ログ監視 - ログ監視とモニタリングの使い方・オプション・サンプル

ログ監視 - ログ監視とモニタリング

セキュリティイベントのログを収集・分析し、異常を検知する仕組み。インシデント対応と事後分析の基盤となる。

概念図

ログ監視とモニタリング diagram

実例

SSH のログイン失敗ログを検索

bash

journalctl -u sshd --since "2026-04-07" | grep "Failed password"

/etc/passwd への書き込みを監査ルールに追加

bash

auditctl -w /etc/passwd -p wa -k passwd_changes

ログ監視の仕組みと構成要素

セキュリティログの適切な管理はインシデント検知と事後分析の基盤です。

ログの種類: OS ログ（syslog, journald）、アプリケーションログ、アクセスログ、認証ログ、監査ログ
ログの集約: 各サーバーのログを中央のログサーバーに集約する。Fluentd, Filebeat 等のログコレクターを使用
SIEM（Security Information and Event Management）: ログを相関分析し、セキュリティイベントを検知する。Splunk, Elastic Security, Microsoft Sentinel 等
アラート設定: 閾値ベースやルールベースでアラートを設定し、重要なイベントを即座に通知する

ベストプラクティス

ログの改ざん防止: ログを別サーバーに転送し、ローカルのログが改ざんされても証拠が残るようにする
保管期間の設定: 法規制やポリシーに基づいてログの保管期間を設定する。一般的に 1 年以上を推奨
構造化ログ: JSON 形式等の構造化ログを採用し、検索・分析を容易にする
機密情報のマスキング: ログにパスワードや個人情報が含まれないようにする
ベースラインの設定: 正常時のログパターンを把握し、異常検知の精度を高める
インシデント対応との連携: ログからインシデントの影響範囲を特定し、タイムラインを再構成できるようにする

関連トピック

IDS/IPS（侵入検知/防止システム）- ネットワークやホストへの不正アクセスをリアルタイムに検知（IDS）または検知して遮断（IPS）するシステム。 サーバーハードニング- サーバーの攻撃対象領域を最小化するセキュリティ強化プロセス。不要なサービスの無効化、パッチ管理、アクセス制御の適切な設定を含む。 コンテナセキュリティ- Docker や Kubernetes 環境におけるセキュリティ対策。イメージの脆弱性スキャン、ランタイム保護、ネットワークポリシーの設定を含む。