Syslogとは?
Syslogは、Linux/Unixやネットワークデバイス(スイッチ、ルーター、ファイアウォールなど)で生成されます。Syslogには、ネットワークセキュリティの強化やシステム運用上のトラブルシューティングに役立つ有益な情報が記録されるため、Syslogの収集・分析は極めて重要です。
この記事では、Syslogの構造や形式、Syslogの格納場所について解説します。
Syslogに含まれている内容
標準的なSyslogは、以下の3つの層で構成されています。
Syslogコンテンツ -ログ情報が含まれています。
Syslogアプリケーション - ログを生成・解釈し、Syslogサーバーに格納するアプリケーションです。
Syslogトランスポート - 端末、コンソール、ログバッファ、Syslogサーバーなど、さまざまな宛先にログを送信します。
PRI
HEADER
MSG
PRI - 優先度の値
SyslogのPRIセクションは、メッセージのFacility(ファシリティ)とSeverity(重大度)を表しています。RFC 3164に記載されているように、FacilityとSeverityは既定の数値にマッピングされています。Facilityは、ログを生成するコンポーネントやアプリケーションを表します。
| コード | Facility(ファシリティ) |
|---|---|
| 0 | カーネルメッセージ |
| 1 | ユーザーレベルメッセージ |
| 2 | メールシステム |
| 3 | システムデーモン |
| 4 | セキュリティ/認証メッセージ |
| 5 | syslogdによって内部で生成されたメッセージ |
| 6 | ラインプリンターサブシステム |
| 7 | ネットワークニュースサブシステム |
| 8 | UUCPサブシステム |
| 9 | クロックデーモン |
| 10 | セキュリティ/認証メッセージ |
| 11 | FTPデーモン |
| 12 | NTPサブシステム |
| 13 | ログ監査 |
| 14 | ログアラート |
| 15 | クロックデーモン |
| 16 | ローカル使用0 |
| 17 | ローカル使用1 |
| 18 | ローカル使用2 |
| 19 | ローカル使用3 |
| 20 | ローカル使用4 |
| 21 | ローカル使用5 |
| 22 | ローカル使用6 |
| 23 | ローカル使用7 |
Severity(重大度)コード:
| コード | Severity(重大度) |
|---|---|
| 0 | 緊急 |
| 1 | アラート |
| 2 | 重大 |
| 3 | エラー |
| 4 | 警告 |
| 5 | 通知 |
| 6 | 情報 |
| 7 | デバッグ |
PRIの値 = Facilityの値 × 8 + Severityの値
計算された値は、SyslogパケットのPRIセクション内で、<>(山括弧)で囲まれて表示されます。
HEADER(ヘッダー)
ヘッダー部分には、タイムスタンプと、ネットワークデバイスのIPアドレスまたはホスト名が含まれています。タイムスタンプは、デバイスでメッセージが生成された日付と時刻を示しています。タイムスタンプを確認する際の混乱を避けるために、すべてのネットワークデバイスで時刻を同期しておく必要があります。
MSG(メッセージ)
メッセージには、TAGとCONTENTが含まれています。TAGは、メッセージやログを生成するアプリケーションまたはプログラムを指しています。CONTENTは、生成されたメッセージを指しています。
Syslogの格納先
すべてのSyslogはvar/log/syslogまたはvar/log/messagesに格納されます。イベントの種類によって異なる場所に格納される場合もあります。たとえば、セキュリティイベントはvar/log/auth.logまたはvar/log/secureに、カーネルイベントはvar/log/kern.logに、MySQLイベントはvar/log/mysqlに格納されます。
Syslogを効率的に監視する方法
Syslogは、セキュリティ管理者がクリティカルイベント(認証の失敗や不審な構成変更など)を分析する際に役立ちます。Syslogには、「誰が、いつ、どこで、何をしたのか」という情報が含まれています。そのため、ロギングを有効にし、Syslogの一元管理と徹底的な分析を実施することが、ネットワークセキュリティ強化のために極めて重要です。
EventLog Analyzerは、効果的なログ管理ソリューションであり、Syslogの収集・フィルタリング・解析・分析を実施し、包括的なレポートを提供します。これらの優れた機能により、あらゆるネットワークに対するSyslog監査・監視を効率的に実現します。アラート機能によって、Syslogでの悪意のあるアクティビティや異常を検知し、メールやSMSでITセキュリティ管理者に即時通知することによって、攻撃を未然に防止できます。EventLog AnalyzerでSyslog監査・監視を効率的に実施する方法については、こちらをご確認ください。