syslogとは？基礎からわかりやすく解説！

セキュリティ監査やシステム監視などの必要性から、日々のログ管理は重要となっています。そのログなどを送信するために必要なsyslogについて、知っておきましょう。
今回は、syslogの概要から利用目的、必要性、syslog受信・監視を実現する管理アプライアンスサーバーをご紹介します。

syslogとは？

まずはsyslogの基礎知識を押さえておきましょう。

syslogとは

syslogとは「System Logging Protocol」を略した言葉で、システムログなどをsyslogサーバーと呼ばれる特定のサーバーに送信するために使用されるプロトコルのことです。

システムログとは、システムの動作履歴の記録を指し、多くの場合、OS稼働中に発生した重要なできごとを、時系列で記録していったものを指しています。

またプロトコルとは、コンピュータ同士がデータをやりとりするために、手順や規約、信号の電気的規則などを定めた規格を指します。

syslogは、複数のコンピュータからさまざまなログを収集するために使用されています。例えば、ルーター、スイッチ、プリンタやスキャナーなどのあらゆるネットワーク機器のログが収集されています。ネットワーク上に接続されており、稼働しているコンピュータであれば、ログ収集および監視が可能です。

syslogサーバーとは

syslogによって送信されたログを収集するサーバーを「syslogサーバー」と呼びます。例えばルーターなどのsyslog送信側の機器は、syslogサーバーに対してログ情報をテキストメッセージで送信します。

FacilityとSeverity

syslogで送信するシステムログには「Facility（ファシリティ）」と「Severity（シビアリティ）」という概念があります。

Facilityはログの種類、Severityはログの重要度（優先度）を指しています。syslogではこの種類と重要度に基づいてログの保存先を分けることができます。

syslogの利用目的

syslogは企業においてどのような目的で利用されているのでしょうか。主な目的を見ていきましょう。

セキュリティ監査

企業内に構築されたネットワークにおけるセキュリティ監査に重要な役割を果たします。ネットワーク内には基本的に誰もアクセスしないデバイスが複数存在していますが、監査時に普段とは異なるログイン試行などが行われればsyslogサーバーにログが転送されるため、認証の違反などを素早く察知できます。

システム・ネットワーク監視

日常的なシステム・ネットワーク監視が可能になります。セキュリティ、パフォーマンス、イベント、アプリやサーバーの可用性、装置エラー、温度、ネットワーク接続の状態などを把握できます。 ログに記録されたイベントを確認することで、システムやネットワークに問題が生じている可能性に気づくことができます。

syslogに関するよくある課題

syslogを集め、保管するしくみは整っているものの、次のような課題を持つ企業は多いといわれています。

必要なログを効率的に閲覧することがむずかしい

ログを集めてはいるものの、ログを閲覧する際に見づらく、ただ集めているだけの状態になっているという問題です。これでは集める意味がありません。

さまざまな種類のログ解析が煩雑

ログの種類が多く、解析が煩雑になっているという課題もあります。利用ができなければ、ただ集めているだけの状態になってしまいます。

セキュリティインシデント発生時の対応が遅れてしまう

セキュリティインシデントが発生した後、どこに問題が生じているのかがわからず、対応が遅れてしまうという課題があります。

syslogサーバーの容量が少なくログの長期保存ができない

ログを保存できるsyslogサーバーの容量が限られており、長期保存がむずかしいという課題です。

syslog監視の必要性

syslogは受信するしくみだけでなく、監視をし、アラートを上げるしくみが必要です。

syslogサーバーは、各種コンピュータから送られてきたログを受信して集中保管する役割に留まっています。保管したログの解析や検索などの機能が存在しなければ、ただログを１カ所に集めているだけに終わってしまいます。

これではセキュリティ監査やシステム監視などにログを活用することはできません。そこで必要になってくるのが、syslog監視のしくみです。

syslog監視システムを用いることで、突然の異常を検出できるようになります。問題が発生する前にアラートで通知するしくみを備えるシステムも存在しており、問題を素早く見つけるために重要な役割を果たします。

先述したSeverityにおいて緊急度の高い「emergency（非常に危険な状態）」や「alert（危険な状態）」などに分類されると、システム管理者にメールで通知するような設定をすることも可能です。

また、有事の際に、サーバーやポートのシャットダウンや、事前に準備したスクリプトの実行など、ログに対して行う対応策が自動的に実行されるシステムも存在しています。このようなsyslog監視システムを用いることで、システム監視を大幅に効率化できます。

syslog受信・監視を実現する「LOG＠Adapter＋」

エイチ・シー・ネットワークスの「LOG＠Adapter＋（ログ アダプター プラス）」は、syslog受信・監視を実現するしくみとしておすすめの製品です。

syslogの受信・閲覧・解析・アクション実行を搭載したアプライアンス機器です。

アプライアンス機器とは？

アプライアンスとは、「appliance」の意味から特定の用途向けに設計、開発された機器や器具のことを指しますが、ネットワーク分野では、ネットワークアプライアンス、あるいはアプライアンスサーバーを省略した用語として用いられています。アプライアンスサーバーは高度なセキュリティ機能を備えているのが一般的です。

LOG＠Adapter＋とは？

LOG＠Adapter＋は、システムを横断したログ管理とログデータの即時閲覧・検索によって必要なログデータを迅速に収集できるのが特徴です。

見やすいお好みのフォーマットにログを整形できるため、大量のログから必要な情報を即時に閲覧することができます。さらに受信したログに対しては、管理者へのメール通知はもちろん、端末の遮断などの特定アクションを自動化でき、少ない手間でインシデントに対する初期対応ができます。

最大ログデータ保存容量は1680GBの大容量モデルであるため、長期保存も可能です。

登録性能は5000件/秒と、複数システムのログを収容する高い性能を有するのも特徴です。

導入は容易で、機器設定作業も各種閲覧もすべてWeb-GUI上から操作できるため、初期導入を迅速に行うことができます。

LOG＠Adapter＋の主な機能

LOG＠Adapter＋の主な機能をご紹介します。

1.ログ検索
ログを即時データベース化して保存した後、リアルタイム検索が可能です。またブラウザで簡単にログを検索できます。

2.解析
任意の認証スイッチやネットワーク機器のログを解析する定義を登録し、アクションやレポートに利用可能です。

3.ログアクション
任意のログを抽出できます。条件に一致したログに対して、「メール送信」、「SNMPトラップ送信」、「カウント」、「端末遮断」などのアクションが設定できます。

4.レポート
テンプレートに一致するログをレポート化し、月別、日別、曜日別、時間別、ホスト別などが可能です。

5.メンテナンス
バックエンドで設定とデータを自動バックアップ、一定期間経過したデータの削除、バックアップしたデータのリストア、データベース使用率を監視して、指定した使用率を超えると警告ログを出力するなどのメンテナンス機能があります。

詳細についてはサービス紹介ページをご覧いただき、ご不明な点がございましたら、お気軽にお問い合わせください。

ネットワーク導入まるわかりガイド

ネットワークの基本から課題解決事例までわかりやすくまとめています。会社や組織内のネットワークの導入や見通しを検討するときに必ずお読み頂きたい一冊です。

無料でダウンロードする＞