企業・個人を問わず、インターネットに接続する環境には常に不正アクセスのリスクが潜んでいます。
サーバーやネットワーク機器、クラウド環境の脆弱性を突かれる可能性も少なくありません。一方、多くのシステムではアクセス記録やシステムメッセージといったログが残されており、これらは不正アクセスの「証拠」となるだけでなく、「予防策」としても役立ちます。
本記事では、Syslogの仕組みやログの見方、監視方法を解説するとともに、不正アクセス防止に向けた有効な活用法をご紹介します。
\ 2週間無料でお試しできます! /
Unix/Linux系VPSをこの価格で!
・全プランSSD搭載でコストパフォーマンス◎
・豊富なOSラインアップ
・充実の無料サポート
VPSを使ってみる
目次
FacilityとSeverityを理解する
Syslogの概要
Syslogは、システム、アプリケーション、ネットワーク機器から発生するログ(メッセージ)を収集・記録するための標準的なプロトコル/仕組みです。
Syslogを活用することで次のような情報を把握できます。
- システムの動作状態の把握
- エラーや異常の検出
- 認証・アクセスの履歴管理
- ネットワーク機器間でのログ転送(例:集中管理サーバーへ集約)
また、ログを一元的に管理する「Syslogサーバー」の用途や仕組みについては、以下の記事で詳しく解説しているので、こちらも合わせてご参照ください。
2023.02.16
syslogとは。監視方法やsyslogサーバーの構築方法を解説
大量のサーバーやネットワーク機器などの稼働状況を把握するためには、syslogの利用が便利です。本記事では、syslogに焦点を当て...
Syslogの種別(Facility)とは?
Syslogでは、各ログメッセージに「種別(Facility)」と「ログレベル(Severity)」の2つの情報が付加されます。
まず「種別」を確認することで、そのメッセージがどのシステムや機能から出力されたものかを特定できます。例えば、ログイン失敗のメッセージは認証システムから、メール受信通知のメッセージはメールシステムから出力されます。
代表的な種別は以下の通りです。
| コード | メッセージの種別 | 説明 |
| 0 | kern | カーネル |
| 1 | user | ユーザープログラム |
| 2 | メールシステム | |
| 3 | daemon | システムデーモン |
| 4 | auth | 認証システム |
| 5 | syslog | Syslog機能 |
| 6 | lpr | 印刷システム |
| 7 | news | ニュースメッセージ |
| 8 | uucp | Unix-to-Unix Copyのメッセージ |
| 9 | cron | cronメッセージ |
| 10 | authpriv | 認証情報関連のメッセージ |
| 11 | ftp | FTPデーモン |
| 12 | ntp | 時刻同期システム |
| 13 | security/alert | セキュリティ関連の警告メッセージ |
| 14 | console | コンソールへのメッセージ |
| 15 | solaris-cron | Solarisのcron関連のメッセージ |
| 16~23 | local0 ~ local7 | 独自設定 |
※注釈
Facilityコードのうち 13(security/alert) および 15(solaris-cron) は、一部の環境(BSD系やSolarisなど)でのみ利用される拡張です。
Linux(rsyslog や syslog-ng など)では通常含まれないため、実際の利用環境に応じて解釈してください。
Syslogのログレベル(Severity)とは?
Syslogには、ログの出力元を示す「種別(Facility)」に加えて、メッセージの重要度を示す「ログレベル(Severity)」 があります。ログレベルは「どの程度緊急の対応が必要か」を判断する手がかりとなり、運用担当者が迅速に優先順位を決定するために欠かせません。
代表的なログレベルは以下の通りです。
| コード | ログレベル | 意味 |
| 0 | Emergency(緊急) | システムが利用不能・極めて不安定な状態 |
| 1 | Alert | 即時対応が必要な重大な状態 |
| 2 | Critical | 致命的なエラー |
| 3 | Error | 一般的なエラー状態 |
| 4 | Warning | 警告、注意すべき内容 |
| 5 | Notice | 通常より情報価値があるが、重大ではない |
| 6 | Informational | 通常の情報メッセージ |
| 7 | Debug | 問題解析用の詳細情報 |
UbuntuをVPSで利用するなら
ミライサーバー
\ 2週間無料でお試しできます! /
VPSを使ってみる
Syslogの基本操作
Syslogファイルの確認方法
Syslogファイルはテキスト形式で保存されており、Linuxでは /var/log/messages や /var/log/syslog などに記録されます。
ログの監視や確認によく使われるコマンドは以下の通りです。
- tail コマンド:最新のログを追跡する
- grep コマンド:特定のキーワードを検索する
- less / moreコマンド:大きなログファイルをスクロールしながら確認する
例えば、以下のコマンドを実行すると、/var/log/messages ファイルに新しいメッセージが出力されるたびに画面に表示され、簡易的な監視に利用できます。
$ sudo tail -f/var/log/messagesログの基本構造の読み方
Linuxでは「rsyslog」にて出力フォーマットが設定されています。基本的なSyslogの1行は以下のような構造となっています。
| [日時] [ホスト名] [プロセス名][PID]: メッセージ内容 |
- 日時:ログが発生した時刻(例:Sep 17 02:43:21)
- ホスト名:どのサーバー・機器から出力されたか(例:myhost)
- プロセス名 + PID:どのプロセスが出力したか(例:sshd[2345])
- メッセージ内容:実際のイベント説明(成功/失敗,ユーザー名,IP アドレスなど)
例えば、以下のような内容が出力されます。
| Sep 17 02:43:21 myhost sshd[218902]: Failed password for invalid user root from <IPアドレス1> port 55212 ssh2 Sep 17 02:43:23 myhost sshd[219045]: Failed password for invalid user admin from <IPアドレス1> port 55214 ssh2 Sep 17 02:44:01 myhost sshd[218902]: Accepted password for testuser from <IPアドレス2> port 62210 ssh2 |
・1~2つ目
存在しないユーザー “admin”、”root” に対して短時間に認証失敗が続いています。これは総当たり攻撃(ブルートフォース攻撃)の兆候かもしれません。
・3つ目
異なる IP アドレスからtestuserに対するログインが成功しています。もし、普段利用していないIPアドレスや時間帯なら、不正アクセスの可能性を疑うべきです。
このようにメッセージのパターンを読み解くことで、不審な認証試行や不正アクセスの兆候を検知できます。
※注釈
なお、ディストリビューションによってログファイルの場所・形式は異なります。
UbuntuをVPSで利用するなら
ミライサーバー
\ 2週間無料でお試しできます! /
VPSを使ってみる
Syslogで見つける不正アクセスの兆候
不正アクセスの主な種類と典型的手口
不正アクセスにはいくつかの典型的な手口があり、多くの場合はSyslogや /var/log/auth.log などの認証ログに証跡が残ります。ログを確認することで、攻撃の兆候を把握できます。
代表的な攻撃手法は次の通りです。
- ブルートフォース攻撃
大量のパスワードやユーザー名を自動で試行し、認証突破を狙う攻撃 - 辞書攻撃
あらかじめ用意された語句リスト(辞書)を使ってパスワードを推測し、認証を試みる攻撃 - 脆弱性を突く攻撃
OS やソフトウェアの既知の脆弱性を悪用し、システムへの不正侵入を試みる手法 - 権限昇格や横展開
侵入後に管理者権限の取得を行い、他のユーザーアカウントを乗っ取って被害を拡大させる手口
Syslog に現れる不正アクセスの兆候
以下のようなログが記録されている場合、不正アクセスの可能性が考えられます。
- 短時間に多数のログイン試行(成功/失敗問わず)
- “authentication failure”/“Failed password”/“Invalid user” といったメッセージが繰り返し出力されている。
- root や管理者アカウントでのログイン成功/失敗(特に予期しない時間帯でのアクセス)
- 通常利用されないIPアドレスや未知のホストからのアクセス
- SSHやリモートデスクトップなど外部からのリモート接続の異常な試行
- 新しいユーザーアカウントの作成やsudo権限付与の履歴
不正アクセスでは、特にrootや管理者アカウントの取得を狙うケースが多いため、このようなログイン証跡には注意が必要です。
Syslogを活用した不正アクセス対策
不正アクセスを早期発見するには、Syslogのログ監視が欠かせません。ログ監視ツールを利用すれば、監視および通知を自動化できます。
ログ監視を行うことで、以下のメリットがあります。
- 異常発生時に即時検知し、被害の拡大を防止できる
- コンプライアンス対応の証拠としてログを保全できる
- 障害原因の分析や運用改善に役立つデータを蓄積できる
ただし、単にログを収集するだけでは十分ではありません。異常が検知された際に 迅速に通知・対応できる体制 を整えることが重要です。
例として以下のような体制づくりを検討してはいかがでしょうか。
- 異常の基準を定義(例:5回以上ログイン失敗したら通知する)
- 通知方法と対応フロー(メール通知、インシデント管理システムとの連携など)
- 社内ポリシーとの整合(ログの閲覧権限の制御、パスワード管理ルールとの連携)
このようにSyslogを活用した監視体制を構築することで、不正アクセス対策を強化し、セキュリティレベルを高めることができます。
UbuntuをVPSで利用するなら
ミライサーバー
\ 2週間無料でお試しできます! /
VPSを使ってみる
まとめ
Syslog は単なる運用ログの記録にとどまらず、不正アクセスの早期発見・対応に欠かせない仕組みです。
効果的に活用するために、次のポイントを押さえておきましょう。
- Syslogの仕組み・ログレベル・記録場所を理解する
- 不正アクセスの典型的なサインを把握し、ログから異常を見抜く目を養う
- 実際のログファイルをコマンドなどで読み取り、異常なパターンを分析する
- ログ監視を自動化し、アラート通知やログ保管を制度化する
- インシデント発生時の対応フローや社内ポリシーと連携させ、再発防止策を整備する
これらを継続的に実践することで、不正アクセスによる被害を最小限に抑えることができます。まずは、自社や自身の環境でSyslogの確認から始め、徐々に監視体制を整えていきましょう。
Ubuntuを利用するならミライサーバー
ミライサーバーは、アシストアップ株式会社が提供している、Unix系サーバーに特化したホスティングサービスです。
ミライサーバーのVPSでは、高速処理が可能なSSDを全プランに搭載しています。
OSは、UbuntuやDebian、AlmaLinuxなどの豊富なラインアップから選択することができます。
2週間無料トライアルを実施しておりますので、まずはお気軽にお試しください。
プランの選択でお困りの場合は、ぜひ一度お問い合わせください。
2023.08.03
VPSに申込み、SSH接続するまでの流れ【ミライサーバー】
オンラインビジネスやWebサイトの運営を始める際には、ホスティングサービスの中から自分の用途に合ったサーバー環境を利用することが一般的です。...
