連載
» 2004年09月30日 12時00分 UPDATE

ゼロから分かるログ活用術(1):ログで分かる あなたの会社のIT活用度 (1/3)

「ログ」といえば、「よく分からないけれど、サーバに大量に蓄積される困ったもの」――こう考えている方は少なからずいるだろう。そんな“よく分からないログ”を活用すれば、業務でどの程度ITが活用されているか、社員はきちんと働いているかが見えてくる

[林 和洋(セキュアヴェイル), 三木 亮二(セキュアヴェイル),@IT]

ログに関する基礎知識

「ログ」とは何か?

 「ログ」とは、簡単にいってしまえば、コンピュータ上で行われた処理や操作の記録です。人間は、自分の行ったことは記憶として残り、後から思い出すこともできます。しかしコンピュータの場合はログとして保存しない限り、どんなことが行われたのかは一切残りません。逆にログが残っていれば、簡単とはいいませんが「誰がいつ何をしたのか」を把握できます。

 かつてはログといえば、むやみやたらに大量に出力され、ディスクを圧迫するだけの無用の長物のように扱われてきました。しかし最近では、不正アクセス対策の一環としてログの管理(確認および保存)が強く求められるようになってきています。しかし、未だ大半のシステムでは、ログといえば「わけの分からない文字列が大量に出力されているファイルの一種」という程度の認識であり、誰も真面目に見ようとはしていないのが現実です。

 そこで本記事では、「ログを有効利用するにはどうすれば良いか?」という観点から話を進めていきたいと思います。

ログの種類

 ひと口に“ログ”といっても、その目的によって大きく「システムログ」と「アプリケーションログ」の2種類に分類することができます。それぞれについて特徴、利用目的をまとめると以下のようになります。

・システムログ

 主にシステムやアプリケーションの障害時に原因調査をしたり、不正アクセスの証拠を調べたりするような目的で使うものです。代表的なシステムログとしては、Microsoft Windowsのイベントログや、UNIXの/var/log/syslogが挙げられます。

 一般的にシステムログは、フォーマットもばらばらであり、機械的に処理できるようなものではありません。あくまで人が目で追って内容を確認するものです。障害予防といった目的で、例えば「error」などの特定の文字列をリアルタイムにチェックし、発見した場合には管理者にアラートを上げるといったプログラムもありますが、最後は一行ずつ人による確認が必要となります。リアルタイムにログをチェックしてアラートをあげるプログラムの代表的なものに、UNIX系システムで使われているswatchがあります。

・アプリケーションログ

 アプリケーションログとは、アプリケーションごとに、どんなサービスを、いつ、誰に、どれくらいの量を提供して、その結果はうまくいったのか失敗したのかといった利用状況を記録したものです。代表的なものとしてはWebのログ、メールのログなどがあげられます。

 アプリケーションログはシステムログと異なり、大量に出力されるのが特徴です。大企業や通信キャリアといったクラスになると、メールログだけで1日に数百万〜数千万件といった件数が出力されます。市販されているログレポーティングツールが処理対象としているのは、これらのアプリケーションログです。市販されているログレポーティングツールとしてNetIQ社の「WebTrends」などが挙げられます。

ログの中身

 それでは、実際のログの中身はどのようになっているのでしょうか。システムログの例として、以下にLinuxのブート時におけるシステムログ(dmesg)を示します。

ALT システムログの例

 特に定められたフォーマットがあるわけではなく、後から人手で確認することを前提としたログです。

 アプリケーションログの場合は出力するアプリケーションによって若干内容は異なりますが、以下に示す項目はほぼ共通して出力されます。

  • ログを出力した年月日と時間およびアプリケーション名
  • 誰(IPアドレスやユーザ)がアプリケーションを利用したのか
  • どんな処理を誰に対して(メール送信、Web参照など)行ったのか
  • 処理は成功したのか失敗したのか
  • どれくらいの資源(時間、データ量)を使ったのか

 次に、1通のメールを受信した場合のメールサーバのログ例(postfix)を示します。

ALT メールサーバのログ例とその見方

 このログからは、“「8月24日14時16分15秒」に「miki@hotmail.com」という差出人から「miki@secuavail.com」という受信人宛のメールを「postfix」経由でサーバが受けとった。メールのサイズは「136Kバイト」であり、正しく受信人に配送された(stat=sent)”ということが読み取ることができます。一見、フォーマットがばらばらのように見えますが、ログ内容によって異なるフォーマットが使われているだけであり、ツールやプログラムを使って集計することはそれほど困難ではありません。

       1|2|3 次のページへ

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ