はじめに

みなさん、こんにちは。SBC&Sで技術支援を担当しています、中里です。

以前、当エンジニアボイスでCohesityの監視、特にアラートについて取り上げました。ただ、企業にとって保有するサーバー等のアラートを適切な方法で管理することも大事ですが、サーバーやシステムに対するアクセスや設定変更、ファイルサーバーに対する操作ログなどの監査証跡をしっかり残しておくことも重要かと思います。また、外部からネットワーク攻撃を受けたときや内部でなにかしらアクシデントが起きた際に、攻撃者や原因、関係する痕跡を探すときにも監査証跡は重要な手がかりとなります。

今回は、Cohesityから出力できるSyslogの種類を紹介し、特にCohesityのファイルサーバーとしての機能であるViewに対する操作ログの出力方法や実際の出力内容について解説したいと思います。

CohesityのSyslog

CohesityのSyslogは大きく分けて以下の6つがあります。
・cluster_audit・・・クラスタ関連のログ（ユーザーのログインやバックアップジョブの作成など）
・filesystem_audit・・・ファイルサーバー関連のログ（Cohesity Viewに対する操作ログ）
・cohesity_alerts・・・アラート関連のログ（Cohesityが発出するアラート）
・dataprotection_event・・・バックアップジョブに関するログ（バックアップジョブの実行や実行結果など）
・sshd・・・sshデーモンに関するログ
・api_audit・・・api呼び出しに関するログ

上記Syslogの中から、管理すべきものを選択してCohesityから出力することが可能です。

Syslog出力設定

まず、CohesityからSyslogを出力するためにはCohesityにSyslogサーバーを登録する必要があります。以前の記事でも紹介したように、Cohesity 6.5.1以前のバージョンではCLIでのみの登録でしたが、Cohesity 6.6からGUI上で登録できるようになっています。

Settings>Summary>Syslog画面で"+Add"をクリックして、必要な情報を入力します。

"Stream"をクリックすると、出力するSyslogを選択することが可能です。

"Add"をクリックし、正常にSyslogサーバーと通信ができれば登録が完了します。（宛先IPアドレスorホスト名、ポート番号に誤りがあれば登録ができない仕様となっています。）

ファイルサーバー（Cohesity View）のSyslog設定

前述したように、Cohesityのファイルサーバー（View）に対する操作ログはfilesystem_auditというログで出力されます。しかし、Syslogサーバーを登録しただけではファイルサーバーのログは出力されません。Cohesityファイルサーバーに対する操作ログ（誰が、どのファイルを作ったか、更新したか、削除したか、等）を出力するためには、CohesityのViewごとにSyslog出力をONにする必要があります。デフォルトではOFFになっています。設定はGUIから行う事が可能です。

System>Audit Logs>File Services画面を表示し、画面下部のAudit Status of Viewsでログを出力したいViewを選択し、Audit LogsのトグルをONにします。

以上でCohesity Viewのログ出力設定が完了となります。しばらくすると、Viewに関する操作ログがSyslogサーバーに出力されます。
また、同画面のLog Locationのパスにアクセスすると、Cohesity内に格納されたViewの操作ログを確認することも可能です。

このディレクトリに保存されている操作ログがCohesityのSyslog（filesystem_audit）として出力されます。

Syslogを覗いてみる

Syslog出力の設定が完了したので、実際にSyslogがどのように出力されているのか確認してみます。
Syslogとして出力されたデータを開いてみると、以下のようにSyslogが出力されていることがわかります。（Syslogの内容はSyslogサーバーの受信方法、変換方法により環境ごとに形式は異なる可能性がありますので、実際に出力し内容をご確認ください。）

Syslogのデータとして、cluster_audit・dataproteciton_events、filesystem_auditの３種類が出力されています。Syslogサーバーを登録する画面にて、他にsshdも選んでいる場合はこのデータの中にsshdに関するSyslogも含まれて出力されます。

cluster_auditログには以下のような内容が含まれています。（セキュリティ上の関係から、一部抜粋、マスクして表示しています。）

adminというユーザーがいつ、どのクラスターに、どこからログインしたのかがわかります。他に記録されるアクションとしてはバックアップジョブを作成した"create"やバックアップジョブをキャンセルした"cancel"など、クラスタ単位で実行されたアクションが記録されます。

また、filesystem_auditログには以下のような内容が含まれています。（セキュリティ上の関係から、一部抜粋、マスクして表示しています。）

上記ログからは、AdministratorというユーザーがsuperviewというView内にnewtext_20210924.txtというテキストファイルを作成したことがわかります。filesystem_auditではファイルサーバーの証跡として必要な操作ログ（作成、更新、削除、ファイルオープン等）を出力することが可能です。実際にどのような内容を出力できるかはメーカーが提供している公式ドキュメントがありますので、ご確認いただければと思います。

まとめ

今回はCohesityでのSyslogの出力方法、出力内容についてご紹介しました。
Cohesityを導入した際にも、もしものためにSyslogを有効活用し、証拠（記録）を適切に保管することをおすすめいたします。本記事が少しでもお客様のお役に立つことができれば幸いです。

※今回検証に使用したSoftwareバージョンは6.6.0bです。バージョンにより機能の仕様や動作が異なる場合があります。
Syslogの出力内容や種類については最新のメーカードキュメントをご参照ください。