サーバーのアクセスログを完全に取得をする手段は？

**ログ取得の製品は、製品都合が発生しますので。
採用する製品や手法により、必ずその製品の都合が発生してしまいます。サーバに対する負荷についても、製品により差が大きく出てきます。もし検討が可能であれば、手法の検討は最後して、ぞの前提となる項目を検討していくことが重要です。

**目的と内容と運用を。
「内部統制」といっても、一本化された厳密なルールがあるわけではなく、お客様個々の状況により、当然その捉え方や目的は変わります。

・取得する目的の明確化
「メールの送受信ログはすべて取る」「ログイン、ログアウト履歴だけとる」など、例としては簡単に書いてしまいましたが、ログ取得の目的を明確する必要があります。

・目的にそったログ設計の検討
その目的に応じて必要となるログは何なのか?を具体化と設計が必要です。この時点で、既存のファイルサーバの方法そのものを変更する可能性すらあるかも知れません。

・ログ設計に対応できる手法製品の検討
そして、設計におうじて採用できる製品や手法の検討です。実例として、製品やOSの機能ではカバーできず、アプリケーションを作った例もあります。逆に、単にフルバックアップで済んでいる例もあります。

・運用方法や課題事項の検討
最後の取得方法が決まったその運用と課題事項です。保存はどこにいつまで行うのか。領域は足りるのか。取得にかかる時間は問題ないのか。コスト面の課題から、割愛した要件をどうしていくのか。などを最後につめていくことも重要です。

実際の環境がわかりませんでしたので、おおまかな例ですが、製品から検討に入ると結果として非効率になるケースがありますので、留意ください。

UNIXのファイルサーバを20万円程度で・・とありますので、FreeBSD や Linux などの PC-Unix に samba を導入して構築されたのかと思います。

samba で構築されているのであれば、ログレベルの設定によってある程度の情報を記録できます。
現在のサーバスペックによりますが、ログ出力でマシンパワーを要するのは、ディスクとのアクセスになります。高速に読み書きできるディスクにログ保存できるのであれば、アクセスするユーザー数が多くなければ、レスポンス低下は大きくないはずです。

なお、sambaでコントロールしていない情報が必用な場合は、ログ取得方法を変えなければなりません。

その場合、クライアントにエージェントソフトを導入する手法が最も簡単な方法と思いますが、商用ソフトが必用となるケースが大半と思いますので、コストに折り合いがつくか?が問題になるえでしょう。

ネットワークキャプチャ方式の場合、サーバへのレスポンス低下は防ぐことができます。
しかし、ポートミラーリングハブは、製品によっては、全てのパケットをミラーリングできるとは限りませんので、ステルス型のマシンをネットワークの間に挟み、キャプチャする方が確実です。
この場合、中継マシンにかかるコスト、キャプチャデータの解析ソフトのコスト等は、サーバ構築費用以上になってくるのでは?と考えます。

また、様々な詳細データを記録するのであれば、アクセスログの容量は膨大になりますから、ログ保管用のディスクも、かなり大きな物が必用となります。
ログの保管期間によっても、データの容量は大きく異なります。

以上、一般論として、推測を元にしたコメントです。
もう少し情報を頂戴できれば、より具体的なご回答ができるかと思います。


ご参考になれば幸いです。


集客につながるホームページ
ネットとセキュリティ〜ウィジット株式会社
岡本興一