監査ログ管理機能で収集するログファイルの種類を説明します。監査ログ管理機能は、OSや製品が出力するテキストログで、日時の形式が一定のものについて収集可能です。また、バイナリデータのログ収集も可能です。
代表的なログファイルを以下に示します。以下のファイルのほか、収集規約に従った形式であれば、収集可能です。収集規約については、“監査ログ管理の収集規約”を参照してください。
代表的なログファイルの一覧
監査ログ管理機能が収集可能なファイルの例を以下に示します。
Windows イベントログ
以下のイベントログの収集が可能です。
アプリケーション
セキュリティ
システム
DNS Server
Directory Service
ファイル複製サービス
DFS レプリケーション
ハードウェア イベント
転送された イベント
Hyper-V Server イベントログ
UNIX OSのログ
シスログ
/var/adm/loginlog・・・・・Solarisのみ
suログ(/var/adm/sulog)・・・Solaris、HP-UX、AIXのみ
GSシステムのログ
アクセス(RACF)ログ
業務(AIM)ログ
Windows Internet Information Service(IIS) ログ
NCSA 共通ログ ファイル形式
Microsoft IIS ログ ファイル形式
W3C拡張形式
Apache
アクセスログ NCSA形式(初期形式)
エラーログ
Systemwalker Centric Managerのログ
opacmdrev(リモートコマンド検索コマンド)で出力したテキストログ
Systemwalkerコンソールの監査ログ
サーバアクセス制御の監査ログ
Systemwalker Desktop Keeperのバックアップコマンドによるクライアント操作ログ
ETERNUS NR1000F seriesイベントログ
テキストログ
監査ログ管理機能の収集規約に合致しているものについて収集可能です。
バイナリファイルのログ
バイナリファイルのログ収集は、V13.2.0以降の運用管理サーバ、被管理サーバまたは中継サーバが必要です。
Systemwalker Operation Manager操作ログ
注意
Windows イベントログ収集、およびWindows Internet Information Service(IIS) ログについての注意事項
Windows イベントログ収集時の注意事項
イベントログ収集の際、以下の状態になっているイベントログメッセージは「なし」として収集します。
イベントログのメッセージテキストの取得に失敗した場合
例)
イベントログを出力したアプリケーションがアンインストールなどで収集対象のシステムに存在しない、またはシステムの状態によりメッセージが取得できない状態になっている。
イベントログ(セキュリティ)について
セキュリティ監査ポリシーの設定により、イベントログ(セキュリティ)のイベントログ出力量はかなりの量となり、システム監視やシステムにも影響を与える恐れがあります。
運用を含め、適切にセキュリティ監査ポリシーを設定し、ログ出力量の絞り込みをしてください。
カスタムイベントログについて
ログ収集定義を行うことで、以下のイベントログを収集することができます。
Internet Explorer
Key Management Service
Media Center
Virtual Server
アプリケーションのインストール、またはユーザ作成のアプリケーションの追加により、追加されたイベントログ
ログ収集定義については、“カスタムイベントログを収集するための設定”を参照してください。
Windows Internet Information Service(IIS) ログについて
W3C拡張形式のログを収集する際の注意事項を以下に示します。
収集を行うために
拡張プロパティの設定(注)で「日付」の追加出力指定が必要となります。「日付」の出力設定を追加しないと収集できません。
注)
「拡張プロパティの設定」については、OSのヘルプを参照してください。
時間表示について
W3C拡張形式の時間は、GMT時間表示となっています(IISの仕様となっているため変更不可)。ほかのログファイルと比較した場合、ローカル時間分ずれた時間の表示となります。
null文字を含むログを収集する場合の注意事項
null文字を含むログを収集する場合は、テキストログではなく、バイナリログとして収集してください。
