セキュリティ監査ログとシステムログの統合
Cockpit は、管理者のあらゆる操作、ログイン試行、および設定変更の履歴を安全に記録します。これは、セキュリティインシデントの追跡やシステム変更の履歴確認に欠かせない情報です。
監査ログとは? 📝
💡 たとえ話:フライトレコーダー (ブラックボックス)
セキュリティ監査ログは、**飛行機のブラックボックス(フライトレコーダー)**に似ています。 パイロット(管理者)がどのボタンを押し、飛行機(サーバー)がどう反応したかをバックグラウンドで常に静かに記録し続けます。 仮想マシンが突然消えたり、設定が誤って変更されたりしたとき、原因を推測する必要はありません。ブラックボックスを開けば、誰がいつ何をしたかの正確なタイムラインを確認できます。
システムは、以下のカテゴリの操作を自動的に記録します:
- ログイン・ログアウト: ログインの成功/失敗、ログアウト、パスワード変更、アカウントのロックアウト。
- 仮想マシン操作: 誰が仮想マシンを作成、削除、起動、停止、または移動(マイグレーション)させたか。
- ネットワークとディスク変更: 仮想スイッチの作成、ストレージの初期化、新しいストレージ接続の登録。
- 権限の変更: ユーザーアカウントの作成、グループの編集、特定フォルダへの権限割り当て。
ログのフォーマット:何が記録されるか?
ログには、状況を完全に把握できるよう以下の詳細が含まれます:
- タイムスタンプ (Timestamp): 操作が行われた正確な日時(高精度な UTC 協定世界時)。
- 操作者 (Subject - 誰が?): 操作を行った管理者のユーザー名と接続元の IP アドレス。
- アクション (Action - 何を?): 実行された具体的なコマンドや API 呼び出し(例:
VM_POWER_OFF、USER_CREATED)。 - 対象オブジェクト (Object - 何に対して?): 変更されたリソースの固有 ID と名前(例: VM
sales-reporting-app)。 - ステータス: 処理が成功したか (
Success)、失敗したか (Failed- エラー理由を添付)、または権限不足で拒否されたか (Unauthorized)。
ログ監視センター (SIEM) へのログ転送
大企業では、会社全体のセキュリティイベントを監視するために、SIEM(Splunk や Elasticsearch などの統合ログ監視プラットフォーム)を使用しています。
💡 たとえ話:ログデータを陸上基地へストリーミング
飛行機のブラックボックス(サーバー内のローカルログ)にだけデータを残しておくと、サーバー自体が壊れたときにログも失われてしまいます。そのため、Cockpit は生成されたすべてのログのコピーを、会社のセキュリティ管理センターへリアルタイムで送信できます。
ログ転送(Syslog)の設定手順:
- 管理者として Cockpit にログインします。
- Settings > System > Syslog Forwarding に移動します。
- Add Forwarding Target をクリックします。
- 送信先の設定を入力します:
- Host: 会社のログ収集サーバーの IP アドレス。
- Protocol:
UDP、TCP、またはTLS(ログデータを暗号化して送信できるTLSを強く推奨します)。 - Port: 通常は標準ポートの
514またはセキュリティチームから指定されたポート。 - Format: 業界標準フォーマットである
RFC 5424またはJSON形式。
- 設定を保存し、ログ送信を開始します。