監査ログ管理機能を使用して、運用管理サーバ上にログを収集することで、ログの一元管理が容易になります。収集したログから、各サーバの運用状況の把握、監査が可能となります。

また、問題事象が発生したときの、調査の早期取り掛かりも可能となります。

ここでは、収集した監査ログが改ざんされていないことを確認する方法を説明します。

ログ収集コマンドで集めた監査ログに、加えられた変更が存在しないことを確認するために監査ログの改ざんをチェックし、不正な監査ログの混入を未然に防ぐことができます。以下の場所で、監査ログに行われた改ざんを検出できます。

被管理サーバから転送された監査ログが正しいことをmpatmlog(ログ収集コマンド)のオプション(-U YES)を指定することで確認できます。

運用管理サーバまたは中継サーバに転送中の監査ログが対象です。

転送中に改ざん検出する場合、V13.3.0以降の運用管理サーバ・中継サーバ・被管理サーバが必要です。

また、HTTPS通信により信号を暗号化し、監査ログの盗聴や第三者の傍受を防ぎます。旧バージョンの被管理サーバから監査ログを収集する場合は、HTTPS通信で監査ログの収集を行い、転送中の監査ログを保護してください。

HTTPS通信による収集を行う際には、“Systemwalker Centric Manager インターネット適用ガイド DMZ編”の“監査ログを管理するための設定”を参照してください。

格納ディレクトリに保管した監査ログ/圧縮ログは、以下のコマンドの実行を契機に改ざんが確認されます。

• mpatmlog(ログ収集コマンド)の実行中

  • 既存のログファイルにログデータを追加する前

    テキストファイルを2回目以降に収集する場合、ログデータを追加する対象のログファイルに対して改ざんの確認が行われます。

    前回収集した直後の状態から行われた変更が、改ざんとして検出されます。

• mpatmarchive(収集したログの圧縮コマンド)の実行中

  • 監査ログを圧縮する前

    格納ディレクトリ配下の監査ログを圧縮する場合、圧縮対象のログファイルに対して改ざんの確認が行われます。収集した直後の状態、または解凍した直後の状態から行われた変更が改ざんとして検出されます。

  • 既存の圧縮ログにログデータを追加する前

    格納ディレクトリ配下の監査ログを圧縮する場合、ログデータを追加する対象の圧縮ログに対して改ざんの確認が行われます。

    前回圧縮した直後の状態から行われた変更が、改ざんとして検出されます。

  監査ログの圧縮については、“監査ログを圧縮する”を参照してください。

• mpatmextract(圧縮したログの解凍コマンド)の実行中

  • 監査ログを解凍する前

    格納ディレクトリ配下の圧縮ログを解凍する場合、解凍対象の圧縮ログに対して改ざんの確認が行われます。圧縮した直後の状態から行われた変更が改ざんとして検出されます。

• mpatmchecklog(収集したログの改ざん確認コマンド)を実行したとき

  指定した監査ログまたは圧縮ログに対し、以下のコマンドを実行した後からの変更が改ざんとして検出されます。

  • mpatmlog(ログ収集コマンド)

  • mpatmarchive(収集したログの圧縮コマンド)

  • mpatmextract(圧縮したログの解凍コマンド)

  なお、格納ディレクトリ内の改ざんを検出する場合は、V13.0.0以降の旧バージョンの被管理サーバと接続した場合でも利用できます。

mpatmmediacopy(収集ログ二次媒体複写コマンド)のオプション(-U YES)を指定すると退避後の監査ログが改ざんされていないことを確認した上で、監査ログを二次媒体装置に退避します。

• 二次媒体装置に退避中の監査ログまたは圧縮ログが対象です。

• mpatmmediacopyは、運用管理サーバ・中継サーバで実行します。

二次媒体装置に複写中に監査ログの改ざんを検出できます。

改ざんがあった場合の対処を説明します。

転送中の監査ログ

mpatmlog(ログ収集コマンド)で改ざんを検出した場合、監査ログの収集が中断されます。改ざんが検出された場合、改ざん防止の対策を実施した上で、再度ログ収集を行ってください。再実行したログ収集では、前回の続きでログデータが収集されます。

保管中の監査ログ

改ざんが検出された場合、該当する監査ログが格納ディレクトリ配下の「invalidlog」ディレクトリに移動され、改ざん確認の対象外となります。

改ざんが検出されたログファイルにはログレコードが追加されません。

監査ログから改ざんが検出された場合は、以下の手順で再収集してください。

• ログの再収集

  mpatmchecklog(収集したログの改ざん確認コマンド)で改ざんを検出した場合、改ざんを検出した監査ログを以下の手順で再収集します。

  1. ログの読み込み情報の初期化

     改ざんが検出されたログファイル名から初期化対象の被管理サーバ名とログ識別名を確認します。

     改ざんされた日付のログを再収集するために、被管理サーバ上でログ情報を初期化します。

     被管理サーバ上でmpatmdelap(ログ情報削除コマンド)を実行してください。

  2. 過去7日間の監査ログの退避

     改ざんが検出されたログファイル名から退避対象のサーバ名とログ識別名を確認します。

     再収集によるログデータの重複を防ぐため、前日から過去7日間の監査ログを二次媒体に退避していなければ、mpatmmediacopy(収集ログ二次媒体複写コマンド)を実行してください。当日の監査ログは再収集により、取得できます。

  3. 監査ログの削除

     改ざんが検出されたログファイル名から削除対象のサーバ名とログ識別名を確認します。

     再収集によるログデータの重複を防ぐため、当日から過去7日間の監査ログを削除します。

     mpatmdellog(収集したログの削除コマンド)を実行してください。

  4. 監査ログの再収集

     改ざんが検出されたログファイル名から収集対象のサーバ名とログ識別名を確認します。

     改ざんされた監査ログを復旧するため、再度ログ収集を実施します。

     mpatmlog(ログ収集コマンド)を実行してください。

以下の場合は、改ざんが検出された監査ログを再収集できません。二次媒体に退避した監査ログをお使いください。

• 当日から7日前より以前の監査ログが改ざんを受けた場合

• 収集元のアプリケーションやシステムからログが消失した場合

  例)
  ログレコードが削除された場合

  例)
  ログの保管期間が8日間未満の場合

  例)
  循環ログ方式でログが生成されて、過去のログレコードが上書きされた場合

なお、改ざんされたログファイルを正規化していた場合は、改ざんを検出したログファイル名からサーバ名とログ識別名、日付を確認し、対象の正規化ログを削除した上で、再度正規化してください。

退避中の監査ログ

mpatmmediacopy(収集ログ二次媒体複写コマンド)で改ざんを検出した場合、改ざんされた監査ログは、複写先ディレクトリ上から削除され、mpatmmediacopy(収集ログ二次媒体複写コマンド)はエラー終了します。

ただし、ETERNUS 1000FシリーズのWORM機能を利用している、または読み取り専用の装置が二次媒体装置の場合は、削除されません。

改ざん検出後は、監査ログの内容が変更された原因を取り除いた上で、再度二次媒体装置に退避してください。

1. 監査ログの収集、および退避の設定を行います。

   1. 被管理サーバでmpatmlogapdef(ログ収集設定コマンド)を実行し、収集ログファイルを登録します。

      例)
      監査ログを収集するための設定

      mpatmlogapdef ADD -A textlog -L C:\logs\access.log -F C:\Systemwalkerインストールディレクトリ\MPWALKER.DM\mpatm\fmt\mpatmncsa.fmt

   2. 運用管理サーバ上で格納ディレクトリの設定をmpatmtrsdef(ファイル転送情報定義コマンド)で行います。

      例)
      格納ディレクトリの設定

      mpatmtrsdef REP -S C:\savelog

   3. 運用管理サーバ上で二次媒体の複写先ディレクトリの設定をmpatmmediadef（二次媒体複写先設定コマンド）で行います。

      例)
      複写先ディレクトリの設定

      mpatmmediadef REP -D Z:\logs

   4. 運用管理サーバ上で正規化ログ格納先ディレクトリの設定をmpatacnvtdef（正規化ログ格納先定義コマンド）で行います。

      例)
      正規化ログ格納先ディレクトリの設定

      mpatacnvtdef -N C:\csvs

2. 運用管理サーバ上で、被管理サーバに対してmpatmlog(ログ収集コマンド)を実行します。

   例)
   監査ログの収集

   mpatmlog -H 被管理サーバ -U YES

   mpatmlog(ログ収集コマンド)を使用すると転送中における改ざん検出処理が自動的に行われます。

3. 運用管理サーバで監査ログを正規化します。mpatalogcnvt(監査ログ正規化コマンド)を実行する際には、-Xオプションの値にYESを指定してください。正規化の手順については、“監査ログを正規化する”を参照してください。

   例)
   監査ログ正規化コマンド

   mpatalogcnvt -X YES

4. 正規化ログの集計レポートを作成する前に、正規化ログが改ざんされていないことを、mpatmchecklog(収集したログの改ざん確認コマンド)を実行します。

   正規化ログの集計レポートを作成する前に、正規化ログが改ざんされていないことを、mpatmchecklog(収集したログの改ざん確認コマンド)を実行します。

   mpatmchecklog -K CSV

5. 正規化ログの集計レポートを作成します。集計レポートは、mpatareportput(集計レポート出力コマンド)を実行します。

   例)
   正規化ログに対して改ざん確認を行うためのコマンド (対象：前日の正規化ログまたは圧縮ログ)。

   mpatareportput -O CSV -F SolarisSyslog.rne C:\report\SolarisSyslog

6. 正規化/集計レポート作成処理を終えた監査ログを圧縮する場合は、運用管理サーバでmpatmarchive(収集したログの圧縮コマンド)を実行します。

   例)
   監査ログを収集するための設定 (対象：前日の監査ログ)

   mpatmarchive 

7. 監査ログを二次媒体に退避して、長期保管を行います。

   1. 運用管理サーバ上で、mpatmchecklog(収集したログの改ざん確認コマンド)を実行します。

      例)
      監査ログに対して改ざん確認を行うためのコマンド (対象：前日の監査ログまたは圧縮ログ)

      mpatmchecklog

   2. 運用管理サーバ上で、mpatmmediacopy(収集ログ二次媒体複写コマンド)を実行します。

      例)
      監査ログを二次媒体に複写するためのコマンド (対象：前日の監査ログおよび圧縮ログ)

      mpatmmediacopy 
      mpatmmediacopy -K ARC

   3. 運用管理サーバ上で、mpatmmediacopy(収集ログ二次媒体複写コマンド)を実行します。

      例)
      正規化ログを二次媒体に複写するためのコマンド (対象：前日の正規化ログ)

      mpatmmediacopy -D Z:\CSV -K CSV

8. 運用管理サーバ上で、mpatmdellog(収集したログの削除コマンド)を実行します。

   オプション-Fと-Tを指定し、格納ディレクトリ配下の1ヶ月(31日)以前の監査ログ、および圧縮ログを削除します。

   例)
   監査ログを削除するためのコマンド (対象：62日前から31日前までの監査ログ)

   mpatmdellog -F 62 -T 31 -Q NO

   ジョブスケジューラやバッチファイルに登録して自動実行する場合は、上記のとおり「-Q NO」を指定し、削除実行時の再確認を省略してください。

9. 必要に応じて、運用管理サーバ上で、不要となった正規化ログを削除するために、mpatmdellog(収集したログの削除コマンド)を実行します。オプション-Fと-Tを指定し、正規化ログ格納先ディレクトリ配下の1ヶ月(31日)以前の正規化ログおよび圧縮ログを削除します。

   例)
   正規化ログを削除するためのコマンド (対象：62日前から31日前までの監査ログ)

   mpatmdellog -F 62 -T 31 -Q NO -K CSV

   ジョブスケジューラやバッチファイルに登録して自動実行する場合は、例のとおり「-Q NO」を指定し、削除実行時の再確認を省略してください。

   削除実行は、ログ収集と同様に1日1回実施することを想定しています。

各コマンドの詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。