第78章 ログ イベントの管理
ログ > 表示
SonicWALLセキュリティ装置は、潜在的なセキュリティの脅威を追跡するためのイベント ログを保持します。このログは、「ログ > 表示」ページに表示したり、利便性やアーカイブのために電子メール アドレスに自動的に送信したりできます。ログはテーブルに表示され、列を基準にして並べ替えることができます。
SonicWALLセキュリティ装置は、SonicWALLセキュリティ装置への攻撃などの重要なイベントを通知することができます。警告は、電子メール アドレスまたは電子メール ページャのいずれかに即時に送信されます。ログ エントリには、イベントの日時、およびイベントを説明する簡単なメッセージが含まれます。
ログ テーブル
ログはテーブルに表示され、列を基準にして並べ替えることができます。「ログ」テーブルには次の列があります。
・ 時間 - イベントの日時。
・ 優先順位 - ログ イベントに関連付けられた優先順位。
Syslogは8つの種別を使用してメッセージの特性を表します。以下に、種別を重大度が高い順に示します。
・ 緊急
・ 警告
・ 重大
・ エラー
・ 注意
・ 通知
・ 情報
・ デバッグ
補足 個々のログ イベントの詳細については、「ログ イベント メッセージ」セクションを参照してください。
・ 種別 - トラフィックの種類 (ネットワーク アクセス、認証されたアクセスなど)。
・ メッセージ - イベントの説明が表示されます。
・ 送信元 - 送信元ネットワークとIPアドレスが表示されます。
・ 送信先 - 送信先ネットワークとIPアドレスが表示されます。
・ 備考 - イベントに関する追加情報が表示されます。
・ ルール - イベントに影響されるネットワーク アクセス ルールが表示されます。
ログ テーブルのエントリのナビゲートおよび並べ替え
「ログ」テーブルでは、多数のログ イベントを簡単に閲覧できるようにページ付けがされています。「ログ」テーブルの右上にあるナビゲーション コントロール バーを使用して、これらのログ イベントをナビゲートできます。ナビゲーション コントロール バーには4つのボタンがあります。左端のボタンは、テーブルの最初のページを表示します。右端のボタンは、最後のページを表示します。内側の左矢印ボタンと右矢印で、それぞれ前または次のページに移動します。
テーブルのエントリを並べ替えるには、列見出しを選択します。エントリは昇順または降順で並べ替えられます。列エントリの右側にある矢印が、並べ替え状況を示します。下向きの矢印は昇順を意味します。上向きの矢印は降順を示します。
更新
ログ メッセージを更新するには、ページの右上隅近くにある「更新」ボタンを選択します。
ログの消去
ログの内容を削除するには、ページの右上隅近くにある「ログの消去」ボタンを選択します。
ログのエクスポート
ログの内容を定義済みの送信先にエクスポートするには、フィルタ テーブルの下の「ログのエクスポート」ボタンを選択します。ログの内容は2つの形式でエクスポートできます。
・ プレーン テキスト形式 - ログと警告の電子メールで使用します。
・ カンマ区切り値 (CSV) 形式 - Excelまたはその他のプレゼンテーション開発アプリケーションへのインポートに使用します。
ログの送信
ログ ファイルを電子メールで送信するようにSonicWALLセキュリティ装置を設定した場合は、ページの右上隅近くにある「ログの送信」を選択すると、現在のログ ファイルが「ログ > 自動化 > 電子メール」セクションに指定された電子メール アドレスに送信されます。
補足 SonicWALLセキュリティ装置は、SonicWALLセキュリティ装置への攻撃などの重要なイベントを通知することができます。警告は、電子メール アドレスまたは電子メール ページャのいずれかに、電子メールで即時に送信されます。警告を送信するには、「ログ > 自動化」ページに電子メール アドレスとサーバ情報を入力する必要があります。
表示するログ レコードの絞り込み
結果を絞り込んで、特定の条件に一致するイベント ログだけを表示することができます。絞り込みに使用できる条件は、「優先順位」、「種別」、「送信元 (IP、インターフェース)」、および「送信先 (IP、インターフェース)」です。
たとえば、「送信元IP」、「送信先IP」、および「プロトコル」に値を入力し、「送信元IP」および「送信先IP」の隣の「グループ」を選択すると、検索文字列は次の条件に一致する接続を探します。
(送信元IP OR送信先IP) ANDプロトコル次の例は、WANからLANへのトラフィックによって発生するログ イベントに絞り込みます。
ログ イベント メッセージ
ログ イベント メッセージの詳細については、〈http://www.sonicwall.com/us/support/230_3611.html〉 にある『SonicWALLログ イベント リファレンス ガイド』を参照してください。
精密パケット フォレンジック
SonicWALL UTM装置には、フォレンジック製品やコンテンツ管理製品と絡んで動作する、設定可能な精密パケット分類機能があります。SonicWALLはあらゆる「要注意コンテンツ」イベントを確実に検出して防止しますが、そのイベントが発生したことを記録するのみで、イベントに関する実際のデータは記録しません。
予測不能な処理が行われていたり、不可解にパケットが脱落したりしているトラフィックを要注意コンテンツと判断する診断アプリケーションも同じく重要です。
SonicWALLではEnhancedパケット キャプチャの診断ツールを使用して要注意コンテンツを検出し、データの記録にはネットワーク上のすべてのパケットを記録する、目的に特化した装置 (データ レコーダ) を使用します。データ レコーダは高度に最適化されており、1つのパケットも見落とすことなくネットワーク トラフィックを記録できます。
データ レコーダはデータの記録には長けていますが、IPS/GAV/ASPY/AFが提供する精密パケット検査などの機能はありません。効果的なデータ分析に最低限必要となる要素には次のものがあります。
・ 信頼性の高いデータ記録
・ データへの効果的なインデックス作成
・ 要注意コンテンツの分類
UTM機器 (SonicWALL装置) とデータ レコーダ (Solera Networks装置) を同時に使用してこれらの要件を満たせば、非常に優れたフォレンジック機能とパケット検査機能が実現します。
分散型イベント検出およびリプレイ
Solera装置でデータ リポジトリを検索しても良いですが、管理者がSonicWALLに「要注意コンテンツ」イベントを定義することもできます。ログの詳細レベルおよび記録頻度が設定可能です。ほぼすべてのイベントで、送信元IP、送信元ポート、送信先IP、送信先ポートおよび時間が記録されます。SonicOSでは、次のような多数のログ イベントが定義可能です。
・ デバッグ/情報提供イベント - 接続のセットアップ/切断
・ ユーザ イベント - 管理者によるアクセス、シングル サインオン アクティビティ、ユーザ ログイン、コンテンツ フィルタの詳細
・ ファイアウォール ルール/ポリシー イベント - 特定のIP:ポートの組み合わせへのアクセスおよびその組み合わせからのアクセス (時間による特定も可能)
・ ネットワーク層またはアプリケーション層での要注意コンテンツ - ポート スキャン、SYNフラッド、DPIまたはAFのシグネチャ/ポリシーのヒット
以下に、分散型イベント検出およびリプレイの過程の一例を示します。
1. 管理者がイベント トリガーを定義します。例えば、ある公式文書の送受信を検出しログに記録するように、アプリケーション ファイアウォール ポリシーを定義します。
NPCSへのアクセスについて
クライアントとNPCSは相互に交信できる必要があります。つまり、通常はクライアントとNPCSが物理的に同じ場所にあり、両者ともSonicWALL装置に接続されていることが要求されます。いずれにしても、クライアントは直接NPCSにアクセスできるか、SonicWALLを経由してNPCSにアクセスできなくてはなりません。管理者が離れた場所にいる場合は、何らかの方法で内部ネットワークにVPN接続をする必要があります。また、中央のGMSコンソールからアクセスする場合も、内部ネットワークへのVPN接続が必要です。
ログの内容
SonicOSでは現時点で、回転ログ バッファに32Kを割り当てています。ログが一杯になったときには、設定した受信者にログをメールで送信し消去するか、あるいは送信せずに消去することができます。メールで送信する場合はシンプルなログが便利ですが、GMSであればより確実でスケーラブルな方法を利用できます。
ログをプレーン テキストで送信するか、それともHTML形式で送信するかを選択できるので、管理者は記録されたイベントを簡単に調べたりリプレイしたりすることができます。
GMS
企業全体にわたってイベントを特定し調査するためには、GMSをアップデートする必要があります。機器別の要注意コンテンツ イベントは、GMSコンソールの「レポート > ログ ビューア 検索」ページのほか、「期間指定によるトップ侵入」などのさまざまなレポートにも記載されます。
