vRealize Log Insight はログ分析ツールなので、
当然ながら、収集したログを対話的に分析することができます。
今回も、引き続き自分のログイン履歴を見てみようと思います。
※「対話的に」というのは、UI で期間や条件を変えながら検索できるといった意味合いです。
※今回も、Log Insight 2.0 を使用しています。
前回の話はこちら。
Log Insight で vSphere ログイン監査。第1回(Security Dashboard から Interactive Analytics)
対話その1: ログの抽出期間(集計期間)を変更してみる。
当然ながら、Interactive Analytics の画面でもログの抽出 / 集計期間を変更することができます。
ただ、すこしわかりにくいところにある気もします。
例として期間設定を
2014-09-30 00:00 までから、
2014-10-01 00:00 に変更してみます。
Interactive Analytics 画面では、
下記の赤枠のあたりで検索期間を変更できます。
期間を入力後、Enter キーを押すか、検索ボタン で反映されます。
期間が 2014-10-01 00:00 までに変更されたことがわかります。
実は見落としているログイン履歴が 2件あったことに気づきました。
Log Insight の場合、vSphere 環境のログであれば必要なものはだいたい収集しているようなので、
このような見落とし対処などで便利かなと思いました。
対話その2: ログのフィルタをいろいろ変更してみる。
これまで自分の vCenter ログイン履歴を見てきましたが、
思っていたよりもログイン回数が少ない気がしました。
他にも、見落としているログがあるのかもしれません。
そこで、Interactive Analytics 画面で
ためしに見ていたログイン履歴の見方が妥当そうか確認してみようと思います。
まず、vCenter に確実にログインした記憶がある期間に限定して、ログを検索してみます。
2014-10-18 の1日からログ抽出してみたところ、
→なぜかログインのログが見つかりませんでした。No result です。
しかし、Web Client にログインして vCenter のイベント情報を見ると、確かにイベントログが残っています。
ただ、よく見ると、私の PC (192.168.0.2)からではなく、
ローカルホスト(127.0.0.1)からのログインになっています。
これは、vCenter と同じサーバにインストールされている Web Client & vCenter SSO から
vCenter にアクセスするので、ログイン元が 127.0.0.1 になってしまっていたようです。
Log Insight の画面に戻り、ログの抽出条件を変更してみます。
これまで、自分の PC (192.168.0.2)がログイン元であるログに絞っていましたが、
いったん、自分の PC 以外(does not contain)のログ抽出にして何かないかみます。
そうすると、Web Client にログがあったタイミングに
127.0.0.1 からのログイン履歴を見つけることができました。
チャートの、該当する部分をダブルクリックするとドリルダウンしてみることができます。
ドリルダウンしていくと、それらしいログを見つかりました。
ログファイル(text)のタイムスタンプは UTC でも、
timestamp では自動的に日本時間に変換してくれているようです。
ちなみに、私の環境では Web Client で vCenetr を2つ管理しているので、
近い時間帯で 2つのログインがあります。
それでは、ログイン履歴の集計を調整してみます。
まず、ドリルダウンの時にチャートをクリックすることで追加された
Filter を「×」ボタンで削除します。
ログイン元としてに「127.0.0.1」を含む(contains)ようにします。
2つのアドレスを条件に含めるので「,」で区切っています。
そして、ログの集計期間も
2014-09-01 00:00 ~ 2014-10-01 00:00 の1ヶ月間にしてみました。
そうすると、下記のような結果になりました。
今度は 10/1 ~ 10/6 あたりに 1日あたり250件ほどの謎の大量ログインを発見しました・・・
セキュリティダッシュボードを見直してみると、
たしかに vmad\administrator ユーザは 127.0.0.1 からのログインが多いようです。
そこで、127.0.0.1 からの vmad\administrator ユーザログインを
このダッシュボードでドリルダウンしてみます。
ダッシュボードに Filter が追加され、目的のログイン情報だけが表示されました。
少し下の方をみると「vCenter Server logins by type」があり、
どのような方法でログインしたのか集計されています。
Web Client からとみられる「vim-java 1.0」からのログイン件数はそこそこです。
前掲 の Web Client ログインのイベントにもこの文字列があったので、
これが Web Client からの vCenter へのログインなのでしょう。
もう一つの「java/1.7.0_40」は
おそらく最近やった vSphere BDE(Serengeti)検証で
大量に自動ログインさせたときに発生したものと考えられます。
※見づらくなるので、今回は除外してしまいます。
ノイズにになっていた「java/1.7.0_40」を除外するとこのようになりました。
だいたい期待通りの結果になりました。
1か月のうち 26日に、何らか の vCenter ログインしていたようです。
もう少し詳細にログインを分類したい場合は
Group by に Java の除外でも指定した「vmw_vc_auth_type」を含めると、
どのような方法でログインしたのか見当がつくようになります。
このように、ログイン元と、ログイン方法
(Web Client、vSphere Client、PowerCLI ・・・)
でグループ化され、色分けして表示されるようになります。
ただし、PowerCLI でも mozila~ などと表示されてしまうので、
最初は vCenter のタスク情報などからアタリをつける必要があります。
これまでの感想。
- 人間がログインして作業するユーザと、システム利用ユーザ(LogInsight や、VCOPS からの接続など)は別にしておかないと、ログイン監査も大変になる。
- ログイン監査をするときは、色々なログインを試して、ちゃんと監査できるか妥当性を確認したほうがよい。
- localhost(127.0.0.1)はログ出力したサーバ自身なので、どのサーバかわかりにくい。
どこが生成したログなのか確認するには、ログにあるアドレス以外の情報も必要になることが多そう。 - とりあえずログを収集しておけば、後から「やっぱりこれも検索」ができる。
まだつづく・・・