運用管理サーバのクラスタ環境で、監査ログ管理機能を使用する場合、プライマリノードおよびセカンダリノードで監査ログを収集するための設定を行います。

共有ディスク上のログは、プライマリノードやセカンダリノードのどちらから収集しても同じ論理ホスト名で管理するため、共有ディスク上のログが運用管理サーバ上で一元管理できます。

収集されるログファイル名については、以下の通りです。

• ローカルディスク上のログファイルの場合：

  サーバ名_ログ識別名_文字コード_YYYYMMDD.log

  サーバ名：収集対象のサーバ名

  ログ識別名：収集するログファイルの識別名

  文字コード：収集対象サーバのOSの文字コード

  • S:SJIS

  • E:EUC

  • U:UTF-8

  • W：JIS2004

  • C:英語(SJIS/EUC/UTF-8/JIS2004以外の文字コード)

  日付：収集対象ログファイルのうち、YYYYMMDDのもの

• 共有ディスク上のログファイルの場合：

  論理ホスト名_ログ識別名_文字コード_YYYYMMDD.log

  論理ホスト名：収集対象の論理ホスト名

  ログ識別名：収集するログファイルの識別名

  文字コード：収集対象サーバのOSの文字コード

  • S:SJIS

  • E:EUC

  • U:UTF-8

  • W：JIS2004

  • C:英語(SJIS/EUC/UTF-8/JIS2004以外の文字コード)

  日付：収集対象ログファイルのうち、YYYYMMDDのもの

上記のログファイル名は、テキストログファイルを収集した場合を例に記述しています。バイナリログファイルも同様に共有ディスク上から収集する場合、論理ホスト名をファイル名に付加することにより運用管理サーバ上で一元管理できます。バイナリログファイル名の形式については、“Systemwalker Centric Manager 使用手引書 セキュリティ編”で、“監査ログを管理する”の“監査ログを管理する”を参照してください。

運用管理サーバ、中継サーバとした運用管理サーバ、部門管理サーバ、業務サーバがクラスタの場合、運用管理サーバ、中継サーバとした運用管理サーバ、部門管理サーバ、業務サーバの共有ディスク上のログを保管する格納ディレクトリは、各ノードで設定するため、各ノードで収集を行うと各ノードの格納ディレクトリにログが収集されます。そのため、収集したログの一元管理ができません。

一元管理を行うには、以下の方法（構成）が考えられます。以下の方法が実施できない場合、いったんローカルディスクに複写した後、収集を行ってください。

• 格納ディレクトリに両ノードから参照/更新可能なディスクの共有名（マウントポイント）を設定する方法

  格納ディレクトリに両ノードから参照/更新可能なディスクの共有名（マウントポイント）を設定する方法です。共有名に書き込むことにより、結果的に同じディスク配下に書き込むことになります。

  本方法では、両ノードから各々のノードに対して相互でログ収集を行う場合と配下の業務サーバへのログ収集を行う場合で、業務サーバから収集したログが重複して格納ディレクトリ配下に収集されます。さらに、データが重複したログは、ログ収集やログ圧縮を行うと不正ログとして扱われます。

  本方法では、業務サーバから収集したログデータの重複を避けるために、片方のノードからだけ業務サーバのログ収集を行います。そのため、運用側であったノードが待機側になってもログ収集処理は同じノードで続行できることが必要です。

  

• 格納ディレクトリにローカルディスクを設定し、収集は常に片側のノードから実施する方法

  常に片側のノードから収集を実施することで、片側のノード上の格納ディレクトリにログを収集します。

  本方法では、運用側であったノードが待機側になってもログ収集だけは同じノードで続行できることが必要です。

  

  
  

ログ収集中にフェールオーバが発生した場合は、フェールオーバが発生した共有ディスク上のログ収集は失敗します。

共有ディスク上のログ収集の失敗を確認後、フェールオーバ先のノードに対して収集を実施してください。

出力されるメッセージ

共有ディスク上のログ収集に失敗した場合、運用管理サーバのイベントログ、システムログやコマンドを実行した結果にログ収集が失敗したことを示すメッセージが出力されます。フェールオーバが発生する前に収集できたログファイルを確認する場合は、コマンド実行結果の上記メッセージの前に出力されているメッセージで確認します。

また、フェールオーバによってセカンダリノードに所有権が移動しますが、処理中断された共有ディスク上のログ収集は継続されません。そのため、フェールオーバ後にセカンダリノードに対してログ収集を行うことで、共有ディスク上のログ収集を行い、共有ディスク上のログデータを運用管理サーバ上に連続して保管します。

クラスタ環境の各ノード上のローカルディスクと共有ディスクのログを1回のmpatmlog(ログ収集コマンド)で収集すると時間を費やす場合など、ローカルディスクと共有ディスクのログを分けてログ収集を実行したい場合は、次のように行います。

なお、指定するサーバ名は、物理IPアドレスに対応したものを使用します。

ローカルディスク上のログ収集を実行する場合

共有ディスク上のログ収集を実行する場合

-L：ローカルディスク

-S：共有ディスク

運用開始前に、収集対象のログが存在するクラスタシステム上でログを収集するための設定を行った後、ログ収集を行います。ログを収集するための設定手順は以下の通りです。

1. プライマリノードにて運用管理サーバで実行する場合、"MpFwsec"デーモンが起動されていることを確認します。

   起動されていない場合は、"MpFwsec"デーモンを起動します。

2. プライマリノードにて監査ログ管理のクラスタ定義をmpatmcsset(共有ディスク上のログ収集設定コマンド)で行います。

   mpatmcsset(共有ディスク上のログ収集設定コマンド)については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。

3. プライマリノードで、収集対象ログが存在する共有ディスクのクラスタリソースに、監査ログ管理のデーモン起動/停止シェルを登録します。

4. プライマリノードで収集対象ログが存在する共有ディスク数分、手順1と手順2を繰り返します。

5. 手順2から手順4で設定した共有ディスク数分のクラスタリソースの所有権をクラスタソフトウェアの機能でセカンダリノードへ移動します。

   移動方法は各クラスタソフトウェアの手順書を参照してください。

6. セカンダリノードにて運用管理サーバで実行する場合、"MpFwsec"デーモンが起動されていることを確認します。

   起動されていない場合は、"MpFwsec"デーモンを起動します。

7. セカンダリノードで監査ログ管理のクラスタ定義をmpatmcsset(共有ディスク上のログ収集設定コマンド)で行います。

   定義する内容は、プライマリノードと同じ順序で定義してください。mpatmcsset(共有ディスク上のログ収集設定コマンド)については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。

8. セカンダリノードで、収集対象ログが存在する共有ディスクのクラスタリソースに、監査ログ管理のデーモン起動/停止シェルを登録します。

9. セカンダリノードで収集対象ログが存在する共有ディスク数分、手順5と手順6を繰り返します。

10. 手順7から手順9で設定したクラスタリソースの所有権をクラスタソフトウェアの機能でプライマリノードへ移動します。

    移動方法は各クラスタソフトウェアの手順書を参照してください。

11. 手順2と手順7で実行した定義内容を確認します。

    プライマリノードとセカンダリノードで同一定義内容であることを確認します。定義内容の確認は、mpatmcsset(共有ディスク上のログ収集設定コマンド)で行います。定義内容が一致していない場合は、一致しない定義をmpatmcsunset(共有ディスク上のログ収集設定解除コマンド)で一度削除した後に、再度クラスタセットアップを実行してください。mpatmcsset(共有ディスク上のログ収集設定コマンド)とmpatmcsunset(共有ディスク上のログ収集設定解除コマンド)については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。

12. プライマリノードでローカルディスクのログおよび、共有ディスクのログの収集設定をmpatmlogapdef(ログ収集設定コマンド)で行います。

    mpatmlogapdef(ログ収集設定コマンド)については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。

13. セカンダリノードでローカルディスクのログの収集設定をmpatmlogapdef(ログ収集設定コマンド)で行います。

    mpatmlogapdef(ログ収集設定コマンド)については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。

    セカンダリノードではローカルディスクのログの設定だけを行います。

14. 運用管理サーバからプライマリノード、セカンダリノードに対してmpatmlog(ログ収集コマンド)でログ収集を実行します。
    mpatmlog（ログ収集コマンド）には、プライマリノード、セカンダリノードの物理IPアドレスに対応するサーバ名、または物理IPアドレスを指定してください。

    プライマリノード上で共有ディスクがオンラインになっていれば、プライマリノード側から共有ディスク上のログファイル収集が実行されます。

使用しているクラスタに応じた設定

収集対象ログが存在する共有ディスクのクラスタリソースに監査ログ管理のデーモン起動/停止シェルを登録します。

• [PRIMECLUSTER]

  Online/Offlineスクリプトに監査ログ管理のデーモン起動/停止シェルの呼び出しを追加します。

  • Onlineスクリプトの場合

    /opt/FJSVmpatm/bin/mpatmcsstart 論理ホスト名

  • Offlineスクリプトの場合

    /opt/FJSVmpatm/bin/mpatmcsstop 論理ホスト名

• [Sun Cluster]

  START/STOPメソッドに監査ログ管理のデーモン起動/停止シェルの呼び出しを追加します。

  • STARTメソッドの場合

    /opt/FJSVmpatm/bin/mpatmcsstart 論理ホスト名

  • STOPメソッドの場合

    /opt/FJSVmpatm/bin/mpatmcsstop 論理ホスト名

運用開始後に、新たな共有ディスク上のログが出力するログを収集対象にしたい場合は、以下の手順で設定します。

1. プライマリノードにて監査ログ管理のクラスタ定義をmpatmcsset(共有ディスク上のログ収集設定コマンド)で行います。

   mpatmcsset(共有ディスク上のログ収集設定コマンド)については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。

2. プライマリノードで、収集対象ログが存在する共有ディスクのクラスタリソースに、監査ログ管理のデーモン起動/停止シェルを登録します。

   登録対象のクラスタリソースに監査ログ管理のデーモン起動/停止シェルを登録済みの場合は、本手順は不要です。

3. プライマリノードで収集対象ログが存在する新たな共有ディスク数分、手順1と手順2を繰り返します。

4. 手順1から手順3で設定した共有ディスク数分のクラスタリソースの所有権をクラスタソフトウェアの機能でセカンダリノードへ移動します。

   移動方法は各クラスタソフトウェアの手順書を参照してください。

5. セカンダリノードにて監査ログ管理のクラスタ定義をmpatmcsset(共有ディスク上のログ収集設定コマンド)で行います。定義する内容は、プライマリノードと同じ順序で定義してください。

   mpatmcsset(共有ディスク上のログ収集設定コマンド)については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。

6. セカンダリノードで、収集対象ログが存在する共有ディスクのクラスタリソースに、監査ログ管理のデーモン起動/停止シェルを登録します。

   登録対象のクラスタリソースに監査ログ管理のデーモン起動/停止シェルを登録済の場合は、本手順は不要です。

7. セカンダリノードで収集対象ログが存在する新たな共有ディスク数分、手順5と手順6を繰り返します。

8. 手順5から手順7で設定したクラスタリソースの所有権をクラスタソフトウェアの機能でプライマリノードへ移動します。

   移動方法は各クラスタソフトウェアの手順書を参照してください。

9. 手順1と手順5で実行した定義内容を確認します。

   プライマリノードとセカンダリノードで同一定義内容であることを確認します。定義内容の確認は、mpatmcsset(共有ディスク上のログ収集設定コマンド)で行います。定義内容が一致していない場合は、一致しない定義をmpatmcsunset(共有ディスク上のログ収集設定解除コマンド)で一度削除した後に、再度クラスタセットアップを実行してください。

   mpatmcsset(共有ディスク上のログ収集設定コマンド)とmpatmcsunset(共有ディスク上のログ収集設定解除コマンド)については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。

10. プライマリノードでローカルディスクのログおよび、共有ディスクのログの収集設定をmpatmlogapdef(ログ収集設定コマンド)で行います。

    mpatmlogapdef(ログ収集設定コマンド)については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。

11. セカンダリノードでローカルディスクのログの収集設定をmpatmlogapdef(ログ収集設定コマンド)で行います。

    mpatmlogapdef(ログ収集設定コマンド)については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。

    セカンダリノードではローカルログの設定だけを行います。

12. 運用管理サーバからプライマリノード、セカンダリノードに対してmpatmlog(ログ収集コマンド)でログ収集を実行します。

    プライマリノード上で共有ディスクがオンラインになっていれば、プライマリノード側から共有ディスク上のログファイル収集が実行されます。

運用開始後に、運用中の共有ディスク上の新たなログを収集対象にしたい場合は、以下の手順で設定します。

1. 運用系ノードで新たなログの収集設定をmpatmlogapdef(ログ収集設定コマンド)で行います。

   mpatmlogapdef(ログ収集設定コマンド)については“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。

2. 運用管理サーバからプライマリノード、セカンダリノードに対してmpatmlog(ログ収集コマンド)でログ収集を実行します。

   共有ディスクがオンラインになっている運用系ノード側から共有ディスク上のログファイル収集が実行されます。

   
   

• 転送用ディレクトリ

  被管理サーバがクラスタの場合、収集したログを運用管理サーバに転送するためのディレクトリは、共有ディスクではなく、プライマリノード、セカンダリノード内のローカルディスクを指定してください。

• V13.0.0またはV13.1.0の被管理サーバに対して共有ディスク上のログ収集を行った場合、以下のエラーメッセージを出力します。

  mpatm: エラー: 659: 指定したサーバのバージョン・レベルが古いためログ収集ができません。処理名=Log file collection from shared disks only

• ログ収集中にフェールオーバが発生した場合は、フェールオーバが発生したクラスタリソースのログ収集だけが収集失敗となります。ローカルディスク上のログ収集やフェールオーバが発生していないクラスタリソースのログ収集は、フェールオーバに関係なく継続して行われます。

• ローカルディスクと共有ディスクの両方からログを収集する場合、ローカルディスクのログ収集時に障害が発生しても、共有ディスクからのログ収集は継続して行われます。

• 被管理サーバ側で共有ディスク上のログを収集後、運用管理サーバの格納ディレクトリに転送はできたが、共有ディスク上のログ収集位置の管理情報を更新する前にフェールオーバが発生したときは、運用管理サーバ上に同じログレコードが重複して収集される可能性があります。

監査ログ管理では、収集対象ログが存在する共有ディスクのクラスタリソースごとに資源を配置するため、Systemwalker Centric Managerのバックアップ、リストアとは連携できません。

そのため、プライマリノード、セカンダリノードで監査ログ管理のmpatmcsbk（共有ディスク上のログ収集情報退避コマンド）、mpatmcsrs（クラスタ情報リストアコマンド）を実行する必要があります。

mpatmcsbk（共有ディスク上のログ収集情報退避コマンド）、mpatmcsrs（共有ディスク上のログ収集情報復元コマンド）については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。