監査ログ管理を行う場合の注意事項について説明します
Solaris 10以降のシステムでzone機能を使用している場合
Solaris 10以降のシステムでzone機能を使用している場合、以下のように異なるzoneのログ収集はできません。同じzone内のログファイルの収集を行ってください。
global zoneの場合、non-global zone内にあるログファイル
non-global zoneの場合、global zone内にあるログファイル
non-global zoneの場合、異なるnon-global zoneのログファイル
運用に関する注意事項
監査ログ管理機能によるログ収集の運用中、システム時間の日付を1年先など先へ進めたり、過去に戻す操作を行ったりしないでください。そのような操作を行った場合、ログの収集が正常に行われないことがあるため、システム時間変更中でのログの収集は、実施しないでください。実施した場合、以下の対応をしてください。
システム時間の変更を行った際に出力されたログは、削除してください。
複数ファイルからログ収集を行っている場合、1)の対応により、システム時間の変更を行った際に出力されたログが存在したログファイルの更新日時が、現在運用中のログファイルより新しくなる場合があります。その場合、運用中のログファイルの更新日時を最新になるようにしてください。
収集処理に関する注意事項
監査ログ管理機能は、運用管理サーバへ確実に転送された時点で、被管理サーバ側の転送用ディレクトリ内にある、収集対象のログファイルを削除します。この時点で「監査ログ管理の収集は成功した」という判断をしています。
運用管理サーバへの転送に失敗した場合は、収集対象のログファイルは削除せず、次回収集依頼時に当日のデータが存在する場合は、再度、前回収集済みデータに追加して、運用管理サーバへ転送します。
また、以下の場合は、運用管理サーバ上に同じログレコードが複数格納される場合があります。
運用管理サーバへ確実に転送はできたが、被管理サーバ側で削除処理に失敗したとき
この場合、前回収集時に「収集は失敗した」という旨のメッセージを出力しています。
指定した形式が正しいかは、初回ログ収集の結果で確認します。
指定した形式が正しく指定できていると判断できる条件は、以下のとおりです。
ログデータが日付ごとのファイルに、正しい日付で分割されている場合
指定した形式が正しく指定できていないと判断できる条件は、以下のとおりです。
ログデータが複数の日数に存在するにもかかわらず、収集された日付ファイルが、収集当日のログファイルのみしか存在しない場合
ログデータが複数の日数に存在するにもかかわらず、日付ごとに分割されてはいるが、ファイル名の日付とデータが一致しない場合
ログデータが複数の日数が存在するにもかかわらず、「mpatm: 情報: 124」メッセージ(収集対象のログがありませんでした。)が出力された場合
誤って異なる日付形式を指定してログ収集を行った場合も、監査ログ管理はログファイル情報を格納します。そのため、正しい形式に修正し、再度ログ収集を行っても一度読み込んだログファイル情報が格納されているため、日付形式が誤っているときに読み込んだログデータは収集されません。その際は、形式を修正したログ識別名に対してmpatmdelap(ログ情報削除コマンド)を実施し、ログの管理情報を削除してからログ収集してください。mpatmdelap(ログ情報削除コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
バイナリファイルを収集する場合
収集したファイル名には、収集対象ファイル名を含みます。そのため、被管理サーバ上で収集対象ファイル名が同じで、パスが異なる場合のログ収集に関しては、ログ識別名で区別するようにしてください。
テキストログファイルをバイナリファイルとして収集し、運用管理サーバで参照する場合、被管理サーバ側の文字コードに合わせて参照してください。
中継サーバとして使用する場合の注意事項【HP-UX版/AIX版】
HP-UX、AIX版は、syslogへの日本語出力をサポートしていない環境があります。
HP-UX版
AIX版(SJIS環境)
上記環境を監査ログ管理のログ収集において、中継サーバとして使用する場合の注意事項は以下のとおりです。
コマンド実行結果のメッセージ出力
mpatmlog(ログ収集コマンド)は、コマンドの実行結果をsyslogへ出力しています。また、収集中にエラーが発生した場合は、コマンドの実行結果と同時にsyslogへエラーメッセージを出力しています。
上記環境の場合、syslogへ出力するメッセージは英語となります。
また、コマンドの実行結果のメッセージも英語で出力します。
日本語(マルチバイト文字)を含むファイルの収集・定義について
上記環境で日本語(マルチバイト文字)が含まれている場合、コマンド実行結果のメッセージ内で文字化けが発生します。
日本語(マルチバイト文字)を含む定義(格納ディレクトリ設定など)は行わないようにしてください。
また、収集対象のログファイル中に日本語(マルチバイト文字)が含まれている場合、あらかじめ日本語(マルチバイト文字)以外の名前に変名し、監査ログ収集設定の定義を行ってください。
被管理サーバに他OS(Windows/Solaris/Linux)が含まれる場合
被管理サーバに他OS(Windows/Solaris/Linux)が含まれる場合、以下のようになります。
被管理サーバ側でエラーが発生した場合、コマンド実行結果のメッセージ中で文字化けが発生します。
収集対象のログファイル中に日本語(マルチバイト文字)が含まれている場合、上記“日本語(マルチバイト文字)を含むファイルの収集・定義について”の対処を行ってください。
単一ファイルを収集する場合
ファイルを収集する前にファイルが0バイトにクリアされると、ログデータは収集されません。
すべてのログデータを収集する必要がある場合は、収集対象のファイルを定期的にファイル名降順で、ローテーションする方式への変更を推奨します。
更新日時が同じファイルが複数ある場合について
以下の条件に一致した場合、ログデータが重複収集される場合があります。
[条件1]
テキストとしてログデータを収集している。 かつ、
収集対象のログファイルが複数ファイル生成されるものである。 かつ、
収集対象のログデータが以下の状態になる場合。
最後に収集したログファイルとファイルの更新日時が同じファイルが複数ある。かつ、
上記ファイルの中で、最後にログデータを収集したファイルより古いファイルに、最後に収集したログデータと同じ内容が、ファイル内の同じ場所に格納されている場合。
例)ファイル名降順で更新される以下の3つのファイルが生成されます。
log、log.0、log.1
・前回収集時にlogとlog.0の更新日時が同じである。かつ、
・logとlog.0に以下のようなログデータが格納されている。
log.0
1行目 2017/01/01 msg-1 |
log
1行目 2017/01/01 msg-1 |
この場合、log.0の1行目から2行目が重複収集されます。
[条件2]
以下のどちらかのログデータを収集している。かつ、
イベントログ
GSシステムのログ
最後に収集したログデータが繰り返し出力されている。かつ、
最後に収集したログデータの繰り返しが異なる2つ以上の行で繰り返されている場合。
例)以下のようにmsg-1とmsg-2が繰り返し出力されている場合、収集済みの3行目、4行目が重複して収集されます。
1行目 2017年1月1日 0時0分0秒 msg-1 2行目 2017年1月1日 0時0分0秒 msg-2 3行目 2017年1月1日 0時0分0秒 msg-1 4行目 2017年1月1日 0時0分0秒 msg-2・・・最後に収集 5行目 2017年1月1日 0時0分0秒 msg-3 |
