PR

ログには必ず時刻が記される

センパイ:まあいい。その話はあとだ。ログを見るときのカギになるのが時刻情報だ。

ネコSE:ログの情報は時間の順番に並んでいるわけですね。

センパイ:そう。そのためにログは必ず時刻情報を持っている。試しに社内システムの具体的なログの内容を見てみよう(図3)。

図3●社内システムのログの例
図3●社内システムのログの例
ファイルサーバーやファイアウオールといった機器はそれぞれログを取っている。ログには必ず時刻が記されている。そうしたログを確認することで、いつ、どんなことが行われたかがわかる。
[画像のクリックで拡大表示]

ネコSE:何だかわくわくしてきました。

センパイ:まず、ファイルサーバーのログだ。「20200730 16:23:21」というのが時刻だね。

ネコSE:最初の数字の羅列は何ですか。

センパイ:2020年7月30日という意味だよ。このログでは日付は「年月日」の順番に数字を並べて示すということだね。次の「16:23:21」は16時23分21秒ということだ。次の「ユーザー名」が、具体的な操作をしたユーザーの名前だね。「動作」は「Directory Create」になっている。つまりディレクトリー(フォルダー)を作成したということだ。具体的なフォルダー名が次の欄に記されている。

ネコSE:サーバーへのログイン失敗のログは、日付の表記が違いますね。

センパイ:うん。同じ内容を表していても、ログによって表記の仕方が異なることもあるんだ。

ネコSE:結局、どのログにも時刻は必ずありますね。

センパイ:そう。時刻はログの基本だからね。機器がきちんと時刻同期するようにシステム管理者が神経質になるのはこのためだよ。

ログを集約して管理

ネコSE:でもすべての機器のログを見るのは大変ですよね。集めるのを考えただけでくらくらします。

センパイ:ログを集約して管理するためのシステムもあるよ(図4)。集約しておけば、アクセス権の管理やバックアップなどもやりやすいからね。突き合わせや分析をリアルタイムでやってくれるSIEMと呼ばれる製品もある。

図4●ログ管理システムのイメージ
図4●ログ管理システムのイメージ
ネットワーク機器、セキュリティ機器、サーバーといった様々な機器に記録されているログを1カ所に集めて管理する。
[画像のクリックで拡大表示]

ネコSE:おお、それは便利ですね。

センパイ:とはいえ、リアルタイムでログを分析するような高度な製品は構築や使いこなしのノウハウが必要だと聞く。導入コストや運用コストも高いし。うちで導入するとしても将来の話かな。

ネコSE:誰でもすぐ使えるというわけではないんですね。

センパイ:もし、ログについてもっと詳しく勉強したかったら、ログに関する具体的なガイドラインを見てみると参考になるよ。いろいろなガイドラインがWebサイトで公開されている(表1)。

表1●ログに関するガイドライン
表1●ログに関するガイドライン
ログをどのように扱うべきかを示した様々な資料がインターネットで公開されている。
[画像のクリックで拡大表示]

ネコSE:わかりました!

センパイ:例えば、標的型攻撃などに備えるには長期間のログを保管しておくと良いようだね。

ネコSE:どうして長期間のログが必要なんですか?

センパイ:標的型攻撃では、攻撃者が長期間潜伏して活動しているケースが多いんだ。実は1年前から侵入されていたということが判明した場合は、当時のログが残っていないと調査が行き詰まってしまう。

ネコSE:ひえええ。そんなことになったらどれだけ怒られるかわかりませんね。

センパイ:とはいえ、すべてのログをずっと保管しておくのは大変だ。バランスが難しいね。

ネコSE:では、教えていただいたことを踏まえて、三毛子さんがそっけなくなった件の原因調査に戻りたいと思います!

センパイ:一応言っておくけれど、システム管理者の権限を乱用してデータを見るなんてことは絶対にしないようにね。記録が全部ログに残るんだから。

▼ISP
Internet Service Providerの略。インターネット接続をサービスとして提供する事業者。
▼SIEM
Security Information and Event Managementの略。