Systemwalker Centric Manager ソリューションガイド セキュリティ編 - UNIX/Windows(R)共通 -

目次 索引

4.4.4.3 ポリシーを使用して設定する

ポリシーを使用して設定する方法を説明します。ポリシーに従ったログ収集を行う場合や収集対象マシンが多い場合に使用します。

ポリシーについては、“Systemwalker Centric Manager 使用手引書 監視機能編”の“ポリシーの設定と配付”を参照してください。

■ポリシーを設計する

ポリシーを使用したログ収集の設定を行うには、現在のシステム内のどのサーバ上のログを収集するか、どのような経路でログを収集するか などを検討します。

以下に考慮する観点を説明します。

• 収集対象のサーバを選定

  Systemwalker Centric Managerで構成するシステム内のどのサーバからログを収集するかを選定します。この場合、サーバ内で出力するログ（システムのログやアプリケーションのログ）から収集する必要があるサーバを選定します。

• 収集対象のログを選定

  Systemwalker Centric Managerで構成するシステム内の各サーバから収集するログを選定します。

  	Windows	Solaris	Linux	HP-UX、AIX
  システム	イベントログ 　アプリケーションログ 　システムログ 　セキュリティログ 　DNSサーバログ 　ファイルリプリケーション複製サービスログ 　ディレクトリサービスログ 　DFSリプリケーションログ 　ハードウェアイベントログ 　Forwardedイベント	シスログ loginlog suログ	シスログ	シスログ suログ
  WEB	IIS(収集形式) Apache(アクセスログ、エラーログ)	Apache(アクセスログ、エラーログ)
  SW/CMGR	リモートコマンド検索コマンド Systemwalkerコンソールの監査ログ サーバ操作制御の監査			サーバ操作制御の監査ログ
  アプリケーション	任意	任意	任意	任意

  アプリケーションログについては、収集するログ形式も検討します。
  ログ形式が、既存の日付書式定義ファイルに一致しない場合は、日付書式定義ファイルを新規に作成してください。

• ログ収集を行うサーバの選定

  運用管理サーバだけで収集を行うのか、中継サーバを設置するかを検討します。中継サーバの検討は、特に収集処理に費やす時間を意識した収集を行いたい場合などに設置すると有効です。

• ログ収集を行うサーバの限定

  収集対象のサーバから、ログ収集を行うサーバを限定するか検討します。
  ログ収集を行うサーバを限定すると、ログ収集を許可したサーバ以外のサーバからログを収集することができなくなるため、セキュリティが向上します。詳細については、“収集対象のサーバを限定する”を参照してください。

• 格納ディレクトリの選定（運用管理サーバまたは中継サーバの設定）

  運用管理サーバまたは中継サーバの格納ディレクトリ（被管理サーバから収集したログファイルを保管するディレクトリ）を選定します。ポリシーを配付するサーバにディレクトリが存在しない場合は、ポリシー適用時に作成します。

  格納ディレクトリを設定した場合、格納ディレクトリのアクセス権を以下のユーザだけに限定します。

  • Windows：Administrators権限、およびSYSTEM権限
  • UNIX　　: root権限
• 転送用ディレクトリの選定

  被管理サーバの転送用ディレクトリ（収集したログを運用管理サーバに転送するためのディレクトリ）を選定します。ポリシーを配付するサーバにディレクトリが存在しない場合は、ポリシー適用時に作成します。

  転送用ディレクトリを設定した場合、転送用ディレクトリのアクセス権を以下のユーザだけに限定します。

  • Windows：Administrators権限、およびSYSTEM権限
  • UNIX　　: root権限
• ログの転送についての検討

  分割転送するデータサイズ、転送間隔および転送ファイルの圧縮について検討します。デフォルトでは、データサイズ：60 MB、転送間隔：5 秒、非圧縮です。

• ログの収集についての検討

  被管理サーバでログ収集を行う際に、ログ収集処理を同時に実行するログ識別名の数（多重度）について検討します。デフォルトでは、多重度：1です。

• ポリシーを配付するサーバで、ポリシーを共通にできる範囲を選定

  運用管理サーバ、中継サーバおよび被管理サーバにおいて、収集するログや転送用ディレクトリ、格納ディレクトリの設定する値により、共通範囲を選定します。

■監視ツリーを作成する

複数のノードに対して同じポリシーを設定する場合は、運用管理クライアントまたは運用管理サーバ(Windowsのみ)からSystemwalkerコンソールを起動し、監視ツリーを作成します。

ノードを指定してポリシーを設定する場合や、すべてのノードに同じポリシーを設定する場合は、監視ツリーを設定する必要はありません。

複数のノードに対して異なるポリシーを設定する場合は、監視ツリーにポリシーの種類分のフォルダを作成します。作成したフォルダ配下に同じポリシーを設定するノードを追加することにより、ポリシーを効率的に配付することができます。

例えば、“ポリシーを設計する”の構成の場合は、Systemwalkerコンソールの監視ツリーを以下のように作成すると効率的にポリシーを配付することができます。

■ポリシーを作成する

“ポリシーを設計する”で設計したポリシー値に沿って、運用管理サーバの任意のディレクトリ配下に監査ログ管理ポリシーファイル（以降は、ポリシーファイルと表現）を作成します。ポリシーファイルは、ポリシーの種類やOSごとに作成します。mpatmdef.dat(監査ログ管理設定サンプルファイル)を流用すると簡単に作成することができます。ポリシーファイルのAPDEFセクションで、収集実行の設定が“YES”(収集する)となっているもの、または監査ログ管理ポリシーファイル中の必須項目を記載している定義についてポリシー登録を行います。監査ログ管理ポリシーファイルと監査ログ管理設定サンプルファイルの詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。

• ポリシーファイル名には拡張子(.csv)を付けてください。（例：mpatmpolicy.csv）。

  拡張子(.csv)がないファイルは、ポリシーファイルとして認識しません。拡張子以外は特に制限はありません。

• 同じディレクトリ配下に複数のポリシーファイルを作成しないでください。

  ポリシーファイルが複数ある場合は、ファイル名の昇順で1番最初のポリシーファイルを使用します。異なるポリシーファイルを複数作成する場合は、ディレクトリを分けて作成してください。

[日付書式定義ファイルの作成]

ポリシーファイルに記述した日付書式定義ファイルをポリシー配付する場合は、ポリシーファイルと同じディレクトリ配下にポリシー配付する日付書式定義ファイルを作成します。

ポリシーファイルに記述していない日付書式定義ファイルを、ポリシーファイルと同じディレクトリ配下に作成しても、その日付書式定義ファイルはポリシー配付しません。

ポリシーファイルに、日付書式定義ファイルをフルパス名で記述した場合は、ポリシーを配付するサーバの該当ディレクトリ配下に日付書式定義ファイルを格納します。

ディレクトリを省略し、ファイル名だけを記述した場合は、ポリシーを配付するサーバの以下のディレクトリ配下に日付書式定義ファイルを格納します。

• Windows：Systemwalker Centric Managerのインストールディレクトリ\mpwalker.dm\mpatm\fmt
• UNIX：/etc/opt/FJSVmpatm/fmt

すでに日付書式定義ファイルが存在する場合は、ポリシー配付した日付書式定義ファイルを上書きします。

ポリシーを配付したサーバに、すでに日付書式定義ファイルがある場合は、ポリシーを配付する必要がないため、日付書式定義ファイルを作成する必要はありません。

例えば、デフォルトで提供しているイベントログ、シスログ、IISのログやSystemwalker Centric Managerのリモートコマンド検索コマンドなどの日付書式定義ファイルは、Systemwalker Centric Managerをインストールしたときに、日付書式定義ファイルをインストールしているため、作成する必要はありません。

ポリシー配付する日付書式定義ファイルのファイル名は、パスも含めて80文字以内になるようにしてください。

また、ファイル名には日本語を含めないでください。（使用できないファイル名の例：日本語.fmt）

日付書式定義ファイルについては、“日付書式定義ファイルについて”を参照してください。

[mpatmconnect.ini(接続可能一覧ファイル)の作成]

被管理サーバからログ収集するサーバを限定する場合は、mpatmconnect.ini(接続可能一覧ファイル)を運用管理サーバの任意のディレクトリ配下に作成します。mpatmconnect.ini(接続可能一覧ファイル)はポリシーファイルの有無に関わらずポリシー配付します。

ポリシーファイルと一緒にポリシー配付する場合は、ポリシーファイルと同じディレクトリ配下にmpatmconnect.ini(接続可能一覧ファイル)を作成してください。

ポリシーを配付したサーバにすでにmpatmconnect.ini(接続可能一覧ファイル)が存在する場合は、ポリシー配付したmpatmconnect.ini(接続可能一覧ファイル)を上書きします。

ログ収集できるサーバを限定しない場合は、mpatmconnect.ini(接続可能一覧ファイル)を作成する必要はありません。

mpatmconnect.ini(接続可能一覧ファイル)については、“収集対象のサーバを限定する”を参照してください。

■中継サーバを設定する

ポリシーを設定する前に、中継サーバの選定を行います。中継サーバの選定後、中継サーバを設定する必要がある場合は、以下の手順で中継サーバの設定を行います。

1. 運用管理クライアント、または運用管理サーバ(Windowsのみ)からSystemwalkerコンソールを起動します。
2. Systemwalkerコンソールで中継サーバとする部門管理サーバまたは業務サーバに対して、リモートコマンドによるコマンド投入により、中継サーバの設定を行います。中継サーバの設定は、mpatmsvrtypedef(サーバ種別設定コマンド)を実行します。

   mpatmsvrtypedef REP -R

   
   

   中継サーバ上の格納ディレクトリや被管理サーバから収集した格納ディレクトリ配下のログ収集の設定についは、“中継サーバ上の被管理サーバのログ収集を定義する”を参照してください。

■ポリシーを登録する

ポリシーを配付する前に、ポリシーの登録をします。

ポリシーの登録方法は、以下の2つの方法があります。

• 作成(編集)したポリシーファイルを使用してポリシー登録する
• 移出したポリシーまたはローカル定義をポリシー登録する

作成(編集)したポリシーファイルを使用してポリシー登録する

ポリシーの登録は、運用管理サーバでmpatmpset(監査ログ管理ポリシー情報移入コマンド)を実行して行います。

mpatmpset(監査ログ管理ポリシー情報移入コマンド)では、実行結果を監査ログに出力します。監査ログについては、“Systemwalker Centric Managerの監査ログを出力する”を参照してください。

mpatmpset(監査ログ管理ポリシー情報移入コマンド)については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。

以下のマシン構成を例に、ケースごとに実行するmpatmpset(監査ログ管理ポリシー情報移入コマンド)の実行例を記述します。

ノードを指定してポリシーを登録する場合は、ディレクトリ(例：c:\policy)配下にポリシーファイル、日付書式定義ファイル、mpatmconnect.ini(接続可能一覧ファイル)を作成し、以下のコマンドを実行します。

ノードの表示名が重複している場合は、ノード名ではなくIPアドレスを指定します。

一回のコマンド実行で共通のポリシーを各ノードに登録することもできます。

その場合、フォルダの表示名を指定してmpatmpset(監査ログ管理ポリシー情報移入コマンド)を実行します。

ノードの表示名、フォルダの表示名については、Systemwalkerコンソール上で確認してください。

フォルダ配下の全てのノードに対し、共通の定義を設定できない場合は、Systemwalkerコンソール上でポリシー登録用の監視ツリーを新規に作成します。

作成した監視ツリーに、ポリシーの種別ごとにフォルダを作成し、登録するポリシーに該当するノードを追加してください。

部門管理サーバ3、部門管理サーバ4、部門管理サーバ5に同じポリシーを適用する場合、Systemwalkerコンソールの監視ツリーにフォルダを作成し、そのフォルダ配下に部門管理サーバ3、部門管理サーバ4、部門管理サーバ5を追加します。

ディレクトリ(例：c:\policy)配下にポリシーファイル、日付書式定義ファイル、mpatmconnect.ini(接続可能一覧ファイル)を作成し、以下のコマンドを実行します。

監視ツリーを作成しない場合は、mpatmpset(監査ログ管理ポリシー情報移入コマンド)をノード数分実行します。このとき、以下のようにバッチファイルを作成すると、1回の操作でポリシーを登録することができます。mpatmpset(監査ログ管理ポリシー情報移入コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。

バッチファイルの記述例：

移出したポリシーまたはローカル定義をポリシー登録する

mppolcollect(ポリシー情報移出コマンド)で移出した監査ログ管理のポリシーを登録することもできます。

監査ログ管理のポリシー情報の移出からポリシー登録するまでの手順は以下のとおりです。

1. mppolcollect(ポリシー情報移出コマンド)を実行します。

   各ノードから共通化したい監査ログ管理の設定をしたノードを選定し、mppolcollect(ポリシー情報移出コマンド)を実行します。

   mppolcollect(ポリシー情報移出コマンド)では、監査ログ管理のポリシー情報として以下のファイル(以降は、監査ログ管理ポリシー情報ファイルと表現)を生成します。

   生成したこれらのファイルを編集しないでください。

   • P_mpatm_policy.csv
   • P_mpatm_format.ini
   • P_mpatm_conn.ini

   ※mppolcollect(ポリシー情報移出コマンド)を"-A"または"-n"オプションを指定して実行した場合は、ノードに設定したポリシーを移出します。
   "-A"または"-n"オプションを指定せずに実行した場合は、ローカル定義を移出します。
   "-A"または"-n"オプションは運用管理サーバで実行する場合のみ指定できます。

   mppolcollect（ポリシー情報移出コマンド）の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。

2. 監査ログ管理のポリシー情報を運用管理サーバに転送します。

   運用管理サーバ以外でmppolcollect(ポリシー情報移出コマンド)を実行した場合に、監査ログ管理ポリシー情報ファイルを運用管理サーバに転送します。

   転送先のディレクトリは任意です。

   運用管理サーバでmppolcollect(ポリシー情報移出コマンド)を実行した場合は、監査ログ管理ポリシー情報ファイルを転送する必要はありません。

3. 監査ログ管理のポリシー情報をポリシー登録可能なファイル形式に変換します。

   運用管理サーバで、mpatmpconv(監査ログ管理ポリシー情報変換コマンド)を実行します。

   mpatmpconv(監査ログ管理ポリシー情報変換コマンド)では、以下のファイルを生成します。

   • 監査ログ管理ポリシーファイル

     監査ログ管理ポリシーファイルの詳細は“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。

   • 日付書式定義ファイル

     日付書式定義ファイルの詳細は“日付書式定義ファイルについて”を参照してください。

   • mpatmconnect.ini(接続可能一覧ファイル)

     mpatmconnect.ini(接続可能一覧ファイル)の詳細は“収集対象のサーバを限定する”を参照してください。

   mpatmpconv(監査ログ管理ポリシー情報変換コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。

   ※mpatmpconv(監査ログ管理ポリシー情報変換コマンド)で指定する移出ディレクトリ名には、監査ログ管理ポリシー情報ファイルが格納されているディレクトリ名をフルパスで指定します。
   mppolcollect(ポリシー情報移出コマンド)は"-A"オプション、または"-n"オプションの指定により監査ログ管理ポリシー情報ファイルの出力先が以下のように変わるため注意してください。

   • ["-A"オプション、または"-n"オプション指定あり]

     コマンド例：mppolcollect -A -o c:\policy

     "-o"オプションで指定したディレクトリ配下にIPアドレスと同じ名称のディレクトリを作成します。
     作成したIPアドレスと同じ名称のディレクトリ配下に監査ログ管理ポリシー情報ファイルを出力します。

   • ["-A"オプション、および"-n"オプション指定なし]

     コマンド例：mppolcollect -o c:\policy

     "-o"オプションで指定したディレクトリ配下に監査ログ管理ポリシー情報ファイルを出力します。

4. ポリシー登録するファイルの内容を修正します。

   mpatmpconv(監査ログ管理ポリシー情報変換コマンド)で作成されたファイルの内容を確認してください。

   設定内容を変更する場合は、テキストエディタを使用して、変更するパラメタ値のみ更新します。

   移出したノードの設定を、そのままポリシー登録する場合は更新は不要です。

5. ポリシーを登録します。

   運用管理サーバでmpatmpset(監査ログ管理ポリシー移入コマンド)を実行します。

   ポリシー登録後、ポリシー配付を行うことにより、ポリシーが指定したノードに適用されます。ポリシー登録、ポリシー配付については、“ポリシーを登録する”および“ポリシーを配付する”を参照してください。

■ポリシーを配付する

ポリシー配付を行います。ポリシーの配付手順については、“Systemwalker Centric Manager 使用手引書監視機能編”の“ポリシーを配付する”を参照してください。

ポリシー配付の結果は、[Systemwalkerコンソール]の[ポリシーの配付状況]画面で確認します。

[Systemwalkerコンソール]の[ポリシーの配付状況]画面の[アプリケーションメッセージ]欄にmpatm0461が出力された場合は、ポリシー配付時に、配付先のサーバで監査ログ管理のコマンドやログ収集を実行しており、ポリシーの適用を保留したことをしめします。保留したポリシーは、次回ログ収集を実施したときに適用します。

■中継サーバ上の被管理サーバのログ収集を定義する

中継サーバを設定した場合は、中継サーバ上の被管理サーバのログ収集定義を行います。

中継サーバでは被管理サーバから収集したログを中継サーバ上の格納ディレクトリに保管しています。そのログを運用管理サーバに収集するように中継サーバに定義を行います。本設定は通常中継サーバごとに管理する被管理サーバが異なるため、個別に設定する必要があります。本設定については、“中継サーバを利用するための設定”を参照してください。

■注意事項

• 監査ログ管理のポリシーを配付する場合、ポリシーを設定する運用管理サーバとポリシーを配付するサーバには、V13.2.0以降のSystemwalker Centric Managerが必要です。

  ポリシーを配付するサーバがV13.2.0以前の場合はポリシーを配付しません。

• 被管理サーバに、監査ログ管理のポリシーを初めてポリシー配付するとき、mpatmconnect.ini(接続可能一覧ファイル)を配付せずにポリシーファイルのみ配付した場合は、ポリシーを配付した被管理サーバに対し、ほかの運用管理サーバからログ収集することが可能になります。

  ログ収集を行うサーバを限定する場合は、mpatmconnect.ini(接続可能一覧ファイル)に収集可能とするサーバ名またはIPアドレスを記述し、ポリシー配付してください。

• 中継サーバを経由して被管理サーバからログを収集する場合に、ログ収集できるサーバを限定する場合は、被管理サーバに中継サーバのサーバ名、またはIPアドレスを記述したmpatmconnect.ini(接続可能一覧ファイル)を配付し、中継サーバに運用管理サーバのサーバ名またはIPアドレスを記述したmpatmconnect.ini(接続可能一覧ファイル)を配付してください。

  mpatmconnect.ini(接続可能一覧ファイル)に運用管理サーバと中継サーバのサーバ名またはIPアドレスを記述することで、同じポリシーを中継サーバと被管理サーバに配付することも可能です。ただし、その場合は被管理サーバのログを運用管理サーバからもログ収集できるようになります。

• HP-UX、AIXの場合、syslogへの日本語出力をサポートしていない環境があります。
  • HP-UX版
  • AIX版(SJIS環境)

  上記環境の被管理サーバに対し監査ログ管理のポリシー配付を行った場合、[Systemwalkerコンソール]の[ポリシーの配付状況]画面の[アプリケーションメッセージ]欄に出力する監査ログ管理のメッセージ(mpatmで始まるもの)は英語で出力します。

目次 索引