皆様こんにちは。
ネットワールドのストレージ担当、三嶽です。
今回は最新バージョンであるPowerStore4.0も登場したPowerStoreとAlog ConVerterの連携検証を行いましたのでその結果をシェアしたいと思います。
昨年にもUnityとAlog ConVerterでのCIFS監査ログ設定を検証した記事を書かせていただきました。
その時の記事はコチラ→【Dell Blog】「Unity×Alog ConVerter」CIFS監査ログ設定検証してみました! - ネットワールド らぼ
Alog ConVerterも今年の4月にリニューアルされており、GUIなども刷新されていますのでご参考になれば幸いです。
手順
1.Alog ConVerterを構築する
2.イベントログの出力設定をする
2-a.NAS ServerへのCIFS監査設定
2-b.イベントログの設定変更
2-c.フォルダーの監査設定
3.ログ収集設定をする
4.ログ収集の動作確認
1.Alog ConVerterを構築する
まずはAlog ConVerterをWindowsサーバーに構築しますが、ウィザードに従ってインストールし、ライセンスを適用すれば完了なので今回は割愛します。
2.イベントログの出力設定をする
2-a.NAS ServerへのCIFS監査設定
事前準備としてDellサポートサイトのPowerStoreのページより「Dell EMC NAS Management」(バージョンによって名称が変わる場合があります)を入手します。
次にNASサーバーに接続します。
Windowsの「コンピューターの管理」画面から[操作]-[別のコンピューターへ接続]をクリックし、「コンピューターの選択」画面で対象のNASサーバー名を入力し[OK]をクリックします。
次にNAS Managementツールでの設定に入ります。
スタートメニューの[Windows管理ツール] にインストールした [Dell EMC NAS Management] が作成されているのを確認し、起動します。
起動後、[Data Mover/NAS Server Management]を右クリックし、[Connect to Data Mover/NAS Server]をクリックします。
次に[Select Data Mover/NAS Server] 画面で対象のNASサーバー名を選択して[OK]をクリックします。
[Data Mover/NAS Server Management]-[Data Mover/NAS Server Security Settings]-[Audit Policy]を右クリックし、[Enable auditing]をクリックして監査を有効化します。
[Audit Policy]を選択し、一覧から[Audit object access]を右クリックし、[Security]を選択、「Security Policy Setting」がポップアップするので[Success]と[Failure]にチェックをいれて[OK]をクリックします。
2-b.イベントログの設定変更
続いてイベントログの設定に入ります。
コンピュータの管理に戻り、イベントビューアー画面の[クラシックイベントビューアー]-[グローバルログ]-[セキュリティ]を右クリックし、[プロパティ]を開き「ログサイズが最大値に達した時の操作:イベントを上書きしない」を設定し[OK]をクリックします。
続いてレジストリの設定に入ります。
Windowsの[ファイル名を指定して実行]から「regedit」と入力して「レジストリエディター」を開き、[ファイル]-[ネットワークレジストリへの接続]をクリック、「コンピューターの選択」画面で対象のNASサーバー名を入力して接続します。
[接続サーバー名]のツリーが表示されるため、以下のレジストリを展開してキーを設定変更します。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Security
名前 |
データ |
設定値 |
File |
イベントログ出力先フォルダーを指定する ・必ず初期設定以外に変更すること ・ファイル名は必ず「security.evt」のままとすること |
c:\<ファイルシステム名>\security.evt |
AutoArchiveEnabled |
オートアーカイブの設定を「1」(アーカイブする)にする |
1 |
AutoArchiveTriggerPolicySize |
イベントログのアーカイブサイズを指定する |
512mb |
AutoArchivePolicyTime |
イベントログのローテート時間を指定する |
1hour |
※この設定ではイベントログが512MBに達するか、1時間経過するか、どちらかの条件に合致するとアーカイブされます。
続いてイベントログの設定を行います。
再度「セキュリティのプロパティ」画面を開き[最大ログサイズ:786432KB]を設定し[OK]をクリックします。
2-c.フォルダーの監査設定
続いてフォルダへの監査設定を行います。
エクスプローラーを開き、NASサーバー内の監視したいフォルダーのプロパティを開き、監査設定を行います。今回は画像のように設定しました。
3.ログ収集設定をする
最後にAlog ConVerter側でログの収集設定を行います。
Alog ConVerterのGUIにアクセスし、管理画面から[管理]-[対象ホスト]-[追加]をクリックし、PowerStoreを登録します。
ログタイプの選択画面で[EMC]を選択し、[次へ]ボタンをクリックします。
対象ホスト追加画面ではホスト名にNASサーバー名を入力し、[次へ]ボタンをクリックします。
アカウントにはドメインの管理者アカウントを入力し、[次へ]ボタンをクリックします。
次にタスクスケジュールの設定を行い、[次へ]ボタンをクリックします。
収集するログを選択し、[次へ]ボタンをクリックします。
「2-b」で設定したログ出力先フォルダーを設定し、[次へ]ボタンをクリックします。
収集したアーカイブイベントログファイルの削除設定を選択し、[次へ]ボタンをクリックします。
設定内容を確認し、 [完了]をクリックします。
4.ログ収集の動作確認
検証としてファイルのコピー&ペーストを大量に行うと以下画像のようにログが出力されました。
以上で設定は完了し、設定したスケジュールに従ってログが取得されます。
いかがだったでしょうか。Alog ConVerterはGUIが刷新されていましたが、設定の内容としてはUnityのものとほぼ同様で簡単に設定することができると思います。
PowerStore×Alog ConVerterでアクセスログを簡単に管理してセキュリティー強化を実現してみてはいかがでしょうか。
設定に不安がある方はネットワールドのサービスでPowerStoreのAlog ConVerter連携も実装できますので、お気軽にご相談ください!
それでは、また次回お会いいたしましょう。
Networld Techのブログ一覧はこちら!
https://www.networld.co.jp/product/emc/tech-blog/