Systemwalker Centric Manager ソリューションガイド セキュリティ編 - UNIX/Windows(R)共通 -

目次 索引

4.4.4.4 収集対象のログの定義

ここでは、以下の説明を行います。

• 収集するログファイルの定義
• Systemwalker Centric Managerのリモートコマンド検索ログの定義
• Systemwalker Desktop Keeperのバックアップコマンドによるクライアント操作ログの収集定義
• NR1000イベントログを収集するための設定

■収集するログファイルの定義

ログ識別名

Systemwalker Centric Managerインストール時には、以下のログファイルがあらかじめ登録されており、以下のログファイルの収集を行う場合は、新規登録は不要です。また、新たにログ収集を行う場合、すでに登録済みのログ識別名の割り当ては行わないでください。

予約語

監査ログ管理機能は、以下のキーワードを監査ログ管理機能のログ識別に関する予約語としています。

• DTK
• EventLog
• MpAtm
• CMGRCmdRevLog
• CMGROpLog
• CMGRSVOpLog
• NREventLog
• OMGRLog

予約語は、次のログファイルを収集する場合に使用します。

※1：ログ識別名の接頭語として使用します。

■Systemwalker Centric Managerのリモートコマンド検索ログの定義

監査ログ管理機能は、テキストログ収集時にSystemwalker Centric Managerのリモート検索コマンドを実行し、テキストログに変換したログを収集することができます。設定方法について以下に示します。

◆リモートコマンドログを収集する場合（リモートコマンド検索コマンド）

システム監視機能が設定済みのサーバ上で、opacmdrev（リモートコマンド検索コマンド）を実行することで、リモートコマンドログを収集することができます。リモートコマンド検索コマンドは、運用管理サーバ上で実行した場合、リモートコマンド実行先にかかわらずリモートコマンドを実行したログ履歴一覧が取得できます。

リモートコマンドログを収集したいサーバ上で、以下のコマンドを実行し収集対象に定義します。

設定例：運用管理サーバ上で以下のコマンドを実行し、「opacmdrev」を定義します。

→ログ収集実行の前に実行するコマンドにopacmdrev（リモートコマンド検索コマンド）が設定されます。
mpatmlogapdef（ログ収集設定コマンド）、opacmdrev（リモートコマンド検索コマンド）の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。

複数のサーバから、Systemwalker Centric Managerリモートコマンド検索コマンドのログを収集する場合は、ログ収集の前にリモートコマンドが実行されるようスケジュール登録してください。

■Systemwalker Desktop Keeperのバックアップコマンドによるクライアント操作ログの収集定義

Systemwalker Desktop Keeperのバックアップコマンドによるクライアント操作ログの収集については、“Systemwalker Centric Manager Desktop連携ガイド”を参照してください。

■NR1000イベントログを収集するための設定

NR1000装置をWindows版の被管理サーバや運用管理サーバにファイル共有することにより、NR1000が出力するイベントログファイルを収集することができます。

この場合、NR1000側では、被管理サーバにて監査ログ管理がアクセス可能なアカウントとパスワードが事前に登録されている必要があります。

監査ログ管理がアクセス可能なアカウントとパスワードは、収集対象のNR1000すべて同じものを登録してください。

NR1000が出力するイベントログファイルの出力パターンは以下のとおりです。

※複数ファイルの最大数は1〜999の範囲で指定が可能です。

◆設計

通常のテキストログ収集の設計に加え、以下のことを設計します。

• どのWindowsの被管理サーバに対してファイル共有をさせるか
• NR1000側の機器名の確認
• ファイル共有はネットワークドライブ接続で行うか、または、UNC名による接続で行うか
• NR1000側で登録する監査ログ管理がアクセス可能なアカウントとパスワードか

◆設定手順

監査ログ管理でNR1000が出力するイベントログファイルを収集する場合、以下の手順で行います。

1. 被管理サーバでmpatmaccdef(接続アカウント設定コマンド)を実行し、共有リソースにアクセスするためのアカウント名とパスワードの設定を行います。パスワードはアカウント名を入力後に入力します。

   例）接続アカウントを設定する場合

   mpatmaccdef REP -U audituser Enter password :****** Re-Enter password:******

   mpatmaccdef(接続アカウント設定コマンド)については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。

2. 被管理サーバで、mpatmlogapdef(ログ収集設定コマンド)を実行し、NR1000が出力するイベントログファイルを収集する定義を行います。NR1000が複数台存在する場合は、ログ識別名を区別して定義を行う必要があります。

   mpatmlogapdef(ログ収集設定コマンド)については、“Systemwalker Centric Managerリファレンスマニュアル”の“mpatmlogapdef(ログ収集設定コマンド)”を参照してください。

   以下に例を示します。例中では、NR1000の機器名を“Fileserver1”としています。

   イベントログファイルが単一ファイルの場合

   単一ファイル名としてファイルのフルパス名を指定してください。

   例）

   mpatmlogapdef ADD -A NREventLog001 -L \\192.168.0.2\etc$\log\adtlog.evt -N Fileserver1

   イベントログファイルが複数ファイル（数字付加）の場合

   複数ログファイルであることの -M パラメタに数字付加なので降順（"DESC"）を指定します。

   収集対象ログファイル名には、NR1000が出力するイベントログファイルが複数のため、数字付加部分をワイルドカードに置き換えて指定します。

   例）

   mpatmlogapdef ADD -A NREventLog001 -M DESC -L \\192.168.0.2\etc$\log\adtlog*.evt -N Fileserver1

   イベントログファイルが複数ファイル（タイムスタンプ付加）の場合

   複数ログファイルであることの -M パラメタにタイムスタンプ付加なので昇順（"ASC"）を指定します。

   NR1000が出力するイベントログファイルが複数のため、収集対象ログファイル名には、タイムスタンプ付加部分をワイルドカードに置き換えて指定します。

   例）

   mpatmlogapdef ADD -A NREventLog001 -M ASC -L \\192.168.0.2\etc$\log\adtlog*.evt -N Fileserver1

3. 運用管理サーバ上で格納ディレクトリの設定をmpatmtrsdef（ファイル転送情報定義コマンド）で実行します。
4. 運用管理サーバ上で、被管理サーバに対してmpatmlog（ログ収集コマンド）を実行します。

◆注意事項

ログ収集実行中に、NR1000のネットワーク接続が切断された場合は、ログ収集はエラーとなります。

目次 索引