| Systemwalker Centric Manager 使用手引書 セキュリティ編 - UNIX/Windows(R)共通 - |
|
目次
索引
|
| 第3部 セキュリティを強化するにはSystemwalkerの設定をどのようにしたらよいか | > 第10章 監査ログを分析する | > 10.1 監査ログを分析する作業の流れ |
収集された膨大な量の監査ログに対して、サーバへの不正アクセス件数や時間帯別のアクセス件数など、監査ログの分析目的に沿った情報を集計項目として集計する機能です。
Interstage Navigator Serverと連携することにより、正規化ログの集計処理をGUIまたはコマンドで実施し、表形式(CSV形式またはHTML形式)の集計結果を取得します。分析に必要な集計項目は、問い合わせファイルに設定し、運用管理サーバに登録してあるため、どの運用管理クライアントで集計を実行しても同じ集計結果を得ることができます。
問い合わせファイルを実行することにより、集計が行われます。
集計する正規化ログが圧縮されている場合は、事前にmpatmextract(圧縮したログの解凍コマンド)で解凍します。
→[Navigator クライアント]が起動されます。
→[開く]ダイアログボックスが表示されます。
[開く]ダイアログボックスで、問い合わせファイルを選択します。
→[サーバに接続]画面が表示されます。
→以下の確認メッセージが表示されます。
→集計処理が実施されます。
→集計が終了したら、問い合わせ完了メッセージが表示されます。
→集計結果がダウンロードされます。
→読み込み完了メッセージが表示されます。
→集計が表示されます。
問い合わせファイルに設定した集計項目や、表のレイアウトどおりに集計が行われていることを確認します。
Navigatorクライアントのメッセージを抑止する
以下の設定を行うと、手順4.、および手順5.で表示された、問い合わせ完了メッセージや読み込み完了メッセージを非表示にすることができます。集計の完了に続いて結果がダウンロードされます。
集計は、運用管理サーバ上でコマンドを実行することによっても実施できます。集計に使用するコマンドはmpatareportput(集計レポート出力コマンド)です。引数として問い合わせファイルを指定します。
バッチファイルを、システムのスケジューラ機能などにスケジュール登録することにより、定期的に集計を実施することができます。
以下に、本コマンドを使用したバッチファイルの例を示します。
例:アプリケーションイベントログの集計結果をデフォルトの出力ディレクトリ(Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\var\user\report)配下に出力する場合
|
Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportput EventLogApplication.rne EventLogApplication |
mpatareportput(集計レポート出力コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。
監査ログ分析機能は、Interstage NavigatorのCSVファイルの集計機能と連携することにより実現しています。Interstage Navigatorの仕様により生じる注意事項について説明します。
監査ログの集計機能では、分析の観点・目的にしたがって対象ログレコードを特定する条件を指定します。
条件を指定するときに、以下の記号を含む文字列を使用することはできません。
監査ログ分析機能は、監査ログのログテキストから分析に必要な情報項目(ユーザ名や実行結果など)を抽出し、それを分析のキーとして使用します。集計するときは、その分析のキーを使用し「実行ユーザごとに操作失敗の件数を出す」というような集計を行います。このとき、抽出した情報の末尾の空白はデータとして扱われず無視されます。
分析のキーとしてログテキストから抽出する文字列の長さは、ログや抽出情報の内容により変わります。しかし、Interstage Navigatorが分析のキーとして扱える情報の長さはShift-JISコードで80バイトまでです。80バイトを超える文字列は、80バイトで切り捨てて実行されるため、80バイトまで同じで、81バイト以降が異なるような文字列は、同一文字列として扱われます。
ログファイル中には、TAB文字や改ページなどの制御文字が含まれている場合がありますが、Interstage Navigatorでは、制御文字を含んだ文字列を扱うことはできません。そのため監査ログ分析機能が、Interstage Navigatorと連携して処理を実行するときは、ログファイル中の制御文字はすべて半角空白に置き換えて実行されます。
監査ログ分析機能が出力する分析レポート(HTML形式)は、Interstage Navigatorの問い合わせ結果の表を元にしています。問い合わせ結果の表は、分析のキーに使用した情報の値を縦方向・横方向に列挙して表示します。
条件指定によりリスクの高い操作のログを特定し、縦方向に実行ユーザー名、横方向に実行日付を表示させる
横方向に並べた情報の個数(上記の例では日数)が多い場合、表は横に長くなります。このような場合は、分析レポートの印刷を行うときには、HTML形式を扱えるツールを使用し、書式の整形を行ってください。
Interstage Navigatorの運用にはデータベース製品が別途必要ですが、監査ログ分析機能との連携時には、Systemwalker Centric Managerのデータベースを使用することができます。
監査ログ分析機能との連携以外の用途でInterstage Navigatorを使用する場合は、対応するSymfoware/RDBなど、別途データベース製品を導入してください。
運用管理サーバがクラスタ環境の場合、辞書の更新を伴う以下の機能は使用できません。
監査ログ分析機能とInterstage Navigatorが連携するときには、Interstage Navigator のドリリング機能は使用できません。
管理ポイントに関連した以下の操作を実施しないでください。
管理ポイントを以下の方法で作成しないでください。
表の種類が集計表または明細表であり、かつ表側または表頭にデータ項目または全値型管理ポイントを配置した場合、以下を実施しないでください。
表側または表頭に配置したデータ項目または全値型管理ポイントに対しデータの並べ順を変更するため、[管理ポイントの詳細指定]画面で[データの並べ順を変更]を押下した場合、以下を実施しないでください。
|
目次
索引
|