パターンとは?



 ログを読むときには、時系列順に一つ一つ起きたイベントを確認したい場合と、全体的に見渡して何か変わったところがないか探したい場合がある。後者の場合、ログ・データのサイズに比例して作業が困難になっていく。フィルタを駆使し、ありふれたイベントを丹念に取り除いていっても限界がある。特に目標が定まっているならそれを抽出すれば良いが、漠然とした対象を見つけようとするとログをダラダラ眺めていくかソートして当たりを付けることになる。

 ソートは単一項目について並び順を整理できるが、似たようなイベントが多いと重なってスクロール幅が大きくなる。そういうとき同類のイベントはできるだけまとめて表示された方が分かりやすいだろう。パターン解析はそれを実現するための機能である。

 例えばクライアント通信の場合、ローカル側のポート番号はシステムの自動割り当てでランダムに出現する情報である。これにはイベントを見る上であまり意味がない。一意に決まっている接続先ポートの情報こそがそのイベントを意味づけている。ならばローカル・ポート情報の差異は無視してこれらのイベントをまとめてしまうことができるだろうというのが、本ソフトのパターンの意図である。

 パターン解析は片側のポート情報を無視し、同類のイベントをまとめるものである。その際に関与アプリケーションや適用ルールといった要素は区別の対象となっている。削るのは片側ポート情報と IP アドレスの差異だけである。

 リモート、ローカルのどちらを削るかは通信方向とポート番号から判別している。基本的にクライアント通信(Outgoing)の場合はローカルを削り、サーバ通信(Incoming)の場合はリモートを削っている。ただし FTP のように in でもリモート・ポート 20 の方をパターンに採っているような例外もある。

 また ICMP の場合は、タイプ、コードともに区別しているので、同一方向、同一タイプ、同一アプリ、同一ルールでもコードが違えば、別のパターンと認識される。

 Analyze Event Pattern の実行結果は、Time、IP、無視した方の Port、End Time に関しては最新イベントの情報を表示し、Begin Time は同一パターンの最古イベントの情報を表示する。また Occurrences はまとめたパターンの Occurrences 総数になっている。


Top Page