Linuxのサーバーを運用していると、ログの確認は非常に重要な作業のひとつです。とくにセキュリティ面で重要となるのが「認証ログ」です。ユーザーのログイン情報、不正なアクセスの試行、sudoコマンドの使用履歴など、重要な手がかりがすべて記録されているのが /var/log/auth.log ファイルです。この記事では、auth.log の場所や確認方法、読み方のポイント、活用の仕方までをわかりやすく解説します。Linux初心者の方から、日常的に管理を行うサーバー管理者の方まで役立つ内容を目指しています。
/var/log/auth.log は、Linuxで発生した「認証」に関する記録を保管しているログファイルです。Debian系(Ubuntuなど)のディストリビューションで使用されており、Red Hat系(RHEL、CentOSなど)では secure というファイルが同様の役割を果たします。
このファイルには、以下のような情報が含まれています。
つまり、システムに「誰が」「いつ」「どこから」「どうやって」アクセスしようとしたのかがわかるため、不正アクセスの調査やトラブルシューティングに不可欠なファイルです。
まず、認証ログを確認するにはコマンドラインで以下のコマンドを実行します。
sudo less /var/log/auth.log
less コマンドを使うことで、ログをスクロールしてじっくり確認することができます。リアルタイムで確認したい場合には、tail -f コマンドが便利です。
sudo tail -f /var/log/auth.log
特定のキーワードで検索したいときには、grep を組み合わせて使います。
sudo grep "Failed" /var/log/auth.log
これは、ログイン失敗のログを抽出する例です。他にも「Accepted」「sudo」「session opened」など、目的に応じて検索ワードを変更しましょう。
では、実際にログに出力される内容を具体的に見ていきましょう。
Mar 30 09:12:45 server-name sshd[12345]: Accepted password for user1 from 192.168.1.100 port 53422 ssh2
このログからは以下の情報が読み取れます。
user1 がログインに成功した192.168.1.10053422Mar 30 09:15:02 server-name sshd[12346]: Failed password for invalid user testuser from 192.168.1.200 port 42101 ssh2
このログは不正なログイン試行があったことを示しています。重要な点は「invalid user」となっていることで、存在しないユーザー名でアクセスを試みた痕跡です。不正アクセスの兆候と判断できます。
Mar 30 09:17:01 server-name sudo: user1 : TTY=pts/0 ; PWD=/home/user1 ; USER=root ; COMMAND=/bin/ls
このログからは、user1 が sudo を使って /bin/ls コマンドを root 権限で実行したことがわかります。
Mar 30 09:20:00 server-name sshd[12347]: pam_unix(sshd:session): session opened for user user1 by (uid=0)
Mar 30 09:25:10 server-name sshd[12347]: pam_unix(sshd:session): session closed for user user1
このように、セッションが開始された時間と終了した時間が明確に記録されています。誰がどれくらいログインしていたかを把握できます。
sudo grep "Accepted" /var/log/auth.log
sudo grep "Failed password" /var/log/auth.log
sudo grep "sudo" /var/log/auth.log
ログのファイルサイズが大きい場合、zcat コマンドで圧縮ログも確認可能です。
zcat /var/log/auth.log.*.gz | grep "Failed password"
Linuxでは、ログファイルが肥大化しないように「ログローテーション」という仕組みが導入されています。これにより、auth.log は一定期間ごとにバックアップされ、以下のようなファイル名で保存されます。
/var/log/auth.log.1
/var/log/auth.log.2.gz
.gz は圧縮されているファイルなので、zcat や zless で内容を確認しましょう。
zless /var/log/auth.log.2.gz
古いログを調査する際には、このように過去のファイルもチェックすることが重要です。
認証ログを見るとき、特に以下のような内容があれば注意が必要です。
これらが継続的に記録されている場合、ファイアウォールやfail2banなどの対策を検討する必要があります。
人の目で毎日ログを確認するのは現実的ではありません。そこで、以下のような手法が有効です。
logwatch を使ってメールでログサマリーを受け取るfail2ban を導入して不正アクセスを自動でブロックシステムの規模や用途に応じて、定期監視の仕組みを整えておくことでセキュリティリスクを大幅に減らすことができます。
/var/log/auth.log は、Linuxシステムにおける「認証」の動きをすべて記録している重要なログファイルです。正しく活用すれば、不正アクセスの兆候を早期に発見したり、トラブル時の原因追及に役立ったりします。今回ご紹介した確認方法や読み方のポイントを押さえ、日常的なサーバー管理に役立ててください。
認証ログは「システムの健康診断書」ともいえる存在。ときどきでいいので中身を見て、「何か変なことは起きていないか?」とチェックする習慣をつけることが、セキュリティの第一歩です。