ログ管理・監査ソリューション

ALog とは — ログ収集・翻訳から監査ログ検索まで

ALog(株式会社網屋)は、サーバーやクラウドのアクセスログを収集し、人間が読みやすい監査ログへ自動翻訳するログ監査ソリューションです。エージェントレスでの収集、煩雑な生ログの集約、そして Active Directory から Microsoft 365 までを横断したログ検索により、内部監査・情報漏洩対策で求められる「いつ・誰が・何をしたか」の追跡を効率化します。導入設計から運用まで QUICK E-Solutions がご支援します。

構成製品: ALog ConVerter / ALog EVA ・ オンプレミス & クラウドのログを一元管理

Overview

ALog とは

ALog は、サーバーやソフトウェア等からアクセスログを収集し、独自ツールで自動的に「翻訳変換」と解析を行うことで、ログ管理を容易にする監査ソフトウェアです。取得した生ログは人間が読みやすい監査ログへ変換され、検索画面で分かりやすく表示されます。

Products

2 つの製品 — ConVerter と EVA

同じ「エージェントレス収集+翻訳」を土台に、対象範囲とカスタマイズ性が異なります。

ALog ConVerter

エージェントレスでアクセスログを収集し、自動で翻訳・分析。数行~数十行の出力ログを 1 行のユーザー操作ログへ自動解析して出力します。サーバの情報を入力するだけの簡単な設定が特長。

ALog EVA

エージェントレス収集に加え、マッピング定義でログ内容を自由に項目化できる製品。汎用性が高く、さまざまな IT システムのログ(Syslog など)を収集できます。

観点ALog ConVerterALog EVA
収集方式エージェントレスエージェントレス
翻訳の定義定義済み(自動翻訳)マッピング定義で自由に設定
主な対象Windows イベントログ / Linux システムログ / SQL Server ログSyslog ほか多様な IT システム、Microsoft 365 監査ログ
設定の手軽さサーバ情報の入力のみで簡単定義の自由度が高い分、設定はやや手間
Log Collection

ALog ConVerter ― 収集と翻訳

対象ログ

Windows イベントログ / Linux システムログ / SQL Server のログを、エージェントレスで収集します。

ログの集約

数行~数十行の出力ログを、意味のある 1 行のユーザー操作ログへ自動解析。生ログの羅列を「誰の・どの操作か」が分かる形へ集約します。

かんたん設定

サーバの情報を入力するだけ。従来のログ収集システムと比べて簡単に設定できる、と評価されています。

実例(Active Directory 認証ログ): 1 回の認証で複数生成されるユーザー認証イベントログが、ALog 上では一つの操作として集約表示されます。「分かりやすく翻訳されていて、どんなログがあるのか一目で判別できた」との評価。
Flexible Mapping

ALog EVA ― マッピング定義で柔軟に収集

ALog EVA はエージェントレスでログを収集し、取り込んだログにマッピング定義を行います。マッピング定義とは「取り込んだログを自分で定義する」こと。ログ内でカンマ区切りされた各部を、それぞれの項目へ当てはめていきます。当てはまる項目が無い場合は項目内に任意の内容を記載できますが、その内容は全てのログに反映されるため注意が必要です。

1

Syslog を受信・取り込み

ALog 製品に同梱の専用ツール「ALog Syslog Receiver」で Syslog を受信し、ALog へ取り込みます(「Syslog を転送」方式)。

2

マッピング定義

取り込んだログの、カンマで区切られた各値を、それぞれの項目に当てはめて出力ログを定義します(当てはまる項目が無い場合は任意に記載でき、その内容は全ログに反映されます)。

ConVerter との使い分け: 自由度は EVA が高い一方、ConVerter は定義済みで設定が簡単。対象システムやカスタマイズ要件に応じて選択します。
Log Search

ログ検索 ― 条件を絞って必要なログだけ

取り込んだログに対し、期間・サーバ・ユーザー・操作などの条件を指定して検索。条件は「含める/除外する」を指定でき、複数条件の組み合わせも可能です。

ConVerter例

ユーザーログイン検索

期間=過去30日間、AuthType=Kerberos。Active Directory のユーザーがいつログインしたかを検索(AD ログインは基本的に Kerberos 認証)。

ConVerter例

ファイル操作ログ検索

操作タイプ(READ/WRITE/DELETE/RENAME/MOVE/COPY)を指定し、サーバ内のファイルがいつ・誰にアクセスされたかを確認。

ConVerter例

複数条件で行動追跡

条件1(AD・Kerberos)と条件2(FileServer・各操作)を OR で組合せ、「誰がどの PC でログインし、どのファイルを操作したか」を追跡。

EVA例

Syslog / 重要度検索

サーバ=Syslog で取り込み内容を一覧。対象(ログ内容)に Kernel を含む/Severity(重要度)=notice などで絞り込み可能。

操作タイプ意味
READファイルの読み込み
WRITEファイル/フォルダーへの書き込み
DELETEファイル/フォルダーの削除
RENAMEファイル/フォルダーの名前変更・移動
MOVEファイル/フォルダーの移動
COPYファイルのコピー
Microsoft 365

Microsoft 365 監査ログの取得・検索

ALog EVA は Microsoft 365 の監査ログを取り込めます。そのままでは複雑な MS365 監査ログも、ALog に取り込むと分かりやすくなります。検索は「期間」と「操作(操作ID)」を条件に指定します。

操作ID対象イベント
O365_AAD_STS_LOGON(15)Azure Active Directory の(失敗を含む)ログオンイベント
O365_SHAREPOINT_FILE_FOLDER(6)OneDrive 及び SharePoint のファイル操作イベント
O365_MICROSOFT_TEAMS(25)Microsoft Teams のイベント
O365_POWERBI(20)Power BI のイベント
追跡検索の例: O365_AAD_STS_LOGON(15)O365_SHAREPOINT_FILE_FOLDER(6) を OR 条件で組み合わせると、MS365 ユーザーがログイン後に SharePoint でファイルを操作した流れを突き合わせて確認できます。(OneDrive の操作ログは現在 SharePoint の監査ログと統合)
Source

連載記事(全4回)

本ページは当社ブログの ALog 連載をまとめたものです。各回の詳細は以下からご覧いただけます。

← セキュリティ商材一覧へ戻る

ログ管理・内部監査のご相談は QUICK E-Solutions へ

ALog の導入設計・構築から運用まで、お客様の監査・情報漏洩対策をご支援します。

お問い合わせ →