統合ログ管理製品に於ける、ログデータへの「意味付け」について
~大事なログを失わないための注意点~
ログ活用.COM 編集部
ログデータに対する「意味付け」
多くの統合ログ管理製品では、ログデータを収集する際、ログの分析を容易にするため、ログデータに対して「意味付け」の処理を行っています。
ログのフォーマットは、アプリケーションや機器によって実に様々なものがありますので、それを全て理解し「意味付け」を行い、ログの可読性を上げ、分析を容易にする事が統合ログ管理システムの重要な機能の1つです。
CSVのログデータであれば、1カラム目が何なのか、2カラム目が何なのか、フリーフォーマットのログであれば、「ip=」の後ろに来るのがIPアドレス、「host=」の後ろに来るのがホスト名、というように、ログのフォーマットを認識した上で意味付けを行っていきます。
この「意味付け」には様々な方法がありますが、1点注意しなければならない点があります。それは、「ログのフォーマットは変わる」という事を前提としなければならないということです。
セキュリティ製品にパッチを当てたらログの項目が増えた、ネットワーク機器のファームウェアをバージョンアップしたらログのフォーマットが変わった、等という事もよくある話です。
この時、下記のような方法で「意味付け」を行ってしまうと、ログデータの一部を失う事になります。
(注意) ログデータ収集時にCSV等に変換・加工して意味づけを行う方法
この方法は、重要性を増す監査証跡としてのログの「原本性」が損なわれるという問題を持つ他、ログデータが非可逆(元に戻せない事)である為に、ログフォーマットの変更や、万が一「意味付け」を誤った場合、それをリカバリする術が無い事を意味します。
そのため、基本的にログデータはオリジナルのままで残す(或いは、可逆の形で残す)という事が重要となり、オリジナルのログデータには手を加えず、メタデータとして「タグ」を用いる下記のような方法もあります。
ログデータ収集時に加工を行わず、収集後に意味付けを行う方法
いずれにしても、ログデータには様々な観点(システム運用、セキュリティ監査、業務効率化等)があり、あるニーズに対して不要だった情報も、別のニーズでは必要になるという事も多くあります。
ログの保管の仕方についても十分な検討が求められます。
