Embed Size (px)
Citation preview
Sawmill製品ガイド
rev 2.02019年 6月10日
目次
1. 製品概要
2. 特長
3. 処理イメージ
4. 用語説明 - プロファイルとは
5. 製品ラインナップ
6. ライセンス
7. システム要件
8. ログサーバーの紹介
9. 評価とお問合せ
2
製品概要 - Sawmillとは
Sawmill(ソーミル)は、ログファイルの内容を解析し、集計結果をレポート出力するソフトウェアアプリケーションです。
問題特定・運用改善・脅威検知など、あらゆる課題解決のために必要不可欠なログの分析を容易にします。
3
米国 Flowerfire社製
複数OSサポート(Linux, Windows, Mac, その他*)
インストール、初期設定が簡単
使いやすくてわかりやすいWeb UI
1,000種類以上のログ形式に対応
未対応のログ形式であってもプラグイン追加で解析可能
カスタマイズ可能
費用対効果に優れたログ解析ツール
* インストーラが用意されていないOSの場合は、ソースコードからコンパイルすることでインストールします。
Sawmillは、すぐにログ解析を開始することができます。
通常、インストールからレポート出力まで 10分程度で完了します。(※ 解析対象のログが事前に準備されている場合)
Webサーバーおよびデータベースは内蔵されています。別途、これらを構築する必要はありません。
特長 1 - すぐに使える
4
1 Sawmillをインストールします。
Linuxの場合は、tar/gunzipで解凍し実行、Windows, Macの場合はインストーラを実行するだけです。(その他のOSの場合は、C++コンパイラでソースコードからインストールします。)
2 Sawmillの初期セットアップを行います。
Web GUIにアクセスし、ウィザードの指示に従っていくつかの設定(管理ユーザー、メールサーバー、ライセンスキー登録など)を行います。
3 プロファイル(*後述)を作成します。
解析対象のログファイル(複数可)を指定し、解析処理を行うログフォーマットプラグインを選択します(解析可能なログフォーマットプラグインの候補が自動検出されます)。ウィザードに従って、いくつかのオプション設定を行い、レポート表示を選択します。
レポートが表示されます。
インストールからレポート出力までの手順:
特長 2 - わかりやすいレポート
Sawmillは、解析結果をわかりやすくレポート表示します。
5
日本語 WEB GUI
ログの解析結果を
グラフや表を用いてわかりやすく表示します。
特長 3 - 数多くのログ形式に対応
Sawmillは、1,000種類以上のログ形式を標準サポートします。(※すべての対応ログフォーマットについては、「Sawmill ログフォーマット一覧」をご参照ください。)
6
標準サポートログ形式(一部抜粋)
Webサーバー Apache/NCSA Combined Log Format, Apache Error Log Format, Amazon S3 Log Format, Barracuda WAF Access Log, IIS Log Format, Tomcat Log Format, Windows Azure…
ネットワーク機器 Cisco PIX/ASA/Router/Switch Log Format, Cisco VPN Concentrator, Citrix NetScaler, F5 Load Balancer, Palo Alto Networks Firewall CEF Format, SiteGuard Log Format,…
メールサーバーAmavis Log Format, Barracuda Spam Firewall, ClamAV, McAfee Email Gateway,Microsoft Exchange Server Log Format, FortiMail Log Format, Interscan Messaging Security Suite Log Format, Kaspersky Log Format, Sendmail Log Format,…
プロキシサーバー Blue Coat Log Format, Common Proxy Log Format, F-Secure HTTP Access. Squid Common Log Format, Microsoft Proxy Log Format, McAfee Web Gateway…
FTPサーバー FileZilla Server Log Format, IIS FTP Server Log Format, Ipswitch MOVEit DMZ, ProFTPLog Format, PureFTP Log Format, UNIX FTP Log Format, vsftpd Log Format…
ファイアーウォールBarracuda WAF Log Format, Cisco PIX/ASA/Router/Switch Log Format, F5 Networks Application Security Manager Log Format, Firewall-1, FortiGate Log Format, Juniper Log Format, Palo Alto Networks Firewall, Symantec Enterprise Firewall Log Format…
アプリケーション A10 Networks AX Series Authentication Log Format, Filemaker Log Format, Ruby Log Format, Microsoft Windows DHCP Server Log Format, Web Sense Log Format…
シスログサーバー Citrix Firewall Manager Syslog, Cron Log Format, Kiwi Syslog, Network Syslog Format, RedHat syslogd Syslog, Unix Syslog, WinSyslog, Syslog NG Log Format…
その他 Eventlog to Syslog Format, tcpdump Log Format, Windows Event Log Format, Yamaha RTX Log Format…
*同一デバイスやアプリケーションであっても、バージョンが異なるとログフォーマットが異なる場合があります。また、デバイスやアプリケーションでは、ログ出力オプションを指定することができますが、これにより出力フォーマットが変化します。このため、対応ログフォーマットであっても、正確に解析できない場合があります(上記は、お使いのログが正確に解析できることを保証するものではありません)。ご購入前に 評価版でお試しいただくか、弊社まで対応状況をお問合せください(お問合せいただく際は、該当のサンプルログをご提供ください)。
特長 4 - 未対応のログも解析可能
Sawmillは、未対応のログ形式であっても、ログフォーマットプラグインを作成すれば解析できます。
7
作成したカスタムログフォーマットプラグイン(*1)を所定の場所(*2)に保存すると、新規プロファイル作成時に選択できるようになります。
* ログフォーマットプラグインは、正規表現と独自のスクリプト言語(Slang)使用して実装します。* (Sawmillインストールフォルダ)¥LogAnalysisInfo¥log_formats
特長 5 - カスタマイズ可能
Sawmillは、直観的なGUI操作でレポートを柔軟にカスタマイズすることができます。
8
円グラフ追加例:
[グラフ]タブでグラフ表示したい項目を選択、
[グラフオプション]タブでグラフ表示形式を指定します。
特長 6 – 自動処理
Sawmillには、定期的に実行すべきタスクを自動で実行できる「スケジューラ」機能があります。
9
たとえば「データベース更新」アクションを深夜帯にスケジュールしておけば、翌日の業務時間帯には更新済みのレポートを閲覧することができます。
最新のレポートをファイルに出力したりメールで送信したりすることもできます。
②ログ読込み
処理イメージ
10
スイッチ
ルーター
アプリケーション
Syslog サーバー
①Syslog送信
ログファイル/
データベース
…
Webサーバー
メールサーバー
プロキシサーバー
②ログ
読込み
• レポート閲覧• ドリルダウン検索
• カスタマイズ• エクスポート
レポートメール送信
③DB構築/更新
①ファイル転送/コピー
④レポート生成
ログ解析レポート
SawmillDB
ローカルまたはリモートのログファイルを読込んで解析結果をDBに書込み、レポート出力します。
* 一部の機能は Sawmill Lite版ではご利用いただけません(詳しくは機能比較をご参照ください)。* DBの構築/更新/削除/レポート生成/レポートメール送信その他タスクは、スケジューラ機能で自動実行させることができます。
FTP/SFTP/HTTP/ODBC/コマンド実行
ログファイル
…
…
用語説明 - プロファイルとは
Sawmillの「プロファイル」とは、ログファイルの解析方法を定義したファイルのことです。
プロファイルには以下の内容が定義されます:
11
定義概要 内容
ログファイルの処理方法
•解析対象のログファイルの保存場所•解析対象のログファイルの名前(ワイルドカード,正規表現利用可)•解析時に適用するフィルター条件と実行するアクション•ログエントリに含まれるフィールドの定義•ログの処理方法を決定する各種設定
データベースの作成方法
•データベースサーバーの種類(内蔵 or 外部)と場所•データベースのチューニング設定•データベース登録時に適用するフィルター条件•データベースのフィールド定義•クロスリファレンスグループ定義
レポートのレイアウト方法
•レポート表示要素の定義(表示形式の指定)•レポートの各種オプション定義(初期フィルター定義、ヘッダー/フッター定義、CSVエクスポート時の区切り文字指定など)
•レポートに表示するフィールドの定義
その他• DNSルックアップ使用有無(使用する場合はDNSサーバーの設定)•アクション実行完了時のメール送信•スナップオン定義
1つのプロファイルは、1つの形式のログファイルを処理できます。
用語説明 - プロファイルとは(つづき)
12
同一形式のログファイル
ログファイル
レポート生成
プロファイル ログ解析レポート
レポート生成
プロファイル ログ解析レポート
ログの形式が同じであれば、1つのプロファイルで複数のログファイルを処理することができます。
ログの形式が同じであっても異なるレポートを作成する場合は、追加のプロファイルが必要になります(例:経営層向けレポートとIT技術者向けレポート)。
レポート生成
プロファイル ログ解析レポート
製品ラインナップ
Sawmillの製品ラインナップは以下のとおりです:
13
Lite Professional Enterprise
製品特長 低価格・機能制限あり 基本機能+カスタマイズ可 大規模、大容量ログ処理
概要
•ログ解析レポート作成に必要な最小限の機能に限定
•操作が簡単で使いやすい
•カスタマイズ性は低
•作成可能レポート数最大 5
•ログの読込み/レポート出力の両方で柔軟なカスタマイズが可能
•ログ解析レポートの自動メール送信などの追加機能
•シングルプロセッサでの処理
• Sawmill Professionalのすべての機能を利用可能
•外部DBサーバーのサポート、役割ベースのユーザー管理などの追加機能
•マルチプロセッサでの処理
想定ユーザー
•小規模環境向け
•ログ解析レポートツールを初めて使用する場合
•最小限の機能でのスモールスタートを希望する場合
•小・中規模環境向け
•6種類以上のログ解析レポートを作成する場合
•簡単な操作でログ解析レポートを柔軟にカスタマイズしたい場合
•大規模環境向け
•6種類以上のログ解析レポートを作成する場合
•大規模、大容量のログを柔軟かつ高速に処理したい場合
•外部のDBサーバーにデータを格納したい場合
備考•ライセンスキーの適用のみで上位製品への移行が可能(ソフトウェアの再インストールは不要で、既存データは引き継がれます。)
•(非圧縮状態のデータ量が 10GBを超える場合は特に)64bit OSの利用を推奨
製品ラインナップ - 機能比較 (1)
製品別の機能比較は以下のとおりです:
14
Lite Professional Enterprise
全般
標準サポートログ種類 1,000種類以上
サポートOS Linux, Windows, Mac (64bit OSの利用を推奨)
ライセンスサイズ 1, 5 1, 5, 10, 25, 50, 100 1, 5, 10, 25, 50, 100, 1000
ライセンス追加 〇(最大 5) 〇 〇
利用可能なユーザー数 1 無制限 無制限
複数プロセッサでの処理 〇
内蔵Webサーバー 〇 〇 〇
日本語表示 〇 〇 〇
ユーザー管理
役割ベースのユーザー管理機能
〇(制限あり) 〇
LDAP認証 〇
製品ラインナップ - 機能比較 (2)
製品別の機能比較は以下のとおりです:
15
Lite Professional Enterprise
データベース
内蔵データベース 〇 〇 〇
外部データベース(MS SQL, Oracle, MySQL)
〇
ログの読込み
ローカル/共有ファイル 〇 〇 〇
FTP/SFTP経由 〇 〇 〇
HTTPサーバーから 〇 〇
ODBC経由 〇 〇
コマンド実行結果から 〇 〇
複数の場所から 〇 〇
ログ形式の自動検出 〇 〇 〇
ログ読込み時に使用されるフィルターの編集
〇 〇
製品ラインナップ - 機能比較 (3)
製品別の機能比較は以下のとおりです:
16
Lite Professional Enterprise
レポート
レポート出力時に使用されるフィルターの編集
〇 〇 〇
結果のドリルダウン 〇 〇 〇
カスタマイズ 〇 〇
保存 〇 〇
マクロ設定 〇 〇
メール送信 〇 〇
その他機能
スケジュール機能 〇(データベース更新のみ)
〇 〇
DNSルックアップ 〇 〇
スクリプト言語利用 〇 〇
ライセンス
必要なライセンスは「プロファイルの数」で決定します。
Sawmillの「プロファイル」は、「ログファイルの解析方法」(ログファイルの処理方法・DBの作成方法・レポートレイアウト方法)を定義したファイルのことです(詳しくは、「用語説明 – プロファイルとは」をお読みください)。
ライセンス数(=プロファイル数)を決定するには、必要になる「ログ解析レポート数」をカウントしてください。
必要なプロファイル数が不明な場合は、下記からお問合せください。お問合せ:https://www.jtc-i.co.jp/contact/scontact.php
価格については、価格表をご覧ください。価格表ダウンロードページ: https://www.jtc-i.co.jp/contact/pcontact.php
17
• 1つのプロファイルは、1つの形式のログファイルを処理できます。
• 形式が同じであれば、1つのプロファイルで(複数の場所にある*)複数のログファイルを処理することができます。* Sawmill Professional, Enterpriseのみ
• ログファイルの形式が同じであっても、ユーザーごとに異なるレポートを作成する場合は、ユーザーの数だけ追加のプロファイルが必要になります。
システム要件
システム要件は以下のとおりです:
18
最小仕様 推奨仕様
CPU できるだけ高速のCPU 4 Core 以上(* マルチコア/プロセッサ処理はEnterpriseのみ利用可)
メモリ 2 GB RAMCore数 × 2 ~ 4GB(例:4 Coreの場合 8 ~ 16GB)
ディスク
できるだけ高速なディスク(SSD推奨)*1
想定するログデータ総量(非圧縮状態)*2 の 4倍以上の空き容量*1 RAID 10推奨、RAID 5 または 6は処理速度が低下するため非推奨*2 1日に取り込む非圧縮ログ量 × データベース保持日数
OS
• Red Hat Enterprise Linux (32/64bit*)• CentOS (32/64bit*)• Microsoft Windows (32/64bit*)• Apple MacOS X (64bit)• SUSE Linux Enterprise Server (64bit)• Ubuntu (64bit)• Debian (64bit)
* 64bit OSを推奨* Red Hat Enterprise Linux 64bitを最も推奨* 上記以外のOSの場合はソースコードからインストールが可能
Kiwi Syslog Server Adiscon WinSyslog syslog-ng Store Box
製造元 SolarWinds社(米国) Adiscon社(ドイツ)One Identity社(米国)
(旧Balabit社(ハンガリー))
製品特長 業界屈指の出荷実績 日本語GUIで使い易い 超高速・高信頼
動作環境 Windows Windowsハードウェア/バーチャル
アプライアンス
規模 小規模向け 小・中規模向け 大規模向け
製品紹介ページhttps://www.jtc-
i.co.jp/product/kiwisyslogserver/kiwisyslogserver.html
https://www.jtc-i.co.jp/product/winsyslog/winsyslog.html
https://www.jtc-i.co.jp/product/ssb/ssb.html
ログサーバーの紹介
Sawmillは、ログ解析に特化したアプリケーションであり、Syslogを受信し一元管理するSyslogサーバー機能はありません。Syslog収集のためには、外部アプリケーションをご利用ください。
弊社では、以下のSyslogサーバーとの連携利用をお勧めします:
19
評価とお問合せ
製品の評価について
評価版インストーラを下記ソフトウェアダウンロードページからダウンロードしてご利用ください:
ソフトウェアダウンロード: https://www.jtc-i.co.jp/support/download/
すべての機能を30日間無料でご利用いただけます。
評価版は日本語ユーザーインターフェイスに対応していません。日本語ユーザーインターフェイスの利用をご希望の場合は、お問合せフォームから日本語化ファイルをお申込みください。
お問合せ:https://www.jtc-i.co.jp/contact/scontact.php
ライセンスを登録すると製品版として動作します。
製品のお問合せについて
製品ご購入前のお問合せ先:https://www.jtc-i.co.jp/contact/scontact.php
製品ご購入後のお問合せ先:カスタマーポータルhttps://www.jtc-i.co.jp/support/customerportal/
20
ジュピターテクノロジー株式会社
【本社】〒183-0023東京都府中市宮町2-15-13 第15三ツ木ビル8FTEL:042-358-1250 FAX:042-360-6221
【大阪営業所】〒530-0001大阪府大阪市北区梅田1-1-3 大阪駅前第3ビル11FTEL:06-6131-8471 FAX:06-6131-8472
E-Mail: [email protected]: https://www.jtc-i.co.jp/
