シンジです。cloudpackでは様々な外部監査をやっていると、「御社のログを見せて下さい」と言われるのは日常茶飯事です。生ログ見せても仕方が無いので、可視化してやる必要があります。 国内で「統合ログ管理ソフトウェア」と言えば、この2つでは無いでしょうか。ありとあらゆるログを全てぶち込んで、可視化するというのがこの手のソフトの共通点です。
ログを取る目的をはっきりさせる
ログの取得、バックアップと、システムの冗長化は全く関係がありません。 そもそもログとは一体なんでしょうか。
ログとは、起こった出来事についての情報などを一定の形式で時系列に記録・蓄積したデータのこと。
船の航海記録(日誌)が原義。
ある機器やソフトウェア、システムについて、その起動や停止、エラーや障害の発生、利用者による操作や設定の変更、外部との通信など、
稼働中に起こった出来事の内容を日時などとともに時系列に記録したものをログという。
稼働状況の確認や集計、不具合の原因調査などのためによく参照される。
また、コンピュータやネットワークを介して複数の人の間で交わされたメッセージの内容を時系列に記録したものをログという。
電子掲示板への書き込みや、メッセージ交換ソフトによる利用者間のメッセージのやり取りなどを記録したデータやファイルがこれに相当する。
まぁ要するにイベント記録ですね(何
ログから障害を予測する時代
ログは「保全」の為に使われていました。今は「障害予測」の為に使おうとする流れが主流です。 例えば、
- 外部からの攻撃が多く、攻撃通達まえにログ出力されアラート
- ステージング環境と、本番環境をタグ付け運用して、本番環境にシステム変更が検出された場合にアラート
- 複数のログイン失敗や、やたらとroot権限使いたがるユーザのログを検知したらアラート
などなど。上記は普通に実装可能です(というか大枠やっています)
cloudpackの場合、ログ取得対象はいろいろあるが
- 社内インフラに限ったAWS上のサーバー群全て
- 社内インフラの全拠点のネットワーク機器全て
- 顧客環境含む「AWS Cloudtrail」のログデータ全て(S3) 後は厳密に言えば、AWS ConfigやBillingもありますが、それはおいおい。
結論、SplunkとLogstorageどっちがいいの??
8月末まで粘って検証します。今のところの感想としては、
「Splunkの場合」
- 世界的に導入されているだけあって、やりたいことは割と直ぐ出来た
- さすが大手だけあって強気のライセンス料金
- さすが大手さんだけあってユーザさんも超大手
- セミナーとかが割と頻繁に行われていてありがたい
- マクニカネットワークスさんもSplunk-Japanさんもレスポンス良い
「Logstorageの場合」
- 欲しい機能が来月リリースとか再来月リリースとかで全体のイメージ出来ない
- ライセンス体系が考えられていて、cloudpackのようなAWS再販業者向けのプランがあるのが嬉しい
- というか、実装されていく予定の機能が、再販業者しか喜ばなさそうな結構コアな機能を実装しようとしている
- おそらく中の人でAWSに精通している人がいるっぽい(検索テンプレートを見て思った)
- 担当営業さんもレスポンス良くて助かっています
SOC2監査は両方使っています
Splunkのお試しライセンスで進めていたので、監査中にライセンスが切れてしまったので、Logstorageに切り替えたというお恥ずかしい話しです。 どちらも普通に監査では効力あるデータを提出できています。
cloudpackのPCI DSS v3.1の監査が8月にありますが
8月頭でオフィス増床による移転があるので、監査対象を新規設備で作り直しなんですね。そんな事情もあって、まずはこれを乗り切るためのログ収集サービスをどっちにしようかといったところです。
なにか情報お持ちの方は是非シェアさせてください
この辺りの話しはまた改めてアップデートしていきます。 少なくともLogstorageの開発元であるインフォサイエンスさんは、非常に勢いがいいので、弊社のAWS統合管理ツールもお見せしながら、いろいろなものを吸収頂いて、よりよい製品になればいいなぁなんて考えています。