| 実際のシステムログを見てみよう |
ここで,実際のSYSLOGの出力例を見てみよう。復習になるが,SYSLOGの書式は次のように構成されている。これを念頭に見ていくと分かりやすいだろう。
<日付> <時間> <ホスト名> <プログラム名> <ログメッセージ>
次の例は,「artemis」というホスト名のLinuxマシンのSYSLOGを一部抜粋したものである。
最初の方には,起動時のログが並んでいる。文字列から判断するとよいが,カーネル(kernel)がUSBやPS/2マウス,PCMCIAカードサービスなどを初期化していることが分かる(1〜6行目)。その後、ランレベル5に移行して(7行目),ランレベル5で実行する起動スクリプトを実行する。APM,PCMCIA(cardmgr)を実行するが,文字列が見えるだろう。networkが起動された場合にはカーネルモジュールがロードされている。カーネルがネットワークカードを認識した旨のメッセージも記録されている(21行目)。
その後,Apache(httpd)を起動,inetdを起動した後にsshd を起動していることが分かる(最終行)。
次に,外部からのリモートアクセスを受け付けた際のログの例を挙げてみよう。
これは,外部からSSHを利用してログインした場合のログである。SSHが「192.168.2.11」からの接続を受け付けて,「snaga」というユーザーのログインを許可(accept)したことが分かる。
また,パスワードが一致せずにログインに失敗した場合には次のように記録が残る。このログからは、パスワード認証に失敗(authentication failed)していることが分かる。
サーバアプリケーションの種類によって記録方法が違るが,基本的にはネットワーク経由で利用されるアプリケーションの場合「接続してきたホストのIP」や「ログイン名」などが記録される。これによって,誰(ユーザー名やIPで判断)がどこから(ドメインやIPで判断)接続してきたのかを知ることができる。
たとえば,ftpログインの場合は次のように記録される。ここでも,ログインしたユーザ名やホスト名,IPアドレスが記録されているのが分かるだろう。
なお,ここで示してきたのはLinuxでの出力例だ。カーネルや一部のプログラムなど,SYSLOGはよりシステムに近い領域でログ記録が行われるため,FreeBSDやSolaris,Linuxなどで若干の違いはあるものの,ApacheやFTPdなどはログ記録される書式にはプラットフォームによる違いはない。このため,システムの違いを特に気にすることなくシステムログを利用することができるのだ。
[永安悟史,ITmedia]
 |
6/6 |  |
