Sumo Logic エンドポイントとファイアウォールのセキュリティ
Sumo Logic には複数のデプロイがあります。これは、アカウントが作成された地理的位置と日付に応じて割り当てられます。
Sumo Logic はブラウザを正しいログイン URL にリダイレクトし、コレクタも正しいエンドポイントにリダイレクトします。ただし、API を使用している場合は、手動で API クライアントを正しい Sumo Logic API URL にダイレクトする必要があります。
| 環境 | サービス エンドポイント (ログイン URL) | API Endpoint | コレクション エンドポイント |
| AU |
https://service.au.sumologic.com |
https://api.au.sumologic.com/api/v1/ |
https://collectors.sumologic.com https://collectors.au.sumologic.com |
| DE |
https://service.de.sumologic.com |
https://api.de.sumologic.com/api/v1/ |
https://collectors.sumologic.com https://collectors.de.sumologic.com |
| EU |
https://service.eu.sumologic.com |
https://api.eu.sumologic.com/api/v1/ |
https://collectors.sumologic.com https://collectors.eu.sumologic.com https://endpoint1.collection.eu.sumologic.com |
| JP |
https://service.jp.sumologic.com |
https://api.jp.sumologic.com/api/v1/ |
https://collectors.sumologic.com https://collectors.jp.sumologic.com |
| US1 |
https://service.sumologic.com |
https://api.sumologic.com/api/v1/ |
https://collectors.sumologic.com https://endpoint1.collection.sumologic.com https://endpoint2.collection.sumologic.com https://endpoint3.collection.sumologic.com |
| US2 |
https://service.us2.sumologic.com |
https://api.us2.sumologic.com/api/v1/ |
https://collectors.sumologic.com https://collectors.us2.sumologic.com https://endpoint1.collection.us2.sumologic.com https://endpoint2.collection.us2.sumologic.com https://endpoint3.collection.us2.sumologic.com https://endpoint4.collection.us2.sumologic.com |
使用すべきエンドポイントの見分け方
アカウントで使用しているポッドを見分けるための最も簡単な方法は、Sumo Logic の URL を確認することです。"us2" と表示されている場合は、US2 ポッドで実行中です。"eu"、"jp"、"de"、または "au" と表示されている場合は、それらのポッドのいずれかで実行中です。
コレクション エンドポイントはアカウントによって異なります。一般的な形式は次の通りです。
endpoint[N].collection.[deploymentID].sumologic.com
アカウントで使用している URL を調べるには、HTTP ソースを作成して、表示されるホスト名を確認します。
DNS 名や IP アドレスによる Sumo Logic インフラストラクチャへのアクセスの保護
コレクションが機能するためには、ファイアウォールが Sumo Logic へのアウトバウンド トラフィックを許可する必要があります。ポート 443 でアウトバウンド トラフィックを許可する方法については「Sumo Logic コレクタの接続試験」を参照してください。
-
ファイアウォールで DNS エントリが許可されている場合は、ファイアウォールのホワイトリストに以下を追加して、sumologic.com へのアウトバウンド トラフィックを許可してください。
*.sumologic.com
デフォルトでは、コレクタは最初にcollectors.sumologic.comに接続してから、以下のようなデプロイ特有のエンドポイントにリダイレクトされます。collectors.us2.sumologic.com
または
endpoint[N].collection.[deploymentID].[sumologic.com] -
ファイアウォールで DNS エントリが許可されていない場合は、デプロイ リージョンのすべての IP アドレスをホワイトリストに登録する必要があります。ホワイトリストに登録するアドレスは、Sumo Logic デプロイによって異なります。ホワイトリストに登録する必要のある IP アドレスを確認するには、Amazon Web Services (AWS) で提供されている JSON オブジェクトをダウンロードしてください。Amazon では、このファイルは週に数回変更することを推奨しています。この JSON ファイルが更新される仕組み、ファイルの使い方や構文、そしてダウンロード方法については「AWS の IP アドレス範囲」を参照してください。
各 Sumo Logic デプロイで使用する AWS リージョンを下表に示します。詳細については、リージョンとエンドポイントについての AWS ページを参照してください。
|
Sumo Logic デプロイ |
AWS リージョン名 |
AWS のリージョン |
|
AU |
アジア太平洋 (シドニー) |
ap-southeast-2 |
|
DE |
EU (フランクフルト) |
eu-central-1 |
|
EU |
EU (アイルランド) |
eu-west-1 |
|
JP |
アジア太平洋 (東京) |
ap-northeast-1 |
|
US1 |
米国東武 (北バージニア) |
us-east-1 |
|
US2 |
米国西部(オレゴン) |
us-west-2 |
このリンクには、最新の AWS IP 範囲、サブネット、接頭辞の全リストがあります。この表に従って自分のアカウントの Sumo デプロイが使用する AWS リージョンの IP プレフィクスのみを使用することで、ファイアウォールのエントリ数を制限することができます。
Sumo Logic にダウンロードしたファイルに対して以下のクエリを実行することで、各デプロイの IP アドレスを調べることができます。
| parse regex "\s+\"ip_prefix\":\s+\"(?<ip_prefix>.*?)\",\n\s+\"region\":\s+\"(?<region>.*?)\",\n\s+\"service\":\s+\"(?<service>.*?)\"" multi | where service="AMAZON" and (region="us-west-2" or region="us-east-1" or region="eu-west-1" or region="ap-southeast-2") | if (region="us-west-2", "US2", region) as region | if (region="us-east-1", "PROD", region) as region | if (region="eu-west-1", "EU", region) as region | if (region="ap-southeast-2", "AU", region) as region | count by ip_prefix, region, service | fields - _count | sort by region, ip_prefix
ファイアウォール、コレクタ、そしてソースを設定したら、指定した場所で特定の種類のメッセージ (syslog メッセージなど) が受信できていることを検証して、コレクタとソースが機能していることを確認します。
バージョニングと競合の検出
コレクタ管理 API は、楽観的ロックによってバージョニングと競合の検出を行っています。単一のエンティティを返すすべての応答には、エンティティのバージョンを示す ETag ヘッダがあります。そのエンティティへの以降の更新 (PUT リクエスト) では、If-Match ヘッダでその ETag ヘッダ値を指定する必要があります。ヘッダが指定されていない場合や、値がエンティティの最新バージョンと一致しない場合は (それぞれ 403 Forbidden と 412 Precondition Failed のエラー メッセージと共に) リクエストは失敗します。エンティティに対して同時更新が行われる可能性がある場合は、クライアントでこれらの失敗を処理するための準備が必要です。また、ETag ヘッダの値を、GET リクエストの If-None-Match ヘッダで取得してキャッシュしておくこともできます。