ここでは、以下の説明を行います。
収集するログファイルの定義
ログ識別名
Systemwalker Centric Managerインストール時には、以下のログファイルがあらかじめ登録されており、以下のログファイルの収集を行う場合は、新規登録は不要です。また、新たにログ収集を行う場合、すでに登録済みのログ識別名の割り当ては行わないでください。
ただし、運用管理クライアントは、一覧と異なり、イベントログ(アプリケーション、セキュリティ、システム、Systemwalkerコンソールの監査ログ)が登録されています。Systemwalkerコンソールの監査ログを収集する場合は、ログ収集の有無が「しない」になっているため、mpsetlogsend_swgui(Systemwalkerコンソール監査ログ収集設定コマンド)で設定してから行ってください。
ログファイル | ログ識別名 | ログ収集の有無 | |
|---|---|---|---|
イベントログ | |||
| アプリケーション | EventLogApplication | する |
セキュリティ | EventLogSecurity | する | |
システム | EventLogSystem | する | |
DNS Server | EventLogDNSServer | する | |
Directory Service | EventLogDirectoryService | する | |
ファイル複製サービス | EventLogFileRepService | する | |
DFSレプリケーション | EventLogDFSReplication | する | |
ハードウェア イベント | EventLogHardwareEvents | する | |
転送された イベント | EventLogForwardedEvents | する | |
Microsoft-Windows-Hyper-V-Config-Admin | EventLogHVCfgAdmin | する | |
Microsoft-Windows-Hyper-V-Config-Operational | EventLogHVCfgOpe | する | |
Microsoft-Windows-Hyper-V-High-Availability-Admin | EventLogHVHAAdmin | する | |
Microsoft-Windows-Hyper-V-Hypervisor-Admin | EventLogHVHyAdmin | する | |
Microsoft-Windows-Hyper-V-Hypervisor-Operational | EventLogHVHyOpe | する | |
Microsoft-Windows-Hyper-V-Image-Management-Service-Admin | EventLogHVIMSAdmin | する | |
Microsoft-Windows-Hyper-V-Image-Management-Service-Operational | EventLogHVIMSOpe | する | |
Microsoft-Windows-Hyper-V-Integration-Admin | EventLogHVIntAdmin | する | |
Microsoft-Windows-Hyper-V-Network-Admin | EventLogHVNetAdmin | する | |
Microsoft-Windows-Hyper-V-Network-Operational | EventLogHVNetOpe | する | |
Microsoft-Windows-Hyper-V-SynthNic-Admin | EventLogHVSNAdmin | する | |
Microsoft-Windows-Hyper-V-SynthStor-Admin | EventLogHVSSAdmin | する | |
Microsoft-Windows-Hyper-V-SynthStor-Operational | EventLogHVSSOpe | する | |
Microsoft-Windows-Hyper-V-VMMS-Admin | EventLogHVVMMSAdmin | する | |
Microsoft-Windows-Hyper-V-Worker-Admin | EventLogHVWAdmin | する | |
Microsoft-Windows-Hyper-V-SynthFc-Admin | EventLogHVSFAdmin | する | |
Microsoft-Windows-Hyper-V-VID-Admin | EventLogHVVIDAdmin | する | |
Microsoft-Windows-Hyper-V-VMMS-Networking | EventLogHVVMMSNet | する | |
Microsoft-Windows-Hyper-V-VMMS-Operational | EventLogHVVMMSOpe | する | |
Microsoft-Windows-Hyper-V-VMMS-Storage | EventLogHVVMMSSto | する | |
UNIXシステムログ | |||
| Solarisシステムログ | SolarisSyslog | する |
Linuxシステムログ | LinuxSyslog | する | |
Solaris suログ | SolarisSuLog | する | |
Solarisログインログ | SolarisLoginLog | する | |
HP-UXシステムログ | HPUXSyslog | する | |
HP-UX suログ | HPUXSuLog | する | |
AIXシステムログ | AIXSyslog | する | |
AIX suログ | AIXSuLog | する | |
Systemwalker Centric Manager リモートコマンド検索コマンド結果のログ | CMGRCmdRevLog | しない | |
IISログ | |||
| NCSA 共通ログファイル形式 | IISNCSALog | しない |
Microsoft IIS ログファイル形式 | IISLog | しない | |
W3C拡張形式 | IISW3CLog | しない | |
Apacheログ | |||
| アクセスログ NCSA 形式 | ApacheAccessLog | しない |
エラーログ | ApacheErrorLog | しない | |
ORACLE LISTENER ログ | OracleListenerLog | しない | |
予約語
監査ログ管理機能は、以下のキーワードを監査ログ管理機能のログ識別に関する予約語としています。
DTK
EventLog
MpAtm
CMGRCmdRevLog
CMGROpLog
CMGRSvacLog
CMGRSVOpLog
NREventLog
OMGRLog
GS
IS
SYM
予約語は、次のログファイルを収集する場合に使用します。
予約語 | ログファイル |
|---|---|
DTK | Systemwalker Desktop Keeperのログファイル(注1) |
EventLog | イベントログ※1 |
CMGRCmdRevLog | Systemwalker Centric Manager リモートコマンド検索コマンド結果のログ |
CMGROpLog | Systemwalkerコンソールの監査ログ |
CMGRSvacLog | サーバアクセス制御の監査ログ |
CMGRSVOpLog | サーバ操作制御の監査ログ(注3) |
NREventLog | ETERNUS NR1000F seriesイベントログ |
OMGRLog | Systemwalker Operation Managerの操作ログ |
GSRACF | GSシステムのアクセス(RACF)ログ(注2) |
GSAIM | GSシステムの業務(AIM)ログ (注2) |
ログ識別名は、予約語とログファイルを識別する文字列を組み合わせて指定します。
例)
DTKの印刷操作ログの場合
DTKPrintLog (予約語 「DTK」、識別文字列 「PrintLog」 )
DTKのファイル操作ログの場合
DTKFileOpLog (予約語 「DTK」、識別文字列 「FileOpLog」 )
ログ識別名は、予約語とGSシステムを識別する文字列を組み合わせて指定します。
例)
GSシステムのアクセス(RACF)ログの場合
GSRACFOsaka (予約語 「GSRACF」、識別文字列 「Osaka」 )
GSシステムの業務(AIM)ログの場合
GSAIMOsaka (予約語 「GSAIM」、識別文字列 「Osaka」 )
旧バージョンのシステムで収集されたサーバ操作制御の監査ログ
Systemwalker Centric Managerのリモートコマンド検索ログの定義
監査ログ管理機能は、テキストログ収集時にSystemwalker Centric Managerのリモート検索コマンドを実行し、テキストログに変換したログを収集することができます。設定方法について以下に示します。
リモートコマンドログを収集する場合(リモートコマンド検索コマンド)
システム監視機能が設定済みのサーバ上で、opacmdrev(リモートコマンド検索コマンド)を実行することで、リモートコマンドログを収集することができます。リモートコマンド検索コマンドは、運用管理サーバ上で実行した場合、リモートコマンド実行先にかかわらずリモートコマンドを実行したログ履歴一覧が取得できます。
リモートコマンドログを収集したいサーバ上で、以下のコマンドを実行し収集対象に定義します。
設定例)
運用管理サーバ上で以下のコマンドを実行し、「opacmdrev」を定義します。
【Windows版】
mpatmlogapdef REP -A CMGRCmdRevLog -E YES -X YES -L "収集ファイル名" -O "opacmdrev.exe"
【UNIX版】
mpatmlogapdef REP -A CMGRCmdRevLog -E YES -X YES -L "収集ファイル名" -O "opacmdrev"
-Lオプションに指定するログファイル名については、一時ファイルとなります。そのため、そのファイルにはログは蓄積されません。
→ログ収集実行の前に実行するコマンドにopacmdrev(リモートコマンド検索コマンド)が設定されます。
mpatmlogapdef(ログ収集設定コマンド)、opacmdrev(リモートコマンド検索コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
複数のサーバから、Systemwalker Centric Managerリモートコマンド検索コマンドのログを収集する場合は、ログ収集の前にリモートコマンドが実行されるようスケジュール登録してください。
Systemwalker Desktop Keeperのバックアップコマンドによるクライアント操作ログの収集定義
Systemwalker Desktop Keeperのバックアップコマンドによるクライアント操作ログの収集については、Systemwalker Centric Manager 技術情報で公開されているマニュアル“Systemwalker Centric Manager 連携ガイド Systemwalker Desktop Keeper編”を参照してください。
ETERNUS NR1000F seriesイベントログを収集するための設定
ETERNUS NR1000F series装置をWindows版の被管理サーバや運用管理サーバにファイル共有することにより、ETERNUS NR1000F seriesが出力するイベントログファイルを収集することができます。
この場合、ETERNUS NR1000F series側では、被管理サーバにて監査ログ管理がアクセス可能なユーザIDとパスワードが事前に登録されている必要があります。
監査ログ管理がアクセス可能なユーザIDとパスワードは、収集対象のETERNUS NR1000F seriesすべて同じものを登録してください。
ETERNUS NR1000F seriesが出力するイベントログファイルの出力パターンは以下のとおりです。
出力パターン | 説明 |
|---|---|
単一ファイル | 固定ファイル名で出力します。 |
複数ファイル | 固定ファイル名に数字が付加されます。新しいファイルから順番に番号が付加されます。最新のファイルには番号は付加されません。 |
複数ファイル | 固定ファイル名にタイムスタンプ(YYYYMMDDHHMMSS)が付加されます。 |
注意
複数ファイルの最大数は1~999の範囲で指定が可能です。
設計
通常のテキストログ収集の設計に加え、以下のことを設計します。
どのWindowsの被管理サーバに対してファイル共有をさせるか
ETERNUS NR1000F series側の機器名の確認
ファイル共有をUNC名で行う場合の接続情報(サーバ名、IPアドレス、共有名、ユーザID、パスワード)の確認
ETERNUS NR1000F series側で登録する監査ログ管理がアクセス可能なユーザIDとパスワードか
設定手順
監査ログ管理でETERNUS NR1000F seriesが出力するイベントログファイルを収集する場合、以下の手順で行います。
被管理サーバでmpatmaccdef(共有リソース接続ユーザ設定コマンド)を実行し、共有リソースにアクセスするためのユーザIDとパスワードの設定を行います。パスワードはユーザIDを入力後に入力します。
例)
接続ユーザを設定する場合
mpatmaccdef REP -U audituser Enter password :****** Re-Enter password:******
mpatmaccdef(共有リソース接続ユーザ設定コマンド)については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。
被管理サーバで、mpatmlogapdef(ログ収集設定コマンド)を実行し、ETERNUS NR1000F seriesが出力するイベントログファイルを収集する定義を行います。ETERNUS NR1000F seriesが複数台存在する場合は、ログ識別名を区別して定義を行う必要があります。
mpatmlogapdef(ログ収集設定コマンド)については、“Systemwalker Centric Manager リファレンスマニュアル”の“mpatmlogapdef(ログ収集設定コマンド)”を参照してください。
以下に例を示します。例中では、ETERNUS NR1000F seriesの機器名を「Fileserver1」としています。
イベントログファイルが単一ファイルの場合
単一ファイル名としてファイルのフルパス名を指定してください。
例)
mpatmlogapdef ADD -A NREventLog001 -L \\192.168.0.2\etc\log\adtlog.evt -N Fileserver1
イベントログファイルが複数ファイル(数字付加)の場合
複数ログファイルであることの -M パラメタに数字付加なので降順(「DESC」)を指定します。
収集対象ログファイル名には、ETERNUS NR1000F seriesが出力するイベントログファイルが複数のため、数字付加部分をワイルドカードに置き換えて指定します。
例)
mpatmlogapdef ADD -A NREventLog001 -M DESC -L \\192.168.0.2\etc\log\adtlog*.evt -N Fileserver1
イベントログファイルが複数ファイル(タイムスタンプ付加)の場合
複数ログファイルであることの -M パラメタにタイムスタンプ付加なので昇順(「ASC」)を指定します。
ETERNUS NR1000F seriesが出力するイベントログファイルが複数のため、収集対象ログファイル名には、タイムスタンプ付加部分をワイルドカードに置き換えて指定します。
例)
mpatmlogapdef ADD -A NREventLog001 -M ASC -L \\192.168.0.2\etc\log\adtlog*.evt -N Fileserver1
運用管理サーバ上で格納ディレクトリの設定をmpatmtrsdef(ファイル転送情報定義コマンド)で実行します。
運用管理サーバ上で、被管理サーバに対してmpatmlog(ログ収集コマンド)を実行します。
ログ収集実行中に、ETERNUS NR1000F seriesのネットワーク接続が切断された場合は、ログ収集はエラーとなります。
JIS2004に対応したログの定義
通常、Windows上のログは収集する際、収集対象ログをSJISとして収集します。
Windows OSで、JIS2004で出力しているログを収集する場合、以下のようにmpatmlogapdef(ログ収集設定コマンド)に「-C W」を指定して、ログファイルを収集する定義を行います。
mpatmlogapdef ADD -A Applog -L "C:\Log\Applog" -F "C:\Systemwalker\MpWalker.DM\mpatm\fmt\mpatmevt.fmt" -C W
mpatmlogapdef(ログ収集設定コマンド)については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください
なお、JIS2004に対応したログは、条件により正常にログ収集されない場合があります。
以下の表で、○の条件の場合、JIS2004に対応したログが正常に収集できます。
運用管理サーバ | ログ収集設定時の文字コード | |
|---|---|---|
「-C W」を設定 | 「-C S」を設定 | |
V13.2.0以前 | × | |
V13.3.0以降 | ○ | × |
