オペレーティングシステムのログ

IT セキュリティのための管理すべきログには、大きく分けて、セキュリティツール、オペレーティングシステム（OS)、アプリケーションの3つの分野でのログがあります。

その中で、サーバやPC、ネットワーク機器などのOSから出力される情報には、セキュリティ対策にとって有用な情報がたくさんあります。
OSからのログは、一般的には、サービスの開始などのOS内部で実行される動作として出力される「システムイベント」と、認証やアクセス権限に基づくセキュリティイベントの情報をしての「監査記録」があります。
「システムイベント」では、タイムスタンプや、イベントコード、ステータスコード、エラーコード、サービス名などの情報が記録されます。「監査記録」は、認証の成功や失敗、セキュリティポリシーの変化、ファイルアクセスなどの権限の行使など監査の対象となるようなセキュリティイベントの情報が記録されます。いづれのイベントについても、主だった種類のOSで、管理者が出力すべきログを指定できるようになっています。

OSから出される様々な情報のログの多くは、syslog形式で出力されます。
メインフレームを知っている方には、syslogというとJES2などのジョブ入力サブシステムで提供する SYSOUTデータセットのことですが、通常syslogは、UNIXやLinuxでデファクトスタンダードになったクライアント・サーバ型のIPネットワーク上で転送するための標準規格である通信プロトコルのことを指します。
ログを収集するには、最適なフォーマットだということで、様々な機器やシステムで採用されています。
ルータなどのsyslog送信側から、syslogメッセージは、UDPまたは、TCPの514 番のポートを使用して、1kバイト以下の短いテキストメッセージでsyslogサーバなどの受信側に送信します。Linuxでは、syslogデーモンが、メッセージを記録し、通常セキュリティの関係上ログはroot権限でないと読み込めないようになっています。
Windows環境では、イベントログと呼ばれ、バイナリのファイル形式で、syslogのloggerコマンドに対して、eventcreateコマンドでログを記録することが可能です。

OSのログは、セキュリティインシデントが発生した場合の、分析や対処のために非常に大切な情報となるため、ログ管理としては、基本的に必須で管理すべき重要なログです。

---

[タグ]　用語

[関連]