×
パブリッククラウドのログ管理
企業や組織で、パブリッククラウドのサービスを利用した業務処理が多くなりました。自社所有のサーバを社内やデータセンター、プライベートクラウドで運用していた企業でも、パブリッククラウドのクラウドアプリを利用した方が効率的な場合も多く、自社でシステムを維持するよりもコストメリットも感じられ、対外的なやり取りもさらに便利になるケースの実例が増えてきたからのようです。
それでも、クラウドでのシステムの動きがブラックボックスのようによくわからない状態では、セキュリティ上の不安が払拭できません。そのためのログは、各クラウドサービス側でも収集されていますが、サービス毎に違うログの形式なので管理が複雑になってしまうのが実情です。
そうした中、Logstorageのような統合ログ管理システムを利用することで、パブリックなクラウドの環境でのログの管理も、今までのオンプレミスの環境と同様に一元的に集中管理できるので、分析や運用が圧倒的に楽になります。
① システム構築時のログ
アマゾン ウェブ サービス (AWS) に代表されるようなパブリッククラウドのサービスを利用する場合、システムの構築は、各サービスが提供するWebブラウザ上で表示される設定画面などのGUIや、場合によってはAPIを利用して接続するなどの操作が行われます。
パブリッククラウドの環境では、自前で準備をしなくても事前に用意されている機器が多いため、かえってどのような設定でシステム構築されたのかが、分かりづらくなってしまう場合もあります。
そのため万が一、障害等でシステムをリセットする場合などで困らないように、システムの初期設定の段階から、設定内容の変更時の操作まで、作業内容をログとして残しておくことが大切です。
パブリッククラウドのサービスを使用開始する時から、システム構築時のログを残しておくことで、障害対応や、サイバー攻撃などのセキュリティ対応時に環境の再現を容易に行なえるので、緊急なリカバリーが必要な場合などに安心です。
② クラウドの管理対象ログ
クラウド環境でも、様々なログが収集されています。
管理すべきログを洗い出し、その収集方法がオンプレミスの場合とどのように違うのがを確認する必要があります。
まず、SaaS、PaaS、IaaSといったクラウドの形態にかかわらず共通して管理対象として必要なのが、クラウドサービス利用者の操作ログです。
そして、PaaS、IaaSでは特にそのシステムのサービスやリソースについて、クラウド基盤上で稼働しているシステムのログを管理することが重要になります。
こうしたログは、使用するクラウドサービスやシステムが増えれば増えるほど、監査や管理対象となるログも増え続けます。
③ クラウドのログの問題点
パブリッククラウドを利用する上で、クラウドサービスによって収集されたログを取り扱う上で様々な問題が懸念されます。
◆クラウドのログ管理する際の問題点 ・ログの種類が多すぎて、取得目的が分かりづらく整理がつかない
・クラウドのシステム構成やサービスの仕様の理解がないとログの意味を理解できない
・サービス毎にログ出力のタイミングや、表示や集計の形式に一貫性がない
・見たいログを特定するための操作を覚えるのがたいへん
・クラウド側の都合で、ログ管理ソフトのバージョンアップや形式変更がある
・ログの保存期間や、上書きのローテーションがサービスによってバラバラ …等
・クラウドのシステム構成やサービスの仕様の理解がないとログの意味を理解できない
・サービス毎にログ出力のタイミングや、表示や集計の形式に一貫性がない
・見たいログを特定するための操作を覚えるのがたいへん
・クラウド側の都合で、ログ管理ソフトのバージョンアップや形式変更がある
・ログの保存期間や、上書きのローテーションがサービスによってバラバラ …等
管理すべきログが多くなると、クラウドサービスで標準に使用できるログの管理画面からだけでは、フォーマットが統一されていなかったり、ログの意味がわからなかったりと、運用する側の負担も大きくなる一方です。
管理者への負荷はそのままコスト増大にもつながり、サービスレベル低下の恐れも出てきます。
④ ログのフォーマット
企業や組織によっては、業務や使用したいアプリケーションのサービスが使えないなどの理由で、複数のクラウドサービスを利用することが多くなりました。
それを管理する情報システム部門は、使用するサービスによって、ログのフォーマットが違うため、これがログを管理する上で大きな負担となってしまいます。
⑤ ログからコスト対策
クラウドサービスの利用状況をログから把握することで、サービスにかかる費用を抑えるような活用もできます。
たとえば、Amazon Elastic Compute Cloud (Amazon EC2) などは、クラウド内で、使用するリソースのサイズ変更が行えます。
使用状況に応じて適正な変更を行うことができれば、コストも抑制できます。
たとえば、ある業務において、Amazon EC2のログからこのようなグラフを得ることができた場合、
・夜間帯などで一定期間EC2インスタンスを停止させて良い場合は、利用時間のみEC2インスタンスを起動、時間外になったら自動的に停止させる。
・マシンリソースに余裕があるので、より安価なインスタンスタイプに変更する。
といった判断を導くことができます。
これにより、無駄なコストの削減につながります。
こうしたログを定期的に確認し分析することが、とても意味があることがわかります。
⑥ Logstorage クラウド対応製品
例えば、Logstorageで統合ログ管理を行う場合、すでに各種メジャーなパブリッククラウドの連携パックが用意されています。
□ AWS 対応パック
⑦ Logstorage 構成例
Logstorageは、社内環境であるオンプレミスでも、クラウドの環境でも、あるいはその両方のハイブリットのいずれの環境においても構築が可能です。
たとえば、オンプレミスとAWS上のログを各環境のLogstorageのサーバであるLogGateで収集して保管します。
AWSが出力した各ログは、AWSのクラウド側に構築したLogGateに保管し、参照したい必要な情報だけを LogGateから取得することで、AWS転送コストを削減することができます。
また、LogGateで収集したログをハイスペックなブロックストレージのAmazon Elastic Block Store (Amazon EBS)から、比較的安価なAmazon Simple Storage Service(Amazon S3)のストレージへ、Logstorageのアーカイブ機能を使って移動させることよってストレージのログの保管コストを抑えることができます。
請求金額の部門別レポート
AWSなどのクラウドサービスのように、実際のサービスでコンピュータリソースを使用した時間や、ストレージなどの使用量に応じた従量課金のサービスが多く普及しています。
従量課金の場合、部門や業務によって、コンピュータの使用量が違うため、均等割りで社内付け替えが行われると不公平になってしまいます。つまり、先月は他部門が使用したにもかかわらず、その業務に関係が無くても費用負担が増してしまうからです。
そうなると、誰が何のためにクラウドサービスをどれだけ利用したかを把握し、そのリソースの使用量に応じて、請求額を按分し、社内付け替えができる仕組みが求められます。
按分した請求額には、当然その使用目的などにより政策的に調整が入る場合がありますが、何を元に判断したかを厳格にするためにも、社内で割り振る請求額は、使用履歴などのログを元に金額を算出すべきです。
AWSの場合であれば、AWS Billing and Cost Managementのレポートでこうした情報を得ることができます。
① AWS Billing 連携機能 構成
AWSの請求情報とコスト管理を行うサービスであるAWS BillingのログをLogstorageと連携して活用することで、AWSの請求を分析し確認できます。
□ AWS Billingからのデータ収集イメージ
② 部門担当別費用按分の例
たとえば、AWSの請求金額を、部門や管理者、システム別に使用量に応じで一覧表にすることができます。 AWSのタグを、Logstorageのログフォーマット定義で使用するタグに紐づけることで、分かり易いレポートの作成が可能です。
□ 部署・管理者・システム名別費用のイメージ
③ AWSタグの設定
AWSでは、ユーザー定義のキーと値で構成されるラベルの役割を果たすタグをリソースにメタデータとして割り当てることができます。
タグは、リソースの管理、識別、整理、検索、フィルタリングに役立ち、リソースを目的、所有者、環境その他の基準別に分類することができます。
□ Amason EC2作成時のタグの入力イメージ
□ Amason EC2、EBSでのタグの反映イメージ
④ タグを利用したレポート
AWSのBillingレポートに出力するタグを有効にすることでレポートを見やすい形で分類や集計することが可能になります。
AWSのタグは、Logstorageのタグにも紐づきます。
□ AWS Billingのレポートへのタグの適用イメージ
⑤ レポートサンプル
AWS Billingのデータをログとして、Logstorageに取り込むことにより、AWSサービスの利用状況の把握がグラフ等で分かり易くレポートできます。
すでに利用していないサービスで料金が発生していないかの確認や、通常より比率が多いサービスの把握などができます。
□ AWSサービス別グラフ
□ 月別のAWSのコストグラフ
Configスナップショットレポート
アマゾン ウェブ サービス(AWS)の構成変更の通知、構成履歴、AWSリソースのインベントリー情報を提供するサービスサービスであるAWS Configから、Logstorageが構成情報などをログとして取り込み、その設定のスナップショットをレポート出力することができます。
AWS Configのログを分析することにより、予期しないリソース変更があった場合の確認や、AWS上に展開している各リソースの相関関係などの把握が可能になります。
また、AWS Configの最新スナップショットを取得し、Amazon Elastic Compute Cloud (Amazon EC2)の仮想ネットワークVirtual Private Cloud (VPC) 内のリソース構成図をレポート化することが可能なため、構成情報の変化などが適宜分かり易く記録できます。
① AWS Configスナップショットレポート
AWS Configのログより得た情報に従い、VPC内のリソース構成情報のスナップショットがレポート出力できるため、AWSのVPC内のリソース配置状況をログから視覚化することができます。
どのマシンがどのVPC内にあって、どのネットワークに繋がっているかなど、構成図によってビジュアルに確認できるためたいへん便利です。
□ AWS Config snapshot report
② AWS Configでできること
AWS Configは、AWSリソースの設定を評価、監査、審査できるサービスで、AWSリソースの設定を継続的にモニタリングし、記録しているので、それにより変更管理、トラブルシューティング、監査やセキュリティ・インシデントの分析等に活用できます。
◆ 記録されるログの例
・EC2インスタンスタイプの変更
・IAMロールの変更
・ネットワークの構成変更
・IAMロールの変更
・ネットワークの構成変更
□ AWS Configのユースケース
③ AWS Configのイベント通知でログ取得
AWS Configのログ収集方法の一つとして、AWS Configのイベント通知を利用するやり方があります。
AWS Configに対して、リソース変更発生時にその変更内容をあらかじめ Amazon SNSトピックにストリーミングするように 設定しておきます。
Logstorageは、メッセージキューイングサービスであるAmazon Simple Queue Service (SQS)を介して、AWS Config用CollectorによってSQSメッセージを取得し、AWS Configによって通知された情報をログとして取り込みます。
□ AWS Configのイベント通知を利用する場合のイメージ
④ Amazon S3のイベント通知でログ取得
もう一つのAWS Configのログ収集方法のとして、オブジェクトストレージサービスであるAmazon Simple Storage Service (Amazon S3)のイベント通知を利用するやり方があります。
AWS Configが、記録データをAmason S3のBucketに、.gz形式のファイルとしてデータ保存すると、Logstorageは、Amazon SQSを介して、SQSメッツセージを取得してファイルが保存されたことと知り、そのデータファイルをAWS Config用Collectorでログとして取り込みます。
□ Amazon S3のイベント通知を利用する場合のイメージ
⑤ レポートに出力可能なオブジェクト
AWS Configスナップショットレポートの種類としては、PDF、HTML、CSVの形式で出力可能ですが、そのレポートに出力可能なオブジェクトとしては、次のようなオブジェクトがあります。
◆ AWS Configスナップショットレポートに出力可能なオブジェクト
・EC2 Instance
・EC2 Auto Scaling
・EC2 Dedicated host
・EBS
・EBS Snapshot
・VPC
・VPC Subnet
・VPC Route Table
・VPC Internet Gateway
・VPC Customer Gateway
・VPC Virtual Private Gateway
・VPC VPN Connection
・Network Interface
・Elastic IP
・Security Group
・Network ACL
・RDS DB Instance
・RDS DB Cluster
・RDS DB Snapshot
・Redshift
・Redshift Snapshot
・Tag
・EC2 Auto Scaling
・EC2 Dedicated host
・EBS
・EBS Snapshot
・VPC
・VPC Subnet
・VPC Route Table
・VPC Internet Gateway
・VPC Customer Gateway
・VPC Virtual Private Gateway
・VPC VPN Connection
・Network Interface
・Elastic IP
・Security Group
・Network ACL
・RDS DB Instance
・RDS DB Cluster
・RDS DB Snapshot
・Redshift
・Redshift Snapshot
・Tag
クラウドの操作ログ分析
一般的なパブリッククラウドで行う操作は、それぞれのクラウドサービス毎にログが収集されています。
それを見やすく一元的に集中管理するためには、Logstorageのような統合ログ管理システムに連携することがとても有効です。
下記に、各クラウドサービスで得られる操作ログの例を紹介します。
① Azure Activity Log との連携
マイクロソフト社が提供するクラウドプラットフォームのMicrosoft Azure(アジュール)では、Azureアカウントの操作履歴を記録・出力するサービスのAzure Activity
Logから、ログを参照できます。
Azureのユーザが、いつ、何をどのように操作したか等を確認する場合に有効ですが、その監査ログあ90日間のみの制限があり、それ以前のログが参照できません。
そのため、Logstorageでは、Azure Activity
LogからJSON形式のログをConverterを介して変換して独自のログのデータベースへ取り込み、保管期限を延長して90日以前のログの集計や分先が可能になります。
□ 仮想マシン作成履歴
□ ログオン失敗履歴
② AWS CloudTrail との連携
アマゾン ウェブ サービス(AWS)アカウントの APIコールを記録するサービスであるAWS CloudTrailの情報から、特定期間に操作したユーザを特定したり、どのAWSユーザが、いつ、何をどのように操作したかや、調査したい操作がどのIPアドレスから行われたものなのかなどを調べることができます。
・EC2の作成/停止/削除
・IAMポリシーの付与/削除
・Management Console のログイン
・NetworkACLの変更 / ポートの解放
・Security Groupの変更 / ポートの解放
・意図しない接続元からのアクセス
・特権ユーザでのアクセス
・許可されていない権限でのアクセス
・CloudTrailの停止/削除/設定変更
・その他オブジェクトの作成・削除
・IAMポリシーの付与/削除
・Management Console のログイン
・NetworkACLの変更 / ポートの解放
・Security Groupの変更 / ポートの解放
・意図しない接続元からのアクセス
・特権ユーザでのアクセス
・許可されていない権限でのアクセス
・CloudTrailの停止/削除/設定変更
・その他オブジェクトの作成・削除
□ AWS CloudTrail レポート例
③ Google Cloud Platform(GCP) との連携
Google社が提供しているクラウドコンピューティングサービスのGoogle Cloud Platform(GCP)の監査ログからも、いつ、誰が、どこから、何をどのように操作したかなど、特定の期間について調べたりできます。
GCP上に保管される期間が30日と短いため、Logstorageのようなログ管理システムに取り込み、かなり以前の情報であっても確認できるようにすると安心です。
□ GCP ユーザ操作履歴の例
□ GCP VMインスタンス操作履歴の例
クラウドストレージのアクセス管理
パブリッククラウドのサービス提供会社はもちろん、LogstorageにはメジャーなクラウドストレージサービスであるBox(ボックス)についても連携機能があります。
クラウド上にあるオンラインストレージは、セキュリティ対策のためにも、使用者を限定して、不正なアクセスがないか常に監視が必要です。
厳密には区別しきれるものではありませんが、使用者側からの視点の操作ログに対して、クラウド上にあるファイルやデータベースなど、リソース側へのアクセスの視点で見るアクセスログがレポートできる仕組みがあることも必須条件であり、日々運用管理を効率的にするためには統合ログ管理システムの構築が有効となります。
① Box との連携
Boxは、ファイル共有を中心としたオンラインストレージのクラウドサービスですが、Logstarageとの連携により、Box上のアクティビティログを可視化し分析する基盤を提供し、 監査したいアクティビティを定期的にレポーティングすることにより、ログのモニタリングにかかる運用負荷を軽減することができます。
Logstorageで提供されるレポートテンプレートを用いて、アクセス頻度の高いフォルダやファイルの一覧、オープンリンクやコラボレートの頻度が高いユーザーの一覧を確認できます。
レポート出力を定期的にスケジュールすることにより、不正と思われる行為を早期に発見し、通知し対処することが可能になります。
□ Boxのアクセス履歴の一覧の例
□ Boxのログイン成功集計グラフの例
□ Boxフォルダ・ファイル操作 日別集計レポートの例
② AWSのアクセスログ管理
アマゾン ウェブ サービス(AWS)の 様々なコンポーネントからの情報でアクセスログが取得できます。
Amazon S3のストレージへのアクセスログはもちろん、RDSのリレーショナルデータベースや、変動するアプリケーショントラフィックの負荷をバランシング制御するElastic Load Balancing(ELB)、そしてCDN(コンテンツデリバリネットワーク)サービスであるAmazon CloudFrontのアクセスログを取得できます。
AWS CloudTrailからは、AWSサービスに対するアクセスログ、Amazon CloudWatch Logsからは、Amazon EC2インスタンス内のアクセスログも取得できます。
◆ AWSのアクセスログの取得元(一部)
・Amazon S3
・Elastic Load Balancing(ELB)
・Management Console のログイン
・Amazon CloudFront
・Amazon RDS
・Amazon CloudWatch Logs
・AWS CloudTrail
・Elastic Load Balancing(ELB)
・Management Console のログイン
・Amazon CloudFront
・Amazon RDS
・Amazon CloudWatch Logs
・AWS CloudTrail
□ Amazon RDS(Oracle) 検索イメージ
③ Azure Storage のアクセスログ
Azure Storageのアクセスログから、例えば管理対象外のIPアドレスからアクセスが発生している疑いを調査するような場合、ファイルアクセスがある時間帯やファイルアクセスを特定して分析することができます。
□ Azure Storageのアクセス分析の例
④ Google Cloud Platform(GCP) の監査ログ
Google Cloud Platform(GCP)のデータアクセス監査ログは、デフォルトは無効ですが、データを保持するGCP サービスについて、データの読み込みや書き込みがされた際に記録を残すことができます。
□ GCP ストレージ閲覧履歴の例
グループウェアサービスのログ管理
クラウドの利用の目的に、Offie365などのメジャーなグループウェアが業務効率改善のために使用できるというケースが増えてきました。
グループウェアは、テレワークの時代、多くの人がいろいろな場所から使用するため、セキュリティリスクを軽減するためにも、操作ログやシステムログなど、様々なログを管理することが重要です。
① Office 365 との連携
マイクロソフト社が提供するクラウドサービスであるOffice 365は、社内のOfficeソフトとしてもなじみがあるExchange、SharePoint、Teams、Excel、Word等が、クラウドによって、使用場所や、使用デバイスをあまり限定せず利用することが可能です。
Office 365アカウントの監査ログは、操作履歴をログとして記録しているので、いつ、誰が、どのようにOffie 365のどのサービスを利用したかを把握し、分析ることができます。
しかしながら、保存期間が90日なので、それ以前のログを参照するためにも、ログ管理システムにて長期保管できる仕組みを構築することが有効です。
◆ Office 365 ログ収集対象
・Office 365 監査ログ
【AzureActiveDirectory, Exchange, SharePoint(OneDrive含む), Teams】
・Office 365 メッセージ追跡ログ
【MessageTrace, MessageTraceDetail】
【AzureActiveDirectory, Exchange, SharePoint(OneDrive含む), Teams】
・Office 365 メッセージ追跡ログ
【MessageTrace, MessageTraceDetail】
□ Office 365 ログイン一覧の例
□ MessageTraceの例
□ MessageTraceDetailの例
□ Exchangeメールサイズ集計(時間別)の例
□ Azure AD ユーザ管理の例
□ Exchange メールボックスの例
□ SharePoint ファイルとフォルダの例
□ Teams チームの作成例
② G Suiteとの連携
Google社がサブスクリプション形式で提供しているグループウェアサービスであるG Suiteは、メールや、ドキュメント、カレンダーなどのサービスが、トータルに提供されています。
Gmailによるメールの送受信や、オンラインストレージでのデータの受け渡し、カレンダーによるスケジュール確認など、使用場所や、PC、スマートフォンなどの使用デバイスをあまり限定せず使いやすいので、会社としてその利用を認める企業も多くなってきました。
そうなると、セキュリティ上の心配もありますが、G Suiteの監査ログより、誰がいつ、どんな操作をしたかなどの履歴を調べることが可能になります。
ログの保管期間は180日なので、やはりLogstorageのような統合ログ管理システムに取り込んで、半年以上前の過去の事象でも、他のシステムのログと一緒に調査や分析ができるようにしておくことが有効な手段となります。
◆ G Suite ログ収集対象
G Suite 監査ログ
- 管理コンソール
- ログイン
- SAML
- OAuth トークン
- ユーザーアカウント
- グループ
- ドライブ
- デバイス
- 管理コンソール
- ログイン
- SAML
- OAuth トークン
- ユーザーアカウント
- グループ
- ドライブ
- デバイス
□ G Suiteユーザのアクセス履歴の例
□ G Suiteログインの成功、失敗のグラグの例
□ ユーザからアクセスされたリソースの例
□ アクセス頻度の高いフォルダ・ファイルの分析例
□ 時間外アクセスユーザの分析例
システムのログ管理
クラウドサービスを利用して、マシンやネットワークなどシステム側のログを分析することは、最適なパフォーマンスを適切な費用で安全に運用するために必要です。
下記に、各クラウドサービスで得られる代表的な例を紹介します。
① Amazon CloudWatch Logs との連携
Amazon CloudWatch Logsは、Amazon
EC2 インスタンス上のログや、ネットワーク上の通信ログを収集するサービスです。
Logstorageと連携することで、Windowsイベントログや Linux syslogの収集が可能になります。
また、 VPC内のネットワークインターフェイス間で行き来するIPトラフィックに関する情報をキャプチャできるようにする機能のVPC Flow Logsの収集も可能です。
◆ Amazon CloudWatch Logs 対応 レポート例(一部)
VPC Flow Logs
・REJECT接続元IPアドレス一覧
・REJECTされた通信/ポート
・ACCEPT/REJECT比率
・REJECTプロトコル比率
・通信バイト数(時系列グラフ)
・通信パケット数(時系列グラフ)
Windowsイベントログ(Security)
・ユーザログオン成功・失敗
・特権の使用
・監査ポリシーの変更
・システム時刻の変更
・イベントログの消去
Linux syslog
・sshログオン成功・失敗
・権限昇格(su/sudo)
・REJECT接続元IPアドレス一覧
・REJECTされた通信/ポート
・ACCEPT/REJECT比率
・REJECTプロトコル比率
・通信バイト数(時系列グラフ)
・通信パケット数(時系列グラフ)
Windowsイベントログ(Security)
・ユーザログオン成功・失敗
・特権の使用
・監査ポリシーの変更
・システム時刻の変更
・イベントログの消去
Linux syslog
・sshログオン成功・失敗
・権限昇格(su/sudo)
□ VPC Flow LogsのREJECTのレポート例
□ VPC Flow Logsの通信料のレポート例
□ Amazon EC2イベントログのsyslogのレポート例
② Amazon CloudWatch Metrics との連携
Amazon CloudWatch Metricsは、AWSの各種リソースを監視するマネージドサービスであるAmazon CloudWatchの1機能で、例えば、EC2のCPU、ディスクIOといった性能情報を参照することができ、AWSの各リソース とアプリケーションのモニタリングが可能です。
・EC2、オンプレミスサーバのCPU情報
・EC2、オンプレミスサーバのディスク情報
・EC2、オンプレミスサーバのメモリ情報
・EC2、オンプレミスサーバのネットワーク情報
・EC2、オンプレミスサーバのディスク情報
・EC2、オンプレミスサーバのメモリ情報
・EC2、オンプレミスサーバのネットワーク情報
□ Amazon CloudWatch Metrics 集計イメージ
③ Azure Network Security Group(NSG) からのログ
Azure上の仮想ファイアウォールであるAzure ネットワーク セキュリティ グループは、送受信されるトラフィックを規則に基づいて評価し、送受信トラフィックを許可または拒否する設定をする事ができます。
例えば、MACアドレスやルール別にパケットフロー数を分析して、構築時に通信が通らないといった場合に、どのポリシールールで拒否されているかを確認することが可能になります。
□ Azure Network Security Group ルール別フロー数の例
(記載されている会社名、製品名またはサービス名は、各社の商標または登録商標です。)