こんにちは。 「不正アクセスを防止する」観点から申しますと、ログを定期的に見て不正アクセスをチェックする手法は、 気付いた時には手遅れである事がほとんどですので、あまり現実的では無いと思われます。 また、不正アクセスにより管理者権限が奪取された場合、侵入の痕跡に当たる部分だけをアクセスログから 削除される等、ログの改ざんもあるので、ログのみを信用するのは非常に危険です。 とは言いながら、日頃ログをこまめにチェックし、不正な兆候を事前に発見する事自体は非常に重要ですが。 ログから見られる不正な兆候には、例えば以下のようなものがあります。 ・存在しない不自然なファイル名へのアクセス 例えば、以下はIISの脆弱性を衝いて感染する、CODE REDの攻撃の試みが残すアクセスログです。 GET default.ida?XXXXXXXXXXXXXX（中略）XXXXXXXXXXX%u9090%（中略）u0000%u00=a 同様に、「../../../../」が連続するアクセスや、「/system32/cmd.exe」へのアクセスもIISやwindowsの 脆弱性を狙ったものである可能性が非常に高いです。 ・同一アクセス元からの、非常に短時間でのあまりにも大量のアクセス また、アクセスログだけでなく、OS自体のシステムログにも気を配る必要があります。 先にも述べましたように、不正アクセスを防止するためには、アクセスログ以外にも多くの点に気を配る事 が必要です。 主なものを以下に列挙します。 ・ファイアウォールでの、最低限必要なサービス以外へのアクセス制限。 ・不要なサービスの停止、適切なアクセス制限と言ったサーバの要塞化。 ・公開するアプリケーションの、セキュアなプログラミング。 ・OSやWebサーバ等の、こまめなパッチ適用と情報収集。 特にWindows＋IISの組み合わせは、非常に多くの脆弱性が発見されています。先述のNimdaのようにパッチ 未適用の場合、アクセスされただけで感染するようなウイルスもあります。他のOSやWebサーバ以上に、 慎重な運用が必要です。 また、ログに不審なエントリが記入された際、メール等で自動通知を行うスクリプトを作成したり、IDSを 導入するなど、検知を極力自動化する事で不審なアクセスへの、より素早い対応が可能になります。