Systemwalker Centric Manager 使用手引書 セキュリティ編 - UNIX/Windows(R)共通 -

目次 索引

9.6 監査ログを収集する

ログファイルを収集・管理する手順を説明します。

■監査ログを収集する

監査ログを収集する手順を説明します。

1. 以下のコマンドを実行し、指定したサーバ（部門管理サーバ、業務サーバ、運用管理サーバ、運用管理クライアント）に対しログの収集を行います。

   mpatmlog -H サーバ名 [部門管理サーバ/業務サーバ/運用管理クライアントから運用管理サーバへ通信が可能な運用管理サーバのIPアドレス]

   
   

   特定のログ識別名だけを収集したい場合は、mpatmlog（ログ収集コマンド）のオプション(-A)でログ識別名を指定します。

   →指定したサーバに対してログを収集します。

mpatmlog（ログ収集コマンド）の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。

収集を行う際の注意事項

ログ収集を確実に行うためには、運用管理サーバ、および指定したサーバ（部門管理サーバ、業務サーバ、運用管理クライアント）の双方とも、互いのホスト名の名前解決がされていることを確認してください。

部門管理サーバ/業務サーバ/運用管理クライアントから運用管理サーバへ通信が可能な運用管理サーバのIPアドレスの指定について

以下の条件の場合に指定する必要があります。

• 運用管理サーバがインストールされているシステムが複数のIPアドレスを持っており、被管理サーバ（部門管理サーバ、業務サーバ、運用管理クライアント）から運用管理サーバとの通信を行っているIPアドレスを特定したい場合

  NAT構成でログを収集する場合は、“Systemwalker Centric Manager NAT適用ガイド”を参照してください。

構成例を以下に示します。

■ログの収集結果を確認する

ログ収集の結果は、イベントログやsyslogに以下のメッセージが出力されます。

[Systemwalkerコンソール]を使用することで、ログ収集の結果を知ることができます。

ログ収集の正常終了も監視したい場合、Systemwalker Centric Managerのイベント監視の条件定義を使用し、監査ログ管理機能のメッセージを監視対象にしてください。

収集処理に失敗した場合、詳細情報は以下のように知ることができます。

• イベントログやsyslogへの出力

  [Systemwalkerコンソール]を使用することで、どの被管理サーバのログの収集中でエラーが発生したか確認することができます。

• 標準エラー出力としての出力

  mpatmlog（ログ収集コマンド）の実行結果は、標準出力/標準エラー出力として出力します。mpatmlog（ログ収集コマンド）を実行する際、出力ファイルをリダイレクト指定することにより、実行結果を確認することができます。

  ログの収集結果についての注意事項

• UNIXシステムの場合、/etc/syslog.conf の指定(user.infoの出力抑止)によっては、「ログ収集が正常終了(mpatm: 情報: 121)」が出力されない場合があります。
• UNIX環境でNFSマウントしたネットワーク上のパスを格納ディレクトリに指定した場合は、事前に問題なくパスにアクセスできることを確認してください。ファイルサーバのダウンなどが原因でパスが利用できない場合、NFSタイムアウトが発生するまで処理が終了しません。
• HP-UX、AIX版の場合、syslogへの日本語出力をサポートしていない環境があります。
  • HP-UX版
  • AIX版 (SJIS環境)

  上記環境の場合、mpatmlog（ログ収集コマンド）のsyslogへの出力、コマンドの実行結果のメッセージは英語で出力します。

◆指定した形式が正しいかは、初回ログ収集の結果で確認します。

指定した形式が正しく指定できていると判断できる条件は、以下のとおりです。

• ログデータが日付ごとのファイルに、正しい日付で分割されている場合

指定した形式が正しく指定できていないと判断できる条件は、以下のとおりです。

• ログデータが複数の日数に存在するにもかかわらず、収集された日付ファイルが、収集当日のログファイルのみしか存在しない場合
• ログデータが複数の日数に存在するにもかかわらず、日付ごとに分割されてはいるが、ファイル名の日付とデータが一致しない場合
• ログデータが複数の日数が存在するにもかかわらず、「mpatm: 情報: 124」メッセージ（収集対象のログがありませんでした。）が出力された場合

誤って異なる日付形式を指定してログ収集を行った場合も、監査ログ管理はログファイル情報を格納します。そのため、正しい形式に修正し、再度ログ収集を行っても一度読み込んだログファイル情報が格納されているため、日付形式が誤っているときに読み込んだログデータは収集されません。その際は、形式を修正したログ識別名に対してmpatmdelap(ログ情報削除コマンド)を実施し、ログの管理情報を削除してからログ収集してください。mpatmdelap（ログ情報削除コマンド）の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。

■定期的にログを収集する

OSのスケジュール機能、Systemwalker Operation Managerなどのジョブ管理製品を使用することにより、定期的なログの採取が可能となります。

OSのスケジュール機能についてはOSのヘルプを、またSystemwalker Operation Managerによる設定方法については、Systemwalker Operation Managerのマニュアルを参照してください。

定期的にログを収集する場合の注意事項

• 実行するアカウントについて

  実行するアカウントは、Administratorsグループ(Windows)/システム管理者(スーパーユーザ)(UNIX)に属しているユーザで設定/登録してください。

• ログ収集コマンドの実行および、スケジュール機能登録時の注意事項
  • ログ収集の実施により、一時的にネットワークや特定のサーバ（運用管理サーバ）に負荷が集中するため、以下の時間帯での実施をしてください。

    業務が稼働していない時間帯(例：夜間)

  • 転送量の軽減のため、収集1回あたりのログデータ量、回線の太さを考慮しスケジュール登録をしてください。

◆収集中にログが改ざんされていないかを確認できます

収集する監査ログの改ざんチェックを行う場合は、mpatmlog（ログ収集コマンド）の“-U YES”を指定して実行します。

監査ログの改ざんチェックを行う場合は、“監査ログの改ざんを検出する”を参照してください。

収集の際に監査ログを圧縮保管する場合は、mpatmlog（ログ収集コマンド）の“-C YES”を指定して実行します。

mpatmlog（ログ収集コマンド）の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。

◆収集したログを圧縮して保管することができます

収集の際に監査ログを圧縮保管する場合は、“監査ログを圧縮する”を参照してください。

mpatmlog（ログ収集コマンド）の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。

目次 索引