| Systemwalker Centric Manager 使用手引書 セキュリティ編 - UNIX/Windows(R)共通 - |
|
目次
索引
|
| 第3部 セキュリティを強化するにはSystemwalkerの設定をどのようにしたらよいか | > 第10章 監査ログを分析する | > 10.1 監査ログを分析する作業の流れ |
監査ログを分析する場合、分析目的に応じて検索条件を設定し、検索結果を分析・評価します。このとき、分析対象のプラットフォームや監査ログの種別を意識することなく、同じ手順で分析を実施できることが必要です。
しかし、システムで出力されるさまざまな監査ログファイルは、それぞれ、ログテキストの形式が異なっています。このため、形式の異なる監査ログファイルを、統一された共通の形式に変換してから、分析する必要があります。
形式の異なる監査ログファイルを、統一された共通の形式に変換することを、監査ログを正規化するといいます。
分析に使用する監査ログを格納するディレクトリを作成します。
mpatacnvtdef(正規化ログ格納先定義コマンド)で、正規化ディレクトリとして定義します。正規化された監査ログはこのディレクトリに格納されます。
【定義例】
c:\mpata\cnvtlogを作成し、正規化ログ格納ディレクトリとして定義します。
|
mkdir C:\mpata\cnvtlog |
システムで出力されるさまざまな監査ログファイルは、それぞれ、ログテキストの形式が異なっています。監査ログを正規化するには、監査ログの各値を共通形式のどの項目名として置き換えるかを指定しなければなりません。この変換規則を、正規化ルール定義ファイルで指定します。
製品に添付されている正規化ルール定義ファイルは、運用に応じて変換規則を変更して使用します。正規ルール定義ファイルはiniファイル形式です。内容を変更する場合は、テキストエディタを使用します。
定義ファイルの詳細は、“Systemwalker Centric Managerリファレンスマニュアル”で“正規化ルール定義ファイル”を参照してください。
なお、IISログ(W3C拡張形式)の場合、正規化ルール定義ファイルでコメントアウトされているIIS 5.0またはIIS 6.0の定義を有効にしてください。
監査ログファイルがバイナリログファイルの場合、直接正規化することはできません。バイナリログファイルをテキストログファイルに変換してから、正規化してください。
以下に手順を示します。
mpatmlog(ログ収集コマンド)を使用して、バイナリログファイルを運用管理サーバ上の格納ディレクトリに格納します。mpatmlog(ログ収集コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
適切なコマンド、またはツールを使用して、バイナリログファイルをテキストログファイルに変換し、一時ディレクトリに格納します。
このとき、以下の条件をすべて満たすことが必要です。
監査ログ管理の収集規約については、“監査ログ管理でログを収集するために”を参照してください。
【テキストログファイル名の例】
|
C:\Windows\Temp\server1_BinLog_s_20061221.log |
運用管理サーバ上の以下のディレクトリ配下に、テキストログファイルのログ識別名および日時出力書式に対応した、日付書式定義ファイルを配置します。
|
Systemwalkerインストールディレクトリ\MPWALKER.DM\MpAtm\Analysis\サーバ名\ログ識別名\ |
mpatalogcnvt(監査ログ正規化コマンド)で“-L 一時ディレクトリ名”オプションを指定して、一時ディレクトリ上にあるテキストログファイルを正規化ログファイルに変換し、正規化ディレクトリに格納します。mpatalogcnvt(監査ログ正規化コマンド)の詳細は、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。
【テキストログファイルの正規化例】
| Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatalogcnvt -H server1 -A BinLog -L C:\Windows\Temp\ -F 1 -T 1 |
正規化後、不要になったテキストログファイルを削除します。
運用管理サーバにテキスト変換コマンドを用意できない場合、業務サーバでバイナリログファイルをテキストログファイルに変換し、テキストログファイルを運用管理サーバへ収集します。
以下に手順を示します。
適切なコマンド、またはツールを使用して、バイナリログファイルをテキストログファイルに変換し、一時ディレクトリ上に格納します。
このとき、以下の条件をすべて満たすことが必要です。
監査ログ管理の収集規約については、“監査ログ管理でログを収集するために”を参照してください。
【テキストログファイル名の例】
|
C:\Windows\Temp\server1_BinLog_s_20061221.log |
mpatmlog(ログ収集コマンド)を使用して、テキストログファイルを運用管理サーバ上の格納ディレクトリに格納します。
収集後、不要になったテキストログファイルを削除します。
mpatalogcnvt(監査ログ正規化コマンド)を使用して、テキストログファイルを正規化ログファイルに変換し、正規化ディレクトリに格納します。
監査ログがユーザ独自ログの場合、システム管理者は、運用管理サーバ上で正規化ルール定義ファイルを作成し、運用管理サーバに登録してください。
以下に手順を示します。
正規化ルール定義ファイルの格納場所が “Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\etc\rule”、コピー元の正規化ルール定義ファイルが“mpatarule_ApacheErrorLog.ini”であるとします。
|
cd Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\etc\rule |
XXXXX:ユーザ独自ログのログ識別名を表します。
監査ログがSystemwalker Desktop Keeperクライアント操作ログ(以下DTKログ)の場合、システム管理者は運用管理サーバ上で正規化ルール定義ファイルを作成し、運用管理サーバに登録してください。
以下に手順を示します。
正規化ルール定義ファイルの格納場所が “Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\etc\rule”、コピー元の正規化ルール定義ファイルが“mpatarule_DTK.ini”であるとします。
|
cd Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\etc\rule |
DTKXXXXX:DTKログのログ識別名を表します。
mpatarulectl(正規化ルール管理コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。
正規化するためには、mpatalogcnvt(監査ログ正規化コマンド)を実行します。
本コマンドは、監査ログ管理機能の格納ディレクトリ上に格納された監査ログファイルを正規化し、正規化ログファイルとして、正規化ディレクトリに格納します。
正規化ディレクトリは、運用管理サーバのローカルディスク上に作成してください。検索/集計時に必要な全正規化ログファイルを格納できる容量を確保してください。
一般的な運用では、監査ログ管理のmpatmlog(ログ収集コマンド)を記述したバッチファイルまたはシェルスクリプトに本コマンドを記述し、スケジューラに登録します。
監査ログ正規化コマンドの処理時間の目安としては、10KBの監査ログファイルが10ファイル(合計100KB)で8秒程度です。
ただし、処理時間はマシン性能により異なりますので、スケジュールの際には対象とする監査ログの量と実機での測定を行った上で処理時間を見積もってください。
正規化は、基本的に1つの監査ログファイルが、1つの正規化ログファイルに変換されます。ただし、以下の場合は、複数の正規化ログファイルに分割して変換されます。
各種監査ログファイルは、以下の監査ログ項目を持つ正規化ログファイル(CSV形式)に変換されます。
以下の監査ログ項目は、検索機能および集計機能利用時に、条件指定で選択したり、結果表示項目として指定することが可能です。
|
項番 |
項目名 |
値の形式(説明) |
|---|---|---|
|
1 |
日時 |
YYYY/MM/DD△HH:mm:SS |
|
2 |
日付 |
MM/DD(ローカル日付) |
|
3 |
時刻 |
HH:mm:SS(ローカル時刻) |
|
4 |
時間帯 |
HH(ローカル時刻)(注1) |
|
5 |
曜日 |
日 |
|
6 |
操作場所 |
操作を行ったホスト名など(運用管理クライアント名など) |
|
7 |
操作IPアドレス |
操作を行ったホストのIPアドレス |
|
8 |
実行ホスト |
要求された操作を実際に実行するホスト名(運用管理サーバ名など)(注2) |
|
9 |
実行IPアドレス |
要求された操作を実際に実行するホストのIPアドレス |
|
10 |
操作者 |
操作を行ったユーザ名 |
|
11 |
操作対象 |
操作対象となるノードやアプリケーションなどを表す名称(業務サーバ名など) |
|
12 |
操作種別 |
操作した内容を分類するための種別 |
|
13 |
操作内容 |
何を行ったかの内容(実行したコマンド行やメッセージテキスト) |
|
14 |
実行結果 |
成功 |
|
15 |
コンポーネント |
操作対象のコンポーネント名 |
|
16 |
追加情報 |
操作エラーの詳細情報、操作を追跡するためのID(セッションID相当)、影響範囲など |
|
17 |
深刻度 |
不明 |
|
18 |
ログテキスト |
元の監査ログテキスト |
|
19 |
ログ種別 |
EventLogApplication |
|
20 |
拡張種別1 |
ログ種別ごとに一意で固有の項目を「拡張項目」として格納します(最大20項目)。 |
|
21 |
拡張値1 |
|
|
22 |
拡張種別2 |
|
|
23 |
拡張値2 |
|
|
24 |
拡張種別3 |
|
|
25 |
拡張値3 |
|
|
26 |
拡張種別4 |
|
|
27 |
拡張値4 |
|
|
28 |
拡張種別5 |
|
|
29 |
拡張値5 |
|
|
30 |
拡張種別6 |
|
|
31 |
拡張値6 |
|
|
32 |
拡張種別7 |
|
|
33 |
拡張値7 |
|
|
34 |
拡張種別8 |
|
|
35 |
拡張値8 |
|
|
36 |
拡張種別9 |
|
|
37 |
拡張値9 |
|
|
38 |
拡張種別10 |
|
|
39 |
拡張値10 |
|
|
40 |
拡張種別11 |
|
|
41 |
拡張値11 |
|
|
42 |
拡張種別12 |
|
|
43 |
拡張値12 |
|
|
44 |
拡張種別13 |
|
|
45 |
拡張値13 |
|
|
46 |
拡張種別14 |
|
|
47 |
拡張値14 |
|
|
48 |
拡張種別15 |
|
|
49 |
拡張値15 |
|
|
50 |
拡張種別16 |
|
|
51 |
拡張値16 |
|
|
52 |
拡張種別17 |
|
|
53 |
拡張値17 |
|
|
54 |
拡張種別18 |
|
|
55 |
拡張値18 |
|
|
56 |
拡張種別19 |
|
|
57 |
拡張値19 |
|
|
58 |
拡張種別20 |
|
|
59 |
拡張値20 |
|
項目の値 |
ログ種別 |
|
EventLogApplication |
Windowsイベントログのアプリケーションログ |
|
EventLogSecurity |
Windowsイベントログのセキュリティログ |
|
EventLogSystem |
Windowsイベントログのシステムログ |
|
EventLogDNSServer |
WindowsイベントログのDNS Serverログ |
|
EventLogDirectoryService |
WindowsイベントログのDirectory Serviceログ |
|
EventLogFileRepService |
Windowsイベントログのファイル複製サービスログ |
|
EventLogDFSReplication |
WindowsイベントログのDFSレプリケーションログ |
|
EventLogHardwareEvents |
Windowsイベントログのハードウェアイベントログ |
|
EventLogForwardedEvents |
Windowsイベントログの転送されたイベントログ |
|
SolarisSyslog |
Solarisシステムログ |
|
SolarisSuLog |
Solairs suログ |
|
SolarisLoginLog |
Solarisログインログ |
|
LinuxSyslog |
Linuxシステムログ |
|
HPUXSyslog |
HP-UXシステムログ |
|
HPUXSuLog |
HP-UX suログ |
|
AIXSyslog |
AIXシステムログ |
|
AIXSuLog |
AIX suログ |
|
IISNCSALog |
IISのNCSA 共通ログファイル形式 |
|
IISLog |
IISのMicrosoft IIS ログファイル形式 |
|
IISW3CLog |
IISのW3C拡張形式 |
|
ApacheAccessLog |
Apacheのアクセスログ NCSA 形式 |
|
ApacheErrorLog |
Apacheのエラーログ |
|
NREventLog |
ETERNUS NR1000F seriesイベントログ |
|
DTK |
Systemwalker Desktop Keeper バックアップコマンドにより出力されたログ |
|
CMGRCmdRevLog |
Systemwalker Centric Managerのリモートコマンド検索ログ |
|
CMGROpLog |
Systemwalker Centric Managerの[Systemwalkerコンソール]の監査ログ |
|
CMGRSvacLog |
サーバアクセス制御の監査ログ |
|
CMGRSVOpLog |
Systemwalker Centric Managerのサーバ操作制御の監査ログ |
|
OMGRLog |
Systemwalker Operation Managerの操作ログ |
通常、正規化ディレクトリには定期的に分析する予定のある正規化ログを格納し、不要になり次第、圧縮または削除してください。
監査ログや正規化ログを退避する場合は、監査ログ管理のmpatmmediacopy(収集ログ二次媒体複写コマンド)を使用して退避します。
正規化ログを圧縮/解凍する場合は、mpatmarchive(収集したログの圧縮コマンド)/mpatmextract(圧縮したログの解凍コマンド)を使用します。詳細については、リファレンスマニュアルを参照してください。
すでに正規化ログを削除してしまった過去の監査ログに対して突発的な調査が必要になった場合は、必要なログを正規化コマンドで正規化して分析してください。
ネットワーク上のディスクを正規化ディレクトリとして使用することも可能です。
監査ログを収集する場合、収集定義はポリシーを使用して行います。詳細は、“ポリシーを使用して設定する”を参照してください。
しかし、収集定義をコマンドで行った場合、分析前に以下の手順で正規化を実施する必要があります。また、業務サーバからユーザ独自ログの収集を行っている場合、日付書式定義ファイルも転送する必要があります。
業務サーバからユーザ独自ログの収集を行っている場合、業務サーバ上にあるユーザ独自ログ用の日付書式定義ファイル(*.fmt)を、監査ログ分析が導入された運用管理サーバの、Systemwalkerインストールディレクトリ\MPWALKER.DM\MpAtm\Analysis\サーバ名\ログ識別名 配下に、ftpコマンドで転送し、格納してください。
監査ログ正規化コマンドを使用して、格納ディレクトリ配下に転送した監査ログファイルを、正規化ディレクトリ配下に正規化してください。
以下は、すべての監査ログを正規化する例です。
|
Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatalogcnvt |
|
目次
索引
|