ログとは何のためのログで、何を実証できるのか？が大切でログ取得計画なんてのも必要と思います。

何にせよ、ログを取得するにはすべてのデバイスで時刻の同期が必要です。これ本当にしていないと苦労します・・・

ログ管理において、管理職などの権限のあるユーザーが承認した履歴があることで、従業員の操作が正しく行われたということが実証できます。しかし、上位の管理者の業務の実施状況については、本当にその管理者がその行為を実施したのかという証拠を示すことができません。

IDの共用は厳しいなぁ。まぁIPからある程度は特定できますが、共用している時点で本当にだれがやったかは確定できないですよね。

これいいなぁ。取得するログと意味がある程度あるので、上司に説明もしやすいし

米国商務省国立標準技術研究所（NIST）が2006年9月に発行した「SP800-92」が参考になります。

　この参考文献において、コンピュータセキュリティログは、基本としてどのようなアプリケーションから収集するのかというのが、以下のように明示されています。

* セキュリティソフトウェア
o アンチウイルス・アンチマルウェアソフトウェア
o IDS・IPSシステム
o リモートアクセスソフトウェア
o Webプロキシ
o 脆弱性管理ソフトウェア
o 認証サーバ
o ルータ
o ファイアウォール
o ネットワーク検閲サーバ
* オペレーティング・システム（OS）
o システムイベント
o 監査ログ
* アプリケーション
o クライアントリクエストおよびサーバレスポンス
o アカウント情報
o 使用情報（使用時間、電子メールのメッセージの大きさ、転送ファイルの大きさなど）
o 重要な運用上の操作（スタート、シャットダウン、アプリケーションの設定の変更など）

　そして、これらのログを管理するために「ログ管理基盤」を確立する必要があります。この「ログ管理基盤」は、以下の3つの段階から形成されています。

こういうのを作ると、本当に楽ですね。影響度なり重要度なんてほかの基準で定義されてますしね。

ログ取得のための設定については、サンプルとして、以下のように分類されています。

分類	影響度「低」のシステム	影響度「中」のシステム	影響度「高」のシステム
ログの保管期間	１〜2週間	1〜3カ月	3〜12カ月
ログのローテーション	任意（もし実施するのであれば、毎週、あるいは25Mbytesごと）	6〜24時間ごと、あるいは、2〜5Mbytesごと	15〜60分ごと、あるいは、0.5〜1Mbytesごと
ログを転送する頻度	3〜24時間ごと	15〜60分ごと	少なくとも、5分ごと
ログ分析の頻度	1〜7日ごと	12〜24時間ごと	少なくとも、1日に6回
ログファイルのインテグリティチェック	任意	実施する	実施する
ログの暗号化	任意	任意	実施する
ログ転送時の暗号化	任意	実現可能な場合、実施する	実施する