Veeam ONEでランサムウェア対策をしませんか – Veeam ONE Client – データ保護環境の監視および考察

Veeam Softwareの中川です。パートナーやエンドユーザーを対象に、製品トレーニングを提供しています。Veeam Data PlatformのAdvancedエディション以上で提供される監視製品の「Veeam ONE」について、計12回にわたりご紹介します。

 

1回目:Veeam ONEとは?

2回目:Veeam ONEのインストール, Veeam ONE Clientアクセス方法, 設定メニュー

3回目:Veeam ONE Client – データ保護環境の監視および考察

4回目:Veeam ONE Client – ランサムウェア対策のための事前定義アラーム

5回目:Veeam ONE Client – 悪意ある攻撃者からの設定変更を追跡するアラーム

6回目:Veeam ONE Client – 仮想環境運用時のスナップショットも監視は必須

7回目:Veeam ONE Client – インテリジェント診断にアシストしてもらおう

8回目:Veeam ONE Web Client – アクセス方法, 設定メニュー, ダッシュボードの活用

9回目:Veeam ONE Web Client – スケジュールしたレポートを報告書に流用

10回目:Veeam ONE Web Client – 悪意ある攻撃者からの設定変更を追跡するレポート

11回目:Veeam ONE Web Client – Veeamで実装する暗号化の設定変更追跡レポート

12回目:Veeam ONE Web Client – ジョブを一覧するカレンダー、Veeam Backup & Replication v12で強化されたセキュリティ機能

 

3回目は「Veeam ONE Client – データ保護環境の監視および考察」です。

Veeam Backup & Replicationの監視では、どのような情報が得られ、それらの情報をどう活用すべきかの一例をご紹介します。

監視対象のVeeam Backup & Replication環境

最初に監視対象のVeeam Backup & Replication環境の構成図を共有します。この環境をVeeam ONEで監視します。こちらは毎月無償で提供しているハンズオントレーニングのラボ環境です。

図1:検証環境の構成図

Veeam Backup & Replicationの監視

Veeam ONE クライアントの左下メニューから「Veeam Backup & Replication」を選択します。

このメニューからVeeam Backup & Replication環境のジョブステータスや構成した各コンポーネントの監視を開始します。

 

< Veeam Backup & Replicationサーバー >

Veeam Backup & Replicationサーバー名の「Summary」タブから、「仮想マシン」のバックアップ/レプリケーションジョブ、「Agent」および「NASファイル共有」のバックアップジョブのステータスを確認できます。

図2:Veeam Backup & Replication監視画面

「Data Protection」タブ(図3赤色枠内)では、ジョブ対象(図3紫色点線枠内)やオンプレミス/クラウド環境(緑色点線枠内)でフィルタリングし、ジョブ名や実行結果を確認できます。

図3:Data Protection

< バックアップリポジトリ >

「Backup Repositories」 – 「Summary」タブから次の情報を得られます。このブログで使用している環境は十分な期間を経ていないため一部のデータは表示されていません。

  • バックアップリポジトリのタイプ/タイプごとの数
  • バックアップリポジトリにバックアップが保存された仮想マシンやコンピュータ数
  • 次の3つの上位5つのバックアップリポジトリ
  • 使用済みストレージ容量が最も多い
  • バックアップウィンドウから、過去7日間で最も「ビジー」である
  • ストレージの空き容量が不足する可能性がある
図4:バックアップリポジトリ

< 強化Linuxリポジトリ >

バックアップリポジトリタイプの強化Linuxリポジトリの内容を確認してみます。

「Summary」タブから、設定した不変期間を確認できます(図5緑色点線枠内)。また使用量、バックアップジョブ/バックアップコピージョブでビジーだった累積時間、空き容量が不足するまでの残日数(図5では「Not enough data」)が表示されます。

図5:強化Linuxリポジトリ

空き容量の不足に備える

空き容量の不足に備える方法を2つご紹介します。

1つは容量拡張を目的としたパフォーマンス層のみのScale-out Backup Repositoryの利用、もう1つはv12から提供のバックアップリポジトリ間のバックアップ移動機能の利用です。要件/制限事項や詳細手順はユーザーガイドをご確認ください。

※バックアップファイルが存在する既存バックアップリポジトリをScale-out Backup Repositoryのパフォーマンス層へ追加不可ですが、既存の「強化Linuxリポジトリ」の追加は可能です。その際既存ジョブのバックアップリポジトリの設定は自動的に更新されます。

図6:バックアップの移動

< VMwareバックアッププロキシ >

バックアッププロキシは、VMware バックアッププロキシをピックアップし、内容を確認します。

「Summary」タブから、データ転送時に「どのVMware バックアッププロキシ」が、「どの転送モード」を使用しているかを確認できます。

図7:VMware バックアッププロキシ

選択されるVMwareバックアッププロキシおよび転送モードを確認する

VMware バックアッププロキシの転送モードのデフォルト設定は、「Automatic Selection」と「Failover to network mode if primary mode fails, or is unavailable」です(図8左)。

ジョブのセッションログから、自動選択されたVMwareバックアッププロキシと転送モードを確認できます(図8右)。ジョブ遂行のために自動選択がおすすめですが、任意のプロキシ/転送モードの選択も可能です。

デフォルトの自動選択では、たとえば仮想アプライアンス(ホットアド)モードを予期していたとしても、状況に応じてネットワーク(NBD)モードが選択されることがあります。ジョブ遂行のために状況に応じてモードが選択されるのは自動選択のメリットですが、管理者としてそのふるまいを理解しておくことは大切なことです。

※「VMwareバックアッププロキシ」の選択方法は、ジョブの「Storage」 – 「Backup Proxy」で確認/設定できます。

図8:VMware バックアッププロキシの設定と転送モード

ネットワークモードが選択された要因を調べる

この環境では仮想アプライアンスモードを想定していたのですが、あるバックアップジョブの実行時はネットワークモードが選択されていました。その原因を調査するために、バックアップジョブのログを確認してみました。

バックアップジョブのログは、インストールしたディスクの「ProgramData\Veeam\Backup」にあります。

下図はネットワークモードが選択されたバックアップジョブの転送モードに関する箇所のログです。

Proxy1をクローンしてProxy2を作成したため、BIOS UUIDが重複し、「ネットワークモード」へフェイルオーバーされたのが要因でした。ジョブのログには転送モード選択の理由が記録されています。

※検証環境のため、Proxy1にMicrosoft SQL Serverをインストールし、DBサーバーのバックアップ対象として使用しています。

図9:バックアップジョブのログ

まとめ

Veeam ONEでデータ保護環境を監視することによって、想定していなかったトラブルや事象を予防することもできます。「想定していなかった!」を予防するために、PoC時からVeeam ONEを導入し、運用開始前にデータ保護環境の監視/分析をしてみるのもおすすめです。

今回ブログを書くにあたり、自身が運用する環境をじっくり観察しました。観察後に見えてくるものが多々ありました(苦笑)。みなさんもぜひじっくり観察してみてください!

 

◆参考情報 Webブラウザの日本語翻訳機能をご利用ください。

・Veeam Backup & Replication Monitoring

https://helpcenter.veeam.com/docs/one/monitor/backup_monitoring.html?ver=120

・Veeam Backup for Microsoft 365 Monitoring

https://helpcenter.veeam.com/docs/one/monitor/vbo_monitoring.html?ver=120

・Scale-Out Backup Repositories – Performance Tier

https://helpcenter.veeam.com/docs/backup/vsphere/backup_repository_sobr_extents.html?ver=120

・Moving Backups

https://helpcenter.veeam.com/docs/backup/vsphere/move_backup.html?ver=120

・VMware Backup Proxies

https://helpcenter.veeam.com/docs/backup/vsphere/backup_proxy.html?ver=120

・バックアッププロキシと転送モード:VMwareバックアップのベスト・プラクティス (日本語表示)

https://www.veeam.com/blog/jp/vmware-backup-proxy-transport-modes-configuration.html

・Intelligent Load Balancing (転送モード自動選択時の優先順位)

https://bp.veeam.com/vbr/Support/S_Vmware#intelligent-load-balancing

・About Hardened Repository ※強化Linuxリポジトリの転送モードはNBDモードです。
For security reasons, only the Network mode (NBD) is supported. If you assign the backup proxy role to a hardened repository, other transport modes will not be available for selection.

https://helpcenter.veeam.com/docs/backup/vsphere/hardened_repository_about.html?ver=120

・Veeam R&D Forum – Duplicate uuid issue of proxy

https://forums.veeam.com/vmware-vsphere-f24/duplicate-uuid-issue-of-proxy-t60816.html

・VMware KB – Editing a virtual machine with a duplicate UUID.bios (1002403)

https://kb.vmware.com/s/article/1002403

 

Stay up to date on the latest tips and news
By subscribing, you are agreeing to have your personal information managed in accordance with the terms of Veeam’s Privacy Policy
You're all set!
Watch your inbox for our weekly blog updates.
OK