ポリシーを使用して設定する方法を説明します。監査ログ管理機能の導入時に使用します。監査ログ分析機能を使用してログ分析を行いたい場合、ポリシーに従ったログ収集を行う場合や収集対象マシンが多い場合に使用します。特に監査ログ分析機能を使用してログ分析を行いたい場合、必ずポリシーを使用した設定を行ってください。
1. ポリシーを設計する |
2. 監視ツリーを作成する(必要に応じて) |
3. ポリシーを作成する |
4. 中継サーバを設定する(必要に応じて) |
5. ポリシーを登録する |
6. ポリシーを配付する |
7. 中継サーバ上の被管理サーバのログ収集を定義する(必要に応じて) |
ポリシーを設計する
ポリシーを使用したログ収集の設定を行うには、現在のシステム内のどのサーバ上のログを収集するか、どのような経路でログを収集するか などを検討します。
以下に考慮する観点を説明します。
収集対象のサーバを選定
Systemwalker Centric Managerで構成するシステム内のどのサーバからログを収集するかを選定します。この場合、サーバ内で出力するログ(システムのログやアプリケーションのログ)から収集する必要があるサーバを選定します。
収集対象のログを選定
Systemwalker Centric Managerで構成するシステム内の各サーバから収集するログを選定します。
| Windows | Solaris | Linux | HP-UX/ |
|---|---|---|---|---|
システム | イベントログ | シスログ | シスログ | シスログ |
アプリケーションログ | loginlog | suログ | ||
システムログ | suログ | |||
セキュリティログ | ||||
DNSサーバログ | ||||
ファイルリプリケーション複製サービスログ | ||||
ディレクトリサービスログ | ||||
DFSリプリケーションログ | ||||
ハードウェアイベントログ | ||||
Forwardedイベント | ||||
WEB | IIS(収集形式) | Apache(アクセスログ、エラーログ) | ||
Apache(アクセスログ、エラーログ) | ||||
Systemwalker Centric Manager | リモートコマンド検索コマンド | サーバ操作制御の監査ログ(注) | ||
Systemwalkerコンソールの監査ログ | ||||
サーバ操作制御の監査ログ(注) | ||||
サーバアクセス制御の監査ログ | ||||
アプリケーション | 任意 | 任意 | 任意 | 任意 |
旧バージョンのシステムで収集されたサーバ操作制御の監査ログ
アプリケーションログについては、収集するログ形式も検討します。
ログ形式が、既存の日付書式定義ファイルに一致しない場合は、日付書式定義ファイルを新規に作成してください。
ログ収集を行うサーバの選定
運用管理サーバだけで収集を行うのか、中継サーバを設置するかを検討します。中継サーバの検討は、特に収集処理に費やす時間を意識した収集を行いたい場合などに設置すると有効です。
ログ収集を行うサーバの限定
収集対象のサーバから、ログ収集を行うサーバを限定するか検討します。
ログ収集を行うサーバを限定すると、ログ収集を許可したサーバ以外のサーバからログを収集することができなくなるため、セキュリティが向上します。詳細については、“収集対象のサーバを限定する”を参照してください。
格納ディレクトリの選定(運用管理サーバまたは中継サーバの設定)
運用管理サーバまたは中継サーバの格納ディレクトリ(被管理サーバから収集したログファイルを保管するディレクトリ)を選定します。ポリシーを配付するサーバにディレクトリが存在しない場合は、ポリシー適用時に作成します。
格納ディレクトリを設定した場合、以下のユーザだけに限定するように格納ディレクトリのアクセス権を変更します。
Windows:Administrators権限、およびSYSTEM権限
UNIX : root権限
注意
“コマンドの入力ファイルに記載して設定する”の“格納ディレクトリを設定する際の注意事項”を参照してください。
転送用ディレクトリの選定
被管理サーバの転送用ディレクトリ(収集したログを運用管理サーバに転送するためのディレクトリ)を選定します。ポリシーを配付するサーバにディレクトリが存在しない場合は、ポリシー適用時に作成します。
転送用ディレクトリを設定した場合、以下のユーザだけに限定するように転送用ディレクトリのアクセス権を変更します。
Windows:Administrators権限、およびSYSTEM権限
UNIX : root権限
注意
“コマンドの入力ファイルに記載して設定する”の“転送用ディレクトリを変更する場合の注意事項”を参照してください。
ログの転送についての検討
分割転送するデータサイズ、転送間隔および転送ファイルの圧縮について検討します。デフォルトでは、データサイズ:60 MB、転送間隔:5 秒、非圧縮です。
ログの収集についての検討
被管理サーバでログ収集を行う際に、ログ収集処理を同時に実行するログ識別名の数(多重度)について検討します。デフォルトでは、多重度:1です。
ポリシーを配付するサーバで、ポリシーを共通にできる範囲を選定
運用管理サーバ、中継サーバおよび被管理サーバにおいて、収集するログや転送用ディレクトリ、格納ディレクトリの設定する値により、共通範囲を選定します。
監視ツリーを作成する
複数のノードに対して同じポリシーを設定する場合は、運用管理クライアントまたは運用管理サーバ(Windowsのみ)からSystemwalkerコンソールを起動し、監視ツリーを作成します。
ノードを指定してポリシーを設定する場合や、すべてのノードに同じポリシーを設定する場合は、監視ツリーを設定する必要はありません。
複数のノードに対して異なるポリシーを設定する場合は、監視ツリーにポリシーの種類分のフォルダを作成します。作成したフォルダ配下に同じポリシーを設定するノードを追加することにより、ポリシーを効率的に配付することができます。
例えば、“ポリシーを設計する”の構成の場合は、Systemwalkerコンソールの監視ツリーを以下のように作成すると効率的にポリシーを配付することができます。
ポリシーを作成する
“ポリシーを設計する”で設計したポリシー値に沿って、運用管理サーバの任意のディレクトリ配下に監査ログ管理ポリシーファイル(以降は、ポリシーファイルと表現)を作成します。ポリシーファイルは、ポリシーの種類やOSごとに作成します。mpatmdef.dat(監査ログ管理設定サンプルファイル)を流用すると簡単に作成することができます。ポリシーファイルのAPDEFセクションで、収集実行の設定が「YES」(収集する)となっているもの、または監査ログ管理ポリシーファイル中の必須項目を記載している定義についてポリシー登録を行います。監査ログ管理ポリシーファイルと監査ログ管理設定サンプルファイルの詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
ポリシーファイル名には拡張子(.csv)を付けてください。(例えば、mpatmpolicy.csv)。
拡張子(.csv)がないファイルは、ポリシーファイルとして認識しません。拡張子以外は特に制限はありません。
同じディレクトリ配下に複数のポリシーファイルを作成しないでください。
ポリシーファイルが複数ある場合は、ファイル名の昇順で1番最初のポリシーファイルを使用します。異なるポリシーファイルを複数作成する場合は、ディレクトリを分けて作成してください。
V13.3.0以降のWindows版 運用管理サーバからV13.2.0 Windows版やV13.2.0以降のUNIX版に対してポリシーを作成する際に、mpatmdef.dat(監査ログ管理設定サンプルファイル)を流用する場合は、以下の点に注意してください。
V13.3.0以降のWindows版 mpatmdef.datには、収集対象ログファイルの文字コードを指定する項目が追加されています。文字コードの指定は、V13.2.0 Windows版やV13.2.0以降のUNIX版に指定すると無視されます。そのため、V13.2.0 Windows版やV13.2.0以降のUNIX版のポリシーに使用する場合は、文字コードの項目を削除した上で使用してください。
Solaris版またはLinux版の運用管理サーバからWindows上のJIS2004で出力するログ設定を行う場合、以下の点に注意してください。
Solaris版またはLinux版のmpatmdef.datには、収集対象ログファイルの文字コードを指定する項目はありません。そのため、Windows上のJIS2004で出力するログ設定を行う場合は、文字コードの項目を追加した上で使用してください。
日付書式定義ファイルの作成
ポリシーファイルに記述した日付書式定義ファイルをポリシー配付する場合は、ポリシーファイルと同じディレクトリ配下にポリシー配付する日付書式定義ファイルを作成します。
ポリシーファイルに記述していない日付書式定義ファイルを、ポリシーファイルと同じディレクトリ配下に作成しても、その日付書式定義ファイルはポリシー配付しません。
ポリシーファイルに、日付書式定義ファイルをフルパス名で記述した場合は、ポリシーを配付するサーバの該当ディレクトリ配下に日付書式定義ファイルを格納します。
ディレクトリを省略し、ファイル名だけを記述した場合は、ポリシーを配付するサーバの以下のディレクトリ配下に日付書式定義ファイルを格納します。
Windows:Systemwalker Centric Managerのインストールディレクトリ\mpwalker.dm\mpatm\fmt
UNIX:/etc/opt/FJSVmpatm/fmt
すでに日付書式定義ファイルが存在する場合は、ポリシー配付した日付書式定義ファイルを上書きします。
ポリシーを配付したサーバに、すでに日付書式定義ファイルがある場合は、ポリシーを配付する必要がないため、日付書式定義ファイルを作成する必要はありません。
例えば、デフォルトで提供しているイベントログ、シスログ、IISのログやSystemwalker Centric Managerのリモートコマンド検索コマンドなどの日付書式定義ファイルは、Systemwalker Centric Managerをインストールしたときに、日付書式定義ファイルをインストールしているため、作成する必要はありません。
ポリシー配付する日付書式定義ファイルのファイル名は、パスも含めて80文字以内になるようにしてください。
また、ファイル名には日本語を含めないでください。(使用できないファイル名の例は、日本語.fmt)
日付書式定義ファイルについては、“日付書式定義ファイルについて”を参照してください。
mpatmconnect.ini(接続可能一覧ファイル)の作成
被管理サーバからログ収集するサーバを限定する場合は、mpatmconnect.ini(接続可能一覧ファイル)を運用管理サーバの任意のディレクトリ配下に作成します。mpatmconnect.ini(接続可能一覧ファイル)はポリシーファイルの有無にかかわらずポリシー配付します。
ポリシーファイルと一緒にポリシー配付する場合は、ポリシーファイルと同じディレクトリ配下にmpatmconnect.ini(接続可能一覧ファイル)を作成してください。
ポリシーを配付したサーバにすでにmpatmconnect.ini(接続可能一覧ファイル)が存在する場合は、ポリシー配付したmpatmconnect.ini(接続可能一覧ファイル)を上書きします。
ログ収集できるサーバを限定しない場合は、mpatmconnect.ini(接続可能一覧ファイル)を作成する必要はありません。
mpatmconnect.ini(接続可能一覧ファイル)については、“収集対象のサーバを限定する”を参照してください。
中継サーバを設定する
ポリシーを設定する前に、中継サーバの選定を行います。中継サーバの選定後、中継サーバを設定する必要がある場合は、以下の手順で中継サーバの設定を行います。
運用管理クライアント、または運用管理サーバ(Windowsのみ)からSystemwalkerコンソールを起動します。
Systemwalkerコンソールで中継サーバとする部門管理サーバまたは業務サーバに対して、リモートコマンドによるコマンド投入により、中継サーバの設定を行います。中継サーバの設定は、mpatmsvrtypedef(サーバ種別設定コマンド)を実行します。
mpatmsvrtypedef REP -R
中継サーバ上の格納ディレクトリや被管理サーバから収集した格納ディレクトリ配下のログ収集の設定については、“中継サーバ上の被管理サーバのログ収集を定義する”を参照してください。
ポリシーを登録する
ポリシーを配付する前に、ポリシーの登録をします。
ポリシーの登録方法は、以下の2つの方法があります。
作成(編集)したポリシーファイルを使用してポリシー登録する
移出したポリシーまたはローカル定義をポリシー登録する
作成(編集)したポリシーファイルを使用してポリシー登録する
ポリシーの登録は、運用管理サーバでmpatmpset(監査ログ管理ポリシー情報移入コマンド)を実行して行います。
mpatmpset {-N ノード名|-I IPアドレス|-F フォルダ名 } -D ディレクトリ名mpatmpset(監査ログ管理ポリシー情報移入コマンド)では、実行結果を監査ログに出力します。監査ログについては、“Systemwalker Centric Managerの監査ログを出力する”を参照してください。
mpatmpset(監査ログ管理ポリシー情報移入コマンド)については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
以下のマシン構成を例に、ケースごとに実行するmpatmpset(監査ログ管理ポリシー情報移入コマンド)の実行例を記述します。
ノードを指定してポリシーを登録する場合は、ディレクトリ(例えば、c:\policy)配下にポリシーファイル、日付書式定義ファイル、mpatmconnect.ini(接続可能一覧ファイル)を作成し、以下のコマンドを実行します。
mpatmpset -N 業務サーバ1 -D c:\policy
ノードの表示名が重複している場合は、ノード名ではなくIPアドレスを指定します。
mpatmpset -I 192.168.0.1 -D c:\policy
1回のコマンド実行で共通のポリシーを各ノードに登録することもできます。
その場合、フォルダの表示名を指定してmpatmpset(監査ログ管理ポリシー情報移入コマンド)を実行します。
ノードの表示名、フォルダの表示名については、Systemwalkerコンソール上で確認してください。
フォルダ配下のすべてのノードに対し、共通の定義を設定できない場合は、Systemwalkerコンソール上でポリシー登録用の監視ツリーを新規に作成します。
作成した監視ツリーに、ポリシーの種別ごとにフォルダを作成し、登録するポリシーに該当するノードを追加してください。
部門管理サーバ3、部門管理サーバ4、部門管理サーバ5に同じポリシーを適用する場合、Systemwalkerコンソールの監視ツリーにフォルダを作成し、そのフォルダ配下に部門管理サーバ3、部門管理サーバ4、部門管理サーバ5を追加します。
ディレクトリ(例えば、c:\policy)配下にポリシーファイル、日付書式定義ファイル、mpatmconnect.ini(接続可能一覧ファイル)を作成し、以下のコマンドを実行します。
mpatmpset -F 監査ログ管理 -D c:\policy
監視ツリーを作成しない場合は、mpatmpset(監査ログ管理ポリシー情報移入コマンド)をノード数分実行します。このとき、以下のようにバッチファイルを作成すると、1回の操作でポリシーを登録することができます。mpatmpset(監査ログ管理ポリシー情報移入コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
バッチファイルの記述例)
mpatmpset -N gyoumu1 -D c:\policy_a mpatmpset -N gyoumu2 -D c:\policy_a mpatmpset -N gyoumu3 -D c:\policy_a mpatmpset -N gyoumu4 -D c:\policy_b mpatmpset -N gyoumu5 -D c:\policy_c
移出したポリシーまたはローカル定義をポリシー登録する
mppolcollect(ポリシー情報移出コマンド)で移出した監査ログ管理のポリシーを登録することもできます。
監査ログ管理のポリシー情報の移出からポリシー登録するまでの手順は以下のとおりです。
mppolcollect(ポリシー情報移出コマンド)を実行します。
各ノードから共通化したい監査ログ管理の設定をしたノードを選定し、mppolcollect(ポリシー情報移出コマンド)を実行します。
mppolcollect(ポリシー情報移出コマンド)では、監査ログ管理のポリシー情報として以下のファイル(以降は、監査ログ管理ポリシー情報ファイルと表現)を生成します。
生成したこれらのファイルを編集しないでください。
P_mpatm_policy.csv
P_mpatm_format.ini
P_mpatm_conn.ini
mppolcollect(ポリシー情報移出コマンド)を「-A」または「-n」オプションを指定して実行した場合は、ノードに設定したポリシーを移出します。
「-A」または「-n」オプションを指定せずに実行した場合は、ローカル定義を移出します。
「-A」または「-n」オプションは運用管理サーバで実行する場合のみ指定できます。
mppolcollect(ポリシー情報移出コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
監査ログ管理のポリシー情報を運用管理サーバに転送します。
運用管理サーバ以外でmppolcollect(ポリシー情報移出コマンド)を実行した場合に、監査ログ管理ポリシー情報ファイルを運用管理サーバに転送します。
転送先のディレクトリは任意です。
運用管理サーバでmppolcollect(ポリシー情報移出コマンド)を実行した場合は、監査ログ管理ポリシー情報ファイルを転送する必要はありません。
監査ログ管理のポリシー情報をポリシー登録可能なファイル形式に変換します。
運用管理サーバで、mpatmpconv(監査ログ管理ポリシー情報変換コマンド)を実行します。
mpatmpconv(監査ログ管理ポリシー情報変換コマンド)では、以下のファイルを生成します。
監査ログ管理ポリシーファイル
監査ログ管理ポリシーファイルの詳細は“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
日付書式定義ファイル
日付書式定義ファイルの詳細は“日付書式定義ファイルについて”を参照してください。
mpatmconnect.ini(接続可能一覧ファイル)
mpatmconnect.ini(接続可能一覧ファイル)の詳細は“収集対象のサーバを限定する”を参照してください。
mpatmpconv(監査ログ管理ポリシー情報変換コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
mpatmpconv(監査ログ管理ポリシー情報変換コマンド)で指定する移出ディレクトリ名には、監査ログ管理ポリシー情報ファイルが格納されているディレクトリ名をフルパスで指定します。
mppolcollect(ポリシー情報移出コマンド)は「-A」オプション、または「-n」オプションの指定により監査ログ管理ポリシー情報ファイルの出力先が以下のように変わるため注意してください。
「-A」オプション、または「-n」オプション指定あり
コマンド例)
mppolcollect -A -o c:\policy
「-o」オプションで指定したディレクトリ配下にIPアドレスと同じ名称のディレクトリを作成します。
作成したIPアドレスと同じ名称のディレクトリ配下に監査ログ管理ポリシー情報ファイルを出力します。
「-A」オプション、および「-n」オプション指定なし
コマンド例)
mppolcollect -o c:\policy
「-o」オプションで指定したディレクトリ配下に監査ログ管理ポリシー情報ファイルを出力します。
ポリシー登録するファイルの内容を修正します。
mpatmpconv(監査ログ管理ポリシー情報変換コマンド)で作成されたファイルの内容を確認してください。
設定内容を変更する場合は、テキストエディタを使用して、変更するパラメタ値のみ更新します。
移出したノードの設定を、そのままポリシー登録する場合は更新は不要です。
ポリシーを登録します。
運用管理サーバでmpatmpset(監査ログ管理ポリシー移入コマンド)を実行します。
ポリシー登録後、ポリシー配付を行うことにより、ポリシーが指定したノードに適用されます。ポリシー登録、ポリシー配付については、“ポリシーを登録する”および“ポリシーを配付する”を参照してください。
ポリシーを配付する
全体監視(Systemwalkerプロトコル)運用している場合、全体監視サーバから、自部門のノードへのポリシー配付はできません。
Systemwalkerコンソールを起動する
Systemwalkerコンソールを起動します。
Systemwalkerコンソールの起動については、“Systemwalker Centric Manager 使用手引書 監視機能編”の“設定の各手順”を参照してください。
ポリシー配付画面を起動する
ポリシー配付画面は、以下の2とおりの方法で起動することができます。
Systemwalkerコンソールの[ポリシー]メニューから起動する
Systemwalkerコンソールの[ポリシー]メニューから、[セキュリティ]-[ポリシーの配付]を選択します。
→[ポリシーの配付]画面が表示されます。
[ポリシーの配付状況]画面の[配付]メニューから起動する
Systemwalkerコンソールの[ポリシー]メニューから、[セキュリティ]-[ポリシーの配付状況]を選択します。
→[ポリシーの配付状況]画面が表示されます。
[配付]メニューの[全て]、または[選択したコンポーネントのみ]を選択します。
配付待ち、および配付に失敗したすべてのポリシーを配付する場合は、[全て]を選択します。
[ポリシーの配付状況]画面左側のツリー、または画面右側のリストから選択した特定のコンポーネントの配付待ち、および配付に失敗したポリシーを配付する場合は、[選択したコンポーネントのみ]を選択します。
→[ポリシーの配付]画面が表示されます。
ポリシーを配付する
[ポリシーの配付]画面で[OK]ボタンをクリックすると、配付が開始します。
ポリシーの配付をキャンセルする場合は、[キャンセル]ボタンをクリックします。
ポリシーの配付のキャンセルは数十秒かかる場合があります。複数のポリシーを配付しているときに[キャンセル]ボタンがクリックされた場合、すでに配付が完了したポリシーはキャンセルされません。
ポリシーの配付状況の詳細を表示する場合は、[詳細]ボタンをクリックします。
注意
ポリシー配付中に[ポリシーの配付状況]ダイアログボックスを強制的に終了しないでください。強制終了すると、ポリシー配付を実行するプロセスが滞留し、以降のポリシー配付ができなくなる場合があります。
ポリシーの配付状況を確認する
ポリシーの配付に成功した場合
配付終了のメッセージを表示し、[ポリシーの配付]画面が自動的に終了します。ポリシーの配付結果は[ポリシーの配付状況]画面で確認します。
ポリシーの配付に失敗した場合
エラーダイアログボックスが表示されます。エラーダイアログボックスのボタンをクリックし、[ポリシーの配付状況]画面を表示してください。
[ポリシーの配付状況]画面を起動します。
Systemwalkerコンソールの[ポリシー]メニューから、[監視]-[ポリシーの配付状況]を選択します。ポリシーを配付する前から[ポリシーの配付状況]画面を起動している場合は、[ポリシーの配付状況]画面の[リフレッシュ]メニューを選択し、画面の情報を更新してください。
配付の成功を確認します。
[ポリシーの配付状況]画面の左側ツリーで、[配付済み(配付成功)]を展開し、配付したコンポーネントを選択します。画面右側のリストに配付したポリシーの情報が表示さると配付成功です。
配付の失敗を確認します。
[ポリシーの配付状況]画面の左側ツリーで、[配付失敗]を展開し、配付したコンポーネントを選択します。画面右側のリストに、配付したポリシーの情報が表示された場合は配付が失敗しています。右側のリストの[配付結果]に表示されているエラーコードを参照し、配付が失敗した原因を特定して対処を行ってください。
[配付結果]に表示されているエラーコードの詳細については、[ポリシーの配付状況]画面の“Systemwalker Centric Manager オンラインヘルプ”、または“Systemwalker Centric Manager メッセージ説明書”の“[ポリシーの配付状況]画面に表示されるエラーコード一覧”を参照してください。
注意
配付が完了したポリシーを取り消すことはできません。ポリシー配付前の状態に戻す可能性がある場合は配付前のポリシーの設定状況を確認しておいてください。
Systemwalker Centric Managerインストールディレクトリ配下に、作業用ファイルを格納しないでください。格納した場合は、配付エラー(アクセスエラー)となり、ポリシー配付に失敗する場合があります。
中継サーバ上の被管理サーバのログ収集を定義する
中継サーバを設定した場合は、中継サーバ上の被管理サーバのログ収集定義を行います。
中継サーバでは被管理サーバから収集したログを中継サーバ上の格納ディレクトリに保管しています。そのログを運用管理サーバに収集するように中継サーバに定義を行います。本設定は通常中継サーバごとに管理する被管理サーバが異なるため、個別に設定する必要があります。本設定については、“中継サーバを利用するための設定”を参照してください。
注意事項
監査ログ管理のポリシーを配付する場合、ポリシーを設定する運用管理サーバとポリシーを配付するサーバには、V13.2.0以降のSystemwalker Centric Managerが必要です。
ポリシーを配付するサーバがV13.2.0以前の場合はポリシーを配付しません。
HP-UX、AIXの場合、syslogへの日本語出力をサポートしていない環境があります。
HP-UX版
AIX版(SJIS環境)
上記環境の被管理サーバに対し監査ログ管理のポリシー配付を行った場合、Systemwalkerコンソールの[ポリシーの配付状況]画面の[アプリケーションメッセージ]欄に出力する監査ログ管理のメッセージ(mpatmで始まるもの)は英語で出力します。
mpbcmpolmode (監視ポリシー管理形式の変更コマンド)で、監視ポリシーの管理形式を切り替えた場合、ポリシーの再登録後、ポリシーを再配付してください。
監視ポリシーの管理形式を切り替える手順については、“Systemwalker Centric Manager 導入手引書”の“ポリシー設定について”を参照してください。