Systemwalker Centric Manager リファレンスマニュアル - UNIX/Windows(R)共通 -
目次 索引 前ページ次ページ
第1章 コマンドリファレンス> 1.2 コマンド

1.2.89 mpatalogcnvt(監査ログ正規化コマンド)

■機能説明

本コマンドは、監査ログ管理機能で収集した監査ログファイルをもとに、正規化ログファイルを出力します。
本コマンドは以下の機能を提供します。

正規化では、1つの監査ログファイルに対し1つの正規化ログファイルへ変換が実施されます。ただし、以下の場合は、複数の正規化ログファイルに分割されます。

各ログファイル名の形式は以下のとおりです。

ログファイル

ファイル名の形式

監査ログファイル

サーバ名_ログ識別名_文字コード_YYYYMMDD[_XX].log

正規化ログファイル

サーバ名_ログ識別名_文字コード_YYYYMMDDCCC.csv

監査ログファイルの退避において、同一ファイル名で内容の異なるファイルの退避を複数回実行した場合、上記ファイル名形式にない通番(_NNNN)がファイル名に付加されます。このようなファイルは、本コマンドで直接正規化することはできません。正規化する場合は、該当ファイルを作業ディレクトリへコピーし、付加された通番を削除したファイル名にリネームしてから正規化を行ってください。

また、本コマンドで正規化しようとした監査ログファイルが監査ログ管理機能から提供されるmpatmlog(ログ収集コマンド)で作成・更新中の場合、本コマンドは該当ファイルの作成・更新が完了するまで一定時間(10秒)、正規化処理の実行を待ちます。

■記述形式

mpatalogcnvt

[-H サーバ名] [-A ログ識別名] [-F 日数 -T 日数 | -B 日付] [-L 監査ログ格納ディレクトリ] [-D 正規化出力ディレクトリ] [-P [-R 正規化ルール定義ファイル名]] [-C {S|E|U|W}}]

■オプション

-H サーバ名:
正規化する監査ログのサーバ名を指定します。ASCII(128文字以内)で指定します。
本オプションを省略した場合、すべてのサーバ名の監査ログが正規化対象になります。
-A ログ識別名:
正規化する監査ログのログ識別名を指定します。ASCII(80文字以内)で指定します。
本オプションを省略した場合、すべてのログ識別名の監査ログが対象になります。
監査ログのログ識別名の詳細は、インストールされているSystemwalker Centric Managerのバージョンの“Systemwalker Centric Manager 使用手引書 セキュリティ編”の“収集対象のログの定義”を参照してください。
-F 日数 -T 日数:
正規化する監査ログの日数の範囲を指定します。
本オプションで指定した範囲の日数のログを正規化対象とします。
本オプション(-F/-T)は必ず対の指定を行う必要があります。
本オプションは、0以上の整数値を指定します。0はコマンドを実行した当日、1はコマンドを実行した1日前・・・と解釈されます。
-F オプションは -T オプション以上の値を設定します。
本オプションを省略し、-B オプションも省略した場合は、1日前の監査ログファイルだけを正規化対象とします。
-B オプションと同時に指定することはできません。

【例】3日前からコマンド実行当日までの範囲の監査ログを正規化対象とします。
-F 3 -T 0

-B 日付 (YYYYMMDD):
正規化する監査ログの日付を指定します。
本オプションで指定した日付のログだけを正規化対象とします。
本オプションは以下のように指定します。
YYYY:西暦年を指定します。
MM:01〜12で月を指定します。
DD:01〜31で日付を指定します。
本オプションは以下の場合だけ使用してください。
− 正規化が何らかの原因で失敗し、該当日付の監査ログを再度正規化する場合

本オプションに未来の日付を指定して実行した場合、本コマンドはエラーになります。
-Fオプション、-Tオプションと同時に指定することはできません。

【例】2006年07月25日の監査ログだけを正規化します。
-B 20060725

-L 監査ログ格納ディレクトリ:
正規化対象の監査ログファイルが格納されているディレクトリ名をフルパスで指定します。ASCII(80文字以内)EUC(40文字以内)、シフトJIS(40文字以内)、またはUTF-8(80バイト以内)で指定します。
省略時は、監査ログ管理の格納ディレクトリ配下の監査ログファイルが対象になります。格納ディレクトリは、以下のコマンドで設定してください。

mpatmtrsdef REP -S 格納ディレクトリ
本オプションは以下の場合だけ使用してください。
− バイナリログを正規化するために、作業ディレクトリへテキスト出力したファイルを正規化対象にする場合
− 正規化の実行テストのために、テスト用のログファイルを正規化対象にする場合
-D 正規化出力ディレクトリ:
出力する正規化ログファイル、または正規化テスト結果ファイルを格納するディレクトリをフルパスで指定します。ASCII(160文字以内)、EUC(80文字以内)、シフトJIS(80文字以内)、またはUTF-8(160バイト以内)で指定します。
本オプションでmpatacnvtdef(正規化ログ格納先定義コマンド)で定義した正規化ディレクトリ以外のディレクトリを指定した場合、出力された正規化ログファイルは集計レポートの対象外となります。
省略時は、-Pオプション指定の有無により、出力されるディレクトリが以下のように変わります。
-Pが指定されていない場合
監査ログ分析の正規化ディレクトリ配下に正規化ログファイルが出力されます。正規化ディレクトリは以下のコマンドで設定してください。

mpatacnvtdef -N 正規化ディレクトリ
-Pが指定されている場合
コマンド実行時のカレントディレクトリ配下に、正規化ログファイルおよび正規化テスト結果ファイルが出力されます。
なお、-Pオプションを指定した場合は、mpatacnvtdef(正規化ログ格納先定義コマンド)で定義した正規化ディレクトリを本オプションの正規化出力ディレクトリに指定することはできません。
正規化ログファイル名は機能説明の表で説明した形式です。正規化テスト結果ファイル名は、正規化ログファイルの拡張子“.csv”を“.txt”に置き換えたものです。
同名の正規化ログファイルがすでに存在する場合、-Pオプション指定の有無により以下のように動作が変わります。
-Pが指定されていない場合
監査ログファイルの正規化されていない部分(増加部分)を正規化し、正規化ログファイル名形式中の通番を1つ増やした名前の正規化ログファイルを作成します。
-Pが指定されている場合
正規化ログファイルおよび正規化テスト結果ファイルの両方を、上書きします。
-P:
監査ログファイル内の各ログテキストを、正規化ルール定義ファイルの内容でテスト(パターン解釈)し、一致したテキストパターンと正規化した結果を、正規化テスト結果ファイルに出力します。
本オプション指定時は正規化と正規化テストの両方が実行され、省略時は正規化だけが実行されます。
-R 正規化ルール定義ファイル名:
正規化テストのときに参照する正規化ルール定義ファイル名をフルパスで指定します。ASCII(256文字以内)、EUC(128文字以内)、シフトJIS(128文字以内)、またはUTF-8(256バイト以内)で指定します。
本オプションを省略した場合、登録済みの正規化ルールを参照して正規化テストが実施されます。
本オプションは、-Pオプションと同時に指定可能です。
なお、正規化を行う監査ログのログ種別が本オプションで指定したルール定義ファイルのログ種別と異なる場合、指定されたルール定義ファイルは使用されません。
-C {S|E|U|W}:
正規化する監査ログの文字コードを指定します。文字コードと文字の関係は以下のとおりです。

文字

文字コード

S

SJIS

E

EUC

U

UTF-8

W

JIS2004
本オプションは、監査ログの文字コードが収集元のサーバの言語と異なる場合だけ指定します。監査ログの文字コードが収集元のサーバの言語と同じ場合は、本オプションを指定する必要はありません。本オプションを省略した場合、正規化する監査ログのファイル名に埋め込まれている収集元のサーバの言語情報を示す文字から、監査ログの文字コードを判断します。
正規化対象とする監査ログ格納ディレクトリに、サーバの言語と同じ文字コードの監査ログと、サーバの言語と異なる文字コードの監査ログが混在して格納されている場合は、-Hオプションや-Aオプションで実行単位を分けて正規化してください。

■復帰値

0:
正常終了
255:
異常終了

■参照

mpatacnvtdef(正規化ログ格納先定義コマンド)

■コマンド格納場所

Windows

Systemwalkerインストールディレクトリ\MPWALKER.DM\bin

Solaris
Linux

/opt/systemwalker/bin

■実行に必要な権限/実行環境

本コマンド実行前に、格納ディレクトリおよび正規化ディレクトリが定義済みである必要があります。

【Windows版】

【UNIX版】

■注意事項

差分の正規化を行う場合、通常は前回作成した正規化ログファイルの内容は変更されませんが、以下の場合に限り前回作成した正規化ログファイルの最後のレコードが削除されます。

この場合、該当ログレコードの前回の正規化は不完全な状態で行われた結果であるため削除し、完全な状態での正規化結果を今回の正規化ログファイルの先頭に出力します。

複数行を1つのレコードと解釈するログの詳細については、“正規化ルール定義ファイル”を参照してください。

なお、処理対象のファイルを誤認する場合があるため、監査ログ格納ディレクトリ、正規化ディレクトリには、監査ログファイル、正規化ログファイル以外のファイルは置かないでください。

■使用例1

3日前から1日前までの範囲のアプリケーションイベントログの正規化ログを出力します。

【Windows版】

C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H server2 -A EventLogApplication -F 3 -T 1 -D C:\Windows\Temp

【UNIX版】

/opt/systemwalker/bin/mpatalogcnvt -H server2 -A EventLogApplication -F 3 -T 1 -D /var/tmp

■使用例2

指定したアプリケーションイベントログファイルの正規化ログを出力します。

【Windows版】

C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -L C:\Systemwalker\MPWALKER.DM\mpatm\savelog\ -D C:\Windows\Temp

【UNIX版】

/opt/systemwalker/bin/mpatalogcnvt -L /var/opt/FJSVmpatm/savelog/ -D /var/tmp

■使用例3

5日前から1日前までの範囲のアプリケーションイベントログファイルの各メッセージを正規化ルール定義ファイルの内容で正規化テストします。

【Windows版】

C:\Systemwalkerp\MPWALKER.DM\bin\mpatalogcnvt -H server2 -A EventLogApplication -F 5 -T 1 -D C:\Windows\Temp -P -R C:\Windows\Temp\mpatarule_EventLogApplication.ini

【UNIX版】

/opt/systemwalker/bin/mpatalogcnvt -H server2 -A EventLogApplication -F 5 -T 1 -D /var/tmp -P -R /var/tmp/mpatarule_EventLogApplication.ini

■使用例4

指定したアプリケーションイベントログファイルの各メッセージを正規化ルール定義ファイルの内容で正規化テストします。

【Windows版】

C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -L C:\Systemwalker\MPWALKER.DM\mpatm\savelog\ -D C:\Windows\Temp -P -R C:\Windows\Temp\mpatarule_=EventLogApplication.ini

【UNIX版】

/opt/systemwalker/bin/mpatalogcnvt -L /var/opt/FJSVmpatm/savelog/ -D /var/tmp -P -R /var/tmp/mpatarule_=EventLogApplication.ini

■実行結果/出力形式

監査ログファイルの正規化(-Pオプション未指定)をした場合の表示形式を以下に示します。

正常終了時は、以下の文字列が標準出力に出力されます。

情報: 監査ログファイルの正規化に成功しました。

正規化ログファイルの出力形式を以下に示します。

2006/08/09 13:00:00,08/09,13:00:00,13,水,client1,10.90.151.136,server1,10.90.144.76,root,認証,server1,ログオン,失敗,_,529,警告,"…",EventLogSecurity,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
2006/08/09 13:00:01,08/09,13:00:01,13,水,client1,10.90.151.136,server1,10.90.144.76,guest,認証,server1,ログオン,成功,_,528,情報,"…",EventLogSecurity,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,

注)上記で"ログテキスト"の項目は"…"としていますが、実際には正規化元のログのテキストがそのまま入ります。

また、正規化ログファイルの出力先には見出し行ファイルが1つ作成されます。見出し行ファイルとは正規化ログファイルのCSV項目に対する見出し(項目名)をCSV形式で格納したファイルで、ファイル名は“csv.head”です。

見出し行ファイルの出力内容を以下に示します。

"日時","日付","時刻","時間帯","曜日","操作場所","操作IPアドレス","実行ホスト","実行IPアドレス","操作者","操作種別","操作対象","操作内容","実行結果","コンポーネント","追加情報","深刻度","ログテキスト","ログ種別","拡張種別1","拡張値1","拡張種別2","拡張値2","拡張種別3","拡張値3","拡張種別4","拡張値4","拡張種別5","拡張値5","拡張種別6","拡張値6","拡張種別7","拡張値7","拡張種別8","拡張値8","拡張種別9","拡張値9","拡張種別10","拡張値10","拡張種別11","拡張値11","拡張種別12","拡張値12","拡張種別13","拡張値13","拡張種別14","拡張値14","拡張種別15","拡張値15","拡張種別16","拡張値16","拡張種別17","拡張値17","拡張種別18","拡張値18","拡張種別19","拡張値19","拡張種別20","拡張値20"

異常終了時は、エラーメッセージを標準エラー出力、およびWindowsイベントログ/syslogに出力して、処理を終了します。

 

監査ログファイルの正規化テスト(-Pオプション指定)をした場合の表示形式を以下に示します。

正常終了時は、以下の文字列が標準出力に出力されます。

情報: 監査ログファイルの正規化テストに成功しました。

正規化テスト結果ファイルの出力形式を以下に示します。斜体箇所(監査ログテキスト、n行目、テキスト一致パターン、正規化ログテキスト)は可変情報です。

監査ログ:監査ログテキスト
一致パターン:n行目:テキスト一致パターン
正規化ログ:正規化ログテキスト

監査ログ:監査ログテキスト
一致パターン:なし
正規化ログ:正規化ログテキスト
監査ログテキスト:
正規化の元となった監査ログのテキストを表示します。
n(行目):テキスト一致パターン:
「監査ログテキスト」と一致したテキスト一致パターンの正規化ルールファイル内での行数と定義文字列を表示します。
正規化ログテキスト:
正規化した結果(CSV形式)を表示します。

異常終了時はエラーメッセージを標準エラー出力に出力して、処理を終了します。エラー時の出力例を以下に示します。

mpatalogcnvt: エラー: 1052:3行目: キー名が不正です。正規化ルール定義ファイルの文法を確認してください。キー名=PositionParm、ファイル名=C:\Systemwalker\MPWALKER.DM\mpata\etc\rule\mpatarule_SolarisSyslog.ini
PositionParm=":",4,OperationLocation
mpatalogcnvt: 情報: 3201:監査ログファイルの正規化テストが完了しました。
目次 索引 前ページ次ページ
Copyright FUJITSU LIMITED 1995-2008