ログで分かる あなたの会社のIT活用度ゼロから分かるログ活用術(1)(2/3 ページ)

» 2004年09月30日 12時00分 公開
前のページへ 1|2|3 次のページへ

ログの活用分野

 以上、ログにはシステムログとアプリケーションログがあり、それぞれがどのような性格のものか整理してきました。ここからは、大量に出力され、さまざまな意味を持つアプリケーションログをどのような目的で使ったらよいのかをまとめてみます。

コンピュータ利用の記録

  • 誰がどれくらいの時間、コンピュータを使っていたのか
  • どんなアプリケーションがよく使われているのか
  • どんなサイトにアクセスしているのか
  • どんなファイルをダウンロードしているのか

 ログを使う大半の目的はコンピュータ利用の記録です。Webを公開しているようなサイトでは「どんなページによくアクセスしているのか」、「どのサーチエンジンから転送されてきたのか」といった情報をログから抽出し、Webサイトの改善に役立てています。

 一般の企業では、業務時間中にビジネスと関係のないWebサイトへのアクセスを抑止する目的で、プロキシサーバのログをチェックしているような場合もあります。

 一例として、弊社のWebプロキシサーバのログから野球関連のWebサイトにアクセスしている端末を特定してみましょう(アドレスなどは変更しています)。

検索項目 検索条件
Webサイト名 サイト名に“baseball”という文字列を含むログ
期間 2004年7月1日〜2004年7月31日
検索方法 生のプロキシログに対してUnix grepコマンドで検索

ログの検索条件

日付 時間 送信元 宛先サーバ サイズ
URL
2004/7/21 15:43:33 10.1.1.25 www.idbaseball.jp
16052
http://www.idbaseball.jp/con/index1.html
2004/7/21 15:43:33 10.1.1.25 www.idbaseball.jp
1658
http://www.idbaseball.jp/index.css
2004/7/21 15:43:33 10.1.1.25 www.idbaseball.jp
4742
http://www.idbaseball.jp/jpeg/sball.jpeg
2004/7/21 15:43:33 10.1.1.25 www.idbaseball.jp
2013
http://www.idbaseball.jp/jpeg/05.gif
2004/7/21 15:43:33 10.1.1.25 www.idbaseball.jp
2983
http://www.idbaseball.jp/jpeg/link/logo_mark.gif
2004/7/21 15:43:33 10.1.1.25 www.idbaseball.jp
24010
http://www.idbaseball.jp/jpeg/kyu.jpeg
検索結果

 この例では、件数も少ないこともあり、単に息抜き程度にアクセスしたものと思われます。こういったアクセスが極端に増えてくれば業務の生産性にも影響してきますし、何らかの対策(例えばURLフィルタリングソフトの使用)を考慮すべきだと思われます。

不審な利用の識別

 最近ではフォレンジック(訴訟リスクへの対応)の一環として生データをすべて採取しておき、いざという場合に証拠として利用するといった方法も広まりつつありますが、一般企業ではそこまでやるだけの人・物・金はないというのが正直なところです。とはいっても、ログからだけでもかなりのことが分かります。例えば、以下に示すような傾向がログから読み取れれば、一度詳しく調べてみることをお勧めします。

  • 夜間や休日になると異常に使用率が高くなっていないか
  • 極端に大きなデータを誰かに送っていないか
  • 特定のサーバに長時間つないでいないか

 本来、人のいない時間帯に大量にサーバアクセスやネットワークトラフィックがある場合や、極端に大きなデータ(数百MB以上)を送っているといったような場合には要注意です。サーバの乗っ取りやデータの持ち出しなどが考えられます。

 一例として、Webプロキシサーバのログから無料メールサイトに対してメールを送信(POST)しているPCを特定してみましょう(アドレスなどは変更しています)。

検索項目 検索条件
Webサーバ Webサイト名に「mail」という文字を含むもの
メソッド データを「POST」しているPC
期間 2004年7月1日〜2004年7月31日
検索方法 生のプロキシログに対してUnix grepコマンドで検索

ログの検索条件

日付 時間 送信PC 受信者 サイズ
2004/7/20 02:40:47 192.168.10.143 by22fd.bay22.hotmail.msn.com 69,109
2004/7/20 02:41:34 192.168.10.143 by22fd.bay22.hotmail.msn.com 557

検索結果

 この例では、夜間作業者が空いた時間に知り合いとメールのやり取りをしていただけだと分かったのですが、こういったメールが頻繁に社外に向かって送信されているような場合は要注意です。

前のページへ 1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ