Plesk アクションログレコードを外部サーバにコピーする
ログは、ネットワーク上のユーザー、システム、アプリケーションのアクティビティを判断する最も基本的な方法です。攻撃者が Plesk の root または管理者アカウントにアクセスした場合、ログを改ざんすることでハッキングの証拠を削除することができます。
NIS2 指令に従って、組織はログが完全かつ正確であり、不正な変更や中断から保護されていることを保証する必要があります。ログを保護し、Plesk サーバを NIS2 準拠にするには、Plesk アクションログ レコードのコピーを外部ログサーバに送信するように Plesk を構成する必要があります。
ご用心: Plesk から外部ログサーバにコピーされたログには、GDPR 関連のデータ (IP アドレス、ログインなど) が含まれる場合があります。GDPR 要件に従ってログを処理するように、外部ログサーバを正しく構成してください。
Plesk アクションログレコードのコピーを外部ログサーバに送信するように Plesk サーバを構成する:
-
panel.ini ファイルに次の行を追加して、Plesk イベントをシステムログサービス (Plesk for Linux では syslog、Plesk for Windows ではイベントログ) に記録できるようにします。
[actionLog] syslog = true
注釈: Plesk for Linuxでは、次のパターンの行を panel.iniファイルに追加することで、ログ機能を変更することもできます。
[actionLog] syslogFacility = local0 ; the default facility
-
システムログサービスを構成して、サードパーティツール (Linux の場合は rsyslog、Windows の場合は Windows Event Collector など) を介してログのコピーが外部ログサーバに送信されるようにします。
上記の手順 2 の正確な手順は、Plesk が稼働している OS によって異なります。詳しくは、OS ベンダーのドキュメントを参照してください。
以下に、rsyslog 経由で Plesk for Linux でシステムログサービス (syslog) を構成する方法を示します。
(Plesk for Linux) ログのコピーを rsyslog 経由で外部ログサーバに送信するように syslog を構成する:
-
SSH 経由で外部ログサーバにログインします。
-
/etc/rsyslogファイルに以下の行を追加して保存します。module(load="imtcp") input(type="imtcp" port="514") local0.* /var/log/pleskactions
注釈: 外部ログサーバは、Plesk アクションログレコードのコピーを
/var/log/pleskactionsファイルに保存します。 -
次のコマンドを実行して rsyslog を再起動します。
systemctl restart rsyslog
-
Plesk サーバにログインします。
-
次のパターンの行を
/etc/rsyslogファイルに追加して保存します。local0.* action(type="omfwd" target="<IP address of the external log server>" port="514" protocol="tcp")
たとえば、
local0.* action(type="omfwd" target="192.0.2.1" port="514" protocol="tcp")
-
次のコマンドを実行して rsyslog を再起動します。
systemctl restart rsyslog
これで Plesk はアクションログレコードのコピーを外部ログサーバに送信するようになります。