ログ生成の課題

ログ管理を行うにあたりまず悩まされるのが、管理対象としたいログの生成元が多すぎることです。１つの業務でも、多くのPCやサーバ、そこで動かすOSOSやアプリケーション、搭載するセキュリティソフトウェアが複数存在し、それが多種のログを生成し格納しているため、ログ管理はどうしても複雑なものになってしまいます。

しかも、企業や組織では、業務は１つだけではなく、組織全体で多数業務に関わる機器が存在し、またそれがネットワークで繋がれているため、ログ管理システムは、組織全体で構築すべきものになってきます。１つのアプリケーションをとっても、認証ログ、操作ログ、通信ログなど複数存在しており、こうしたログの数と種類の多さがログ管理を複雑化する原因となっています。
さらに、ログのフォーマットは、その生成元ごとにばらばらで統一されておらず、ログの出力項目や数もログによってまちまちです。多くの生成元は、ログ出力項目のデフォルト値をストレージのリソースに負担をかけないよう重要と考えられる必要最小限に絞っているため、本来欲しい情報が、ログとして生成できていない場合もあります。つまり、ログの生成元ごとに、組織にとって欲しい情報がログ取得できるかどうかを確認し、必要であれば、それを取得できるように設定しなければなりません。逆に、その組織にとっては不要な情報まで多くログが生成されてしまっている場合は、リソースや管理負担軽減のためにも、ログ生成時にそうした項目を排除すべき場合もあります。

ログデータは、ログの種類によっては、バイナリーログのように人が見ても内容が理解できないものも多いです。syslog形式のような標準的な形式のログもあれば、生成元によって独自の形式を採用しているので、カンマ区切りのテキストであったり、タグ付きのログなども存在します。ログ管理を実施する上では、このように異なるレコードフォーマットも一貫性のあるフォーマットに変換してログ管理システムに取り込んで格納することが、分析や管理、運用を楽にします。その際、各ログのタイムスタンプにずれが生じると、分析結果に大きく影響してしまうため、タイムサーバなどを使用してログの生成元の時刻を同期しておくことは重要です。

ログ管理システムに取り込んでからの、ログの管理方法を最適化することはもちろん重要ですが、ログ生成時に管理し易いよう、そして漏れが無いようにすべての管理対象としたいログを洗い出し、優先順位づけしてどのようにログを生成するかを検討することはとても大切です。これらは、ログ管理システムが稼働してからでも、常に最適になるように見直すべきです。

ログの生成元とログの種類が多すぎることが、ログ管理の複雑化の原因