ログデータに関して知っておくべきこと

ログデータの概要

ログデータは、システム、アプリケーション、ネットワークデバイスで発生するすべてのイベントの記録です。ロギングを有効にすると、ログはシステムで自動的に生成され、タイムスタンプが付けられます。ログデータには、イベントに関する詳細な情報(誰が関与していたか、いつ、どこで、どのように発生したかなど)が記録されます。つまり、ログデータは、IT運用上の問題のトラブルシューティングやセキュリティ脅威の検知を行う際の重要な証拠となります。

ログデータの種類

生成されるログの形式は、ネットワークの構成要素ごとに異なります。ここでは、ITセキュリティと運用に不可欠なログデータの種類をいくつかご紹介します。

境界デバイスログ

境界デバイスは、ネットワークトラフィックを監視・制御するために使用され、VPN、ファイアウォール、侵入検知システムなどの機器を指します。境界デバイスのログには、使用されたプロトコル、IPアドレス、ソースと宛先のポート番号などの情報が記録されます。ログには、大量のデータが含まれており、ネットワークへの不正侵入やその他のセキュリティイベントの検知に大いに貢献します。

2022-05-05 11:15:26 ALLOW TCP 10.40.4.182 10.40.1.11 63064 135 0 - - SEND

上記のログエントリーでは、イベントのタイムスタンプの後ろにアクションが記録されています。この場合、ファイアウォールがトラフィックを許可した日付と時刻が示されています。

Windowsイベントログ

Windowsイベントログには、Windowsシステムで発生するすべてのアクティビティが記録されます。Windowsマシンで発生するイベント(ユーザーのログイン、新しいプロセスの開始、権限の変更など)はすべて、システムにログとして記録され、イベントビューアで確認できます。このようなログの監視によって、攻撃を早期に検知し、重要なリソースの動作状況に関して詳しく把握できます。Windowsイベントログには、以下のような種類があります。

  • アプリケーションログ:Windows OS上のアプリケーションによって生成され、アプリケーションの強制終了につながったエラーなどのイベントを記録します。
  • セキュリティログ:複数回のログイン試行や認証の失敗など、システムのセキュリティに関わるイベントを記録します。
  • システムログ:OSによって生成され、プロセスやドライバーの読み込み成功などのイベントを記録します。
  • ディレクトリサービスログ::Active Directoryによって生成され、特権の認証などのイベントを記録します。
  • DNSサーバーログ:DNSサーバーでのみ利用可能で、クライアントのIPアドレス、クエリされたドメイン、リクエストされたレコードなどを記録します。
  • ファイルレプリケーションサービスログ:ドメインコントローラーでのみ利用可能で、ドメインコントローラーのレプリケーションイベントを記録します。

Warning 5/11/2022 1:12:07 PM WLAN-AutoConfig 4003 None

上記の例は、WLAN AutoConfigサービスのログです。このサービスは、ユーザーが動的にWLANに接続できるようにする接続管理サービスです。ログの最初には重大度、その後ろにはイベントの日付と時刻が示されいます。

エンドポイントログ

エンドポイントは、ネットワーク上で接続されたデバイス(プリンター、デスクトップ、ノートパソコンなど)を指します。エンドポイントのログを監視することによって、データ流出、システム侵害、なりすまし、マルウェア感染などを防止できます。また、セキュリティ管理者やシステム管理者がポリシー違反を検知する際にも役立ちます。

Error 6/20/2019 5:00:45 PM Terminal Services- Printers 1111 None

エラーソースとイベントID(1111)は、ターミナルサービスのEasy Print機能でエラーが発生したことを示しています。ユーザーがファイル印刷で不具合を経験している場合は、ログ分析によって、具体的な原因と解決策を特定できます。

アプリケーションログ

アプリケーションログは、ビジネスにおいて重要な役割を果たすアプリケーションによって生成されます。具体的には、SQLデータベースサーバーOracle DatabaseサーバーDHCPアプリケーション、SalesforceなどのSaaSアプリケーション、IIS WebサーバーアプリケーションApache Webサーバーアプリケーションなどが生成するログを指します。アプリケーションログには、エラーや通知イベントなど、進行中のアクティビティに関するあらゆる情報が記録されます。アプリケーションログを監視することによって、アプリケーションに関する問題を検知し、効果的に対応できます。

02-AUG-2013 17:38:48 * (CONNECT_DATA=(SERVICE_NAME=dev12c)
(CID=(PROGRAM=sqlplus)(HOST=oralinux1)(USER=oracle))) *
(ADDRESS=(PROTOCOL=tcp)(HOST=192.168.2.121)(PORT=21165))
* establish * dev12c * 0

上記のログには、データベースサーバーがリクエストを受信した日付と時刻、リクエスト元のユーザーとホストコンピューター、IPアドレスとポート番号が記録されています。

プロキシログ

プロキシログは、ネットワークアクセスの管理やデータ保護を担っているネットワークプロキシによって生成されます。プロキシログには使用状況の統計などの重要なデータが含まれているので、監視することによって、疑わしいアクティビティの検知につながります。

4/8/2020 2:20:55 PM User-001 192.168.10.10 GET https://encyclopedia.com/

上記のログは、記録された日付と時刻に、ユーザー001がencyclopedia.comのページをリクエストしたことを示しています。

IoTログ

IoTは、データを収集・交換する、インターネットに接続されたデバイスの大規模なネットワークです。IoTログは、IoTシステムを構成するデバイスによって生成されます。

ロギングを有効にすべき理由

ITシステムでは、毎日、何千ものログエントリーが生成されています。ロギングの目的は、システムで発生するすべてのイベントを継続的に記録することです。IT管理者にとってロギングが重要である理由は、以下のとおりです。

  • ログファイルを使用すれば、システムで発生するあらゆるイベント(失敗を含む)を確認できます。ログファイルには、SIPリクエストなども記録されます。
  • エラーの発生場所を確認できるため、製品やソフトウェアをより詳しく理解できます。
  • ユーザーが何を、いつ、どのように行っていたかなど、ユーザーのアクティビティに関する詳細情報を把握できるため、セキュリティ脅威の検知が容易になります。
  • 製品やソフトウェアのセットアップ中に起こりうる問題を検知します。
  • アプリケーションのパフォーマンスやセキュリティに関する問題が記録されるため、問題の検知や修正が容易になります。

ロギングだけでは不十分:ログの監視が重要

ネットワーク管理において、ロギングを実施するだけでは不十分です。円滑な運用とネットワークセキュリティの確保を実現するためには、IT管理者によるログ監視が必要になります。ログ監視では、ネットワークで生成されるすべてのログを収集し、中央サーバーに格納した後、管理者がログ分析を実施し、必要な情報を引き出します。また、コンプライアンス要件を満たすために、特定の重要システムのログを一定期間保存する必要があります。

技術者は、ログ管理ツールを利用して、アプリケーションに関連した問題を迅速に特定できます。たとえば、ログデータを分析して、パフォーマンス低下の原因を突き止めることが可能です。しかし、ログ管理は簡単ではありません。そこで、価値を発揮するのがEventLog Analyzerです。EventLog Analyzerを導入すれば、エンドツーエンドのログ管理を実現できます。アプリケーション監査、セキュリティ分析、ログ管理など優れた機能を備えており、ログ管理のあらゆるニーズに応える強力なソリューションです。

EventLog Analyzerの無料評価版で、すべての機能を実際にお試しください。