8章リアルタイムのログ監視

問題の発生後にログを解析する技術は重要なスキルである。しかし、ログファイルから情報をリアルタイムに抜き出して、悪意を持った、あるいは疑わしい活動がないかを確認することも同様に重要である。本章では、生成されたばかりのログのエントリを読み取り、アナリストに出力を渡すために整形し、既知のIOC(Indicator Of Compromise)に基づきアラートを生成するための一連の方法について見ていこう。

[Tip]

監査ログの維持、監視、分析(Maintenance、Monitoring、Analysis)は、CIS(Center for Internet Security)によるトップ20のセキュリティ対策として定義されている。詳細については、CISコントロールのWebページ(https://www.cisecurity.org/controls/)を参照のこと。

8.1 テキストログの監視

ログをリアルタイムに監視する最も基本的な方法は、tailコマンドの-fオプションである。これにより、ファイルが定常的に読み取られ、追加された内容が新規の行として標準出力に出力される。前章と同じく、Apacheのアクセスログを例として用いるが、ここで説明する技術自体は、どんなテキストログに対しても適用できるものである。Apacheのアクセスログをtailコマンドで監視するには次のようにする。

tail -f /var/logs/apache2/access.log

より高度な機能を適用させるために、コマンドを組み合わることもできる。 ...

Get 実践 bashによるサイバーセキュリティ対策 ―セキュリティ技術者のためのシェルスクリプト活用術 now with the O’Reilly learning platform.

O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.