| Systemwalker Centric Manager 使用手引書 セキュリティ編 - UNIX/Windows(R)共通 - |
|
目次
索引
|
| 第3部 セキュリティを強化するにはSystemwalkerの設定をどのようにしたらよいか | > 第9章 監査ログを管理する |
監査ログ管理機能を使用して、運用管理サーバ上にログを収集することで、ログの一元管理が容易になります。収集したログから、各サーバの運用状況の把握、監査が可能となります。
また、問題事象が発生したときの、調査の早期取り掛かりも可能となります。
ここでは、収集した監査ログが改ざんされていないことを確認する方法を説明します。
ログ収集コマンドで集めた監査ログに、加えられた変更が存在しないことを確認するために監査ログの改ざんをチェックし、不正な監査ログの混入を未然に防ぐことができます。以下の場所で、監査ログに行われた改ざんを検出できます。
被管理サーバから転送された監査ログが正しいことをmpatmlog(ログ収集コマンド)のオプション(-U YES)を指定することで確認できます。
運用管理サーバまたは中継サーバに転送中の監査ログが対象です。
転送中に改ざん検出する場合、V13.3.0以降の運用管理サーバ・中継サーバ・被管理サーバが必要です。
また、HTTPS通信により信号を暗号化し、監査ログの盗聴や第三者の傍受を防ぎます。旧バージョンの被管理サーバから監査ログを収集する場合は、HTTPS通信で監査ログの収集を行い、転送中の監査ログを保護してください。
HTTPS通信による収集を行う際には、“Systemwalker Centric Managerインターネット適用ガイド”の“監査ログを管理するための設定”を参照してください。
格納ディレクトリに保管した監査ログ/圧縮ログは、以下のコマンドの実行を契機に改ざんが確認されます。
テキストファイルを2回目以降に収集する場合、ログデータを追加する対象のログファイルに対して改ざんの確認が行われます。
前回収集した直後の状態から行われた変更が、改ざんとして検出されます。
格納ディレクトリ配下の監査ログを圧縮する場合、圧縮対象のログファイルに対して改ざんの確認が行われます。収集した直後の状態、または解凍した直後の状態から行われた変更が改ざんとして検出されます。
格納ディレクトリ配下の監査ログを圧縮する場合、ログデータを追加する対象の圧縮ログに対して改ざんの確認が行われます。
前回圧縮した直後の状態から行われた変更が、改ざんとして検出されます。
監査ログの圧縮については、“監査ログを圧縮する”を参照してください。
格納ディレクトリ配下の圧縮ログを解凍する場合、解凍対象の圧縮ログに対して改ざんの確認が行われます。圧縮した直後の状態から行われた変更が改ざんとして検出されます。
指定した監査ログまたは圧縮ログに対し、以下のコマンドを実行した後からの変更が改ざんとして検出されます。
なお、格納ディレクトリ内の改ざんを検出する場合は、V13.0.0以降の旧バージョンの被管理サーバと接続した場合でも利用できます。
mpatmmediacopy(収集ログ二次媒体複写コマンド)のオプション(-U YES)を指定すると退避後の監査ログが改ざんされていないことを確認した上で、監査ログを二次媒体装置に退避します。
二次媒体装置に複写中に監査ログの改ざんを検出できます。
監査ログの改ざんを検出する場合の注意事項
例えば、以下の行為により、監査ログは不正と判断されます。
改ざんがあった場合の対処を説明します。
mpatmlog(ログ収集コマンド)で改ざんを検出した場合、監査ログの収集が中断されます。改ざんが検出された場合、改ざん防止の対策を実施した上で、再度ログ収集を行ってください。再実行したログ収集では、前回の続きでログデータが収集されます。
改ざんが検出された場合、該当する監査ログが格納ディレクトリ配下の“invalidlog”ディレクトリに移動され、改ざん確認の対象外となります。
改ざんが検出されたログファイルにはログレコードが追加されません。
監査ログから改ざんが検出された場合は、以下の手順で再収集してください。
mpatmchecklog(収集したログの改ざん確認コマンド)で改ざんを検出した場合、改ざんを検出した監査ログを以下の手順で再収集します。
改ざんが検出されたログファイル名から初期化対象の被管理サーバ名とログ識別名を確認します。
改ざんされた日付のログを再収集するために、被管理サーバ上でログ情報を初期化します。
被管理サーバ上でmpatmdelap(ログ情報削除コマンド)を実行してください。
改ざんが検出されたログファイル名から退避対象のサーバ名とログ識別名を確認します。
再収集によるログデータの重複を防ぐため、前日から過去7日間の監査ログを二次媒体に退避していなければ、mpatmmediacopy(収集ログ二次媒体複写コマンド)を実行してください。当日の監査ログは再収集により、取得できます。
改ざんが検出されたログファイル名から削除対象のサーバ名とログ識別名を確認します。
再収集によるログデータの重複を防ぐため、当日から過去7日間の監査ログを削除します。
mpatmdellog(収集したログの削除コマンド)を実行してください。
改ざんが検出されたログファイル名から収集対象のサーバ名とログ識別名を確認します。
改ざんされた監査ログを復旧するため、再度ログ収集を実施します。
mpatmlog(ログ収集コマンド)を実行してください。
以下の場合は、改ざんが検出された監査ログを再収集できません。二次媒体に退避した監査ログをお使いください。
例) ログレコードが削除された場合
例) ログの保管期間が8日間未満の場合
例) 循環ログ方式でログが生成されて、過去のログレコードが上書きされた場合
なお、改ざんされたログファイルを正規化していた場合は、改ざんを検出したログファイル名からサーバ名とログ識別名、日付を確認し、対象の正規化ログを削除した上で、再度正規化してください。
mpatmmediacopy(収集ログ二次媒体複写コマンド)で改ざんを検出した場合、改ざんされた監査ログは、複写先ディレクトリ上から削除され、mpatmmediacopy(収集ログ二次媒体複写コマンド)はエラー終了します。
ただし、ETERNUS 1000FシリーズのWORM機能を利用している、または読み取り専用の装置が二次媒体装置の場合は、削除されません。
改ざん検出後は、監査ログの内容が変更された原因を取り除いた上で、再度二次媒体装置に退避してください。
例) 監査ログを収集するための設定
| mpatmlogapdef ADD -A textlog -L C:\logs\access.log -F C:\Systemwalker\MPWALKER.DM\mpatm\fmt\mpatmncsa.fmt |
例) 格納ディレクトリの設定
| mpatmtrsdef REP -S C:\savelog |
例) 複写先ディレクトリの設定
| mpatmmediadef REP -D Z:\logs |
例)監査ログの収集
| mpatmlog -H 被管理サーバ -U YES |
mpatmlog(ログ収集コマンド)を使用すると転送中における改ざん検出処理が自動的に行われます。
例)監査ログを収集するための設定 (対象:前日の監査ログ)
| mpatmarchive |
例) 監査ログに対して改ざん確認を行うためのコマンド (対象:前日の監査ログまたは圧縮ログ)
| mpatmchecklog -F 7 -T 1 |
例) 監査ログを二次媒体に複写するためのコマンド (対象:前日の監査ログおよび圧縮ログ)
| mpatmmediacopy -K LOGA |
オプション-Fと-Tを指定し、格納ディレクトリ配下の1ヶ月(31日)以前の監査ログおよび圧縮ログを削除します。
例) 監査ログを削除するためのコマンド (対象:62日前から31日前までの監査ログ)
| mpatmdellog -F 62 -T 31 -Q NO |
ジョブスケジューラやバッチファイルに登録して自動実行する場合は、上記のとおり“-Q NO”を指定し、削除実行時の再確認を省略してください。削除実行は、ログ収集と同様に一日一回実施することを想定しています。
各コマンドの詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。
|
目次
索引
|