以上、ログにはシステムログとアプリケーションログがあり、それぞれがどのような性格のものか整理してきました。ここからは、大量に出力され、さまざまな意味を持つアプリケーションログをどのような目的で使ったらよいのかをまとめてみます。
ログを使う大半の目的はコンピュータ利用の記録です。Webを公開しているようなサイトでは「どんなページによくアクセスしているのか」、「どのサーチエンジンから転送されてきたのか」といった情報をログから抽出し、Webサイトの改善に役立てています。
一般の企業では、業務時間中にビジネスと関係のないWebサイトへのアクセスを抑止する目的で、プロキシサーバのログをチェックしているような場合もあります。
一例として、弊社のWebプロキシサーバのログから野球関連のWebサイトにアクセスしている端末を特定してみましょう(アドレスなどは変更しています)。
検索項目 | 検索条件 |
---|---|
Webサイト名 | サイト名に“baseball”という文字列を含むログ |
期間 | 2004年7月1日〜2004年7月31日 |
検索方法 | 生のプロキシログに対してUnix grepコマンドで検索 |
ログの検索条件
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
検索結果 |
この例では、件数も少ないこともあり、単に息抜き程度にアクセスしたものと思われます。こういったアクセスが極端に増えてくれば業務の生産性にも影響してきますし、何らかの対策(例えばURLフィルタリングソフトの使用)を考慮すべきだと思われます。
最近ではフォレンジック(訴訟リスクへの対応)の一環として生データをすべて採取しておき、いざという場合に証拠として利用するといった方法も広まりつつありますが、一般企業ではそこまでやるだけの人・物・金はないというのが正直なところです。とはいっても、ログからだけでもかなりのことが分かります。例えば、以下に示すような傾向がログから読み取れれば、一度詳しく調べてみることをお勧めします。
本来、人のいない時間帯に大量にサーバアクセスやネットワークトラフィックがある場合や、極端に大きなデータ(数百MB以上)を送っているといったような場合には要注意です。サーバの乗っ取りやデータの持ち出しなどが考えられます。
一例として、Webプロキシサーバのログから無料メールサイトに対してメールを送信(POST)しているPCを特定してみましょう(アドレスなどは変更しています)。
検索項目 | 検索条件 |
---|---|
Webサーバ | Webサイト名に「mail」という文字を含むもの |
メソッド | データを「POST」しているPC |
期間 | 2004年7月1日〜2004年7月31日 |
検索方法 | 生のプロキシログに対してUnix grepコマンドで検索 |
ログの検索条件
日付 | 時間 | 送信PC | 受信者 | サイズ |
---|---|---|---|---|
2004/7/20 | 02:40:47 | 192.168.10.143 | by22fd.bay22.hotmail.msn.com | 69,109 |
2004/7/20 | 02:41:34 | 192.168.10.143 | by22fd.bay22.hotmail.msn.com | 557 |
検索結果
この例では、夜間作業者が空いた時間に知り合いとメールのやり取りをしていただけだと分かったのですが、こういったメールが頻繁に社外に向かって送信されているような場合は要注意です。
Copyright © ITmedia, Inc. All Rights Reserved.