前回はリンク分析についての特徴について説明しましたので、実際にリンク分析のユースケースについていくつか紹介したいと思います。
今回作成するのは、以下のユースケースです。LAにOSのログを取り込むとログイン失敗した場合のユーザー名と結果が格納されています。これらのフィールドでそれぞれのOSログをリンクして、バブルチャートにプロットするいうシンプルなリンク分析を作成してみます。
既存のサンプルデータではリンク分析のチュートリアルには不十分なため、ここからはサンプルログをインポートして準備するひと手間が必要となります。
LinuxのSecureログをインポート
2つのLinux VMホストのSecureログを用意しているので、これらをここからダウンロードしておく
LAの管理 -> アップロードからアップロード・ファイルをクリックする。
アップロード名はvmhost01。LAに既存のログ・グループがない場合は、ログ・グループの作成から適当な名前で作成。ファイルの選択からダウンロードしたvmhost01_secure.zipファイルを選択して次へ。
プロパティの設定からソースをLinux Secure Logsを選択。詳細オプションにあるログ・タイムゾーンをasia/tokyoに指定する。(※Secureログはタイムゾーンがないのでここで指定しておく)。次に進んでアップロードを実行。
アップロードの完了。ログ・エクスプローラーで表示をクリックしてインポートされたログを確認する。
同様の手順でvmhost02_secure.zipのファイルもインポートする。
ログ・エクスプローラーから、日付を2025年2月26日 AM09:00から2025年2月27日AM00:00に合わせて、グループ化基準にHost Name(Sever)フィールドからドラック&ドロップし、下記の問い合わせをコピペして実行
'Host Name (Server)' in (infosecvm01, vmcgtest1) | timestats count as logrecords by 'Log Source' | sort -logrecords
下記のように二つのホストのログ(infosecvm01, vmcgtest1)が色分けて表示されていればログのインポートはOK。
リンク分析を作成する
ビジュアライゼーションからリンクを選択し、Host Name(Server), User Name, Security Resultのフィールドをグループ化基準に追加して適用を実行。下記のように3つのフィールドでリンク(グループ化)され、Count(件数)、最初の検出したログレコードの時間(Start Time)、最後に検出したログレコードの時間(End Time)の新規フィールドが生成される。
分析からチャート作成をクリックし
以下のようにそれぞれの軸にフィールドを割り当てて送信を実行。
X軸はログを最初に検出したフィールド(Start Time)、Y軸はVM Host、サイズの大きさは件数、マウスオーバーした際にユーザー名を表示するように相関付けにUser Nameを指定している。
表示されたリンク分析のチャートの右下にあるカラーをHost Name(Server)に変更する。ホストごとで色分けされたバブルチャートがそれぞれのホストのログイン失敗の傾向を表す。
最も大きいバブルにマウスオーバーすると、rootユーザーが最も多くログイン失敗を発生させて、かつ常時試行されているのが分かる。(※表のCountの件数をクリックすると、ヒストグラムでのログの出力分布が分かる)
その他のバブルを見ると、件数によってグループ化基準が異なっていること分かる。
チャート上部にある歯車アイコンのグラフオプションから、異常の表示でAnomalyとして識別されるグループを強調できる。このログの場合だと突出して多い上位2グループがAnomalyとなる。
今回はLinuxのログだけですが、Windowsや他OSのログなども同様にリンクさせて、例えばOCIの稼働する全ホストのログイン失敗状況を一目で把握するようなバブルチャートして監視するなども可能です。
次回も別のリンク分析のユースケースを紹介したいと思います。