syslogとは？基礎からわかりやすく解説！

基礎と応用

セキュリティ監査やシステム監視などの必要性から、日々のログ管理は重要となっています。そのログなどを送信するために必要なsyslogについて、知っておきましょう。
今回は、syslogの概要から利用目的、必要性、syslog受信・監視を実現する管理アプライアンスサーバーをご紹介します。

syslogとは？
syslogの利用目的
syslogに関するよくある課題
syslog監視の必要性
syslog受信・監視を実現する「LOG＠Adapter＋」

syslogとは？

まずはsyslogの基礎知識を押さえておきましょう。

syslogとは

syslogとは「System Logging Protocol」を略した言葉で、システムログなどをsyslogサーバーと呼ばれる特定のサーバーに送信するために使用されるプロトコルのことです。

システムログとは、システムの動作履歴の記録を指し、多くの場合、OS稼働中に発生した重要なできごとを、時系列で記録していったものを指しています。

またプロトコルとは、コンピュータ同士がデータをやりとりするために、手順や規約、信号の電気的規則などを定めた規格を指します。

syslogは、複数のコンピュータからさまざまなログを収集するために使用されています。例えば、ルーター、スイッチ、プリンタやスキャナーなどのあらゆるネットワーク機器のログが収集されています。ネットワーク上に接続されており、稼働しているコンピュータであれば、ログ収集および監視が可能です。

syslogサーバーとは

syslogによって送信されたログを収集するサーバーを「syslogサーバー」と呼びます。例えばルーターなどのsyslog送信側の機器は、syslogサーバーに対してログ情報をテキストメッセージで送信します。

FacilityとSeverity

syslogで送信するシステムログには「Facility（ファシリティ）」と「Severity（シビアリティ）」という概念があります。

Facilityはログの種類、Severityはログの重要度（優先度）を指しています。syslogではこの種類と重要度に基づいてログの保存先を分けることができます。

syslogの利用目的

syslogは企業においてどのような目的で利用されているのでしょうか。主な目的を見ていきましょう。

セキュリティ監査

企業内に構築されたネットワークにおけるセキュリティ監査に重要な役割を果たします。ネットワーク内には基本的に誰もアクセスしないデバイスが複数存在していますが、監査時に普段とは異なるログイン試行などが行われればsyslogサーバーにログが転送されるため、認証の違反などを素早く察知できます。

システム・ネットワーク監視

日常的なシステム・ネットワーク監視が可能になります。セキュリティ、パフォーマンス、イベント、アプリやサーバーの可用性、装置エラー、温度、ネットワーク接続の状態などを把握できます。ログに記録されたイベントを確認することで、システムやネットワークに問題が生じている可能性に気づくことができます。

syslogに関するよくある課題

syslogを集め、保管するしくみは整っているものの、次のような課題を持つ企業は多いといわれています。

必要なログを効率的に閲覧することがむずかしい

ログを集めてはいるものの、ログを閲覧する際に見づらく、ただ集めているだけの状態になっているという問題です。これでは集める意味がありません。

さまざまな種類のログ解析が煩雑

ログの種類が多く、解析が煩雑になっているという課題もあります。利用ができなければ、ただ集めているだけの状態になってしまいます。

セキュリティインシデント発生時の対応が遅れてしまう

セキュリティインシデントが発生した後、どこに問題が生じているのかがわからず、対応が遅れてしまうという課題があります。

syslogサーバーの容量が少なくログの長期保存ができない

ログを保存できるsyslogサーバーの容量が限られており、長期保存がむずかしいという課題です。

syslog監視の必要性

syslogは受信するしくみだけでなく、監視をし、アラートを上げるしくみが必要です。

syslogサーバーは、各種コンピュータから送られてきたログを受信して集中保管する役割に留まっています。保管したログの解析や検索などの機能が存在しなければ、ただログを１カ所に集めているだけに終わってしまいます。

これではセキュリティ監査やシステム監視などにログを活用することはできません。そこで必要になってくるのが、syslog監視のしくみです。

syslog監視システムを用いることで、突然の異常を検出できるようになります。問題が発生する前にアラートで通知するしくみを備えるシステムも存在しており、問題を素早く見つけるために重要な役割を果たします。

先述したSeverityにおいて緊急度の高い「emergency（非常に危険な状態）」や「alert（危険な状態）」などに分類されると、システム管理者にメールで通知するような設定をすることも可能です。

また、有事の際に、サーバーやポートのシャットダウンや、事前に準備したスクリプトの実行など、ログに対して行う対応策が自動的に実行されるシステムも存在しています。このようなsyslog監視システムを用いることで、システム監視を大幅に効率化できます。

syslog受信・監視を実現する「LOG＠Adapter＋」

エイチ・シー・ネットワークスの「LOG＠Adapter＋（ログアダプタープラス）」は、syslog受信・監視を実現するしくみとしておすすめの製品です。

syslogの受信・閲覧・解析・アクション実行を搭載したアプライアンス機器です。

アプライアンス機器とは？

アプライアンスとは、「appliance」の意味から特定の用途向けに設計、開発された機器や器具のことを指しますが、ネットワーク分野では、ネットワークアプライアンス、あるいはアプライアンスサーバーを省略した用語として用いられています。アプライアンスサーバーは高度なセキュリティ機能を備えているのが一般的です。