2.5.2 監査ログ管理

Systemwalker Centric Manager 全体監視適用ガイド - UNIX共通 - - Microsoft(R) Windows(R) 2000/ Microsoft(R) Windows Server(TM) 2003 -

第2章シングルサイト型全体監視の導入と運用

> 2.5 シングルサイト型での運用

2.5.2 監査ログ管理

全体監視サーバで監査ログを管理する場合の設定/運用について説明します。

全体監視サーバの構成（全体監視サーバ－運用管理サーバ－業務サーバ）では、以下の手順で監査ログ管理の設定/収集を行います。

運用管理サーバに、被管理サーバ（運用管理サーバ自身、部門管理サーバ、業務サーバ）のログを収集する。
設定方法については、“Systemwalker Centric Manager使用手引書監視機能編”を参照してください。
全体監視サーバに、運用管理サーバ自身のログを収集する。
全体監視サーバから運用管理サーバ自身のログを収集する場合、運用管理サーバで運用管理サーバ自身のログを収集するための設定を使用します。

設定方法については、“Systemwalker Centric Manager使用手引書監視機能編”を参照してください。
全体監視サーバに、運用管理サーバのログを収集する。
全体監視サーバに、運用管理サーバ内に収集した被管理サーバ（部門管理サーバ、業務サーバ）のログを収集します。

■被管理サーバのログを収集する

全体監視サーバに、運用管理サーバ内に収集した被管理サーバ（部門管理サーバ、業務サーバ）のログを収集する手順について説明します。

◆ログを収集するための設定

収集対象のファイル

運用管理サーバ上の格納ディレクトリ配下に以下のテキストログ形式で格納されています。

サーバ名_ログ識別名_文字コード_YYYYMMDD.log

被管理サーバから収集したファイルを、全体監視サーバに収集する場合、収集対象のファイルは、以下のように指定してください。

例：サーバ名：Gyomu1、被管理サーバ上で指定したログ識別名：EventLogSecurityの場合

%SAVEDIR%\Gyomu1_EventLogSecurity_*.log

%SAVEDIR%

運用管理サーバ側で収集するために設定した格納ディレクトリ

収集対象のファイルに対するログ識別名

運用管理サーバから全体監視サーバに収集したログは、以下の名前で保存します。

運用管理サーバ名_ログ識別名_文字コード_YYYYMMDD.log

収集対象のファイルに対するログ識別名を設定する場合、以下のように指定してください。

ログ識別名に、収集された被管理サーバ名、ログ識別名、被管理サーバの文字コードが認識できるように設定する

例：業務サーバ名：Gyomu2、業務サーバ上でのログ識別名：EventLogSecurity、業務サーバの文字コードがSJISの場合

ログ識別名

Gyomu1-EventLogSecurity-S

この場合、全体監視サーバに格納したログは、以下の名前で保存されます。

運用管理サーバ名_Gyomu1-EventLogSecurity-S_文字コード_YYYYMMDD.log

収集するログファイルの生成方法

運用管理サーバ上に収集した被管理サーバ（業務サーバ、部門管理サーバ）のログは、日付単位に作成されています。指定は、“ワイルドカード指定”、“昇順”を指定してください。

日付書式定義ファイル名

被管理サーバ（業務サーバ、部門管理サーバ）においてログを収集するときに指定した日付書式定義ファイル名と同じファイル名を指定してください。

被管理サーバ上（業務サーバ、部門管理サーバ）でmpatmlogapdef(ログ収集設定コマンド)を実行することで確認できます。

mpatmlogapdef(ログ収集設定コマンド)については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。

監査ログ管理機能が用意している、「日付書式定義ファイル」以外に「日付書式定義ファイル」を作成し、ログの収集を実施している場合、運用管理サーバへ作成した「日付書式定義ファイル」を複写してください。

◆設定例

以下の環境で、監査ログ管理設定サンプルファイル、およびログ収集設定コマンド（mpatmlogapdef）の実行例を示します。

	設定値
全体監視サーバへ収集するログファイル	Apacheアクセスログ
収集対象のファイルの格納場所	f:\Savedir\Webserver_ApacheAccessLog_*.log
ワイルドカード指定時の昇順/降順設定	ASC
被管理サーバの文字コード	SJIS
日付書式定義ファイル	C:\WIN32APP\MPWALKER.DM\MpAtm\fmt\mpatmncsa.fmt

監査ログ管理設定サンプルファイル

TRANSDEF,
LOGDEF,
APDEF,
ADD,Webserver-ApacheAccessLog-S,YES,NO,ASC,"C:\Apache\Logs\Aaccess.*",C:\WIN32APP\MPWALKER.DM\MpAtm\fmt\mpatmncsa.fmt,,

ログ収集設定コマンドの実行例

mpatmlogapdef ADD -A Webserver-ApacheAccessLog-S -E YES -M ASC -L "f:\Savedir\Webserver_ApacheAccessLog_*.log" -F C:\WIN32APP\MPWALKER.DM\MpAtm\fmt\mpatmncsa.fmt

■ログを収集・管理する

全体監視サーバから運用管理サーバのログ収集を定期的に行う場合について、説明します。

運用管理サーバ上に格納した当日のログを収集したい場合、運用管理サーバ側の収集時間のあとに、全体監視サーバ側の収集が開始できるよう設定してください。

例：

運用管理サーバ側で22:00に収集を実施する場合は、全体監視サーバで、23:00に収集を実施するようスケジュールする。

ログ収集するための手順については、“Systemwalker Centric Manager使用手引書監視機能編”を参照してください。

監査ログ管理は、収集対象のファイルに関する情報を被管理サーバに持っています。

全体監視サーバの構成では、運用管理サーバが全体監視サーバに対し被管理サーバになり、全体監視サーバと運用管理サーバ自身から収集が可能となります。

監査ログ管理では、収集対象のログファイルが、格納ディレクトリと同じ場所にある場合、そのファイルは収集対象外となります。

例：

収集対象のログファイル	c:\savedir\logfile
収集したログの格納ディレクトリ	c:\savedir

運用管理サーバ上で上記の設定がされている場合、運用管理サーバ上での収集結果は「収集対象ファイルがない」という状態になります。

また、全体監視システムの中継サーバには上位サーバにログを転送するために、格納ディレクトリに保存されている下位サーバのログを収集するように定義します。中継サーバ自身でログ収集コマンド（mpatmlog）を実行すると、上位サーバに転送するためのログが収集されます。中継サーバ自身でログ収集コマンド（mpatmlog）を実行する場合、格納ディレクトリに保存されているログは収集しないように設定してください。