目次
ログ監視を成功させるには
ログ監視は「ポリシー・ルール」「ツール」「運用手順」の3つが必要です。
「ポリシー・ルール」は、ログ管理を行う上で必要な「何のために」「何を」「どこまで」という要件を設定したものです。
ポリシー・ルールを決めただけでは機能しませんから、具体的に「どうやって」を実現するために、「ツール」と「運用手順」を考える必要があります。
まずは、ログを収集・管理する「ツール」について検討します。
ログ管理ツールの検討
ログ管理は、毎日確実にログ収集し、適切な場所に保管、場合によっては、問題が発生していないかを目視で確認することも必要です。
これらすべてを人手でこなすのは現実的ではないため、ログ管理ツールの導入を検討します。
ポリシー・ルールで必要とされる要件のうち、まずはシステム化すべき部分を確認します。
基本的に、自動化が可能な部分はシステム化するようにします。
どの部分をシステム化するか、方針が確認できたら、ログ管理に必要な機能を「収集」「保管」「監視」「集計・分析/レポート」の4つに分けてシステム化の要件を整理します。
ログの収集
評価するポイントは、
・どのような機器の、どのようなタイプのログ収集ができるか。
・圧縮や暗号化機能の有無 (ログ収集の通信負担の軽減や、セキュリティ対策のため)。
ログ収集の対象となる、さまざまなシステムの各種のログ収集を、フォーマットを揃え、一元管理してくれる仕組みが欲しいところです。
ログの保管
評価するポイントは、
一元的な管理ができるか。
保管期間はどれくらいか。
どのような形式で保管されるか。(出力されたそのままの状態で保存できるか。)
圧縮、暗号化、改ざん防止、バックアップ機能の有無、など。
ログには、ユーザIDやIPアドレスなど保護が必要な情報が含まれていることもあり、場合によっては、法的証拠として使われる可能性もあるため、アクセス制御や改ざん防止などの対策を講じ、バックアップを取って冗長化するなど、保管には万全を期すようにしましょう。
ログの監視
評価するポイントは、
要件にあった検知ポリシーが定義できるか。(一定の時間内にログイン失敗を繰り返している者がいないか、など。)
自社に合ったアラート方式が選択できるか。(不正アクセスやシステム障害、業務違反行為を検知して管理者に通知する、など。)
検索機能が使いやすいか。(大量のログから、高速、且つ一元的に検索できるか。)
ログの分析・レポート
評価するポイントは、
ログ分析ツールが備わっているか。(組織やユーザー別のログイン失敗回数やアクセス権限違反の回数の分析など。)
分析ツールは使いやすいか。(日次・月次のレポートの作成支援機能、など)
以上の各機能別の評価ポイントを踏まえながら、パッケージ製品を利用するか、自社用システムを開発するかなども含めて、さまざまな角度から比較・評価を行いましょう。
ログ監視の「運用手順」の検討
「ツール」が定まったら、「運用手順」を検討します。
単にツールを導入してログを収集しているだけではセキュリティ対策や監査対応などの目的は達成できません。
ログ監視を意味のあるものとするためには、目的を達成するための作業フローを運用手順として定義し、日々の業務に取り込まなければなりません。
「ログ管理手順」は、ログの監視手順やアラートが上がったときの対応手順、ログ分析レポートの作成手順等、ログ自体を管理していくために必要な業務の手順を示したものです。
実施するべきログ管理業務は、「誰が」「いつ」「何を」「どうやって」行うかを洗い出し、一覧表などにまとめたうえで、具体的な作業手順をフロー図や手順書として整備し、無理なく日々の業務に取り込める仕組みを作りましょう。
関連記事
【コムスクエアの働き方 第五弾】これまでの働き方には戻れない!テレワークで、仕事もプライベートも充実した開発担当の意見
前回の記事では、顧客商談や社員教育のオンライン化など社内外で、大きな変革を求められた営業担当について取り上げました。
本記事では、今まで出社することが当たり前で、コロナに […]
会社の規模別監視システム 3−3: Linuxサーバーの障害通知メール、ログ自動保守
ふう…。結局、サーバーのトラブルは、データベースのプロセスが暴走したことによる処理性能のダウンでした。思い切ってサーバーを再起動したことで動作不良は収まり、ピーピーと鳴ってい […]- 会社の規模別監視システム 3−1: Linuxサーバーについて
Linuxサーバーの監視とは?
黒い画面に白い文字…あるいは白い画面に黒い文字。シンプルといえば聞こえは良いですが、素っ気ないLinuxのコンソールを前に首をかしげている […]