イベントログの定義

コンピューティング用語では、イベントとは、ソフトウェアシステムによって認識される重要なアクションまたは発生を意味します。この発生は、オペレーティングシステム、ネットワーク、サーバー、ファイアウォール、アンチウイルスソフトウェア、データベースクエリ、ハードウェアインフラストラクチャなどから生じる可能性があります。イベントは通常、イベントログと呼ばれる特別なファイルに記録されます。

イベントログは、記録されたイベントの時系列のリストです。「イベントログ」はMicrosoft Windowsのコアコンポーネントでもありますが、この記事では、Windowsを含むすべてのオペレーティングシステムで使用される一般的な用語について説明します。

イベントログには、次のような重要な情報が含まれています。

• 発生日時
• イベントの実際の説明
• イベントの重大度
• 関連するアプリケーションまたはプロセス
• イベントを識別するための特定のコード
• IPアドレスやユーザー名などのその他の関連情報

このような情報は、ITOps、DevOps、SecOpsの各チームが、システムに何が起こったのか（クラッシュしたのか、悪意のあるアクティビティが発生したのか、インフラストラクチャで障害が発生したのかなど）を理解するために重要です。

この記事では、イベントログに記録される内容、イベントログが不可欠な理由、イベントログを使用するタイミングについて説明します。

イベントログに含まれる内容

コンピューターシステムでは、イベントログはハードウェアイベントとソフトウェアイベントの両方に関する情報を取得します。これらのイベントログは、オペレーティングシステムの一部である場合もあれば、アプリケーションに固有の場合もあります。

オペレーティングシステム

例えば、Windowsのイベントログエントリは、Windows OSを実行しているすべてのコンピューターで生成されます。これらのイベントは、通常、次の3つのカテゴリのいずれかに分類されます。

1. オペレーティングシステム自体からイベントを取得するシステム関連イベント
2. Windowsマシンで実行するアプリケーションによってログに記録されるアプリケーションイベント
3. ログインイベントとログアウトイベントを取得するセキュリティイベント

同様に、Linuxでは、Syslog（またはrsyslogやjournalctl）プロセスによってOSイベントとアプリケーション関連イベントの両方が記録されます。Red HatのLinuxディストリビューションでは、イベントログは通常は/var/log/messagesファイルです。

アプリケーション、サーバー、ネットワーキング

データベースイベントログには、次のような情報が記録されます。

• アクセスリクエスト
• データベースエンジンによって生成された内部メッセージ
• ユーザーが開始したクエリ
• APIリクエスト
• その他

SQL Serverエラーログ（通常はERRORLOGという名前）は、データベースイベントログの一例です。

ApacheやNginxなどのWebサーバーでは、イベントがaccess.logとerror.logに記録されます。アクセスログにはWebサーバーの接続が記録され、エラーログにはソフトウェア自体によって生成されたエラーメッセージが含まれます。

ネットワーキング領域では、ネットワークトラフィックイベントとルーター設定の変更がルーターイベントログに記録されます。一方、ファイアウォールイベントログには、特定のポートのブロックされたトラフィックなどのイベントが記録されます。

クラウドサービス

クラウドサービスのコンテキストでは、AWS CloudTrail、CloudWatch Log、AWS Configなどのイベントログは、異なるサービスから送信されたイベントを記録します。このようなイベントの例としては、RDSインスタンスからのデータベースイベントや、Lambdaからのサーバーレス関数の出力などがあります。

イベントログの一般的なフィールド

イベントログは、イベントデータのレコードを含む構造化ファイルです。通常、イベントログには、イベントごとに共通のフィールドセットがあります。これらのフィールドは次のとおりです。

• イベントの分類と重大度レベル（「一般的な情報」、「警告」、「重大なエラー」など）
• イベントのタイムスタンプ
• イベントのソース（ハードウェア、ソフトウェア、オペレーティングシステム、アプリケーションモジュール、ライブラリ、リモートIPアドレスなど）
• 必要に応じて、イベントの送信先（アプリケーション、IPアドレス、その他の場所）
• 必要に応じて、イベントを一意に識別するイベント番号（Webサーバーの内部エラーコードなど）
• ユーザー名（ユーザー生成アクションの場合）
• 実際のイベントの説明

これらのフィールドの目的は、分析のためにイベントの周囲にあるすべての関連情報を提供することです。

イベントログへの入力の仕組み

すべてのオペレーティングシステム（および大部分のアプリケーション）は、独自のイベントログを生成します。ほとんどの場合、同じファイルに継続的に書き込み、ファイルサイズのしきい値に達すると新しいファイルに書き込み始めます。ログ記録は冗長な場合もあれば、簡潔な場合もあります。各アプリケーションのイベントログへの入力方法は、そのイベントをログに送信するためのアプリケーションの設定方法によって異なります。

通常、システム管理者が、管理している各アプリケーションのイベントログ設定を指定します。設定パラメーターには、ログファイルの名前、取得するイベント関連フィールド、イベントの保持期間、ログに記録する最小重大度レベル、タイムゾーンなどを含めることができます。

ソフトウェア開発者もまた、開発中のカスタムアプリケーションからイベント情報を取得するためにログを使用します。実際、カスタム作成のアプリケーションは、ログにアクセスし、関連するAPIを呼び出してデータを転記できるなら、そのイベントをオペレーティングシステムのイベントログに送信できます。例えば、Microsoft SQL ServerのT-SQL言語では、カスタムデータベースアプリケーションのイベントをWindowsのアプリケーションイベントログに送信できます。

イベントログが重要な理由

問題の原因が、ハードウェア障害、OSエラー、セキュリティ侵害、アプリケーション障害、パフォーマンス低下のいずれであるかに関係なく、イベントログは問題やインシデントの根本原因分析に不可欠です。運用チームとエンジニアが問題の根本原因を追跡する最も効果的な方法は、当該のインシデントの前に発生したイベントをログファイルで調べることです。

トラブルシューティングには、複数のイベントログを関連付けて分析する作業も含まれます。

トラブルシューティング担当者は、さまざまなコンポーネントのイベントログからデータを集約して関連付けることで、そのシステムの全体像を構築できます。最新のログ管理では、複数のイベントログの取り込みを利用して、傾向、異常、パターンを明らかにします。このアプローチは、必ずしも1つのログを分析することで問題を検知できるとは限らない複雑な分散システムで必要になっています。

このような詳細な照合と分析はシステムのオブザーバビリティ（可観測性）の重要な要素であり、この機能はイベントログを含む生成データからシステムの現在の内部状態を測定します。

次世代SIEMおよびログ管理のための世界をリードするAIネイティブプラットフォームをお試しください

SIEMとログ管理のための最高水準のAIネイティブプラットフォーム、CrowdStrike Falcon^®プラットフォームでサイバーセキュリティを強化しましょう。ペタバイト規模でのセキュリティログを体験してみてください。クラウドネイティブ型または自己ホスト型での展開が可能です。ボトルネックの生じない、強力でインデックスフリーのアーキテクチャを利用してデータをロギングすれば、1日あたり1PB以上のデータを取り込んで脅威ハンティングに役立てることができます。リアルタイムの検索機能により攻撃者をしのぐスピードで対策を実施できます。複雑なクエリを実行しても、そのレイテンシーは1秒未満です。360度の可視性によりデータを統合してサイロ化を解消し、セキュリティ、IT、DevOpsチームがシームレスに脅威のハンティング、パフォーマンスのモニタリング、コンプライアンスの確保を行うことができます。30億件ものイベントにわたる作業でも1秒未満で実施できます。