- 2009-03-27 (金) 15:48
- 記事
情報処理推進機構:情報セキュリティ:調査・研究報告書:情報セキュリティ技術動向調査(2008 年下期)
序 2008 年下期の技術動向 – 今日のセキュリティエンジニアリングの話題
1 セキュリティ機能の移行技術
2 DNSSEC技術動向
3 SYSLOG技術動向
4 セキュアOSの動向
5 テンポラリファイルの扱い
6 コンピュータウイルスの動向
7 ダークネット観測の技術動向と観測事例
8 IPsec関連技術の標準化動向
9 Resource PKIの動向
10 アイデンティティ管理技術の動向
3章のSYSLOGの扱いで、RFC 3195などで標準化がすすめられているということだが、実装面での適合はどうなっているのだろうか。
報告書では、syslogd 実装についてプロトコル上取りこぼしが多く、場合によっては99%のメッセージが失われることもあるとしている。UDP に起因するところもあるため、rsyslog, syslog-ng など TCP をサポートしている物であれば、十分ではないが、より欠落の頻度は少なくできると読める。つまりは、標準化は進んでいるものの実装と同期してはいない、de jure standard (規格上の標準)となるわけだ。
一方、syslog 自体は基本的に de facto standard (事実上の標準)で、大体の Unix あるいは POSIX 互換実装では機能としては同じものの、微妙に書式も違う。だから標準化活動の一部として、メッセージフォーマットの規定などがあるのだろうが、実装がどうなるか、有用な規格がきちんと普及するか。その点が疑問だ。
ぶっちゃけると、ネットワークプロトコルではよくある話だが de jure が de facto に無視されたまま入れないのではないか、という心配がある。HTTP Cookie なんて未だに Netscape 式とその独自拡張で、RFC で定められた Set-Cookie2 なんてどこでもつかっていやしない。
ついでに、Mac OS X では syslogd 自体が独自実装のようで、今迄のテキストファイル形式との互換性を取りつつも Asl.db というデータベースに情報を保存して検索できるようになっている。syslogd(8) を Mac OS X と FreeBSD で比べるとこんな感じ。
SYSLOGD(8) BSD System Manager's Manual SYSLOGD(8)
NAME
syslogd -- Apple System Log server
SYNOPSIS
syslogd [-d] [-D] [-m mark_interval] [-c log_cutoff] [-l lib_path]
[-db_max size] [-utmp_ttl time] [-fs_ttl time] [-dup_delay time]
[-module_name {0|1}]
SYSLOGD(8) FreeBSD System Manager's Manual SYSLOGD(8)
NAME
syslogd -- log systems messages
SYNOPSIS
syslogd [-468ACcdknosuv] [-a allowed_peer] [-b bind_address]
[-f config_file] [-l [mode:]path] [-m mark_interval]
[-P pid_file] [-p log_socket]
見事に面影ありませんな。syslog(1)を使うとDBから色々検索できるらしい。標準化したとして、このあたりやルータの中まできちんと波及してくれるのかな。特にログを飛ばしたいのはルータ関連なので、そのあたりに辛いプロトコルになったら、見事なまでに普及しない、あるいは機能として実装されても使えないものになりそうな気がしてしまう。
関連記事:
- Newer: 負けていることに気がつかないMS
- Older: Ruby Gems の罠