| Systemwalker Centric Manager 使用手引書 セキュリティ編 - UNIX/Windows(R)共通 - |
|
目次
索引
|
| 第3部 セキュリティを強化するにはSystemwalkerの設定をどのようにしたらよいか | > 第10章 監査ログを分析する | > 10.2 Systemwalker Centric Managerの監査ログを分析する | > 10.2.1 root権限での操作を点検するには |
Solaris、Linux、HP-UX、およびAIXのシステムにおいて、不当にroot権限を使用していないかを分析するために必要な監査ログは、部門管理サーバや業務サーバで採取します。部門管理サーバや、業務サーバにある監査ログを運用管理サーバに収集するための設定は、以下の順で行います。
部門管理サーバ、業務サーバにおいて以下のログを採取するよう定義します。
【Solarisの場合】
採取する監査ログのログ識別名は、SolarisSuLogです。
|
/opt/systemwalker/bin/mpatmlogapdef REP -A SolarisSuLog -E YES |
【Linuxの場合】
採取する監査ログのログ識別名は、LinuxSyslogです。
|
/opt/systemwalker/bin/mpatmlogapdef REP -A LinuxSyslog -E YES |
【HP-UXの場合】
採取する監査ログのログ識別名は、HPUXSuLogです。
|
/opt/systemwalker/bin/mpatmlogapdef REP -A HPUXSuLog -E YES |
【AIXの場合】
採取する監査ログのログ識別名は、AIXSuLogです。
|
/opt/systemwalker/bin/mpatmlogapdef REP -A AIXSuLog -E YES |
mpatmlogapdef(ログ収集設定コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
運用管理サーバ−被管理サーバ(部門管理サーバ/業務サーバ)間でログ収集を行う場合、被管理サーバ上の接続可能一覧ファイルに、接続元運用管理サーバの情報(サーバ名、またはIPアドレス)を記述することで収集対象の運用管理サーバをチェックし、指定した運用管理サーバ以外からの収集を抑止することができます。
接続可能一覧ファイルについての詳細は、 “収集対象のサーバを限定する”を参照してください。
運用管理サーバにおいて、部門管理サーバ、業務サーバから収集した監査ログを格納するディレクトリを定義します。
例として、C:\mpatm\rootlogに格納します。
|
Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatmtrsdef REP -S C:\mpatm\rootlog |
mpatmtrsdef(ファイル転送情報定義コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
システムに対する不当な操作をできるだけ早く発見するため、監査ログの収集、正規化は毎日実施する必要があります。監査ログの収集・正規化によるサーバへの負荷を減らし、通常業務に支障をきたさないように、作業は夜間に行うことが必要です。そのためには、運用管理サーバにおいて、OSに標準で提供されている「タスク」などのスケジューラ機能に、監査ログ収集と正規化を実行するスケジュールを登録し、自動で作業できるようにする必要があります。
以下に、スケジューラに登録するコマンドを示します。
部門管理サーバ、業務サーバから監査ログを収集するようにコマンドを登録します。
例として、部門管理サーバのサーバ名がserver1である場合のコマンドを以下に示します。
|
Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatmlog -H server1 |
【部門管理サーバ、業務サーバがSolarisの場合】
正規化する監査ログのログ識別名は、SolarisSuLogです。
|
Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatalogcnvt -H server1 -A SolarisSuLog -L C:\mpatm\rootlog |
【部門管理サーバ、業務サーバがLinuxの場合】
正規化する監査ログのログ識別名は、LinuxSyslogです。
|
Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatalogcnvt -H server1 -A LinuxSyslog -L C:\mpatm\rootlog |
【業務サーバがHP-UXの場合】
正規化する監査ログのログ識別名は、HPUXSuLogです。
|
Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\bin\mpatalogcnvt -H server1 -A HPUXSuLog -L C:\mpatm\rootlog |
【業務サーバがAIXの場合】
正規化する監査ログのログ識別名は、AIXSuLogです。
|
Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\bin\mpatalogcnvt -H server1 -A AIXSuLog -L C:\mpatm\rootlog |
例として、Solarisの業務サーバ(ホスト名がgyoumu1)と、Linuxの業務サーバ(ホスト名がgyoumu2)から監査ログを収集し正規化する場合に、登録するコマンドを以下に示します。なお、収集した監査ログの格納先は、mpatmtrsdef(ファイル転送情報定義コマンド)を使用してC:\mpatm\rootlogに設定済であるとします。
|
C:\Systemwalker\MPWALKER.DM\bin\mpatmlog -H gyoumu1 |
mpatmlog(ログ収集コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
mpatalogcnvt(監査ログ正規化コマンド) はオプション指定により正規化対象とする監査ログを種別やホスト・出力日などで絞り込んだり、正規化をテスト実行させることができます。mpatalogcnvt(監査ログ正規化コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。
|
目次
索引
|