| Systemwalker Centric Manager 使用手引書 グローバルサーバ運用管理ガイド - UNIX共通 - |
|
目次
索引
|
| 第4章 監査ログを管理/分析する |
被監視システムのログを運用管理サーバに収集し、監査ログを管理/分析する運用について説明します。
各システム上にある自動化機能、OSのスケジュール機能、スケジュール製品の使用により、自動運用によるログ収集が可能です。
また、被監視システム上での処理結果出力メッセージ、ログ収集の処理結果出力メッセージを監視することで、ログ出力処理の異常監視、処理の再開などのアクションも可能となります。
被監視システムの自動化・省力化機能のAOF(Advanced Operation Facility:MSP)、SCF(System Control Facility:XSP)を利用し、被監視システム上へ出力したログ(RACF/AIM)を運用管理サーバに転送します。
被監視システム上で行う作業を以下に示します。
以下に、それぞれの作業について説明します。
それぞれの作業は、OP(Operation Procedure)/SCFを使い自動運用します。被監視システムの監査ログの採取は定期的に実施してください。
OS上で管理しているファイルの切替/交替を行います。
以下のコンソールコマンドを使用します。
[MSP]の場合
|
SWITCH SMF コマンド |
OPを使い、上記のコマンドを発行してください。
コマンドが正しく終了したことを確認するために、OPで以下のメッセージを待ち合わせてください。
SWITCHコマンドの詳細は、“OSIV/MSP コンソールコマンド文法書 AFII”を参照してください。
[XSP]の場合
|
FDUMP DA,SW,FILE=file名 コマンド |
SCFを使い、上記のコマンドを発行してください。
コマンドが正しく終了したことを確認するために、SCFで以下のメッセージを待ち合わせてください。
FDUMP指令(システム管理ロギングファイルの磁気テープ又は直接アクセスボリュームへの掃き出し)の詳細は、“OSIV/XSP 操作手引書 AFII”を参照してください。
以下のコンソールコマンドを使用します。
|
SWITCH HLF コマンド |
OP/SCFを使い、上記のコマンドを発行してください。
コマンドが正しく終了したことを確認するために、OP/SCFで以下のメッセージを待ち合わせてください。
SWITCH [HLF]コマンド(HLFファイルの交替)の詳細は、“OS IV AIM操作コマンド文法書”を参照してください。
CSV出力ユーティリティを使い、RACF(アクセスログ)、AIM(業務ログ)の情報を抽出します。
以下のユーティリティを実行し、RACFログを抽出します。
[MSP]の場合
SMFダンプデータセットの作成処理
OPを使い、KDKSMFDP ユーティリティを動作させてください。(注1)
KDKSMFDP ユーティリティの復帰値が“0”の場合が正常終了です。(注2)
CSV出力処理
OPを使い、手順1.で作成したSMFダンプデータセットを入力として、KDSARCSV ユーティリティを動作させてください。(注1)
KDSARCSV ユーティリティの復帰値が“0”の場合が正常終了です。(注2)
注1)
OPを使い、ユーティリティを動作させる方法について、以下に例を示します。
注2)
OPを使い、ユーティリティが正常終了したかどうかを判定する方法について、以下に示します。
以下のメッセージを使い、OPを作成してください。
ユーティリティが正常に終了した場合には“KDS401I”のメッセージが出力されます。正常に終了していない場合は、“KDS402E”が出力されます。
[XSP]の場合
SMFファイルの作成処理
SCFを使い、上記のコマンドを発行してください。
CSV出力処理
SCFを使い、手順1.で退避したSMFファイルを入力として、KDSARCSV ユーティリティを動作させてください。(注3)
KDSARCSV ユーティリティの正常終了は、“KDS401I”のメッセージで確認します。(注4)
注3)
SCFを使い、ユーティリティを動作させる方法について、以下に例を示します。
SCFで“:STACK指令”(システム入力制御プログラムの発生)を発行することで、ユーティリティを動作させます。
注4)
SCFを使い、ユーティリティが正常終了したかどうかを判定する方法について、以下に示します。
以下のメッセージを使い、SCFを作成してください。
ユーティリティが正常に終了した場合には“KDS401I”のメッセージが出力されます。正常に終了していない場合は、“KDS402E”が出力されます。
KDKSMFDPプログラム(SMFダンプデータセットの複写とSMFデータセットのクリア)の詳細は、“OSIV/MSP SMF説明書 AFII”を参照してください。
FDUMP指令(システム管理ロギングファイルの磁気テープ又は直接アクセスボリュームへの掃き出し)の詳細は、“OSIV/MSP 操作手引書 AFII”を参照してください。
KDSARCSV ユーティリティ(SMFレコードのCSV変換)の詳細は、“OS IV/MSP RACFユーティリティ使用手引書”、“OSIV/XSP RACF運用手引書”を参照してください。
JSDGENER ユーティリティ(順データセットの複写・編集ユーティリティ)の詳細は、“OS IV/MSP データセットユーティリティ使用手引書 AFII”を参照してください。
インタナルリーダ(INTRDR)、スターテッドタスクジョブ(STCジョブ)、プロシジャライブラリの詳細は、“OS IV/MSP 運用手引書 JES編 AFII”を参照してください。
:STACK 指令(システム入力制御プログラムの発生)の詳細は、“OS IV/XSP 操作手引書 AFII”を参照してください。
以下のユーティリティを実行し、AIMログを抽出します。
イメージコピーの取得
ログ出力処理(分類機能)
上記の2つのユーティリティの動作方法、復帰値は、以下を参照してください。
[MSP]の場合
OPを使い、JXALEDIT ユーティリティを動作させてください。(注1)
JXALEDITユーティリティが終了した場合は、“JXA237I”のメッセージが出力され、正常終了の場合は、メッセージ内の“RCODE=nn”欄に“RCODE=00”と出力されます。
“JXA237I”はJXALEDITユーティリティの終了メッセージであり、ユーティリティ実行制御文のUIDパラメタに1.または2.の処理を区別できるよう、UIDパラメタ値の設定が必要です。
注1)詳細については、“RACF(アクセスログ)を抽出の場合”の“注1)”を参照してください。
[XSP]の場合
SCFを使い、JXALEDIT ユーティリティを動作させてください。(注2)
JXALEDITユーティリティが終了した場合は、“JXA237I”のメッセージが出力され、正常終了の場合は、メッセージ内の“RCODE=nn”欄に"RCODE=10"と出力されます。
“JXA237I”はJXALEDITユーティリティの終了メッセージであり、ユーティリティ実行制御文のUIDパラメタに1.または2.の処理を区別できるよう、UIDパラメタ値の設定が必要です。
注2)詳細については、“RACF(アクセスログ)を抽出の場合”の“注3)”を参照してください。
JXALEDITユーティリティ(履歴ログデータの編集)の詳細は、[MSP]と[XSP]の場合共に“AIM操作手引書” 、“AIMユーティリティ使用手引書”を参照してください。
運用管理サーバ上のあらかじめ指定した転送先ディレクトリ上へ、抽出したファイルを転送します。
ファイル内の文字コードは変換が必要です。転送元システム(被監視システム)のファイル内の文字コードはEBCDIC(ASCII)です。ファイル転送後、転送先システム(運用管理サーバ)のファイル内の文字コードを(EBCDIC(ASCII)から)ASCIIに変換しておく必要があります。
以下の条件でファイルを転送する時のコマンド例を示します。
OP/SCFを使い、以下のコマンドを発行してください。
[MSP]の場合
|
MODITY LXP,SEND NODE(UNKAN) LINK(NO) |
[XSP]の場合
|
JALT JN=LXP,SEND NODE(UNKAN) LINK(NO) |
ファイル転送コマンドが正常に終了した場合、"KGFV368I "で始まるメッセージが出力されます。ファイル転送コマンドが失敗した場合、"KGFV369I"で始まるメッセージが出力されます。
転送コマンドは、Linkexpress File Transferのコンソールコマンド(SENDコマンド)を使用します。SENDコマンド(ファイル送信コマンド)の詳細は、“OSIV Linkexpress File Transfer 使用手引書”を参照してください。
OSのスケジュール機能(crontab)、スケジュール製品(Systemwalker Operation Manager)を使用し、運用管理サーバ上に転送した被監視システムのログの収集、分析への活用、二次媒体への保管を行います。
mpatmlog(ログ収集コマンド)を使用して、被監視システムのログを収集します。
|
mpatmlog -H UNKAN -A GSRACFTokyo |
以下の条件で被監視システムのログを収集します。
転送先ノード: UNKAN
ログ識別名 : GSRACFTokyo
正常終了の場合、“0121”で始まるメッセージがコマンドの標準出力に出力されます。またOSログ(syslog、イベントログ)に出力されます。
mpatmlog(ログ収集コマンド)を使用したログ収集処理については、“Systemwalker Centric Manager 使用手引書 セキュリティ編”の“監査ログを収集する”を参照してください。
ファイル転送の完了後にログ収集が開始されているかを、GS上のジョブ結果またはコンソールで、ファイル転送完了時刻とログ収集開始時刻とを見比べて確認します。
“Systemwalker Centric Manager メッセージ説明書”を参照して異常終了の原因を取り除いた後、GSシステムから運用管理サーバへの次回のファイル転送が始まる前に、以下の対処を実施します。
【ファイルを拡張(追加)モードで転送している場合】
【ファイルを置換モードで転送している場合】
ログ収集が正常終了したら、被監視システムから転送されたログファイルを、ファイル転送ディレクトリ配下から削除します。
次に、改名したログファイルを入力としてログ収集を実行します。
ログ収集が正常終了したら、改名したログファイルを削除します。
mpatalogcnvt(監査ログ正規化コマンド)を使用し、正規化ログを作成します。
|
mpatalogcnvt -H UNKAN -A GSRACFTokyo -F 1 -T 1 -R /var/tokyo/rule/gsracflog.ini |
転送先ノード: UNKAN
ログ識別名 : GSRACFTokyo
正規化ルールファイル名 : /var/tokyo/rule/gsracflog.ini
正規化条件 1日前のログについて正規化を行う
正常終了の場合、“3200”で始まるメッセージがコマンドの標準出力に出力されます。
mpatalogcnvt(監査ログ正規化コマンド)を使用した正規化処理については、“Systemwalker Centric Manager 使用手引書 セキュリティ編”の“監査ログを正規化する”を参照してください。
mpatareportput(集計レポート出力コマンド)を使用し、事前に作成した「問い合わせファイル」にもとづいて集計した結果を、集計レポート結果ファイルへ出力します。
|
mpatareportput -O CSV -F /var/tokyo/total/racfreport1.rne /var/tokyo/report/GSSystemReport1 |
出力形式 : CSV形式、固定ファイル
問い合わせファイル : /var/tokyo/total/racfreport1.rne
集計ファイル出力先 : /var/tokyo/report/GSSystemReport1
正常終了の場合、“3300”で始まるメッセージがコマンドの標準出力に出力されます。
mpatareportput(集計レポート出力コマンド)を使用した集計処理については、“Systemwalker Centric Manager 使用手引書 セキュリティ編”の“監査ログを集計/検索する”を参照してください。
収集した被監視システムのログをETERNUS NR1000Fシリーズなどのストレージ装置、またはテープ装置などの二次媒体へ保管します。
運用管理サーバ上のディスク領域(格納ディレクトリ)、また監査ログ分析機能の活用(検索)期間を考慮し、二次媒体退避を行ってください。
|
目次
索引
|