一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は10月30日、イベントログの分析をサポートするツール「LogonTracer」の最新版バージョン1.5のリリースを発表した。最新版では、同ツールのリリース直後から寄せられていたリアルタイムログ分析を可能にする機能を追加、Elasticsearchと連携することでリアルタイムログ分析が可能となる。LogonTracerは、デフォルトでWinlogbeatを使用しElasticsearchに送信されたイベントログのインポートが可能で、インポートしたログを分析し、その結果をElasticsearchに保存できる。イベントログを可視化して分析する場合は、LogonTracerから確認する必要があるが、不審なアカウントのランキングやサマライズしたログの分析結果はElasticsearchにも保存され、ElasticsearchやKibana上で同様の分析結果の確認が可能。KibanaのWatcherなどを使用し、LogonTracerからレポートされた不審ログをアラートするように設定すれば、リアルタイムで異常検知することが可能となる。
