■1.システムで取得するログ
ログ管理に関しては、過去問(H24SC秋午後Ⅰ問2)に良問がある。一度解いてみてほしい。
その中で、Bシステムで取得しているログが表にまとめられている。まあ、一例としてみてもらえばいいだろう。

表1 取得しているログ 
ログを取得するイベント取得する情報
ログイン成功 日付,時刻,機能番号(0001),端末ID,利用者ID,成功(1)
ログイン失敗日付,時刻,機能番号(0001),端末ID,ログインしようとした利用者ID,失敗(0)
ログアウト付,時刻,機能番号(0099),端末ID,利用者ID
ログインとログアウト以外の機能の利用成功日付,時刻,機能番号(1000~9999),端末ID,利用者ID,成功(1)
ログインとログアウト以外の機能の利用失敗日付,時刻,機能番号(1000~9999),端末ID,利用者ID,失敗(0)

この問題では、是非とも理解してほしい設問があった。その部分を抜粋する。
〔モニタリングの実施〕
Bシステムのモニタリング手順をまとめてから2週間後にツールが完成し,ツールによるモニタリングを開始した。D部長は、③モニタリングの実施を社内に通知するよう指示した。ただし,④モニタリング条件はセキュリティ上の懸念から開示しないよう指示した。

設問2 〔モニタリングの実施〕について,(1)~(4)に答えよ。
(1)本文中の下線③について,どのような効果があると考えられるか。20字以内で述べよ。
(2)本文中の下線④について,モニタリング条件の開示によるセキュリティ上の懸念とは何か。40字以内で述べよ。

試験センターの解答例は以下である。
設問2
 (1) 悪意ある行動を抑止する効果
 (2) モニタリング条件を回避するようにして悪意ある行動をとられること

■2.インターネット接続で取得するログ
インターネットに接続するログとしては、FWのログと、Proxyサーバのログを取ることが大事です。特にProxyサーバには、いつ,どのIPアドレスの端末が,どのサイトにアクセスしたかの記録が残ります。マルウェア感染にて不正サイトへ通信した際などの解析にも役立ちます。
Webサーバで取得できるアクセスログと同じと考えてください。
実際のログのイメージをつかんでもらうために,過去問(H30SC秋午後Ⅱ問2)の問題文にあるログを引用します。※利用者IDを追加しています。  
  

4:[04/Sep/2018:14:31:15+0900] "GET http://yyyy/dl/samplebun.zip HTTP/1.1" 200 89331 "http://zzzz/2018/ne/bunrei.html" "▲▲"

27:[08/Sep/2018:03:39:04+0900] "GET http://IPn/login/pro.php user1 HTTP/1.1" 200 563 "-" "▽▽"

28:[08/Sep/2018:03:39:04+0900] "POST http://IPn/admin/g.php user1 HTTP/1.1" 200 35618 "-" "▽▽"

   ↑日時      ↑メソッド↑アクセス先のURL↑利用者ID

 ここにありますように,Proxyのログには,通信日時以外に,アクセス先URLや利用者ID(認証した場合)などが記載されます。では、4行目の内容をもとに詳しく解説します。

4:[04/Sep/2018:14:31:15+0900] "GET http://yyyy/dl/samplebun.zip

        ❶       ❷       ❸

HTTP/1.1" 200 89331 "http://zzzz/2018/ne/bunrei.html""▲▲"

  ❹  ❺  ❻        ❼           ❽


このログの説明は,問題文の注記2に記載がありますが,補足解説をします。

❶日時:+0900は,世界の標準時刻GMT(実際にはUTC)と9時間のズレがあることを意味します。※GMT(Greenwich Mean Time)は,グリニッジ標準時,UTC(Coordinated universal time)は協定世界時。どちらも同じと考えてください。
❷リクエストのメソッド:正確に説明すると長くなりますが,ここでは単純な理解として,GETメソッドはデータを取得,POSTはデータを送信と考えてください。
❸リクエストのURL:接続するURLです。
❹リクエストのプロトコルとバージョン:HTTP/1.1HTTPのバージョンです。HTTP2.0もありますが,最も普及しているのはバージョン1.1です。
❺要求元PCに送信したレスポンスのHTTPステータスコード:HTTPのステータスコードで,200は通信が成功したことを意味します。 →なので、1行のログで、HTTPリクエストとレスポンスの2つのログを表示していることになります。


❻要求元PCに送信したレスポンスメッセージのサイズ:PCに送信した(=PCが受信した)データのバイト数です。今回の通信は89331バイトであることがわかります。
❼リクエストのRefererヘッダの値:どのページから来たのかというリファラ(=アクセス元のURL)が記載されます。直接アクセスした場合は,-の表記がされます。
❽リクエストのUser-Agentヘッダの値:ユーザエージェントで,PCOSやブラウザの情報が記載されます。多くの場合、PCによってに異なる情報です。

■参考情報
総務省の「ログの適切な取得と保管」には、具体的に取得すべきログの種類と内容として、以下の記載があります。
http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/admin/22.html

ログ保存期間の目安に関しては、IPAの資料に法令・ガイドライン等が記載があります。政府機関は1年以上保存とあり、一つの目安になるでしょう。
https://www.ipa.go.jp/files/000052999.pdf