【Dell Blog】「Unity×Alog ConVerter」CIFS監査ログ設定検証してみました！

皆様こんにちは。

ネットワールドのストレージ担当、三嶽です。

現在インフラエンジニア2年目、絶賛勉強中の私ですが最近Unity×Alog ConVerterの検証を行いましたのでその結果をシェアしたいと思います。

まずAlog ConVerterとは？というところですが、ユーザーの行動記録（アクセスログ）をサーバーから収集する製品となります。

サーバーが出力するイベントログからは「いつ、だれが、どのファイルに、何をした」かを解読するのは難しいですが、Alog ConVerterはそれを一目でわかるように変換してくれます。

Alog ConVerterを使えば情報漏洩や不正操作が発生した際にその証跡を簡単にログから検索することができます。

今回はUnityをファイルサーバーとして利用している想定で、その環境にAlog ConVerterを導入してみました。

UnityにおいてCIFS監査ログを設定するには大きく分けて以下の手順が必要となります。

手順

1.Alog ConVerterを構築する

2.イベントログの出力設定をする

2-a.NAS ServerへのCIFS監査設定

2-b.イベントログの設定変更

2-c.フォルダーの監査設定

3.ログ収集設定をする

4.ログ収集の動作確認

設定の内容自体はさほど難しくないとは思いますが、アクセス権周りなど少し苦労した箇所があったので、その辺りも補足しながら手順をまとめてみましたので参考にしていただければ幸いです。

1.Alog ConVerterを構築する

まずはAlog ConVerterをWindowsサーバーに構築しますが、ウィザードに従ってインストールし、ライセンスを適用すれば完了なので今回は割愛します。

2.イベントログの出力設定をする

2-a.NAS ServerへのCIFS監査設定

監査ポリシーの設定には「Unity and VNX FileCifsMgmt」を使用しますので、まずそちらを準備します。

Dellのサポートサイトから「Unity and VNX FileCifsMgmt.exe」(バージョンによって名称が変わる場合があります)を入手します。

NASサーバーと同じドメインに所属しているWindowsサーバーにドメイン管理者アカウントでログオンし、「Unity and VNX FileCifsMgmt」をインストールします。

Windowsの「コンピューターの管理」画面から[操作]-[別のコンピューターへ接続]をクリックし、「コンピューターの選択」画面で対象のNASサーバー名を入力し[OK]をクリックします。

[コントロールパネル]-[管理ツール]からインストールした[EMC Unity VNX VNXe NAS Management]を開きます。

開いた画面で[Data Mover/NAS Server Management]を右クリックし、[Connect to Data Mover/NAS Server]をクリックします。

次に[Select Data Mover/NAS Server] 画面で対象のNASサーバー名を選択して[OK]をクリックします。

[Data Mover/NAS Server Management]-[Data Mover/NAS Server Security Settings]-[Audit Policy]を右クリックし、[Enable auditing]をクリックして監査を有効化します。

[Audit Policy]を選択し、一覧から[Audit object access]を右クリックし、[Security]を選択、「Security Policy Setting」がポップアップするので[Success]と[Failure]にチェックをいれて[OK]をクリックします。

2-b.イベントログの設定変更

Windowsの「イベントビューアー」画面から[操作]-[別のコンピューターへ接続]をクリックし、「コンピューターの選択」画面で対象のNASサーバー名を入力し[OK]をクリックします。

NASサーバーに接続されたイベントビューアー画面の[クラシックイベントビューアー]-[グローバルログ]-[セキュリティ]を右クリックし、[プロパティ]を開き「ログサイズが最大値に達した時の操作：イベントを上書きしない」を設定し[OK]をクリックします。

Windowsの[ファイル名を指定して実行]から「regedit」と入力して「レジストリエディター」を開き、[ファイル]-[ネットワークレジストリへの接続]をクリック、「コンピューターの選択」画面で対象のNASサーバー名を入力して接続します。

[接続サーバー名]のツリーが表示されるため、以下のレジストリを展開してキーを設定変更します。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Security

レジストリは以下の表のように設定変更します。

名前	データ
File	イベントログ出力先フォルダーを指定する・必ず初期設定以外に変更すること・ファイル名は必ず「security.evt」のままとすること
AutoArchiveEnabled	オートアーカイブの設定を「1」(アーカイブする)にする
AutoArchiveTriggerPolicySize	イベントログのアーカイブサイズを指定する「512mb」と指定すると512MB毎にアーカイブする
AutoArchivePolicyTime	イベントログのローテート時間を指定する「1hour」と指定すると1時間毎にアーカイブする

※まず「File」を設定してからでないと「AutoArchiveEnabled」は設定できないので注意してください。

また、イベントログ出力先フォルダーのアクセス権でドメインの管理者権限を持つアカウント（現在設定の際にログオンしているアカウント）を許可していないと「File」の設定がうまくいかない場合があります。

再度「セキュリティのプロパティ」画面を開き[最大ログサイズ：786432KB]を設定し[OK]をクリックします。

※ここで設定する最大ログサイズは先ほど表で設定した「AutoArchiveTriggerPolicySize」より大きくする必要があります。今回は512MBの1.5倍で設定しています。

2-c.フォルダーの監査設定

エクスプローラーを開き、NASサーバー内の監視したいフォルダーを右クリックし、[プロパティ]を開いたら[セキュリティ]タブを選択し[詳細設定]ボタンをクリック、[監査]タブを選択し、[追加]ボタンをクリックします。

[プリンシパルの選択]をクリックし、監査対象とするユーザーアカウント、またはグループ名を入力して[OK]をクリックします。

今回はドメインの全ユーザーのアクセスログを取得すると仮定して、選択するオブジェクト名に[Domain Users]を指定して[OK]をクリックします。

続いて[監査エントリ]画面が開くので、種類を「すべて」とし、「高度なアクセス許可を表示する」をクリックし、取得したいログに合わせてチェックを入れます。

今回はフルコントロールにチェックを入れました。

チェックを入れたら詳細画面で[適用]をクリックし、設定を反映します。

以上の設定で指定したフォルダに「security.evt」が作成されます。

3.ログ収集設定をする

最後にAlog ConVerter側でログの収集設定を行います。

Alog ConVerterのGUIにアクセスし、管理画面から[対象サーバー]-[追加]をクリックします。

サーバーの選択画面で[EMC]を選択し、[次へ]ボタンをクリックします。

対象サーバーのサーバー名を指定し、[次へ]ボタンをクリックします。

イベントログ収集時の実行ユーザーを指定し、[次へ]ボタンをクリックします。

※イベントログ収集時の実行ユーザーについては、ALog ConVerterのインストール時に指定した管理者アカウント(共通アカウント)と、イベントログ収集用アカウントが同じ場合は[共通アカウントを使用する]を選択してください。異なる場合は[任意指定]を選択してユーザー名とパスワードを入力してください。

※AD環境の場合はドメインの管理者権限を持つアカウントを指定する必要があります。今回はAlog ConVerterのインストール時に管理者権限を持つアカウントを共通アカウントとして設定しているため、[共通アカウントを使用する]を選択しています。

次にログの収集周期を設定し、[次へ]ボタンをクリックします。

収集したいログ種別にチェックを入れ、[次へ]ボタンをクリックします。

「2-b」で設定したイベントログの出力先フォルダーを指定し、[次へ]ボタンをクリックします。

収集したアーカイブイベントログファイルの削除設定を選択し、[次へ]ボタンをクリックします。

設定内容を確認し、 [完了]をクリックします。