最新システムで生成されるデータの量は近年指数関数的に増加し、この増加の大部分をログファイルが占めています。ログを生成するコンポーネントには次のようなものがあります。

• サーバー
• ネットワークデバイス
• オペレーティングシステム
• ソフトウェアアプリケーション
• クラウドサービス
• その他

企業はログを収集して保存し、インシデントのトラブルシューティング、パフォーマンス問題の根本原因の検出、セキュリティ侵害の調査、コンプライアンス要件の遵守に役立てます。

ただし、ログは大量のディスク領域を使用する可能性があります。個々のログファイルのサイズは制御不能で、使用可能なディスク領域に負担がかかかる場合があります。適切に制御しなければ、システムパフォーマンスの問題が発生します。

これがログローテーションを行う理由となります。ログローテーションでは、一定の方法に従って古いログを削除またはアーカイブし、新しいログのための場所を空けます。

この記事では、ログローテーションの基本、つまり、なぜ重要なのか、古いログファイルをどのように処理できるかについて説明します。また、最新のクラウドベースのログ管理システムであるFalcon LogScaleについても簡単に説明します。

ログローテーションとは

ログローテーションは、ログファイルのサイズを制御するプロセスです。既存のログファイルが特定のしきい値（通常は最大ファイルサイズ、経過時間、レコード数）に達すると、関連付けられているアプリケーションによって名前が変更され、元の名前で新しいファイルが作成されて、その新しいファイルに引き続きイベントが書き込まれます。古いログファイルが圧縮されたり、アーカイブされたり、削除されることもあります。ログローテーションは、数秒で完了する迅速な自動化プロセスであり、一部のアプリケーションでは専用のスレッドを実行して処理します。

ログローテーションの一般的な命名スタイルは、ローテーションのタイムスタンプを古いファイル名に追加することです。例えば、ログファイル名がmylogfile.logの場合、ローテーションされるログファイルの名前はmylogfile_xxxxxxxx.log（xxxxxxxxは日付またはタイムスタンプ）になり、新しく作成されるファイルの名前はmylogfile.logになります。結果のログファイルフォルダーには、次のようなエントリが表示される場合があります。

mylogfile.log
mylogfile_20220429.log
mylogfile_20220430.log
…
…

古いログファイルにタイムスタンプではなくサフィックスが追加される場合もあります。例えば、SQL Serverのエラーログファイル名はERRORLOGで、古いファイルの名前はERRORLOG.1、ERRORLOG.2、ERRORLOG.3のようになります。数字が大きいほど、ファイルは古いということです。

ログローテーションの設定は、通常はアプリケーションまたはオペレーティングシステムに特定の条件を設定することによって制御できます。設定を保存すると、これらの条件が満たされたときにログローテーションがトリガーされます。特定の場合にログローテーションをオフにすることもできますが、これは一時的な手段にとどめるようにします。アプリケーションによっては、ログファイル名を設定したり、保存場所を指定したり、ロギングを完全に無効にしたりできる場合があります。

アプリケーションイベントがローテーションされた複数のファイルにまたがることがあるため、古いログをローカルに保持する必要がある場合もあります。古いファイルを圧縮してサーバー上の領域を節約したり、指定した期間を経過すると削除するように設定したりできます。長期間保存するために、アーカイブストレージデバイス、バックアップサーバー、S3などのクラウドベースのオブジェクトストレージメディア、ログ管理システムに移動することもできます。

ログローテーションが必要である理由

前述のように、ログファイルはエラーのトラブルシューティング、セキュリティインシデントの調査、IT環境の評価に役立ちます。しかし、ログローテーションを実行しないと、ネットワークトラフィックや認証イベントをキャプチャするノイズの多いログがすぐに問題になる可能性があります。

ディスク容量

ログファイルを圧縮または削除するように設定しないと、サーバーのディスク容量を使い尽くすまでログファイルが大きくなります。重要なサービスが機能しなくなり、これにより、ログにギャップが生じる可能性があります。アプリケーションは容量が使用可能な場合にのみ新しいイベントを書き込むためです。この間にインシデントが発生すると、その記録が残らない可能性があります。

パフォーマンス

ディスク容量がいっぱいでない場合でも、サーバーでパフォーマンスの問題が発生する可能性があります。メモリが不足していると、大きいファイル（数GBのサイズになる場合もある）を開く、読み込む、および書き込む処理に長い時間がかかります。tail、head、grepなどの手動操作は時間がかかる可能性があるため、重大な問題を調査する場合には理想的ではありません。

リアルタイムアラート

ログ管理ソリューションで大きいログファイルの処理に苦労することがよくあります。ロギングエージェントでネットワークを介してデータをストリーミングすると時間がかかります。ログ管理ソフトウェアでデータの解析とインデックス付けに時間がかかります。これらのすべてがリアルタイムのアラートが遅延する原因となる可能性があります。例として、認証ログにパスワードスプレー攻撃の証拠が含まれるシナリオについて考えます。ファイルサイズが大きいため、SIEM（セキュリティ情報およびイベント管理）ソリューションで攻撃を検出してアラートを発するまでに30分かかります。明らかに、これは理想的な状況ではありません。

古いログファイルをどうするか

サーバーに無制限のストレージを提供できる場合を除き、古いログファイルを処理するための戦略が必要です。一部の企業では、ユースケース、重要性、法的義務に応じて、ログファイルのタイプごとに異なるアプローチを採用しています。

削除

ローテーションされたログファイルを処理する最も簡単な方法は、削除することです。設定が容易で、サーバー上の容量が空き、ストレージコストが削減されます。ただし、ログファイルには重要なイベントが含まれていることが多く、それがいつ必要になるかわからないこともあるため、リスクを伴う可能性があります。また、1件のイベントが複数のログファイルにまたがっている場合は、重要な情報を失う可能性もあります。ビジネスの業界やコンプライアンスのニーズによっては、古いログファイルの削除が選択肢にならない場合があります。

圧縮

ローテーションプロセスの一環としてログファイルを圧縮し、古いファイルをサーバーに維持できます。Linuxシステムで広く使われている手法であり、圧縮されたログファイルには通常.gzという拡張子が付きます。

アーカイブ

アーカイブすると、古いログが長期保管用の別のストレージシステムに保存されます。保存先として利用されるものには、外部ストレージ（SANなど）搭載の特定用途向けバックアップサーバー、割安なクラウドストレージ（AWS S3など）、オフサイトのテープストレージなどがあります。

ログ管理システム

IT運用では通常、一元管理可能なシステムを利用してすべてのログを保存します。こうしたシステムを使用すると、ログファイルに記録されたイベントの検索、分析、相互関連付け、可視化が可能になります。これは、ファイルシステムからログファイルを手動で処理するよりもはるかに簡単です。ログ管理システムでは、傾向の履歴表、システム状態の比較、重大なイベントに対するリアルタイムのアラートの提供などが可能です。

ログローテーションはログ管理システムに置き換わるものではないことに注意してください。これらは互いに補完し合います。ログ管理システムにログファイルを読み込んで保存すると、そのファイルのローテーション、アーカイブ、削除が可能になります。

古いログファイルは、送信先がどこであっても保護が必要です。そのようにログファイルに記録されている機密情報を保護することで、ファイルが改ざんされないようにします。

次世代SIEMおよびログ管理のための世界をリードするAIネイティブプラットフォームをお試しください

SIEMとログ管理のための最高水準のAIネイティブプラットフォーム、CrowdStrike Falcon^®プラットフォームでサイバーセキュリティを強化しましょう。ペタバイト規模でのセキュリティログを体験してみてください。クラウドネイティブ型または自己ホスト型での展開が可能です。ボトルネックの生じない、強力でインデックスフリーのアーキテクチャを利用してデータをロギングすれば、1日あたり1PB以上のデータを取り込んで脅威ハンティングに役立てることができます。リアルタイムの検索機能により攻撃者をしのぐスピードで対策を実施できます。複雑なクエリを実行しても、そのレイテンシーは1秒未満です。360度の可視性によりデータを統合してサイロ化を解消し、セキュリティ、IT、DevOpsチームがシームレスに脅威のハンティング、パフォーマンスのモニタリング、コンプライアンスの確保を行うことができます。30億件ものイベントにわたる作業でも1秒未満で実施できます。