こんにちは!こちらの記事ではibossのログストレージについて説明いたします。
概要
ibossは、ユーザーライセンスとログストレージライセンスをセットでご購入いただくことが必須となっております。
ログストレージにはibossで発生するログがすべて保存されるようになっており、保存されているログをibossコンソール画面上のイベントログや分析画面に出力します。
ログストレージライセンス
ibossのログストレージライセンスは容量でご契約いただきます。
※Zscaler、Catoは期間でのご契約となります。
容量がいっぱいになったら古いログが消され、新しいログが保存されていく形となります。
ストレージのサイジング
新機能がリリースされますと、ログ量も増えるため、ログストレージのサイジングには注意が必要です。
メーカーからは、2024年3月現在では、1ユーザーあたり75MB/日出力されるという情報も得られているため、最小容量の500MBですと数日でいっぱいになってしまうというケースもございます。
もし、数か月や1年という単位でログ保存をご要望される場合は、弊社担当営業にご連絡いただくか、以下のお問い合わせ窓口にご連絡いただければと思います。
サイジング計算用のエクセルツールもございますので、ご提供させていただきます。
また、ストレージに保存されるログを減らす機能はございますが、数MBしか削減することができないような機能となっております。
ログ転送機能
長期間ログを保存したいというご要望があった場合、ログ転送機能をご提案させていただいております。
こちらの機能では、外部のログサーバーや3rd partyのSIEM製品とAPI連携しログ転送することが可能となります。
【対応プロトコル】
- FTP
- SFTP
- SCP
- SYSLOG
【対応サービス】
- FireEye Helix
- Splunk (Splunk, HEC, Onprem)
- Microsoft Sentinel
【ログフォーマットの種類】
- ELFF
- CEF
- DELIMITED
- JSON (DELIMITED, LEGACY SELECTABLE)
- CIM (DELIMITED)
外部のログサーバーにログを転送する際は、インターネットからアクセスができるようにサーバを準備していただく必要がございます。
転送先のグローバルIPを指定し、転送することができます。
ログ転送時は、転送するカラムを指定することができるため、ログ量を減らしつつ、ログサーバーに保存することも可能です。
ログサーバー側からiboss側にログを取得しに来ることはできません。
ibossコンソール画面でも、様々なログを分析できるため、1か月分のログを可視化し、監査目的で数年分のログをログサーバーに転送するという使い方もございます。
ログ転送機能をご希望の場合は、Advancedライセンスをご契約いただく必要がございます。
ログストレージの追加契約
契約途中でもログストレージの追加のご契約をいただくことは可能です。※残月数に合わせる形となります。
追加する単位は上述した表の通りとなっているため、500GBから1500GBや3000GBなどに容量を増やしていただきます。
注意点といたしましては、リードタイム(ご発注からセットアップまで)を3~4週間見ていただく必要がございます。
アップグレードされる前にログがいっぱいになってしまいますと、古いログが削除されてしまう可能性がございますので、早い段階で追加のご依頼をいただければと思います。
ストレージ利用状況の確認
コンソール画面から確認することが可能です。
URLログ、IPSログ:出力されるログの保存領域
レポート:ibossのレポート機能にて出力するログを保存する領域
TIPS
- ibossはTCP、UDP、ICMPのプロトコルにも対応しているため、web以外の通信も通しますが、これらすべてのログがストレージに保存されます。Webブラウザの「シークレットモード」なども対象です。
- コンソール画面には「ストレージ アップグレードの要求」という機能がございますが、こちらはご利用することはできません。
- ログレポーターノードにもグローバルIPアドレスが割り当てられており、コンソール画面にて確認が可能です。(以下画像にあるグラフアイコンのノードがレポーターノードです。)
【iboss】SB C&S iboss 技術ブログのポータル
