サービスやシステムの運用を行うためには、適切なログを確認できることが重要になります。では、どんなログをとれているとよいのか、ヒントになりそうな物を探してみました。
方針として参考なりそうなのは、JISかもしれないですね。
日本工業規格 JIS Q 27002:2014 (ISO/IEC 27002:2013) 情報技術−セキュリティ技術− 情報セキュリティ管理策の実践のための規範
12.4 ログ取得及び監視
目的 イベントを記録し,証拠を作成するため。
12.4.1 イベントログ取得 管理策 利用者の活動,例外処理,過失及び情報セキュリティ事象を記録したイベントログを取得し,保持し,定期的にレビューすることが望ましい。
関連がある場合は,次の事項をイベントログに含めることが望ましい。
a) 利用者ID
b) システムの動作
c) 主要なイベントの日時及び内容(例えば,ログオン,ログオフ)
d) 装置のID又は所在地(可能な場合),及びシステムの識別子
e) システムへのアクセスの,成功及び失敗した試みの記録
f) データ及び他の資源へのアクセスの,成功及び失敗した試みの記録
g) システム構成の変更
h) 特権の利用
i) システムユーティリティ及びアプリケーションの利用
j) アクセスされたファイル及びアクセスの種類
k) ネットワークアドレス及びプロトコル
l) アクセス制御システムが発した警報
m) 保護システム(例えば,ウィルス対策システム,侵入検知システム)の作動及び停止
n) アプリケーションにおいて利用者が実行したトランザクションの記録
イベントログの取得は,システムのセキュリティについて整理統合したレポート及び警告を生成する能力を備えた自動監視システムの基礎となる
~中略~
12.4.2 ログ情報の保護
管理策 ログ機能及びログ情報は,改ざん及び認可されていないアクセスから保護することが望ましい。
実施の手引 管理策は,次の事項を含むログ取得機能を用いて,ログ情報の認可されていない変更及び運用上の問題から保護することを目指すことが望ましい。
a) 記録されたメッセージ形式の変更
b) ログファイルの編集又は削除
c) イベント記録の不具合又は過去のイベント記録への上書きを引き起こす,ログファイル媒体の記録容量超過
~中略~
12.4.3 実務管理者及び運用担当者の作業ログ
管理策 システムの実務管理者及び運用担当者の作業は,記録し,そのログを保護し,定期的にレビューすることが望ましい。
実施の手引 特権を与えられた利用者のアカウントの保有者は,その直接の管理下で,情報処理施設に関するログを操作することが可能な場合がある。したがって,特権を与えられた利用者に関する責任追跡性を維持するために,ログを保護及びレビューする必要がある。
12.4.4 クロックの同期
管理策 組織又はセキュリティ領域内の関連する全ての情報処理システムのクロックは,単一の参照時刻源と同期させることが望ましい。
実施の手引 時刻の表示,同期及び正確さに関する外部及び内部の要求事項は,文書化することが望ましい。
このような要求事項は,法的,規制及び契約上の要求事項,標準類の順守,又は内部監視に関する要求事項であり得る。組織内で用いるための基準となる時刻源を定めることが望ましい。
基準となる時刻源を外部から取得するための組織の取組み及び内部のクロックを確実に同期させる方法を文書化し,実施することが望ましい。
関連情報 コンピュータ内のクロックの正しい設定は,監査ログの正確さを確実にするために重要である。
監査ログは,調査のために又は法令若しくは懲戒が関わる場合の証拠として必要となる場合がある。
不正確な監査ログは,そのような調査を妨げ,また,証拠の信頼性を損なう場合がある。時刻の国家標準に基づく時報と同期したクロックは,記録システムのマスタクロックとして利用することができる。時刻同期プロトコル(Network time protocol: NTP)は,全てのサーバをマスタクロックに同期させておくために利用することができる