サーバアクセス制御の設定を、セキュリティポリシーとして管理対象サーバへ配付することで、アクセス監査ログが自動的に保護(アクセス制御)されるようになります。
ポリシーが配付される前の状態では、アクセス監査ログは保護されません。
ポリシーを配付するには、管理対象サーバに対して以下の設定を行います。
セキュリティ管理者がポリシーグループを作成する。
システム管理者がポリシーを配付する。
それぞれの設定手順については、“ポリシーグループを作成する”、および“ポリシーを配付する”を参照してください。
サーバアクセス制御の設定が管理対象サーバに配付された後は、以下のファイルが自動的に保護(強制アクセス制御)されます。
アクセス監査ログ(初期設定では、Linux版は/var/opt/FJSVsvac/audit以下のファイル、Windows版はSystemwalkerインストールディレクトリ\MPWALKER.DM\mpsvac\var\audit)
サーバアクセス制御定義ファイル(Linux版は/etc/opt/FJSVsvac以下のファイル/ディレクトリ、Windows版はSystemwalkerインストールディレクトリ\MPWALKER.DM\mpsvac\etc以下のファイル/ディレクトリ)
これらのファイル、またはディレクトリへアクセスされた場合、アクセス監査ログにアクセス違反であることが出力されます。出力される監査ログについては、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
ポイント
[監査ログ出力]の出力先を変更したポリシーグループを配付する場合、[セキュリティ管理者]、[セキュリティ監査者]、[アクセス制御]、[録画設定]のポリシー更新のログ内容が、[監査ログ出力]の変更前の出力先、変更後の出力先に分散する場合があります。ログ内容の分散を防ぐためには、[監査ログ出力]のみを変更したポリシーグループを配付した後、他のポリシーを変更したポリシーグループを配付してください。
また、ポリシーグループを一度も配付していない場合、[監査ログ出力]の出力先と保存日数は初期設定として動作します。
ポリシーの配付対象のサーバがWindows Server 2003の場合、かつ、そのサーバがそれまでに一度もポリシーグループが配付されていない環境の場合、[コンソールログイン]のアクセス制御・監査ログ出力するためにはシステムの再起動が必要です。[コンソールログイン]を制御する場合は、システムの再起動をしてください。
部門管理サーバ、および業務サーバが、x64プラットフォームに32bit版をインストールした環境の場合、これらのサーバへのポリシー配付はサポートしていません。配付を行った場合は、「適用エラー」となります。
