ログ分析をするための事前準備について簡単にまとめてみました。
前提
一般的に企業でシステムやWebアプリケーション等を扱う上でログ管理を行う上でのログ分析の事前準備をするケースです。
事前準備
-
正確な時刻を設定する
タイムゾーンや複数のシステムを管理している場合、それぞれ時間がずれていては正確な情報を得られません。
ゆえに証跡として使えなくもなります。
NTPサーバを導入して個々のサーバの時刻を合わせる必要があります。
-
X-Forwarded-Forヘッダフィールドの利用検討
X-Forwarded-Forヘッダフィールドを用いると付け替え前の送信元IPアドレスを把握することが可能になります。
そのため、ロードバランサなどがある場合は送信元IPアドレスがロードバランスになってしまうことを防げることができます。
しかし、なりすましのリスクがあるため利用には注意が必要です。
-
統合ログ管理サーバの導入
複数サーバがあるとそれぞれ管理することが難しくなります。
そこで統合ログ管理サーバを用いることで、複数サーバの管理を効率化することが可能です。
主に機能は3種類です。
1つ目が各サーバのログ収集機能です。これにより一元管理が可能になります。2つ目は追記型記憶装置とWORM媒体の利用、媒体の台帳管理です。WORMとはWrite Once Read Manyと上書きができないように改ざん対策を取ることです。データの完全性を保ちます。3つ目は安全な保管機能です。アクセス制限、暗号化、改ざん検知などセキュリティ機能です。
他にも最近では、SIEMの導入など規模や要件などで可能なレベルが変わってきますが、基本として上記を押さえておくとまずは良いでしょう。