【OSS情報アーカイブ】SEC

※当記事に記載されている情報は、古くなっている場合があります。オフィシャルサイトで最新情報をご確認ください。

「SEC」とは

概要

SEC(Simple Event Correlator)とは、高度なイベント処理のためのイベント相関ツールです。「イベントログ監視」「ネットワーク監視」「セキュリティ監視」「不正検出」「イベント相関を含むその他のタスク」などに利用できます。単一プロセスとして実行され、プラットフォームに依存しない軽量ツールとして利用できます。

基本説明

SECはデーモンとして起動し、さまざまな方法で使用できます。

・シェルパイプラインでの使用
・ターミナルでのインタラクティブ実行
・さまざまなタスクに対する同時実行　など

オフィシャルサイト情報

■オフィシャルサイト

→simple-evcorr.github.io

■GitHub

→github.com　→simple-evcorr/sec

■ライセンス情報

SECのライセンスは「GNU General PublicLicense」です。

詳細について、こちらを参照ください。
→github.com　→simple-evcorr/sec　[→Availability:]

■動作環境

SECは主にLinuxとSolarisでテストされています。

Perlで記述されており、プラットフォームに依存するコードを使用していないため、最新のUNIXプラットフォームで動作します。

Windowsでも動作しますが、UNIXネイティブ機能の一部は無効になります。

■ダウンロード

→github.com　→simple-evcorr/sec　→releases

■導入事例

SECは、多くのLinuxおよびBSDディストリビューション用にパッケージ化されています。

同様製品

同様な機能を提供する製品として、次のようなものがあります。

オープンソース製品：「Orange」など。

イベント相関

■「イベント相関」とは

イベント相関とは「事前定義された時間枠内で発生する特定のイベントグループを検出(処理)するためにイベントのストリームが処理される手順」を意味します。

■SECの動作

SECは「ファイル」「名前付きパイプ」「標準入力」から行を読み取り、入力イベントを認識するための「パターン(正規表現やPerlサブルーチンなど)」と照合し、構成ファイルのルールに従ってイベントを関連付けます。

■出力生成

出力生成は以下に対応しています。

・外部プログラム(snmptrapやmailなど)の実行
・ファイルへの書き込み
・TCPおよびUDPベースのサーバへのデータの送信
・プリコンパイルされたPerlサブルーチンの呼び出し　など

構成ファイル

■概要

SECの構成ファイルは「空行」「空白行」「コメント行」で区切られたルール定義で構成されています。

各ルール定義は「keyword = value」のように、1行に1つのキーワードと値で記述されます。

■パターンとパターンタイプ

パターンとパターンタイプは「pattern」および「ptype」ルールフィールドで定義されます。

多くのパターンタイプは、パターンが一致する行数Nを定義します

■SECコンテキスト

SECコンテキストは「1つ以上の名前」「有効期間」「イベントストア」を持つメモリベースのエンティティです。

有効期限が切れる直前に実行されるコンテキストに対してアクションリストを設定できます。

■アクションリスト

アクションリストは「action」ルールフィールドで定義され、セミコロンで区切られたアクション定義で構成されます。

各アクション定義は、アクションタイプを指定するキーワードで始まります。

■括弧バランスチェック

SECコンテキスト式とアクションリストには、グループ化とマスキングの目的で使用される括弧が含まれる場合があります。

SECはその構成を解析するときに、あいまいさが生じないように、コンテキスト式とアクションリストの括弧がバランスされているかどうかをチェックします。

　

参考元サイト

• simple-evcorr.github.io
• github.com　→simple-evcorr/sec

※定期的にメンテナンスを実施しておりますが、一部情報が古い場合がございます。ご了承ください。

この記事のタグ一覧

• SEC

  1

• 一覧はこちら
• 次の記事へ