みなさん、こんにちは。
ネットワールドSEの黒瀬です。
これまで、ZIAの様々な機能を紹介してきましたが、ZIAもただ設定するだけでは、その機能を十全に使えているとは言えません。
企業ごとに最適化したポリシーを適用、運用していかなければなりません。そこで大事になってくるのがログです。
そこで、今回はZIAのログの見方についてご紹介します。
IT未経験でも参考になるように優しく説明し、後半では実際どう使っていくかもご紹介していきます。
* 免責事項
- 本書は、株式会社ネットワールド(以下 弊社)が作成・管理します。
- 本書の記載内容の一部または全部を弊社に無断で改変・転載することを禁じます。
- 本書の記載内容は、一部または全部が将来予告無く変更されることがあります。
- 本書の利用は、利用者様の責任において行われるものとします。
- 本書の記載内容には、最善の注意を払っておりますが、正確性・完全性を保証するものではありません。従いまして、本書の利用によって生じたあらゆる損害に関して、弊社は一切の責任を負いかねます。
Zscaler Insights Logsとは
Insight Logs(解析ログ)とはZscalerが提供するログ機能です。
ZIAにおいてZscalerによって処理された各トランザクションの詳細なログを表示することができ、通常はZscaler Nanologサーバーに180日間保存されます。
また、ZIAのInsights Logsの画面は「解析」と「ログ」の2つのタブに分かれています。
「解析」は各トランザクションを任意のグラフで表示、「ログ」は上記で述べた通り、各トランザクションの詳細なログを表示します。
公式ドキュメントは解析は「解析(Insights)」、ログは「解析ログ(Insights Logs)」で説明されているので、参考にする際はご注意ください。
解析について:https://help.zscaler.com/ja/zia/about-insights
ログについて:https://help.zscaler.com/ja/zia/about-insights-logs
また、ZIAは様々なトランザクションについてのログがそれぞれ分類されています。
その種類について、ご紹介していきます。
ZIAのログの種類
ZIAは様々なトランザクションについてのログが大まかに分けられています。
ZIAで表示できるログの種類としては以下があります。
・Web
・モバイル
・ファイアウォール
・DNS
・トンネル
・SaaSセキュリティ
・エンドポイントDLP
・エクストラネット
・サンドボックス
お使いのライセンス状況によって、使用できたりできなかったり、そもそも表示されていなかったりするので注意してください。
ログってどう使う?
ログはただ見るだけでは、もったいないです。
ログの活用方法は様々ありますが、今回はざっくりと分けて2つの使い方をご紹介します。
まずは「解析」のグラフから全体の傾向や脅威の推移を把握し、異常の兆しを発見したら「ログ」の表で個別イベントを掘り下げ、確証を得たうえで対策や設定反映を行うといった方法。もうひとつは、あらかじめ狙いを定めてログにフィルタをかけ、ポリシーが意図通りに運用されているかを検証・監査する方法です。
前回まで行っていたのは後者で、設定を行った後にそのポリシーがしっかり適用されているかを確認していました。
今回は今まで行ってきた内容がすべてWebインサイトログなので、Webインサイトログに絞り、今までどんな風にログを確認していたかをご紹介していきます。
ログの設定をご紹介
まずはログのページに移動します。
experience centerから「ログ」→「インサイト」→「Webインサイト」を選択します。
ZIAのログの画面は「解析」と「ログ」に分かれています。
今回はログを見ていくのでログのタブを選択していきます。
ログの設定項目
ここから実際にログを確認するために条件を設定していきます。
条件として設定するのは大きく分けて3つです。
- 時間帯(期間)
- フィルター
- 表示するレコードの数
それぞれ詳しく説明していきます。
時間帯(期間)
ZIAのログでは下図のように定義済みの時間枠を選択するか、「カスタム」を選択して独自の時間枠を選択してフィルタリングすることができます。
また、「カスタム」では、終了日を開始日から最大92日後にすることができます。
フィルター
フィルターを適用することで、リストを絞り込んだり、特定のトランザクションを検索することができます。
フィルターできるタイプは膨大になるので、以下の記事を参照してみてください
ログフィルター:https://help.zscaler.com/ja/zia/about-insights-logs
上記URLのインサイトログページの「6」に記載
Webインサイトについてのログフィルター:https://help.zscaler.com/ja/zia/web-insights-logs-filters
出力形式及び表示するレコードの数
ログの出力形式は「CSVファイルとしてダウンロードする」、「ディスプレイ表示」から選択できます。
CSVファイルとしてダウンロードする場合は、10万件、25万件、50万件、100万件のレコードを選択して、一度に最大100万件のレコードをエクスポートできます。
エクスポートできる上限は20回/1時間となっています。
また、ディスプレイ表示の場合は、1000件、5000件、1万件、2万5000件のオプションを選択し、最大2万5000件のデータを表示できます。
実際にログを見ていこう
以前の「ZIA基本のキ#2」でtest1というオンラインショッピングへのアクセスをブロックするURLフィルタリングのポリシーを作成した際、その時はログを確認していなかったので、今回はそのログを確認していこうと思います。
※以前のURLフィルタリングのポリシー内容
【ユーザー「Yoshiaki Kurose」のonline shoppingサイトへのアクセスをブロックする】
実際に確認する手順として
1. オンラインショッピングサイトにアクセスしてみてブロックされるか確かめる。
2. ログのフィルタリングを行い、ブロックされているかをログから確認する。
といった流れで行っていこうと思います。
では、まずオンラインショッピングにアクセスし、ブロックされるか確かめます。
上図からブロックされたことは確認することができました。
それでは、これからログを確認していこうと思います。
まずは時間帯です。
実際には様々なトラフィックが流れているので、このような確認の際は、期間は短く絞ったほうが効果的です。
今回は過去5分で設定します。
次にフィルターです。
今回はユーザーが確定しているので、ユーザーでまずはフィルタリングします。
ポリシーの検証・監査の際は、ユーザーを絞っておこなっていることがほとんどだと思うので、ユーザーでフィルタリングすると見やすくなります。
また、今回はブロックするポリシーなので、ポリシーアクションのブロックでもフィルタリングしていきます。
あとは表示形式と表示するレコードの数ですが、今回は表示するレコードの数を最小でそれぞれディスプレイ表示とCSV出力を見ていこうと思います。
まずはディスプレイ表示です。
ログの列フィールドも変更することができます。
こちらも様々な項目があるので、下記を参照してみてください。
ログの列フィールド:https://help.zscaler.com/ja/zia/about-insights-logs
上記URLのインサイトログページについての「5」に記載
Webインサイトログについてのログの列フィールド:https://help.zscaler.com/ja/zia/web-insights-logs-columns
続いてCSV出力です。
上図ようにCSVファイルとして出力されました。
まとめ
今回はログの見方についてご紹介しました。
今回はURLフィルタリングのポリシーに関するログで確認していきましたが、他にも様々なフィルターやログの活用の仕方があると思うので、そちらも別の機会にご紹介していけたらいいなと思います。
次回の記事もぜひご覧ください。
