監査ログの正規化とは
監査ログを分析する場合、分析対象のプラットフォームや監査ログの種別を意識することなく、同じ手順で分析を実施できることが必要です。
しかし、システムで出力されるさまざまな監査ログファイルは、それぞれ、ログテキストの形式が異なっています。このため、形式の異なる監査ログファイルを、統一された共通の形式に変換してから、分析する必要があります。
形式の異なる監査ログファイルを、統一された共通の形式に変換することを、監査ログを正規化するといいます。監査ログの正規化は、mpatalogcnvt(監査ログ正規化コマンド)を使用して行います。mpatalogcnvt(監査ログ正規化コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
正規化した監査ログの改ざんを防止する
正規化された監査ログ(正規化ログ)の改ざんを防止するためには、-XオプションにYESを指定して、mpatalogcnvt(監査ログ正規化コマンド)を実行します。-XオプションにYESを指定して作成した正規化ログのみが改ざん確認の対象となります。
mpatalogcnvt(監査ログ正規化コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
事前準備
監査ログを収集する
監査ログを収集していない場合は、監査ログを収集してください。
監査ログの収集方法については、“監査ログを収集する”を参照願います。
監査ログのディレクトリを定義する
分析に使用する監査ログを格納するディレクトリを作成します。
mpatacnvtdef(正規化ログ格納先定義コマンド)で、正規化ディレクトリとして定義します。正規化された監査ログはこのディレクトリに格納されます。
定義例)
【Windows】
c:\mpata\cnvtlogを作成し、正規化ログ格納ディレクトリとして定義します。
mkdir C:\mpata\cnvtlog C:\Systemwalker\MPWALKER.DM\bin\mpatacnvtdef -N C:\mpata\cnvtlog
【UNIX】
/mpata/cnvtlogを作成し、正規化ログ格納ディレクトリとして定義します。
mkdir /mpata/cnvtlog /opt/systemwalker/bin/mpatacnvtdef -N /mpata/cnvtlog
正規化ルール定義ファイルをカスタマイズする
システムで出力されるさまざまな監査ログファイルは、それぞれ、ログテキストの形式が異なっています。監査ログを正規化するには、監査ログの各値を共通形式のどの項目名として置き換えるかを指定しなければなりません。この変換規則を、正規化ルール定義ファイルで指定します。
製品に添付されている正規化ルール定義ファイルは、運用に応じて変換規則を変更して使用します。正規ルール定義ファイルはiniファイル形式です。内容を変更する場合は、テキストエディタを使用します。
定義ファイルの詳細は、“Systemwalker Centric Managerリファレンスマニュアル”で“正規化ルール定義ファイル”を参照してください。
なお、IISログ(W3C拡張形式)の場合、正規化ルール定義ファイルでコメントアウトされているIIS 5.0またはIIS 6.0の定義を有効にしてください。
バイナリログファイルに対応する
監査ログファイルがバイナリログファイルの場合、直接正規化することはできません。バイナリログファイルをテキストログファイルに変換してから、正規化してください。
運用管理サーバでテキストログファイルに変換する場合
以下に手順を示します。
バイナリログファイルを収集します。
mpatmlog(ログ収集コマンド)を使用して、バイナリログファイルを運用管理サーバ上の格納ディレクトリに格納します。mpatmlog(ログ収集コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
運用管理サーバ上で、バイナリログファイルをテキストログファイルに変換します。
適切なコマンド、またはツールを使用して、バイナリログファイルをテキストログファイルに変換し、一時ディレクトリに格納します。
このとき、以下の条件をすべて満たすことが必要です。
ログレコード中に、監査ログ管理の収集規約に従った形式で日時が出力されていなければなりません。
テキストログファイル名は、監査ログ管理の収集規約に沿っていなければなりません。
テキストログファイルは、日付(収集実行日)、サーバ名、ログ識別名が正しくなければなりません。
監査ログ管理の収集規約については、“監査ログ管理でログを収集するために”を参照してください。
テキストログファイル名の例)
【Windows】
C:\Windows\Temp\server1_BinLog_S_20061221.log
【UNIX】
/var/tmp/server1_BinLog_S_20061221.log
日付書式定義ファイルを準備します。
運用管理サーバ上の以下のディレクトリ配下に、テキストログファイルのログ識別名および日時出力書式に対応した、日付書式定義ファイルを配置します。
【Windows】
Systemwalkerインストールディレクトリ\MPWALKER.DM\MpAtm\Analysis\サーバ名\ログ識別名\
【UNIX】
/etc/opt/FJSVmpatm/Analysis/サーバ名/ログ識別名/
テキストログファイルを正規化します。
mpatalogcnvt(監査ログ正規化コマンド)で「-L 一時ディレクトリ名」オプションを指定して、一時ディレクトリ上にあるテキストログファイルを正規化ログファイルに変換し、正規化ディレクトリに格納します。mpatalogcnvt(監査ログ正規化コマンド)の詳細は、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。
テキストログファイルの正規化例)
【Windows】
Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatalogcnvt -H server1 -A BinLog -L C:\Windows\Temp\ -F 1 -T 1
【UNIX】
/opt/systemwalker/bin/mpatalogcnvt -H server1 -A BinLog -L /var/tmp -F 1 -T 1
テキストログファイルを削除します。
正規化後、不要になったテキストログファイルを削除します。
業務サーバでテキストログファイルに変換する場合
運用管理サーバにテキスト変換コマンドを用意できない場合、業務サーバでバイナリログファイルをテキストログファイルに変換し、テキストログファイルを運用管理サーバへ収集します。
以下に手順を示します。
運用管理サーバ上で、バイナリログファイルをテキストログファイルに変換します。
適切なコマンド、またはツールを使用して、バイナリログファイルをテキストログファイルに変換し、一時ディレクトリ上に格納します。
このとき、以下の条件をすべて満たすことが必要です。
ログレコード中に、監査ログ管理の収集規約に従った形式で日時が出力されていなければなりません。
テキストログファイル名は、監査ログ管理の収集規約に沿っていなければなりません。
テキストログファイルは、日付(収集実行日)、サーバ名、ログ識別名が正しくなければなりません。
監査ログ管理の収集規約については、“監査ログ管理でログを収集するために”を参照してください。
テキストログファイル名の例)
【Windows】
C:\Windows\Temp\server1_BinLog_s_20061221.log
【UNIX】
/var/tmp/server1_BinLog_s_20061221.log
テキストログファイルを収集します。
mpatmlog(ログ収集コマンド)を使用して、テキストログファイルを運用管理サーバ上の格納ディレクトリに格納します。
テキストログファイルを削除します。
収集後、不要になったテキストログファイルを削除します。
テキストログファイルを正規化します。
mpatalogcnvt(監査ログ正規化コマンド)を使用して、テキストログファイルを正規化ログファイルに変換し、正規化ディレクトリに格納します。
ユーザ独自のログを分析するための準備をする
監査ログがユーザ独自ログの場合、システム管理者は、運用管理サーバ上で正規化ルール定義ファイルを作成し、運用管理サーバに登録してください。
以下に手順を示します。
正規化ルール定義ディレクトリで、他のログ識別名の正規化ルール定義ファイルを、ユーザ独自ログの正規化ルール定義ファイル用にコピーします。
正規化ルール定義ファイルの格納場所が「Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\etc\rule」、コピー元の正規化ルール定義ファイルが「mpatarule_ApacheErrorLog.ini」である場合
cd Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\etc\rule copy mpatarule_ApacheErrorLog.ini mpatarule_XXXXX.ini
XXXXX:ユーザ独自ログのログ識別名を表します。
正規化ルール定義ファイルの格納場所が「/etc/opt/FJSVmpata/etc/rule」、コピー元の正規化ルール定義ファイルが「mpatarule_ApacheErrorLog.ini」である場合
cd /etc/opt/FJSVmpata/etc/rule cp mpatarule_ApacheErrorLog.ini mpatarule_XXXXX.ini
コピーした正規化ルール定義ファイルをユーザ独自ログの正規化に適合するよう、テキストエディタで編集します。
mpatarulectl(正規化ルール管理コマンド)で、ユーザ独自ログの正規化ルール定義ファイルを、運用管理サーバに登録します。mpatarulectl(正規化ルール管理コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。
なお、ユーザ独自ログの分析が不要になった場合は、以下の手順で正規化ルールの登録情報を削除してください。
運用管理サーバ上の問い合わせファイルにおいて、条件にユーザ独自ログのログ種別を指定している場合は、そのログ種別を削除してください。
mpatarulectl(正規化ルール管理コマンド)で、ユーザ独自ログの正規化ルールの登録情報を、運用管理サーバ上で削除してください。
mpatarulectl(正規化ルール管理コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。
DTKログを分析するための準備をする
監査ログがSystemwalker Desktop Keeperクライアント操作ログ(以下DTKログ)の場合、システム管理者は運用管理サーバ上で正規化ルール定義ファイルを作成し、運用管理サーバに登録してください。
以下に手順を示します。
正規化ルール定義ディレクトリで、ログ識別名が「DTK」の正規化ルール定義ファイルを、DTKログの正規化ルール定義ファイル用にコピーします。
正規化ルール定義ファイルの格納場所が「Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\etc\rule」、コピー元の正規化ルール定義ファイルが「mpatarule_DTK.ini」である場合
cd Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\etc\rule copy mpatarule_DTK.ini mpatarule_DTKXXXXX.ini
DTKXXXXX:DTKログのログ識別名を表します。
正規化ルール定義ファイルの格納場所が「/etc/opt/FJSVmpata/etc/rule」、コピー元の正規化ルール定義ファイルが「mpatarule_DTK.ini」である場合
cd /etc/opt/FJSVmpata/etc/rule cp mpatarule_DTK.ini mpatarule_DTKXXXXX.ini
コピーした正規化ルール定義ファイルをDTKログの正規化に適合するように、テキストエディタで編集します。
mpatarulectl(正規化ルール管理コマンド)で、DTKログの正規化ルール定義ファイルを、運用管理サーバに登録します。
mpatarulectl(正規化ルール管理コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。
なお、DTKログの分析が不要になった場合は、以下の手順で正規化ルールの登録情報を削除してください。
運用管理サーバ上の問い合わせファイルにおいて、条件にDTKログのログ種別を指定している場合は、そのログ種別を削除してください。
mpatarulectl(正規化ルール管理コマンド)で、DTKログの正規化ルールの登録情報を、運用管理サーバ上で削除してください。
mpatarulectl(正規化ルール管理コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。
正規化の手順
正規化するためには、mpatalogcnvt(監査ログ正規化コマンド)を実行します。
本コマンドは、監査ログ管理機能の格納ディレクトリ上に格納された監査ログファイルを正規化し、正規化ログファイルとして、正規化ディレクトリに格納します。
正規化ディレクトリは、運用管理サーバのローカルディスク上に作成してください。検索/集計時に必要な全正規化ログファイルを格納できる容量を確保してください。
一般的な運用では、監査ログ管理のmpatmlog(ログ収集コマンド)を記述したバッチファイルまたはシェルスクリプトに本コマンドを記述し、スケジューラに登録します。
監査ログ正規化コマンドの処理時間の目安としては、10KBの監査ログファイルが10ファイル(合計100KB)で8秒程度です。
ただし、処理時間はマシン性能により異なりますので、スケジュールの際には対象とする監査ログの量と実機での測定を行った上で処理時間を見積もってください。
正規化は、基本的に1つの監査ログファイルが、1つの正規化ログファイルに変換されます。ただし、以下の場合は、複数の正規化ログファイルに分割して変換されます。
監査ログファイルがSystemwalker Desktop Keeperクライアント操作ログの場合(Systemwalker Desktop Keeperクライアントごとに正規化ログファイルが分割されます。)
1つの正規化ログファイルのサイズが、2Gバイトを超過した場合
監査ログファイルの正規化がすでに実行されており、かつ前回の実行時から差分がある場合(差分を正規化し、前回とは別のファイルに格納します。)
正規化されたログ項目
各種監査ログファイルは、以下の監査ログ項目を持つ正規化ログファイル(CSV形式)に変換されます。
以下の監査ログ項目は、集計機能利用時に条件指定で選択したり、結果表示項目として指定することが可能です。
項番 | 項目名 | 値の形式(説明) |
|---|---|---|
1 | 日時 | YYYY/MM/DD△HH:mm:SS |
2 | 日付 | MM/DD(ローカル日付) |
3 | 時刻 | HH:mm:SS(ローカル時刻) |
4 | 時間帯 | HH(ローカル時刻) |
5 | 曜日 | 日 |
6 | 操作場所 | 操作を行ったホスト名など(運用管理クライアント名など) |
7 | 操作IPアドレス | 操作を行ったホストのIPアドレス(IPv6の場合、RFC 5952形式) |
8 | 実行ホスト | 要求された操作を実際に実行するホスト名(運用管理サーバ名など)(注1) |
9 | 実行IPアドレス | 要求された操作を実際に実行するホストのIPアドレス(IPv6の場合、RFC 5952形式) |
10 | 操作者 | 操作を行ったユーザ名 |
11 | 操作対象 | 操作対象となるノードやアプリケーションなどを表す名称(業務サーバ名など) |
12 | 操作種別 | 操作した内容を分類するための種別 |
13 | 操作内容 | 何を行ったかの内容(実行したコマンド行やメッセージテキスト) |
14 | 実行結果 | 成功 |
15 | コンポーネント | 操作対象のコンポーネント名 |
16 | 追加情報 | 操作エラーの詳細情報、操作を追跡するためのID(セッションID相当)、影響範囲など |
17 | 深刻度 | 不明 |
18 | ログテキスト | 元の監査ログテキスト(注2) |
19 | ログ種別 | EventLogApplication |
20 | 拡張種別1 | ログ種別ごとに一意で固有の項目を「拡張項目」として格納します(最大20項目)。 |
21 | 拡張値1 | |
22 | 拡張種別2 | |
23 | 拡張値2 | |
24 | 拡張種別3 | |
25 | 拡張値3 | |
26 | 拡張種別4 | |
27 | 拡張値4 | |
28 | 拡張種別5 | |
29 | 拡張値5 | |
30 | 拡張種別6 | |
31 | 拡張値6 | |
32 | 拡張種別7 | |
33 | 拡張値7 | |
34 | 拡張種別8 | |
35 | 拡張値8 | |
36 | 拡張種別9 | |
37 | 拡張値9 | |
38 | 拡張種別10 | |
39 | 拡張値10 | |
40 | 拡張種別11 | |
41 | 拡張値11 | |
42 | 拡張種別12 | |
43 | 拡張値12 | |
44 | 拡張種別13 | |
45 | 拡張値13 | |
46 | 拡張種別14 | |
47 | 拡張値14 | |
48 | 拡張種別15 | |
49 | 拡張値15 | |
50 | 拡張種別16 | |
51 | 拡張値16 | |
52 | 拡張種別17 | |
53 | 拡張値17 | |
54 | 拡張種別18 | |
55 | 拡張値18 | |
56 | 拡張種別19 | |
57 | 拡張値19 | |
58 | 拡張種別20 | |
59 | 拡張値20 |
Systemwalker Desktop Keeperクライアントの場合、“Systemwalker Desktop Keeperサーバ名+クライアントのコンピュータ名”の形式です。
監査ログテキストが10Mバイトを超える場合は、以下の長さ分の監査ログテキストを出力します。
出力する監査ログテキストの最後の文字がマルチバイト文字の一部の場合は、最後の文字は出力されません。
10Mバイト - “監査ログテキスト”以外の項目長 - 固定文字列(※)の長さ |
(※)固定文字列には以下が含まれます。
正規化ログテキストに含まれる "(ダブルクォーテーション)の数
正規化ログテキストに含まれる ,(カンマ)の数
改行コード1つ分
項目として設定される値と、それぞれに対応するログ種別は以下のとおりです。
項目の値 | ログ種別 |
|---|---|
EventLogApplication | Windowsイベントログのアプリケーションログ |
EventLogSecurity | Windowsイベントログのセキュリティログ |
EventLogSystem | Windowsイベントログのシステムログ |
EventLogDNSServer | WindowsイベントログのDNS Serverログ |
EventLogDirectoryService | WindowsイベントログのDirectory Serviceログ |
EventLogFileRepService | Windowsイベントログのファイル複製サービスログ |
EventLogDFSReplication | WindowsイベントログのDFSレプリケーションログ |
EventLogHardwareEvents | Windowsイベントログのハードウェアイベントログ |
EventLogForwardedEvents | Windowsイベントログの転送されたイベントログ |
EventLogHVCfgAdmin | Microsoft-Windows-Hyper-V-Config-Admin |
EventLogHVCfgOpe | Microsoft-Windows-Hyper-V-Config-Operational |
EventLogHVHAAdmin | Microsoft-Windows-Hyper-V-High-Availability-Admin |
EventLogHVHyAdmin | Microsoft-Windows-Hyper-V-Hypervisor-Admin |
EventLogHVHyOpe | Microsoft-Windows-Hyper-V-Hypervisor-Operational |
EventLogHVIMSAdmin | Microsoft-Windows-Hyper-V-Image-Management-Service-Admin |
EventLogHVIMSOpe | Microsoft-Windows-Hyper-V-Image-Management-Service-Operational |
EventLogHVIntAdmin | Microsoft-Windows-Hyper-V-Integration-Admin |
EventLogHVNetAdmin | Microsoft-Windows-Hyper-V-Network-Admin |
EventLogHVNetOpe | Microsoft-Windows-Hyper-V-Network-Operational |
EventLogHVSNAdmin | Microsoft-Windows-Hyper-V-SynthNic-Admin |
EventLogHVSSAdmin | Microsoft-Windows-Hyper-V-SynthStor-Admin |
EventLogHVSSOpe | Microsoft-Windows-Hyper-V-SynthStor-Operational |
EventLogHVVMMSAdmin | Microsoft-Windows-Hyper-V-VMMS-Admin |
EventLogHVWAdmin | Microsoft-Windows-Hyper-V-Worker-Admin |
EventLogHVSFAdmin | Microsoft-Windows-Hyper-V-SynthFc-Admin |
EventLogHVVIDAdmin | Microsoft-Windows-Hyper-V-VID-Admin |
EventLogHVVMMSNet | Microsoft-Windows-Hyper-V-VMMS-Networking |
EventLogHVVMMSOpe | Microsoft-Windows-Hyper-V-VMMS-Operational |
EventLogHVVMMSSto | Microsoft-Windows-Hyper-V-VMMS-Storage |
SolarisSyslog | Solarisシステムログ |
SolarisSuLog | Solaris suログ |
SolarisLoginLog | Solarisログインログ |
LinuxSyslog | Linuxシステムログ |
HPUXSyslog | HP-UXシステムログ |
HPUXSuLog | HP-UX suログ |
AIXSyslog | AIXシステムログ |
AIXSuLog | AIX suログ |
IISNCSALog | IISのNCSA 共通ログファイル形式 |
IISLog | IISのMicrosoft IIS ログファイル形式 |
IISW3CLog | IISのW3C拡張形式 |
ApacheAccessLog | Apacheのアクセスログ NCSA 形式 |
ApacheErrorLog | Apacheのエラーログ |
NREventLog | ETERNUS NR1000F seriesイベントログ |
DTK | Systemwalker Desktop Keeper バックアップコマンドにより出力されたログ |
CMGRCmdRevLog | Systemwalker Centric Managerのリモートコマンド検索ログ |
CMGROpLog | Systemwalker Centric ManagerのSystemwalkerコンソールの監査ログ |
CMGRSvacLog | サーバアクセス制御の監査ログ |
CMGRSVOpLog | Systemwalker Centric Managerのサーバ操作制御の監査ログ(注) |
OMGRLog | Systemwalker Operation Managerの操作ログ |
旧バージョンのシステムで収集された監査ログ
正規化ログの管理
通常、正規化ディレクトリには定期的に分析する予定のある正規化ログを格納し、不要になり次第、圧縮または削除してください。
監査ログや正規化ログを退避する場合は、監査ログ管理のmpatmmediacopy(収集ログ二次媒体複写コマンド)を使用して退避します。
正規化ログを圧縮/解凍する場合は、mpatmarchive(収集したログの圧縮コマンド)/mpatmextract(圧縮したログの解凍コマンド)を使用します。詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
すでに正規化ログを削除してしまった過去の監査ログに対して突発的な調査が必要になった場合は、必要なログをmpatalogcnvt(監査ログ正規化コマンド)で正規化して分析してください。
ネットワーク上のディスクを正規化ディレクトリとして使用することも可能です。
ポリシーを使用せずに収集定義を行った監査ログを分析する場合
監査ログを収集する場合、収集定義はポリシーを使用して行います。詳細は、“ポリシーを使用して設定する”を参照してください。
しかし、収集定義をコマンドで行った場合、分析前に以下の手順で正規化を実施する必要があります。また、業務サーバからユーザ独自ログの収集を行っている場合、日付書式定義ファイルも転送する必要があります。
ユーザ独自ログ用の日付書式定義ファイルを格納する。
【Windows】
業務サーバからユーザ独自ログの収集を行っている場合、業務サーバ上にあるユーザ独自ログ用の日付書式定義ファイル(*.fmt)を、監査ログ分析が導入された運用管理サーバの、Systemwalkerインストールディレクトリ\MPWALKER.DM\MpAtm\Analysis\サーバ名\ログ識別名 配下に、FTPコマンドで転送し、格納してください。
【UNIX】
業務サーバからユーザ独自ログの収集を行っている場合、業務サーバ上にあるユーザ独自ログ用の日付書式定義ファイル(*.fmt)を、監査ログ分析が導入された運用管理サーバの、/etc/opt/FJSVmpatm/Analysis/サーバ名/ログ識別名 配下に、FTPコマンドで転送し、格納してください。
WindowsとUNIXのどちらの場合においても、日付書式定義ファイルを変更する場合は、古い日付書式定義ファイルを所定のディレクトリから別ディレクトリに移動するか削除し、新しい日付書式定義ファイルのみを格納してください。
監査ログファイルを正規化する。
mpatalogcnvt(監査ログ正規化コマンド)を使用して、格納ディレクトリ配下に転送した監査ログファイルを、正規化ディレクトリ配下に正規化してください。
以下は、すべての監査ログを正規化する例です。
【Windows】
Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatalogcnvt
【UNIX】
/opt/systemwalker/bin/mpatalogcnvt
