ログを調べるには
必要な情報に絞り込むフィルタリングが必要になる
一般的なシステムではフィルタリングをサーバーごとに実行している
ログをリアルタイムに監視するソフト
ログ監視エージェントをサーバーで動作させておき
このソフトが事前に設定指定板基準と照らし合わせ、
運用管理者に通知する情報だけをメールサーバーや
運用監視サーバーに通知している
管理するサーバーが少ないうちには
フィルタリングで充分だけど
サーバーが複数になってくると
サーバー個別フィルタリングでは
複数サーバーをまたがった分析に手間がかかってしまう
もし、複数のサーバーへ不正アクセスされた場合、
侵入された時刻、使われてしまったIDの情報をもとに
ここのサーバーのログを分析することになってしまう
また、すべてのログが」
ここのサーバー上に蓄積されていくが
基本的に不必要なログがほとんどなので
一定時間後に圧縮、削除するという
ログ管理が必要になるし
サーバーの台数だけ増えていくので
現実的ではない
このため、対策としては
すべてのサーバーのログを
1ヶ所に集約してフィルタリングすること
これなら、サーバー台数が増えていってもログ管理対象のサーバーは増えない
さらに、最初の方にあった問題点である複数サーバーのログ分析も
この方法で解決できる
これらの情報が記載されていたのが
日経 Linux (リナックス) 2012年 06月号 [雑誌]
最近では、不正アクセスなどでログ解析もすることがおおそうなので
この機会に勉強していきます
