膨大な量の監査ログに対して、検索条件を設定し検索することによって、必要な情報だけを入手して監査ログを調査することができます。
検索条件は、保存できます。次回からは、保存されている検索条件を再利用すれば、条件を設定する手間が省け、簡単に監査ログの検索を行うことができます。
保存した検索条件は、運用管理サーバに登録し管理します。複数の運用管理クライアントで検索条件を使用することができます。
実行手順
集計する正規化ログが圧縮されている場合は、事前にmpatmextract(圧縮したログの解凍コマンド)で解凍します。
検索条件を設定する
検索条件を設定する手順を説明します。
[スタート]メニューから[プログラム]-[Systemwalker Centric Manager]-[Systemwalkerコンソール]を選択します。
→[Systemwalkerコンソール]が起動されます。
[Systemwalkerコンソール]の[操作]メニューから[監査ログ分析]を選択します。
→[監査ログ分析]画面の[監査ログ分析-検索]画面が起動されます。
[監査ログ分析-検索]画面は、以下の条件をすべて満たしているユーザだけが使用できます。
Systemwalker Centric Managerにて“DmReference”、“DmOperation”、または“DmAdmin”および“SecurityAuditor”の両方のロールに所属している。
コンソール操作制御機能を導入している場合、同機能の“操作制御マネージャ起動条件記述ファイル”において、本機能の操作名“com.fujitsu.swsi.swcent.audittrail.retrieval”に対する操作が可能な権限が定義されている。
同じ運用管理サーバに接続している各[監査ログ分析]画面から起動できる[監査ログ分析-検索]画面は、合計で最大50個です。
ロール、およびコンソール操作制御機能の詳細については、"コンソール操作制御機能で認証する"を参照してください。
監査ログ分析機能の以下の画面において、画面タイトルに“[通番:接続先運用管理サーバのホスト名:SystemwalkerコンソールにログインしたユーザーID]”が表示されます。
監査ログ分析-検索
ディレクトリ参照
条件の追加(※)
条件の編集(※)
条件の追加(実行ホスト)
条件の編集(実行ホスト)
ノード選択
条件の追加(日付)
条件の編集(日付)
条件の追加(時刻)
条件の編集(時刻)
検索条件の選択
検索条件の確認
検索条件の管理
カテゴリーの選択
カテゴリーの追加
検索条件保存ファイル情報の編集
検索条件保存ファイルの取り込み
表示項目の設定
日時調節
CSV形式で保存
検索条件反映項目の選択
(※)日付、時刻、実行ホスト以外の文字検索の条件
[監査ログ分析-検索]画面は複数起動できます。複数起動した場合は、[監査ログ分析-検索][監査ログ分析-検索(2)][監査ログ分析-検索(3)]のように、連番がつきます。複数起動していた[監査ログ分析-検索]画面をすべて終了したのち、[監査ログ分析-検索]画面を起動した場合には、はじめから番号がふられます。
[正規化ログの格納場所]の[参照]ボタンをクリックします。
初期表示は、[(デフォルトの格納ディレクトリ)]です。デフォルトの格納ディレクトリとは、mpatacnvtdef(正規化ログ格納先定義コマンド)で定義した正規化ディレクトリを指しています。
→[ディレクトリ参照]画面が表示されます。
正規化ログファイルが格納されているディレクトリを選択し、[OK]ボタンをクリックします。
→[正規化ログの格納場所]にディレクトリパス名が表示されます。
[検索開始日時]を設定します。
[監査ログ分析-検索]画面の起動時には、初期値として現在の時刻から10分前の時刻が設定されています。
検索開始日時を指定しない場合は、チェックボックスを“OFF”にします。
[検索終了日時]を設定します。
[監査ログ分析-検索]画面の起動時には、現在の時刻が設定されています。
検索終了日時を指定しない場合は、チェックボックスを“OFF”にします。
検索条件を設定します。
[検索条件の設定]に表示される項目は、正規化ログの項目名です。選択する項目によって、検索条件の設定内容が異なります。
以下に、項目名と検索名の一覧を示します。
正規化ログの項目名の詳細は、“正規化されたログ項目”を参照してください。
項番 | [検索条件の設定]に表示される項目 | 検索型 | 検索結果一覧での初期表示 | 備考 |
|---|---|---|---|---|
1 | 日付 | 日付検索 | - |
|
2 | 時刻 | 時刻検索 | - |
|
3 | 曜日 | 選択検索 | - |
|
4 | 操作場所 | 文字検索 | ○ |
|
5 | 操作IPアドレス | 文字検索 | ○ |
|
6 | 実行ホスト | 実行ホスト検索 | ○ | ノード検索を行うときに使用します。 |
7 | 実行IPアドレス | 文字検索 | ○ |
|
8 | 操作者 | 文字検索 | ○ |
|
9 | 操作対象 | 文字検索 | ○ |
|
10 | 操作種別 | 文字検索 | ○ |
|
11 | 操作内容 | 文字検索 | ○ |
|
12 | 実行結果 | 選択検索 | ○ |
|
13 | コンポーネント | 文字検索 | ○ |
|
14 | 追加情報 | 文字検索 | ○ |
|
15 | 深刻度 | 選択検索 | ○ |
|
16 | ログテキスト | 文字検索 | ○ |
|
17 | ログ種別 | 選択検索 | ○ |
|
18 | 拡張値1 | 文字検索 | ○ |
|
19 | 拡張値2 | 文字検索 | ○ |
|
20 | 拡張値3 | 文字検索 | ○ |
|
21 | 拡張値4 | 文字検索 | ○ |
|
22 | 拡張値5 | 文字検索 | ○ |
|
23 | 拡張値6 | 文字検索 | ○ |
|
24 | 拡張値7 | 文字検索 | ○ |
|
25 | 拡張値8 | 文字検索 | ○ |
|
26 | 拡張値9 | 文字検索 | ○ |
|
27 | 拡張値10 | 文字検索 | ○ |
|
28 | 拡張値11 | 文字検索 | - |
|
29 | 拡張値12 | 文字検索 | - |
|
30 | 拡張値13 | 文字検索 | - |
|
31 | 拡張値14 | 文字検索 | - |
|
32 | 拡張値15 | 文字検索 | - |
|
33 | 拡張値16 | 文字検索 | - |
|
34 | 拡張値17 | 文字検索 | - |
|
35 | 拡張値18 | 文字検索 | - |
|
36 | 拡張値19 | 文字検索 | - |
|
37 | 拡張値20 | 文字検索 | - |
|
○:初期表示されます。
-:初期表示されません。
なお、各項目に設定された検索条件の内容は、[検索条件の確認]ボタンで参照することができます。
文字検索の場合
[検索条件の設定]に表示される項目において、文字検索に該当する項目を選択した場合、文字検索の条件を入力します。
以下のいずれかのボタンを選択します。
[一覧の値いずれかを含む]:「条件一覧」に設定した値を含むログ情報を検索します。一覧に値を複数設定した場合は、OR条件で検索します。
[一覧の値すべてを含まない]:「条件一覧」に設定した値を含まないログ情報を検索します。一覧に値を複数設定した場合は、AND条件で検索します。
[追加]ボタンをクリックします。
→[条件の追加(操作IPアドレス)]画面が表示されます。
以下の値を設定し、[OK]ボタンをクリックします。
[値]:検索する値を設定します。入力可能な最大文字数は、1024文字です。任意の文字を入力できます。
[一致の判定方法]:検索する値の判定方法を指定します。
→[条件値一覧]に値(文字検索の内容)が表示されます。
値を複数設定する場合は、b)からc)を繰り返します。
実行ホスト検索の場合
[検索条件の設定]に表示される項目において、実行ホストに該当する項目を選択した場合、実行ホスト検索の条件を入力します。
以下のいずれかのボタンを選択します。
[一覧の値すべてを含む]:「条件一覧」に設定した値を含むログ情報を検索します。一覧に値を複数設定した場合は、OR条件で検索します。
[一覧の値すべてを含まない]:「条件一覧」に設定した値を含まないログ情報を検索します。一覧に値を複数設定した場合は、AND条件で検索します。
[追加]ボタンをクリックします。
→[条件の追加(実行ホスト)]画面が表示されます。
以下の値を設定し、[OK]ボタンをクリックします。
[実行ホスト]:検索する値を設定します。入力可能な最大文字数は、256文字です。任意の文字を入力できます。
[一致の判定方法]:検索する値の判定方法を指定します。
または、[参照]ボタンをクリックします。
→[ノード選択]画面が表示されます。
条件に設定するノードを選択し、[OK]ボタンをクリックします。
→[条件値一覧]に値(実行ホスト検索の内容)が表示されます。
値を複数設定する場合は、b)からc)を繰り返します。
選択検索の場合
[検索条件の設定]に表示される項目において、選択検索に該当する項目を選択した場合、選択検索の条件を入力します。
[候補一覧]から条件となる値を選択し、[選択一覧]へ追加します。[候補一覧]の値は複数選択できます。値を複数設定した場合は、OR条件で検索されます。
日付検索の場合
[検索条件の設定]に表示される項目において、日付検索に該当する項目を選択した場合、日付検索の条件を入力します。
[追加]ボタンをクリックします。
→[条件の追加(日付)]画面が表示されます。
以下の値を設定し[OK]ボタンをクリックします。
[月日指定]:ラジオボタンを選択すると、開始月日、終了月日が使用可能になります。開始日付、終了日付はグレー表示されます。
[日付指定]:ラジオボタンを選択すると、開始日付、終了日付が使用可能になります。開始月日、終了月日はグレー表示されます。
開始日付>終了日付の値を指定した場合、月またぎの範囲で指定されることになります。
以下の場合、2006/10/25~2006/11/5までに含まれるログ情報が対象となります。
検索開始日時:2006/10/1 00:00:00
検索終了日時:2006/11/30 00:00:00
開始日付:25
終了日付:5
→[条件値一覧]に値(日付検索の内容)が表示されます。
条件を複数設定する場合は、a)からb)を繰り返します。入力できる条件の数は、最大100件です。入力した条件はOR条件で検索されます。
時刻検索の場合
[検索条件の設定]に表示される項目において、時刻検索に該当する項目を選択した場合、時刻検索の条件を入力します。
[追加]ボタンをクリックします。
→[条件の追加(時刻)]画面が表示されます。
以下の値を設定し[OK]ボタンをクリックします。
[開始時刻]:検索する時刻範囲の開始時刻を設定します。[終了時刻]より大きな値を指定することができます。
[終了時刻]:検索する時刻範囲の終了時刻を設定します。[開始時刻]より大きな値を指定することができます。
開始時刻>終了時刻の値を指定した場合、日またぎの範囲で指定されることになります。
以下の場合、2006/10/1~2006/10/2までの23:00:00から02:00:00に含まれるログ情報が対象となります。
検索開始日時:2006/10/1 00:00:00
検索終了日時:2006/10/2 23:59:59
開始時刻:23:00:00
終了時刻:02:00:00
→[一覧]に値(時刻検索の内容)が表示されます。
日付の範囲を複数設定する場合は、a)からb)を繰り返します。
入力できる条件の数は、最大100件です。入力した条件はOR条件で検索されます。
[検索条件の保存・管理]ボタンをクリックします。
→[検索条件の管理]画面が表示されます。
設定情報を確認し、以下の情報を設定します。
[検索条件の保存名]:保存する検索条件に付ける名前を入力します。入力可能な最大文字数は64文字です。以下の文字を除く任意の文字を入力できます。
* (アスタリスク)
? (疑問符)
: (コロン)
" (ダブルクォーテーション)
< (左アングルブラケット)
> (右アングルブラケット)
| (パイプ)
\(円記号)
/ (スラッシュ)
[コメント]:保存する検索条件に付けるコメントを入力します。入力可能な最大文字数は、100文字です。任意の文字を入力できます。
[登録先カテゴリー選択]:登録先のカテゴリーを選択します。
未選択の場合は、カテゴリーのルートに登録されます。直接入力はできません。
または、[カテゴリー参照]ボタンをクリックします。
→[カテゴリーの選択]画面が表示されます。
登録先のカテゴリーを選択します。
カテゴリーを選択する場合は、あらかじめカテゴリーを登録しておく必要があります。カテゴリーの登録については、“カテゴリーの登録”を参照してください。
[保存]ボタンをクリックします。
→検索条件が運用管理クライアント上の以下のフォルダに保存されます。
Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\data\retrieval |
ポイント
検索条件を他の運用管理クライアントでも使用する
保存した検索条件を他の運用管理クライアントでも使用する場合は、以下の手順で検索条件ファイルを移行してください。
検索条件ファイルを、使用したい運用管理クライアントへコピーします。
コピー先運用管理クライアント上の[監査ログ分析-検索]画面で[検索条件の管理]画面を起動します。
[編集]タブの[検索条件登録情報の操作]内の[取り込み]で、コピーした検索条件ファイルを取り込みます。
ポイント
検索条件のクリア
以下の操作を行うと検索条件がクリアされます。検索条件を保存する場合は、クリア操作を行う前に実施してください。
[クリア]ボタンをクリックする
検索条件選択にて初期値の「選択してください」を選択する
[検索条件の管理]画面の[編集]タブにおいて、現在選択中の検索条件を変更、または削除する
検索条件を登録するカテゴリーは、検索条件や用途に応じて作成できます。以下に作成手順を説明します。
[監査ログ分析-検索]画面で[検索条件の保存・管理]ボタンをクリックします。
→[検索条件の管理]画面が表示されます。
[編集]タブを選択します。
→カテゴリーのルートである[検索条件]が、[検索条件登録一覧]に表示されます。カテゴリーは、フォルダのアイコンとして表示されます。
[検索条件登録一覧]の[検索条件]フォルダを選択します。
[カテゴリーの登録情報の操作]の[追加]ボタンをクリックします。
→[カテゴリーの追加]画面が表示されます。
以下の値を設定し[OK]ボタンをクリックします。
[カテゴリー名]:登録するカテゴリー名を設定します。入力可能な最大文字数は64文字です。以下の文字を除く任意の文字を入力できます。
* (アスタリスク)
? (疑問符)
: (コロン)
" (ダブルクォーテーション)
< (左アングルブラケット)
> (右アングルブラケット)
| (パイプ)
\(円記号)
/ (スラッシュ)
[コメント]:保存するカテゴリー情報に付けるコメントを入力します。入力可能な最大文字数は100文字です。任意の文字を入力できます。
→登録したカテゴリーが[検索条件登録一覧]に表示されます。
検索する
保存されている検索条件を指定し、検索を行います。以下に手順を説明します。
[監査ログ分析]画面を起動し、[監査ログ分析-検索]画面を表示します。
[検索条件参照]ボタンをクリックします。
→[検索条件の選択]画面が表示されます。
検索条件の登録情報は、ツリー形式で表示されます。
カテゴリーは、フォルダのアイコンで表示されます。
検索条件は、ファイルのアイコンで表示されます。
実行する検索条件を選択し、[OK]ボタンをクリックします。
[監査ログ分析-検索]画面で、[検索開始]ボタンをクリックします。
→検索が開始され、[検索結果一覧]タブが表示されます。
検索中に、検索条件に該当するログ情報が1000件(初期値)を超えた場合は、エラーメッセージが表示され、検索が中断されます。1001件目以降のログ情報を表示する場合は、[次へ]ボタンをクリックします。
ポイント
検索の所要時間例
以下に所要時間の例を示します。
なお、検索の所要時間(検索開始から検索結果表示完了まで)は、正規化ログの量や検索条件の内容、ハードウェア/通信環境などの要因によって変動します。
測定環境
運用管理サーバ
OS | Windows Server 2008 |
CPU | Pentium 4 1.8GHz |
メモリ | 1GB |
運用管理クライアント
OS | Windows XP Professional |
CPU | Celeron 2.5GHz |
メモリ | 512MB |
検索の所要時間
144秒
検索条件
正規化ログのファイル数 | 16個 |
正規化ログの合計サイズ | 2048MB |
検索条件数 | 4(検索開始日時、および検索終了日時を含む) |
ヒット件数 | 1000 |
検索結果を確認する
検索結果の一覧から、詳細情報を表示して確認します。
[監査ログ分析-検索]画面の[検索結果一覧]タブで、確認するログ情報を選択し、[検索結果詳細表示]ボタンをクリックします。
→[検索結果詳細]タブが表示され、対象ログの詳細情報が表示されます。
検索結果を確認します。
[監査ログ分析-検索]画面の[検索結果一覧]タブで、[CSV形式で保存]ボタンをクリックします。
→[CSV形式で保存]画面が表示されます。
保存方法や文字コードを選択し、[OK]ボタンをクリックします。
→ファイル保存用のダイアログボックスが表示されます。
ファイル名を入力してファイルを保存します。
→検索結果がCSVファイルに保存されます。
CSVファイルの保存場所のデフォルト値は、“Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\var\user\csv”です。また、ファイル名の初期値は、“retrieval.csv”です。
注意
ディスク容量についての注意事項
大量の検索結果を出力する場合、出力先のディスク容量が不足しないように注意してください。目安として、2×検索結果の件数(KB)のディスク容量が必要になります。
出力する正規化ログの件数が10,000件を超えている場合は、10,000件ごとに複数のファイルに分割されて出力されます。正規化ログが分割された場合、ファイル名(拡張子なし)の後ろに通し番号がつきます。
例)Abc.csvを指定して、イベントの件数が25,000件の場合
Abc.csv 1件目~10,000件目
Abc_1.csv 10,001件目~20,000件目
Abc_2.csv 20,001件目~25,000件目
[監査ログ分析-検索]画面の[検索結果一覧]タブでは他に以下の操作が可能です。操作の詳細はヘルプを参照してください。
表示項目の設定
検索結果の一覧に表示する項目の選択・順序の変更を行います。
[表示項目の設定]ボタンのクリックにより設定画面が表示されます。
日時調節
検索結果の一覧に表示する日時の値を実行ホスト単位に変更します(進める/遅らせる)。
ホスト間で時間(時計)にずれがある場合にそのずれを調整して表示させることができます。
[日時調節]ボタンのクリックにより設定画面が表示されます。
選択行を条件に反映
検索結果の一覧の中から選択した監査ログの情報を検索条件にコピーします。
検索された監査ログの操作者名などの値を次に行う検索の条件とする場合などに使用します。
[選択行を条件に反映]ボタンのクリックにより設定画面が表示されます。
検索画面の初期状態を変更する
検索条件として初期表示される値や、メッセージボックスの表示/非表示など、検索機能でカスタマイズ可能な情報があります。
カスタマイズ可能な情報は以下のとおりです。
検索範囲の指定(時間)
検索結果一覧の最大表示件数
[検索開始]/[次へ]ボタン押下後のタイムアウト時間
検索を開始する際の検索対象ログファイルのファイル数と合計サイズの表示/非表示
検索条件を削除する場合の確認メッセージボックスの表示/非表示
検索条件を読み込む際の確認メッセージボックスの表示/非表示
情報を設定する画面の表示手順を以下に説明します。
[監査ログ分析]画面を起動します。
[ウィンドウ]メニューから[設定]を選択します。
ツリー内のフォルダ[監査ログ分析-検索]を選択します。
→[設定]画面が表示されます。
カスタマイズする情報を設定します。
