ログの正しい管理
システム管理のつぼ(2017年7月号)
ソリューション開発部 丸吉 祐也
近年では、外部からの不正アクセスや個人情報の流出など、セキュリティ事故に関する話題がニュースで取り上げられることが当たり前のようになりました。このような事故が発生した場合、いち早く気づき、被害の状況を正確に知ることや、発生の原因を特定することが重要です。そのために重要なのがログです。なので、システムのログを保存して管理している企業も多いのではないでしょうか。
最近では大容量のストレージも手頃な価格で手に入れることができます。なので、とにかくできるだけ多くのログを保存する、と考えている人も多いのではないでしょうか。しかし、ただログを保存しているだけで管理していると言えるでしょうか?
- いざという時にログがどこに保存されているかわかりますか?
- どの種類のログがいつまで保存されているか把握していますか?
- 多くの情報から特定の情報だけを抜き出す方法は確立していますか?
情報量が多くなればなるほど調べることが難しくなります。そのため、ただ保存するだけでなく、どのログを保存するのか、などのポリシーを決めて、そのログをいつ、どのように調べるのか、そのような運用まで考えて初めて「管理ができている」と言える状態だと思います。
また、事故や障害が起きる前には、ログにその兆候を示す記録が残っているケースもあります。日々の運用の中で能動的にログをチェックすることで、事故や障害の拡大や時には発生を防ぐこともあります。最近では情報を保存して素早く検索したり、効率よく情報を収集するオープンソースソフトウェアも増えてきました。中にはDNSなど特定のアプリに特化したプログラムもあります。
デージーネットでは、ログを集約・集計するFluentdや汎用的なログ管理システムLogstashとElasticsearchを組み合わせたシステムを調査し、日々の運用をしやすくする仕組みを追及しています。
ログをチェックする新しいシステムを導入するにはそれなりのハードルがあります。しかし今すぐにでもできることもいくつかあります。「どこにログが保存されているか」「日々、ログが正しく取得できているか」「保存年数は適切か」「いつ、誰がログをチェックするのか」など、現在の運用を見直したり、ルールを明確にするところから始めてはいかがでしょうか。