実践記事

LogStare Reporter-レポート作成キャンペーン「LogStareチャレンジ」やってみた【後編】

この記事は投稿日から3年以上経過しています。

「LogStareチャレンジ」は、LogStare Collectorで収集したログの集計レポートを、ログ分析ツール「LogStare Reporter」を用いて現場目線で自由に作成していただくキャンペーンです。

▼詳しいキャンペーン内容はこちら
https://www.logstare.com/lschallenge/

当記事では、LogStare Reporterでレポートを作成し、応募する手順について紹介します。
LogStareチャレンジへのエントリー方法や環境構築手順については前編の記事をご参照ください。
LogStare Reporter-レポート作成キャンペーン「LogStareチャレンジ」やってみた【前編】

集計レポートについて

集計レポートとは

集計レポートはLogStare Reporterに備わっている帳票機能です。
LogStare Collectorが収集したログデータをLogStare Reporterに転送し、時間帯別、デバイス別、イベントID別など、様々な集計軸に基づいて集計・分析することで、セキュリティインシデントの発見に役立てることができます。

UTMのSyslogを攻撃元IP別に集計したレポートの例

LogStareチャレンジでは、集計レポートを1つ作成するごとに審査に応募することができます。

登録されている集計レポートを確認する

LogStare Reporterには、あらかじめいくつかの集計レポートテンプレートが登録されています。

  1. 登録されているレポートを確認するには、LogStare Reporterにログインし、画面左側のグラフマークを開き、レポート一覧を選択します。
  2. レポート一覧画面でログパーサータブを開きます。
  3. 集計レポートはログパーサー(LogStare Collectorからログデータを取り込み、整形するための設定情報)に紐づいており、例えばFotigateのSyslogで作成できる集計レポートを確認したい場合、Fotigateのログパーサーの左側にある+マークをクリックすると、登録されているレポートが一覧で表示されます。

集計レポート用のログデータを収集する

監視対象でログ出力設定を行なう

ログデータを収集するには、監視対象のシステムでログが出力されている必要があります。

その他の製品については、各製品のマニュアル等をご参照ください。

また、LogStareチャレンジでは、LogStare Collectorデモサイトからサンプルログをダウンロードし、ファイル収集によって取り込んで使用することも可能です。
LogStare Collectorデモサイトのログイン情報はこちらのフォームからご請求ください。
https://www.secuavail.com/product/logstarecollector/demo/

LogStare Collectorでログ収集設定を行なう

監視対象が出力するログデータをLogStare Collectorで収集する設定を行ないます。

Syslogを収集する設定は、以下の記事をご参照ください。
SYSLOG収集

WindowsイベントログをWMIで収集する設定は、以下の記事をご参照ください。
WMI収集の設定

ローカルドライブに配置したログファイルをコピーして取り込む場合は、以下の記事をご参照ください。
ファイル収集 – COPY(LOCAL) – 編 Windows版
ファイル収集 – COPY(LOCAL) – 編 Linux版

収集したログデータをLogStare Reporterで確認する

LogStare Collectorで収集したログデータは、LogStare Reporterに自動的に転送されます。

  1. LogStare Reporterにログインし、画面左側の書類マークを開き、ログ検索・ダウンロードを選択します。
  2. 画面左側のツリーから監視対象のシステムを選択し、画面右上のログ収集期間を設定して検索ボタンをクリックします。
  3. ログが転送されていれば、収集件数を示すグラフと、収集されたログデータが表示されます。

集計レポートを作成する

レポート基本設定を登録する

  1. 初めにレポート基本設定を登録します。
    LogStare Reporterの画面左側のグラフマークを開き、レポート一覧を選択します。
  2. レポート一覧画面で収集ログレポートタブを開き、画面右上の収集ログレポート基本設定登録ボタンをクリックします。
  3. 任意のレポート名、レポート作成開始日、実行周期を設定します。
    ※ここで設定するレポート名は、後で作成する集計レポート群の総称(グループ名)です。
    ※レポート作成開始日を過去の日付にすると、すでに取り込んだログを再パース・再集計することができます
  4. 画面左側のツリーから集計レポートを作成したいシステムを選択します。
  5. 監視・収集ログ取込設定プルダウンメニューを開き、適切なログパーサーを選択します。
    今回はWindowsのイベントログで集計レポートを作成します。
  6. ログパーサーを選択したら、追加ボタンをクリックします。
  7.  既定の集計レポートテンプレートを読み込む場合は、この画面で選択します。
    今回は新規に集計レポートを作成するので、何も選択せずに設定ボタンをクリックします。
    ※既定のテンプレートは後から読み込むこともできます
  8.  確認画面が表示されるのではいボタンをクリックします。
  9.  レポート基本設定が登録されました。

集計レポートを作成する

  1. レポート一覧から登録したレポート基本設定をクリックします。
  2. レポート設定メニューが表示されるので、集計レポート設定をクリックします。
  3. レポート定義画面が開くので、画面右上の+マークをクリックします。
  4. 集計レポート設定画面が開きます。
    任意の集計レポート名、ソート順などを設定します。
    ※レポート種類をログ表示にすると、集計レポートではなく任意の抽出条件に合致するログを抽出するレポートを作成できます。
  5. レポート項目を設定します。
    今回はデバイス、アプリケーション、日付・時間の3つの項目を、ログ件数で集計するように設定します。
  6. 次にレポート作成条件を設定します。
    今回はイベントID:17のログを抽出するように設定します。


  7. グラフ表示設定は棒グラフを選択します。
  8. すべて設定できたら追加ボタンをクリックします。
  9. 確認画面が表示されるのではいボタンをクリックします。
  10. 集計レポートが登録されました。
  11. 登録した集計レポートは、レポート基本設定で設定したレポート作成開始日、実行周期に基づいて作成されます。
    過去のログを基にすぐに集計レポートを作成したい場合は、レポート基本設定を開き、レポート作成開始日を過去の日付にして、更新ボタンをクリックしてください。すでに取り込んだログを再パースし、集計レポートを作成することができます。

集計レポートを閲覧する

  1. レポート一覧から登録したレポート基本設定をクリックします。
  2. レポート設定メニューが表示されるので、レポート閲覧をクリックします。
  3. 集計レポートが表示されます。
  4. 集計レポートが複数登録されている場合は、レポート上部のプルダウンメニューで変更できます。

集計レポートを編集する

集計レポートは設定された実行周期に基づいて作成されるため、登録した集計レポートの設定を変更したい場合、レポート一覧画面から編集する方法では、すぐに変更後の集計結果を確認することができません。
そこで、LogStareチャレンジではピンポイント分析・集計画面で集計結果を確認しながら変更することを推奨します。

  1. 画面左側の書類マークを開き、ピンポイント分析・集計を選択します。
  2. 画面左側のツリーから集計レポートを作成したいシステムを選択し、選択ボタンをクリックします。
  3. 設定ボタンをクリックします。
  4. 設定画面が開きますので、ULP設定読込にて設定を変更したい集計レポートを選択し、読込ボタンをクリックします。
  5. 集計レポートの設定が読み込まれますので、必要に応じて設定を変更します。
  6. 設定を変更したら、設定ボタンをクリックします。
  7. 設定が反映されます。ログデータの日付を確認し、設定した条件でログを分析するボタンをクリックします。
  8. 集計結果が表示されます。集計レポート設定更新ボタンをクリックすると、集計レポートの設定画面が開きます。
  9. 集計レポートの設定画面は、変更前のレポート設定になっているので、ピンポイント分析・集計で設定した内容に変更し、更新します。

作成した集計レポートを応募する

作成したレポートは、既定の応募フォームから応募することで受賞および副賞獲得のチャンスが得られます。

  1. ブラウザで応募フォームにアクセスします。
    https://www.logstare.com/lschallenge/apply/
  2. 必要事項を記入します。入力項目は以下の通りです。
    Twitterアカウント名:参加表明したTwitterアカウントを入力します。
    メールアドレス:エントリー時のメールアドレスを入力します。
    レポート名:集計レポートが登録されているレポート基本設定名を入力します。
    集計レポート名:審査対象となる集計レポート名を入力します。
    作成意図:集計レポートの用途、目的などを入力します。
    公開可否:入選時にTwitterやWebサイト上で公開してもよいか否かを選択します。
  3. 注意事項を確認し、チェックボックスをチェックして確認画面へボタンをクリックします。
  4. 内容を確認し、問題なければ送信するボタンをクリックします。
  5. 応募が完了しました。入選すると、事務局からTwitterのDMでご連絡のうえ、Amazonギフトコードを発行させていただきます。

以上でLogStare Reporterでレポートを作成し、応募する手順についての紹介を終わります。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

LogStare Reporter-レポート作成キャンペーン「LogStareチャレンジ」やってみた【前編】前のページ

Windowsイベントログの監視について次のページ

ピックアップ記事

  1. ログフォワーダー「okurun.jar」について
  2. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  3. Zabbixヒストリデータのレポート生成について
  4. IoT機器「Raspberry pi」とLogStare Collectorで温…

関連記事

  1. 実践記事

    DNSキャッシュポイズニングやってみた

    令和4年秋季情報処理安全確保支援士試験にてDNSキャッシュポイズニング…

  2. FortiGate

    【禁断の異機種間HA】FortiGate-60F/60EでHAを組んでみた!

    こんにちは。takiです。タイトルの通り今回もやってみた系の記…

  3. PaloAlto

    ChatGPTを利用し、PaloAltoで多数のアドレスオブジェクトを作成するコマンドを、一括作成し…

    本記事はPaloAltoにおいて多数のアドレスオブジェクトを作成する際…

  4. LSCセキュリティアラート
  5. 実践記事

    LogStare Reporter-レポート作成キャンペーン「LogStareチャレンジ」やってみた…

    当記事では、LogStareチャレンジを開始するまでの環境構築手順につ…

  6. 実践記事

    【現場SE奮闘記 vol.1】社内ネットワークで「嵐」が起きたその日

    筆致についてはタイトル毎に統一されていません。あらかじめご了承ください…

月額200円でM356の監査ログの運用レベルUP LogStare M365

AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  2. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  3. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  4. 実践記事

    DNSキャッシュポイズニングやってみた
  5. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
PAGE TOP