| Systemwalker Centric Manager ソリューションガイド セキュリティ編 - UNIX/Windows(R)共通 - |
|
目次
索引
|
| 第3部 セキュリティを強化するにはSystemwalkerの設定をどのようにしたらよいか | > 第4章 セキュリティを強化する各機能の設定手順 | > 4.4 監査ログを管理する |
監査ログ管理機能で収集を行うしくみについて説明します。
収集対象のログファイル内のログレコードから、ログレコードの日付から日付単位にファイルを作成し管理します。
上記の初回収集の場合、2006/5/1から2006/5/8まで収集し、格納ディレクトリには、2006/5/1のデータから2006/5/8(当日)までのログデータを格納します。
テスト運用から本運用前に収集したログファイルは、運用に従いCD-R/DVD-Rなどの別媒体にバックアップし、バックアップしたあとのデータは削除するなどしてください。
時間外データ(時系列にならんでいないデータ)、ログレコード内の日時データ(形式が一致する日付と時間が付加されているデータ)がないデータについて、監査ログ管理機能の扱いについて説明します。
初回の収集において、日時データの確認ができるログレコードの前にある日時データがないデータは、収集当日のデータに含めて収集します。日時データの場合、収集対象外日付のものは収集対象外とします。
前回収集したログレコードの次に時間外データがある場合は、以下のようになります。
また、日時データがないデータは、収集当日のデータに含めて収集します。
監査ログ管理機能では、収集したログファイルの名前に、サーバ名(Systemwalker Centric Managerで指定する自ホスト名)をつけ、対象ログ(ログ識別名)、日付ごとのファイルとして管理しています。
サーバ名に以下の文字がある場合、別名に変更をしてください。
また、自ホスト名に “_”(0x5F)、“ ”(0x20)を設定している場合は、“-”(ハイフン 0x2D)に置き換えて収集を行います。
バイナリデータは、ログレコードの時間情報を識別することができません。そのため、テキストファイルと異なり、日付単位に分割した管理ができません。代わりにファイルの最終更新日付で日付単位にファイルを作成し管理します。
監査ログ管理では、バイナリファイルは以下のことを想定しています。
バイナリファイルの収集は、テキストファイルの収集と異なり差分収集せず、ファイル単位で収集します。そのため、複数ファイルの場合、ログ収集のデータ量が多くなることが予想されます。監査ログ管理を使用した収集を行う場合、初回のログ収集は7日までさかのぼった収集対象期間内のログをすべて収集します。そのため、膨大なログデータの収集によるネットワーク負荷を抑えるために、分割転送および転送間隔を指定してください。また、複数ログファイルの収集で、初回の収集は収集対象ファイルリスト内で最新ファイルだけを収集することを選択することも可能です。
以下の図は、収集期間内の最新ファイルの選択処理について説明しています。
バイナリファイルの収集では、差分収集しないため、運用管理サーバに収集するとディスク容量をテキストファイルよりも費やします。そのため、バイナリログファイルが累積型のログで、同日に複数回ログ収集を行った場合、最新のログファイルだけ保管することもできます。
初回収集時は、以下の条件で収集します。
指定したファイルの最終更新日付が収集期間内であれば収集します。
指定した複数ファイルの内、最終更新日付が収集期間内であれば収集します。ただし、収集対象のファイルの総容量が大容量でネットワーク負荷をかけたくない場合は、収集期間内の最終更新日付が、最新のファイルのみを収集することも選択可能です。
収集ファイルは、以下のファイル名形式で作成します。
|
被管理サーバ名_ログ識別名_文字コード_YYYYMMDD_収集対象ファイル名_通番.log |
| “_”(0x5F)、“ ”(0x20)、“\”(0x5C)、“/”(0x2F)、“:”(0x3A)、“,”(0x2C)、“;”(0x3B)、
“*”(0x2A)、“?”(0x3F)、“"”(0x22)、“<”(0x3C)、“>”(0x3E)、“|”(0x7C) |
テキストファイルの転送と同様に、以下の設定が可能です。
|
目次
索引
|