管理すべきログ

 

管理すべきログは、目的によって異なりますが、一般的には、クライアント用のPCやスマ―トフォン、サーバなどのOSやアプリケーション、そしてネットワークデバイスなどのIT関連機器のログが対象です。
ログの呼び方は、状況や環境によって様々ですが、代表的なものに操作ログ、認証ログ、アクセスログ、エラーログ、印刷ログなどがあります。

■主なログの種別

 クライアントデバイス

 

クライアントデバイスは、ユーザが使用するPCや、モバイル端末であるタブレット、スマートフォンなどを指します。
そこで、取得すべきログは、そのOSから取得できる操作ログ、認証ログ、アプリから取得する操作ログ、通信ログなどがあり、それぞれデータのデータに対するアクセスログなどがあります。 アプリケーションには、Webブラウザや、メール、Office系ソフトの他に、業務用ソフトや、ファイヤウォールやアンチウィルスなどのセキュリティソフトのログなどが、管理すべき対象のソフトウェアです。


 サーバ

 

サーバは、ファイルサーバ、Webサーバ、DBサーバ、そして各種セキュリティソフトや業務用などを含むアプリケーションサーバなどを指します。
取得できるログは、サーバOSから、Windowsのイベントログ、Linuxのsysylogやエラーログ、そしてミドルウェアやアプリケーションから、操作ログ、認証ログやアクセスログ、エラーログなどがあります。
アプリーケーションには、プロキシ、VPN、ファイアウォール、Webアプリ、ERP、CRMなどの業務パッケージなどがあります。


 ネットワーク機器

 

ネットワーク機器は、ルータやスィッチなどのデバイスはもちろん、広義にネットワーク接続された監視カメラやプリンタなどの機器も含んでいます。
標準的にログを出力できるIT関連機器の多くは、インターネットに接続するためなどネットワーク接続されており、ネットワークを介してログを集中管理する仕組みの構築が可能です。
これらは、独自のハードウェアである場合が多く、操作ログやアクセスログとして、通信記録や、カメラの映像、印刷状況などのログが収集できます。

 Syslog(シスログ)


Syslogとは、Linuxサーバなど、システムの動きを記録したUNIX系(MACやLinux等)で取得するログで、Windows系のイベントログに相当します。
但し、本来のSyslogは、sendmailで使用されていたロギングの方法として開発されたものが、他のアプリケーションとして使用されことから、UNIXやLinuxでデファクトスタンダードとなった通信プロトコルで、ログをIPネットネットワーク上で転送するための標準規格のことです。
Syslogは主に、IT関連システムの管理や、セキュリティ強化のための監視などを目的として使われ、ログを収集するにはsyslogは最適なフォーマットだと考えられて多くのシステムで採用され、その解析を行うツールは数多く存在します。
Logstorageや、Alog Converterを使用すれば、syslogのフォーマットのログを見やすい形式に変換して、集計や分析が可能です。
メインフレーム環境においては、SYSLOGといえば、JES2などのジョブ入力サブシステムで提供するSYSOUTデータセットのことになります。



 イベントログ


イベントログは、Windows環境のシステムやアプリケーションが発生したイベントを記録して、Windowsの管理ツールのイベントビューアーでも見ることができます。
コマンドラインより、wevtutil.exeや、WMIC.EXEなどで見ることもでき、PowerShellには、イベントログを扱うコマンドレットもあります。
Windowsのイベントログは、EVTX形式のファイルに記録されます。
イベントログは、多種の大量のログが生成されるため、やはりログ管理システムを構築して、ログが上書きされてもアーカイブから調査や分析に利用できる仕組みが望まれます。
もちろん、PowerShellでスクリプトを組んだり、APIを利用してログを表示して分析できる仕組みを自作することも可能ですが、ユーザで理解し易いフォーマットで処理するためには、既存のソフトウェアプロダクトを利用する方が楽です。
Windows環境で稼働するログ管理システムは、ほとんどすべてがこのイベントログも、管理対象のログとして取り扱っています。


イベントログ

 主要な管理対象ログ

管理対象のログは、目的に応じて必要なログを取り込みます。
Logstorageのような統合管理プロダクトであれば、OSやセキュリティツール、アプリケーションが出力する数多くのログを取り込み管理できます。


 
[OSシステム・イベント]
・Windows
・Solaris
・AIX
・HP-UX
・Linux
・BSD
 
[クライアント操作]
・LanScopeCat
・InfoTrace
・CWAT
・MylogStar
・DEFESA Logger
・秘文
・SeP
・QND/QOH
・Malion
・SKYSEA Client View
 
[サーバアクセス]
・ALogコンバータ
・VISUACT
・File Server Audit
・CA Access Control
・SecureCube/ AccessCheck
 
[運用監視]
・Nagios
・JP1
・Systemwalker
・OpenView
・WebSAM
 
[Lotus Domino]
・Lotus Domino
・Notes AccessAnalyzer2
・AugeAccessWatcher
 
[複合機]
・imageRunner
・Apeos
・SecurePrint!
 
[Web/プロキシ]
・Apache
・IIS・BlueCoat
・i-FILTER
・squid
・WebSense
・WebSphere
・WebLogic
・Apache Tomcat
・Cosminexus
・Trend Micro Cloud App Security
・InterScanWeb Security as a Service
・Zscaler
 
[データベース]
・Oracle
・SQLServer
・DB2
・PostgreSQL
・MySQL
 
[データベース監査]
・PISO
・Chakra
・SecureSphereDMG/DSG
・SSDB監査
・AUDIT MASTER
・IPLocks
・Guardium
 
[アンチウィルス]
・Symantec AntiVirus
・TrendMicro InterScan
・McAfee VirusScan
・HDE Anti Vuris
・ESET
・ウイルスバスター
 
[ICカード認証]
・SmartOn
・ARCACLAVISRevo
 
[ネットワーク機器]
・Cisco PIX/ASA
・Cisco Catalyst
・NetScreen/SSG
・PaloAltoPA
・VPN-1
・Firewall-1・Check Point IP
・SSL-VPN
・FortiGate
・NOKIA IP
・Alteon
・SonicWall
・BIG-IP
・IronPort
・ServerIron
・Proventia
・CACHATTO
 
[メール]
・MS Exchange
・sendmail
・Postfix
・qmail
・Exim
・GUARDIANWALL
 
[その他]
・VMware vCenter
・VmwareESXi
・SAP R/3 (ERP)
・NetApp (NAS)
・ex-SG (入退室管理)
・MSIESER
・iSecurity
・Desk Net’s
・HP NonStopServer
・System Answer
・AWS
・MicrosoftAzure
・BOX・Office 365
・GSuite       …その他

 ツールで取得できるログ

 

イーセクターが提供するログ管理システムで取得できるログ


(1)MylogStarで取得できるログ

 
MylogStarは、OSのカーネルレベルでファイル操作のログを取得しています。
ファイルシステムに則ったファイル操作であれば、GUIでの操作や、CUIなどのログを、アプリケーションやPCの環境へ依存せずに、OSの挙動を正確にログとして記録することが可能です。

① コンピューターログ
 コンピュータの電源ON、OFF、サスペンド突入、サスペンド復帰を記録

② ユーザーログ
 ログイン/ログオフ、実稼働時間、リモート接続元IPアドレス/ホストを記録

③ スクリーンショットログ
 一定時間間隔、Print Screen、Webサイト閲覧などの画面イメージを記録

④ アプリケーションログ
 アプリケーションのプロダクト名、バージョン、利用時刻などを記録

⑤ ファイルログ
 ローカルドライブ・リムーバブルドライブなどのファイル操作を記録

⑥ プリンターログ
 ドキュメント名、プリンター名、取得時刻、ページ数、部数などを記録

⑦ ウィンドウログ
 アクティブなウィンドウのタイトル、利用時刻、アクティブ時間などを記録

⑧ クリップボードログ
 コピー時のアプリケーション名、クリップボードの内容を記録

⑨ Webログ
 URL、ページタイトル、ホスト名、取得時刻、アクションなどを記録

⑩ Eメールログ
 件名、メール送受信アドレス、送受信時刻、本文、添付ファイルなどを記録

⑪ FTPログ
 接続先、接続元のアドレス、ポートや、FTPコマンド内容などを記録

⑫ TCPセッションログ
 TCPセッションが確立した通信について、IPアドレス、送信先ポートを記録

⑬ イベントログ
 Windowsイベントログを取得し、ログインの失敗、各種設定変更などを記録

⑭ Webメール
 Office365・Gmailの送信メールを記録

⑮ インベントリーログ
 端末のインベントリー情報を取得

(参照→ Mylogstar概要

(2) DEFESA Loggerシリーズの生成ログ

 
DEFESA Logger シリーズは、シンクライアント(Server Based Computing)環境や仮想デスクトップ(Virtual Desktop Infrastructure)環境での利用を想定して設計された独自開発の低負荷エンジンを採用しており、正確で詳細な操作履歴の記録が可能となります。


(3)Logstorageで収集できる製品ログ

 
Logstorageは、統合ログシステムとして、様々な製品が出力するログを取り込むことができます。
 
 
 

(4)ALogシリーズで管理できる製品ログ

 
ALog ConVerterは、アクセスログ監査ツールとして、複雑なログを正しい操作履歴に変換し、対象機器にはエージェントを設置せずに利用可能です。Windows、Linux、DB、NASなど様々な環境の証跡を取得可能です。
 
■ALogシリーズ ライセンス別対象ログ
 
■ALog Eva 対応済ログ実績