メインコンテンツまでスキップ
Sumo Logic Japanese

trace

trace operator は、非常に高度なフィルタとして機能し、個々のログ メッセージを関連付けます。trace operator に識別値 (ユーザ ID、IP アドレス、セッション ID など) を使用すると、この元の ID と関連のあるアクティビティ セット全体を取得できます。

trace operator では以下が必要です。

  • 関連メッセージを検索するための正規表現
  • 開始値 (例: ID)。

構文

  • trace "<regex>" "<starting_value>"

セッション ID のトレース

製品でいろいろなセッション ID を使用して、システム内で受け渡されるリクエストをトラッキングしているとします。各コンポーネントでは、下図のように 4 桁の 16 進 ID を使用して顧客の注文を処理しています。

trace_graphic 4.png

このプロセスのどこかでエラーが発生し「PROCESSING FAILED: webID=7F92」というエラー メッセージが生成されたとします。この情報から、trace operator をクエリで使用して、一連のアクティビティ チェーンを調べることができます。

* | trace "ID=([0-9a-fA-F]{4})" "7F92" | where _raw matches "*ERROR*"

このクエリは、trace に対して、「ID=」に続く 4 桁の 16 進文字列を使用してチェーンの各ピースを識別するように指示しています。trace は、受信したログをスキャンして点と点を結び、提供された値 (この例では 7F92) をスタートポイントとして、同じログで発生している ID に基づいてチェーンを構築します。trace が「Initiating requestID=082A for webID=7F92」というメッセージを見つければ、提供された webID と requestID の関係を特定することができます。trace はログのスキャンを続行して、イベント チェーンを構築します。これらの値に無関係のログ メッセージは無視されます。

時間の順方向と逆方向のトレース

trace operator では、過去のイベントと未来のイベントの両方をトレースできます。どちらの場合でも、チェーンを構築し、ログ メッセージ間のリンクを見つけて、クエリ対象の値に基づいてアクティビティを決定します。この順方向と逆方向のトレース オペレーションの例では、特定の Windows コンピュータに侵入されたと想定します。

侵入されたホストからイベント チェーンを構築し、侵入者を特定します。以下の作業が必要になります。

  1. 関連するログイン メッセージを特定します。
  2. 侵入されたホストに、最初に一致する値を割り当てます。
  3. 他の関連値 (src_host、dest_host、login_user) を抽出します。

順方向のトレース

侵入が疑われる John のワークステーションから、すべての Windows ログインを順方向 (+) にトレースし、イベント チェーンを構築します。trace operator をクエリで使用すると、以下の結果が返されます。

トレースの結果、John のワークステーションでは WIN1.example.com へのログイン イベントが発生しており、そこから WIN2.example.com、さらには WIN3.example.com へのログイン イベントが同じタイムフレームで発生しています。これらのログイン イベントが同じ人物によるものかどうかは不明ですが、侵入されたかどうかの判断材料にはなります (特に一般的なユーザ名と管理者がログインに使用されているため)。

逆方向のトレース

今度は侵入されたホスト Win3.example.com から逆方向 (-) に時間を遡ってトレースを行い、侵入者を特定します。Win3.example.com からすべての Windows ログインを逆方向にトレースして、イベント チェーンを構築します。trace operator をクエリで使用すると、以下の結果が返されます。

結果を見ると、WIN3.example.com には WIN2.example.com からログインされ、さらに WIN2.example.com には WIN1.example.com からログインされたことがわかります。WIN1.example.com には John が自分のワークステーションからログインしていますので、これで攻撃者の正体がわかります。

  • この記事は役に立ちましたか?