3.24.8 監査ログ分析機能を利用する場合の環境設定【Solaris版/Linux版】

環境設定

以下の手順で環境設定を行います。環境設定の作業はすべてシステム管理者(スーパーユーザ)権限で行います。運用管理クライアント側で[監査ログ分析]画面を起動している場合は、終了してください。

なお、監査ログ分析機能をSystemwalker管理者アカウント以外のユーザで使用する場合、“監査ログ分析機能をSystemwalker管理者アカウント以外のユーザで使用する場合”を参照してください。

1. Interstage Navigator サーバ機能の導入

以下のソフトウェアがインストールされていない場合、インストールしてください。

Interstage Navigator Server V9.1以降
以下の場合は、Interstage Navigator Server Enterprise Edition V9.1以降が必要です。
- 運用管理サーバをクラスタ運用する場合
- 分析対象とする正規化ログの総量が2GBを超える場合(注1)
上記ソフトウェアは、Interstage Navigator ServerのCD-ROMのSERVERディレクトリ配下に存在します。
インストールの詳細については“Interstage Navigator Server インストールガイド”を参照してください。
注1）Interstage Navigator Server Standard Edition V9.2以降でも対応可能。

なお、Interstage Navigator Server Standard Editionをインストールした場合、以降の記述におけるNavigatorサーバのインストールディレクトリ「/opt/FJSVenavi」を「/opt/FJSVsnavi」に読み替えてください。

2. Interstage Navigator Server のユーザ登録

3. 正規化ディレクトリの設定

4. Interstage Navigator Server の環境設定

9. Symfoware Serverの共用バッファの拡張

監査ログ分析機能をクラスタ環境で使用する場合、“監査ログ分析機能をクラスタ環境で使用する場合”を参照してください。

Interstage Navigator Server のユーザ登録

Navigator認証ユーザのグループおよびユーザアカウントを登録します(未登録の場合)。

デフォルトの設定をswadminとして説明します。

グループアカウントの登録例

# groupadd -g グループID swadmin

ユーザアカウントの登録例

# useradd -g swadmin -u ユーザID swadmin
# passwd swadmin

グループIDとユーザIDは同一にしてください。
OSに登録済みの他のユーザアカウントを使用することができます。この場合は、上記の登録は不要です。
Solarisの場合、上記アカウントを作成した後、以下の方法で当該アカウントに対応するディレクトリを指定します。
usermodコマンドで指定するか、作成時に以下のコマンドを実行してください。
```
# useradd -d /home/swadmin -g swadmin -u ユーザID swadmin
```

正規化ディレクトリの設定

環境設定ファイルのセットアップ

正規化ログを格納する正規化ディレクトリを作成し、そのディレクトリ名を設定したInterstage Navigator Serverの環境設定ファイルを作成するスクリプトを実行します。

/opt/FJSVmpata/bin/setenv.shの設定内容を必要に応じて編集します。
スクリプトファイルをデフォルトの設定で実行した場合、以下の内容で処理が行われます。
- 作成、登録される正規化ディレクトリ: /var/opt/FJSVmpata/cnvtlog
- 作成される環境設定ファイル: /opt/FJSVenavi/etc/rnd.conf
- Navigator認証ユーザ名：swadmin
詳細については、setenv.shファイル内のコメントを参照してください。
setenv.shが存在するディレクトリをカレントディレクトリとして、setenv.shを実行します。

監査ログ分析機能の環境設定

以下のコマンドで正規化ディレクトリおよびNavigator認証ユーザ情報（ユーザ名とログインパスワード）を登録します。

# /opt/FJSVmpata/bin/mpatacnvtdef -N 正規化ディレクトリ -U Navigator認証ユーザ名

正規化ディレクトリは、“環境設定ファイルのセットアップ”で実行したsetenv.sh内に記述されたとおりに設定します（デフォルトの設定は、/var/opt/FJSVmpata/cnvtlogです）。

Navigator認証ユーザも同様に設定します（OSに登録済みの他のユーザアカウントも使用することができます）。ただし、ユーザIDおよびグループIDは2147483647以内にする必要があります。

また、正規化ディレクトリに対し、“Interstage Navigator Server のユーザ登録”で作成したNavigator認証ユーザの読み込み権・書き込み権・実行権を付加してください。

Interstage Navigator Server の環境設定

OS側へのサービスの登録を行います。

OS側へのサービス登録【Solaris版】

ファイル「/etc/services」にポート番号とプロトコルを設定します。詳細については、“Interstage Navigator Server セットアップガイド Vol.1”を参照してください。
```
rn ポート番号/tcp
```
ファイル「/etc/inetd.conf」を設定します。詳細については、“Interstage Navigator Server セットアップガイド Vol.1”を参照してください。
設定例
```
#<service name> <socket type> <proto> <flags> <user> <server pathname> <args>
rn stream tcp nowait root /opt/FJSVenavi/bin/rnd.sh rnd.sh /opt/FJSVenavi/etc/rnd.conf
```
設定情報を有効にします。
【Solaris 9以前の場合】
ファイル「/etc/services」、および「/etc/inetd.conf」の設定が完了した後、「killコマンド」を使用して、inetdプロセスにSIGHUPシグナルを送信し、設定情報を有効にします。
inetdプロセスのプロセスIDが「153」の場合のkillコマンドの使用例
```
kill -HUP 153
```
【Solaris 10以降の場合】
ファイル「/etc/services」、および「/etc/inetd.conf」の設定が完了した後、「inetconvコマンド」を使用して、設定情報をSMFリポジトリに変換します。
例)
```
inetconv
```
kill、およびinetconvコマンドの詳細については、OSのマニュアルを参照してください。

OS側へのサービス登録【Linux版】

ファイル「/etc/services」にポート番号とプロトコルを設定します。詳細については、“Interstage Navigator Server セットアップガイド Vol.1”を参照してください。
```
rn ポート番号/tcp
```
xinetdにNavigator Server用サービスを登録します。詳細については、“Interstage Navigator Server セットアップガイド Vol.1”を参照してください。ただし、以下の例のように、disable、passenv、envの各属性は必ず指定してください。
/etc/xinetd.d/rnのサービス登録用ファイルを作成する例
```
service rn
{
disable = no
socket_type = stream
protocol = tcp
wait = no
user = root
passenv = PATH
server = /opt/FJSVenavi/bin/rnd(注1)
env = HOME=/var/cvs
server_args = /opt/FJSVenavi/etc/rnd.conf
}
```
注1)
Linux for Intel64版の場合、以下のように設定します。
```
server = /opt/FJSVenavi/bin64/rnd
```

データベースの作成

「CSVファイルの情報活用」機能のためのデータベースを以下の属性で作成します。

データベース名： ASISDB
データベーススペース名： ASISDBSP
サイズ： 10Mバイト

データベースの属性を定義するSQL文記述ファイルを作成するシェルスクリプトを実行し、そのファイルを元にデータベースを作成するコマンドを実行します。

以下のシェルスクリプトを実行してデータベースを作成します。

/opt/FJSVmpata/bin/csvdb.sh

シェルスクリプトの実行方法は以下のとおりです。

# /opt/FJSVmpata/bin/csvdb.sh データベースディレクトリ データベーススペースのファイル名

引数を指定しないで実行した場合は、以下の内容で処理が行われます。

データベースディレクトリ: /var/opt/FJSVmpata/csvdb
データベーススペースのファイル名： csvdbsp.dat

システムの再起動

システムを再起動し、Interstage Navigator Server の環境設定ファイルを適用します。

Solaris版の場合
```
# shutdown -y -g0 -i6
```
Linux版の場合
```
# shutdown -r -t 0 now
```

データベースの作成

「CSVファイルの情報活用」機能のためのデータベースを以下の属性で作成します。

データベース名： ASISDB
データベーススペース名： ASISDBSP
サイズ： 10Mバイト

以下のシェルスクリプトを実行してデータベースを作成します。

/opt/FJSVmpata/bin/csvdb.sh

シェルスクリプトの実行方法は以下のとおりです。

# /opt/FJSVmpata/bin/csvdb.sh データベースディレクトリ データベーススペースのファイル名

引数を指定しないで実行した場合は、以下の内容で処理が行われます。

データベースディレクトリ: /var/opt/FJSVmpata/csvdb
データベーススペースのファイル名： csvdbsp.dat

Navigator辞書の登録

Navigator辞書を格納するディレクトリの作成と辞書のコピーを行うシェルスクリプトを実行し、辞書の登録を行うコマンドを実行します。

/opt/FJSVmpata/bin/navidiccopy.shの設定内容を必要に応じて編集します。
スクリプトファイルをデフォルトのまま実行した場合、以下の内容で処理が行われます。
- Navigator認証ユーザ名: swadmin
- Navigator辞書コピー元: /etc/opt/FJSVmpata/etc/asis/dic/systemwalker/RN.bac
- Navigator辞書コピー先: /home/swadmin/RN.bac
詳細については、navidiccopy.shファイル内のコメントを参照してください。
navidiccopy.shを実行します。

以下のコマンドを実行します。

# PATH=$PATH:/opt/FJSVenavi/bin; export PATH（注1）
# LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/opt/FJSVenavi/bin:/opt/FSUNiconv/lib:/opt/FJSVftlc/mpsymfo/FSUNrdb2b/lib; export LD_LIBRARY_PATH(注2) 
# LANG=C; export LANG
# LC_ALL=C; export LC_ALL（注3）
# RN_CHARACTER_SET=SJIS; export RN_CHARACTER_SET (注4)
# RN_CONF_FILE=/opt/FJSVenavi/etc/rnd.conf; export RN_CONF_FILE
# RN_FILE_META_DIR=/etc/opt/FJSVmpata/etc/asis; export RN_FILE_META_DIR

注1）
Linux for Intel64版の場合、以下のコマンドを実行します。

PATH=$PATH:/opt/FJSVenavi/bin64; export PATH

注2）
Linuxの場合、以下のコマンドを実行します。

LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/opt/FJSVenavi/bin:/opt/FSUNiconv/lib:/opt/FJSVftlc/mpsymfo/FJSVrdb2b/lib; export LD_LIBRARY_PATH

Linux for Intel64版の場合、以下のコマンドを実行します。

LD_LIBRARY_PATH=$LD_LIBRARY_PATH:/opt/FJSVenavi/bin64:/opt/FSUNiconv/lib:/opt/FJSVftlc/mpsymfo/FJSVrdb2b/lib:/opt/FJSVftlc/mpsymfo/FJSVrdb2b/lib/lib64; export LD_LIBRARY_PATH

注3)
Linux版の場合

注4)
Interstage Navigator Serverの環境設定ファイルで、RN_CHARACTER_SETに設定されているコードと同じものを指定してください。

rn_setuserコマンドを実行してNavigatorに接続可能なユーザ数を設定します。rn_setuserコマンドの詳細については、“Interstage Navigator Server コマンドリファレンス”を参照してください。
以下のコマンドを実行してrnd.confに誤りがあるかどうかをチェックします。
【Linux for Intel64版以外の場合】
```
# rn_envcheck /opt/FJSVenavi/etc/rnd.conf
```
【Linux for Intel64版の場合】
```
# rn_envcheck -m 64 /opt/FJSVenavi/etc/rnd.conf
```
誤りがある場合は、修正してください。rn_envcheckコマンドの詳細については、“Interstage Navigator Server コマンドリファレンス”を参照してください。

Interstage Navigator Serverへ辞書を登録します。

# rn_start
# rn_imp -u Navigator認証ユーザ名/Navigator認証ユーザのパスワード

拡張辞書の登録

Interstage Navigator Serverのrn_setxmlmetafileコマンドによって監査ログ分析機能で使用する拡張辞書の登録を行うシェルスクリプトを実行します。

拡張辞書の登録は、“Interstage Navigator Server のユーザ登録”で登録したNavigator認証ユーザごとに実施する必要があります。（対象とする認証ユーザはユーザIDにより指定します）

/opt/FJSVmpata/bin/exdic.shの設定内容を必要に応じて編集します。
exdic.shを編集する前に、“Navigator辞書の登録”で設定した環境変数LANGを元の値(システムの値)に戻してください。
シェルスクリプトをデフォルトのまま実行した場合、以下の内容で処理が行われます。
- 登録する拡張辞書: /etc/opt/FJSVmpata/etc/asis/meta_define.xml
- Navigator認証ユーザID: (デフォルトは、swadminのユーザID)
詳細については、exdic.shファイル内のコメントを参照してください。
exdic.shを実行します。

Symfoware Serverの共用バッファの拡張

Navigator辞書のアクセスで使用される、Symfoware Serverの共用バッファを拡張します。

以下の手順によりデフォルトバッファの枚数を増やします。

RDB構成パラメタファイルを確認します。
【Solaris版の場合】
```
/opt/FJSVftlc/mpsymfo/FSUNrdb2b/etc/CENTRIC.cfg
```
【Linux版の場合】
```
/opt/FJSVftlc/mpsymfo/FJSVrdb2b/etc/CENTRIC.cfg
```
上記、RDB構成パラメタファイル内のRDBSYSBUFパラメタを確認します。
```
RDBSYSBUFで指定したパス/rdbbuf
```
上記ファイルがデフォルトバッファの設定ファイルになります。
(通常は /opt/systemwalker/etc/rdbbuf です。)
pcentricmgrコマンドにより、Systemwalker Centric Managerを停止します。
```
/opt/systemwalker/bin/pcentricmgr
```
上記ファイル内の以下のパラメタを変更します。
```
BUFFER2K  =  XX
```
↓
```
BUFFER2K  =  上記XXに77枚増やした枚数
```
scentricmgrコマンドにより、Systemwalker Centric Managerを起動します。
```
/opt/systemwalker/bin/scentricmgr
```

これで運用管理サーバへのインストール、および環境設定は終了です。

監査ログ分析機能をSystemwalker管理者アカウント以外のユーザで使用する場合

本機能をSystemwalker管理者アカウント以外に、OSに登録済みの他のユーザアカウントで使用するには、以下の対処が必要です。

使用するユーザアカウントをSystemwalker Centric Managerの以下のロールに所属させます。
- SecurityAuditor
- DmReference、DmOperation、またはDmAdmin
Systemwalkerコンソールの[ポリシー]メニューから[セキュリティ]-[利用者のアクセス権設定]を選択して表示される、[ロール一覧]ダイアログボックスで設定してください。

コンソール操作制御機能を使用している場合

コンソール操作制御機能を使用している場合、[監査ログ分析－検索]画面を使用するには、以下の対処が必要です。

操作制御マネージャ起動条件記述ファイルにNavigator認証ユーザ名(使用するユーザアカウント)と[監査ログ分析－検索]画面の操作名を登録します。

操作制御マネージャ起動条件記述ファイル(サンプル)：

/opt/FJSVfwgui/sample/opct/menuid.txt

記述内容(下線部)：

：
!UserID                         # ユーザグループ登録
    ：
DmAdminGrp
    adminuser01                 # DmAdmin ユーザを登録してください
    adminuser02
    Navigator認証ユーザ名
!UserID-End

!OperationEx                    # 権限チェックする操作を登録
opmgr
    ：
    #監査ログ分析
    5,com.fujitsu.swsi.fw_menu_preference	#設定(P)
    !OperationEx-End
：

以下のコマンドを実行します。
```
/opt/FJSVsopct/bin/idorcmanager 操作制御マネージャ起動条件記述ファイル名 -n
```
上記を実施した後、“環境設定”以降の手順を、Navigator認証ユーザを使用するユーザアカウントに変更して実行してください。変更方法は、シェルスクリプトファイル内のコメントを、各コマンドについてはそれぞれのマニュアルを参照してください。

監査ログ分析機能をクラスタ環境で使用する場合

本機能をクラスタ環境で使用するには、基本的には以下のマニュアルに従ってInterstage Navigator Serverをセットアップしてください。

“Interstage Navigator Server セットアップガイド（クラスタ・負荷分散システム編）”

監査ログ分析機能をクラスタ環境で使用する場合について説明します。

Interstage Navigator Server、および監査ログ分析機能は、プライマリノード、およびセカンダリノードの両方でセットアップしてください。
Interstage Navigator Serverのインストール時、Navigator辞書ディレクトリは共有ディスク上のディレクトリを指定してください。Navigator辞書ディレクトリはプライマリノード、およびセカンダリノードで同一にしてください。
Navigator辞書ディレクトリの修復コマンド（rn_refresh）をクラスタソフトウェアへ登録する必要はありません。
正規化ディレクトリの設定、拡張辞書の登録はプライマリノードおよびセカンダリノードで実施してください。
データベースの作成、Navigator辞書の登録はプライマリノードのみ実施してください。
データベースの作成において、データベースディレクトリは共有ディスク上のディレクトリを指定してください。
Navigator認証ユーザのユーザ名、グループ名、ユーザIDおよびグループIDは、プライマリノード、およびセカンダリノードで同一にしてください。