1. HOME
  2. シスログ談話室
  3. Syslogとは|利用目的から歴史まで

Syslogとは|利用目的から歴史まで

コンピュータの運用で導入から運用終了までまったく何の問題も発生しないということは考えられません。
その原因は、操作ミスや安易なバージョンアップ、サイバー攻撃などたくさんあります。

アプリケーションの利用では、インストレーション、設定、実行、監視の4つの過程があります。
正しくインストールされたか、正しく設定されたか、正しく実行しているかをどのように知ることが可能でしょうか。

ログとは イメージ画像

アプリケーションは通常その状態や、状態の変化を管理者に教えるように設計されています。そのメッセージからアプリケーションが何を実行し、どのように機能しているかを知ることが可能です。これらのアプリケーションやデバイスが出力するメッセージを「ログ」といいます。
ログ出力はどんなシステムにおいても基本的な機能です。事態が悪化するとそれを診断し、原因を知る必要があります。どんなOSやデバイスを利用していても診断情報として最適なものが「syslog(シスログ)」です。

主な用途

正しく構築されたロギングシステムはアプリケーション、ネットワーク、OSなどのシステム異常に関する情報をたくさん取り込みます。これらの情報は主に次の目的に利用されます。

目的

一般管理ロギングは、ある瞬間のシステム情報ではありません。
長期間のsyslog統計は、システム監査のベースラインとなります。システムの正常時のアクティビティの状態、どんなsyslogエントリーが正常か、どんなトラフィックが正常かを把握できます。
ベースライン監査データがあれば、異常を発見しやすくなります。ベースラインと比較することで、システムやネットワークの稼働状況を判断できるためです。システムが 本格的にダメージを受ける前に能動的な対応が可能です。
侵入検出適切なツールを使うことで、syslogから侵入検出情報を得ることができます。
ベースライン監査からの異常を知ることにより、問題発見が可能です。一連のログメッセージの流れを分析すると攻撃などがわかります。攻撃者は、攻撃の痕跡を残したくないと考えます。syslogにはシステム上の振る舞いが記録されるため、攻撃者はそのログの改ざんを試みます。
攻撃確定攻撃されたことが明確であれば、その範囲と程度の確定、つまりインシデント対応が必要となります。
この時、syslogデータからは、攻撃調査の一部の情報しか取得できないことに注意してください。IDSログ、ファイアーウォールログ、ルータログなど、その他の多くの情報を総合的に調査しなければなりません。
それらのログから正しい情報を取得できれば、すぐに攻撃内容は明らかになります。調査結果は、システム改善の参考に(復旧後の攻撃を防ぐヒントに)なり得ます。もちろん攻撃者を特定し、法的アクションを起こす場合の重要な証拠にもなります。

攻撃はその程度を問わず、会社にとってのダメージになります。
攻撃の規模や意図は関係ありません。復旧に多くの時間と費用がかかります。

ロギングはシステムの復旧を保障するものではありません。
すべてのログデータが完璧であっても攻撃のすべてをカバーすることはありません。 なにか不都合が発生したことを調査し再発しないようにする材料となります。
IDS、ファイアーウォール、ルータ、ホストはそのログ出力の内容が異なります。

すべてを総合的に利用することで完全な情報になります。
syslogは信頼できるネットワーク構築や課金システムには不可欠です。
ネットワーク設計の最初にロギングに対する考慮が必要です。
ネットワークフィルタリング設計、IDS配置、サーバー配置、システム管理、セキュリティポリシーなどを考慮したうえでロギングアーキテクチャを決定してください。

歴史

黎明期

1983年 UNIX Berkley版の一部としてsyslogプロトコルが取り入れられました。
Eric AllmanがSendmailログ取得用に開発したものです。これがSyslogの始まりです。

発展期

ネットワークを構成する各種のデバイスの登場に伴いsyslogによりログデータを収集するニーズが高まりました。ネットワークスイッチ、ルータ、プリンタ、ディスクストレージ、テープライブラリ、その他のデバイスがsyslogプロトコルでデータを出力するようになりました。しかし、syslogとしての基準がないため実装はベンダーにより異なっておりました。

統一基準

2001年8月 IETFからRFC3164 “The BSD Syslog Protocol”が文書化されました。実質的なsyslogの標準化です。
参考URL:http://www.ietf.org/rfc/rfc3164.txt

IETFからRFC3195″Reliable Delivery of Syslog”、インターネットドラフトドキュメントdraft-ietf-syslog-sign-11″Syslog-Sign Protocol”がリリースされました。syslogセキュリティの強化を図りました。
参考URL:http://www.ietf.org/rfc/rfc3195.txt

記事一覧