Infoscience Corporation www.infoscience.co.jp [email protected] Tel: 03-5427-3503 Fax: 03-5427-3889
~ 統合ログ管理システム ~
Logstorage
Ver.
7 のご紹介
インフォサイエンス株式会社
プロダクト事業部
インフォサイエンス株式会社 概要
設立
1995年10月
代表者
宮 紀雄
事業内容
• プロダクト事業部
パッケージソフトウェア「Logstorage」シリーズの開発
• SaaS事業
所在地
東京都港区芝浦2丁目4番1号 インフォサイエンスビル
パッケージラインナップ
統合ログ管理システムLogstorageの導入目的
【管理面】
セキュリティ強化 / 内部統制対応
ログ監視の社内周知による不正の抑止
PCI DSS / ISMS等の認証取得
【運用面】
ログの一元管理による運用負荷の軽減
ログの安全保管(暗号化、改ざん対策)
ストレージ容量の削減(圧縮)
監視の自動化
統合ログ管理システムの導入目的
各種サーバ (DB/ファイル/Web/Mail) 入退室管理 ネットワーク機器 (FW/Router/LB) 複合機・プリンタ ログ ノートPC スマートフォン社外持ち出しデバイス
社内システム
Public
Cloud
アプライアンス製品 仮想化ソフトウェアログ
ログ
Logstorage 沿革
2002年
ITシステム運用管理
情報セキュリティ
内部統制
情報漏えい事件の多発
個人情報保護法施行
日本版SOX法施行
PCIDSS
2010年
2018年
マイナンバー
標的型攻撃
クラウドコンピューティング
ログ管理に対するニーズが、様々な 社会的背景により拡大している2002年2月
2003年
2006年
2010年
2016年
2017年
2018年
ログフォーマット定義
自動化
Ver.5
多様な分析
検索・分析の並列化
Ver.6
インデックス
検索
Ver.4
高圧縮・高速検索
Windowsイベントログ検索
Ver.3
検索・分析の高速化
レポート機能強化
Ver.2
大量データ対応
Ver.1リリース
Logstorage 導入社数 / シェア
出典:ミック経済研究所「情報セキュリティソリューション市場の現状と将来展望2017(統合ログ管理市場)」 ※富士キメラ総研「2017 ネットワークセキュリティビジネス調査総覧(統合ログ管理ツール(SIM))」においてもシェアNo.1を獲得統合ログ管理ツールの分野で
11年連続シェアNo.1
出荷本数シェア
国内導入企業
2,500社超
Logstorage
その他
A製品
42.3%
B製品
C製品
Logstorage 機能・特長
-Logstorage システム構成
-Logstorage ログ収集機能
-Logstorage ログ分析・管理機能
-Logstorage ライセンス体系
統合ログ管理システム「Logstorage」
ログ収集機能
[受信機能]
・Syslog / FTP(S) / 共有フォルダ / SNMP
[ログ送信・取得機能]
・Agent
・EventLogCollector
・SecureBatchTransfer
ログ保管機能
ログ検知機能
検索・集計・レポート機能
・ポリシーに合致したログのアラート
・ポリシーはストーリー的に定義可能(シナリオ検知)
・ログの圧縮保存 / 高速検索
・ログの改ざんチェック機能
・ログに対する意味(タグ)付け
・ログの暗号化保存
・保存期間を経過したログを自動アーカイブ
・ログの保存領域管理機能
・複数ログの横断追跡とマウス操作による高度な絞込み
・インデックスによる大量ログの高速検索
・グラフ(円/折れ線/棒/表)によるログのサマリ表示
・レポート(HTML / PDF / CSV / TXT / XML)の自動メール通知
<Logstorage システム構成>
Logstorage 機能・特長
-Logstorage システム構成
-Logstorage ログ収集機能
-Logstorage ログ分析・管理機能
-Logstorage ライセンス体系
Logstorage ログ収集実績 / 連携製品
[OSシステム・イベント] ・Windows ・Solaris ・AIX ・HP-UX ・Linux ・BSD [Web/プロキシ] ・Apache ・IIS ・BlueCoat ・i-FILTER ・squid ・WebSense ・WebSphere ・WebLogic ・Apache Tomcat ・Cosminexus [ネットワーク機器] ・Cisco PIX/ASA ・Cisco Catalyst ・NetScreen/SSG ・PaloAlto PA ・VPN-1 ・Firewall-1 ・Check Point IP ・SSL-VPN ・FortiGate ・NOKIA IP ・Alteon ・SonicWall ・BIG-IP ・IronPort ・ServerIron ・Proventia [クライアント操作] ・LanScope Cat ・InfoTrace ・CWAT ・MylogStar ・IVEX Logger ・秘文 ・SeP ・QND/QOH [データベース] ・Oracle ・SQLServer ・DB2 ・PostgreSQL ・MySQL [サーバアクセス] ・ALogコンバータ ・VISUACT ・File Server Audit ・CA Access Control[データベース監査] ・PISO ・Chakra ・SecureSphere DMG/DSG ・SSDB監査 ・AUDIT MASTER ・IPLocks ・Guardium [メール] ・MS Exchange ・sendmail ・Postfix ・qmail ・Exim [ICカード認証] ・SmartOn ・ARCACLAVIS Revo [その他] ・VMware vCenter ・SAP R/3 (ERP) ・NetApp (NAS) ・ex-SG (入退室管理) ・MSIESER ・iSecurity ・Desk Net’s ・HP NonStop Server ・BOX ・Office 365 …その他 [運用監視] ・Nagios ・JP1 ・Systemwalker ・OpenView [アンチウィルス] ・Symantec AntiVirus ・TrendMicro InterScan ・McAfee VirusScan ・HDE Anti Vuris
[Lotus Domino] ・Lotus Domino ・Notes AccessAnalyzer2 ・Auge AccessWatcher [複合機] ・imageRunner ・Apeos ・SecurePrint!
日本国内で利用されているソフトウェア・機器を中心に
250種以上
のログ収集実績
【Logstorage アライアンス製品】
LanScope Cat SecureCube / AccessCheck CWAT InfoTrace
MylogStar IVEX Logger シリーズ i-FILTER MaLion
VISUACT SSDB監査
PISO SKYSEA Client View
Palo Alto Networks NGFW Amazon Web Service (AWS) Microsoft Azure 秘文
ログストレージで収集できるログ
テキスト形式で出力されるログは全て収集・管理可能!
収集方式・機能名 収集間隔 収集方法 syslog レシーバ 即時 ログをsyslogプロトコルにて受信する SNMP Trap 即時 SNMP Trap をログとして受信する FTPレシーバ 定時 ログファイルをFTP / FTPSにて受信する Fileレシーバ 定時 監視対象ディレクトリに置かれたログファイルを受信する Logstorage標準 ログ収集ソフトウェアLogstorage Agent 即時 テキストログ、イベントログを監視し、LogGateに送信する
Logstorage ELC 定時 エージェントレスでWindows / NetApp / EMCイベントログ、VMwareイベントを収集する Logstorage SBT 定時 イベントログ、テキストログを圧縮、暗号化してLogGateに送信する
独自アプリケーションのログも収集可能
ログの性質に合わせてリアルタイム /
バッチによる収集が可能
エージェントレスでの収集も可能
複数のレシーバを組合わせた収集が可能
<Logstorage ログ収集イメージ>Logstorage Agent
機能 説明 ログの暗号化送信機能 暗号化してログを送信することができます。 ログ送信切り換え機能 送信先へ接続できない場合、接続先を切り換えて送信することができます。 システム高負荷時の動作抑制機能 ログ・ソース(ログ収集対象)が高負荷となったとき、メインのサービスの稼動に影響しないよう、ログ送信を一時 抑制します。 ブロックログの送信機能 複数行で1つの意味を持つログを解析し、1行のログとして送信することができます。 ローテートログの送信機能 ローテートされたログファイルを追跡し、ログを送信することができます。 送信ログのフィルタ機能 キーワードによるログのフィルタリングを行い、必要なログのみ送信することができます。テキストログ・イベントログを
リアルタイム
に暗号化送信
テキスト形式のログファイルやWindowsイベントログをリアル タイムにLogGateへ転送することができます。ログをリアルタイムに送信可能
ログ転送に最適化された独自転送プロトコルである「LLTP」を 利用することで、ログ落ち(ロスト)を完全に防止することが できます。独自プロトコルによるログ落ち防止
出力されているログを転送する、機能に特化したシンプルなプ ログラムなので導入先のサーバのCPUやメモリリソースの消費 を最小限にしてログ転送を行います。シンプル機能・低負荷
<Logstorage Agentによるログ収集イメージ>テキストログ、イベントログを監視し、LogGateに送信するクライアントツールです。
Logstorage ELC / ログ収集機能
OS / 製品 対応バージョン
Windows Windows Server 2008 R2, 2012, 2012 R2, 2016, Storage Server 2012, 2016, Windows 7, Windows 8.1, Windows 10
NetAppストレージ Data ONTAP 8.2~8.2.4, 8.3~8.3.2, 9.0, 9.1, 9.2
EMCストレージ DART 6.0, 7.1, VNX for File 7.0, 7.1, 8.1, VNXe OE 2.1, 2.4, Unity 4.0.0~4.0.2, 4.1.0, 4.1.2
VMware VMware vCenter Server Ver.5.0~5.5 Update3, Ver.6.0, 6.5
VMware ESX(ESXi installable, ESXi Emvedded, ESX) Ver.5.0~5.5 Update3, Ver.6.0, 6.5
【収集対象 対応バージョン】
イベントログを
エージェントレス
で取得
<Logstorage ELCによるログ収集イメージ> <NetApp / EMCストレージからのログ収集イメージ>
エージェントレスでWindows / NetApp / EMCイベントログ、VMwareイベントを収集するサーバツールです。
ST版以上
※Windowsについては基本的にファイル共有の仕組みを利用してログを収集しますが、FTP / FTPSでのログ収集も可能です。その場合、ELC に含まれるログ送信用のモジュール (SBT for WindowsEvent)をWindowsサーバ上に設置する必要があります。
Logstorage ELC / ログ解析機能
ファイルアクセスなど複雑なイベントログを
分かり易い
内容に変換
ログ種別 内容 ローカルログオン ローカルからのログオン / ログオン失敗 リモートログオン リモートからのログオン / ログオン失敗 ファイルアクセス ファイルの読み込み / 書き込み / 削除 / 名前変更 / 印刷 プロセス起動・終了 プロセスの起動 / 終了 管理者操作 管理者(Administrators)操作 Windowsファイアウォール ファイアウォールの有効 / 無効、ルール作成 / 変更 / 削除、ポート許可 / ブロック システム設定変更 イベントログの削除 / 時刻変更 / タスクスケジュール登録 / サービス登録【ELC for Windows 解析対象】
ログ種別 内容
ログオン・ログオフ NetApp / EMCストレージへのログオン / ログオン失敗 / ログオフ
ファイルアクセス NetApp / EMCストレージ上のファイルの読み込み / 書き込み / 削除 / 名前変更など
管理者操作 NetApp / EMCストレージ上での管理者操作
【ELC for NetApp / EMC 解析対象】
Logstorage SBT
SBTは非常駐型で、タスクスケジューラやcronなどスケジュー ル機能から実行するため、対象サーバに与える負荷を最小限に 抑えます。非常駐型のため低負荷
機能 説明 ログのFTP / FTPS送信機能 FTP、またはFTPSで監視対象のログファイルを転送することができます。 ログ送信切り換え機能 送信先へ接続できない場合、接続先を切り換えて送信することができます。 圧縮転送機能 ログソース(クライアント)側で送信前にzip形式へ圧縮してから転送することができます。 日付ローテートログの送信機能 ローテートされたログファイルを追跡し、ログを送信することができます。 オプション機能SBT for Oracle Oracle監査ログを分り易い形式に解析する機能を持つSBTです。
gz形式へ圧縮してからLogGateへ転送することで、ネットワー クにかかるトラフィックを大幅に軽減することができます。
定期・圧縮送信による通信負荷軽減
ログデータを暗号化してからLogGateへ転送することで、通信 経路上の盗み見を未然に防ぎます。暗号化で安全な通信
テキストログ・イベントログを定期的に
圧縮・暗号化
送信
<Logstorage SBTによるログ収集イメージ>テキストログ、イベントログを圧縮、暗号化してLogGateに送信するクライアンツールです。
クラウド向けログ収集モジュール
Box / Office 365アカウントの操作履歴をログとして記録
・いつ、誰が、何を、どのように操作したか?
・特定ユーザがある期間に行った操作は?
・どの接続元(IPアドレス)から操作が行われたか?
管理者
一般ユーザ
外部ユーザ
Logstorageオプション機能「
クラウド向けログ収集モジュール(※)
」
を活用してSaaSのログを可視化!!
検索・集計・レポート条件テンプレートが用意されているので、ログ分析が容易に可能。
ログの長期保管、圧縮保管、暗号化、改ざん検出機能にも対応。
※クラウド向けログ収集モジュールは、BoxとOffice 365の各専用モジュールがあります。 Office 365で対応しているサービスは、AzureActiveDirectory/Exchange/SharePoint(OneDrive含む)です。 ファイル アップロード ファイル編集 ファイル閲覧 クラウド向けログ収集モジュール 有償機能 Office 365ログ 詳細オプション Exchangeメッセージ追跡により、いつ、誰が、誰宛てにメールを送信したのか、メールの配送状況(詳細)を分析す るオプション製品です。各種クラウドサービス(SaaS)への取り組み
突合コマンド・オプション
X/SIEM1.0 の一部機能を使うことで突き合わせ処理の自動化を実現!
ログ収集時にマスタ情報とコマンドで突き合わせることで、ログに含まれない情報を付加できるオプションです。
社員名簿とファイルアクセス時に出力されるログを突き 合わせることで、関係が無い部署社員からの不要なアク セスを発見できるようになります。人事マスタ × ファイルアクセスログ
深夜時間の退室ログや休日の入室ログが事前申請のある 入退室かを申請台帳と突き合わせることで申請外の出入 りを発見できます。残業・休出申請 × 入退出ログ
レピュテーションDB(脅威情報)とアクセス先/元のIP アドレスを突き合わせることで、危険度の情報をログ中 に付与することができます。脅威情報DB × src / dest ip(URL)
URLリストDBとURLアクセスログを組み合わせることで 、業務とは関係が無いサイトへのアクセスを発見できる ようになります。URLリストDB × URLアクセスログ
アカウント名 リソース名 アクション yamada ¥¥fileserver¥人事総務¥社員名簿.xlsx 読み取り Suzuki ¥¥fileserver¥開発設計¥基本設計書.doc 読み取り Tanaka ¥¥fileserver¥開発設計¥基本設計書.doc 書き込み アカウント名 社員ID 部署名 氏名 yamada 1000001 人事総務部 山田 太郎 Suzuki 2002301 企画部 鈴木 一郎 Tanaka 1123111 開発部 田中 次郞 (マスターデータ:csv) (生ログ) 突合処理 マスター データ ログ 突合処理 リアルタイム バッチ リアルタイム 転送Logstorage 機能・特長
-Logstorage システム構成
-Logstorage ログ収集機能
-Logstorage ログ分析・管理機能
-Logstorage ライセンス体系
検索機能
検索結果
絞込結果
クリッククリックしたユーザー名で絞り込まれる
横断検索例全てのログを横断追跡
• 異なるシステムのログも横断・横串検索
• ログのトラッキング機能
– クリック操作によるログの絞込み
– 検索結果画面のカスタマイズ機能
• 検索条件設定・保存機能
– パターン化された検索条件を定型化
• ログビュー表示機能
ログビュー表示例検索性能
インデックス機能により、超高速検索を実現!
※本検索性能は当社独自の調査によるものです。サーバスペックや検索パターンによっては結果が異なる可能性があります。1億件のログに対する検索時間
インデックス
無し
インデックス
有り
約1秒
0
3
1
2
(分)
大量ログからごく少量を見つけ出す「低ヒット率」検索パターン(※)では数秒単位での 検索が可能です。 ※例)約60億件のログから数件のログを検索する場合で平均10秒以内の応答「低ヒット率」検索の超高速検索
ログ収集直後から即座にインデックスが自動生成されます。Ver.6ではインデックスの 効いた高速検索を常時体感できます。インデックスのリアルタイム作成
見つかったログから順次検索結果を画面へ返すことにより、目的のログをより早く体感 的にも高速な検索を実現いたします。五月雨検索機能
約3分
インデックス検索𝟏 𝟏𝟎𝟎
(検索時間)
集計機能
• 指定したデータをログから集計
– 件数、トップ10、最大、最小、平均、合計
• 集計結果を表形式またはグラフ形式により表示
– 折れ線グラフ、棒グラフ、円グラフ、2軸グラフ等
• 集計条件を保管して作業を定型化
• 集計結果のCSV形式ダウンロード
ログから全体の兆候を分析
検知機能
サーバ LogGate 検知機能 <検知条件設定> 条件 アクション 障害ログ 不正アクセスログ 障害の発生 管理者、監視サーバ 通知 (メール、SNMPトラップ等) 不正アクセス• ログの発生頻度による検知
• 多様な通知方法
– メール送信 / SNMP Trap / 外部コマンド実行
• 異なる種類の複数ログの組み合わせによる検知
• 時間や曜日別に検知
• 検知後のアクション(通知)間隔制御
• 同時に複数の検知方法を指定可能
• 検知したログメッセージを通知メールで送付
異常な兆候をリアルタイムに検知・通知
リアルタイム検知・通知イメージレポート機能
• レポート出力の定期・自動実行
–
時間毎、日毎、週毎、月毎
• 多様な出力フォーマットに対応
–
PDF / HTML / CSV / XML
• レポート出力イメージを容易にカスタマイズ可
–
レポートに企業ロゴや押印欄を入れる等
• 外部レポートエンジンによるマスタ連携
–
ログに無いデータもレポート出力
CSV出力例 HTML出力例 PDF出力例モニタリングの自動化
ログフォーマット定義機能
ログ
SmartOn, 2017/01/13 08:58:27, 000500, 192.168.0.1, PC01, <山田 太郎>がWindowsにログオンしました。
APP名 ユーザID ユーザ名ログ出力元
ログフォーマット定義機能
ログの定期受信 / リアルタイム受信が可能
SNMPTrap
FTP/FTPS
ファイル共有
ELC
syslog
受信機能
特 許 取 得 特許番号 特許4050497名称 ログ情報管理装置及びログ情報管理プログラム② フォーマットを問わない柔軟な定義
①多様なログ収集方式
多様なログ収集方式 / 柔軟なログフォーマット定義機能により、ログの分析が
自由自在
発生時刻 IPアドレス PC名 アクション(行動)• ログフォーマット管理機能によりアプリケーション毎のログ管理が可能
• ウィザード機能によるログフォーマット定義の自動生成が可能
• インポート/エクスポート機能によりログフォーマットの更新/追加が可能
ログフォーマット自動解析機能
2018/04/03 08:58:27,000500,192.168.0.1
“Date“=”2018/04/03 08:58:27“ ”UserID“=”000500“ "IPAddress“="192.168.0.1“
{ "Date" : "2018/04/03 08:58:27", "UserID" : "000500", "IPAddress" : "192.168.0.1" }
<UserID> <IPAddress> <タイムスタンプ> <タイムスタンプ> <UserID> <IPAddress> <タイムスタンプ> <UserID> <IPAddress>
LogGate
カ
ラ
ム
自
動
解
析
自動解析された検索結果画面(カラムビュー)
ログ受信時のスキーマ定義、正規表現設定が一切不要
• レシーバ設定でファイル形式を指定するだけで取り込み可能
• 正規表現など複雑な設定を省き、設定を大幅に簡略化
• 自動解析されたカラムを使った横断検索機能
グループ / ユーザ管理機能
機能 説明 機能制限 検索 / 集計 / 検知 / レポート / ログフォーマット定義などアクセスコントロールをきめ細かく設定できます。 ログソースへのアクセス制限 ログソース毎(ソースIP毎)にアクセスコントロールを設定できます。 LDAP/AD連携 LogstorageのユーザとLDAP/ADで管理されているユーザを連携することができます。グループ・ユーザ単位でのアクセス制御
Logstorage 動作環境
Logstorage ELC
OS バージョン
Windows Windows Server 2008 R2, 2012, 2012 R2, 2016
OS バージョン
Windows Windows Server 2008 R2, 2012, 2012 R2, 2016 Linux Red Hat Enterprise Linux 5.5, 6, 7
仮想環境 上記対応OSの動作を保証している仮想環境
※仮想化ソフトウェア独自の機能については検証を実施しておりません。
コンソールサーバ / LogGate
OS バージョン
Windows Windows Server 2008 R2, 2012, 2012 R2, 2016, 7, 8.1, 10 Linux Red Hat Enterprise Linux 5.5, 6, 7
Logstorage SBT
※ 詳細は製品HPをご参照ください
Logstorage Agent
OS バージョン
Windows Windows Server 2008 R2, 2012, 2012 R2, 2016, 7, 8.1, 10 Linux Red Hat Enterprise Linux 5, 6, 7
Ubuntu Linux 14.04 その他 Oracle Solaris 10, 11
Logstorage 機能・特長
-Logstorage システム構成
-Logstorage ログ収集機能
-Logstorage ログ分析・管理機能
-Logstorage ライセンス体系
Logstorage ライセンス体系
エディション
ワークグループ
(WG)
スタンダード
(ST)
エンハンスト
(EH)
エンタープライズ
(EP)
アドバンスト
(AD)
拡張モデル スケールアップ・モデル スケールアウト・モデル 概要 スモールスタートでのログ管理。1台で収集性能の拡張を行う。 拠点・目的毎のログ管理や全てのログを統合管理。複数並列処理で収集・検索性能の拡張を行う。 ラ イ セ ン ス コンソールサーバ 1台 1台 1台 LogGate 1台 2台~ 2台~ クライアントライセンス (ログ収集対象サーバ台数) 5台 (追加可能) 無制限 無制限 集計モジュール オプション ○ オプション 検知モジュール オプション ○ オプション レポートモジュール オプション ○ オプションEvent Log Collector (ELC) × ○ ○ ○ ○
LogGateの追加 × ○ ○ 複数LogGateの横断検索・分析 × × ○ 検索専用LogGateの設置 × × ○ LogGate冗長構成 ○ (Active-Standby) ○ (Active-Standby) ○ (Active-Active) LogGate収集性能 (1台当りの目安) 1,000行/秒 2,000行/秒 3,000行/秒 4,000行/秒 (1台 2,000行/秒) 6,000行/秒 (1台 3,000行/秒) ライセンス価格 65万円~ 130万円~ 195万円~ 490万円~ 700万円~ 備考 - - - -LogGateの冗長構成には、 ロードバランサを利用す る事も可能。 ※ 収集性能は目安です。 ※ 「行/秒」は受信してから利用可能な形式になるまでの全体の収集性能を表します。受信のみを表す「eps」とは単位が異なります。
