サーバ操作が正しく行われているかを分析するためには、分析対象の監査ログを運用管理サーバに収集し、分析用に変換(正規化)する必要があります。また、分析するための集計項目や集計結果を表示する表のレイアウトを定義する必要があります。
この章では、監査ログを収集し正規化するための設定と、監査ログを分析するための設定について説明します。
サーバ操作が正しく行われているかを分析するために必要な監査ログは、部門管理サーバや業務サーバで採取します。部門管理サーバや、業務サーバにある監査ログを運用管理サーバに収集するための設定は、以下の順で行います。
採取する監査ログを定義する
運用管理サーバおよび運用管理クライアントでSystemwalkerコンソールの監査ログを採取するよう定義します。
【Windows】
運用管理サーバおよび運用管理クライアント
Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpsetlogsend_swgui -y
【UNIX】
運用管理サーバ
/usr/bin/mpsetlogsend_swgui -y
mpsetlogsend_swgui(Systemwalkerコンソール監査ログ収集設定コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
接続可能一覧ファイルを作成する
運用管理サーバ-被管理サーバ(部門管理サーバ/業務サーバ)間でログ収集を行う場合、被管理サーバ上の接続可能一覧ファイルに、接続元運用管理サーバの情報(サーバ名、またはIPアドレス)を記述することで収集対象の運用管理サーバをチェックし、指定した運用管理サーバ以外からの収集を抑止することができます。
接続可能一覧ファイルについての詳細は、“収集対象のサーバを限定する”を参照してください。
監査ログの格納先を定義する
運用管理サーバにおいて、運用管理サーバ、部門管理サーバ、業務サーバおよび運用管理クライアントから収集した監査ログを格納するディレクトリを定義します。
例として、C:\mpatm\cmgrsvlogに格納します。
Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatmtrsdef REP -S C:\mpatm\cmgrsvlog
mpatmtrsdef(ファイル転送情報定義コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
スケジューラに監査ログを収集し正規化するコマンドを登録する
システムに対する不当な操作をできるだけ早く発見するため、監査ログの収集、正規化は毎日実施する必要があります。監査ログの収集・正規化によるサーバへの負荷を減らし、通常業務に支障をきたさないように、作業は夜間に行うことが必要です。そのためには、運用管理サーバにおいて、OSに標準で提供されている「タスク」などのスケジューラ機能に、監査ログ収集と正規化を実行するスケジュールを登録し、自動で作業できるようにする必要があります。
以下に、スケジューラに登録するコマンドを示します。
監査ログを収集するコマンド
運用管理サーバ、部門管理サーバ、業務サーバおよび運用管理クライアントから監査ログを収集するようにコマンドを登録します。
例として、部門管理サーバのサーバ名がserver1である場合のコマンドを以下に示します。
Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatmlog -H server1
監査ログを収集する対象のすべてのサーバに対し、コマンドを実行してください。
収集した監査ログを正規化するコマンド
正規化する監査ログのログ識別名は、CMGROpLogおよびCMGRSVOpLogです。
Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatalogcnvt -H server1 -A CMGROpLog -L C:\mpatm\cmgrsvlog Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatalogcnvt -H server1 -A CMGRSVOpLog -L C:\mpatm\cmgrsvlog
例として、運用管理サーバ(ホスト名がServer1)、運用管理クライアント(ホスト名がClient1)、およびSolarisの業務サーバ(ホスト名がgyoumu1)から監査ログを収集し正規化する場合に、登録するコマンドを以下に示します。なお、収集した監査ログの格納先は、mpatmtrsdef(ファイル転送情報定義コマンド)を使用してC:\mpatm\cmgrsvlogに設定済みであるとします。
C:\Systemwalker\MPWALKER.DM\bin\mpatmlog -H Server1 C:\Systemwalker\MPWALKER.DM\bin\mpatmlog -H Client1 C:\Systemwalker\MPWALKER.DM\bin\mpatmlog -H gyoumu1 C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H Server1 -A CMGROpLog -L C:\mpatm\cmgrsvlog C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H Server1 -A CMGRSVOpLog -L C:\mpatm\cmgrsvlog C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H Client1 -A CMGROpLog -L C:\mpatm\cmgrsvlog C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H gyoumu1 -A CMGRSVOpLog -L C:\mpatm\cmgrsvlog
mpatmlog(ログ収集コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
mpatalogcnvt(監査ログ正規化コマンド) はオプション指定により正規化対象とする監査ログを種別やホスト・出力日などで絞り込んだり、正規化をテスト実行させることができます。mpatalogcnvt(監査ログ正規化コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。
監査ログを分析するには、監査ログを集計するときの問い合わせ条件(集計項目)や、集計結果を表示する表のレイアウトの設定条件を、問い合わせファイルに定義する必要があります。
セキュリティ管理者は、サーバ操作の監査ログを分析する場合の固有情報(実行ホスト、操作者、日時、録画異常や認証失敗などの異常内容)を設定するため、標準提供されているサーバ操作の各監査ログの分析問い合わせサンプルファイルをカスタマイズします。
サーバ操作の監査ログ分析では、サーバ不正操作分析問い合わせサンプルファイルを使用します。
監査ログ分析のための設定は、以下の順で行います。
サーバ不正操作分析問い合わせサンプルファイルを編集する
問い合わせサンプルファイルは、監査ログ分析機能をインストールしたときに、運用管理クライアントに格納されます。この問い合わせサンプルファイルをコピーしてカスタマイズします。
問い合わせサンプルファイルを、任意のディレクトリにコピーします。
問い合わせサンプルファイルのインストール先は「Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\sample\total」です。サーバ不正操作分析問い合わせサンプルファイルのファイル名は以下のとおりです。
分析する内容 | ファイル名 |
|---|---|
サーバのアクセス制御作業を分析する(1日) | CMGR_SVAccessCTLOperation_1Day.rne |
サーバのアクセス制御作業を分析する(1週間) | CMGR_SVAccessCTLOperation_1Week.rne |
サーバのアクセス制御作業を分析する(1ヶ月) | CMGR_SVAccessCTLOperation_1Month.rne |
サーバのアクセス分析する(1日) | CMGR_ServerAccess_1Day.rne |
サーバのアクセス分析する(1週間) | CMGR_ServerAccess_1Week.rne |
サーバのアクセス分析する(1ヶ月) | CMGR_ServerAccess_1Month.rne |
サーバの不正アクセスを分析する(1日) | CMGR_ServerIllegalAccess_1Day.rne |
サーバの不正アクセスを分析する(1週間) | CMGR_ServerIllegalAccess_1Week.rne |
サーバの不正アクセスを分析する(1ヶ月) | CMGR_ServerIllegalAccess_1Month.rne |
「サーバのアクセス分析する(1日)」を「c:\temp」にコピーする場合の例を以下に示します。
copy c:\Systemwalker\MPWALKER.DM\mpata\sample\total\CMGR_ServerAccess_1Day.rne c:\temp
[スタート]/[アプリ]-[Interstage Navigator Client]-[Navigator クライアント]を選択します。
→[Navigator クライアント]が起動されます。
[Navigator クライアント]から[ファイル]メニューの[開く]を選択します。
→[開く]ダイアログボックスが表示されます。
[開く]ダイアログボックスで、手順1.で任意のディレクトリコピーしたカスタマイズ用「サーバ操作のログ分析問い合わせファイル」を選択します。
→[サーバに接続]画面が表示されます。
[サーバに接続]画面において、Interstage Navigator Serverに接続するためのユーザ名とパスワード、Interstage Navigator Serverがインストールされた運用管理サーバのサーバ名を入力し、[OK]ボタンをクリックします。
→確認メッセージが表示されます。
問い合わせファイルをカスタマイズするので、[いいえ]ボタンをクリックします。
注意
ボタンの選択についての注意事項
[はい]ボタンをクリックすると、問い合わせファイルをカスタマイズできずに集計処理が実行されてしまいます。
→[レイアウトの指定]画面が表示されます。
[条件]欄に、問い合わせファイルの条件となる固有情報を設定します。固有情報は、各サーバ操作のログ分析問い合わせファイルによって異なります。各問い合わせファイルに登録されている条件と編集する項目は、“サーバ不正操作分析問い合わせサンプルファイルに登録されている条件”を参照してください。
初期状態ですでに固有情報が入力されている場合、固有情報を編集するときは、[条件]欄の該当項目を選択し、編集画面で内容を書き換えます。
固有情報を複数設定する場合は、[データ項目]から該当項目を追加します。
項目の追加を行った場合、[条件のAND/OR編集]画面の起動ボタンをクリックします。
→[条件のAND/OR編集]画面が表示されます。
追加した固有情報を、既存の固有情報と同様の条件構造に設定します。
設定した条件内容を一覧表示で確認します。
→[条件]画面が表示されます。
設定した情報に問題がない場合は、[閉じる]ボタンをクリックし、[レイアウトの指定]画面で[OK]ボタンをクリックします。
→[Navigator クライアント]画面が表示されます。
ここでは集計処理を実施しないので、[いいえ]ボタンをクリックします。(誤って[はい]ボタンをクリックした場合、集計が実行されてしまいます。)
→[Navigator クライアント]画面が表示されます。
[ファイル]メニューから[名前を付けて保存]を選択し、ファイルを保存します。
→サーバ操作のログ分析問い合わせファイルが、運用管理クライアント上のファイルとして作成されます。
例として、以下の場所に保存します。
フォルダ名: C:\temp
ファイル名: ServerCheck.rne
注意
問い合わせファイル名についての注意事項
問い合わせファイル名は集計レポート出力コマンドで使用するため、ASCII文字210文字以内またはシフトJIS文字105文字以内で指定してください。
[ファイル]メニューから[終了]を選択します。
サーバ不正操作分析問い合わせサンプルファイルに登録されている条件
それぞれの問い合わせファイルに登録されている条件と、編集が必要な項目は以下のとおりです。
サーバアクセス制御作業分析問い合わせサンプルファイル
サーバアクセス制御作業分析(1日/1週間/1ヶ月)問い合わせサンプルファイルには、初期値として以下の条件が登録されています。
期間対象が開始日から終了日までである。かつ、
ログ種別(ログファイル)がサーバアクセス制御ログである。かつ、
実行結果が成功または失敗である。
これらの条件のうち、「期間対象」は必要に応じて設定値を変更してください。
サーバアクセス制御アクセス分析問い合わせサンプルファイル
サーバアクセス制御アクセス分析(1日/1週間/1ヶ月)問い合わせサンプルファイルには、初期値として以下の条件が登録されています。
期間対象が開始日から終了日までである。かつ、
ログ種別(ログファイル)がサーバアクセス制御ログである。かつ、
拡張値4に以下のどれかが含まれている。
ログ取得
許可
拒否
これらの条件のうち、「期間対象」は必要に応じて設定値を変更してください。
サーバアクセス制御不正アクセス分析問い合わせサンプルファイル
サーバアクセス制御不正アクセス分析(1日/1週間/1ヶ月)問い合わせサンプルファイルには、初期値として以下の条件が登録されています。
期間対象が開始日から終了日までである。かつ、
ログ種別(ログファイル)がサーバアクセス制御ログである。かつ、
拡張値4が拒否である。
これらの条件のうち、「期間対象」は必要に応じて設定値を変更してください。
各条件の詳細は、“Systemwalker Centric Managerリファレンスマニュアル”で“サーバアクセス制御作業分析(1日/1週間/1ヶ月)問い合わせサンプルファイル”、“サーバアクセス分析(1日/1週間/1ヶ月)問い合わせサンプルファイル”、“サーバ不正アクセス分析(1日/1週間/1ヶ月)問い合わせサンプルファイル”を参照してください。
ポイント
「期間対象」以外を変更していない場合は、問い合わせサンプルファイルの動作確認をする必要はありません。
システムに対する不当な操作は、できるだけ早く発見しなければなりません。そのためには、監査ログの集計を毎日実施し、分析する必要があります。また、監査ログの収集・集計・分析作業によるサーバへの負荷を減らし、通常業務に支障をきたさないように、作業は夜間に行うことが必要です。
そのためには、運用管理サーバにおいて、OSに標準で提供されている「タスク」などのスケジューラ機能に、集計を実行するスケジュールを登録し、自動で作業できるようにする必要があります。
以下に、集計実行コマンドをスケジューラに登録する手順を示します。
運用管理クライアント上に保存した問い合わせファイルを運用管理サーバ上の下記ディレクトリへコピーします。
Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\data\total
運用管理サーバ上の任意のスケジューラ機能にmpatareportput(集計レポート出力コマンド)を、以下のように登録します。
Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportput SvcntlPolicy.rne svcntl_policy
→サーバ不正操作分析問い合わせサンプルファイルによる集計が、毎日実行されるようにスケジュールされます。
mpatareportput(集計レポート出力コマンド) はオプション指定により出力形式や出力ファイル名を変更することができます。mpatareportput(集計レポート出力コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。
運用
サーバ操作の監査ログを分析する場合、まず、ポリシーが改ざんされていないことを確認します。ポリシーに沿った操作が行われていても、そのポリシー自体が改ざんされていたり、不当だったりした場合、規則に則ったシステム運用が根底から覆されてしまいます。
ポリシーが妥当だと判断された場合は、そのポリシーに沿って、サーバ操作が正しく行われているかを確認します。以下の観点で、分析します。
システム異常に起因したサーバ操作の停止はないか
サーバに対する悪意のある操作はないか
不正なアクセスを繰り返した形跡はないか
分析結果によっては、特定のユーザや操作を追跡調査する必要もあります。
以下の観点で監査ログを分析します。
サーバへのアクセス状況を確認し、サーバアクセス制御のポリシー設定の妥当性を確認する
集計レポート結果から、ポリシー設定の妥当性を評価します。
本来、拒否すべき操作が許可されていないか
実行結果が「許可」となっている操作について、拒否すべき操作はないか
本来、許可すべき操作が拒否されていないか
実行結果が「拒否」となっている操作について、許可すべき操作はないか
それぞれを確認するための操作は以下のとおりです。
正規化ログを運用管理サーバからクライアントへコピーし、Excelで開きます。
“正規化されたログ項目”に示す項目について、以下の条件で監査ログを確認します。
日付および時刻: 集計結果から特定の件数以上の監査ログが存在する日付の0時0分0秒~23時59分59秒
ログ種別:CMGRSvacLog
操作種別:「コンソールログイン」、「ネットワーク」、「ファイル/ディレクトリハードリンク」、「ファイル/ディレクトリ作成操作」、「ファイル/ディレクトリ削除操作」、「ファイル/ディレクトリ書き込み操作」、「ファイル/ディレクトリ属性変更操作」、「ファイル/ディレクトリ読み取り操作」、「ファイル/ディレクトリ変名操作」、「プロセス起動」、「プロセス強制停止」、「レジストリ読み取り操作」「レジストリ書き込み操作」「レジストリ作成操作」「レジストリ削除操作」
操作者:集計結果から1件以上のアクセスの監査ログが存在する操作者名
実行ホスト:集計結果から1件以上のアクセスの監査ログが存在する実行ホスト名
実行結果:「許可」または「拒否」
確認結果をセキュリティ管理者へ通知します。
試行モードを利用している場合
試行モードで出力されたアクセス監査ログを抽出し、セキュリティ管理者に抽出結果を通知する場合は、以下の操作をします。
正規化ログを運用管理サーバからクライアントへコピーし、Excelで開きます。
“正規化されたログ項目”に示す項目について、以下の条件で監査ログを確認します。
日付および時刻:分析対象の期間
ログ種別:CMGRSvacLog
拡張値3:試行モード有効
確認結果をセキュリティ管理者に通知します。
サーバに対し、許可されていないユーザによる不正なアクセスが行われていないか
集計レポート結果から、不正なアクセス状況を確認します。
分析結果に集計件数が記載された行がない場合:サーバへの不正なアクセスはありません。
分析結果に集計件数が記載された行がある場合:サーバへの不正アクセスの可能性があります。
不当なユーザがサーバへアクセスした可能性がある場合、集計時間、実行ホスト名、ユーザ名、操作種別を確認します。
正規化ログを運用管理サーバからクライアントへコピーし、Excelで開きます。
“正規化されたログ項目”に示す項目について、以下の条件で監査ログを確認します。
日付および時刻:集計結果から特定の件数以上の監査ログが存在する日付の0時0分0秒~23時59分59秒
ログ種別:CMGRSvacLog
操作種別:「コンソールログイン」、「ネットワーク」、「ファイル/ディレクトリハードリンク」、「ファイル/ディレクトリ作成操作」、「ファイル/ディレクトリ削除操作」、「ファイル/ディレクトリ書き込み操作」、「ファイル/ディレクトリ属性変更操作」、「ファイル/ディレクトリ読み取り操作」、「ファイル/ディレクトリ変名操作」、「プロセス起動」、「プロセス強制停止」
拡張値4:拒否
操作者:集計結果から1件以上のアクセスの監査ログが存在する操作者名
実行ホスト:集計結果から1件以上のアクセスの監査ログが存在する実行ホスト名
確認結果をセキュリティ管理者へ通知します。
サーバアクセス制御に対し、不正な操作が行われていないか
出力されたCSVファイルを元に、以下の観点で分析結果を評価します。
操作が行われた日付を特定します。
集計内容の数字に着目します。0以外の値が存在している日にサーバアクセス制御に対する操作が行われています。
操作が行われた日付が妥当かどうかを確認します。
該当する日付にサーバアクセス制御に対する操作を行っていない場合は、「検索」機能を使用して追跡調査を行う必要があります。
不当なユーザによるサーバへのアクセスの可能性がある場合、集計時間、実行ホスト名、ユーザ名、操作種別を確認します。
正規化ログを運用管理サーバからクライアントへコピーし、Excelで開きます。
“正規化されたログ項目”に示す項目について、以下の条件で監査ログを確認します。
日付および時刻:集計結果から該当する操作の日付の0時0分0秒~23時59分59秒
ログ種別:CMGRSvacLogおよびCMGROpLog
操作者:集計結果から1件以上のアクセスの監査ログが存在する操作者名
実行ホスト:集計結果から1件以上のアクセスの監査ログが存在する実行ホスト名
操作種別:「システム保守開始コマンド」、「システム保守終了コマンド」、「システム保守承認コマンド」、「システム保守承認状況表示コマンド」、「ポリシー適用(アクセス制御設定)」、「swsvacpolin」、「swsvacpolout」、サーバアクセス制御設定時の画面タイトル名
確認結果をセキュリティ管理者へ通知します。
サーバ操作が正しく行われているか
サーバ操作状況を、出力ファイルの内容から判断します。
システム異常に起因したサーバ操作の停止はないか
サーバ操作に対する運用が正しく行われているかを、システム異常の観点から分析します。集計結果から、まず、[録画異常]と[監査ログ異常]に着目します。録画データや監査ログの出力失敗は、点検を行えなくなる恐れがあるため、注目が必要な項目です。システムに対するDoS(サービス拒否)攻撃やBruteForce(パスワード奪取のための総当たり)攻撃などが行われた場合に異常を示す場合があります。
システム異常を疑い、システムログやアプリケーションログなどを日付、発生元サーバをキーに確認します。
正規化ログを運用管理サーバからクライアントへコピーし、Excelで開きます。
“正規化されたログ項目”に示す項目について、以下の条件で監査ログを確認します。
実行ホスト:対象のホスト名
ログ種別:SolarisSyslog
問題箇所を特定します。
分析対象日以降、現在までに問題が解消されているかどうかを、部門責任者に確認します。
サーバに対する悪意のある操作はないか
システムに異常が発見された場合は、その原因がシステムへのセキュリティ攻撃であるかどうかを分析します。
集計結果の該当日のデータで、[実行権限のない操作]と[認証失敗]に着目します。特定の件数以上の監査ログが存在すると認められた場合、問題発生時刻の特定と操作者の特定を行います。
正規化ログを運用管理サーバからクライアントへコピーし、Excelで開きます。
“正規化されたログ項目”に示す項目について、以下の条件で監査ログを確認します。
日時および時刻:集計結果から該当する操作の日付の0時0分0秒~23時59分59秒
ログ種別:CMGRSVOpLog
実行結果:失敗
拡張値1:「実行権限のない操作」または「認証失敗」(集計結果から特定の件数以上の監査ログが存在する異常内容)
該当操作日の詳細情報を確認します。
同一人物による、繰り返し認証の失敗を確認した場合、または、実行権限のない操作を行っていることを確認した場合は、確認結果を部門責任者へ通知します。
部門責任者は、該当ユーザへの聞き取りを実施し、必要に応じて以下の対処を行います。
悪意ある第三者からの操作である場合、パスワードの変更などを実施し、問題を未然に防ぎます。
該当ユーザ自身の操作である場合は、操作内容と操作理由を確認します。利用権限の剥奪、または、必要な操作であったことが認められればサーバアクセス制御のポリシー変更をセキュリティ管理者へ依頼します。
部門責任者は、セキュリティ管理者からの情報に基づき、必要に応じて録画データの再生を行うことによって、詳細な操作内容を確認します。
不正なアクセスを繰り返した形跡はないか
システムに異常が発見されなかった場合でも、[実行権限のない操作]や[認証失敗]の項目が多いときは、システムに対する不正がないか分析する必要があります。なぜなら、[実行権限のない操作]や[認証失敗]の項目が多いときは、パスワードクラックなどの不正アクセスの恐れがあるからです。
以下に該当する場合、検索を実施し調査します。
操作が行われるはずのない日時に操作異常が報告されている場合
操作が行われる日でも、特出した(100件程度以上)集計結果がでている場合
“正規化されたログ項目”に示す項目について以下に着目し、該当操作日の詳細情報を確認します。
日付
時刻
実行ホスト
操作者
操作種別
操作内容
実行結果
追加情報
分析結果から特定のユーザや操作を追跡調査する
前日までの分析結果から、特定ユーザや、特定操作に[実行権限のない操作]または[認証失敗]が集中していることがわかった場合は、成功の点検結果も含めて操作の追跡を実施します。
この分析を行うためには、サンプルファイルのカスタマイズが必要です。
以下に手順を示します。
サーバ不正操作分析問い合わせサンプルファイルを開きます。
→[レイアウトの指定]画面が表示されます。
[データ]領域、[操作者]を選択し、右クリックで表示されるメニューから、[詳細指定]を選択します。
→[データ項目の詳細指定]画面が表示されます。
[条件設定]ボタンをクリックします。
→[条件の指定]画面が表示されます。
以下の項目を入力し、[OK]ボタンをクリックします。
[指定]、[NULL値を除くすべて]、[NULL値のみ]、[指定しない]のうち、[指定]をチェックします。
[一致指定]をチェックします。
[一致指定]タブから、[一致キー]に対象のユーザ名、[検索方法]に[一致するデータ]を指定します。
作成した問い合わせファイルは運用管理サーバへコピーし、対象ユーザの追跡調査用の問い合わせファイルとして定期的に集計を実行します。
集計手順は以下のとおりです。
mpatareportput(集計レポート出力コマンド)の引数として[サーバ不正操作分析問い合わせサンプルファイル]を指定して実行し、集計結果を取得します。
mpatareportput(集計レポート出力コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。
ポリシーの不正改変が行われた可能性がある場合は、詳細を調査する必要があります。
以下に手順を示します。
正規化ログを運用管理サーバからクライアントへコピーし、Excelで開きます。
“正規化されたログ項目”に示す項目について、以下の条件で監査ログを確認します。
日付および時刻:集計結果からポリシーの不正改変が行われた可能性がある日付の0時0分0秒~23時59分59秒
ログ種別:CMGRSVOpLog
操作種別:以下のうち、ポリシーの不正改変が行われた可能性のある操作種別を指定します。
ユーザ情報取得
ユーザ情報設定
ポリシー移出
ポリシー移入
以下の項目に着目し、該当操作日の詳細情報を確認します。
日付
時刻
実行ホスト
操作者
操作種別
追加情報
実行結果
詳細な調査結果を部門責任者へ通知します。部門責任者は、問題の有無を確認し対処します。また、点検結果はレポートの形式に出力します。
レポートを作成する
mpatareportput(集計レポート出力コマンド)で、出力形式をHTML形式(-O HTMLオプション指定)にした場合、以下の一般的なレポート形式で集計結果を出力することができます。mpatareportput(集計レポート出力コマンド)の詳細は、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。
mpatareportput(集計レポート出力コマンド)で出力したレポートには、分析結果を点検した担当者名や点検コメントは出力されません。
集計レポートに、点検した担当者名や点検コメントを追加する場合は、以下の手順が必要です。
監査ログをmpatareportput(集計レポート出力コマンド)を利用して集計し、結果を出力します。
運用管理サーバで、mpatareportput(集計レポート出力コマンド)に問い合わせファイルを指定して実行します。集計は、OSに標準で提供されている「タスク」などのスケジューラに登録して実行します。mpatareportput(集計レポート出力コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。
以下に、問い合わせファイル「CMGR_SVCTLOperation.rne」を使用して、UNIXサーバ不正操作分析の集計レポート「CMGR_SVCTLOperation」をデフォルトの出力ディレクトリ「Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\var\user\report」配下に出力するバッチファイルの例を示します。
Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\var\user\report\mpatareportput -O HTML CMGR_SVCTLOperation.rne CMGR_SVCTLOperation
集計レポートの結果が出力されたファイルをコピーします。
FTPコマンドなどを使用して、運用管理サーバに出力された集計レポート結果ファイル(上記の例の場合、Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\var\user\report\CMGR_SVCTLOperation_YYYYMMDD.html)を、運用管理クライアント上の任意のディレクトリにコピーします。本手順は必要に応じてスケジューラに登録してください。
点検担当者が集計レポートの結果出力ファイルを確認します。
レポートの点検担当者は、運用管理クライアント上にコピーされた集計レポートの結果出力ファイルをWebブラウザなどで開き、その内容を確認します。
集計レポートの結果出力ファイルへ点検コメントを追加します。
運用管理クライアントで、mpatareportcomment(集計レポートコメント追加コマンド)を実行します。mpatareportcomment(集計レポートコメント追加コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。
以下に、コマンドの実行例と、コメントを追加した集計レポートの出力例を示します。
Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportcomment -U 佐藤 -C "異常操作は監査ログ出力確認のためであり、問題ありません。" C:\temp\CMGR_SVCTLOperation_20061001.html C:\temp\CMGR_SVCTLOperation_20061101_CHECK.html
