8.5.1 WWWサーバのセキュリティ監視でできること

Systemwalker Centric Manager 使用手引書監視機能編 - UNIX共通 - - Microsoft(R) Windows(R) 2000/ Microsoft(R) Windows Server(TM) 2003 -

目次索引

インターネットサーバ上のWWWサーバへのアクセス状況を監視し、次の事象を検出した場合にイベントを通知することができます。

WWWサーバのアクセスログから、ホストごとのアクセス件数を集計し、アクセス数がしきい値を超えたとき、負荷アタックと判断してイベントが通知されます。通知イベントにより、特定ホストからの負荷アタックがあったことを、早期に認識することができます。

WWWサーバのアクセスログから、HTTPステータスコードが401であるログをホストごとに集計し、アクセス数がしきい値を超えたとき、認証ハックと判断してイベントが通知されます。通知イベントにより、特定ホストからの認証ハックがあったことを、早期に認識することができます。

WWWサーバのアクセスログから、HTTPステータスコードが403であるログをアクセス元ホストごとに集計し、アクセス数がしきい値を超えたとき、不正アクセスと判断してイベントが通知されます。通知イベントにより、特定ホストからの不正アクセスがあったことを、早期に認識することができます。

しきい値超えが発生すると、以下のメッセージが通知されます。

条件	種別	イベントメッセージ
負荷アタックの検出	警告	AP:MpNsagtMain: 警告:18 : セキュリティ監視において、WWWサービスへの負荷アタックの可能性があります。相手ホスト(HHH),監視間隔=III,しきい値=LLL,現在値=PPP
		AP:MpNsagtMain: WARNING: 18: It has the possibility of load Attack to the WWW service in the security watch. - Companion host(HHH),Watch interval(III),Limit Value(LLL),Present Value(PPP)
認証ハックの検出	警告	AP:MpNsagtMain: 警告:19 : セキュリティ監視において、WWWサービスへの認証エラーが発生しています。相手ホスト(HHH),監視間隔=III,しきい値=LLL,現在値=PPP
		AP:MpNsagtMain: WARNING: 19: An authentication error to the WWW service occurs in the security watch. - Companion host(HHH),Watch interval(III),Limit value(LLL),Present value(PPP)
不正アクセスの検出	警告	AP:MpNsagtMain: 警告:20 : セキュリティ監視において、WWWサービスへの不正アクセスが発生しています。相手ホスト(HHH),監視間隔=III,しきい値=LLL,現在値=PPP
		AP:MpNsagtMain: WARNING: 20: Injustice access to the WWW service occurs in the security watch. - Companion host(HHH),Watch interval(III),Limit value(LLL),Present value(PPP)

※HHHはWWWサーバへのアクセス元ホスト名、IIIは監視間隔、LLLはしきい値、PPPはアクセス数を表します。

※上記のイベントメッセージはWindows版の場合です。UNIX版では先頭の“AP”が“UX”となります。

※通知の結果、監視種別はネットサーバとなります。

[Systemwalkerコンソール]から、監視対象となる管理サーバのノードアイコンを選択し、[ポリシー]メニューの[ポリシーの定義]－[インターネットサーバの監視]－[ノード]を選択します。
[インターネットサーバ管理－動作環境設定]画面で監視する項目をチェックし、監視間隔およびイベントを通知するしきい値を設定します。監視項目の初期値は、以下のとおりです。

監視可能なWWWサーバについては、“Systemwalker Centric Manager 解説書”の“インターネットの稼働状況の監視”を参照してください。

目次索引