Systemwalker Centric Manager 使用手引書 セキュリティ編 - UNIX/Windows(R)共通 -

目次 索引

9.7 監査ログを管理する

■監査ログの一覧を参照する

収集したログファイルの管理について説明します。

ログ収集コマンドで収集したログファイルは、設定時に指定した格納ディレクトリに格納/保存します。収集したログファイルは、以下の名前で保存します。

◆テキストログの場合

• サーバ名： 収集対象のサーバ名
• ログ識別名：収集するログファイルの識別子
• 文字コード：収集対象のサーバのOSの文字コード
  • S：SJIS
  • E：EUC
  • U：UTF-8
  • W：JIS2004
  • C：英語(SJIS/EUC/UTF-8/JIS2004以外の文字コード)
• 日付：収集対象のログのうち、YYYYMMDDのもの

◆バイナリログの場合

• YYYYMMDD：収集対象ファイルの最終更新日付
• 文字コード：“B”
• 収集対象ファイル名：収集ファイル名

  拡張子も付加しますが、その際、“.”（0x2E）は“-”(ハイフン 0x2D)に置き換えます。

• 通番：同一日にログ収集を複数回実行した場合の収集回数(0001〜9999)

  上書きするを選択した場合、通番は”0001”固定となります。

テキストログとバイナリログ共に、中継サーバを経由した被管理サーバのログファイル名のサーバ名、ログ識別名、文字コードおよび日付は、運用管理サーバ上でも被管理サーバ名で使用された名前です。

格納したログファイルに関する注意事項

• テキストログの場合、収集対象のログファイルは日付ごとにまとめられます。この場合、収集したログファイルが2GBを超えた場合は、2GBごとに分割して保存します。収集したログファイルは、以下の名前で保存します。

  サーバ名_ログ識別名_文字コード_YYYYMMDD_NN.log

  
  

  NN：通番 01〜99

• 監査ログ管理機能では、収集対象のログの文字コード変換はしていません。（※監査証跡の観点から、形式を変えないで収集対象のログを収集しています。）
• 格納ディレクトリ配下の収集ログは、管理者権限のあるユーザ以外はアクセスできません。

■監査ログを圧縮する

運用管理サーバ上の格納ディレクトリが存在するローカルディスクの容量を効率的に使用するために、収集した監査ログを圧縮して保管します。

監査ログの圧縮は、mpatmlog(ログ収集コマンド)を使用し、格納ディレクトリに収集した監査ログが圧縮機能の対象となります。

なお、圧縮した監査ログは監査ログ分析機能やテキストビューアなどで利用することができません。監査ログを利用する場合は、事前に圧縮した監査ログから監査ログを復元してください。

ETERNUS AS500アーカイブストレージに監査ログを格納する場合は、データの圧縮処理を装置内で行うため、本機能で圧縮する必要はありません。

◆監査ログの圧縮方法

監査ログを圧縮する場合は、mpatmarchive(収集したログの圧縮コマンド) のオプション(-L)を指定して実行します。

圧縮ログは対象ファイルが存在するディレクトリに作成されます。

mpatmarchive(収集したログの圧縮コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。

• 圧縮ログのファイル名

  監査ログを圧縮すると、収集したログファイルのファイル名の拡張子を“log”から“loga”に変換します。監査ログを圧縮して収集する場合は、オプション(-C YES)を指定してmpatmlog(ログ収集コマンド)を実行します。

  【テキストファイルの場合】

  サーバ名_ログ識別名_文字コード_YYYYMMDD.loga

  
  
  • サーバ名：収集対象のサーバ名
  • ログ識別名：収集するログファイルの識別子
  • YYYYMMDD：収集対象ファイルの最終更新日付
  • 文字コード：収集対象のサーバのOSの文字コード

  【バイナリファイルの場合】

  被管理サーバ名_ログ識別名_文字コード_YYYYMMDD_収集対象ファイル名_通番.loga

  • サーバ名：収集対象のサーバ名
  • ログ識別名：収集するログファイルの識別子
  • YYYYMMDD：収集対象ファイルの最終更新日付
  • 文字コード：収集対象のサーバのOSの文字コード
  • 収集対象ファイル名：収集前のバイナリファイルのファイル名
  • 通番：同一日にログ収集を複数回実行した場合の収集回数(0001〜9999)

運用の手順

1. 被管理サーバでmpatmlogapdef(ログ収集設定コマンド)を実行し、監査ログを収集する設定を行います。

   例) 監査ログを収集するための設定

   mpatmlogapdef ADD -A textlog -L C:\logs\access.log -F C:\Systemwalker\MPWALKER.DM\mpatm\fmt\mpatmncsa.fmt

2. 運用管理サーバで格納ディレクトリの設定をmpatmtrsdef（ファイル転送情報定義コマンド）で行います。

   例) 格納ディレクトリの設定

   mpatmtrsdef REP -S C:\savelog

3. 運用管理サーバで被管理サーバに対してmpatmlog(ログ収集コマンド)を実行します。

   例) 監査ログの収集

   mpatmlog -H 被管理サーバ

   運用を自動化する場合は、上記のコマンドをOS標準のタスクスケジューラやバッチ処理に追加してください。

4. 格納ディレクトリの監査ログを監査ログ分析で利用(正規化、分析など)します。
5. 運用管理サーバでmpatmarchive（収集したログの圧縮コマンド）を実行します。格納ディレクトリ内の前日分のログを圧縮します。

   例) 監査ログの圧縮

   mpatmarchive

   運用を自動化する場合は、上記のコマンドをOS標準のタスクスケジューラやバッチ処理に追加してください。

6. 運用管理サーバで、mpatmmediacopy(収集ログ二次媒体複写コマンド)を実行します。

   オプション(-K LOGA)を指定し、圧縮ログを二次媒体へ複写します。

   例) 二次媒体装置に監査ログを複写

   mpatmmediacopy -K LOGA

   mpatmmediacopyコマンドで、運用管理サーバ上に格納/管理したログファイルを二次媒体装置へ複写します。前日までの監査ログが複写の対象となります。

7. 運用管理サーバ上で、mpatmdellog(収集したログの削除コマンド)を実行します。

   オプション-Fと-Tを指定し、格納ディレクトリ配下の1ヶ月(31日)以前の監査ログおよび圧縮ログを削除します。

   例) 監査ログを削除するためのコマンド (対象：62日前から31日前までの監査ログ)

   mpatmdellog -F 62 -T 31 -Q NO

   ジョブスケジューラやバッチファイルに登録して自動実行する場合は、上記の通り“-Q NO”を指定し、削除実行時の再確認を省略してください。

◆監査ログの解凍方法

圧縮ログを解凍する場合は、mpatmextract(圧縮したログの解凍コマンド) のオプション(-L)を指定して実行します。

圧縮ログのファイル名に記載された、サーバ名、ログ識別名、収集日付を元に必要とする監査ログを選び、圧縮ログを解凍します。

mpatmextract(圧縮したログの解凍コマンド)の詳細は、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。

運用の手順

1. 二次媒体から対象となる圧縮ログを任意のディレクトリ(C:\temp)に取り出します。圧縮ログのファイル名から該当する期間中の圧縮ログを判断します。
2. オプション-Lで任意のディレクトリを指定し、mpatmextract(圧縮したログの解凍コマンド)を実行します。

   mpatmextract -B 20070601 -E 20070630 -L C:\temp

◆注意事項

• ETERNUS 1000FシリーズのWORM機能を利用した装置、もしくは読み取り専用の装置に保管した圧縮ログはローカルディスク上に解凍してください。
• 監査ログの収集中に圧縮および解凍を行う運用を避けてください。スケジュール登録による自動運用においては、監査ログの収集と圧縮の実行間隔を十分あけてください。

■監査ログをバックアップする

収集したログファイルのバックアップについて説明します。

ログファイルを収集し続けると、格納ディレクトリのディスク容量不足を招く恐れがあります。格納ディレクトリは、収集当日、前日のログのみとし、ほかのログはCD-R/DVD-R/ストレージ装置などの追記不可の媒体にバックアップし、バックアップ後のファイルは削除をする運用を推奨します。収集したログファイルのバックアップには、OSのバックアップ機能やバックアップ製品を使用してください。

または、収集ログ二次媒体複写コマンドにてバックアップを行ってください。二次媒体への複写については、“監査ログを退避する”を参照してください。

目次 索引