ユーザーのアクティビティを記録したり監視したりできることは、システム セキュリティ全体において重要な部分です。多くの組織では、ソフトウェアや関連ハードウェア リソースへのアクセスおよび変更ができるユーザーをルールで制御しています。重要なアクティビティの監査ログを管理すると、ルール遵守の確認、違反の検出、修正アクティビティの開始を行うことができます。企業によっては、アクセスと権限のルールを継続的に監視および確認することを義務付ける外部の法律や規制に従わなければならない場合もあります。

監査ログは、成功したかどうかに関係なく、システムへの不正アクセスや情報の窃取、操作の妨害の試みを検知するのにも役立ちます。攻撃の試みやその詳細を把握することは、損害を軽減し、それ以降の攻撃を阻止することにつながります。

義務付けられているかどうかにかかわらず、定期的にログを調べて不審な活動、異常な活動、不正な活動がないか確認することは、優れたセキュリティ対策の 1 つです。定期的なログ分析は、システムの構成ミスや障害を特定したり、SLA の遵守を確認したりするのにも役立ちます。

vCloud Director には次の 2 種類のログがあります。
診断ログ
各セルのログ ディレクトリに保持される診断ログ。このログは、問題の解決に役立ちますが、重要なシステム操作の監査証跡を保管することを目的とするものではありません。各 vCloud Director セルでは、『 vCloud Director管理者ガイド』の vCloud Director ログの表示で説明されている複数の診断ログ ファイルが作成されます。
監査ログ
ログインやログアウトなど、重要なアクションを記録する監査ログです。システム監査ログは、 vCloud Director データベースに保管され、Web ユーザー インターフェイスで監視できます。各組織管理者とシステム管理者は、特別な制御領域を対象とするログを確認できます。

これらのログおよびその他の vCloud Director ログを保管するには、syslog ユーティリティを使用することをお勧めします。また、 vRealize Log Insight の使用も検討してください。これは、log4j に基づいていない要求ログのような他のログのリモート収集をサポートします。

vCloud Directorでの Syslog の使用

vCloud Directorインストールおよびアップグレード ガイド』で説明しているように、 syslog サーバはインストール時に設定できます。以下の複数の理由により、ログを syslog サーバにエクスポートすることをお勧めします。
  • データベース ログの保管期限は 90 日ですが、syslog を介して転送されたログは、必要な間いつまでも保管できます。
  • すべてのセルの監査ログを、一元化された場所で同時にまとめて確認できます。
  • 障害、ディスク容量不足、セキュリティ侵害などによってローカル システムから監査ログが失われるのを防ぎます。
  • 上記のような問題が発生した場合のフォレンジック調査をサポートします。
  • 多くのログ管理システムおよびセキュリティ情報とイベント管理 (SIEM) システムが vCloud Director と連携する手段になります。これによって以下が可能になります。
    • vCloud DirectorvSphereNSX、およびスタックの物理ハードウェアのレイヤー間のイベントとアクティビティの相関関係。
    • 物理、仮想、およびクラウド インフラストラクチャの境界を越えた、クラウド セキュリティ操作とクラウド プロバイダや企業のその他のセキュリティ操作の統合。
  • セルが展開されているシステムとは別のリモート システムにログを保管すると、ログの改ざんの防止につながります。セルが侵害されても、監査ログにアクセスしたり、監査ログ情報を書き換えたりできることにはなりません。

初期インストール時に syslog のログ記録先を設定しなかった場合は、後で各セルに移動し、$VCLOUD_HOME/etc/global.properties ファイルを編集してからセルを再起動すれば、記録先を設定できます。

vCloud Director ホストから syslog サーバに対して開いたままにする必要のあるポートのリストについては、ネットワーク セキュリティの要件を参照してください。syslog サーバ構成の詳細は、システムごとに異なり、このドキュメントの範囲外です。重要なイベントが必ずログに記録されるように、冗長性を備えた syslog サーバ構成をお勧めします。

上記では、syslog サーバへの監査ログの転送についてのみ説明しました。セキュリティ運用と IT 運用の組織にとっては、上記の診断ログを一元的に集約して管理することも有用です。これらのログを収集する方法はいろいろあります。たとえば、ログを一元化された場所に定期的にコピーするジョブをスケジュール設定する方法、log4j.properties ファイル ($VCLOUD_HOME/etc/log4j.properties) で追加のロガーを中央の Syslog サーバに設定する方法、また、ログ ファイルを監視し、一元化された場所にコピーする vRealize Log Insight などのログ収集ユーティリティを使用する方法などです。どの方法を選択するかは、対象の環境で採用するシステムによって異なり、このドキュメントの範囲外です。

重要:

TLS 対応の syslog インフラストラクチャを使用することをお勧めします。デフォルト (UDP) の syslog プロトコルでは、転送中の暗号化や伝送制御/確認が提供されません。暗号化を行わないと、ログ データが傍受される危険があり(ログ内の情報が別の攻撃に悪用される可能性がある)、伝送制御を行わないと、攻撃者がログ データを改ざんする危険があります。詳細については、RFC 5426のセクション 4 を参照してください。

診断ログおよびログ ロールオーバ

Jetty 要求ログ ファイル ($VCLOUD_HOME/logs/yyyy_mm_dd.request.log) は、Jetty (HTTP) サーバによってプログラムで制御されますが、サイズの上限が課されていません。このため、ログ ファイルのサイズが無制限に大きくなるリスクがあります。Jetty の HTTP 要求ごとに 1 つのログ エントリが現在のファイルに追加されます。このため、logrotate や同様の方法を使って、ログのサイズおよび保管する古いログ ファイルの数を制御することをお勧めします。

それ以外の診断ログ ファイルは合計 400 MB に制限されます。これらのファイルの格納に加え、Jetty 要求ログで使用されるサイズに対して十分な空きディスク容量があることを確認してください。前述のように一元的なログ管理を行うと、ログ ファイルの合計が 400 MB に達してファイルのローテーションや削除が発生しても、貴重な診断情報を失いません。

NTP とログ

vCloud Directorインストールおよびアップグレード ガイド』では、NTP を vCloud Director のすべてのセルの要件としています。NTP を使用すると、すべてのセルからのログ メッセージのタイムスタンプが同期されるという副次的効果もあります。確かに、ログ管理ツールと SIEM システムのタイムスタンプが統合されると、複数のツールやシステムから来るログを揃えるのに役立ちますが、このタイムスタンプはそれぞれのシステムが受け取った時刻であり、イベントが実際に記録された時刻ではありません。

その他のログ

vCloud Director に接続したり、使用されたりするその他のシステムが作成する監査ログも、監査プロセスに組み込む必要があります。たとえば、NSX Manager、vCloud Director データベース、vCenter ServervSphere ホストなどのログがあります。各システムのログ ファイルの詳細と用途はこのドキュメントの範囲外です。それぞれの製品のドキュメントを参照してください。