ログで分かる あなたの会社のIT活用度:ゼロから分かるログ活用術(1)(2/3 ページ)
「ログ」といえば、「よく分からないけれど、サーバに大量に蓄積される困ったもの」――こう考えている方は少なからずいるだろう。そんな“よく分からないログ”を活用すれば、業務でどの程度ITが活用されているか、社員はきちんと働いているかが見えてくる
ログの活用分野
以上、ログにはシステムログとアプリケーションログがあり、それぞれがどのような性格のものか整理してきました。ここからは、大量に出力され、さまざまな意味を持つアプリケーションログをどのような目的で使ったらよいのかをまとめてみます。
コンピュータ利用の記録
- 誰がどれくらいの時間、コンピュータを使っていたのか
- どんなアプリケーションがよく使われているのか
- どんなサイトにアクセスしているのか
- どんなファイルをダウンロードしているのか
ログを使う大半の目的はコンピュータ利用の記録です。Webを公開しているようなサイトでは「どんなページによくアクセスしているのか」、「どのサーチエンジンから転送されてきたのか」といった情報をログから抽出し、Webサイトの改善に役立てています。
一般の企業では、業務時間中にビジネスと関係のないWebサイトへのアクセスを抑止する目的で、プロキシサーバのログをチェックしているような場合もあります。
一例として、弊社のWebプロキシサーバのログから野球関連のWebサイトにアクセスしている端末を特定してみましょう(アドレスなどは変更しています)。
| 検索項目 | 検索条件 |
|---|---|
| Webサイト名 | サイト名に“baseball”という文字列を含むログ |
| 期間 | 2004年7月1日〜2004年7月31日 |
| 検索方法 | 生のプロキシログに対してUnix grepコマンドで検索 |
ログの検索条件
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
この例では、件数も少ないこともあり、単に息抜き程度にアクセスしたものと思われます。こういったアクセスが極端に増えてくれば業務の生産性にも影響してきますし、何らかの対策(例えばURLフィルタリングソフトの使用)を考慮すべきだと思われます。
不審な利用の識別
最近ではフォレンジック(訴訟リスクへの対応)の一環として生データをすべて採取しておき、いざという場合に証拠として利用するといった方法も広まりつつありますが、一般企業ではそこまでやるだけの人・物・金はないというのが正直なところです。とはいっても、ログからだけでもかなりのことが分かります。例えば、以下に示すような傾向がログから読み取れれば、一度詳しく調べてみることをお勧めします。
- 夜間や休日になると異常に使用率が高くなっていないか
- 極端に大きなデータを誰かに送っていないか
- 特定のサーバに長時間つないでいないか
本来、人のいない時間帯に大量にサーバアクセスやネットワークトラフィックがある場合や、極端に大きなデータ(数百MB以上)を送っているといったような場合には要注意です。サーバの乗っ取りやデータの持ち出しなどが考えられます。
一例として、Webプロキシサーバのログから無料メールサイトに対してメールを送信(POST)しているPCを特定してみましょう(アドレスなどは変更しています)。
| 検索項目 | 検索条件 |
|---|---|
| Webサーバ | Webサイト名に「mail」という文字を含むもの |
| メソッド | データを「POST」しているPC |
| 期間 | 2004年7月1日〜2004年7月31日 |
| 検索方法 | 生のプロキシログに対してUnix grepコマンドで検索 |
ログの検索条件
| 日付 | 時間 | 送信PC | 受信者 | サイズ |
|---|---|---|---|---|
| 2004/7/20 | 02:40:47 | 192.168.10.143 | by22fd.bay22.hotmail.msn.com | 69,109 |
| 2004/7/20 | 02:41:34 | 192.168.10.143 | by22fd.bay22.hotmail.msn.com | 557 |
検索結果
この例では、夜間作業者が空いた時間に知り合いとメールのやり取りをしていただけだと分かったのですが、こういったメールが頻繁に社外に向かって送信されているような場合は要注意です。
Copyright © ITmedia, Inc. All Rights Reserved.