Chapter 24

ユーザーレポート

twsnmp
twsnmp
2022.07.15に更新

管理しているネットワーク上のサーバーを使っているユーザーに関するレポートの説明です。誰が、どのサーバーに、どの端末(クライアント)からログインしているか集計したものです。

ユーザーレポート画面の表示方法

メニューの「レポート」ー「ユーザー分析」ー「ユーザー」をクリックすると表示できます。

ユーザーレポート画面

のような感じです。

①リスト

ユーザーのリストです。信用スコア、ユーザーID、ログイン先のサーバー、クライアントの数、回数、成功率、最初に発見した日時、最後に発見した日時、操作ボタンがあります。

②操作ボタン

左から<マップ>ボタン、<詳細>ボタン、<削除>ボタンです。
<マップ>ボタンは、マップ画面へ移動してサーバーを選択します。
<詳細>ボタンをクリックすると、

ユーザーがサーバーにログインしている状況を詳しく表示します。
<削除>ボタンをクリックすると

確認のダイアログを表示します。<削除>ボタンをクリックすれば削除できます。

③ディスプレーフィルター

リストの内容をユーザーID、サーバー名に入力した文字列を含むものでフィルター表示します。

④<グラフと集計>ボタン

クリックするとグラフと集計のメニューを表示します。

⑤<CSV>ボタン

リストの内容をCSVファイルに保存します。

⑥<EXCEL>ボタン

リストの内容をEXCELファイルに保存します。

⑦<再計算>ボタン

信用スコアを再計算します。

⑧<更新>ボタン

リストの内容を最新の情報に更新します。

サーバー別グラフ

ユーザーのログイン状況をサーバー別に集計したものです。

グラフ分析

ユーザーがどのクライアントからどのサーバーへログインしたかを分析するための画面です。力学モデル、円形、3Dの3種類の表示ができます。

白い円がサーバーです。青い円はログイン成功率が高いものを示しています。成功率が低いものは黄色や赤の円になります。円の大きさはログインの回数で変わります。

同じ情報を円形の配置にすることもできます。
どちらの表示でも円や線にマウスカーソルを合わせれば詳しい情報を見ることができます。

3Dグラフ

X軸にユーザーID、Y軸にクライアント、Z軸にサーバー、色で成功率を円のサイズでログイン回数を表した3Dグラフです。

たぶん、ログイン繰り返し失敗している端末やユーザーを見つけることができると思います。端末とユーザーの組み合わせで失敗している様子がわかりれば、不正なアクセスを見つけることができると思います。

ユーザーレポートの信用スコア計算方法
ユーザーレポートの信用スコアは次のような場合にペナルティーを増やして計算します。

  • ログイン失敗が多い
  • ログイン元のクライアントの数が多い
  • ログイン元のクライアントが怪しい

ユーザーレポートを作成するためのポーリング

syslogからポーリングでユーザーID、クライアント、ログインの可否の情報を取得して作成します。

ポーリングの種別でSYSLOGを選択して、モードをuserにします。
フィルターにログの絞り込み条件を設定します。抽出パターンでユーザーIDなどの情報を抽出するパターンを選択します。OpenSSHのログに関しては組み込まれてるSSHのログインを選択すればよいです。