| Systemwalker Centric Manager ソリューションガイド セキュリティ編 - UNIX/Windows(R)共通 - |
|
目次
索引
|
| 第3部 セキュリティを強化するにはSystemwalkerの設定をどのようにしたらよいか | > 第4章 セキュリティを強化する各機能の設定手順 | > 4.3 Systemwalker Centric Managerの監査ログを出力する |
サーバ操作制御の監査ログを出力する設定を説明します。
サーバ操作制御では、以下の監査ログを出力しています。
以下のコマンドの開始時と終了時に監査ログを採取します。コマンドの実行結果に関わらず、コマンドを実行したサーバの監査ログに採取します。コマンドの実行時にエラーが発生した場合は、終了時の情報ににエラー情報を含め監査ログを採取します。ただし、パラメタエラー等使用方法に誤りがあった場合は、監査ログを採取しません。
Systemwalkerコンソールを使用し、配付ポリシー(監視コマンドグループ、セキュリティロールを含む)を操作した場合は、ユーザによる明示的な操作を監査ログに採取します。また、配付ポリシーの作成、保存、削除等、変更を伴う操作を運用管理サーバの監査ログに採取します。
配付ポリシーの移入コマンドを使用し、配付ポリシーを変更した場合は、サーバ操作制御の他のコマンドと同様に、コマンドの開始時と終了時の情報を監査ログに採取します。
運用管理サーバおよび運用管理クライアントで、Systemwalkerコンソール監査ログ収集設定コマンド(mpsetlogsend_swgui)を実行します。
【Windowsの場合】
|
Systemwalkerインストールディレクトリ\MpWalker.DM\bin\mpsetlogsend_swgui -y -f <変更先ファイル名> -k {<保存日数>|unlimit} |
【UNIXの場合】
|
/usr/bin/mpsetlogsend_swgui -y -f <変更先ファイル名> -k {<保存日数>|unlimit} |
mpsetlogsend_swguiコマンドの詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。
Systemwalkerコンソールを用いたポリシー変更の監査ログが出力できるようになるため、本設定を行うことを推奨します。
mpsetlogsend_swguiのオプションに-f、-kまたは-dを指定し、設定を反映させるためにSystemwalker Centric Managerの再起動をします。
運用管理クライアントで-f、-kまたは-dオプションを指定した場合は、Systemwalkerコンソールの再起動をします。
mpsetlogsend_swguiのオプションで、-yまたは-nだけを指定し、収集設定だけを変更する場合は再起動する必要はありません。次回監査ログ収集を行うときに自動的に設定が反映されます。
Systemwalker Centric Managerの停止
【UNIXの場合】
|
/opt/systemwalker/bin/pcentricmgr -a |
【Windowsの場合】
|
pcentricmgr /a |
Systemwalker Operation Managerと共存する環境では、上記のコマンドで、Systemwalker Operation Managerも停止します。
Systemwalker Centric Managerの起動
【UNIXの場合】
|
/opt/systemwalker/bin/scentricmgr |
【Windowsの場合】
|
scentricmgr |
Systemwalker Operation Managerと共存する環境で、Systemwalker Operation Managerも再起動する場合は、以下のコマンドによりSystemwalker Operation Managerを起動してください。
【UNIXの場合】
|
/opt/systemwalker/bin/soperationmgr |
【Windowsの場合】
|
soperationmgr |
なお、soperationmgrコマンドの詳細については、Systemwalker Operation Managerのマニュアルを参照してください。
運用管理クライアント上でポリシーの作成および配付/適用方法については、“配付ポリシーを設定する【UNIX版】”を参照してください。
以下のコマンドは、サーバ操作制御のポリシーを配付したすべてのサーバ、およびWindows版運用管理サーバ上で行います。
【Windowsの場合】
|
Systemwalkerインストールディレクトリ\MpWalker.DM\bin\mpsetlogsendsvcntl -f <変更先ファイル名> -k {<保存日数>|unlimit} |
【UNIXの場合】
|
/usr/bin/mpsetlogsend_svcntl {-y|-n} |
mpsetlogsend_svcntlコマンドについては、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。
監査ログを収集できるサーバを限定します。
設定方法については、“収集対象のサーバを限定する”を参照してください。
運用管理サーバで、監査ログ管理機能を使用するための設定“格納ディレクトリの設定”が行われていない場合、以下のコマンドを実行します。
【Windowsの場合】
|
Systemwalkerインストールディレクトリ\mpwalker.dm\bin\mpatmtrsdef REP -S <格納ディレクトリ> |
【UNIXの場合】
|
/opt/systemwalker/bin/mpatmtrsdef REP -S <格納ディレクトリ> |
mpatmtrsdefコマンドについては、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。
運用管理サーバから以下のコマンドにより監査ログ収集を実行します。
【Windowsの場合】
|
Systemwalkerインストールディレクトリ\mpwalker.dm\bin\mpatmlog -H <対象サーバ名> |
【UNIXの場合】
|
/opt/systemwalker/bin/mpatmlog -H <対象サーバ名> |
収集のためのコマンドの詳細、注意事項、およびスケジューリングなどの運用方法については、“監査ログを収集する”を参照してください。
監査ログの出力先変更、および収集設定の変更を行う手順について説明します。
監査ログ出力先を変更する場合は、以下の手順で実施します。
出力先の変更方法やポリシー画面の使用方法については、“配付ポリシーを作成する【UNIX版】”を参照してください。
[Systemwalkerコンソール]の[ポリシー]-[ポリシーの配付]から配付/適用を行います。
監査ログ出力先を変更する前の情報をすべて運用管理サーバに収集するために、運用管理サーバから以下のコマンドにより監査ログ収集を実行します。
【Windowsの場合】
|
Systemwalkerインストールディレクトリ\mpwalker.dm\bin\mpatmlog -H <対象サーバ名> |
【UNIXの場合】
|
/opt/systemwalker/bin/mpatmlog -H <対象サーバ名> |
mpatmlogコマンドの使用方法については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。
また、運用管理サーバへ収集が完了したあと、設定変更前の監査ログ出力先に保存されている監査ログが不要な場合は、削除してください。
以下のコマンドを実行し、収集先の設定を更新します。操作は設定を変更したサーバ上で行います。
|
mpsetlogsend_svcntl {-y|-n} |
ログ出力先を変更後、監査ログ収集を取りやめる場合は、mpsetlogsend_svcntlコマンドのオプションに-nを指定してください。また、ログの収集先を変更し、ログ収集を続ける場合、または新たに収集する場合は-yオプションを指定します。
ログ収集を中止する場合、または再開する場合は、以下の手順を実施します。
以下のコマンドを実行し、収集先の設定を更新します。操作は設定を変更したサーバ上で行います。
|
mpsetlogsend_svcntl {-y|-n} |
監査ログ収集を取りやめる場合は、mpsetlogsend_svcntlコマンドのオプションに-nを指定してください。また、収集を行っていない状態から収集するように設定を変更する場合は、-yオプションを指定します。
|
目次
索引
|