| Systemwalker Centric Manager ソリューションガイド セキュリティ編 - UNIX/Windows(R)共通 - |
|
目次
索引
|
| 第3部 セキュリティを強化するにはSystemwalkerの設定をどのようにしたらよいか | > 第4章 セキュリティを強化する各機能の設定手順 | > 4.4 監査ログを管理する | > 4.4.1 収集・管理できるログファイルの種類 |
監査ログ管理機能の収集規約について説明します。
監査ログ管理機能が対応している日付と時間の対応形式を以下に示します。
監査ログ管理機能が対応している日付形式、時間形式を以下の表に示します。以下の表の日付、時間を組み合わせることで、監査ログ管理機能による収集が可能となります。以下の表に書かれていない形式はテキストログファイルとして収集はできません。そのため、バイナリファイルとして収集してください。
ユーザがカスタマイズした形式については、“ユーザがカスタマイズした日付、時間に指定できる形式”を参照してください。
|
本機能での日付名称 |
説明 |
例 |
補足 |
|
DATEFMT1 |
YYYY/MM/DD |
本機能のエクスポート形式 |
YYYY:西暦年(〜2038) YY:西暦年下2桁(〜38) MM:月2桁(01〜12) DD:日2桁(01〜31) MON:月3文字(“Jan”〜“Dec”) 文字は英語の先頭3文字 TIMEFMT1:時間(下記時間形式を参照) |
|
DATEFMT2 |
YYYY-MM-DD |
IISのW3C拡張形式 |
|
|
DATEFMT3 |
MM/DD/YYYY |
- |
|
|
DATEFMT4 |
DD/MON/YYYY |
IIS,ApacheのNCSA形式 |
|
|
DATEFMT5 |
DD-MON-YYYY |
ORACLEのLISTENERログ形式 |
|
|
DATEFMT6 |
MON DD TIMEFMT1 YYYY |
Apacheのエラーログ形式 |
|
|
DATEFMT7 |
MON DD TIMEFMT1 |
UNIX シスログ形式 |
|
|
DATEFMT8 |
YYYYMMDD |
- |
|
|
DATEFMT9 |
YY/MM/DD |
- |
|
|
DATEFMT10 |
MM/DD |
UNIX suコマンドログ形式 |
|
|
DATEFMT11 |
DD MON YYYY |
- |
|
|
DATEFMT12 |
MM/DD/YY |
- |
|
|
DATEFMT99 |
ユーザがカスタマイズした形式 |
||
|
本機能での日付名称 |
説明 |
補足 |
|
TIMEFMT1 |
HH:MM:SS |
HH:時(0〜23)または(00〜23) MM:分(00〜59) SS:秒(00〜59) sss:ミリ秒(000〜999) |
|
TIMEFMT2 |
HH:MM:SS.sss |
|
|
TIMEFMT3 |
HHMMSS |
|
|
TIMEFMT4 |
HH:MM |
|
|
TIMEFMT99 |
ユーザがカスタマイズした形式 |
|
監査ログ管理機能が収集の際に使用する「日付書式定義ファイル」を説明します。
監査ログ管理機能は、「日付書式定義ファイル」と収集対象のログファイルとを対応させ収集を行っています。監査ログ管理機能がサンプルとして用意している、「日付書式定義ファイル」を以下の表に示します。
|
Windows |
Systemwalkerインストールディレクトリ\MPWALKER.DM\mpatm\fmt |
|
UNIX |
/etc/opt/FJSVmpatm/fmt |
|
ファイル名 |
説明 |
|
mpatmevt.fmt |
本機能のエクスポート形式(イベントログ用) |
|
mpatmdtk.fmt |
本機能のエクスポート形式(Systemwalker Desktop Keeperログ用) |
|
mpatmiisw3c.fmt |
IISのW3C拡張形式 |
|
mpatmiis.fmt |
IISのIIS形式 |
|
mpatmncsa.fmt |
IIS,ApacheのNCSA形式 |
|
mpatmoralistener.fmt |
ORACLEのLISTENERログ形式 |
|
mpatmapaerr.fmt |
Apacheのエラーログ形式 |
|
mpatmunixsyslog.fmt |
UNIXのシステムログ形式 |
|
mpatmcmgrrev.fmt |
Systemwalker Centric Managerの検索コマンド(opacmdrev)の出力形式 |
|
mpatmsolarissu.fmt |
Solaris suログ形式 |
|
mpatmsolarisloginlog.fmt |
Solaris loginlog(/var/adm/loginlog)形式 |
|
mpatmcmgroplog.fmt |
[Systemwalkerコンソール]の監査ログ、またはSystemwalker Centric Managerのサーバ操作制御の監査ログ形式 |
|
mpatmsavelog.fmt |
格納ディレクトリ配下のテキストログ形式 |
|
[FORMAT] ・・・ |
|
セクション/キー |
説明 |
|
FORMAT |
日付書式セクション |
|
TOKEN_WORD |
ログレコード内のデータ種を区別するためのトークン区別文字TAB、BLANK、COMMA、BRACKETのどれかを指定します。 |
|
DATE_FORMAT |
日付形式を指定します。 |
|
DATE_TOKEN_POSIT |
トークン文字で区切られたトークンのどのトークンに日付情報が含まれているかを指定します。 |
|
DATE_WORD_POSIT |
日付が存在するトークン内の何文字目から日付データが始まるかを指定します。 |
|
TIME_FORMAT |
時間形式を指定します。 |
|
TIME_TOKEN_POSIT |
トークン文字で区切られたトークンのどのトークンに時間情報が含まれているかを指定します。 |
|
TIME_WORD_POSIT |
時間が存在するトークン内の何文字目から日付データが始まるかを指定します。 |
|
USR_FMTn |
ユーザ指定形式セクション |
|
USR_FORMAT |
ユーザ指定の形式を指定します。 |
|
USR_TOKEN_POSIT |
トークン文字で区切られたトークンのどのトークンにUSR_FORMATで指定した情報が含まれているかを指定します。 |
|
USR_WORD_POSIT |
USR_FORMAT_POSITで指定したトークンの、何文字目から日付データが始まるかを指定します。途中でトークン文字を含む場合でも指定できます。 |
ユーザがカスタマイズした日付、時間に指定できる形式は、次のとおりです。内容に応じた指定を行います。指定方法については、“サンプル例2”を参照してください。
|
形式 |
内容 |
形式 |
備考 |
|
西暦年 |
1970〜2038 |
%yyyy% |
|
|
00〜99 |
%yy% |
|
|
|
月 |
01〜12 |
%mm% |
|
|
1〜12 |
%MM% |
先頭に0なし |
|
|
Jan〜Dec |
%mon% |
|
|
|
January〜December |
%MON% |
|
|
|
日 |
01〜31 |
%dd% |
|
|
1〜31 |
%DD% |
先頭に0なし |
|
|
時間 |
"am","pm" |
%a% |
|
|
"AM","PM" |
%A% |
|
|
|
時 |
01〜12 |
%hh% |
※12時間単位 |
|
1〜12 |
%HH% |
※12時間単位(先頭に0なし) |
|
|
00〜23 |
%hour% |
※24時間単位 |
|
|
0〜23 |
%HOUR% |
※24時間単位(先頭に0なし) |
|
|
分 |
00〜59 |
%min% |
|
|
0〜59 |
%MIN% |
|
|
|
秒 |
00〜59 |
%sec% |
|
|
0〜59 |
%SEC% |
先頭に0なし |
|
|
1970/1/1からの通算秒 |
%UNIX% |
|
指定した形式が正しく指定できていると判断できる条件は、以下のとおりです。
指定した形式が正しく指定できていないと判断できる条件は、以下のとおりです。
誤って異なる日付形式を指定してログ収集を行った場合も、監査ログ管理はログファイル情報を格納します。そのため、正しい形式に修正し、再度ログ収集を行っても一度読み込んだログファイル情報が格納されているため、日付形式が誤っている時に読み込んだログデータは収集されません。その際は、形式を修正したログ識別名に対してmpatmdelap(ログ情報削除コマンド)を実施し、ログの管理情報を削除してからログ収集してください。mpatmdelap(ログ情報削除コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
監査ログ管理機能では、テキストログ中にあるログレコード内の日時をキーに、データの抽出/収集を行います。日付・時間を出力しているデータは、ログレコード内に複数存在している可能性もあります。
そのため、日付・時間データがログレコード内のどの位置に存在しているかを収集処理内で認識させ、監査ログ管理機能で対応している日付・時間形式であれば収集可能となります。監査ログ管理機能は、日付・時間データの位置を把握するため、「日付書式定義ファイル」という形で持っています。
監査ログ管理機能は、ワイルドカード(*、?)の指定により、複数生成されているログファイルの収集も可能です。
収集可能なログファイルの例を以下に示します。
(例)C:\AppLog\log_*
(例)C:\AppLog\messages* C:\AppLog\Applog*
(例)C:\AppLog\log_*
ログを収集する際の確認すべき点を以下に示します。
収集対象のログファイルのログレコードと、日付書式定義ファイルの定義例を以下に示します。新たに「日付書式定義ファイル」を作成する場合は、下記例を参考に作成してください。ファイル名、ファイルの拡張子、ファイル作成場所に関しては任意ですが、テキストファイルで作成する必要があります。
以下の場合、正常にログ収集が行われない場合があります。サンプル例、日付書式定義ファイルの指定する内容を確認の上、作成してください。
サンプルで使用している用語を説明します。
|
用語 |
説明 |
|
時間トークン |
ログレコード内のトークン文字で区切られた時間データを含むトークン |
|
日付トークン |
ログレコード内のトークン文字で区切られた日付データを含むトークン |
|
時間検索位置 |
ログレコード内の時間トークンの先頭から時間データが記述されるまでの文字数 |
|
日付検索位置 |
ログレコード内の日付トークンの先頭から日付データが記述されるまでの文字数 |
|
指定する情報 |
指定値 |
|
トークン区別文字 |
COMMA |
|
日付フォーマット |
DATEFMT1 |
|
日付トークン位置 |
0 |
|
トークン内の日付検索位置 |
0 |
|
時間フォーマット |
TIMEFMT1 |
|
時間トークン位置 |
0 |
|
トークン内の時間検索位置 |
11 |
|
指定する情報 |
指定値 |
|
トークン区別文字 |
BLANK |
|
日付フォーマット |
DATEFMT2 |
|
日付トークン位置 |
0 |
|
トークン内の日付検索位置 |
0 |
|
時間フォーマット |
TIMEFMT1 |
|
時間トークン位置 |
1 |
|
トークン内の時間検索位置 |
0 |
|
指定する情報 |
指定値 |
|
トークン区別文字 |
COMMA |
|
日付フォーマット |
DATEFMT1 |
|
日付トークン位置 |
2 |
|
トークン内の日付検索位置 |
1 |
|
時間フォーマット |
TIMEFMT1 |
|
時間トークン位置 |
3 |
|
トークン内の時間検索位置 |
1 |
|
指定する情報 |
指定値 |
|
トークン区別文字 |
BRACKET |
|
日付フォーマット |
DATEFMT4 |
|
日付トークン位置 |
1 |
|
トークン内の日付検索位置 |
0 |
|
時間フォーマット |
TIMEFMT1 |
|
時間トークン位置 |
1 |
|
トークン内の時間検索位置 |
12 |
|
指定する情報 |
指定値 |
|
トークン区別文字 |
BLACKET |
|
日付フォーマット |
DATEFMT6 |
|
日付トークン位置 |
0 |
|
トークン内の日付検索位置 |
4 |
|
時間フォーマット |
TIMEFMT1 |
|
時間トークン位置 |
0 |
|
トークン内の時間検索位置 |
11 |
|
指定する情報 |
指定値 |
|
トークン区別文字 |
COMMA |
|
日付フォーマット |
DATEFMT7 |
|
日付トークン位置 |
0 |
|
トークン内の日付検索位置 |
0 |
|
時間フォーマット |
TIMEFMT1 |
|
時間トークン位置 |
0 |
|
トークン内の時間検索位置 |
7 |
|
指定する情報 |
指定値 |
|
トークン区別文字 |
COMMA |
|
日付フォーマット |
DATEFMT1 |
|
日付トークン位置 |
1 |
|
トークン内の日付検索位置 |
1 |
|
時間フォーマット |
TIMEFMT1 |
|
時間トークン位置 |
1 |
|
トークン内の時間検索位置 |
12 |
|
指定する情報 |
指定値 |
|
トークン区別文字 |
BLANK |
|
日付フォーマット |
DATEFMT5 |
|
日付トークン位置 |
0 |
|
トークン内の日付検索位置 |
0 |
|
時間フォーマット |
TIMEFMT1 |
|
時間トークン位置 |
1 |
|
トークン内の時間検索位置 |
0 |
|
指定する情報 |
指定値 |
|
トークン区別文字 |
BLANK |
|
日付フォーマット |
DATEFMT10 |
|
日付トークン位置 |
1 |
|
トークン内の日付検索位置 |
0 |
|
時間フォーマット |
TIMEFMT4 |
|
時間トークン位置 |
2 |
|
トークン内の時間検索位置 |
0 |
|
指定する情報 |
指定値 |
|
トークン区別文字 |
BLANK |
|
日付フォーマット |
DATEFMT6 |
|
日付トークン位置 |
1 |
|
トークン内の日付検索位置 |
0 |
|
時間フォーマット |
TIMEFMT1 |
|
時間トークン位置 |
1 |
|
トークン内の時間検索位置 |
7 |
監査ログ管理が標準提供している日付形式、時間形式以外について、ユーザがカスタマイズした形式を指定する場合、日付書式定義ファイル内の"DATE_FORMAT=DATEFMT99"や"TIME_FORMAT=TIMEFMT99"を指定します。この場合、USR_FMTセクション(USR_FORMAT/USR_TOKENPOSIT/USR_WORD_POSIT)を追記し、ユーザがカスタマイズした形式を記述します。
日付書式定義ファイル設定例は、以下のとおりです。
[時間形式]
カスタマイズ指定します(DATE_FORMAT=DATEFMT99)。「日-月」は先頭のTOKENの先頭から始まっているので、USR_TOKEN_POSIT=0/ USR_WORD_POSIT=0を設定します。「年」は先頭のTOKENから7文字目から始まるため、USR_TOKEN_POSIT=0/ USR_WORD_POSIT=7を設定します。先頭のTOKENからの文字数を設定することで、月と年の間の文字数が変更されるログに対応できます。
日付形式TIMEFMT1と一致するためTIME_FORMATに指定します。先頭のTOKENから13文字目から始まるため、TIME_TOKEN_POSIT =0/ TIME_WORD_POSIT=13を設定します。先頭のTOKENからの文字数を設定することで、月と年の間の文字数が変更されるログに対応できます。
|
[FORMAT] |
|
[FORMAT] |
|
1157084161 data* |
|
[FORMAT] |
|
目次
索引
|