ログ量と共に増え続ける運用コスト
テレワークが普及し、オフィス以外で仕事をすることが珍しくなくなった昨今、従業員の適切な労働環境を守ることや、不自然な振る舞いをいち早く発見する目的として、PCやアプリケーションソフトのログ監視の必要性が高まっています。また、サイバー攻撃の複雑化・巧妙化に対応するため、攻撃を防御するだけでなく、万が一攻撃者が侵入してしまった際の経路調査と対策のために、Proxyやネットワーク機器などのログをいつでも確認できる状態にしておくことも重要です。
またシステム管理者は様々なログを収集しておくだけでなく、インシデント発生時には適切な情報を探し出し提出することを求められています。ログの保管自体は難しいことではありませんが、日々増え続けるログの管理はディスクリソース面でも運用コスト面でも簡単なものではありません。ログ保管は保管先の容量を圧迫し続け、オンプレミス・クラウドに関わらず増設のためのリソースコストと作業コストが発生します。実際にインシデントが発生した際、膨れ上がったデータベースから必要な情報の検索が終了するまでに数時間、場合によっては数日間かかったというような話もあります。
これらのログ保管先をSIEM製品であるSumo Logicへ移行すると、このような悩みの解消が可能です。
Sumo Logicを利用したログ管理
Sumo Logicはあらゆるログを収集して分析・監視ができるSIEM製品です。
ログ保管期間は最長5,000日(※1)で、容量の制限は無し。フルクラウド製品なのでディスク増設の手間は一切必要ありません。ディスクを増やせないことを理由に保管期間を削ったり、別のディスクに移し替えたりといった対応は不要です。
さらに、保管先として利用するだけではなく、取り込んだログの管理も簡単です。ログはブラウザ上でいつでも確認ができ、専用クエリを使って素早く検索・分析を行えます。
(※1)ご契約内容によって異なります
それでは実際にMicrosoft SQL Server (以下MSSQL)からSumo Logicへデータを移行する方法についてご紹介します。
◆イメージ図
- MSSQLのデータをエクスポート
- Sumo Logicエージェントがインストールされたサーバから、https経由でSumo Logic環境へデータを転送
ステップは大きく2つのみです。
文字コードがUTF-8のテキストデータとして出力可能であれば、エクスポートの方法は問いません。Sumo Logic側で予め指定したフォルダにデータが生成されると、即時にhttps経由でデータが送信されます。
取り込んだログはブラウザの管理画面上で検索することはもちろん、専用クエリでフィルターを掛けて必要な情報だけを表示したり、エラーログを集計して日々の件数変動を監視したり、しきい値を超えたら管理者へメールで通知したり... その後の活用方法は多岐に渡ります。
Sumo Logicへの移行により、これまでMSSQLを使った検索には数日間かかっていたものが、数分間で済むようになったという事例もあります。
ログ管理+αの活用で管理者をもっと楽に
例えば、企業向けに広く利用されているMicrosoft 365の監査ログは通常90日間しか保有ができません。しかし、Sumo Logic へ取り込むことで90日以上の保存が可能となり、標準で用意されているテンプレートを適用してより柔軟に利用状況の監視ができます。
MSSQLのログに限らず、他の製品やサービスと組み合わせて、お客様だけのログ監視画面を作成できます。「このような使い方はできないの?」「このログとこのログをまとめて監視したい」などのご要望がございましたら、ぜひ一度弊社までご相談ください。
まとめ
いかがだったでしょうか。
スケーラビリティに優れたSumo Logicは、MSSQLからの移行先として充分な機能を有しています。Sumo Logicへ移行することで、データ保管先ディスクの監視や、欲しいデータの取り出しに掛かっていた運用コストが削減されます。それだけでなく様々なサービスのログと組み合わせてお客様だけのログ監視画面の構築が可能です。Sumo Logicの特長である長期保管可能なストレージと高度な分析機能により、ログ管理にまつわるお悩み軽減に繋げることができれば幸いです。
実際のデモをご覧いただくことも可能ですので、ご興味があれば、お気軽にご相談ください。