メインコンテンツまでスキップ
Sumo Logic Japanese

Observable Network アプリケーションのログの収集

このページでは、Observable Network アプリケーションのログ収集を設定する手順を説明し、ログ ファイルとクエリの例を示します。

Observable Networks アプリケーションでは、Sumo Logic から Observable Networks デプロイをモニタリングできます。Sumo Logic から、ログ モニタリングおよび Observable Networks への認証ログの転送をセットアップすることができます。ログ モニタリングでは、Observable Networks は Collector が欠落している場合にユーザに通知できるため、ログの対象範囲内のギャップが明らかになります。認証ログの転送では、Sumo Logic のログ データを使用して豊富な情報を Observable の動的エンドポイント モデリング アルゴリズムに提供することで、より正確かつ詳細なアラートが可能になります。

Observable Networks は、侵害されたネットワーク デバイスと未使用のネットワーク デバイスを識別するネットワーク セキュリティ テクノロジおよび高度な脅威検知サービスのプロバイダです。Observable の動的エンドポイント モデリング テクノロジには、ネットワーク上のすべてのデバイスを継続的にモデル化するための自動セキュリティ アナリティクスとリアルタイム トラフィック センサーを組み込んだクラウド ベースのサービス プラットフォームが含まれます。エンドポイントのモデル化はネットワーク トラフィック フローのメタデータに基づいており、暗号化とは無関係です。Observable を使用すると、デバイスの正常な動作と異常な動作を容易に把握できるため、侵害されたデバイスの特定と迅速な修復に役立ちます。

詳細については、http://www.observable.net/ を参照してください。

前提条件

Observable Networks ポータルから [Settings (設定)] (歯車アイコン) > [Integrations (統合)] > [Sumo Logic] > [Settings (設定)] をクリックし、[Sumo Logic Settings (Sumo Logic 設定)] ページで [Access ID (アクセス ID)]、[Access Key (アクセス キー)]、および [Source URL (Source URL)] を入力します。開始する前に Observable Networks ポータルが適切に設定されている必要があります。不明な点がある場合は、support@obsrvbl.com にお問い合わせください。

Collector の設定

Hosted Collector を設定します。Collector に「observable」 (大文字と小文字を区別) という名前を付けます。

アクセス キーの作成

  1. Sumo Logic で [Manage Data (データの管理)] > [Collection (コレクション)] > [Collection (コレクション)] に移動します。
  2. [Access Keys (アクセス キー)] をクリックします。
  3. 「Observable Networks」という新しいアクセス キーを追加し、新しい [Access ID (アクセス ID)][Access Key (アクセス キー)] の値を保存します。

Source の設定

HTTP Source を設定します。新しい Source に「observable」 (大文字と小文字を区別) という名前を付けます。[Enable Timestamp Parsing (タイムスタンプ parse の有効化)] をオフにします。

Source に関連付けられた URL が表示されている場合、その URL をコピーして、ファイルの送信に使用できるようにします。

Observable ポータルの設定

  1. Observable Networks ポータルから [Settings (設定)] (歯車アイコン) > [Integrations (統合)] > [Sumo Logic] > [Settings (設定)] をクリックします。
  2. [Sumo Logic Settings (Sumo Logic 設定)] ページで、前のセクションの [Access ID (アクセス ID)][Access Key (アクセス キー)]、および [Source URL (Source URL)] を入力します。
  3. [Enabled (有効)] をオンにして、[Save (保存)] をクリックします。

これで、Observable Networks デプロイでアラートとエンドポイント情報が Sumo Logic に公開されます。

ログ モニタリングの設定 (省略可能)

Sumo Logic API アクセスがある場合、Observable Networks と Sumo Logic をさらに統合できます。Collector がインストールされていない、ネットワーク上のデバイスを識別するように Observable Networks を設定できます。また、Observable Networks は特定の Linux ディストリビューション (Ubuntu など) からの認証ログ (「auth.log」) データを parse し、ユーザ アクセスをモニタリングすることもできます。

欠落した Collector の識別

対応するログ ファイルがネットワーク内の特定のロールに含まれていることを予測するように Observable Networks ポータルを設定できます。たとえば、auth.log がターミナル サーバでキャプチャされることが予測されるとします。この予測を設定すると、予測されるログ ファイルがロールに含まれない場合に Observable はアラートを送信し、ログの対象範囲にギャップがあることを通知します。

Observable Networks で予測を設定する手順

  1. Observable Networks ポータルから [Settings (設定)] (歯車アイコン) > [Integrations (統合)] > [Sumo Logic] > [Logs (ログ)] をクリックします。
  2. 「Auth Log」 (認証ログ) など、予測されるログの名前を入力します。
  3. [Log Query Prefix (ログ クエリ プレフィックス)] を入力します。これは、このログをフィルタするために Sumo Logic に提供される検索接頭辞です。たとえば、「_source=auth.log」と入力します。
  4. このログを含むことが予測されるロールを選択します。たとえば、「Terminal Server (ターミナル サーバ)」です。
  5. [Save (保存)] をクリックします。

ログを関連付けずにログを追加することもできます。この場合は、ステップ 4 で単にすべてのロールをオフにします。

認証ログの parse

互換性のある Linux ディストリビューションから Sumo Logic の auth.log データを収集する場合、このデータを parse してセッション アクティビティをモニタリングするように Observable Networks を設定できます。

開始する前に、auth.log Source から収集していることを確認し、[Sumo Logic Logs (Sumo Logic ログ)] ページでこの Source が設定されていることを確認します。

認証ログを parse する手順

  1. Observable Networks ポータルから [Settings (設定)] (歯車アイコン) > [Integrations (統合)] > [Sumo Logic] > [Settings (設定)] をクリックします。
  2. [Auth.log] ドロップダウンから、auth.log Source を表しているログ設定を選択します。
  3. [Save (保存)] をクリックします。

ログ メッセージのサンプル

{
   "id": 350698,
   "source_info": {
      "ips": [
         "10.147.115.88",
         "10.41.174.78"
      ],
      "hostnames": [
         "i-0da95a1534cafcae8"
      ],
      "namespace": "awsv2:078653657564:us-east-1:vpc-c837e7ac",
      "name": "i-0da95a1534cafcae8",
      "created": "2017-01-21T14:43:53.267268+00:00"
   },
   "timestamp": "2017-02-05T08:00:00Z",
   "role": "AWS EC2 Instance",
   "source": 97385,
   "obsrvbl_type": "role"
}
{
   "id": 349848,
   "source_info": {
      "ips": [
         "10.138.70.165",
         "184.73.187.100"
      ],
      "hostnames": [
         "i-2979aa4d"
      ],
      "namespace": "awsv2:078653657564:us-east-1",
      "name": "yodlee-staging",
      "created": "2016-09-06T22:23:22.937360+00:00"
   },
   "timestamp": "2017-02-05T08:00:00Z",
   "role": "AWS EC2 Instance",
   "source": 236,
   "obsrvbl_type": "role"
}

クエリのサンプル

最近のフロー カウント

_sourceCategory=observable | json field=_raw "obsrvbl_type", "effective_session_count" as type, session_count
| where type="session_count"
| timeslice 10m
| sum(session_count) group by _timeslice
| order by _timeslice

上位の観察ホスト

_sourceCategory=observable
| json field=_raw "obsrvbl_type", "source_info.name" as type, name
| where type = "observation"
| count by name
| order by _count desc

 

  • この記事は役に立ちましたか?