情報セキュリティー対策や内部統制の重要性が叫ばれるなか、多くの企業でサーバ内の操作ログの取得に力を入れ始めています。
中でもUNIX/Linuxサーバでは、操作ログ取得方法が大きく「カーネルフック型」と「シェルフック型」の二つあります。
さて、これらはどんな特徴があるのでしょうか。

目次

1. 「カーネルフック型」と「シェルフック型」とは
2. 「カーネルフック型」と「シェルフック型」のメリット・デメリット
3. けん制効果を高め不正・改ざんを防止するには？

---

1. 「カーネルフック型」と「シェルフック型」とは

Unix/Linuxサーバのログ取得方式は、カーネルフック型とシェルフック型に大別することができます。
まず、それらの概要を見ていきましょう。

OSの稼働を全て記録する「カーネルフック型」

まずは「カーネルフック型」です。
カーネルフック型は、コンピューター内部における全ての稼働プロセスを取得します。
「カーネル」とは、ソフトウエアの中心部として最もハードウエアと密接に関わり、アプリケーションやシェルなどから命令を受けて、CPUやメモリ、ディスクなどのハードウエアを直接コントロールしている部分です。
カーネルフック型では、カーネルを常に監視しログを取得し続けます。したがって、サーバが起動していればログ取得され続けます。

サーバ操作に利用するシェルをフックする「シェルフック型」

2. 「カーネルフック型」と「シェルフック型」のメリット・デメリット点

以上のように、それぞれフックする位置が異なりますので、メリット・デメリットが異なります。

	メリット	デメリット
カーネルフック型	全てのプロセスの稼働が記録できる	サーバに負荷がかかる ユーザー操作が分からない ログ容量が膨大になりがち
シェルフック型	ユーザー操作のみログ取得できる サーバへの負荷がほぼない 操作が分かりやすく詳細に取得できる	アプリケーションの記録が取得できない

「カーネルフック型」の一番のメリットは、アプリケーションの稼働ログが取得できる点であり、「シェルフック型」ではユーザー操作に特化してログ取得ができる点であると捉えられます。

3. けん制効果を高め不正・改ざんを防止するには？

一方「シェルフック型」では、ユーザーのログインがない限り稼働しないため、OSやアプリケーションの挙動はつかめません。しかし、「誰が、いつ、何をしたのか」を詳細に記録できるため、社内におけるけん制効果を働かせることが可能です。

また、「カーネルフック型」では、ログの内容がプロセス名と稼働有無の範囲に留まる上に、大量にログが蓄積されるため、サーバの安定稼働を揺るがす危険性があります。
シェルフック型は比較的安定しているため、安心して導入することができます。
何を対象に、何を向上させたいのか。導入後の管理を含め、十分に検討し、より長く活用できる製品の選択をするとよいでしょう。

WEEDSでは、「シェルフック型」を採用してUNIX/Linuxのサーバ操作記録を取得する「WEEDS UNIX-Trace」を自社開発しております。詳しくはそちらのページをご覧ください。

WEEDS Traceでは「UNIX/Linuxサーバ」だけでなく、Windowsサーバ/クライアントやデータベースに対応した製品もご用意しております。サーバやデータベース周りで課題やお悩みがございましたら、お気軽にご相談ください。