ログとは・・・

, , ,

ログとは・・・

Posted on 2016年9月7日水曜日11:31 by

概要

コンピュータの運用で導入から運用終了までまったく何の問題も発生しないということは考えられません。その原因は操作ミスであり、攻撃の対象であり、安易なバージョンアップなどたくさんあります。


アプリケーションの利用では、インストレーション、設定、実行、監視の4つの過程があります。正しくインストールされたか、正しく設定されたか、正しく実行しているかをどのように知ることが可能でしょうか。アプリケーションは通常その状態や、状態の変化を管理者に教えるように設計されています。そのメッセージからアプリケーションが何を実行し、どのように機能しているかを知ることが可能です。これらのアプリケーションやデバイスが出力するメッセージを「ログ」といいます。


ログ出力はどんなシステムにおいても基本的な機能です。事態が悪化するとそれを診断し、原因を知る必要があります。どんなOSやデバイスを利用していても診断情報として最適なものが「syslog(シスログ)」です。

 

主な用途

正しく構築されたロギングシステムはアプリケーション、ネットワーク、OSなどのシステム異常に関
する情報をたくさん取り込みます。これらの情報は主に次の目的に利用されます。

 

目的

一般管理

ロギングはある瞬間のシステム情報ではありません。長期間のsyslog統計はシステム監査のベースラインを示します。ベースライン監査はシステムの正常時のアクティビティ状態、どんなsyslogエントリーが正常か、どんなトラフィック が正常かを示します。ベースライン監査データがあれば毎日の異常の発見が容易です。システムが正常か、ネットワークが正常かの判断が可能です。システムが 本格的にダメージを受ける前に能動的な対応が可能です。

侵入検出

適切なツールを使えばsyslogは侵入検出情報を与えます。ベースライン監査からの異常を知ることにより問題発見が可能です。一連のログメッセージの流れを分析すると攻撃などがわかります。攻撃者は攻撃の痕跡を残さないことを考えます。syslogはどのような攻撃の軌跡も記録しますので、攻撃者にとって攻撃成功後の仕事はログを攻撃しその記録を改ざんすることです。

攻撃確定

攻撃されたことが明確であれば、その範囲の確定と程度の確定が必要です。インシデントレスポンスチームの登場です。syslogデータは攻撃調査の一部の情報しか提供しないことに注意してください。IDSログ、ファイアーウォールログ、ルータログその他の多くの情報を総合的に調査しなければなりません。これらのログの正しさが保障されるならば攻撃内容は速やかに明らかにできます。調査結果はシステム復旧後にシステムをどのようにするかの参考になります。もちろん攻撃者を特定し、法律的なアクションを起こす場合の重要な証拠にもなります。

*****

攻撃はその程度を問わず、会社にとってのダメージになります。攻撃の規模や意図は関係ありません。復旧に多くの時間と費用がかかります。ロギングはシステムの復旧を保障するものではありません。すべてのログデータが完璧であっても攻撃のすべてをカバーすることはありません。 なにか不都合が発生したことを調査し再発しないようにする材料となります。IDS、ファイアーウォール、ルータ、ホストはそのログ出力の内容が異なります。 すべてを総合的に利用することで完全な情報になります。syslogは信頼できるネットワーク構築や課金システムには不可欠です。ネットワーク設計の最初にロギングに対する考慮が必要です。ネットワークフィルタリング設計、IDS配置、サーバー配置、システム管理、セキュリティポリシーなどを考慮したうえでロギングアーキテクチャを決定してください。

 

歴史


黎明期

1983年 UNIX Berkley版の一部としてsyslogプロトコルが取り入れられました。Eric AllmanがSendmailログ取得用に開発したものです。これがSyslogの始まりです。

発展期


ネットワークを構成する各種のデバイスの登場に伴いsyslogによりログデータを収集するニーズが高まりました。ネットワークスイッチ、ルータ、プリンタ、ディスクストレージ、テープライブラリ、その他のデバイスがsyslogプロトコルでデータを出力するようになりました。しかし、syslogとしての基準がないため実装はベンダーにより異なっておりました。

統一基準


2001年8月 IETFからRFC3164 "The BSD Syslog Protocol"が文書化されました。実質的なsyslogの標準化です


IETFからRFC3195"Reliable Delivery of Syslog"、インターネットドラフトドキュメントdraft-ietf-syslog-sign-11"Syslog-Sign Protocol"がリリースされました。syslogセキュリティの強化を図りました。