ログ集約
ログ集約 とは何ですか?
ログ集約多数のシステムが出力するイベントログを単一のプラットフォームに収集・正規化・集中保存し、検索・分析・保管を可能にする仕組み。
ログ集約とは、サーバー、エンドポイント、クラウドサービス、ネットワーク機器、アプリケーションのログを SIEM やログレイクといった集中リポジトリに集める運用です。エージェントや syslog リレーが生のイベントを取得し、共通スキーマに正規化したうえでメタデータを付与し、索引付きのストレージに書き込みます。これによってアナリストは環境全体を横断的に検索でき、検知・脅威ハンティング・インシデント対応・コンプライアンス上の保管の土台となります。運用上は時刻同期、収集元のカバレッジ、パース精度、ストレージコスト、ログ改ざん防止が重要です。
● 例
- 01
Linux の auditd、Windows イベントログ、AWS CloudTrail を同一の SIEM インデックスに転送する。
- 02
syslog リレーでファイアウォールのログをコールドストレージに 1 年間保管する。
● よくある質問
ログ集約 とは何ですか?
多数のシステムが出力するイベントログを単一のプラットフォームに収集・正規化・集中保存し、検索・分析・保管を可能にする仕組み。 サイバーセキュリティの 防御と運用 カテゴリに属します。
ログ集約 とはどういう意味ですか?
多数のシステムが出力するイベントログを単一のプラットフォームに収集・正規化・集中保存し、検索・分析・保管を可能にする仕組み。
ログ集約 はどのように機能しますか?
ログ集約とは、サーバー、エンドポイント、クラウドサービス、ネットワーク機器、アプリケーションのログを SIEM やログレイクといった集中リポジトリに集める運用です。エージェントや syslog リレーが生のイベントを取得し、共通スキーマに正規化したうえでメタデータを付与し、索引付きのストレージに書き込みます。これによってアナリストは環境全体を横断的に検索でき、検知・脅威ハンティング・インシデント対応・コンプライアンス上の保管の土台となります。運用上は時刻同期、収集元のカバレッジ、パース精度、ストレージコスト、ログ改ざん防止が重要です。
ログ集約 からどのように防御しますか?
ログ集約 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ログ集約 の別名は何ですか?
一般的な別名: 集中ログ, ログ収集。
● 関連用語
- defense-ops№ 1039
SIEM
企業全体のセキュリティテレメトリを集約・正規化・相関分析し、検知・調査・コンプライアンス・レポートを支援するプラットフォーム。
- forensics-ir№ 627
ログ解析
システム、アプリケーション、セキュリティ機器のログを体系的に精査し、セキュリティ関連事象を検知・調査・再構築するフォレンジック作業。
- defense-ops№ 628
ログ相関
共通フィールド・時間窓・順序にもとづいて複数のログソースのイベントを結び付け、単一ログでは分からない多段階の活動を可視化する手法。
- defense-ops№ 416
ファイル整合性監視 (FIM)
重要な OS、アプリ、設定ファイルを既知の安全な暗号ベースラインと比較し、予期しない変更を検知するセキュリティ対策。
- forensics-ir№ 524
インシデントレスポンス
サイバーインシデントの準備・検知・分析・封じ込め・根絶・復旧を体系的に行い、教訓を反映する組織的プロセス。