収集された膨大な量の監査ログに対して、サーバへの不正アクセス件数や時間帯別のアクセス件数など、監査ログの分析目的に沿った情報を集計項目として集計する機能です。
Interstage Navigator Serverと連携することにより、正規化ログの集計処理をGUIまたはコマンドで実施し、表形式(CSV形式またはHTML形式)の集計結果を取得します。分析に必要な集計項目は、問い合わせファイルに設定し、運用管理サーバに登録してあるため、どの運用管理クライアントで集計を実行しても同じ集計結果を得ることができます。
実行手順
問い合わせファイルを実行することにより、集計が行われます。
集計する正規化ログが圧縮されている場合は、事前にmpatmextract(圧縮したログの解凍コマンド)で解凍します。
問い合わせファイルを実行する
[スタート]/[アプリ]-[Interstage Navigator Client]-[Navigator クライアント]を選択します。
→[Navigator クライアント]が起動されます。
[Navigator クライアント]から[ファイル]メニューの[開く]を選択します。
→[開く]ダイアログボックスが表示されます。
[開く]ダイアログボックスで、問い合わせファイルを選択します。
→[サーバに接続]画面が表示されます。
[サーバに接続]画面において、Interstage Navigator Serverに接続するためのユーザ名とパスワード、Interstage Navigator Serverがインストールされた運用管理サーバのサーバ名を入力し、[OK]ボタンをクリックします。
→以下の確認メッセージが表示されます。
[はい]ボタンをクリックします。
→集計処理が実施されます。
→集計が終了したら、問い合わせ完了メッセージが表示されます。
[OK]ボタンをクリックします。
→集計結果がダウンロードされます。
→読み込み完了メッセージが表示されます。
[OK]ボタンをクリックします。
→集計が表示されます。
問い合わせファイルに設定した集計項目や、表のレイアウトどおりに集計が行われていることを確認します。
集計結果を、保存します。
ポイント
Navigatorクライアントのメッセージを抑止する
以下の設定を行うと、手順4.および手順5.で表示された、問い合わせ完了メッセージや読み込み完了メッセージを非表示にすることができます。集計の完了に続いて結果がダウンロードされます。
[Navigator クライアント]画面の[ツール]メニューから[オプション]を選択し、[オプション]画面を表示します。
[画面]タブの[確認メッセージ]で、[少なくする]をチェックします。
[OK]ボタンをクリックします。
コマンドを実行する
集計は、運用管理サーバ上でコマンドを実行することによっても実施できます。集計に使用するコマンドはmpatareportput(集計レポート出力コマンド)です。引数として問い合わせファイルを指定します。
バッチファイルを、システムのスケジューラ機能などにスケジュール登録することにより、定期的に集計を実施することができます。
以下に、本コマンドを使用したバッチファイルの例を示します。
例:アプリケーションイベントログの集計結果をデフォルトの出力ディレクトリ(Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\var\user\report)配下に出力する場合
Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportput EventLogApplication.rne EventLogApplication
mpatareportput(集計レポート出力コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。
Interstage Navigator連携に関する注意事項
監査ログ分析機能は、Interstage NavigatorのCSVファイルの集計機能と連携することにより実現しています。Interstage Navigatorの仕様により生じる注意事項について説明します。
文字列条件指定で使用できない記号について
監査ログの集計機能では、分析の観点・目的に従って対象ログレコードを特定する条件を指定します。
例) 過去3日以内のログ、発生ホスト名にhhhを含む、ログテキスト中にxxxを含むなど。
条件を指定するときに、以下の記号を含む文字列を使用することはできません。
シングルクオート(')
カンマ(,)
半角のアンダースコア(_)
全角のアンダースコア(_)
半角のパーセント記号(%)
全角のパーセント記号(%)
文字列末尾の空白文字の扱いについて
監査ログ分析機能は、監査ログのログテキストから分析に必要な情報項目(ユーザ名や実行結果など)を抽出し、それを分析のキーとして使用します。集計するときは、その分析のキーを使用し「実行ユーザごとに操作失敗の件数を出す」というような集計を行います。このとき、抽出した情報の末尾の空白はデータとして扱われず無視されます。
例) 以下のデータはすべて同一データとして扱われて集計されます(△は半角空白を表します)。
ABC
ABC△
ABC△△
80バイトを超える文字列について
分析のキーとしてログテキストから抽出する文字列の長さは、ログや抽出情報の内容により変わります。しかし、Interstage Navigatorが分析のキーとして扱える情報の長さはShift-JISコードで80バイトまでです。80バイトを超える文字列は、80バイトで切り捨てて実行されるため、80バイトまで同じで、81バイト以降が異なるような文字列は、同一文字列として扱われます。
制御文字について
ログファイル中には、TAB文字や改ページなどの制御文字が含まれている場合がありますが、Interstage Navigatorでは、制御文字を含んだ文字列を扱うことはできません。そのため監査ログ分析機能が、Interstage Navigatorと連携して処理を実行するときは、ログファイル中の制御文字はすべて半角空白に置き換えて実行されます。
点検レポートの書式について
監査ログ分析機能が出力する点検レポート(HTML形式)は、Interstage Navigatorの問い合わせ結果の表を元にしています。問い合わせ結果の表は、分析のキーに使用した情報の値を縦方向・横方向に列挙して表示します。
例) リスクの高い操作を各ユーザが1日に何度実行しているかを分析する場合
条件指定によりリスクの高い操作のログを特定し、縦方向に実行ユーザ名、横方向に実行日付を表示させる
横方向に並べた情報の個数(上記の例では日数)が多い場合、表は横に長くなります。このような場合は、点検レポートの印刷を行うときには、HTML形式を扱えるツールを使用し、書式の整形を行ってください。
使用するデータベースについて
Interstage Navigatorの運用にはデータベース製品が別途必要ですが、監査ログ分析機能との連携時には、Systemwalker Centric Managerのデータベースを使用することができます。
監査ログ分析機能との連携以外の用途でInterstage Navigatorを使用する場合は、対応するSymfoware/RDBなど、別途データベース製品を導入してください。
辞書の更新を伴う機能について
運用管理サーバがクラスタ環境の場合、辞書の更新を伴う以下の機能は使用できません。
メッセージ機能
個人の管理ポイント
一般利用者による集計結果の二次加工
ドリリング機能の制限
監査ログ分析機能とInterstage Navigatorが連携するときには、Interstage Navigator のドリリング機能は使用できません。
管理ポイントについて
管理ポイントに関連した以下の操作を実施しないでください。
管理ポイントの作成
管理ポイントを以下の方法で作成しないでください。
カテゴリ型のデータ項目から作成
カテゴリ型(全値型)の管理ポイントから作成
管理ポイントのインポートで作成
問い合わせの実行
表の種類が集計表または明細表であり、かつ表側または表頭にデータ項目または全値型管理ポイントを配置した場合、以下を実施しないでください。
配置したデータ項目または全値型管理ポイントから作成したカテゴリ型管理ポイントを表側または表頭に配置
[表のオプション指定]画面の[表側]タブで、[実績データのない行のみ表示する]または[すべての行を表示する]を選択
[表のオプション指定]画面の[表頭]タブで、[実績データのない列のみ表示する]または[すべての列を表示する]を選択
[表のオプション指定]画面の[その他]タブで、[コードで分類して集計]または[「未分類」として集計]または[「その他」に含めて集計]を選択
管理ポイントの詳細指定
表側または表頭に配置したデータ項目または全値型管理ポイントに対しデータの並べ順を変更するため、[管理ポイントの詳細指定]画面で[データの並べ順を変更]を押下した場合、以下を実施しないでください。
[カテゴリの読み込み]画面で、[全てのカテゴリを読み込む]を選択
[カテゴリの読み込み]画面で、[カテゴリを検索して読み込む]かつ[サーバーから読み込む]を選択
