監査ログ管理機能で収集を行うしくみについて説明します。
テキストファイルを収集する場合の監査ログ管理のしくみ
収集のしかた
収集対象のログファイル内のログレコードから、ログレコードの日付から日付単位にファイルを作成し管理します。
初回収集
上記の初回収集の場合、2006/5/1から2006/5/8まで収集し、格納ディレクトリには、2006/5/1のデータから2006/5/8(当日)までのログデータを格納します。
テスト運用から本運用前に収集したログファイルは、運用に従いCD-R/DVD-Rなどの別媒体にバックアップし、バックアップした後のデータは削除するなどしてください。
時間外データ、日時データがないデータについて
時間外データ(時系列にならんでいないデータ)、ログレコード内の日時データ(形式が一致する日付と時間が付加されているデータ)がないデータについて、監査ログ管理機能の扱いについて説明します。
初回収集
初回の収集において、日時データの確認ができるログレコードの前にある日時データがないデータは、収集当日のデータに含めて収集します。日時データの場合、収集対象外日付のものは収集対象外とします。
2回目以降の収集
前回収集したログレコードの次に時間外データがある場合は、以下のようになります。
ログレコードの日付が収集対象外の場合は、収集対象外
ログレコードの日付が現在処理している日付より古く、収集対象内の日付の場合は、現在処理している日付ファイルに追加
また、日時データがないデータは、収集当日のデータに含めて収集します。
ファイル名に設定する「サーバ名」について
監査ログ管理機能では、収集したログファイルの名前に、サーバ名(Systemwalker Centric Managerで指定する自ホスト名)を付け、対象ログ(ログ識別名)、日付ごとのファイルとして管理しています。
サーバ名に以下の文字がある場合、別名に変更をしてください。
「\」(0x5C)、「/」(0x2F)、「:」(0x3A)、「,」(0x2C)、「;」(0x3B)、「*」(0x2A)、「?」(0x3F)、「"」(0x22)、「<」(0x3C)、「>」(0x3E)、「|」(0x7C)の文字があるサーバ
サーバ名の先頭、または最後の文字に「-」(0x2D)があるサーバ
また、自ホスト名に「_」(0x5F)、「 」(0x20)を設定している場合は、「-」(ハイフン 0x2D)に置き換えて収集を行います。
バイナリファイルを収集する場合の監査ログ管理のしくみ
収集のしかた
バイナリデータは、ログレコードの時間情報を識別することができません。そのため、テキストファイルと異なり、日付単位に分割した管理ができません。代わりにファイルの最終更新日付で日付単位にファイルを作成し管理します。
監査ログ管理では、バイナリファイルは以下のことを想定しています。
Lotus Notes/DominoのDBログ(約300MB)
暗号化されたログファイル
日付データがないテキストログファイル
/var/adm/wtmpx
初回収集
バイナリファイルの収集は、テキストファイルの収集と異なり差分収集せず、ファイル単位で収集します。そのため、複数ファイルの場合、ログ収集のデータ量が多くなることが予想されます。監査ログ管理を使用した収集を行う場合、初回のログ収集は7日までさかのぼった収集対象期間内のログをすべて収集します。そのため、膨大なログデータの収集によるネットワーク負荷を抑えるために、分割転送および転送間隔を指定してください。また、複数ログファイルの収集で、初回の収集は収集対象ファイルリスト内で最新ファイルだけを収集することを選択することも可能です。
以下の図は、収集期間内の最新ファイルの選択処理について説明しています。
2回目以降の収集
バイナリファイルの収集では、差分収集しないため、運用管理サーバに収集するとディスク容量をテキストファイルよりも費やします。そのため、バイナリログファイルが累積型のログで、同日に複数回ログ収集を行った場合、最新のログファイルだけ保管することもできます。
収集対象
初回収集時は、以下の条件で収集します。
単一ファイルの場合
指定したファイルの最終更新日付が収集期間内であれば収集します。
複数ファイルの場合
指定した複数ファイルのうち、最終更新日付が収集期間内であれば収集します。ただし、収集対象のファイルの総容量が大容量でネットワーク負荷をかけたくない場合は、収集期間内の最終更新日付が、最新のファイルのみを収集することも選択可能です。
2回目以降は、ファイルの最終更新日付が収集期間内で前回収集時より新しいファイルをすべて収集します。
2回目以降は、差分収集を行わず、別ファイルとして収集します。ただし、同一日にログ収集を複数回実行した場合のみ、上書きファイルとして保存できることも選択可能です。
注意
Windows Server 2008以降のWindowsシステムの場合、ファイルが更新されても更新日時がすぐに反映されず、更新されたバイナリファイルが収集されないことがあります。
その場合は、バイナリファイルの更新日時が反映されてからログ収集を行うようにしてください。
収集したファイル名
収集ファイルは、以下のファイル名形式で作成します。
被管理サーバ名_ログ識別名_文字コード_YYYYMMDD_収集対象ファイル名_通番.log |
YYYYMMDD:収集対象ファイルの最終更新日付
文字コード:「B」 バイナリファイルの「B」を付加します
収集対象ファイル名:収集ファイル名 拡張子も付加しますが、その際、「.」(0x2E)は「-」(ハイフン 0x2D)に置き換えます。また、以下の文字についても「-」(ハイフン 0x2D)に置き換えます。
「_」(0x5F)、「 」(0x20)、「\」(0x5C)、「/」(0x2F)、「:」(0x3A)、「,」(0x2C)、「;」(0x3B)、 「*」(0x2A)、「?」(0x3F)、「"」(0x22)、「<」(0x3C)、「>」(0x3E)、「|」(0x7C) |
通番:同一日にログ収集を複数回実行した場合の収集回数(0001~9999)です。上書きするを選択した場合、通番は「0001」固定となります。通番が「9999」を超えた場合は、「mpatm: エラー: 672」が出力され、該当ログ識別名のログ収集は失敗します。
収集する時の転送設定
テキストファイルの転送と同様に、以下の設定が可能です。
分割転送サイズ
転送間隔
