ログファイルモニタリングの推奨事項

システムログとアプリケーションログをモニタして、ユーザ、システム、およびアプリケーション動作に関する詳細な情報を取得することができます。

以下の表に、モニタできるログファイル、およびセキュリティ、デバイスエラー、システム容量、Windows セキュリティ、アプリケーションとシステムをモニタするために検索できる正規表現の推奨事項を記載します。

説明	モニタするログファイル	正規表現
WARNING - daemon core	/var/log/daemon-log	core dumped
WARNING - daemon core	/var/log/syslog	core dumped
Monitor SU attempts	/var/adm/messages	su.*fail
Monitor rlogins	/var/log/syslog	in.rlogin
Monitor telnets	/var/log/syslog	in.telnet
Monitor rsh	/var/log/syslog	in.rsh
WARNING - Illegal Instruction, Daemon	/var/log/daemon-log	.llegal.nstruction
Spam Relay Attempt	/var/log/syslog	Relaying denied
Monitor DENY packets from a Linux firewall	/var/log/messages	DENY

注：このセクションに記載したログファイルは、すべてのオペレーティングシステムに対して同じではありません。これらの例は参考までに示したものです。オペレーティングシステムに合わせて変更してください。

以下の表に、デバイスエラーをモニタするために、syslog （/var/adm/messages）内で検索できる正規表現の推奨事項を記載します。

説明	正規表現
Critical: Badtrap Error	.BAD TRAP.
Error: SCSI error	.SCSI.[E,e]rror.*
Error: SCSI error	.SCSI.failed.*
Error: SCSI error	.SCSI.hung.*
Critical: badsimms error	.SIMM.
Critical: badsimms error	.BAD.SIMM.*
Critical: memory error	.[M,m]emory [E,e]rror.
Error: disk error	.disk not responding.
Error: disk error	.[D,d]isk.[E,e]rror.*
'Warning: disk fragmentation error'	.optimization changed.
Error: disk error	.corrupt label.
Error: I/O error	.I/O.[E,e]rror.*
Error: disk read/write errors	.Error for Command:.[read,write].*
Error: media error	.Media Error.
Info: serialport error	.zs[0,1,2]: silo overflow.
Warning: carrier error	.no carrier.
Warning: link is down	.Link Down - cable problem?.
Error: SDS error	.[NOTICE,WARNING,PANIC]: md:.

以下の表に、システム容量をモニタするために、/var/adm/messages 内で検索できる正規表現の推奨事項を記載します。

以下の表に、Windows セキュリティをモニタするために Windows イベントログ内でモニタできるログと表現の推奨事項を記載します。

説明	イベントログ	セキュリティタイプ	正規表現
Random Password Hack	セキュリティ	すべて	.*bad
Misuse of Privileges	セキュリティ	すべて	.*[user rights,group management,security change, restart,shutdown]
Improper File Access	セキュリティ	障害	.*[read,write]
Improper Printer Access	セキュリティ	障害	.*print
Virus Outbreak Warning: program files updated	セキュリティ	すべて	.write.[exe,dll,com]
Security Policies Change	アプリケーション	情報	.*[S,s]ecurity policy

以下の表に、アプリケーションとシステムをモニタするために Windows イベントログ内でモニタできるログと表現の推奨事項を記載します。

説明	イベントログ	セキュリティタイプ	正規表現
Application Error or Failure	アプリケーション	すべて	.[F,f]ail\|.[E,e]rror
Application Load Problems	アプリケーション	すべて	.[L,l]oad.[P,p]roblem
New Software Installed	アプリケーション	すべて	.*[INSTALL,Install,install]
Server Process failed during Initialization	アプリケーション	すべて	.*4131
Disk Failures and errors	すべて	すべて	.*[D,d]isk
Network Adapter Errors	すべて	エラー	.*[N,n]etwork [A,a]dapter