SIEMへのログ取り込みにはパースサーバが必要

先日お客さんから、ファイアウォールのログがSIEMに取り込めないからファイアウォールの設定を見直してくれと言われました。結論から言うとファイアウォールは関係ないのですが、SIEMへのログ取り込みには一工夫必要だったりします。それはログの整形です。その辺について知識をまとめておきたいと思います。
ちなみにそのお客さんは、パースサーバの役割の部分の検討が抜けていたことでトラブルに見舞われたようです。
SIEMとは
今回のメイントピックじゃないのでざっくりと説明しますが、様々な機器のログを取り込んで分析するサーバだったりSaaSだったり機能です。怪しいログを見つけて通知してくれます。
ログフォーマットの大前提
ログのフォーマットはメーカや機器によって異なります。分かりやすい例でも、例えば日時の表記が違います。
2010-05-05 13:32:34 JST xxx
2010/05/0/5 01:32:34 PM JST xxx
のようなイメージです。上記は適当に書いているのでどの機器って言うのはありませんが、イメージはしてもらえたと思います。
ログ分析の大前提
複数の機器のログを統括的に分析するため、そのために整理する必要があります。上述の時間表記に関しても、こう言ったフォーマットが混在していると時系列で並べることが困難です。また、ログがカンマ区切りなのかスペース区切りなのか、ログのメッセージに当たる部分はログ1行のどの部分に表記されるか、そういった情報を整理して整形する必要があります。
パースサーバの出番
「情報を整理して整形」と記載しましたが、それをしてくれるのがいわゆるパースサーバです。他の呼び名もあるかも知れません。このサーバの役割は、複数の異なるフォーマットをSIEMで分析できる形に共通のフォーマットに変換することです。
これにより、SIEMから見ると、どんな機器のログも同じフォーマットで見れるので、容易に分析ができるようになります。

最近は様々なSIEMやSOCのサービスが登場していますので、このパースサーバに当たる部分が、SIEMに内包されていたり、SaaSであればそう言った機能が付属している場合もあります。しかしそれでも、この「ログの整形」と言う観点は抜けやすいので非常に注意が必要です。
