ログサーバとは
時代とともに増加するサイバー攻撃に対して、有効な施策がログ管理です。しかし、ログを活用することは決して簡単ではありません。そこで今回は、ログの取得方法などを理解した上でログサーバの役割や必要性などをわかりやすく解説していきます。
目次
ログサーバ
ログサーバとは、ネットワーク機器やサーバ機器が出力するログを収集・集約するサーバのことを指します。代表的なものにUNIXやWindowsをプラットフォームにしたSyslogサーバがあります。まずは、UNIXとWindowsについて解説していきます。
UNIX系
UNIXは1969年に開発されたOSで、UNIX系とはそのシステムに類似・共通する仕様を持ったOSの総称のこと指します。UNIXの特徴としては以下のような点が挙げられます。
-
マルチタスク・マルチユーザー
マルチタスクとは「複数の処理を一台で同時に実行できる」こと、マルチユーザーとは、「複数のユーザーが同時に一台のマシンへログインできる」ことを指します。なおWindows OSはシングルユーザー・マルチタスクです。参照:http://www.not-enough.org/abe/manual/comm/about-unix.html
-
コマンドラインインターフェース(CLI)
文字列による操作を基本とするUIが採用されています。WindowsやMacなどのOSで採用されているグラフィカルユーザーインターフェース(GUI)と比較した際に使いにくいと感じるケースが多く、コマンドを覚える必要もあるので難しく感じてしまうこともあるかもしれません。しかし、操作に慣れてくるとGUIに比べてより少ないリソースで操作することができ、非常に効率がいい仕組みとなっています。 -
UNIXにおけるFreeBSDとSystem Vの系統の違いについて
まずBSD(ビーエスディー)とはBarkley Software Distributionの略で、歴史としてはSystemV(システムファイブ)系より長いものになります。FreeBSDは安定性が高いという特徴があり、商用利用されたMac OSもBSD系です。
SystemVとはAT&Tが開発したUNIXで、SystemV系といえばその系譜である商用のUNIXを指します。
Vはファイブと読み、AT&Tが開発を進めるにあたってのバージョンとなります。もともとSystemIII(スリー)の販売を開始し、それの後継として出てきたのがSystemVです。
BSDの影響は受けているとはいえ、商用OSの筆頭であるSolaris、HP-UX、AIXは全てSystemV系です。
それぞれ系譜が異なる2つですが、歴史が古いのはBSDで、TCP/IPの通信をコンピュータ間で行う場合に使用するソケットもコンピュータ間でBSDから生まれた仕組みです。
一方で、企業で採用されるOSはサポート対応のあるSystemV系のOSが多くなっています。
つまり、企業では「SystemV系OS」、大学や研究機関では「BSD系OS」が多いと言えるのではないでしょうか。
Windows
パーソナルコンピュータ(PC)を使用するためのOSとしてマイクロソフト社によって開発されたシリーズで、標準OSとして世界に広く普及している。Windowsの特徴として以下のような点が挙げられます。
-
操作性の高さ
1995年に発売された「Windows 95」を例にあげると、アイコンのビジュアル面、タスクバーやスタートメニュー、右クリック操作など現在のパソコンには欠かせない機能を搭載。同時期に発売された他OSと比較してかなり使いやすい仕様だったことから、日本をはじめとした多くの国で人気が出て、現在の「Windows 11」に至るまで世界中のソフトウェアのトップといえる存在になっています。 -
豊富な対応アクセサリー
ソフトウェアとハードウェアどちらにおいても対応しているアクセサリーが非常に豊富です。自社製品のMicrosoft 365はもちろん、他社製品のソフトウェアも数多く対応しており、圧倒的なシェアを誇っています。
UNIXとWindowsのログサーバ
前述した2つのOSでネットワーク機器やサーバから出力されるログメッセージを収集・管理するログサーバを紹介します。
Syslogサーバ
まずは、Syslogについて解説していきます。
Syslogとは
まずSyslogとは、機器の稼働状況を把握するための仕組みです。
大きく分けて、ログ情報を収集して保存するための仕組みと、ネットワーク上のメッセージを転送するプロトコルという2つの意味を持っています。
Syslogが最もよく活用される用途は「システムの監視」です。システムに何らかの異常が起こった場合、そのタイミングに手動でシステムログを確認するのは困難です。そのため、Syslogを利用して常時出力されるメッセージをファイルに保存し、その内容を監視ツールで監視します。
そして、現在Syslogは改良版として「Syslog-ng」「rsyslog」などのオープンソースがあります。基本的なプロトコルは同じですが、「Syslog-ng」はハイパフォーマンスで高いフィルタリング機能をもち、データベースへのログ出力、TLSの暗号化によるセキュアログなどの機能も実装されています。「rsyslog」では、TCP通信により信頼性の高い(欠落しにくい)RELPプロトコルのサポートやバッファ機能が付いています。
Syslogサーバとは
前述したようなSyslogを利用して、ネットワーク上にあるシステムログを集約して管理するサーバを「Syslogサーバ」と呼びます。
他のデバイスによって出力されたログメッセージをネットワーク上で受信、保存、および転送する機能を提供します。複数のデバイスからのイベントのログメッセージ保存に使用できるため、管理者はログを集中管理して、システムのアクティビティをよりよく把握できます。
参照:https://www.miraiserver.ne.jp/column/about_syslog/#syslog-2
イベントログサーバ
まずは、イベントログについて解説していきます。
イベントログとは
Windows OSではシステムやアプリケーションなどで発生したログを記録し、イベントビューアーで確認することができます。WindowsのイベントログはEVTX形式のファイルに記録され、
C:¥Windows¥System32¥winevt¥Logs
というフォルダーに格納されています。Windowsのイベントログは多数ありますが、出力されるログメッセージの形式は統一されています。このイベントログを扱うには5つの方法があります。
-
イベントビューアー
GUIアプリケーションで、指定した項目の並び替えや指定した条件でのフィルター機能などがありまするが、単純な条件指定しかできないので複数の情報を関連させることは困難になります。 -
wevtutil.exe
コマンドラインからイベントログファイルを扱うためのもので、リモートマシンのイベントログを取得することもできます。スクリプトを作成して、実行できるため利用しやすい。イベントログの設定変更や制御をする場合に利用できます。 -
WMIC.EXE
同様にコマンドラインツールで、WMI(Windows Management Instrumentation)経由によるアクセスなのでwevtutil.exeに比べると条件設定に柔軟性がありますが、使い方に慣れていない場合は少し難しいかもしれません。なお、マイクロソフト社ではWMICではなく、Windows PowerShell を現在は推奨しているようです。 -
PowerShell
PowerShellにはコマンドレットと呼ばれるコマンドがあり、複数のコマンドレットがイベントログを扱っています。コマンドレットは規則性があり、129種類ものコマンドレットが標準で提供されているのでPowerShellそのものについては使い慣れるまでに苦労するかもしれません。 -
software開発
より複雑な条件を指定したい場合、ソフトウェア開発は非常に有効です。
イベントログサーバとは
Windows系の機器が出力するログを一か所に集約するサーバがイベントログサーバになりなす。例えば、それぞれのクライアントが出力するイベントログをクライアントごとではなく、一台のサーバにまとめて保管しておくことで包括的なログ管理ができるようになります。
統合ログ管理
以上のように、SyslogサーバやイベントログサーバではUNIX系およびWindowsそれぞれの機器が出力するログメッセージを一元的に集約することが可能です。しかし、様々なネットワーク機器やサーバのログを一括で集約するだけでなく、ログの可視化やふるまい検知など、有効的に活用するためには統合的にログ管理できるツールが必要になります。現在では、統合ログ管理が主流となっています。統合ログ管理システムではSyslogやイベントログにとどまらず、ファイアウォール、IPS/IDS、WAF、フィルタリングツール、プロキシサーバ、データサーバなどのサーバ機器やネットワーク機器のログを収集し、アプリケーションのログまで管理・分析を行うことが可能です。統合ログ管理システムの製品には様々な種類がありますが、主な機能として指定したログのレポート機能や、「誰が」「いつ」「どこで」「何を」「どうした」が一目でわかるように可視化できる機能、専門的スキルがなくてもマニュアル通りに集約したログを自動で監視できる機能、ログ収集対象のネットワーク機器に負荷をかけることなく、統合ログ製品のマネージャやサーバでログを保管できる機能、いつでも目的のログを検索できる機能などがあげられます。
統合ログシステムのマネージャーサーバ
統合ログ管理システムでは、集約したログを管理・活用するためのマネージャーサーバが必要になりまます。しかしながら昨今、ユーザーがネットワークインフラを構築せずともインターネット経由で利用できるクラウドと呼ばれるサービス提供形式が登場したことで「オンプレミス」と「クラウド」の2種類の提供形態に分かれるようになりました。
オンプレミス
オンプレミスとは、サービス利用者側の施設内に設置・運用されるサーバの形態を指します。オンプレミスの場合はサービス利用側が自身で構築、設定を柔軟に行うことが可能です。メリットはその柔軟性にあります。また周囲のネット環境の影響を受けることなく安定した高速通信が行える点も大きなメリットになります。一方でオンプレミスはマネージャーサーバの設置場所の確保や導入、メンテナンスコストなどがデメリットとして挙げられます。
クラウド
クラウドとは、インターネットを介して様々なサービスを利用できるもので、提供形態により、Paas、IaaS、SaaSなどに分類されます。このクラウド環境には、アカウントとネット環境があればどこからでもアクセスできます。このようなメリットのほかにも、オンプレミスでは容量を増やすためにHDDを増設しなければならない場合でも、クラウドであれば手間をかけずにリソースの拡張ができる点などがあげられます。一方で、カスタマイズ性の低さや、特にSaaSの場合はインシデント対応すべてがクラウドサービス提供側に一任されている点などがデメリットとして挙げられます。
おわりに
ログサーバという言葉はあまり聞きなれない言葉ですが、ログサーバは私たちが思う以上に私たちの身近に存在しています。
各個人がログサーバの仕組みや概要をしっかりと理解することで自社のセキュリティ意識にもつながります。