正規化ログの改ざん確認とは
分析に使用する正規化ログが改ざんされていないことを確認します。
改ざんされていないことを確認した後に、正規化ログを集計・検索に活用します。
正規化ログの改ざん確認を行う手順
正規化ログの改ざん確認するには、mpatmchecklog(収集ログの改ざん確認コマンド)を実行します。mpatmchecklog(収集ログの改ざん確認コマンド)は、集計・検索に活用するための正規化ログに対して行います。
mpatmchecklog(収集ログの改ざん確認コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
例) 正規化ディレクトリ内の日付:20090515の正規化ログの改ざん確認を行います。
mpatmchecklog -B 20090515 -K CSV
改ざん検出後の対処
正規化ログに対して改ざんを検出した場合、集計・検索に活用できません。
改ざんを検出した正規化ログは正規化ログが格納されているディレクトリ配下の「invalidlog」ディレクトリに移動されます。
正規化ログから改ざんが検出された場合は、以下の手順で該当する日付の監査ログを再度正規化してください。
改ざんが検出された日付の正規化ログを削除します。
改ざんが検出された正規化ログファイル名から削除対象のサーバ名、ログ識別名と日付を確認します。
改ざんが確認された日付の監査ログを再正規化するために、運用管理サーバ上で正規化ログを削除します。
運用管理サーバ上でmpatmdellog(収集したログの削除コマンド)に「-K CSV」を指定し、実行してください。
mpatmdellog(収集したログの削除コマンド)で削除される正規化ログは、「-L」オプションで指定したディレクトリ、または、正規化ディレクトリ(「-L」オプションを省略した場合)内の正規化ログ、および、そのディレクトリ配下の「invalidlog」ディレクトリ内の通番を含めた正規化ログです。
例)
正規化ディレクトリ内のサーバ:server、ログ識別名:ap、日付:20090515の正規化ログを削除します。
mpatmdellog -H server -A ap -B 20090515 -K CSV
改ざんが検出された日付の監査ログを再度正規化します。
改ざんが確認されたサーバ名、ログ識別名および「-B」オプションで該当日付を指定して、mpatalogcnvt(監査ログ正規化コマンド)で再度正規化ログを作成します。
例)
サーバ:server、ログ識別名:ap、日付:20090515の正規化ログを再作成します。
mpatalogcnvt -H server -A ap -B 20090515 -X YES
