Linuxのログの基本と活用法とは?簡単に監査、解析、管理する方法

Windowsイベントログ・Syslog対応 ログ管理ソフト

ManageEngine > ManageEngine > イベントログ・syslog対応ログ管理ソフト > 機能 > ログ管理 > Linuxのログの基本と活用法とは?簡単に監査、解析、管理する方法

Linuxにおけるログ(イベントログ)とその管理

Linux上では、様々なプロセスによってログが記録されています。 /var/log ディレクトリを確認すると、システムへのログインの成功・失敗の記録、各種サービスにおけるアクセス記録やエラー記録など、Linux上で手動・自動実行されたあらゆる情報が集積されています。

これらの記録は、Syslogメッセージとして外部のSysogサーバーへ転送することが可能です。Syslogを活用することにより、1台ないし複数台のLinuxシステムのログを一元管理したり、Linuxシステムがダウンしてアクセス不能に陥ったときにでも、ログを確認することが可能になります。

メモ:Linuxをはじめ様々な装置で記録されているログは通常、ログファイルと呼ばれるファイルに記録されます。ログファイルに含まれる記録のひとつひとつの呼称はWindowsシステムにおいては「イベントログ」が一般的ですが、LinuxなどのUNIX系システムや各種アプリケーション、ネットワーク機器などを含めた全般的なログ管理の世界では「ログメッセージ」という呼称が一般的です。

組織においてLinuxは、多くの基幹システムを支える重要なOSです。そのため、IT管理の現場においては、Linuxのログを効果的に管理できる仕組みが求められています。

Linuxログの活用にはツールが不可欠

実際にLinux上に記録されているログを確認すると、ログのフォーマットは記録するプロセスによって様々なバリエーションがあり、それらを直接確認するためには、ログの内容を読み解くスキルが求められるほか、複数のログファイルうちどのファイルに必要な情報があるのかを知っておくなど、様々な専門知識が要求されます。

また、ログファイルはストレージ容量圧迫を避けるため、一定期間を過ぎると古いものから順に削除されていくため、古いログは残っていない可能性があります。

さらに、システムが再起動するなどのイベントにより、古いログが上書きされてしまうようなケースもあります。

上記のような問題を解決するためには、Syslogの活用が欠かせません。

しかし、Syslogサーバを構築してLinuxのログを一元管理することができるようになったとしても、Syslogの可読性は高いとは言えず、また、日時による絞り込みやキーワードによる検索も、システム上でLinuxのコマンドを駆使する必要があります。

さらに、昨今の組織においてはLinux以外にもWindowsやネットワーク機器など様々な装置が混在しており、それらのログも管理を必要としています。

こうした状況を踏まえ、システム管理の現場においては多機能で効率のよいログ管理ツールが求められています。

Linuxログの解析を容易にし監査に活かせるツール

ManageEngineが提供する統合ログ管理ツール「EventLog Analyzer」は、Linuxのイベントログ収集を簡単に実施できる便利なソフトウェアのひとつです。Syslogサーバーとして、リアルタイムにLinuxのログを受信し、用途に応じた可視化を実現します。もちろん、Windowsのイベントログと一元管理をするのが可能です。

Linuxログ解析機能

EventLog AnalyzerのLinuxログ管理機能は以下の通りです。

Linuxシステムを監査

  • Linuxのログの完全管理と監査
  • Linuxのプロセス、ユーザーアクティビティ、メールサーバーなどを監視
  • サーバーエラーや、サーバー使用率、セキュリティレポートを含む、Linuxシステム専用の100種類以上の設定済みのレポート
  • 必要に応じて、レポートをカスタマイズ、スケジュール設定、エクスポートし、また、カスタムレポートを定義
  • レポートは、グラフ、リスト、表形式で提供され、レポートエントリからプレーンテキストのログ情報を簡単に抽出
  • リアルタイムで追跡したいすべてのイベントに関するインスタントメールまたはSMS通知を受信
  • 相関機能は、特定のイベントが順番で発生したときに通知するカスタマイズ可能なルールのデバイスを提供
  • ログは安全にアーカイブ化され、製品ごとに柔軟性のあるログフォレンジック機能で簡単に検索

Linuxのログオンおよびログオフレポート

  • SU、SSH、FTPログオンなどを含めて、ログオンとログオフを追跡
  • 概要と上位N位までのレポートは、情報を要約し、最も頻繁にログオンしているユーザーとデバイスに関する情報を提供

使用可能なレポート

Linuxの失敗したログオンのレポート

  • 失敗したログオンすべてのリストを表示
  • 上位N位までのレポートは、最も頻繁にログオンに失敗するユーザー表示
  • 認証に連続して失敗するユーザーを特定
  • ログオンに失敗する回数の最も多いリモートデバイスを特定

使用可能なレポート

Linuxのユーザーアカウント管理

  • 追加、削除、改名されたユーザーアカウントおよびグループをすべて検出
  • パスワード変更の失敗や新規追加ユーザーを特定
  • 最も頻繁なユーザーアカウント管理タスクを把握

使用可能なレポート

追加されたユーザーアカウント | 削除されたユーザーアカウント | 改名されたユーザーアカウント | 追加されたグループ | 削除されたグループ | 改名されたグループ | パスワード変更 | パスワード変更の失敗 | ユーザー追加の失敗 | 上位のLinuxアカウント管理イベント

Linuxの取り外し可能ディスク監査

  • Linuxシステムにおける取り外し可能デバイスの使用を監査
  • 取り外し可能デバイスがネットワークで着脱されたときの詳細を把握

使用可能なレポート

USBの取り付け | USBの取り外し

sudoコマンド

  • sudoコマンド実行の成功および失敗の詳細を表示
  • 最も頻繁に試みられるsudoコマンドを特定

使用可能なレポート

SUDOコマンドの実行 | SUDOコマンドの実行失敗 | 上位のSUDOコマンド実行 | 上位のSUDOコマンド実行失敗

Linuxのメールサーバーのレポート

  • メールサーバーの試用パターンの概要を取得し、メールの送受信と関連付けられたトレンドを表示
  • 最も頻繁にメールを送受信するユーザーとリモートデバイスを特定
  • 最も頻繁にメールを送信、受信、拒否するドメインを検出
  • 使用不可能なメールボックス、不十分なストレージ、コマンドの不良シークエンスなどのエラーを追跡
  • 最も頻繁に発生するエラーを検出

使用可能なレポート

メール送信の概要 | メール受信の概要 | 上位のメール送信者 | 上位のメール送信リモートデバイス | リモートデバイスからの上位のメール受信者 | 上位の送信ドメイン | 上位の受信ドメイン | メール送信のトレンドレポート | メール受信のトレンドレポート | 上位の拒否メール送信者 | 上位のメール拒否者 | 上位のメール拒否エラー | 上位の拒否ドメイン | メール拒否の概要 | 利用できないメールボックス | 不十分なストレージ | コマンドの不良シークエンス | 不正なメールアドレス | リモード側のメールアドレスの不在 | 上位のメールエラー | 上位のエラーメール送信者 | メール配信の失敗

Linuxのエラーと脅威

  • 潜在的なセキュリティの懸案を検出して、積極的に予防
  • 訂正する必要のないエラーを特定

使用可能なレポート

エラーの逆引き | 不良デバイスコンフィグのエラー | 不良ISPのエラー | リモートデバイスの不正接続 | サービス拒否攻撃

LinuxのNFSイベント

  • NFSマウントの成功と拒否すべての詳細を取得
  • 最も頻繁にNFSマウントが拒否されるユーザーとデバイスを特定

使用可能なレポート

NFSマウントの成功 | NFSマウントの拒否 | NFSマウントを拒否されたユーザー | 上位のNFSマウント成功リモートデバイス | 上位のNFSマウント拒否リモートデバイス

Linuxのその他のイベント

  • すべてのcronジョブの詳細を取得
  • 停止されたサービスを特定
  • 接続/切断されたセッションの詳細を表示
  • ロギングのプロセス中のタイムアウトを把握
  • デバイス名またはアドレスが一致しないエラーを追跡

使用可能なレポート

Cronジョブ | Cron編集 | Cronジョブの開始 | Cronジョブの終了 | ソフトウェアによる接続中断 | 識別ストリングの受信 | 接続セッション | 切断セッション | 停止サービス | サポートされていないプロトコルバージョン | ロギング中のタイムアウト | 更新失敗 | デバイス名の不一致エラー | デバイスアドレスの不一致エラー

LinuxのFTPサーバーのレポート

  • ファイルダウンロードとアップロードすべての詳細を取得
  • ログオン、データ転送mアイドルセッション、接続中のタイムアウトの詳細を表示
  • 最も頻繁にFTP操作を実行するユーザーとリモートデバイスを特定

使用可能なレポート

ファイルダウンロード | ファイルアップロード | データ転送停止タイムアウト | ログオンタイムアウト | セッションアイドルタイムアウト | 転送なしのタイムアウト | 接続タイムアウト | FTPレポートの概要 | 上位のFTP操作ユーザー | 上位のFTP操作リモートデバイス

Linuxのシステムイベント

  • syslogサービスの停止と再開、ディスク容量の減少、yumコマンドの実行などの重要なシステムイベントを追跡

使用可能なレポート

Syslogサービスの停止 | Syslogサービスの再開 | ディスク容量の減少 | システムのシャットダウン | Yumのインストール | Yumの更新 | Yumのアンインストール

Linuxの重大度レポート

  • 緊急からデバッグまでの各重大度レベルで記録されたイベントを表示

使用可能なレポート

緊急イベント | アラートイベント | 重要イベント | エラーイベント | 警告イベント | 通知イベント | 情報イベント | デバッグイベント