ログの管理
ログの管理について思ったこと
・フォレンジックには使えない。
一般的なログには証拠能力はないそうです。
つうか、ログファイルにアクセスがあった時点で、証拠ではなくなるわな。
タイムスタンプ変わるし。
・日常的にチェックすべし。
まあ、なんらかの処理をかけて、日常的にチェックできるようにする必要がある。
そのためのログ解析なんだけどね。いつ誰がチェックするか、という部分も明確に。
例えば、毎週月曜日の午前中にログ解析レポートを複数人でチェックする、とかね。
決めておかないと、誰も見てくれなくなって、運用から落ちて、ログ取ってる意味がなくなるから。
(前にも書いたけれど、フォレンジックには使えない、から)
・複合してのチェックが重要。
あるサーバのログだけ見てもわからないことが。というわけで、複数のサーバのログを
集約してみるといいかもしんない。
システム単位とかね。難しいかもしんないけど、WebサーバのアクセスログとDBサーバのクエリログは
あわせてみておくべきでしょう。誰がどこからアクセスしたか、というのが、IPアドレスが信用できる限りは、
わかるので。可能なら、DHCPサーバのIPアドレスリースログとMACアドレス=ユーザのログも
組み合わせて、本当の意味での「ユーザ認証」を行うのがいいんですが。
ORACLEとかやってそうじゃん?社内でさ。
・ログの取り方も考えよう。
どのログを残すのか、ということ。何のためにログを管理するのか。
セキュリティチェック? パフォーマンス指標? ユーザビリティ把握?
ただ漫然と取っているだけでは実になりませんよー。
で、目的が決まったら、それに適合するログだけを取りましょう。
欲張って、あれもこれも、というのは感心できません。
(サーバ毎に目的が異なるのはOKかと。FWとプロキシとメールサーバで同じ取り方をしてはダメ。)
まだまだ続くよ。