ログの取りすぎもまた問題 セキュリティのこと

仕事で扱っているシステムでのこと
近年はセキュリティ対策(対応)が重要さを増してきているのでアクセス権限を適切にするとともにアクセスログ、セキュリティログ等の保存も必要となってきている。
かといって古くからあるサーバに対してある日突然「ログ取るか」と設定してもマシンパワーが足りないし(ログ取得には意外とマシンパワーが必要だ)、ログを保存するエリアがなかったり(毎日何千人もアクセスされるとログだけで大変なサイズになる。全領域10Gのシステムだとつらい)...なかなか難しい。
先日vmwareで仮想化されたサーバにはできうる限りのログ取得設定を行った。SQLServerが実行する全SQLログを取得したりもした。
ところが蓋を開けてみたらログがでかすぎてログを見ることができない。
なんせログは20MBのテキストファイル、コレをリモートから見るのはつらい。
SQLServerの管理ツールでログをクリックすると...反応無し...沈黙しました!(汗)
幸いシステム稼動には問題がなかったけれど、ログの閲覧ができなくなってしまったので仕方なくサーバへログインしてログ閲覧することに...

なんでログをファイル共有で取り寄せないんだって?
だってアクセス権限を固めたからファイル共有全部OFFにしたんですよ!

そんなわけでサーバへログインしてログを...どこか一時ファイルサーバへコピーして...といってもそんな都合がいいサーバはない!!
ローカル権限でアクセスしているので共用ファイルサーバへアクセスできないしメールももちろん使えない。
というわけで仕方ないからサーバでログを見ることに...。

ところがログには
...がアクセスしてきました
...がアクセスしてきました
...がアクセスしてきました
...がアクセスしてきました
...がアクセスしてきました
という英文メッセージが大量に出力されていてエラーや警告が発生しているのかわかりません。
99.99%の正常系メッセージに0.01%のエラーや警告が紛れてしまっているんです。
これってセキュリティ上望ましいのでしょうか?

何のためにセキュリティ対策を行っているのかというと、サーバを適切に保つためです。そのためにはログの「適切な利用」が欠かせません。
猫も杓子もセキュリティ対策(対応)だといってあっちこっちでアクセスログを取得しまくってるようですが、ちゃんと見られるんでしょうか?
お役所仕事的に「取ることが重要」になっている風潮があります。

しかし私が担当しているものはそれほど大規模ではないにも関わらず、ほとんどログを利用することができなくなってしまいました。
ログを取るのとログを取らないのと、どちらを選択すべきなのか難しいですが
不正アクセスの痕跡を追跡できるようにするのと、システムエラーをきちんと把握できるようにするのとどちらが大切か議論し結論を出しておけば「ログ取得やめようか...」となりますよね。
「利用できないログ」から不正アクセスの痕跡なんて発見できませんもの。