ログ分析の事前知識 -Prior knowledge of log analytics- (20200427)
?Download as PPTX, PDF?
3 likes?1,117 views
2020年4月27日開催の「【オンライン】ログ分析勉強会」で登壇した際の資料です。 ログ分析における事前知識としてまとめました。 https://loganalytics.connpass.com/event/171272/
![#logben
ログとは (Wikipedia より抜粋)
? 語源[編集]
? ログは「航海日誌」 (logbook) を語源とする用語であり、動詞として使う場
合は「航海日誌に記録する(航海記録を取る)」という意味であり、1820年
代ごろに生まれたとされている。航海日誌を logbook と呼ぶようになったの
は、船の速度を測るのに丸太 (log) に一定間隔に結び目のある縄を括り付け
て浮かべたことに由来する(ノット参照)。電子用語でログという言葉が使
われるようになったのは1963年ごろで、データ処理におけるイベントを体系
的に記録することを指した。
? コンピュータのデータログ[編集]
? コンピュータにおけるデータログでは、障害などが発生したとき、何が起き
たのかを説明できるようにするためにプログラムが自動的にある範囲のイベ
ントを記憶装置(ハードディスクや不揮発性メモリ等)に記録する。
?? Masanori KAMAYAMA 5
https://ja.wikipedia.org/wiki/データログ](https://image.slidesharecdn.com/priorknowledgeofloganalytics20200427-200427122438/85/Prior-knowledge-of-log-analytics-20200427-5-320.jpg)
ログ分析の事前知識 -Prior knowledge of log analytics- (20200427)
- 1. #logben ログ分析勉強会 ログ分析の事前知識 Prior knowledge of log analytics 釜山公徳 (Masanori Kamayama) おんらいん loganalytics seminar 2020 #logben ?? Masanori KAMAYAMA 1
- 2. #logben Self-introduction ? 釜山公徳 (Masanori Kamayama) ? 所属?活動 ?日本電気株式会社 エバンジェリスト兼コンサルタント ?CompTIA Subject Matter Experts ?CSA Japan クラウドセキュリティWG リーダー ?JNSA IoTセキュリティログ検討WG ?Fin-JAWS 運営メンバー、他 ? コラムとか NISC (内閣サイバーセキュリティセンター) 「あなたの守りたい「モノ」は何ですか?どうやって守りますか?」、他 2?? Masanori KAMAYAMA
- 3. #logben まず最初に伝えたいこと セキュリティで大事なこと ? 最初に守りたいモノを定義する ? 掛け捨てコストではなく投資 https://www.nisc.go.jp/security-site/month/h29/column/20180314.html ?? Masanori KAMAYAMA 3
- 5. #logben ログとは (Wikipedia より抜粋) ? 語源[編集] ? ログは「航海日誌」 (logbook) を語源とする用語であり、動詞として使う場 合は「航海日誌に記録する(航海記録を取る)」という意味であり、1820年 代ごろに生まれたとされている。航海日誌を logbook と呼ぶようになったの は、船の速度を測るのに丸太 (log) に一定間隔に結び目のある縄を括り付け て浮かべたことに由来する(ノット参照)。電子用語でログという言葉が使 われるようになったのは1963年ごろで、データ処理におけるイベントを体系 的に記録することを指した。 ? コンピュータのデータログ[編集] ? コンピュータにおけるデータログでは、障害などが発生したとき、何が起き たのかを説明できるようにするためにプログラムが自動的にある範囲のイベ ントを記憶装置(ハードディスクや不揮発性メモリ等)に記録する。 ?? Masanori KAMAYAMA 5 https://ja.wikipedia.org/wiki/データログ
- 6. #logben ログの分類 ? 様々な視点から分類が可能 ? この他、メモリダンプやデータベースのトランザクションログもログ ?? Masanori KAMAYAMA 6
- 7. #logben 必要性 ? ログって何に使う? ? 障害対応(ソフトウェア、ハードウェア) ? セキュリティインシデント対応 ? プログラムデバッグ ? トランザクション処理 ? 復旧 ? ログ分類って必要? ? 環境によっては数億以上にものぼるログを、分類なしで解析するのは 現実的では無い。 ?? Masanori KAMAYAMA 7
- 8. #logben ログのフィルターでイメージを掴む (rsyslogの例) 1/2 FACILITY ? kern (0) ? user (1) ? mail (2) ? daemon (3) ? auth (4) ? syslog (5) ? lpr (6) ? news (7) ? cron (8) ? authpriv (9) ? ftp (10) ? local0 ~ local7 (16 ~ 23) PRIORITY ? debug (7) ? info (6) ? notice (5) ? warning (4) ? err (3) ? crit (2) ? alert (1) ? emerg (0) ?? Masanori KAMAYAMA 8
- 9. #logben ログのフィルターでイメージを掴む (rsyslogの例) 2/2 ?何のログが ?どこに保存されるか ?? Masanori KAMAYAMA 9 #### RULES #### # Log all kernel messages to the console. # Logging much else clutters up the screen. #kern.* /dev/console # Log anything (except mail) of level info or higher. # Don't log private authentication messages! *.info;mail.none;authpriv.none;cron.none /var/log/messages # The authpriv file has restricted access. authpriv.* /var/log/secure # Log all the mail messages in one place. mail.* -/var/log/maillog # Log cron stuff cron.* /var/log/cron # Everybody gets emergency messages *.emerg :omusrmsg:* # Save news errors of level crit and higher in a special file. uucp,news.crit /var/log/spooler # Save boot messages also to boot.log local7.* /var/log/boot.log
- 10. #logben インシデントレスポンスを意識する (Linux の例) 1 ファイル形式 ログファイル名 概要 テキスト anaconda.log インストーラーのログ audit.log 監査ログ boot.log 起動時ステータスログ cron cron ログ dmesg 起動時のカーネルログ messages システムログ ntp.log ntpdのログ secure 認証関連のログ バイナリ lastlog 最終ログイン情報 utmp 現在のユーザー情報 wtmp ログインやログアウト情報 ? テキスト形式 ?どこに何のログが あるか ?ログフォーマット ? バイナリ形式 ?確認可能なツール (コマンド)を抑え る ?必要なオプション も把握しておく ?? Masanori KAMAYAMA 10
- 11. #logben インシデントレスポンスを意識する (Linux の例) 2 ? Case1 : OS 起動後、ドライブがマウントされていない。 ?dmesgコマンドで起動時の状況を確認 ? Case2 : 定期実行ジョブが動作しない ?cron ログ、messages ログを確認 ? Case3 : Webサーバーへの不正アクセスが疑われるので、 ? access.log 確認、等 ? Case4 : サーバーが意図しない動作をしたので、不正なログイ ンがないか確認したい ?lastコマンド、lastlogコマンド、audit.log 確認(要root権限)、等 ?? Masanori KAMAYAMA 11
- 14. #logben ?? Masanori KAMAYAMA 14 Thank you!