Systemwalker Centric Manager 使用手引書 セキュリティ編 - UNIX/Windows(R)共通 -

目次 索引

10.2.1.2 問い合わせサンプルファイルを編集する

監査ログを分析するには、監査ログを集計するときの問い合わせ条件（集計項目）や、集計結果を表示する表のレイアウトの設定条件を、問い合わせファイルに定義する必要があります。

セキュリティ管理者は、root権限の不正な使用を分析する場合の固有情報(実行ホスト、操作者、root権限での操作が不当な時間帯)を設定するため、標準提供されている“root権限不当使用分析問い合わせサンプルファイル”をカスタマイズします。

監査ログ分析のための設定は、以下の順で行います。

1. root権限不当使用分析問い合わせサンプルファイルを編集する
2. root権限不当使用分析問い合わせサンプルファイルの動作確認をする
3. スケジューラに集計を実行するコマンドを登録する

ユーザ名(アカウント名)についての注意事項

Solaris suログではsu操作を行ったユーザ名と新ユーザ名の区切りにハイフンが使用されています。そのため、ハイフン(-)を含んだユーザ名(アカウント名)は使用しないでください。

■root権限不当使用分析問い合わせサンプルファイルを編集する

問い合わせサンプルファイルは、監査ログ分析機能をインストールしたときに、運用管理クライアントに格納されます。この問い合わせサンプルファイルをコピーしてカスタマイズします。問い合わせファイルの編集は、Interstage Navigatorで行います。

◆サンプルファイルをコピーする

問い合わせサンプルファイルを、任意のディレクトリにコピーします。

問い合わせサンプルファイルのインストール先は“Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\sample\total”です。“root権限不当使用分析問い合わせサンプルファイル”のファイル名は“rootAuthorityUse.rne”です。

コピー先がc:\tempの場合の例を以下に示します。

◆問い合わせファイルの編集する項目

“root権限不当使用分析問い合わせサンプルファイル”には、初期値として以下の条件が登録されています。

• 期間対象が開始日から終了日までである。かつ、
• ログ種別が、以下のどれかである。かつ、
  • Solaris suログ
  • Linuxシステムログ
  • HP-UX suログ
  • AIX suログである。
• 追加情報がrootである。かつ、
• 以下の条件のどれかに一致する。
  • 時刻が、8時0分0秒より前である、または23時0分0秒以降である。
  • 操作者がUSER1ではない、かつ、実行ホストがHOST1またはHOST2である。
  • 操作者がUSER2ではない、かつ、実行ホストがHOST3またはHOST4である。

これらの条件のうち、時刻はroot権限の使用が許可されていない時間帯になるように、必要に応じて設定値を変更してください。

操作者と実行ホスト（太字部分）は運用に合わせて必ずカスタマイズする必要があります。操作者と実行ホストには、root権限の使用が許可されているシステム管理者のアカウント名と、その管理者の管理対象ホスト名を登録します。サンプルファイルには操作者と実行ホストの組み合わせが2組登録されていますので、実際の運用で使用している管理者アカウントの数により、以下の手順で条件の変更、追加、または削除を行ってください。

登録する管理者アカウントが1つの場合

1. サンプルファイルに登録されている操作者と実行ホストの組み合わせのうちの1つを、実際の管理者アカウント名・管理ホスト名に変更します。

   変更方法については、“条件の変更方法”を参照してください。

2. 変更を行わなかった組み合わせを削除します。

   削除方法については、“条件の削除方法”を参照してください。

登録する管理者アカウントが2つの場合

1. サンプルファイルに登録されている2組の操作者と実行ホストの組み合わせのそれぞれについて、実際の管理者アカウント名・管理ホスト名に変更します。

   変更方法については、“条件の変更方法”を参照してください。

登録する管理者アカウントが3つ以上の場合

1. サンプルファイルに登録されている2組の操作者と実行ホストの組み合わせのそれぞれについて、実際の管理者アカウント名・管理ホスト名に変更します。

   変更方法については“条件の変更方法”を参照してください。

2. 操作者と実行ホストの組み合わせ条件を新たに追加します。

   追加方法については、“条件の追加方法”を参照してください。

◆編集画面を起動する

問い合わせファイルの編集は、Interstage Navigatorのクライアント画面で行います。Interstage Navigatorのクライアント画面の起動方法を説明します。

1. [スタート]メニューから[プログラム]-[Interstage Navigator Client]-[Navigator クライアント]を選択します。

   →[Navigator クライアント]が起動されます。

   

2. [Navigator クライアント]から[ファイル]メニューの[開く]を選択します。

   →[開く]ダイアログボックスが表示されます。

   [開く]ダイアログボックスで、任意のディレクトリにコピーしたカスタマイズ用“root権限不当使用分析問い合わせファイル”を選択します。

   →[サーバに接続]画面が表示されます。

   

3. [サーバに接続]画面において、Interstage Navigator Serverに接続するためのユーザ名とパスワード、Interstage Navigator Serverがインストールされた運用管理サーバのサーバ名を入力し、[OK]ボタンをクリックします。

   →確認メッセージが表示されます。

   

4. 問い合わせファイルをカスタマイズするので、[いいえ]ボタンをクリックします。

   ボタンの選択についての注意事項

   [はい]ボタンをクリックすると、問い合わせファイルをカスタマイズできずに集計処理が実行されてしまいます。

   →[レイアウトの指定]画面が表示されます。

   

◆問い合わせファイルを編集する

“root権限不当使用分析問い合わせファイル”に定義されている操作者、および実行ホストの変更方法を説明します。

• 条件の変更方法
• 条件の削除方法
• 条件の追加方法

条件の変更方法

条件に設定されている内容を変更する方法を説明します。

1. [レイアウトの指定]画面で、[条件のAND/OR編集]画面表示の起動ボタンをクリックします。

   

   →[条件のAND/OR編集]画面が表示されます。

2. [条件のAND/OR編集]画面で、[操作者: NOT (USER1)]を選択し、[項目の詳細]ボタンをクリックします。

   

   →[条件の指定]画面が表示されます。

3. [一致キー]に実際の管理者のアカウント名を入れ、[OK]ボタンをクリックします。

   

4. [実行ホスト: HOST2, HOST1]を選択し、[項目の詳細]ボタンをクリックします。

   

   →[条件の指定]画面が表示されます。

5. [一致キー]に実際の管理対象であるホスト名を入力し、[OK]ボタンをクリックします。管理対象のホストが複数ある場合は、ホスト名をカンマで区切って入力します。

   

6. 操作者、および実行ホストが正しく変更されていることを確認し、 [OK]ボタンをクリックします。

   

条件の削除方法

条件を削除する方法を説明します。

1. [レイアウトの指定]の画面において、[条件]で不要な[操作者]を選択し、[削除]ボタンをクリックします。

   

   削除対象についての注意事項

   [条件]の欄には登録されている条件の項目名（[操作者]など）だけが横一列に並んで表示されます。そのため、本サンプルの[操作者]のように、同じ項目に対して複数個の条件が設定されている場合、同じ項目名が複数表示されていますので、選択の際に削除対象を間違えないように、注意してください。

   →削除確認の画面が表示されます。

2. [OK]ボタンをクリックします。

   

   →操作者が削除されます。

3. [条件]の欄で選択して削除した[操作者]の右側にある[実行ホスト]も同様の手順で削除します。
4. [条件のAND/OR編集]画面において、必要のない条件が削除されていることを確認します。

   

条件の追加方法

操作者と実行ホスト条件の追加を行う場合、単に条件項目を追加するだけではなく、追加した条件項目をサンプルに設定されている他の操作者と実行ホストの組み合わせと同じ論理構造にする必要があります。

ここでは、以下の手順について説明します。

• 項目を追加する
• 論理構造を設定する

【項目を追加する】

以下の手順で、操作者と実行ホストの条件項目を追加します。

1. [レイアウトの指定]の画面において、[データ項目]の[操作者]を右クリックして表示されるポップアップメニューから[追加]を選択します。さらに表示されるポップアップメニューから[条件]をクリックします。

   

   →[条件の指定]画面が表示されます。

2. [一致キー]に新たに追加する管理者名を入れ、[一致しないデータが対象]にチェックを付けます。

   

3. [OK]ボタンをクリックします。
4. [実行ホスト]についても同様に、[レイアウトの指定]の画面において、[データ項目]の[実行ホスト]を右クリックして表示されるポップアップメニューから[追加]を選択します。さらに表示されるポップアップメニューから[条件]をクリックします。
5. [条件の指定]画面において、[一致キー]に管理対象であるホスト名を入力します。管理対象のホストが複数ある場合、ホスト名をカンマで区切って入力します。

   

6. [OK]ボタンをクリックします。

【論理構造を設定する】

[条件のAND/OR編集]画面において、追加した項目の条件をサンプルに設定されている条件と同じ論理構造にします。

1. [レイアウトの指定]画面で、[条件のAND/OR編集]画面表示の起動ボタンをクリックします。

   →[条件のAND/OR編集]画面が表示されます。

2. 追加した操作者と実行ホストの条件を、2つで1組の条件にするために、操作者の条件を[レベル上げ]によって階層化します。手順は以下のとおりです。
   1. 追加した[操作者: NOT (管理者名)]を選択し、[レベル上げ]ボタンをクリックします。

      

      →選択した[操作者]の条件が階層化されます。

3. 作成した階層内に実行ホストの条件を入れます。手順は以下のとおりです。
   1. 追加した[実行ホスト]の条件を選択し、[上に移動]ボタンをクリックします。

      

      →選択した[実行ホスト]の条件が、直上の階層内の[操作者]の条件の上に移動します。

4. 追加した操作者・実行ホストの条件を既存の操作者・実行ホストの条件が配置されている階層内に入れます。手順は以下のとおりです。
   1. [時刻]の条件の下にある、[OR((操作者 AND 実行ホスト) AND (操作者 AND 実行ホスト))]のツリーを開きます。
   2. 追加した[AND(実行ホスト AND 操作者)]を選択した後、[上に移動]ボタンをクリックします。

      

      →選択した[実行ホスト AND 操作者]の条件が、すぐ上の階層内の[操作者 AND 実行ホスト]の条件の上(2つある既存の条件の間)に移動します。

5. 追加した操作者と実行ホストの条件は他の操作者と実行ホストの条件とAND条件の関係になっているため、他の条件と同じようにOR条件にします。手順は以下のとおりです。
   1. 追加／移動した[AND(実行ホスト AND 操作者)]を選択した後、[AND/OR]ボタンをクリックします。

      

      →[OR(実行ホスト AND 操作者)]の状態に変わります。

ここまでの操作で、必要な条件の追加ができました。しかし、この状態では[条件の一覧]内の表示内容と、問い合わせファイルに設定されている条件が以下のように異なり、確認がしにくくなっています。

• 追加した条件が一番下ではなく、下から2番目の位置にある。
• 追加した条件は[実行ホスト AND 操作者] と表示されており、問い合わせファイルに設定されている条件とは[操作者]と[実行ホスト]の表示順が逆になっている。

そこで、追加した条件を一番下に移動し、[操作者]と[実行ホスト] の表示順を[操作者 AND 実行ホスト]とする方法を説明します。

1. 追加した[AND(実行ホスト AND 操作者)]を選択し、[下に移動]ボタンをクリックします。
2. 追加した[操作者: NOT(管理者名)]を選択し、[上に移動]ボタンをクリックします。

   

   →選択した条件がそれぞれボタンどおり移動します。

3. 追加した条件の内容が正しいこと、および論理構造が問い合わせファイルに設定されていた条件と同じであることを確認し、[OK]ボタンをクリックします。

さらに[操作者]、[実行ホスト]を追加する場合は、手順1から同様の操作を行います。

◆問い合わせファイルを保存する

1. [レイアウトの指定]画面で[OK]ボタンをクリックします。

   →[Navigator クライアント]画面が表示されます。

   

2. ここでは集計処理を実施しないので、[いいえ]ボタンをクリックします。

   ボタンの選択についての注意事項

   誤って[はい]ボタンをクリックした場合、集計が実行されてしまいます。

   →[Navigator クライアント]画面が表示されます。

   

3. [ファイル]メニューから[名前を付けて保存]を選択し、ファイルを保存します。

   →“root権限不当使用分析問い合わせサンプルファイル”が、運用管理クライアント上のファイルとして作成されます。

   例として、以下の場所に保存します。

   • フォルダ名: C:\temp
   • ファイル名: SuLogCheck.rne

     問い合わせファイル名についての注意事項

     問い合わせファイル名は集計レポート出力コマンドで使用するため、ASCII文字210文字以内またはシフトJIS文字105文字以内で指定してください。

4. [ファイル]メニューから[終了]を選択します。

■root権限不当使用分析問い合わせサンプルファイルの動作確認をする

動作確認をするために、編集したサンプルファイルを使用して実際に集計した結果と、監査ログの内容を比較します。

◆サンプルファイルで集計する

以下の手順で、編集したサンプルファイルを使用して、実際に集計します。

1. [スタート]メニューから[プログラム]-[Interstage Navigator Client]-[Navigator クライアント]を選択します。

   →[Navigator クライアント]が起動されます。

   

2. [Navigator クライアント]から[ファイル]メニューの[開く]を選択します。

   →[開く]ダイアログボックスが表示されます。

   [開く]ダイアログボックスで、“root権限不当使用分析問い合わせサンプルファイルを編集する”で編集した問い合わせファイルを選択します。

   →[サーバに接続]画面が表示されます。

   

3. [サーバに接続]画面において、Interstage Navigator Serverに接続するためのユーザ名とパスワード、Interstage Navigator Serverがインストールされた運用管理サーバのサーバ名を入力し、[OK]ボタンをクリックします。

   →確認メッセージが表示されます。

   

4. [はい]ボタンをクリックします。

   →以下の画面が表示されます。

   

5. [OK]ボタンをクリックします。

   →以下の画面が表示されます。

   

6. [OK]ボタンをクリックします。

   →集計結果が表示されます。

   

◆監査ログから抽出した監査ログの件数と比較する

監査ログから以下の手順で監査ログを抽出し、サンプルファイルを使用して集計した結果と比較します。

1. Solarisのsuログ、Linuxのsyslog、HP-UXのsuログ、およびAIXのsuログから、指定した時間帯以外の監査ログを抽出します。
2. Solarisのsuログ、Linuxのsyslog、HP-UXのsuログ、およびAIXのsuログについて、変更先アカウントがrootの監査ログを抽出します。
3. 手順2の抽出結果からさらに、操作者がそのシステムの管理者アカウント以外の監査ログを抽出します。
4. 手順1と手順3で抽出した監査ログが、root権限を不当に使用したときの監査ログとなるため、その監査ログの件数を数えます。
5. 手順4で数えたroot権限不当使用ログの件数を集計結果と比較し、同じ件数であることを確認します。

   →確認した結果に問題がなければ、“root権限不当使用分析問い合わせサンプルファイル”(root権限不当使用チェック)が正しく設定されており、運用で使用できることが証明されました。

目次 索引