ログを確認＆保管しよう

　テレワークでNASを運用する場合に欠かせないのが、ログの記録です。

　ログの記録は、オフィス内のクローズドなネットワーク環境で利用する場合でも、意図しない共有の監視やシステムの安定性を確認するために重要です。テレワークのように、インターネット越しに外部からのアクセスを受け付ける場合は、第三者による不正アクセスの検知や、万が一、セキュリティ被害が発生した場合の調査のためにも重要です。

システムログを確認しよう

　一般的なNASは、必要最低限のログを自動的に記録するように構成されています。

　例えば、QNAPのNASの場合、コントロールパネルにある「システムログ」の項目から、次のようなログを参照できます。

1.システムイベントログ

　システム設定の変更やディスクの状態などを参照できます。

2.システム接続ログ

　HTTP(S)やFTPなどの接続の成否などを参照できます。

オンラインユーザー

　現在、NASに接続しているユーザー（HTTPやSamba経由）がリストアップされます。

　ログの各項目は、内容によってレベル分けされていて、標準では「全ての重大なレベル」のみが表示されるようになっています。この項目を「情報」などに変更すると、重大ではないシステムイベントも参照できるようになります。

ログを見分けよう

　このように、ログを参照することで、NASで「何が起こっているか」を確認できますが、その1つ1つを詳しく検証するには、時間も知識も必要です。

　このため、通常は、先頭に「×」が表示される赤文字のエラーや、先頭に「！」が表示される黄色文字の警告に注目します。

　例えば、次のようなエラーはとても重要です。

エラー	2020/03/18	06:48:31	admin	192.168.11.3	Users	Login	[Users] Failed to log in via user account "admin". Source IP address: 192.168.11.3.

　これは、「192.168.11.3」というIPアドレスの端末が「admin」アカウントを使ってログインを試みたが、ログインに失敗したことを示します。

　NASのテレワーク運用中にこうしたメッセージが表示された場合、外部から誰かが「admin」アカウントを使おうとして失敗したことを示しています。

　それが第三者なのか、社内のユーザーなのかまで判断するには、ソースのIPアドレスをたどっていく必要があります。

　例えば、オンラインユーザーに表示されるソースIPアドレスの中に、失敗したソースIPアドレスと同じものがあるかどうかを確認するのも方法の1つです。

ログを保管しよう

　このようなログですが、NASのメーカーや機種によっては、NASを再起動するとクリアされてしまう場合があります。

　冒頭でも触れたようにログは、不正アクセスやトラブルの発生時に、その原因を探るために必要不可欠です。

　このため、証跡として保管しておくことが重要です。

　QNAPのNASの場合、システムイベントログ、システム接続ログなどを個別にCSV形式でファイルに書き出せますが、こうした作業を定期的に手動で実行するのは困難です。

　このため、Syslogサーバーの活用を検討しましょう。QNAPのNASには、Syslogサーバー機能が搭載されているので、コントロールパネルからSyslogサーバーの機能を有効にします。

　続いて、「システムログ」の「Syslogクライアント管理」で「Syslogを有効にする」にチェックマークを付け、「Syslogサーバー」として自分自身（localhostなど）を指定します。これで、ログが自動的にファイルに保存されるようになります。

　Syslogサーバーは、NAS自身だけでなく、ルーターやIoT機器のログを受け付けて保管するためにも利用できます。NASをオフィスのさまざまな機器のログ保管庫としても活用するといいでしょう。