稼働ログ「20260206_SecurityLog」から確認できるセキュリティ上の懸念点を以下に提案します。
ログにはIPアドレス情報が含まれていないため、マスク処理は行っていません。
検出されたセキュリティ上の懸念点
-
監視対象期間内のログイン履歴の欠如
last -R -s yesterday -t todayの結果、wtmpの開始日時(2026年1月12日 22:00:01)のみが表示されており、昨日から本日までの明確なユーザーログイン履歴を確認できません。- 懸念点: ログインが行われていない可能性もありますが、ログローテーションや設定不備、あるいは不正なログイン試行・成功がログに残らない状態になっている可能性があります。ログイン監視が適切に行われているか確認が必要です。
-
警告ログおよびSSHログの沈黙
journalctlを用いた警告レベルのシステムログおよびSSH関連のログの検索結果が、どちらも「-- No entries --」(エントリなし)となっています。- 懸念点: 警告がないことは一見良好ですが、SSHサービスが動作しているにもかかわらずSSH関連のログが全くない場合、外部からの不正なアクセス試行や内部での認証失敗などの痕跡が残らない設定になっている可能性があります。SSHのアクセスログ出力設定(認証失敗の記録など)を確認し、適切なログレベルで収集されているか検証すべきです。
-
短時間におけるCPU利用率の変動
sarのログによると、2026年2月6日の8:30:08 AMと3:20:08 PMの2回、CPU利用率(%userと%systemの合計)が他の時間帯(約2.7%)と比較してわずかに上昇し、アイドル時間(%idle)が96.71%に低下しています。- 懸念点: サーバーは全体的に低負荷(平均アイドル時間 97.27%)ですが、この時間帯に短時間で負荷を生じさせているプロセスの特定と確認が必要です。これが定期的な正規のバックアップやバッチ処理であれば問題ありませんが、悪意のあるプログラムによる一時的な活動ではないことを確認する必要があります。