【OSS情報アーカイブ】Graylog

※当記事に記載されている情報は、古くなっている場合があります。オフィシャルサイトで最新情報をご確認ください。

「Graylog」とは

「Graylog」基本情報

■概要

Graylog(グレイログ)とは、オープンソースのログ管理プラットフォームです。さまざまなデータソースからデータを収集し、1つの中央ロケーションからデータ管理を行えます。

■基本説明

Graylogは、さまざまな形式のログをオープンスタンダードに基づいて集約し、Webインターフェースからログデータについて「可視化」「高速検索」「分析」などを行えます。

Graylogは、すべてのデバイスとネットワークから各種データを収集するためにシステム全体と統合する包括的なログ管理ソリューションを提供し、セキュリティとコンプライアンスに関するニーズを満たします。

■オフィシャルサイト情報

オフィシャルサイト

→Graylog(Open Source Log Management for All | Graylog)

ライセンス情報

Graylogのライセンスは「GNU General Public License v3.0」です。

詳細について、こちらを参照ください。
→GitHub　→Graylog2/graylog2-server　→COPYING

ダウンロード

→Graylog　→DOWNLOAD & INSTALL

■同様製品

同様な機能を提供する製品として、次のようなものがあります。

オープンソース製品：「Kibana」など。

「Graylog」の主な特徴

■データ処理

データ収集

Graylogは、任意のデータソースからさまざまなログデータやイベントデータを収集できます。

多様なログ形式に柔軟に対応できるため、「歴史が古いソフトウェアログ」から「最新アプリケーションログ」まで収集できます。

データ分析

Graylogは、ログデータを検索し、重要な情報を発見して分析する機能を提供します。

検索前に完全な計画を立てることなくデータ分析を開始でき、強力な検索構文を使用して、欲しい情報を正確に検索できます。

正しい情報を見つけるためにさらに検索結果を深く掘り下げることで、より多くの情報を明らかにできます。

コンテンツパック

コンテンツパックは「入力機能」「抽出機能」「ストリーム機能」「ダッシュボード」を組み合わせて構成されます。

既存のコンテンツパックを利用したり、コンテンツパックを独自に作成しておくことで、環境内ですばやく起動して実行できます。

■スケーラビリティ

Graylogは、複数の「ログソース」「データセンター」「地域」にまたがって、水平方向に拡張し、数テラバイトクラスまでのあらゆる規模のワークロードに対応できます。

フォールトトレランスが組み込まれているため負荷分散操作も可能です。

■高速検索処理

Graylogのマルチスレッドデータ検索を使用して、一度に複数の問題を高速検索して調査できます。

1つの画面から関連性のあるデータについて「検索」「集約」「分析」「視覚化」「レポート」することで検索効率が向上します。

■データ暗号化(Elasticsearchベース)

GraylogのすべてのログデータはElasticsearchに保存されます。そのため、Elasticsearchの暗号化機能を利用できます。

■機能統合

オーケストレーションプラットフォーム統合

Graylogは「Chef」「Puppet」「Ansible」などの一般的なオーケストレーションプラットフォームと統合して利用できます。

構成管理ツールとの統合により、設定が簡単かつ再現可能になります。

REST API統合

「Graylog REST API」を使用することで、あらゆる設定や分析タスクの自動化が可能となり、構成設定とログデータの両方を提供できます。

「スクリプトを使用したテナントセットアップ」や「検索結果を既存ツールに出力」などが可能です。

■機能拡張

Graylog Marketplace

Graylog Marketplaceは Graylog用アドオンの中央ディレクトリです。

Graylog開発者とコミュニティメンバーによって構築された「プラグイン」「コンテンツパック」「GELFライブラリ」などの多くのコンテンツが提供されています。

→Graylog　→Marketplace

「Graylog」の主な機能

「Graylog」の主な機能

■ダッシュボード機能

Graylogでは、各種メトリックを視覚化し、1つの中央ロケーションで傾向を観察するためのダッシュボードを作成できます。

「ログ件数」「検索結果ページのフィールド統計」「クイック値」「特定フィールド値の推移」「キーワード出現数」などを使用して、データをより深く分析するためのグラフやランキング表を作成できます。

以下の検索結果タイプをダッシュ​​ボードに追加できます。
・検索結果数
・検索結果ヒストグラムチャート
・統計値
・フィールド値チャート
・積み上げグラフ
・クイックバリュー結果　など

チームメンバーは、シンプルなユーザーインターフェースを通じて、豊富な情報に簡単にアクセスして、グラフや表をドリルダウンして詳細にデータ分析できます。

→Graylog　→Docs　→Dashboards

■フォールトトレランス機能

Graylogには耐障害性機能が組み込まれているため、追加コンポーネントを必要とせずに、負荷分散動作できます。

ネットワークが停止した場合には、Graylogメッセージジャーナルを使用してデータの損失を防ぎます。

■データコレクタ管理機能「Graylog Collector Sidecar」

Graylog Collector Sidecarは、さまざまなログコレクタ用の軽量構成管理システムです。1つの中央インターフェースから、Graylogとサードパーティーの両方のすべてのログコレクタ構成を管理します。

オンプレミス環境およびクラウドインフラストラクチャ環境における「脅威」「パフォーマンス問題」「その他の各種課題」に適応するために、すべてのエンドポイントに数秒でロギング調整します。

→Graylog　→Docs　→Graylog Collector Sidecar

■アラートトリガー機能

Graylogは指標を監視して、特定のタイミングでアクションをトリガーできます。

ログデータにおいて重大なイベントを検出すると「電子メール」「Slack」などで通知を送信できます。

「Graylog」のユースケース

「Graylog」のユースケース

■セキュリティ対策

Graylogは、サイバー脅威を特定して阻止する用途として活用できます。

脅威検出(問題部分特定)

すべての情報源からの相関データを使用して、マルチスレッド検索で一度に複数の攻撃経路を探索することで、ビジネス全体からの脅威を検出します。

「ファイアウォールログ」「アプリケーションログ」「OSイベント」「ネットワーキング機器ログ」「DNS要求ログ」などの必要な情報をリアルタイムで入手して分析することで脅威となるポイントを特定できます。

「機密性の高いエンドポイントに接続されたUSBデバイス」や「既知の脆弱性を持つブラウザプラグイン」などの問題に対応できます。

インシデント調査

すべてのデータを収集し、脅威に対するアラートを迅速に分析して深く掘り下げることで、より効果的なインシデント対応を実現できます。

正しい情報を見つけるために、分析作業に入る前に詳細な計画を立てる必要はなく、データを詳しく調べながら情報を拡大して明らかにできます。

インシデント調査例
1．疑わしいIPアドレス入力
2．そのアドレスIPが過去に行っていたすべての接続を把握
3．組織内のターゲットにドリルダウン
4．トラフィックパターンの詳細分析

レポート

自動化され定期的に送信されるレポートを利用して時間の経過に伴う傾向を監視し、「毎日」「毎週」「毎月」のログレビューを必要とするセキュリティポリシーを順守できます。

その他

・過去24時間以内に最もログイン失敗したユーザーを検出
・1つのクエリですべてのサーバにおけるアプリケーションログを検出し、直近1時間の疑わしいユーザーIDの活動を調査
・特定のファイアウォールによってブロックされたすべてのIPアドレスを検索
・攻撃を検出したらファイアウォール内のIP範囲を自動的にブロック　など

■コンプライアンス対策

費用対効果の高いログ保存

適切にログを保存してレビューすることは、「コンプライアンス遵守義務」と「ベストプラクティスセキュリティポリシー」の基盤となっています。費用対効果の高い方法で膨大なログを保存することは、コンプライアンス対策において必要不可欠です。

Graylogは、迅速でインタラクティブなログ分析のためにゼロからログ管理システムとして構築されています。そのため、すべての「サーバ」「アプリケーション」「ネットワークデバイス」「アプリケーション」からの大量ログをできるだけ低いコストで保存できるように設計されています。

Graylogは頻繁に検索しないデータを、より費用効果の高い低速ストレージに自動的にアーカイブします。

日常的監査プロセス実施

自動化レポートを使用すると、日常的な監査プロセスを簡単に実行できます。

■IT運用

GraylogはITシステム運用において「迅速な問題のトラブルシューティング」と「パフォーマンス最大化」を実現するために活用できます。

システム全体把握(集中管理)

Graylogは、24時間365日、「サーバ」「ルータ」「デバイス」「アプリケーション」などのシステムに関わるすべてのログデータを収集します。

すべてのデータを1か所にまとめているため、1つの画面から複数ソースからのデータを集約し複数パラメータにわたって検索するなど、システム全体の状況を把握できます。

高速検索

エンタープライズ規模のデータを扱う場合、顧客に影響を与える前にパフォーマンス問題を把握する必要があるため、ミリ秒単位での問題検出が必要となる場合があります。

Graylogのマルチスレッド検索は、数テラバイトものデータにわたって、ほとんど瞬時に必要な情報を検索できます。

ビジネス継続への影響が大きい「システムダウン」や「致命的バグ」を回避するための迅速なトラブルシューティングをサポートします。

根本原因分析

Graylogは、システムにパフォーマンス問題がある場合、問題の根本的な原因を特定し、原因を突き止めるためのフォレンジックツールとして利用できます。

Graylogを利用すると、探しているものが正確に分からない場合でも、容易にクエリを作成してデータの視覚化と検索を実施できます。

アラートトリガー

システム運用における重要な数値について、特定のしきい値や疑わしいパターンの検知をトリガーとして、アラートを発信できます。

その他

・アプリケーションコンポーネントの平均応答時間を取得
・ネットワーク内の誤って構成された単一のファイアウォールを検出
・処理負荷のバランスを取るために新しいマシンを生成　など

　

参考元サイト

• Graylog
• GitHub　→Graylog2/graylog2-server

※定期的にメンテナンスを実施しておりますが、一部情報が古い場合がございます。ご了承ください。

この記事のタグ一覧

• Graylog

  1

• 一覧はこちら
• 次の記事へ