統合ログ管理サーバ「WEEDS Log-Repository Manager Ver.5」
WEEDS Log-Repository Managerは、WEEDS Trace Seriesのログ取得エージェントからのログはもちろんのこと、ファイアウォールやルータ、アプリエーションなどが出力する標準ログを取り込み、監査することが可能な統合ログ管理マネージャです。
WEEDS Trace Seriesのログ取得エージェントが取得したログを、ログDB(Oracleを使用)へ取り込む際に、統計、分析、ログ圧縮などを施し、ログDBへ蓄積します。 蓄積されたログは、予め登録された監査ポリシーや作業申請情報と突合され、“監査すべきログ”だけをレポーティングし、「膨大に蓄積されたログを効率的に監査する仕組み」を実現しています。
※ ログDBが不要なログ管理マネージャ「WEEDS REP-Manager」は、最下段にてご紹介しております。
特徴
| すぐ監査できる レポートが付属 |
各種監査ポリシーを登録することで、ボタン一つで監査すべきアクセスログをレポーティングできます。 レポートは、日次監査レポート、月次監査レポート、利用分析(ログの汎用検索機能)として定義されており、すぐに監査運用を開始できます。 |
|---|---|
| 大量ログに対応した リポジトリ機構 |
ログを保管するテーブルを内部で年月テーブルに分けて独自パーティショニイングし、レポーティング及びログ取込、INDEXデータ作成、ログ削除(ローテート)、などの処理を高速化しています。 |
| 作業申請や監査ポリシーとの自動突合 | 作業申請情報の登録機能、監査ポリシーの登録機能が付属しているため、取得したアクセスログと自動突合されるため、監査運用がすぐに始められます。 |
| 各ガイドラインに沿った監査レポートが付属 | 各種ガイドラインに沿った監査レポートが付属しているため、外部監査対応が導入しただけで対処できます。 |
機能概要
ログ取込フィルター
ログをログDBへ取り込む際、“監査対象ログ”と“監査対象外ログ”を分別し、監査対象外ログは、DBへ取り込まずにバックアップする機能です。
例えば、以下のようなログ運用で活用されます。
| DBアクセス (WEEDS DB-Trace) |
DBアクセスログでは、“夜間バッチ処理”や“アプリケーション”からのアクセスは、監査対象外と判断できる場合があります。 ログ分別方法は、WEEDS DB-Traceで取得しているログ項目全てを使用できます。一般的にはDBにアクセスした際の“接続アプリケーション名”で判別します。 (DBユーザIDなどで判別した場合、悪意を持った第3者がそのIDを使用してアクセスがあった場合、アクセスが監査されなくなる恐れがあるため) |
|---|---|
| プログラム変更 (WEEDS ITGC-Trace) |
プログラム変更ログでは、OS内のファイル更新すべてをログとして取得するため、例えばUNIX/Linux系OSでは、「/temp」や「/proc」以下のファイルは、非常に更新の多いディレクトリです。 WEEDS ITGC-Traceはレポーティング時に、ポリシー登録された“監査対象プログラム”の更新だけを抽出しますので問題はありませんが、ログDBの領域確保のためログDBに上記ディレクトリ配下のファイル更新ログは取り込まないよう、フィルターできます。 |
ログ集計/統計機能
WEEDS Trace Seriesでは、ログをログDBへ取り込む際に、ログの集計処理および、ログの統計情報を作成しています。 これは、監査対象側でなるべく処理の負荷を掛けないよう、ログサーバ側で処理しています。
| ログ集計処理 | 月次監査レポートを素早く生成するために、日次のログ取込処理で集計データマート(月次テーブル)へログを蓄積しています。 |
|---|---|
| ログ統計処理 | アクセスログの取り込み時に、過去のログと比較し統計を取っています。 <WEEDS DB-Trace> ・SQLにINDEX(Key)情報を付け、過去に発行されたSQLであれば二重保持しない。 ・SQLが過去に何回発行されたか、統計値を保持。 <WEEDS WinServer-Trace、WEEDS ITGC-Trace> ・ファイルパスにINDEX(Key)情報を付け、同じファイルパスであれば二重保持しない。 |
監査ポリシー登録機能
膨大なアクセスログの中から、ポリシーに反したログだけを自動抽出するための機能です。 サーバ毎に、ポリシーを定めることができます。
| WEEDS DB-Trace | WEEDS UNIX-Trace | WEEDS WinServer-Trace | WEEDS Windows Secure-Controll |
WEEDS ITGC-Trace | |
|---|---|---|---|---|---|
| 時間外 | ● | ● | ● | ● | |
| 土日・休日 | ● | ● | ● | ● | ● |
| 特権ユーザID | ● | ● | ● | ● | |
| 許可ユーザID | ● | ● | ● | ● | |
| 監視対象ファイル/テーブル | ● | ● | ● | ● | ● |
| 高負荷アクセス | ● | ||||
| 大量データ | ● | ||||
| 大量レコード | ● | ||||
| アクセス可能アプリケーション | ● | ||||
| 監視コマンド | ● | ● | |||
| 長時間コマンド | ● | ● |
作業申請ワークフロー
作業申請、承認、ログと申請の自動突合機能により、“申請がないのにアクセスがあった”という申請外不正アクセスが容易に導き出せます。 また、その不正アクセス(申請外以外の監査ポリシー違反も含め)に対して、監査担当者と作業担当者とのコメントがやり取りでき、監査結果としてログと同様に保管されます。
※既に作業申請システムをお持ちのお客様は、データ自動連携カスタマイズが可能。
部署/氏名マスター登録機能
アクセス監査では、“誰のアクセスか”が大変重要になります。 よって、ログには、アクセス元の情報が一意に明確になるようにする必要があります。 部署や氏名情報を監査レポートに表示するだけで、「○○部からのアクセスがなぜあるのか?」と監査が容易になります。 また、各種ガイドラインでも、ユーザ識別ができることがログの条件になっているものもあります。
※データ自動連携が可能。
ログ圧縮機構
アクセスログは、監査対象が増えるにつれて膨大な量になっていきます。 ログは圧縮が必要ですが、単に圧縮すると参照性が悪くなり、工夫が必要になります。
WEEDS Log-Repository Managerでは、「ログ取込フィルター」機能でご紹介の通り、“ファイルパス”および“SQL文”は二重に保持しないよう、INDEX(Key)情報を生成し、
ログにINDEXだけを保持して、実際のファイルパスやSQL文は、INDEXから紐付けてレポーティングする機構にしています。
コンピューターの操作ログで多くを占めるのは、ファイルパスであり、またファイルパスは同一なものが非常に多く存在するのが特徴です。
同様に、DBアクセスログで多くを占めるのはSQL文です。特に、アプリケーションからのアクセスは大抵同じSQL文となるため、INDEX情報の保持によるログ圧縮は、およそ80%圧縮できます。
※ SQL文は、都度変わる検索条件値などの値の部分は除いて統計しています。
ログパーティショニング機構
膨大に蓄積されるログを素早くレポーティングするために、WEEDS Log-Repository Managerでは各ログテーブル毎に年月単位に独自パーティショニングし、参照するテーブル内のレコード(データ)数を減らし、レスポンス向上を図っています。
これは、レポートのレスポンスを向上するだけでなく、月次処理での過去データ削除(1年間DBに保管する場合13ヶ月前を削除(設定で変更可能))では、該当年月のテーブルをDROPするだけになるため、高速に処理が行えるメリットもあります。
ログバックアップ、削除、リストア機構
アクセスログは、一般的には3〜5年分保持することがガイドラインで謳われています。
WEEDS Log-Repository Managerでは、ディスク容量が許す限り、半永久的に過去のログを保持することができます。
また、監査用にすぐ閲覧できる状態のログは、1年〜1年半保持するケースが一般的です。WEEDS Log-Repository Managerでは、ログDBに保管する期間(月数)を指定できます。
月次処理にて、指定月数前のログを削除し、ログをローテーションします。
外部ログの取込
WEEDS Trace Seriesのエージェント以外のログ、例えば、ファイアウォール、ルータ、入退出ログ、アプリケーションログなどを、ログDBへ取り込むことができます。(カスタマイズ対応)
監査レポート自動メール送信
生成された監査レポートをメールで自動送付する機能です。
例えば、要監査であるアクセスを行った部署の上長へ自動で日次にレポートを送付することで、アクセスログ監査の運用をスムーズに開始することができます。
また、アクセスログをチェックしなくても、要監査となるアクセスログがあった時だけチェックすることで運用の負担を大きく軽減できます。
ログ暗号化と方式
転送するエージェント側でログを暗号化し、ログサーバと通信します。通信の暗号化(SSLなど)は個別対応可能です。
方式は、独自暗号化を採用。(詳細は下段“製品仕様”をご参照下さい)
製品仕様
| 対応OS | Windows2000以上、AIX4.3.3以降、RedHat Linux3以降、Sun Solaris 7以降、 HP-UX 11i以降、Miracle Linux、Cent OS ※他のUNIX系OSはポーティング次第で即時対応可能 |
|---|---|
| ライセンス体系 | 監査対象サーバー(OS)の数によって課金。 |
| 暗号化方式 | 独自暗号化 暗号鍵を2重化して暗号化。1次KEYにはBIT数制限がない暗号鍵(最低128BIT)でかけ、2次KEYは個別に割当てられる数列に変数をかけ、10の88乗パターン持つことが可能な暗号鍵をかける。 ※暗号解除を避けるため概要のみ公開 |
| ログDB | Oracle 10g、11g |
| レポート形式 | Excel、CSV、html、REP(実行形式レポートビューア) |
| 操作画面 (ブラウザ) | Internet Explorer7,8 |
| 外部データ取込 | ユーザマスタ(部署、氏名)、作業申請データ、ポリシー(許可ユーザID、カレンダー) |
| ログ転送 プロトコル | 独自プロトコル(WFTP) |
| 価格 | オープンプライス |
ログDB不要のログ管理&高速検索サーバ「WEEDS REP-Manager」
・ログサーバにRDBを構築する領域がない。
・ログはDBでなく、不正改ざんされないレポート形式で保管したい。
・面倒なDBの保守・メンテナンスをしたくない。
レポート形式でログを保管した場合、“ログの検索”“ログのバックアップ運用”“ログの監査運用”“監査結果の反映”などが課題になります。 それらの課題を解決したのが「WEEDS REP-Manager」です。 「WEEDS REP-Manager」は、ログの運用メンテナンスを軽微にするために、ログを監査レポートの状態でサーバ上に蓄積するだけで管理が可能な製品です。
ログレポーティング機能「REP_GENERATOR」
各エージェントから取得され収集されたログを“REP形式”に変換し、保管されます。 “REP形式”とは、監査レポートの閲覧、承認機能、ログ改ざん防止が行えるWEEDS独自レポート形式です。 さらに、「REP_MANAGER」にてログ検索、ログ監査運用などを行えます。
ログ検索、監査運用機能「REP_MANAGER」
「REP_MANAGER」は、「REP_GENERATOR」にて変換されたREP形式ファイルのメンテナンス画面機能です。 この画面でREP形式ファイル内のログ検索、レポート監査後の承認、未承認ログの抽出が行え、監査運用がすぐにでもスタートできます。
※ REP形式ファイルについては、「WEEDS Windows-SecureControl StandAlone」の「監査レポート自身に監査証跡を記録WEEDS REPファイル」もご参照下さい。
.jpg)
.jpg)