用できるOSSのビジネスチャットを紹介します。 |
ご興味のあるかたはぜひご参加ください。 |