|
サーバ、ネットワーク管理者は、各サーバやシステムのログデータを参照することにより、障害の解析や、異常検知などに必要な情報を得ている。本研究では、ネットワーク管理者をサポートするために、ネットワーク管理における多種多様なログデータを横断的に処理可能なシステムを実現すことにより、 管理者は、必要な情報をもとにして、分散するログデータに対してアクセスすることができる。
平成26年度においては、ログデータの収集・管理方法を実際のアプリケーションに組み込み、検証した。不正通信検知システムやSSHパスワードクラッキング攻撃検知システム(SCRAD)が検知した攻撃者のIPアドレスなどの情報を本システムで蓄積している。SCRADでは、本システムで管理しているログデータをIPアドレスにもとづいて検索し、攻撃検知の精度向上に役立てている。ログデータを検索するシステムとして、ElasticSearchを導入した。スキーマレスでログデータを管理でき、検索用インデックスを作成できる。
ログデータを検索可能なスクリプト言語を設計するために、ハニーポットとWebサーバのログデータをもとにして分析し、スクリプト言語に必要なコマンドの洗い出しを実施した。基本的にログ分析においては、grepやawkコマンドの組み合わせにより、結果を得るが、異なるログデータを突合させる場合には、うまくいかないケースもあり、メタデータを付与して管理し、スクリプト言語で一括処理することの重要性を確認した。開発を予定していたスクリプト言語は設計段階に留まり、今後継続して開発を進める予定である。
本研究では異なるログを横断的に処理するため、統合的に管理し、IP アドレスを用いて、ログデータ間の関連性を紐付け、SSHサーバログと不正通信検知システムの検知ログや、ハニーポットとWebサーバのアクセスなどを関連づけ、集計・分析するようにした。
|
