Systemwalkerコンソールで行った操作の内容を分析するためには、分析対象の監査ログを運用管理サーバに収集し、分析用に変換(正規化)する必要があります。また、分析するための集計項目や集計結果を表示する表のレイアウトを定義する必要があります。
この章では、監査ログを収集し正規化するための設定と、監査ログを分析するための設定について説明します。
Systemwalkerコンソールで行った操作の内容を分析するために必要な監査ログは、運用管理サーバおよび運用管理クライアントで採取します。運用管理サーバおよび運用管理クライアントにある監査ログを運用管理サーバに収集するための設定は、以下の順で行います。
採取する監査ログを定義する
運用管理サーバおよび運用管理クライアントにおいて、Systemwalkerコンソールの監査ログを採取するよう定義します。
Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpsetlogsend_swgui -y
mpsetlogsend_swgui(Systemwalkerコンソール監査ログ収集設定コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
接続可能一覧ファイルを作成する
運用管理サーバ-被管理サーバ(部門管理サーバ/業務サーバ)間でログ収集を行う場合、被管理サーバ上の接続可能一覧ファイルに、接続元運用管理サーバの情報(サーバ名、またはIPアドレス)を記述することで収集対象の運用管理サーバをチェックし、指定した運用管理サーバ以外からの収集を抑止することができます。
接続可能一覧ファイルについての詳細は、“収集対象のサーバを限定する”を参照してください。
監査ログの格納先を定義する
運用管理サーバにおいて、運用管理サーバおよび運用管理クライアントから収集した監査ログを格納するディレクトリを定義します。
例として、C:\mpatm\cmgrlogに格納します。
Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatmtrsdef REP -S C:\mpatm\cmgrlog
mpatmtrsdef(ファイル転送情報定義コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
スケジューラに監査ログを収集し正規化するコマンドを登録する
システムに対する不当な操作をできるだけ早く発見するため、監査ログの収集、正規化は毎日実施する必要があります。監査ログの収集・正規化によるサーバへの負荷を減らし、通常業務に支障をきたさないように、作業は夜間に行うことが必要です。そのためには、運用管理サーバにおいて、OSに標準で提供されている「タスク」などのスケジューラ機能に、ログ収集と正規化を実行するスケジュールを登録し、自動で作業できるようにする必要があります。
以下に、スケジューラに登録するコマンドを示します。
監査ログを収集するコマンド
運用管理クライアントから監査ログを収集するコマンドを登録します。運用管理サーバ上にある監査ログも運用管理クライアントから収集した監査ログと同じ場所に格納します。
例として、運用管理サーバのサーバ名がserver1、運用管理クライアントのサーバ名がserver2である場合のコマンドを以下に示します。
Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatmlog -H server1 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatmlog -H server2
収集した監査ログを正規化するコマンド
正規化する監査ログのログ識別名は、CMGROpLogです。
Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatalogcnvt -H server1 -A CMGROpLog -L C:\mpatm\cmgrlog
例として、運用管理サーバ(ホスト名がServer1)と、運用管理クライアント(ホスト名がClient1)から監査ログを収集し正規化する場合に、登録するコマンドを以下に示します。なお、収集した監査ログの格納先は、mpatmtrsdef(ファイル転送情報定義コマンド)を使用してC:\mpatm\cmgrlogに設定済みであるとします。
C:\Systemwalker\MPWALKER.DM\bin\mpatmlog -H Server1 C:\Systemwalker\MPWALKER.DM\bin\mpatmlog -H Client1 C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H Server1 -A CMGROpLog -L C:\mpatm\cmgrlog C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H Client1 -A CMGROpLog -L C:\mpatm\cmgrlog
mpatmlog(ログ収集コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
mpatalogcnvt(監査ログ正規化コマンド) はオプション指定により正規化対象とする監査ログを種別やホスト・出力日などで絞り込んだり、正規化をテスト実行させることができます。mpatalogcnvt(監査ログ正規化コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。
監査ログを分析するには、監査ログを集計するときの問い合わせ条件(集計項目)や、集計結果を表示する表のレイアウトの設定条件を、問い合わせファイルに定義する必要があります。
セキュリティ管理者は、Systemwalkerコンソールの監査ログを分析する場合の固有情報(認証の成功/失敗、許可されていないユーザからの接続、リモートコマンドの実行、ポリシー操作の有無)を設定するため、標準提供されているSystemwalkerコンソールの各監査ログの分析問い合わせサンプルファイルをカスタマイズします。
Systemwalkerコンソールの監査ログ分析では、以下の種類の問い合わせファイルを使用します。
Systemwalkerコンソールログイン点検分析(1日/1週間/1ヶ月)問い合わせサンプルファイル
Systemwalkerコンソール想定外接続分析(1日/1週間/1ヶ月)問い合わせサンプルファイル
Systemwalkerコンソール影響操作分析(1日/1週間/1ヶ月)問い合わせサンプルファイル
以降の説明では、これらの問い合わせファイルを、まとめて「Systemwalkerコンソールのログ分析問い合わせサンプルファイル」と呼んでいます。
監査ログ分析のための設定は、以下の順で行います。
Systemwalkerコンソールのログ分析問い合わせサンプルファイルを編集する
問い合わせサンプルファイルは、監査ログ分析機能をインストールしたときに、運用管理クライアントに格納されます。この問い合わせサンプルファイルをコピーしてカスタマイズします。
問い合わせサンプルファイルを、任意のディレクトリにコピーします。
問い合わせサンプルファイルのインストール先は「Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\sample\total」です。Systemwalkerコンソールのログ分析問い合わせサンプルファイルのファイル名は以下のとおりです。
問い合わせサンプルファイル | ファイル名 |
|---|---|
Systemwalkerコンソールログインを点検分析する(1日) | CMGR_ConsoleLogin_1Day.rne |
Systemwalkerコンソールログインを点検分析する(1週間) | CMGR_ConsoleLogin_1Week.rne |
Systemwalkerコンソールログインを点検分析する(1ヶ月) | CMGR_ConsoleLogin_1Month.rne |
Systemwalkerコンソール想定外接続を分析する(1日) | CMGR_IllegalConnection_1Day.rne |
Systemwalkerコンソール想定外接続を分析する(1週間) | CMGR_IllegalConnection_1Week.rne |
Systemwalkerコンソール想定外接続を分析する(1ヶ月) | CMGR_IllegalConnection_1Month.rne |
Systemwalkerコンソール影響操作を分析する(1日) | CMGR_ImportantOperation_1Day.rne |
Systemwalkerコンソール影響操作を分析する(1週間) | CMGR_ImportantOperation_1Week.rne |
Systemwalkerコンソール影響操作を分析する(1ヶ月) | CMGR_ImportantOperation_1Month.rne |
Systemwalkerコンソールログイン点検分析(1ヶ月)問い合わせサンプルファイルをc:\tempにコピーする場合の例を以下に示します。
copy c:\Systemwalker\MPWALKER.DM\mpata\sample\total\CMGR_ConsoleLogin_1Month.rne c:\temp
[スタート]/[アプリ]-[Interstage Navigator Client]-[Navigator クライアント]を選択します。
→[Navigator クライアント]が起動されます。
[Navigator クライアント]から[ファイル]メニューの[開く]を選択します。
→[開く]ダイアログボックスが表示されます。
[開く]ダイアログボックスで、手順1.で任意のディレクトリにコピーしたSystemwalkerコンソールのログ分析問い合わせファイルを選択します。
→[サーバに接続]画面が表示されます。
[サーバに接続]画面において、Interstage Navigator Serverに接続するためのユーザ名とパスワード、Interstage Navigator Serverがインストールされた運用管理サーバのサーバ名を入力し、[OK]ボタンをクリックします。
→確認メッセージが表示されます。
問い合わせファイルをカスタマイズするので、[いいえ]ボタンをクリックします。
注意
ボタンの選択についての注意事項
[はい]ボタンをクリックすると、問い合わせファイルをカスタマイズできずに集計処理が実行されてしまいます。
→[レイアウトの指定]画面が表示されます。
[条件]欄に、問い合わせファイルの条件となる固有情報を設定します。固有情報は、各Systemwalkerコンソールのログ分析問い合わせファイルによって異なります。各問い合わせファイルに登録されている条件と編集する項目は、“Systemwalkerコンソールのログ分析問い合わせサンプルファイルに登録されている条件”を参照してください。
固有情報を編集するときは、[条件]欄の該当項目を選択し、編集画面で内容を書き換えます。
固有情報を複数設定する場合は、[データ項目]から該当項目を追加します。
項目の追加を行った場合、[条件のAND/OR編集]画面の起動ボタンをクリックします。
→[条件のAND/OR編集]画面が表示されます。
追加した固有情報を、既存の固有情報と同様の条件構造に設定します。
設定した条件内容を一覧表示で確認します。
→[条件]画面が表示されます。
設定した情報に問題がない場合は、[閉じる]ボタンをクリックし、[レイアウトの指定]画面で[OK]ボタンをクリックします。
→[Navigator クライアント]画面が表示されます。
ここでは集計処理を実施しないので、[いいえ]ボタンをクリックします。
注意
ボタンの選択についての注意事項
[はい]ボタンをクリックすると、問い合わせファイルをカスタマイズできずに集計処理が実行されてしまいます。
→[Navigator クライアント]画面が表示されます。
[ファイル]メニューから[名前を付けて保存]を選択し、ファイルを保存します。
→Systemwalkerコンソールのログ分析問い合わせファイルが、運用管理クライアント上のファイルとして作成されます。
例として、以下の場所に保存します。
フォルダ名: C:\temp
ファイル名: SysconCheck.rne
注意
問い合わせファイル名についての注意事項
問い合わせファイル名は集計レポート出力コマンドで使用するため、ASCII文字210文字以内またはシフトJIS文字105文字以内で指定してください。
[ファイル]メニューから[終了]を選択します。
Systemwalkerコンソールのログ分析問い合わせサンプルファイルに登録されている条件
それぞれの問い合わせファイルに登録されている条件と、編集が必要な項目は以下のとおりです。
Systemwalkerコンソールログイン点検分析(1日/1週間/1ヶ月)問い合わせサンプルファイル
Systemwalkerコンソールログイン点検分析(1日/1週間/1ヶ月)問い合わせサンプルファイルには、初期値として以下の条件が登録されています。
期間対象が開始日から終了日までである。かつ、
ログ種別が、Systemwalkerコンソール監査ログ である。かつ、
操作内容が、「ログインしました」または「ログインに失敗しました」を含む。
これらの条件は変更する必要はありません。
Systemwalkerコンソール想定外接続分析(1日/1週間/1ヶ月)問い合わせサンプルファイル
Systemwalkerコンソール想定外接続分析(1日/1週間/1ヶ月)問い合わせサンプルファイルには、初期値として以下の条件が登録されています。
期間対象が開始日から終了日までである。かつ、
ログ種別が、Systemwalkerコンソール監査ログである。かつ、
以下のa)またはb)の条件のどちらかに一致する。
操作者がUSER1である。かつ、以下の条件のどれかに一致する。
操作場所がCLIENT1でない。かつ、操作場所がCLIENT2でない。
時刻がTIME1~TIME2でない。
操作内容がOPERATION1でない。かつ、操作内容がOPERATION2でない。
操作者がUSER2である。かつ、以下の条件のどれかに一致する。
操作場所がCLIENT3でない。かつ、操作場所がCLIENT4でない。
時刻がTIME3~TIME4でない。
操作内容がOPERATION3でない。かつ、操作内容がOPERATION4でない。
これらの条件のうち、操作者、操作場所、時刻、操作内容の値(太字部分)は運用に合わせて必ずカスタマイズする必要があります。
操作者にはオペレータのユーザIDを登録し、そのオペレータごとに利用を許可されている操作場所・時間の範囲・操作内容の値をそれぞれ設定します。
オペレータの人数や、許可されている操作場所や操作内容の個数に応じて、条件の追加、変更、削除を行ってください。
Systemwalkerコンソール影響操作分析(1日/1週間/1ヶ月)問い合わせサンプルファイル
Systemwalkerコンソール影響操作分析(1日/1週間/1ヶ月)問い合わせサンプルファイルには、初期値として以下の条件が登録されています。
期間対象が開始日から終了日までである。かつ、
ログ種別が、Systemwalkerコンソール監査ログである。かつ、
操作内容に以下の文字列のうちのどれかを含んでいる。
「リモートコマンドを実行します」
「[ポリシーの配付]メニューを選択しました」
「[ポリシーの配付]を実行します」
「配付します」
これらの条件のうち、操作内容には点検対象とする影響度の大きい操作を検出するキーワードを設定します。必要に応じて、操作内容の条件を追加、変更、削除してください。
標準で設定されているキーワードの他に、影響度の高い操作を検出するキーワードとしては以下があります。
監視ツリーの削除
監視ツリーの切り替え
オブジェクトの追加・削除
各条件の詳細は、“Systemwalker Centric Managerリファレンスマニュアル”で“Systemwalkerコンソールログイン点検分析(1日/1週間/1ヶ月)問い合わせサンプルファイル”、“Systemwalkerコンソール想定外接続分析(1日/1週間/1ヶ月)問い合わせサンプルファイル”、“Systemwalkerコンソール影響操作分析(1日/1週間/1ヶ月)問い合わせサンプルファイル”を参照してください。
Systemwalkerコンソールのログ分析問い合わせサンプルファイルの動作確認をする
動作確認をするために、編集したサンプルファイルを使用して実際に集計した結果と、監査ログの内容を比較します。
サンプルファイルで集計する
以下の手順で、編集したサンプルファイルを使用して、実際に集計します。
[スタート]/[アプリ]-[Interstage Navigator Client]-[Navigator クライアント]を選択します。
→[Navigator クライアント]が起動されます。
[Navigator クライアント]から[ファイル]メニューの[開く]を選択します。
→[開く]ダイアログボックスが表示されます。
[開く]ダイアログボックスで、“Systemwalkerコンソールのログ分析問い合わせサンプルファイルを編集する”で編集した問い合わせファイルを選択します。
→[サーバに接続]画面が表示されます。
[サーバに接続]画面において、Interstage Navigator Serverに接続するためのユーザ名とパスワード、Interstage Navigator Serverがインストールされた運用管理サーバのサーバ名を入力し、[OK]ボタンをクリックします。
→確認メッセージが表示されます。
[はい]ボタンをクリックします。
→以下の画面が表示されます。
[OK]ボタンをクリックします。
→以下の画面が表示されます。
[OK]ボタンをクリックします。
→集計結果が表示されます。
監査ログから抽出したログの件数と比較する
監査ログから以下の手順で監査ログを抽出し、サンプルファイルを使用して集計した結果と比較します。Systemwalkerコンソールのログ分析問い合わせサンプルファイルのサンプルファイルごとに抽出・比較手順を以下に説明します。
Systemwalkerコンソールログイン点検分析(1日/1週間/1ヶ月)問い合わせサンプルファイル
Systemwalkerコンソールログイン点検分析(1日/1週間/1ヶ月)問い合わせサンプルファイルの内容は編集していないため、抽出・比較作業は不要です。
Systemwalkerコンソール想定外接続分析(1日/1週間/1ヶ月)問い合わせサンプルファイル
Systemwalkerコンソール監査ログから、操作者(CSV形式の4項目目)が、サンプルファイルで定義したオペレータである監査ログを抽出します。
手順1の抽出結果からさらに、操作場所(2項目目)が定義したクライアント名以外の監査ログを抽出します。
手順1の抽出結果からさらに、日時(1項目目)が定義した時間帯以外の監査ログを抽出します。
手順1の抽出結果からさらに、操作内容(7項目目)が定義した操作内容以外の監査ログを抽出します。
手順2~手順4で抽出した監査ログの件数を数えます。
手順1~手順5の作業を、サンプルファイルで定義したオペレータの数だけ繰り返します。
サンプルファイルで定義したすべてのオペレータについて、抽出した監査ログの件数を数えます。
手順7で数えた監査ログの件数が想定外に接続された監査ログの件数です。この監査ログの件数と集計結果と比較し、同じ件数であることを確認します。
Systemwalkerコンソール影響操作分析(1日/1週間/1ヶ月)問い合わせサンプルファイル
Systemwalkerコンソール監査ログから、操作内容(CSV形式の7項目目)に、点検対象とする影響度の大きい操作に定義した文字列が含まれている監査ログを抽出します。
手順1で抽出した監査ログの件数を数えます。
手順2で数えた監査ログの件数が、影響度の大きい操作の監査ログの件数です。この件数を集計結果と比較し、同じ件数であることを確認します。
→サンプルファイルごとに確認した結果に問題がなければ、“Systemwalkerコンソールのログ分析問い合わせサンプルファイル”(Systemwalkerコンソールログインチェック)が正しく設定されており、運用で使用できることが証明されました。
システムに対する不当な操作は、できるだけ早く発見しなければなりません。そのためには、監査ログの集計を毎日実施し、分析する必要があります。また、監査ログの収集・集計・分析作業によるサーバへの負荷を減らし、通常業務に支障をきたさないように、作業は夜間に行うことが必要です。
そのためには、運用管理サーバにおいて、OSに標準で提供されている「タスク」などのスケジューラ機能に、集計を実行するスケジュールを登録し、自動で作業できるようにする必要があります。
以下に、集計実行コマンドをスケジューラに登録する手順を示します。
運用管理クライアント上に保存した問い合わせファイルを運用管理サーバ上の下記ディレクトリへコピーします。
Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\data\total
運用管理サーバ上の任意のスケジューラ機能にmpatareportput(集計レポート出力コマンド)を、以下のように登録します。
Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportput SysconCheck.rne SysconCheck
→Systemwalkerコンソールのログ分析問い合わせサンプルファイルによる集計が、毎日実行されるようにスケジュールされます。
mpatareportput(集計レポート出力コマンド) はオプション指定により出力形式や出力ファイル名を変更することができます。mpatareportput(集計レポート出力コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。
運用
夜間のうちに集計されCSV形式に出力された結果をもとに、前日のシステム運用の様子を分析します。分析の結果、システム運用に問題があると判断された場合は、追跡調査を実施したり、管理者や責任者に報告するなどして、少しでも早く運用ルールに沿ったシステム運用に戻します。また、結果は点検資料としてレポートに出力し、保管しておきます。
以下の観点で監査ログを分析します。
悪意のあるユーザを分析する
Systemwalkerコンソールの操作状況を、出力ファイルの内容から判断します。
認証失敗ログ件数の集中しているセルを確認します。
9時台(9:00~9:59)に、user2が認証に5回失敗していることがわかります。
出力されたCSVファイルを元に、以下の観点で分析結果を評価します。
認証失敗件数が集中している時間帯を特定します。
認証失敗件数が集中している時間帯が運用上妥当かどうかを確認します。
時間帯が運用上妥当でない場合は、不正ログインが行われた可能性があります。管理者による詳細な調査を行います。
運用ルール以外の操作を分析する
運用管理サーバに対して、許可されていない運用管理クライアント(client01)からの接続がないか確認します。
出力されたCSVファイルを元に、以下の観点で分析結果を評価します。
運用ルールに違反している項目(接続を許可されている運用管理クライアント以外からの接続)を特定します。
違反行為の理由が妥当であるか確認します。
運用上妥当でない場合は、想定外の接続が行われた可能性があるため、管理者による詳細調査を行います。
システムへの影響度が大きい操作を分析する
リモートコマンド、およびポリシー操作ログの時間帯と件数を確認します。
例では、12時台(12:00~12:59)と13時台(13:00~13:59)に、user1がシステムに対する影響度の大きい操作であるポリシー設定を実行しています。
システムへの影響度が大きい操作としては、以下の項目も考えられます。
監視ツリーの削除
監視ツリーの切り替え
オブジェクトの追加・削除
出力されたCSVファイルを元に、以下の観点で分析結果を評価します。
システムへの影響度が大きい操作が集中している時間帯を特定します。
時間帯が運用上妥当かどうかを確認します。
運用上妥当でない場合は、通常運用外の操作が行われた可能性があるため、管理者による詳細調査を行います。
詳細な調査結果を部門責任者へ通知します。部門責任者は、問題の有無を確認し対処します。また、点検結果はレポートの形式に出力します。
レポートを作成する
mpatareportput(集計レポート出力コマンド)で、出力形式をHTML形式(-O HTMLオプション指定)にした場合、以下の一般的なレポート形式で集計結果を出力することができます。mpatareportput(集計レポート出力コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。
mpatareportput(集計レポート出力コマンド)で出力したレポートには、分析結果を点検した担当者名や点検コメントは出力されません。
集計レポートに、点検した担当者名や点検コメントを追加する場合は、以下の手順が必要です。
監査ログをmpatareportput(集計レポート出力コマンド)を利用して集計し、結果を出力します。
運用管理サーバで、mpatareportput(集計レポート出力コマンド)に問い合わせファイルを指定して実行します。集計は、OSに標準で提供されている「タスク」などのスケジューラに登録して実行します。mpatareportput(集計レポート出力コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。
以下に、問い合わせファイル「CMGR_ConsoleLogin_1Month.rne」を使用して、Systemwalkerコンソールログイン点検分析(1ヶ月)の集計レポート「CMGR_ConsoleLogin_1Month」をデフォルトの出力ディレクトリ「Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\var\user\report」配下に出力するバッチファイルの例を示します。
Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportput -O HTML CMGR_ConsoleLogin_1Month.rne CMGR_ConsoleLogin_1Month
集計レポートの結果が出力されたファイルをコピーします。
FTPコマンドなどを使用して、運用管理サーバに出力された集計レポート結果ファイル(上記の例の場合、Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\var\user\report\CMGR_ConsoleLogin_1Month_YYYYMMDD.html)を、運用管理クライアント上の任意のディレクトリにコピーします。本手順は必要に応じてスケジューラに登録してください。
点検担当者が集計レポートの結果出力ファイルを確認します。
レポートの点検担当者は、運用管理クライアント上にコピーされた集計レポートの結果出力ファイルをWebブラウザなどで開き、その内容を確認します。
集計レポートの結果出力ファイルへ点検コメントを追加します。
運用管理クライアントで、mpatareportcomment(集計レポートコメント追加コマンド)を実行します。mpatareportcomment(集計レポートコメント追加コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。
以下に、コマンドの実行例と、コメントを追加した集計レポートの出力例を示します。
Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportcomment -U 佐藤 -C "5回のログイン失敗はパスワード忘却によるものであり、問題ありません。" C:\temp\CMGR_ConsoleLogin_1Month_20061004.html C:\temp\CMGR_ConsoleLogin_1Month_20061004_CHECK.html
