SolarisおよびLinuxのシステムにおいて、不当にroot権限を使用していないかを分析するためには、分析対象の監査ログを運用管理サーバに収集し、分析用に変換(正規化)する必要があります。また、分析するための集計項目や集計結果を表示する表のレイアウトを定義する必要があります。

この章では、監査ログを収集し正規化するための設定と、監査ログを分析するための設定について説明します。

Linux版を使用している場合

アクセス監査ログを使用するとroot権限での操作内容を詳細に点検できます。アクセス監査ログの点検については、“サーバの操作を点検するには”を参照してください。

Solaris、Linux、HP-UX、およびAIXのシステムにおいて、不当にroot権限を使用していないかを分析するために必要な監査ログは、部門管理サーバや業務サーバで採取します。部門管理サーバや、業務サーバにある監査ログを運用管理サーバに収集するための設定は、以下の順で行います。

1. 採取する監査ログを定義する

2. 接続可能一覧ファイルを作成する

3. 監査ログの格納先を定義する

4. スケジューラに監査ログを収集し正規化するコマンドを登録する

部門管理サーバ、業務サーバにおいて以下のログを採取するよう定義します。

• UNIXシステムログ(Solaris)

• UNIXシステムログ(Linux)

• HP-UXシステムログ

• AIXシステムログ

• Solaris suログ

• HP-UX suログ

• AIX suログ

【Solaris】

採取する監査ログのログ識別名は、SolarisSuLogです。

/opt/systemwalker/bin/mpatmlogapdef REP -A SolarisSuLog -E YES

【Linux】

採取する監査ログのログ識別名は、LinuxSyslogです。

/opt/systemwalker/bin/mpatmlogapdef REP -A LinuxSyslog -E YES

【HP-UX】

採取する監査ログのログ識別名は、HPUXSuLogです。

/opt/systemwalker/bin/mpatmlogapdef REP -A HPUXSuLog -E YES

【AIX】

採取する監査ログのログ識別名は、AIXSuLogです。

/opt/systemwalker/bin/mpatmlogapdef REP -A AIXSuLog -E YES

mpatmlogapdef(ログ収集設定コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。

運用管理サーバ－被管理サーバ（部門管理サーバ／業務サーバ）間でログ収集を行う場合、被管理サーバ上の接続可能一覧ファイルに、接続元運用管理サーバの情報（サーバ名、またはIPアドレス）を記述することで収集対象の運用管理サーバをチェックし、指定した運用管理サーバ以外からの収集を抑止することができます。

接続可能一覧ファイルについての詳細は、“収集対象のサーバを限定する”を参照してください。

運用管理サーバにおいて、部門管理サーバ、業務サーバから収集した監査ログを格納するディレクトリを定義します。

例として、C:\mpatm\rootlogに格納します。

Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatmtrsdef REP -S C:\mpatm\rootlog

mpatmtrsdef(ファイル転送情報定義コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。

システムに対する不当な操作をできるだけ早く発見するため、監査ログの収集、正規化は毎日実施する必要があります。監査ログの収集・正規化によるサーバへの負荷を減らし、通常業務に支障をきたさないように、作業は夜間に行うことが必要です。そのためには、運用管理サーバにおいて、OSに標準で提供されている「タスク」などのスケジューラ機能に、監査ログ収集と正規化を実行するスケジュールを登録し、自動で作業できるようにする必要があります。

以下に、スケジューラに登録するコマンドを示します。

1. 監査ログを収集するコマンド

   部門管理サーバ、業務サーバから監査ログを収集するようにコマンドを登録します。

   例として、部門管理サーバのサーバ名がserver1である場合のコマンドを以下に示します。

   Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatmlog -H server1

2. 収集した監査ログを正規化するコマンド

   • 部門管理サーバ、業務サーバがSolarisの場合

     正規化する監査ログのログ識別名は、SolarisSuLogです。

     Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatalogcnvt -H server1 -A SolarisSuLog -L C:\mpatm\rootlog

   • 部門管理サーバ、業務サーバがLinuxの場合

     正規化する監査ログのログ識別名は、LinuxSyslogです。

     Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatalogcnvt -H server1 -A LinuxSyslog -L C:\mpatm\rootlog

   • 業務サーバがHP-UXの場合

     正規化する監査ログのログ識別名は、HPUXSuLogです。

     Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\bin\mpatalogcnvt -H server1 -A HPUXSuLog -L C:\mpatm\rootlog

   • 業務サーバがAIXの場合

     正規化する監査ログのログ識別名は、AIXSuLogです。

     Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\bin\mpatalogcnvt -H server1 -A AIXSuLog -L C:\mpatm\rootlog

例として、Solarisの業務サーバ(ホスト名がgyoumu1)と、Linuxの業務サーバ(ホスト名がgyoumu2)から監査ログを収集し正規化する場合に、登録するコマンドを以下に示します。なお、収集した監査ログの格納先は、mpatmtrsdef(ファイル転送情報定義コマンド)を使用してC:\mpatm\rootlogに設定済みであるとします。

C:\Systemwalker\MPWALKER.DM\bin\mpatmlog -H gyoumu1
C:\Systemwalker\MPWALKER.DM\bin\mpatmlog -H gyoumu2
C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H gyoumu1 -A SolarisSuLog -L C:\mpatm\rootlog
C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H gyoumu2 -A LinuxSyslog -L C:\mpatm\rootlog

mpatmlog(ログ収集コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
mpatalogcnvt(監査ログ正規化コマンド) はオプション指定により正規化対象とする監査ログを種別やホスト・出力日などで絞り込んだり、正規化をテスト実行させることができます。mpatalogcnvt(監査ログ正規化コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。

監査ログを分析するには、監査ログを集計するときの問い合わせ条件（集計項目）や、集計結果を表示する表のレイアウトの設定条件を、問い合わせファイルに定義する必要があります。

セキュリティ管理者は、root権限の不正な使用を分析する場合の固有情報(実行ホスト、操作者、root権限での操作が不当な時間帯)を設定するため、標準提供されている「root権限不当使用分析問い合わせサンプルファイル」をカスタマイズします。

監査ログ分析のための設定は、以下の順で行います。

1. root権限不当使用分析問い合わせサンプルファイルを編集する

2. root権限不当使用分析問い合わせサンプルファイルの動作確認をする

3. スケジューラに集計を実行するコマンドを登録する

問い合わせサンプルファイルは、監査ログ分析機能をインストールしたときに、運用管理クライアントに格納されます。この問い合わせサンプルファイルをコピーしてカスタマイズします。問い合わせファイルの編集は、Interstage Navigatorで行います。

問い合わせサンプルファイルを、任意のディレクトリにコピーします。

問い合わせサンプルファイルのインストール先は「Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\sample\total」です。「root権限不当使用分析問い合わせサンプルファイル」のファイル名は「rootAuthorityUse.rne」です。

コピー先がc:\tempの場合の例を以下に示します。

copy c:\Systemwalker\MPWALKER.DM\mpata\sample\total\rootAuthorityUse.rne c:\temp

root権限不当使用分析問い合わせサンプルファイルには、初期値として以下の条件が登録されています。

• 期間対象が開始日から終了日までである。かつ、

• ログ種別が、以下のどれかである。かつ、

  • Solaris suログ

  • Linuxシステムログ

  • HP-UX suログ

  • AIX suログである。

• 追加情報がrootである。かつ、

• 以下の条件のどれかに一致する。

  • 時刻が、8時0分0秒より前である、または23時0分0秒以降である。

  • 操作者がUSER1ではない、かつ、実行ホストがHOST1またはHOST2である。

  • 操作者がUSER2ではない、かつ、実行ホストがHOST3またはHOST4である。

これらの条件のうち、時刻はroot権限の使用が許可されていない時間帯になるように、必要に応じて設定値を変更してください。

操作者と実行ホスト（太字部分）は運用に合わせて必ずカスタマイズする必要があります。操作者と実行ホストには、root権限の使用が許可されているシステム管理者のアカウント名と、その管理者の管理対象ホスト名を登録します。サンプルファイルには操作者と実行ホストの組み合わせが2組登録されていますので、実際の運用で使用している管理者アカウントの数により、以下の手順で条件の変更、追加、または削除を行ってください。

登録する管理者アカウントが1つの場合

1. サンプルファイルに登録されている操作者と実行ホストの組み合わせのうちの1つを、実際の管理者アカウント名・管理ホスト名に変更します。

   変更方法については、“条件の変更方法”を参照してください。

2. 変更を行わなかった組み合わせを削除します。

   削除方法については、“条件の削除方法”を参照してください。

登録する管理者アカウントが2つの場合

• サンプルファイルに登録されている2組の操作者と実行ホストの組み合わせのそれぞれについて、実際の管理者アカウント名・管理ホスト名に変更します。

  変更方法については、“条件の変更方法”を参照してください。

登録する管理者アカウントが3つ以上の場合

1. サンプルファイルに登録されている2組の操作者と実行ホストの組み合わせのそれぞれについて、実際の管理者アカウント名・管理ホスト名に変更します。

   変更方法については“条件の変更方法”を参照してください。

2. 操作者と実行ホストの組み合わせ条件を新たに追加します。

   追加方法については、“条件の追加方法”を参照してください。

問い合わせファイルの編集は、Interstage Navigatorのクライアント画面で行います。Interstage Navigatorのクライアント画面の起動方法を説明します。

1. [スタート]/[アプリ]-[Interstage Navigator Client]-[Navigator クライアント]を選択します。

   →[Navigator クライアント]が起動されます。

   

2. [Navigator クライアント]から[ファイル]メニューの[開く]を選択します。

   →[開く]ダイアログボックスが表示されます。

   [開く]ダイアログボックスで、任意のディレクトリにコピーしたカスタマイズ用root権限不当使用分析問い合わせファイルを選択します。

   →[サーバに接続]画面が表示されます。

   

3. [サーバに接続]画面において、Interstage Navigator Serverに接続するためのユーザ名とパスワード、Interstage Navigator Serverがインストールされた運用管理サーバのサーバ名を入力し、[OK]ボタンをクリックします。

   →確認メッセージが表示されます。

   

4. 問い合わせファイルをカスタマイズするので、[いいえ]ボタンをクリックします。

   注意

   ボタンの選択についての注意事項

   [はい]ボタンをクリックすると、問い合わせファイルをカスタマイズできずに集計処理が実行されてしまいます。

   →[レイアウトの指定]画面が表示されます。

   

root権限不当使用分析問い合わせファイルに定義されている操作者、および実行ホストの変更方法を説明します。

• 条件の変更方法

• 条件の削除方法

• 条件の追加方法

条件の変更方法

条件に設定されている内容を変更する方法を説明します。

1. [レイアウトの指定]画面で、[条件のAND/OR編集]画面表示の起動ボタンをクリックします。

   

   →[条件のAND/OR編集]画面が表示されます。

2. [条件のAND/OR編集]画面で、[操作者: NOT (USER1)]を選択し、[項目の詳細]ボタンをクリックします。

   

   →[条件の指定]画面が表示されます。

3. [一致キー]に実際の管理者のアカウント名を入れ、[OK]ボタンをクリックします。

   

4. [実行ホスト: HOST2, HOST1]を選択し、[項目の詳細]ボタンをクリックします。

   

   →[条件の指定]画面が表示されます。

5. [一致キー]に実際の管理対象であるホスト名を入力し、[OK]ボタンをクリックします。管理対象のホストが複数ある場合は、ホスト名をカンマで区切って入力します。

   

6. 操作者、および実行ホストが正しく変更されていることを確認し、[OK]ボタンをクリックします。

   

条件の削除方法

条件を削除する方法を説明します。

1. [レイアウトの指定]の画面において、[条件]で不要な[操作者]を選択し、[削除]ボタンをクリックします。

   

   注意

   削除対象についての注意事項

   [条件]の欄には登録されている条件の項目名（[操作者]など）だけが横一列に並んで表示されます。そのため、本サンプルの[操作者]のように、同じ項目に対して複数個の条件が設定されている場合、同じ項目名が複数表示されていますので、選択の際に削除対象を間違えないように、注意してください。

   →削除確認の画面が表示されます。

2. [OK]ボタンをクリックします。

   

   →操作者が削除されます。

3. [条件]の欄で選択して削除した[操作者]の右側にある[実行ホスト]も同様の手順で削除します。

4. [条件のAND/OR編集]画面において、必要のない条件が削除されていることを確認します。

   

条件の追加方法

操作者と実行ホスト条件の追加を行う場合、単に条件項目を追加するだけではなく、追加した条件項目をサンプルに設定されている他の操作者と実行ホストの組み合わせと同じ論理構造にする必要があります。

ここでは、以下の手順について説明します。

• 項目を追加する

• 論理構造を設定する

【項目を追加する】

以下の手順で、操作者と実行ホストの条件項目を追加します。

1. [レイアウトの指定]の画面において、[データ項目]の[操作者]を右クリックして表示されるポップアップメニューから[追加]を選択します。さらに表示されるポップアップメニューから[条件]をクリックします。

   

   →[条件の指定]画面が表示されます。

2. [一致キー]に新たに追加する管理者名を入れ、[一致しないデータが対象]にチェックを付けます。

   

3. [OK]ボタンをクリックします。

4. [実行ホスト]についても同様に、[レイアウトの指定]の画面において、[データ項目]の[実行ホスト]を右クリックして表示されるポップアップメニューから[追加]を選択します。さらに表示されるポップアップメニューから[条件]をクリックします。

5. [条件の指定]画面において、[一致キー]に管理対象であるホスト名を入力します。管理対象のホストが複数ある場合、ホスト名をカンマで区切って入力します。

   

6. [OK]ボタンをクリックします。

【論理構造を設定する】

[条件のAND/OR編集]画面において、追加した項目の条件をサンプルに設定されている条件と同じ論理構造にします。

1. [レイアウトの指定]画面で、[条件のAND/OR編集]画面表示の起動ボタンをクリックします。

   →[条件のAND/OR編集]画面が表示されます。

2. 追加した操作者と実行ホストの条件を、2つで1組の条件にするために、操作者の条件を[レベル上げ]によって階層化します。手順は以下のとおりです。

   • 追加した[操作者: NOT (管理者名)]を選択し、[レベル上げ]ボタンをクリックします。

     

     →選択した[操作者]の条件が階層化されます。

3. 作成した階層内に実行ホストの条件を入れます。手順は以下のとおりです。

   1. 追加した[実行ホスト]の条件を選択し、[上に移動]ボタンをクリックします。

      

      →選択した[実行ホスト]の条件が、直上の階層内の[操作者]の条件の上に移動します。

4. 追加した操作者・実行ホストの条件を既存の操作者・実行ホストの条件が配置されている階層内に入れます。手順は以下のとおりです。

   1. [時刻]の条件の下にある、[OR((操作者 AND 実行ホスト) AND (操作者 AND 実行ホスト))]のツリーを開きます。

   2. 追加した[AND(実行ホスト AND 操作者)]を選択した後、[上に移動]ボタンをクリックします。

      

      →選択した[実行ホスト AND 操作者]の条件が、すぐ上の階層内の[操作者 AND 実行ホスト]の条件の上(2つある既存の条件の間)に移動します。

5. 追加した操作者と実行ホストの条件は他の操作者と実行ホストの条件とAND条件の関係になっているため、他の条件と同じようにOR条件にします。手順は以下のとおりです。

   1. 追加／移動した[AND(実行ホスト AND 操作者)]を選択した後、[AND/OR]ボタンをクリックします。

      

      →[OR(実行ホスト AND 操作者)]の状態に変わります。

ここまでの操作で、必要な条件の追加ができました。しかし、この状態では[条件の一覧]内の表示内容と、問い合わせファイルに設定されている条件が以下のように異なり、確認がしにくくなっています。

• 追加した条件が一番下ではなく、下から2番目の位置にある。

• 追加した条件は[実行ホスト AND 操作者]と表示されており、問い合わせファイルに設定されている条件とは[操作者]と[実行ホスト]の表示順が逆になっている。

そこで、追加した条件を一番下に移動し、[操作者]と[実行ホスト]の表示順を[操作者 AND 実行ホスト]とする方法を説明します。

1. 追加した[AND(実行ホスト AND 操作者)]を選択し、[下に移動]ボタンをクリックします。

2. 追加した[操作者: NOT(管理者名)]を選択し、[上に移動]ボタンをクリックします。

   

   →選択した条件がそれぞれボタンどおり移動します。

3. 追加した条件の内容が正しいこと、および論理構造が問い合わせファイルに設定されていた条件と同じであることを確認し、[OK]ボタンをクリックします。

さらに[操作者]、[実行ホスト]を追加する場合は、手順1から同様の操作を行います。

1. [レイアウトの指定]画面で[OK]ボタンをクリックします。

   →[Navigator クライアント]画面が表示されます。

   

2. ここでは集計処理を実施しないので、[いいえ]ボタンをクリックします。

   注意

   ボタンの選択についての注意事項

   誤って[はい]ボタンをクリックした場合、集計が実行されてしまいます。

   →[Navigator クライアント]画面が表示されます。

   

3. [ファイル]メニューから[名前を付けて保存]を選択し、ファイルを保存します。

   →root権限不当使用分析問い合わせサンプルファイルが、運用管理クライアント上のファイルとして作成されます。

   例として、以下の場所に保存します。

   • フォルダ名: C:\temp

   • ファイル名: SuLogCheck.rne

     注意

     問い合わせファイル名についての注意事項

     問い合わせファイル名は集計レポート出力コマンドで使用するため、ASCII文字210文字以内またはシフトJIS文字105文字以内で指定してください。

4. [ファイル]メニューから[終了]を選択します。

動作確認をするために、編集したサンプルファイルを使用して実際に集計した結果と、監査ログの内容を比較します。

以下の手順で、編集したサンプルファイルを使用して、実際に集計します。

1. [スタート]/[アプリ]-[Interstage Navigator Client]-[Navigator クライアント]を選択します。

   →[Navigator クライアント]が起動されます。

   

2. [Navigator クライアント]から[ファイル]メニューの[開く]を選択します。

   →[開く]ダイアログボックスが表示されます。

   [開く]ダイアログボックスで、“root権限不当使用分析問い合わせサンプルファイルを編集する”で編集した問い合わせファイルを選択します。

   →[サーバに接続]画面が表示されます。

   

3. [サーバに接続]画面において、Interstage Navigator Serverに接続するためのユーザ名とパスワード、Interstage Navigator Serverがインストールされた運用管理サーバのサーバ名を入力し、[OK]ボタンをクリックします。

   →確認メッセージが表示されます。

   

4. [はい]ボタンをクリックします。

   →以下の画面が表示されます。

   

5. [OK]ボタンをクリックします。

   →以下の画面が表示されます。

   

6. [OK]ボタンをクリックします。

   →集計結果が表示されます。

   

監査ログから以下の手順で監査ログを抽出し、サンプルファイルを使用して集計した結果と比較します。

1. Solarisのsuログ、Linuxのsyslog、HP-UXのsuログ、およびAIXのsuログから、指定した時間帯以外の監査ログを抽出します。

2. Solarisのsuログ、Linuxのsyslog、HP-UXのsuログ、およびAIXのsuログについて、変更先ユーザIDがrootの監査ログを抽出します。

3. 手順2の抽出結果からさらに、操作者がそのシステムの管理者アカウント以外の監査ログを抽出します。

4. 手順1と手順3で抽出した監査ログが、root権限を不当に使用したときの監査ログとなるため、その監査ログの件数を数えます。

5. 手順4で数えたroot権限不当使用ログの件数を集計結果と比較し、同じ件数であることを確認します。

   →確認した結果に問題がなければ、root権限不当使用分析問い合わせサンプルファイル(root権限不当使用チェック)が正しく設定されており、運用で使用できることが証明されました。

システムに対する不当な操作は、できるだけ早く発見しなければなりません。そのためには、監査ログの集計を毎日実施し、分析する必要があります。また、監査ログの収集・集計・分析作業によるサーバへの負荷を減らし、通常業務に支障をきたさないように、作業は夜間に行うことが必要です。

そのためには、運用管理サーバにおいて、OSに標準で提供されている「タスク」などのスケジューラ機能に、集計を実行するスケジュールを登録し、自動で作業できるようにする必要があります。

以下に、集計実行コマンドをスケジューラに登録する手順を示します。

1. 運用管理クライアント上に保存した問い合わせファイルを運用管理サーバ上の下記ディレクトリへコピーします。

   Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\data\total

2. 運用管理サーバ上の任意のスケジューラ機能にmpatareportput(集計レポート出力コマンド)を、以下のように登録します。

   Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportput SuLogCheck.rne SuLogCheck

   →root権限不当使用分析問い合わせサンプルファイルによる集計が、毎日実行されるようにスケジュールを設定します。

mpatareportput(集計レポート出力コマンド) はオプション指定により出力形式や出力ファイル名を変更することができます。mpatareportput(集計レポート出力コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。

夜間のうちに集計されCSV形式に出力された結果をもとに、前日のシステム運用の様子を分析します。分析の結果、システム運用に問題があると判断された場合は、追跡調査を実施したり、管理者や責任者に報告するなどして、少しでも早く運用ルールに沿ったシステム運用に戻します。また、結果は点検資料としてレポートに出力し、保管しておきます。

監査ログを分析する手順について説明します。

1. mpatareportput(集計レポート出力コマンド)で運用管理サーバ上に保存された集計レポート結果ファイルを、クライアントへコピーしExcelで開きます。mpatareportput(集計レポート出力コマンド)の詳細は、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。

   運用管理サーバ上での集計レポート結果ファイルの格納先は、以下のとおりです。

   Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\var\user\report\SuLogCheck_YYYYMMDD_01.csv(注)

   注)
   YYYYMMDDは、分析を実行した年月日を示します。

2. 不当なユーザによるroot権限の使用の有無を、出力ファイルの内容から判断します。

   

   • 分析結果が見出し行だけの場合：不当な使用はありません。

   • 分析結果に集計件数が記載された行がある場合：不当な使用があります。

     不当なユーザによるroot権限の使用がある場合、ユーザ名、時刻、ホスト名を確認します。

     • 該当セルの行の左端からユーザ名と実行時間を確認します。(例では、ユーザ名は「user01」、実行時間「2006/9/12 20:23」です。)

以下の手順で監査ログの追跡調査を行います。

1. 正規化ログを運用管理サーバからクライアントへコピーし、Excelで開きます。

2. “正規化されたログ項目”に示す項目について、以下の条件で監査ログを確認します。

   • 日付および時刻: 不当にsuコマンドが実行された時刻

   • 実行ホスト: 不当にsuコマンドが実行された実行ホスト名

   • ログ種別: SolarisSuLog

3. 関連する痕跡(異常やシステム設定の変更メッセージなど)がないか確認します。

詳細な調査結果を部門責任者に通知します。部門責任者は、問題の有無を確認し対処します。以下に作業の手順を説明します。

1. 実行ホストの部門責任者へ、分析結果ファイルを添付し原因調査の依頼メールを出します。

2. 部門責任者は、セキュリティ管理者からの調査依頼メールに添付された分析結果をもとに、該当するユーザ名、時刻、ホスト名を確認します。

   

   • 該当セルの行の左端からユーザ名と実行時間を確認します。(例では、ユーザ名は「user01」、実行時間は「2006/9/12 20:23」です。)

3. 当日の業務内容の確認、該当者からの事情の確認などにより原因を調査し、結果をセキュリティ管理者へ通知します。

4. セキュリティ管理者は、サーバ管理者の変更が行われる月初めに、必ずrootのパスワード変更がされるように、各システムのパスワード有効期限を1ヶ月とする対策を検討・実施します。

mpatareportput(集計レポート出力コマンド)で、出力形式をHTML形式(-O HTMLオプション指定)にした場合、以下の一般的なレポート形式で集計結果を出力することができます。mpatareportput(集計レポート出力コマンド)の詳細は、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。

mpatareportput(集計レポート出力コマンド)で出力したレポートには、分析結果を点検した担当者名や点検コメントは出力されません。

集計レポートに、点検した担当者名や点検コメントを追加する場合は、以下の手順が必要です。

1. 監査ログをmpatareportput(集計レポート出力コマンド)を利用して集計し、結果を出力します。

   運用管理サーバで、mpatareportput(集計レポート出力コマンド)に問い合わせファイルを指定して実行します。集計は、OSに標準で提供されている「タスク」などのスケジューラに登録して実行します。mpatareportput(集計レポート出力コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。

   以下に、問い合わせファイル「rootAuthorityUse.rne」を使用して、root権限不当使用分析の集計レポート「rootAuthorityUse」をデフォルトの出力ディレクトリ「Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\var\user\report」配下に出力するバッチファイルの例を示します。

   Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportput -O HTML rootAuthorityUse.rne rootAuthorityUse

2. 集計レポートの結果が出力されたファイルをコピーします。

   FTPコマンドなどを使用して、運用管理サーバに出力された集計レポート結果ファイル(上記の例の場合、Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\var\user\report\rootAuthorityUse_YYYYMMDD.html)を、運用管理クライアント上の任意のディレクトリにコピーします。本手順は必要に応じてスケジューラに登録してください。

3. 点検担当者が集計レポートの結果出力ファイルを確認します。

   レポートの点検担当者は、運用管理クライアント上にコピーされた集計レポートの結果出力ファイルをWebブラウザなどで開き、その内容を確認します。

4. 集計レポートの結果出力ファイルへ点検コメントを追加します。

   運用管理クライアントで、mpatareportcomment(集計レポートコメント追加コマンド)を実行します。mpatareportcomment(集計レポートコメント追加コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。

   以下に、コマンドの実行例と、コメントを追加した集計レポートの出力例を示します。

   Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportcomment -U 佐藤 -C "該当者は前サーバ管理者であり、担当変更後もrootのパスワード変更がなされていなかったため、今後の対策が必要です。" C:\temp\rootAuthorityUse_20060913.html C:\temp\rootAuthorityUse_20060913_CHECK.html