*追記:本事象はSEP14以降で修正されました。
企業でよく利用されているセキュリティ対策ソフトウェアのSymatec Endpoint Protection(SEP)だけど、SEP Managerをクラウド(AWS)に構築した場合にブラウザから監査ログのエクスポートができないことが判明。具体的にはタイムアウトでエラー終了する。
こんな感じでログのエクスポートを実施。
何が起きてるのかパケットキャプチャで確認してみる
これまで52.68.17x.xxx(AWSに構築したSEPMのPublic IP)にアクセスしていたものが途中から172.18.1xx.xxx(SEPMのPrivate IP)にアクセスしに行って応答が無い状態になっている。
AWSに作成するインスタンス(マシン)は構築時にPrivate IPと必要であれば外部アクセス用のPublic IPを設定するケド実際にインスタンス本体が持つのはPrivate IPのみでPublic IPは持っていない。構築したインスタンスにログインしてipconfig(Linuxならifconfig)コマンドを実行してみると判るが返ってくるのはPrivate IPのみである。それでも外部からアクセスができるのはPublic IPをPrivate IPに「マッピング」されているから。1対1のNATのイメージ。SEPMは監査ログのエクスポートの処理をFQDNでなくローカルIPで実施する「仕様」のため外部のブラウザからPrivate IPにアクセスしてタイムアウトになる模様。Symantecのサポートに確認したケド現行バージョンのSEPM(12.1 RU6 MP3)はNAT変換に対応していない。監査ログのエクスポートをFQDNでアクセスこともできない。今後開発予定にも入っていないとの回答。ただ改善要望としてはエスカレーションしてくれる模様。とりあえず現在はSEPMインスタンスにリモートデスクトップ接続してブラウザを起動してそこで監査ログを取得する以外には方法はなさそう。
監査ログのエクスポートとは関係ないケドSEPMで面白いモノを発見。
ファイアウォールのポリシーの設定を確認すると…そこには何故か「いいえ」の項目が。「いいえ」とはなんぞ?「いいえの1」「いいえの2」… どうやら日本語化した際に「No.」を間違えたみたい。コレはSymantecには報告せず楽しむ方向で。