ログとして記録されたデータにもライフサイクルがあります。エビデンスとして大切なログは、生成されてから消去されるまで、それぞれの管理課程の中で、適切な対応が求められます。
ログの多くは、対象となるIT機器のOSやアプリケーションなどのソフトウェアが稼働するプログラムの実行中に、そのCPUなどのリソースの使用状況や、実行した操作内容などを細かに記録します。実行中はメモリ上にログに関する情報がありますが、一時的にあらゆる情報が展開されているので、その量は膨大になってしまうためあらかじめ設定された内容に従い、対象となる情報のみをログとしてハードディスク等に書き出されます。この時点では、OSやアプリケーションが、このログを生成することになります。よって、ログのローテーション方法などは、生成元の設定内容に依存します。何も設定しなければ、保管先のディスクエリアがいっぱいとなってしまうため、自動的に上書きするケースや、最低限のログしか書き出さないようにして、保管用ストレージがある限りとにかくログが溜まっていくケースもあります。この際、ローテーションの設定ができる生成元の場合、たとえば、一定期間が過ぎる、あるいは指定した容量をオーバーすれば、別の指定場所へ自動的にコピーして、元のエリアを再利用できたりすることができます。
ログ管理システムは、通常生成元がハードディスク等に保管したログをインプットにして、ログ管理システム配下のデータベース等へログをアウトプットすることにより、各種ログの収集を行います。これは、生成元にインストールされたエージェントが行う場合や、ログ管理サーバ側でネットワークを通じて、データコピーするケースなどがあります。いづれにしても、このログ収集の段階で、ログ管理すべき情報のみを選別して、ログ管理システムに取り込みます。これはログ生成時より少ない情報の内容ですが、分析に必要なため保管するログデータ量は圧倒的に多くなります。但し、とても重要なログである場合、元データをエビデンスと残すために一切の加工編集をせず生ログとして証跡管理できる方法で保管する場合もあります。いづれにせよ、ログは、各プロセスで改ざんできない仕組みが必要です。
収集されたログは、分析し易くするためオンラインで読み込むことができるネットワークストレージ等に格納されますが、長期保存のためには、書き換え不可のメディア等にアーカイブされる場合もあります。アーカイブは、コピーと違いデータが移動するため、インプットされた方のデータは削除されます。
長期保存のログデータも含め、ログはエビデンスとしての役割があるめ、消去する場合も廃棄記録が残るようにします。廃棄された時点で、ログの役割が終了します。
こうして、生成されたログは、廃棄されるまでそれぞれのプロセスに適した形で、必要に応じて移動し保管されることになります。
ログの生成から廃棄までを一貫して管理することが重要