こんにちは、SBC&Sの半田です。

今回はCohesityをファイルサーバーとして導入後、よく利用されているアプリケーション、Spotlightについてご紹介いたします。

ファイルサーバーを利用する上で、重要なデータが格納されているケースが多く、その場合、情報漏洩対策として監査ログを取得して可視化する仕組みを別途検討する必要があるかと思います。
しかし、監査ログを可視化するシステムを導入するためには、別途サーバー、ソフトウェアを用意する必要があるため、コストや運用を考えると導入が難しいと思われるケースもあるのではないでしょうか。

今回ご紹介するSpotlightは、ファイル操作に関して出力されたログをレポート化するアプリケーションで、Cohesity MarketPlaceより無償で導入することが可能で、かつSpotlightをCohesity上で直接動作させることができるため、別途サーバーを用意することなくシンプルに運用することができます。

事前準備

Spotlightを利用するための事前準備としてCohesityのCloudサービスであるHelios上にCoheistyクラスタを登録しておく必要があります。
CohesityのMarketPlace、Heliosに関しては、以下ブログ記事にて紹介されておりますので、是非ご参照ください。

https://licensecounter.jp/engineer-voice/blog/articles/20200108_cohesity6cohesity.html

Spotlight導入手順

それでは、実際にCohesity上でSpotlightを導入するための手順をご紹介致します。
まずはCohesityのマーケットプレイスよりSpotlightをインストールする手順をご紹介します。

①Cohesityの管理画面より「MarcketPlace」⇒「All Apps」をクリックします。

②Spotlightの「Get App」をクリックします。

③Spotlightを稼働させたいCohesityのクラスタにチェックボックスを入れ、「Install」をクリックします。

④インストール後に管理画面のMarcketPlace⇒「My Apps」をクリックして、「Run App」をクリックします。

⑤デフォルトのまま「Run App」をクリックします。

⑥ログ出力の設定画面となりますので、ログ出力、有効期限（デフォルト90日）の設定を行います。

「Enable audit logs」、「Enable audit logs expiration」を有効にして、「Save」をクリックします。

ログ出力を有効化することで、以下パスへログが出力されるようになります。
\\cluster_name\COHESITY_AUDIT_VIEW\filesystem_audit

以上でSpotlightのインストールは完了です。

SpotLightのインストールが非常に簡単であることがお分かりいただけたかと思います。

Spotlightによるレポート閲覧

続いてSpotlightで閲覧できるレポート機能について見ていきたいと思います。

①管理画面のMarcketPlace⇒「My Apps」をクリックして、「Open Apps」をクリックします。

②Spotlightのダッシュボードが表示されます。
「New Search」をクリックするとフィルタ設定を行うことができます。

③期間、ファイルサーバー共有領域毎、ユーザ毎にフィルタリングすることが可能で、ファイルに対する操作（アクセス、編集、削除、新規作成、名前の変更等）について確認することが可能となります。

④日ごとのファイル操作数を可視化することで、不正アクセスがないか確認することができます。
また、ファイルサーバーの共有領域毎にアクセス状況を把握することができ、ユーザー、フォルダ、ファイルを特定することが可能です。
クライアントアプリケーション（ウイルスやソフトウェアバグ）によって、ユーザになりすまして（実行ユーザ）操作することもあり、それらを不正アクセスを特定することが可能です。

ファイルサーバー上の監査ログ取得をどのような製品で製品で実現するか、頭を悩ませることも多いかと思いますが、ファイルサーバーとしてCohesityを導入することで監査ログ可視化の機能もシンプルかつ無償で導入することができるので、一度ご検討いただければ幸いです。