ALog(株式会社網屋)は、サーバーやクラウドのアクセスログを収集し、人間が読みやすい監査ログへ自動翻訳するログ監査ソリューションです。エージェントレスでの収集、煩雑な生ログの集約、そして Active Directory から Microsoft 365 までを横断したログ検索により、内部監査・情報漏洩対策で求められる「いつ・誰が・何をしたか」の追跡を効率化します。導入設計から運用まで QUICK E-Solutions がご支援します。
ALog は、サーバーやソフトウェア等からアクセスログを収集し、独自ツールで自動的に「翻訳変換」と解析を行うことで、ログ管理を容易にする監査ソフトウェアです。取得した生ログは人間が読みやすい監査ログへ変換され、検索画面で分かりやすく表示されます。
同じ「エージェントレス収集+翻訳」を土台に、対象範囲とカスタマイズ性が異なります。
エージェントレスでアクセスログを収集し、自動で翻訳・分析。数行~数十行の出力ログを 1 行のユーザー操作ログへ自動解析して出力します。サーバの情報を入力するだけの簡単な設定が特長。
エージェントレス収集に加え、マッピング定義でログ内容を自由に項目化できる製品。汎用性が高く、さまざまな IT システムのログ(Syslog など)を収集できます。
| 観点 | ALog ConVerter | ALog EVA |
|---|---|---|
| 収集方式 | エージェントレス | エージェントレス |
| 翻訳の定義 | 定義済み(自動翻訳) | マッピング定義で自由に設定 |
| 主な対象 | Windows イベントログ / Linux システムログ / SQL Server ログ | Syslog ほか多様な IT システム、Microsoft 365 監査ログ |
| 設定の手軽さ | サーバ情報の入力のみで簡単 | 定義の自由度が高い分、設定はやや手間 |
Windows イベントログ / Linux システムログ / SQL Server のログを、エージェントレスで収集します。
数行~数十行の出力ログを、意味のある 1 行のユーザー操作ログへ自動解析。生ログの羅列を「誰の・どの操作か」が分かる形へ集約します。
サーバの情報を入力するだけ。従来のログ収集システムと比べて簡単に設定できる、と評価されています。
ALog EVA はエージェントレスでログを収集し、取り込んだログにマッピング定義を行います。マッピング定義とは「取り込んだログを自分で定義する」こと。ログ内でカンマ区切りされた各部を、それぞれの項目へ当てはめていきます。当てはまる項目が無い場合は項目内に任意の内容を記載できますが、その内容は全てのログに反映されるため注意が必要です。
ALog 製品に同梱の専用ツール「ALog Syslog Receiver」で Syslog を受信し、ALog へ取り込みます(「Syslog を転送」方式)。
取り込んだログの、カンマで区切られた各値を、それぞれの項目に当てはめて出力ログを定義します(当てはまる項目が無い場合は任意に記載でき、その内容は全ログに反映されます)。
取り込んだログに対し、期間・サーバ・ユーザー・操作などの条件を指定して検索。条件は「含める/除外する」を指定でき、複数条件の組み合わせも可能です。
期間=過去30日間、AuthType=Kerberos。Active Directory のユーザーがいつログインしたかを検索(AD ログインは基本的に Kerberos 認証)。
操作タイプ(READ/WRITE/DELETE/RENAME/MOVE/COPY)を指定し、サーバ内のファイルがいつ・誰にアクセスされたかを確認。
条件1(AD・Kerberos)と条件2(FileServer・各操作)を OR で組合せ、「誰がどの PC でログインし、どのファイルを操作したか」を追跡。
サーバ=Syslog で取り込み内容を一覧。対象(ログ内容)に Kernel を含む/Severity(重要度)=notice などで絞り込み可能。
| 操作タイプ | 意味 |
|---|---|
| READ | ファイルの読み込み |
| WRITE | ファイル/フォルダーへの書き込み |
| DELETE | ファイル/フォルダーの削除 |
| RENAME | ファイル/フォルダーの名前変更・移動 |
| MOVE | ファイル/フォルダーの移動 |
| COPY | ファイルのコピー |
ALog EVA は Microsoft 365 の監査ログを取り込めます。そのままでは複雑な MS365 監査ログも、ALog に取り込むと分かりやすくなります。検索は「期間」と「操作(操作ID)」を条件に指定します。
| 操作ID | 対象イベント |
|---|---|
O365_AAD_STS_LOGON(15) | Azure Active Directory の(失敗を含む)ログオンイベント |
O365_SHAREPOINT_FILE_FOLDER(6) | OneDrive 及び SharePoint のファイル操作イベント |
O365_MICROSOFT_TEAMS(25) | Microsoft Teams のイベント |
O365_POWERBI(20) | Power BI のイベント |
O365_AAD_STS_LOGON(15) と O365_SHAREPOINT_FILE_FOLDER(6) を OR 条件で組み合わせると、MS365 ユーザーがログイン後に SharePoint でファイルを操作した流れを突き合わせて確認できます。(OneDrive の操作ログは現在 SharePoint の監査ログと統合)本ページは当社ブログの ALog 連載をまとめたものです。各回の詳細は以下からご覧いただけます。