2005年05月26日

FW-1のログ

先日、自分の机のPCでFW-1のログが見れるように設定してもらった。先日のオフィスのレイアウト変更の際に自分の机をL字配置にすることに成功したので、メインのデスクトップPC、監視用のサブデスクトップPC、そして持ち歩き用ノートPCの3台を並べているのだが、その監視用PCにソフトをインストールしてもらった。

まあ私がポリシーいじったりしてアウトソーシング先が混乱してもいけないので、あくまで私は見るだけ。ポリシー変更はすべて依頼をかけることにしている。で、とりあえずはどんなパケットがドロップされているのか見てみるとこにした。といっても、FW-1のコンソールには大した機能がなく、とりあえずテキストファイルにエクスポートして、他のソフトで読み込ませてみることにした。なぜかテキストファイルはめずらしいコロン区切りである。UNIXのpasswdファイルっぽい。

で、まずはお手軽にExcelにインポートしようとしたが、半日分のログだというのに行数が6万5千を超えているためすべて読み込めなかった。Excelの65536x256というシートサイズは、これ以上拡大することはないのだろうか?仕方ないのでAccessにインポート。クエリをいくつか作ってサービスごとにどれだけのパケットがドロップされているのかを見てみた。

一番多かったのはhttpだった。意外と社内からのパケットも多い。ウチの会社はProxyを必須としているので、Proxy設定を忘れたブラウザや、勝手にhttpアクセスをするアプリケーションなどがひっかかっているのだろう。まあこれは大した問題ではない。次に多かったのはRPCだった。ウイルスの影響か?まあWindows系のパケットは気にし始めたらきりがない。

そして三番目はsmtpだった。パケットのソースで集計クエリを作ってみる。外部からのスパムが多いのかと思いきや、意外にも社内のあるサーバからのパケットがダントツに多かった。で、これは調べてみたらそのサーバで動くCGIが発信するメールであることが判明。どうやらFW-1を入れてから、外部へのメールがブロックされて届かなくなっていたようである。そのサーバのローカルを見ると、エラーメール多数。ありゃりゃ。それらのメールを拾い出してCGI管理者に送付し、メールルーティングを変更してエラーが出なくなるようにした。

というわけで、ログをたまたま見ていたら設定のおかしなところを見つけたわけであるが、アウトソーシング先が何も見てないことがまたしても判明してしまったわけで、複雑ではある。大手ベンダーとはいえ、クオリティ低くて参っちゃいますね。なんとかしてくださいよまったく。

kenjiz at 23:07│Comments(0)TrackBack(0) IT 

トラックバックURL

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔