ログ管理の4つの機能
前回までのおさらいも兼ねて、ログ管理システムに必要な4つの機能を整理しておきましょう。下図に示すように、「ログの収集」「ログの保管」「ログの監視」「ログの分析・レポート」の各機能が充分に連携してこそログを自社の経営に活かすことができます。
どのようなシステムであれ、最初の設計が後の運用に非常に大きな影響を及ぼすものですが、同じことがログ管理の場合にも当てはまります。例えば、収集機能や保管機能の設計が不十分だと、「想定よりもログの量が多くてストレージが足りなくなった」「システムの追加、削除、変更に伴う設定作業が馬鹿にならない」「ログの漏洩リスクや改ざんのリスクを監査で指摘されてしまった」といった問題が発生します。
また、監視機能や分析・レポート機能の設計がおろそかだと、せっかく収集・保管したログも宝の持ち腐れになってしまいます。そういうことにならないよう、ログ管理の各機能を設計するためのポイントを整理していきましょう。
「ログの収集」機能のポイント
ログの収集機能に求められる要件は、「さまざまなシステムのさまざまなフォーマットのログを柔軟に収集できること」に尽きます。具体的に以下のポイントが重要になります。
1.多くのシステム、ログフォーマットに対応していること
企業システムに変更はつきものです。ログを取得できるシステムやフォーマットが多いに越したことはありません。ここでいう取得対象とは、UNIXサーバーやネットワーク機器などのSyslog、Windows系のイベントログ、その他データベースやアプリケーションのログなどのことです。
ログを収集するために対象システムのサーバーなどに常駐するエージェントが必要な場合は、そのライセンス費用やメンテナンス性などもチェックする必要があります。また、エージェントが導入できないサーバーもありますから、その場合の代替案が確保されているものを選びましょう。ベンダーが公開している対象製品一覧なども参考にしてください。
2.ログフォーマット管理機能が使いやすいこと
ログ収集の対象システムが増えたり、ログフォーマットが変更されたりした場合に、追加・変更・削除の操作を簡単に行なえるものが良いでしょう。例えば、アプリケーションのログを解析するためのフォーマットを(設定ファイルなどではなく)GUIで定義できたり、既存のログをインポートしてたたき台を作成するような工夫がなされていると作業が楽になります。
