ログ解析とは?
ログ解析とは、構造化されていないログデータを分割し、構造化された形式に変換するプロセスです。ログ解析により、ログの理解・分析・保管が容易になります。
たとえば、次のWindowsイベントログを考えてみましょう。
21/1/2022 08:14:29 AM 1102 Application Information 'The audit log was cleared' Test-PC - None Windows Update Success
ログ解析ツールは、このログを分析し、各フィールド(日付と時刻、イベントID、タイプ、レベル、ソース、コンピューター名、ユーザー、タスクカテゴリー、メッセージなど)に分割して、理解しやすくします。
ログ解析の種類
ログを解析方法には、2種類あります。正規表現(RegEx)方式と区切り文字(デリミタ)方式です。
正規表現(RegEx)方式のログ解析
正規表現(またはRegEx、「Regular Expressions」の略)は、パターンを検索・置換するためのドメイン特化言語です。
正規表現を使用すると、ログイベントからデータを抽出するためのパターンを使用したカスタムクエリを作成できます。これにより、非構造化データから日付、時刻、ログタイプなどの固有のフィールドを抽出できるため、ソートやフィルタリングなどの処理が容易になります。
ログ解析ツールは、高度な組み込みモジュールによって、正規表現を簡単に作成できます。
前述のWindowsイベントログの例を見てみましょう。
21/1/2022 08:14:29 AM 1102 Application Information 'The audit log was cleared' Test-PC - None Windows Update Success
このイベントログから日付のフィールドを抽出するには、次の正規表現を使用します。
^(?:(?:31(\/|-|\.)(?:0?[13578]|1[02]))\1|(?:(?:29|30)(\/|-|\.)(?:0?[13-9]|1[0-2])\2))(?:(?:1[6-9]|[2-9]\d)?\d{2})$|^(?:29(\/|-|\.)0?2\3(?:(?:(?:1[6-9]|[2-9]\d)?(?:0[48]|[2468][048]|[13579][26])|(?:(?:16|[2468][048]|[3579][26])00))))$|^(?:0?[1-9]|1\d|2[0-8])(\/|-|\.)(?:(?:0?[1-9])|(?:1[0-2]))\4(?:(?:1[6-9]|[2-9]\d)?\d{2})$
この正規表現では、dd/mm/yyyy、dd-mm-yyyy、dd.mm.yyyyという形式の日付を検出できます。
区切り文字(デリミタ)方式のログ解析
ログの1行の中には、ログタイプ、日付、時刻、エラーなどの異なる情報が含まれています。このようなデータは、区切り文字(デリミタ)を使用して分割できます。区切り文字には、カンマ(,)、セミコロン(;)、中括弧({})、パイプ(|)などがあります。区切り文字を使用した解析では、必要なデータのソートおよびフィルタリングをより効率的に実行できます。
区切り文字を使用すると、テキストの幅を固定する必要がなくなります。データが一定のパターンに従っていない場合でも、区切り文字によって適切な場所で分割でき、データのソートおよびフィルタリングが容易になります。
複雑なデータを扱う際、区切られた文字列をデータセットに変換できれば非常に有益です。
例:apple, orange, mango, [grapes]10/10, banana
この例では、最初の3つの属性に対して、区切り文字としてカンマ(,)を使用できます。4つ目の属性については、角括弧([ ])の中の値を取得する必要がある場合、開始テキストと終了テキストの値として([)と(])を指定し、区切り方法を設定します。
ログ解析の用途
- 単一リポジトリのログの分析
ログファイルを使用した問題分析やデバッグは、非常に面倒です。ログパーサーを使用すると、ログを整理でき、問題を迅速に解消できます。 - フォレンジック分析によるセキュリティホールの発見
強力なログ解析アプリケーションでは、フォレンジック分析を用いて、大量のログデータを検索できます。ワイルドカード、フレーズ、ブール演算子を使った検索と、グループ検索や範囲検索を組み合わせられます。 - 体系的なログ分析
ログパーサーによって、ログの理解を深め、カテゴリーを構造化することで、ログ分析のプロセスがシンプルになります。
ログパーサーはログ管理にどのように役立つか?
ログパーサーは、データのソートと分析を効率的化するための多くの機能を備えており、セキュリティ体制の強化につながります。次のような観点でログ管理に役立ちます。
- 効率化:
ログ解析ツールを使用すれば、ログデータ収集と分析のプロセス全体を効率化・自動化できるため、生ログの分析という面倒なプロセスを解消できます。 - 拡張性:
従来のログビューアを使用する場合、手動でログ解析を行う必要があります。現在多くの組織では、毎分何千ものログファイルが生成されるため、全データの解析は不可能です。ログパーサーは、効果的にログ管理に役立つため、ログの規模について心配する必要はありません。 - カスタムルールの作成:
信頼性の高いログパーサーでは、データを解析するためのカスタムルールを作成できます。カスタムルールにより、重要なログイベントを指定し、優先的に処理することで、ログ管理を簡素化できます。
EventLog Analyzerのような強力な解析機能を備えたログ管理ツールは、ログからすべての関連情報を効率的に抽出し、ネットワークイベントを理解しやすくします。ログを効率化・簡素化できる信頼性の高いログ解析ツールをご検討であれば、ManageEngineのEventLog Analyzerをお試しください。