操作ログとは?その監視や管理の必要性はユーザー権限で決まる

Windowsイベントログ・Syslog対応 ログ管理ソフト

操作ログとは?

ユーザーがコンピューター上で実行した内容(操作)を記録したログを、操作ログと呼びます。ユーザーのログイン・ログアウト、ファイルやフォルダに対する閲覧・変更・作成、社内サーバーやインターネット上のサーバーへのアクセス、プログラムのインストールや起動など、システム上で実行した内容はすべてその成功・失敗ともに操作ログとして記録することができます。どのレベルまで記録するかは設定で変更が可能で、通常はシステムの管理権限をもつユーザーがその記録レベル(ログレベル)を設定します。

操作ログ監視が必要か否かはユーザーの権限で決まる

現代の情報システムを支えるPC、サーバー、ネットワーク機器などの様々な装置は、複数人が使用することを想定した設計のOS(オペレーションシステム)で動作しています。

組織のシステム管理者のようにシステムに精通したユーザーは、そのシステムのすべてにアクセス可能な特権をもつユーザーアカウントとパスワードを使用します。一方、限られた情報にのみアクセスできるユーザーアカウントも必要です。例えば一部のアプリケーションを管理する必要があるユーザーや、ファイルサーバーの一部のフォルダの中身にのみアクセス可能なユーザーなど、様々なアクセス権限をコントロールすることも、OSの重要な機能のひとつです。

また、アカウント管理はOSレベルだけではなく、OS上で動作する様々なアプリケーションにも用意されています。データベース、Webアプリケーション、メールサーバーなど、アプリケーション毎にも複数のユーザーアカウントが存在し、アカウントごとにアクセスが許可されている範囲が定義されています。

悪用されたくない特権アカウント

システム上のあらゆる情報にアクセスできる特権を持つアカウントの呼び方は、特権アカウント、特権ID、スーパーユーザーなど多数ありますが、ここでは特権アカウントと呼ぶことにします。

具体例を挙げると、LinuxやBSDなどのUNIX系OSではrootアカウントが特権アカウントにあたり、WindowsではAdministratorが特権アカウントです。

特権アカウントは、一般のユーザーアカウントよりも多くの権限が与えられています。しかし、アカウントに与えられた権限が大きいほど、そのアカウントが不正な意図をもったユーザーに悪用されるリスクも増加します。そのためネットワーク監視/運用の観点において、ユーザーが特権アカウントを使用してどのような操作を実行したか、あるいは実行しようとしたのかを監視・記録することは、システムのセキュリティを担保する上で重要な課題です。

簡単に監視できる操作ログ管理ツール

EventLog Analyzerは、ユーザーの操作情報を詳細にわたり視覚化する特権アカウント(PUMA)レポートを作成することができます。このレポートでは、ユーザーの操作をホスト毎に分類してレポート表示します。また、特権アカウントレポート以外にも様々なレポートの雛形が事前に用意してあり、それらを活用することによってネットワーク上のユーザーの様々な操作を可視化することができます。また、レポート上でデータをドリルダウンし、データを生ログレベルの粒度で詳細表示することも可能です。さらに、データをPDFやCSV形式で外部出力をすることも可能です。

特権ユーザー操作ログ監視機能

ユーザーアクティビティ概要レポート

ユーザーアクティビティ概要レポートでは、特定のホストやホストグループに関するユーザー操作を表示します。ホストグループ内の特定のホストを選択することも可能です。下記のイベントについて、図表などのレポートで表示します。

ユーザーログオン、ユーザーログオフ、ログオンの失敗、ユーザーアカウント認証の成功、ユーザーアカウント認証の失敗、監査ログの削除、監査ポリシーの変更、オブジェクトアクセス、ユーザーアカウント変更、ユーザーグループ変更

ホスト別ユーザー操作レポート

ホスト別 ユーザーアクティビティレポート

ユーザーアクティビティレポート

ユーザーアクティビティレポートでは、特定のユーザーやユーザーグループに関するユーザー操作を表示します。ホストやユーザーやイベントを選択してフィルターをかけることが可能です。下記のイベントについて、図表などのレポートで表示します。

ユーザーログオン、ユーザーログオフ、ログオンの失敗、ユーザーアカウント認証成功、ユーザーアカウント認証の失敗、監査ログの削除、監査ポリシーの変更、オブジェクトアクセス、ユーザーアカウント変更、ユーザーグループ変更

           
ユーザー操作レポート

ユーザーアクティビティレポート