文:ジュピターテクノロジー よしひろ
それ以前は、NetFlowとは?から始まりNetFlowプロトコルに焦点を絞った記事やVyOSでsFlow v5送信とかいくつかの脱線記事を書いておりましたが、徐々にNetVizura NFAの記事を増やしていきたいと思います。
小職がブログ記事を書く上で意識していることは、インストールや設定といった基本的な内容の記事ではなく、「フローコレクターを使うと何が嬉しいの?」といったソリューション、ユーザーの困りごとを解決するネタを優先的に記事化していきたいと考えております。
よって、「xxに困っているから何かソリューションないの?」というお問い合わせは大変嬉しいご相談ですので、お気軽に弊社迄お問い合わせください。何かしらのネタを持って会話させていただきます。
今回は弊社が販売するWindowsイベントログ管理・シスログフォワーダーとして利用出来るAdiscon社 EventReporterとNetVizura NFAを連携させて、ドメインユーザーごとのトラフィックを分析する環境を整えます。
最初に本記事のゴールを説明します。下図のようにAll Usersツリー配下にドメイン名とドメインに所属しているユーザーが表示されれば目的達成です。こちらの画面で、ドメインユーザーごとのトラフィックを表示、分析することが出来ます。NetVizura NFAでは、この機能をEnd Users機能と呼んでおります。ユースケースとしては、本社ドメイン全体のトラフィック傾向の分析やインシデント発生時の個別ユーザーのトラフィック利用履歴・分析に活用することが出来ます。
ここでEventReporterの役割を説明します。大きく2つあります。一つ目は、ADの役割を持つWindows 2016 サーバーにインストールしSyslogフォーマットでイベントログをNetVizura NFAに送信する。二つ目は、NetVizura側のログ受信を抑える為に特定のイベントログのみを送信するようフィルターを活用するです。尚、本記事ではEventReporterのインストール方法については紹介しませんので、弊社の評価版ダウンロードページからインストーラーとマニュアルを入手しEventReporterをご準備ください。
EventReporterの設定
EventReporterのインストールが完了したら、必要な設定を行います。Actions配下のSyslog転送でNetViuzra NFAのIPアドレスとSyslog受信ポートを設定します。本検証では、それぞれ192.168.91.128, 33515(デフォルト)を設定しました。
次にFiltersメニューで送信するイベントログIDを絞ります。ID4624のみ必要となりますので、Property Name:にid、Set Property Value:に4624を設定しRestartボタンを押してください。これで、EventReporterのSyslog送信設定は完了です。
NetVizura NFAの設定
次にWindows 2016サーバー用にEnd Users機能の設定を行います。英語版OS用の設定が下図になります。実際にサーバーからSyslogを受信してMatch string:の内容を確認します。そして、下図の例に従って正規表現を設定してください。尚、日本語版OSではMatch string:は日本語を含む内容となりますので修正が必要です。最後にVerify matchボタンを押して、「We were able to match user logon details:」が出力されれば、Syslog受信した上でMatch string:設定も正しいといったことになります。以上で、NetVizura NFAの設定は完了です。
NetViuzra NFAのダッシュボードによる確認
次にNetVizura NFAのEnd User機能が動作しユーザーごとにトラフィックが表示されているかを確認しましょう。本作業を行う前に、ドメインに所属するPCとドメインユーザを使って、ログイン・ログアウトを一度実施しておいてください。それから、NetVizura NFAのダッシュボード画面を表示してください。下図の右下、オレンジ枠の様にログインしたユーザー名のグラフが表示されていれば成功です。例では、tanakaさんのトラフィックが表示されています。次にこのウィジェットを左クリックしてください。
ウィジェットを左クリックすると、End users画面に遷移します。下図の左パネルのように2016DOM.LOCALドメイン配下にtanakaさんが所属しており、かつトラフィックのグラフが表示されていることが分かります。
それでは、本当にtanakaさんのトラフィックが捕捉出来ているのか?を確認する為にtanakaさんでPCにログインをして、大きめなファイルをインターネット経由でダウンロードしてみましょう。例ではubuntuのisoファイルをダウンロードしました。下図がダウンロードした時間帯のトラフィックグラフとなります。-Download方向にグラフが飛び出ており、160.26.2.186とのHTTP通信であることが分かります。さらに、whois情報で富山大学のサーバーからisoをダウンロードしたことが分かります。
今回の記事では、Adiscon社 EventReporterとNetVizura NFAを連携させてドメインユーザー単位のトラフィック迄捕捉する環境を作成しました。本機能があれば、IPアドレス台帳からエンドユーザーを特定といった煩わしい作業をすることなくユーザー名まで追跡することが出来ます。インシデント発生時やドメイン単位でのトラフィック分析に活用できるイメージが出来たのではないでしょうか。
弊社では、フローコレクターNetVizura NetFlow Analyzerを販売しております。
主な特長としては、
主な特長としては、
- 軽量で低スペックサーバーでも動作
- サブスクリプションによる柔軟なライセンス契約
- 特定トラフィック・特定ユーザーの監視に適している
- ネットワークが遅い!の調査に使えるお手軽フローコレクター