監査ログは、管理者がテキストエディタやMicrosoft(R) Excelなどを使って参照、分析することができます。

監査ログを参照、分析する手順と利用例について説明します。

監査ログを参照、分析する手順は以下のとおりです。

操作手順

1. 監査ログ出力の定義で指定したSystemwalker Operation Managerサーバ上の出力先から該当する監査ログファイルをテキストエディタやMicrosoft(R) Excelに取り込みます。

   監査ログは、以下のようにCSV形式で各項目はコンマで区切られて監査ログファイルに記録されています。

   "2006/09/26 11:25:12.672 +0900","10.90.151.117","host1","user1","ADD_PROJECT","SUBSYSTEM=0;PROJECT=PRJ01;","プロジェクトを追加します。",S,"MPJOBSCH","PID=8045;", "2006/09/26 11:30:41.835 +0900","10.90.151.117","host1","user1","ADD_JOBNET","SUBSYSTEM=0;PROJECT=PRJ01;JOBNET=JOBNET01;","ジョブネットを追加します。",S,"MPJOBSCH","PID=8045;", "2006/09/26 11:30:45.390 +0900","10.90.151.117","host1","user1","START_JOBNET","SUBSYSTEM=0;PROJECT=PRJ01;JOBNET=JOBNET01;","ジョブネットを起動します。",S,"MPJOBSCH","PID=8045;",

     

2. テキストエディタやMicrosoft(R) Excelに取り込んだ監査ログを検索機能、ソート機能を使って目的に応じた監査ログを抽出し、監査ログを参照、分析します。

   Microsoft(R) Excel使用する場合は、Microsoft(R) Excelのデータの並べ替えや、フィルタ機能を使用すると監査ログの分析が効率よく行えます。

監査ログの利用例をいくつか示します。

分析の目的にあった特定の情報を含むレコードを活用した例

あるジョブネットの変更、操作に関する情報を絞込みたい場合は、ジョブネット名を検索キーワードとして、特定のジョブネット名を含む監査ログのみを抽出し、その内容を分析します。

検索キーワードについては、“付録C 監査ログの検索キーワード一覧”を参照してください。

監査ログの主な情報は、以下のとおりです。

監査ログの詳細については、“Systemwalker Operation Manager リファレンスマニュアル”を参照してください。

• 利用例1

  目的：定義の誤りが見つかったため、ジョブネット"AAA"を変更したユーザを特定したい。

  方法：監査ログファイルからジョブネット名"AAA"を含む行を抽出し、“操作者”および“操作内容”の情報からユーザを特定します。

• 利用例2

  目的：運用手順書に従った操作だけ行われているかを確認したい。

  方法：監査ログファイルから確認したいオペレータ"BBB"を含む行を抽出し、運用手順書に従った操作が行われているかを確認します。

• 利用例3

  目的：複数のサブシステムの運用で、サブシステム1のジョブネット"CCC"に関する記録だけを抽出したい。

  方法：“操作対象”に以下の文字列を含んでいる行を抽出し、次にジョブネット名"CCC"を含む行を抽出します。

  • SUBSYSTEM=1

  • SUBSYSTEM=all

• 利用例4

  目的：下位バージョンのクライアントでサーバに接続しているユーザがいないかを確認したい。

  方法：“操作種別”に“ADMIT_OMGR”の文字列を含んでいる行を抽出し、“追加情報”の“CL_VERSION=XXX”を確認します。

  XXXに“V13.0 or V13.1”と表示されている場合は、V13.0.0およびV13.1.0のクライアントからの接続を表します。“V13.2 or later”と表示されている場合は、V13.2.0以降のクライアントからの接続を表します。

トラブル発生時に利用する例

トラブルの発生時にイベントログ/SYSLOG、ジョブの実行履歴など、同時に以下の記録を確認することで、トラブルの切り分けに役立てることができます。

• サービス/デーモンの起動記録

  Systemwalker Operation Manager共通基盤、カレンダ機能、ジョブスケジューラ機能、ジョブ実行制御機能、ACLマネージャのサービス/デーモンの起動/停止のログが、“操作内容”に以下の形式で記録されます。

  【Windowsの場合】

  • "＜機能名＞デーモン/サービスを起動します。"

  • "＜機能名＞デーモン/サービスを停止します。"

    ＜機能名＞には、Systemwalker Operation Manager共通基盤、カレンダ機能などの機能名が出力されます。

  【UNIXの場合】

  • "コマンドを実行します。(COMMAND=<コマンド名  コマンド引数>)"

  ただし、ACLマネージャについては以下のメッセージが出力されます。

  • "Started the ACL Manager daemon/service."

  • "Stopped the ACL Manager daemon/service."

• Systemwalker Operation Managerへのログイン認証記録

  Systemwalker Operation Managerへのログイン認証のログが、“操作内容”に以下の形式で記録されます。

  • "ユーザを認証します。"

  複数サーバ監視機能や複数サーバへのポリシー配付など、複数のサーバをまたぐ機能を使用している場合、他のサーバへの認証が自動的に行われます。その際、認証に使用するユーザ名/パスワードはログオンしているユーザ名/パスワードが自動的に使用されますが、その認証記録も各サーバの監査ログに記録されます。

• Systemwalker Operation Manager環境設定クライアントによる定義変更、操作の記録

  ポリシーの適用のログが、“操作内容”に以下の形式で記録されます。

  • "ポリシーを適用します。"

• クライアントの利用記録

  どのクライアントを利用したかというログが“操作内容”に以下の形式で記録されます。

  • "＜画面名＞にログインします。"

  ＜画面名＞には、以下が出力されます。

  • Systemwalker Operation Manager画面

  • Systemwalker Operation Manager環境設定画面

  • 複数サーバ監視画面

  • ジョブスケジューラ情報印刷画面

  • Web連携の画面

  • スケジュール分散状況監視ウィンドウ

  • スケジュール分散環境設定ダイアログボックス