提供された稼働ログから確認できるセキュリティ上の懸念点について、以下の通り提案します。
まず、確認されたログの範囲内では、明確なシステム異常や不正アクセスを示す直接的な兆候は見られませんでした。
確認された懸念点
-
セキュリティ監査情報が限定的である 提供されたログ(
last,journalctl -u ssh,journalctl -p warning)の出力結果は、いずれも「エントリなし」または「具体的なアクティビティログなし」となっています。- SSHログの不在: SSHデーモンのログにエントリがないため、ブルートフォース攻撃の試行や不正なログイン試行がなかったと判断できますが、これはログの監視設定が適切であるかどうかの検証も必要です。
- ログイン履歴の欠落:
lastコマンドの結果には、指定された期間(昨日から今日)の具体的なログイン・ログアウトの履歴やユーザー情報が含まれていません。これにより、対象期間中のユーザーによる不審な活動を確認できません。
-
IPアドレス情報の不足 ユーザーからの指示ではIPアドレスの下2つの数字をマスクするよう依頼がありましたが、提供されたログデータにはアクセス元IPアドレス自体が含まれていません。そのため、アクセス元を特定するための十分な情報がなく、マスク処理も実行できません。より包括的なセキュリティ監視のためには、アクセス元のIPアドレスが記録されるWebサーバーのアクセスログやファイアウォールログなどを確認する必要があります。
システムリソースの状況
システムリソースの観点からは、特に異常は見られません。
- CPU負荷: CPUアイドル率は全時間帯で約97%前後と非常に高い水準を維持しており、異常な高負荷や隠れた不正プロセスによるリソース消費は示唆されていません。
- ディスク使用率: ルートパーティション(
/dev/v***)の使用率は24%であり、ディスク容量の逼迫による問題はありません。 - I/O待機: I/O待機時間(
%iowait)も非常に低い(最大0.05%)ため、I/Oボトルネックの懸念もありません。