1.ログ管理とは?
ログ管理とは、サーバや端末等からログを収集・保存することにより、障害調査や監査に利用することができます。ログには操作履歴や通信履歴が記録されているため、特に外部からの攻撃、侵入された場合の調査や内部不正等の調査に重大な役割を担います。また、収集したログを参照するだけでなく、ログを分析し、レポートとして参照することができるようになります。
2.ログ管理にあるとうれしい機能
ここでは、ログ管理を利用するための有用な機能について見ていきたいと思います。
①ログ圧縮
ログを収集する対象が多いシステムの場合、比例して収集するログの容量も膨大となり、保存するための大容量のストレージが必要となります。ストレージの容量が増大すると、コストの増大にもつながってしまうため、ログ容量を抑えるための圧縮機能があるとコスト削減に役立ちます。
②改ざん防止
前述したようにログは障害調査や監査に利用されます。これはログの内容が「正しい」という前提に立った考えです。そのため、保存されたログには改ざんされていないという真正性(※)が求められます。改ざん防止のための主な方法として以下があるようです。
1. ログデータのタイムスタンプを統合ログシステムとは別のシステムに保管
する。
2. ハッシュ値等によりログの欠落や改ざんの有無を検出する。
3. ログを複数ロケーションに同時保存し比較することで、改ざんの有無を検
出する。【出典】「統合ログ管理サービスガイドライン(1.0 版)」
データベース・セキュリティ・コンソーシアム(DBSC)
http://www.db-security.org
③暗号化
ログにはIPアドレスやメールアドレス等の機密性の高い情報が記載されることがあり、外部に流出してしまうと問題となります。このような場合に備えてログを暗号化しておくことが重要です。
④ログの正規化
ログの形式は収集する機器毎に異なります。Syslog形式やJSON形式のものもあれば製品独自形式のものもあります。それらの異なる形式をある共通の形式に変換することで、ログを分析しやすくします。