ログ収集、ログファイル収集、ログ点検を自動化して
サイバーセキュリティ対策に備える

Windows、Linuxのログ管理を効率的に行う

サイバーセキュリティ対策として、NISC（内閣サイバーセキュリティセンター）では、「構成情報の管理」、『定期的なバックアップ』、「アクセス及びセキュリティ関連のログ収集」を定期的に行うことを推奨しています。

ITインフラ運用自動化ツールのPOLESTAR Automationは、構成情報の管理やバックアップの作成はもちろんのこと、各種ログの収集やチェックを行うために簡単に設定できる機能があります。
Windowsのイベントログやユーザーアクセスログ、LinuxのOS状態メッセージやAuditログなど重要なログを対象として、ログ収集、ログファイル収集、ログ点検を自動化します。
それぞれについてご紹介します。

１．ログ収集

スクリプトジョブでログを収集し、ジョブ結果画面に表示します。
各種ログ収集用のスクリプトジョブをサンプルジョブとして作成しており、ログファイルがあるパスを設定すれば、定期的（時間単位や日、週、月単位）にログを収集します。
収集したログは図１のように画面で確認できますし、Excelでダウンロードすることも可能です。

図1　LinuxのAuditログ収集結果

２．ログファイル収集

ファイル収集ジョブで、点在する各サーバーのログファイルをコピーし、特定のフォルダに集約することができます。
図２ではファイルを格納するフォルダのパスを設定しています。図３では、収集元のファイルパスを設定しています。収集元のファイルパスは複数設定が可能です。
各ログファイルをコピーしてユニークなファイル名をつける。ファイルを収集後不要になったコピーファイルを削除する。などのファイル収集前後の処理も行えるよう、サンプルジョブを準備しています。

図2　ファイル収集ジョブ：格納先の設定

図3　ファイル収集ジョブ：収集元の設定

３．ログ点検

POLESTAR Automationには、点検ジョブというユニークな機能があります。そして、この点検ジョブを直ぐに利用いただけるよう点検パックという複数の点検ポリシーを取りまとめたものをオプションで提供しています。
点検パックは、システム点検パックと脆弱性点検パックの２種類があり、それぞれWindows用、Linux用があります。
点検ポリシーを設定すると、決められたタイミングで点検ポリシーと点検対象を照らし合わせ、結果をチェックし、「遵守」「違反」をダッシュボード上に表示します。
点検ポリシーには、主に設定の有無チェック、許容範囲内チェック、ログ出力のフィルタリングチェックがあります。

図４にイベントログエラー点検ポリシー、図５にOS状態メッセージ点検ポリシーを示します。

図4　イベントログエラー点検ポリシー

図5　OS状態メッセージ点検ポリシー

４．まとめ

このように、POLESTAR Automationでは、ログの確認、ログファイル収集、ログ点検をそれぞれ目的別のジョブで簡単に作成し日々の運用作業に活用していただくことができます。
サイバーセキュリティ対策で日々の運用管理作業が増えることが予想されますが、自動化で対応することにより、その影響を最小化することが可能になります。
以上