監査ログ管理を行う場合の注意事項について説明します

• Solaris 10のシステムでZone機能を使用している場合

  Solaris 10のシステムでZone機能を使用している場合、以下のように異なるZoneのログ収集はできません。同じZone内のログファイルの収集を行ってください。

  • Global Zoneの場合、Non-global Zone内にあるログファイル

  • Non-global Zoneの場合、Global Zone内にあるログファイル

  • Non-global Zoneの場合、異なるNon-global Zoneのログファイル

• 運用に関する注意事項

  監査ログ管理機能によるログ収集の運用中、システム時間の日付を1年先など先へ進めたり、過去に戻す操作を行わないでください。そのような操作を行った場合、ログの収集が正常に行われないことがあるため、システム時間変更中でのログの収集は、実施しないでください。実施した場合、以下の対応をしてください。

  • システム時間の変更を行った際に出力されたログは、削除してください。

  • 複数ファイルからログ収集を行っている場合、1)の対応により、システム時間の変更を行った際に出力されたログが存在したログファイルの更新日時が、現在運用中のログファイルより新しくなる場合があります。その場合、運用中のログファイルの更新日時を最新になるようにしてください。

• 収集処理に関する注意事項

  監査ログ管理機能は、運用管理サーバへ確実に転送された時点で、被管理サーバ側の転送用ディレクトリ内にある、収集対象のログファイルを削除します。この時点で「監査ログ管理の収集は成功した」という判断をしています。

  運用管理サーバへの転送に失敗した場合は、収集対象のログファイルは削除せず、次回収集依頼時に当日のデータが存在する場合は、再度、前回収集済みデータに追加して、運用管理サーバへ転送します。

  また、以下の場合は、運用管理サーバ上に同じログレコードが複数格納される場合があります。

  • 運用管理サーバへ確実に転送はできたが、被管理サーバ側で削除処理に失敗したとき

  この場合、前回収集時に“収集は失敗した”という旨のメッセージを出力しています。

• 指定した形式が正しいかは、初回ログ収集の結果で確認します。

  指定した形式が正しく指定できていると判断できる条件は、以下の通りです。

  • ログデータが日付ごとのファイルに、正しい日付で分割されている場合

  指定した形式が正しく指定できていないと判断できる条件は、以下の通りです。

  • ログデータが複数の日数に存在するにもかかわらず、収集された日付ファイルが、収集当日のログファイルのみしか存在しない場合

  • ログデータが複数の日数に存在するにもかかわらず、日付ごとに分割されてはいるが、ファイル名の日付とデータが一致しない場合

  • ログデータが複数の日数が存在するにもかかわらず、「mpatm: 情報: 124」メッセージ（収集対象のログがありませんでした。）が出力された場合

  誤って異なる日付形式を指定してログ収集を行った場合も、監査ログ管理はログファイル情報を格納します。そのため、正しい形式に修正し、再度ログ収集を行っても一度読み込んだログファイル情報が格納されているため、日付形式が誤っている時に読み込んだログデータは収集されません。その際は、形式を修正したログ識別名に対してmpatmdelap(ログ情報削除コマンド)を実施し、ログの管理情報を削除してからログ収集してください。mpatmdelap（ログ情報削除コマンド）の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。

• バイナリファイルを収集する場合

  • 収集したファイル名には、収集対象ファイル名を含みます。そのため、被管理サーバ上で収集対象ファイル名が同じで、パスが異なる場合のログ収集に関しては、ログ識別名で区別するようにしてください。

  • テキストログファイルをバイナリファイルとして収集し、運用管理サーバで参照する場合、被管理サーバ側の文字コードに合わせて参照してください。

• 中継サーバとして使用する場合の注意事項【HP-UX版、AIX版】

  HP-UX、AIX版は、syslogへの日本語出力をサポートしていない環境があります。

  • HP-UX版

  • AIX版(SJIS環境)

  上記環境を監査ログ管理のログ収集において、中継サーバとして使用する場合の注意事項は以下の通りです。

  • コマンド実行結果のメッセージ出力

    mpatmlog（ログ収集コマンド）は、コマンドの実行結果をsyslogへ出力しています。また、収集中にエラーが発生した場合は、コマンドの実行結果と同時にsyslogへエラーメッセージを出力しています。

    上記環境の場合、syslogへ出力するメッセージは英語となります。

    また、コマンドの実行結果のメッセージも英語で出力します。

  • 日本語(マルチバイト文字)を含むファイルの収集・定義について

    上記環境で日本語(マルチバイト文字)が含まれている場合、コマンド実行結果のメッセージ内で文字化けが発生します。

    日本語(マルチバイト文字)を含む定義(格納ディレクトリ設定など)は行わないようにしてください。

    また、収集対象のログファイル中に日本語（マルチバイト文字）が含まれている場合、あらかじめ日本語（マルチバイト文字）以外の名前に変名し、監査ログ収集設定の定義を行ってください。

  • 被管理サーバに他OS(Windows/Solaris/Linux)が含まれる場合

    被管理サーバに他OS(Windows/Solaris/Linux)が含まれる場合、以下のようになります。

    • 被管理サーバ側でエラーが発生した場合、コマンド実行結果のメッセージ中で文字化けが発生します。

    • 収集対象のログファイル中に日本語(マルチバイト文字)が含まれている場合、上記“日本語(マルチバイト文字)を含むファイルの収集・定義について”の対処を行ってください。