メインコンテンツまでスキップ
Sumo Logic Japanese

Observable Networks ログの収集

Observable Networks 用 Sumo Logic アプリケーションでは、Sumo Logic から Observable Networks デプロイをモニタリングできます。アプリケーションの [Overview (概要)] ダッシュボードでは、ネットワークの概要データについての分析が提供されます。

Sumo Logic から、ログ モニタリングおよび Observable Networks への認証ログの転送をセットアップすることもできます。ログ モニタリングでは、Observable Networks はコレクタが欠落していることを検出した場合にユーザに通知できるため、ログの対象範囲内のギャップが明らかになります。認証ログの転送では、Sumo Logic のログ データを使用して豊富な情報を Observable の動的エンドポイント モデリング アルゴリズムに提供することで、より正確かつ詳細なアラートが可能になります。

Observable Networks は、侵害されたネットワーク デバイスと未使用のネットワーク デバイスを識別するネットワーク セキュリティ テクノロジおよび高度な脅威検知サービスのプロバイダです。Observable の動的エンドポイント モデリング テクノロジには、ネットワーク上のすべてのデバイスを継続的にモデル化するための自動セキュリティ アナリティクスとリアルタイム トラフィック センサーを組み込んだクラウド ベースのサービス プラットフォームが含まれます。エンドポイントのモデル化はネットワーク トラフィック フローのメタデータに基づいており、暗号化とは無関係です。Observable を使用すると、デバイスの正常な動作と異常な動作を容易に把握できるため、侵害されたデバイスの特定と迅速な修復に役立ちます。

詳細については、http://www.observable.net/ を参照してください。

ログ タイプ

Observable Networks 用 Sumo Logic アプリケーションは、リクエストごとに 1 つの JSON メッセージを提供する Observable Networks 形式のログを前提とします。

前提条件/要件

Observable Networks ポータルから [Settings (設定)] (歯車アイコン) > [Integrations (統合)] > [Sumo Logic] > [Settings (設定)] をクリックし、[Sumo Logic Settings (Sumo Logic 設定)] ページで [Access ID (アクセス ID)]、[Access Key (アクセス キー)]、および [Source URL (ソース URL)] を入力します。開始する前に Observable Networks ポータルが適切に設定されている必要があります。不明な点がある場合は、support@obsrvbl.com にお問い合わせください。

コレクタの設定

ホスト型コレクタを設定します。コレクタに「observable」(大文字と小文字を区別) という名前を付けます。

アクセス キーの作成

  1. Sumo Logic で [Manage Data (データの管理)] > [Collection (コレクション)] > [Collection (コレクション)] に移動します。
  2. [Access Keys (アクセス キー)] をクリックします。
  3. 「Observable Networks」という新しいアクセス キーを追加し、新しい [Access ID (アクセス ID)][Access Key (アクセス キー)] の値を保存します。

ソースの設定

HTTP ソースを設定します。新しいソースに「observable」(大文字と小文字を区別) という名前を付けます。[Enable Timestamp Parsing (タイムスタンプ パースの有効化)] をオフにします。

ソースに関連付けられた URL が表示されている場合、その URL をコピーして、ファイルの送信に使用できるようにします。

Observable ポータルの設定

  1. Observable Networks ポータルから [Settings (設定)] (歯車アイコン) > [Integrations (統合)] > [Sumo Logic] > [Settings (設定)] をクリックします。
  2. [Sumo Logic Settings (Sumo Logic 設定)] ページで、前のセクションの [Access ID (アクセス ID)][Access Key (アクセス キー)]、および [Source URL (ソース URL)] を入力します。
  3. [Enabled (有効)] をオンにして、[Save (保存)] をクリックします。

これで、Observable Networks デプロイでアラートとエンドポイント情報が Sumo Logic に公開されます。

ログ モニタリングの設定 (省略可能)

Sumo Logic API アクセスがある場合、Observable Networks と Sumo Logic をさらに統合できます。コレクタがインストールされていない、ネットワーク上のデバイスを識別するように Observable Networks を設定できます。また、Observable Networks は特定の Linux ディストリビューション (Ubuntu など) からの認証ログ (「auth.log」) データをパースし、ユーザ アクセスをモニタリングすることもできます。

欠落したコレクタの識別

対応するログ ファイルがネットワーク内の特定のロールに含まれていることを予測するように Observable Networks ポータルを設定できます。たとえば、auth.log がターミナル サーバでキャプチャされることが予測されるとします。この予測を設定すると、予測されるログ ファイルがロールに含まれない場合に Observable はアラートを送信し、ログの対象範囲にギャップがあることを通知します。

Observable Networks で予測を設定する手順

  1. Observable Networks ポータルから [Settings (設定)] (歯車アイコン) > [Integrations (統合)] > [Sumo Logic] > [Logs (ログ)] をクリックします。
  2. 「Auth Log」(認証ログ) など、予測されるログの名前を入力します。
  3. [Log Query Prefix (ログ クエリ プレフィックス)] を入力します。これは、このログをフィルタするために Sumo Logic に提供される検索接頭辞です。たとえば、「_source=auth.log」と入力します。
  4. このログを含むことが予測されるロールを選択します。たとえば、「Terminal Server (ターミナル サーバ)」です。
  5. [Save (保存)] をクリックします。

ログを関連付けずにログを追加することもできます。この場合は、ステップ 4 で単にすべてのロールをオフにします。

認証ログのパース

互換性のある Linux ディストリビューションから Sumo Logic の auth.log データを収集する場合、このデータをパースしてセッション アクティビティをモニタリングするように Observable Networks を設定できます。

開始する前に、auth.log ソースから収集していることを確認し、[Sumo Logic Logs (Sumo Logic ログ)] ページでこのソースが設定されていることを確認します。

認証ログをパースする手順

  1. Observable Networks ポータルから [Settings (設定)] (歯車アイコン) > [Integrations (統合)] > [Sumo Logic] > [Settings (設定)] をクリックします。
  2. [Auth.log] ドロップダウンから、auth.log ソースを表しているログ設定を選択します。
  3. [Save (保存)] をクリックします。

ログ メッセージのサンプル

{
   "id": 350698,
   "source_info": {
      "ips": [
         "10.147.115.88",
         "10.41.174.78"
      ],
      "hostnames": [
         "i-0da95a1534cafcae8"
      ],
      "namespace": "awsv2:078653657564:us-east-1:vpc-c837e7ac",
      "name": "i-0da95a1534cafcae8",
      "created": "2017-01-21T14:43:53.267268+00:00"
   },
   "timestamp": "2017-02-05T08:00:00Z",
   "role": "AWS EC2 Instance",
   "source": 97385,
   "obsrvbl_type": "role"
}
{
   "id": 349848,
   "source_info": {
      "ips": [
         "10.138.70.165",
         "184.73.187.100"
      ],
      "hostnames": [
         "i-2979aa4d"
      ],
      "namespace": "awsv2:078653657564:us-east-1",
      "name": "yodlee-staging",
      "created": "2016-09-06T22:23:22.937360+00:00"
   },
   "timestamp": "2017-02-05T08:00:00Z",
   "role": "AWS EC2 Instance",
   "source": 236,
   "obsrvbl_type": "role"
}

クエリのサンプル

最近のフロー カウント

_sourceCategory=observable | json field=_raw "obsrvbl_type", "effective_session_count" as type, session_count
| where type="session_count"
| timeslice 10m
| sum(session_count) group by _timeslice
| order by _timeslice

上位の観察ホスト

_sourceCategory=observable
| json field=_raw "obsrvbl_type", "source_info.name" as type, name
| where type = "observation"
| count by name
| order by _count desc

 

  • この記事は役に立ちましたか?