この記事を書いた人
高岡智則
年齢:33歳 性別:男性 職業:Webディレクター(兼ライティング・SNS運用担当) 居住地:東京都杉並区・永福町の1LDKマンション 出身地:神奈川県川崎市 身長:176cm 体系:細身〜普通(最近ちょっとお腹が気になる) 血液型:A型 誕生日:1992年11月20日 最終学歴:明治大学・情報コミュニケーション学部卒 通勤:京王井の頭線で渋谷まで(通勤20分) 家族構成:一人暮らし、実家には両親と2歳下の妹 恋愛事情:独身。彼女は2年いない(本人は「忙しいだけ」と言い張る)
auth.logとは何か
auth.logは Linux や Unix 系のシステムで認証に関するイベントを記録する重要なログファイルです。ユーザーのログイン試行や sudo の実行、SSH 接続の試行などが含まれ、誰がいつどのような操作をしたのかを追跡する手がかりになります。
場所と役割
多くのディストリビューションでは /var/log/auth.log に保存されます。Red Hat 系では /var/log/secure が同様の情報源です。ログには日付やホスト名、サービス名、実際のメッセージが並び、問題の原因を特定する手掛かりになります。
実際の例と読み方
以下のような1行が記録として現れます。
| 説明 | 例 | |
|---|---|---|
| 日付 | イベントが発生した時刻 | Jan 12 09:24:01 |
| ホスト | 機器の名前 | server01 |
| サービス | 発生元のプログラム | sshd[1234] |
| メッセージ | 実際の内容 | Failed password for invalid user admin from 1.2.3.4 |
基本的な読み方のコツ
新しいログは末尾に追加されます。tail -n 50 /var/log/auth.log のように直近の50行を見るのが手早いです。リアルタイム監視には tail -f を活用します。
特定の情報を探すには
特定の文字列を探すには grep を使います。例として <span>grep "Accepted password" /var/log/auth.log は SSH での成功ログを絞り込みます。別の例として grep "Failed password" /var/log/auth.log は不正アクセスの試行を拾います。
対策と運用のポイント
ログを見て気づいたら対策を取るのが大事です。代表的な対策は以下のとおりです。
| 対策 | 内容 | 例 |
| SSH設定 | パスワード認証を無効化し鍵認証を使う | PermitRootLogin no |
| 不審なアクセスの遮断 | ファイアウォールや fail2ban で IP をブロック | fail2ban で sshd を監視 |
| ログの保護 | 適切な権限とローテーション設定 | chmod 600 /var/log/auth.log |
実務での活用のヒント
日常的には1日1回の簡易チェックと週1回の詳細チェックを習慣づけると良いです。異常な頻度のログイン試行や不明なアカウント名を見つけたら直ちに原因を調べましょう。
よくあるエントリと意味
例えば Accepted password は成功のログ、Failed password は失敗のログ、Invalid user は存在しないユーザー名の試行です。内部的には PAM や SSHd の動作を示します。
まとめ
auth.logを読むことはサーバー運用の基本です。適切な監視と対策を組み合わせることで不正アクセスを早期に発見・対応できます。初めは難しく感じても、手順を覚えれば自分の環境を守る強力な道具になります。
auth.logの同意語
- 認証ログ
- 認証に関するイベントを記録したログの最も基本的な名称。例:ログイン、認証成功・失敗、権限昇格の試行などを時系列で保存します。
- 認証関連ログ
- 認証に関するイベント全般を含むログの総称。認証の結果や手続きの情報をまとめて記録します。
- 認証イベントログ
- 認証イベント(認証の試行・成功・失敗など)を個別に記録したログ。後から監査やトラブルシューティングに用います。
- 認証記録
- 認証に関する履歴データ全体を指す表現。誰がいつ何を認証したかの履歴を含みます。
- ログイン試行ログ
- ユーザーが行ったログインの試行を集約したログ。成功・失敗・連続試行などを追跡します。
- ログイン試行記録
- ログインを試みた履歴の記録。認証の成否や回数を確認するのに役立ちます。
- 認証ログファイル
- 認証関連のログを格納するファイル。多くのシステムで auth.log の形で保存されます。
- 認証関連ファイル
- 認証イベントを記録するファイル群の総称。認証ログを格納するファイルやデータの集合を指します。
- セキュリティ認証ログ
- セキュリティの観点から認証に関するイベントを集約したログ。監査用途に使われます。
- 認証監査ログ
- 認証イベントを監査する目的で記録されるログ。誰がいつどの手段で認証したかを追跡します。
- PAMログ
- PAM(Pluggable Authentication Modules)を通じて発生した認証イベントを示すログ。認証モジュールの動作を含みます。
- 認証イベントデータ
- 認証イベントの個別データ。イベントの種類・時間・ユーザー・結果などの情報を含みます。
auth.logの対義語・反対語
- 非認証ログ
- auth.logの対義語として、認証イベントを記録しない、あるいは認証情報を含まないログのこと。認証に関する情報を中心に記録するauth.logとは性質が逆になるイメージです。
- 認証記録なしログ
- 認証イベントの記録を一切行わないログ。auth.logが認証イベントを追跡するのに対して、その逆を指す表現です。
- 匿名ログ
- 個々のユーザーを特定できる認証情報を紐づけず、匿名のままイベントを記録するログ。認証番号・ユーザー名などの情報を含めない点が特徴。
- 未認証イベントログ
- 認証済みイベントとは反対に、認証イベント以外のイベントのみを集めたログ。認証の記録を主眼とするauth.logと対照的。
- 認証なしのログ
- 認証に関する情報を含まない、あるいは認証イベントを記録しないログ。直感的な対義語として使われることがあります。
- 匿名化ログ
- 個人を特定できるデータを削除・マスキングしたログ。認証情報を直接結びつけない前提の対義として捉えることができます。
auth.logの共起語
- SSH
- リモート接続を行う代表的なプロトコルの略称。auth.log には sshd の接続試行や認証結果が記録されます。
- SSHD
- SSHサーバーの実体。sshd が受信・処理した接続と認証のイベントが auth.log に出力されます。
- PAM
- Pluggable Authentication Modules の略。認証処理の中核ライブラリで、auth.log には PAM のイベントが現れます。
- pam_unix
- PAM の Unix 認証モジュール。sshd や login などの認証イベントで出力されるメッセージの主な出典です。
- sudo
- sudo コマンドの認証イベント。認証の成否が auth.log に記録されます。
- su
- su コマンドの認証イベント。ログイン時の PAM ログが記録されます。
- login
- ローカルログインを扱うプログラム。認証イベントが auth.log に現れることがあります。
- authentication
- 認証そのものの概念。誰が誰をどう認証したかを示す語。
- authentication failure
- 認証が失敗したことを示すログ表現。原因はパスワードやユーザ名の誤りなど。
- accepted password
- パスワード認証が成功したことを示す表現。ログに記録されます。
- failed password
- パスワード認証が失敗したことを示す表現。
- invalid user
- 存在しないユーザー名での認証試行を示します。
- root
- root ユーザー。root への認証試行と結果が記録されます。
- user
- 個々のユーザー名。認証イベントの対象として表示されます。
- session opened
- 新しい認証セッションが開始されたことを意味します。
- session closed
- 認証セッションが終了したことを意味します。
- /var/log/auth.log
- 認証関連イベントを保存する主要なログファイルのパス。
- /var/log/syslog
- システム全体のログを集約するファイル。auth.log の内容が転送・併録されることがあります。
- rsyslog
- ログを収集・保存するデーモン。auth.log の生成・配布に関与します。
- syslog
- UNIX 系の標準的なログシステム。認証イベントが出力されることがあります。
- systemd
- 現代 Linux の init/サービス管理システム。認証イベントの監視やジャーナルの管理に関わります。
- journalctl
- systemd が管理するジャーナルを閲覧するコマンド。認証イベントを確認するのによく使われます。
- 2FA
- Two-factor authentication の略。追加の認証要素として認証イベントに関連します。
- MFA
- Multi-factor authentication の略。複数要素での認証を指します。
- publickey
- 公開鍵を用いる認証方法。SSH の鍵認証など、auth.log で関連メッセージが出ます。
- authorized_keys
- 公開鍵を登録するファイル。鍵認証が有効な場合の関連情報がログに現れます。
- password authentication
- パスワードによる認証の方法。ログにはこの方法の使用が記録されます。
- publickey authentication
- 公開鍵を使った認証の方法。ログにはその使用が記録されます。
- auditd
- Linux の監査デーモン。認証イベントを追加で記録・監視する用途で関連します。
- security
- セキュリティ関連の概念・用語。認証イベントはセキュリティの重要な要素です。
auth.logの関連用語
- auth.log
- Linux 系の認証イベントを記録するログファイル。主に Debian/Ubuntu 系で使用され、SSH 認証、sudo、su、login、PAM などのイベントが含まれます。
- /var/log/auth.log
- auth.log の実際のファイルパス。同様に認証イベントを記録します。
- rsyslog
- ロギングデーモンの一つ。認証イベントを含むさまざまなログを収集し /var/log に保存します。
- systemd-journald
- systemd のジャーナルデーモンで、バイナリ形式のログを蓄積し journalctl で検索・閲覧できます。認証イベントも含みます。
- PAM
- Pluggable Authentication Modules の略。認証機能を拡張する枠組みで、/etc/pam.d 配下の設定で動作します。
- pam_unix.so
- UNIX 系の認証を提供する PAM モジュール。パスワード認証の代表的な実装です。
- pam_faillock.so
- 連続した認証失敗を検出しアカウントを一定期間ロックする PAM のモジュールです。
- pam_krb5.so
- Kerberos 認証を PAM 経由で利用するモジュールです。
- pam_ldap.so
- LDAP 認証を PAM 経由で利用するモジュールです。
- sshd
- SSH サービスのデーモン。公開鍵認証やパスワード認証を処理し、認証関連のログは通常 auth.log に出力されます。
- sudo
- 特権コマンドの実行を許可するツール。認証と実行を auth.log に記録します。
- su
- 別ユーザーへ切替えるコマンド。認証イベントを auth.log に記録します。
- login
- Linux のログインプログラム。セッションの開始と終了を記録します。
- gdm
- GNOME Display Manager などのディスプレイマネージャ。GUI ログイン時の認証を扱います。
- /etc/pam.d
- PAM の設定ファイルが格納されるディレクトリ。サービスごとに認証スタックを定義します。
- /etc/ssh/sshd_config
- SSH サービスの挙動を決める設定ファイル。認証方式の指定などを行います。
- /var/log/secure
- Red Hat 系で認証関連ログを格納するファイル。auth.log に相当する情報が含まれます。
- fail2ban
- 認証失敗を検知して IP を一時的に遮断するセキュリティツール。auth.log を監視します。
- logrotate
- ログファイルの回転・圧縮・削除を自動管理する仕組み。auth.log の容量対策にも使われます。
- auditd
- Linux の監査デーモン。監査イベントを /var/log/audit/audit.log に記録します。認証イベントも含まれることがあります。
- audit.log
- auditd が出力するログファイル。認証イベントのほか、セキュリティ関連の監査情報を含みます。
- Kerberos
- ネットワーク認証プロトコル。GSSAPI の実装を含み、PAM 経由で利用されることがあります。
- publickey authentication
- SSH の公開鍵認証。秘密鍵と公開鍵の組み合わせで認証を行います。auth.log には Accepted publickey for ... のような行が現れます。
- password authentication
- パスワードを用いた認証。auth.log には Accepted password for ... のような行が現れます。
- 2FA
- Two-factor authentication の略。追加の認証要素を要求する認証方式で、PAM や SSH の設定で導入されます。
- U2F
- ハードウェアセキュリティキーを用いた二要素認証の一種。PAM モジュールで統合されることがあります。
- keyboard-interactive
- 対話型認証方式の一つ。パスワードや OTP などを対話的に要求します。
- authorized_keys
- ~/.ssh/authorized_keys ファイル。公開鍵を登録して公開鍵認証を許可します。
- authorized_keys2
- 公開鍵認証で古い名称だったファイル。現在は使用されることが少ないです。
- Accepted password for
- SSH ログなどで認証成功を示すメッセージの代表例。ユーザー名と IP の情報と共に表示されます。
- Failed password for
- 認証失敗を示す代表的なログ行。試行回数や IP アドレスが記録されます。
- Session opened
- 新しい認証セッションが開始されたことを示すログ行です。SSH やその他の認証セッションに表示されます。
- Session closed
- 認証セッションが終了したことを示すログ行です。
auth.logのおすすめ参考サイト
- var/log/auth.logがない話 #初心者 - Qiita
- 認証ログ管理の目的と必要性とは? - 0から始めるセキュリティ
- アクセスログとは?取得する目的や分析時のポイントを解説
- Linuxログ管理の基本:/var/logの主要ログファイルと見方
- Linuxによるセキュリティ入門(4) ― ログの管理(syslog基本編)
インターネット・コンピュータの人気記事
15336viws
2473viws
1106viws
1087viws
976viws
930viws
889viws
878viws
821viws
820viws
748viws
736viws
640viws
637viws
626viws
569viws
558viws
531viws
530viws
494viws