10.2 監査ログ管理でログを収集するために

監査ログ管理機能の収集規約について説明します。

監査ログ管理の収集規約

監査ログ管理機能が対応している日付と時間の対応形式を以下に示します。

対応形式

監査ログ管理機能が対応している日付形式、時間形式を以下の表に示します。以下の表の日付、時間を組み合わせることで、監査ログ管理機能による収集が可能となります。以下の表に書かれていない形式はテキストログファイルとして収集はできません。そのため、バイナリファイルとして収集してください。

ユーザがカスタマイズした形式については、“ユーザがカスタマイズした日付、時間に指定できる形式”を参照してください。

対応している日付形式

本機能での日付名称	説明	例	補足
DATEFMT1	YYYY/MM/DD	本機能のエクスポート形式 IISのIIS形式	YYYY：西暦年(～2038) YY：西暦年下2桁(～38) MM：月2桁(01～12) DD：日2桁(01～31) MON：月3文字(「Jan」～「Dec」) 文字は英語の先頭3文字 TIMEFMT1：時間(下記時間形式を参照)
DATEFMT2	YYYY-MM-DD	IISのW3C拡張形式
DATEFMT3	MM/DD/YYYY	-
DATEFMT4	DD/MON/YYYY	IIS、ApacheのNCSA形式
DATEFMT5	DD-MON-YYYY	ORACLEのLISTENERログ形式
DATEFMT6	MON DD TIMEFMT1 YYYY	Apacheのエラーログ形式
DATEFMT7	MON DD TIMEFMT1	UNIX シスログ形式
DATEFMT8	YYYYMMDD	-
DATEFMT9	YY/MM/DD	-
DATEFMT10	MM/DD	UNIX suコマンドログ形式
DATEFMT11	DD MON YYYY	-
DATEFMT12	MM/DD/YY	-
DATEFMT99	ユーザがカスタマイズした形式

対応している時間形式

本機能での日付名称	説明	補足
TIMEFMT1	HH:MM:SS	HH：時(0～23)または(00～23) MM：分(00～59) SS：秒(00～59) sss：ミリ秒(000～999)
TIMEFMT2	HH:MM:SS.sss
TIMEFMT3	HHMMSS
TIMEFMT4	HH:MM
TIMEFMT99	ユーザがカスタマイズした形式

日付書式定義ファイルについて

監査ログ管理機能が収集の際に使用する「日付書式定義ファイル」を説明します。

監査ログ管理機能は、日付書式定義ファイルと収集対象のログファイルとを対応させ収集を行っています。監査ログ管理機能がサンプルとして用意している、日付書式定義ファイルを以下の表に示します。

日付書式定義ファイルの場所

Windows	Systemwalkerインストールディレクトリ\MPWALKER.DM\mpatm\fmt
UNIX	/etc/opt/FJSVmpatm/fmt

日付書式定義ファイル

ファイル名	説明
mpatmevt.fmt	本機能のエクスポート形式(イベントログ用)
mpatmdtk.fmt	本機能のエクスポート形式(Systemwalker Desktop Keeperログ用)
mpatmiisw3c.fmt	IISのW3C拡張形式
mpatmiis.fmt	IISのIIS形式
mpatmncsa.fmt	IIS、ApacheのNCSA形式
mpatmoralistener.fmt	ORACLEのLISTENERログ形式
mpatmapaerr.fmt	Apacheのエラーログ形式
mpatmunixsyslog.fmt	UNIXのシステムログ形式
mpatmcmgrrev.fmt	opacmdrev(Systemwalker Centric Managerの検索コマンド)の出力形式
mpatmsolarissu.fmt	Solaris suログ形式
mpatmsolarisloginlog.fmt	Solaris loginlog(/var/adm/loginlog)形式
mpatmcmgroplog.fmt	Systemwalkerコンソールの監査ログ、またはSystemwalker Centric Managerのサーバアクセス制御の監査ログ形式
mpatmsavelog.fmt	格納ディレクトリ配下のテキストログ形式
mpatmgsracflog.fmt	GSシステムのアクセス(RACF)ログ
mpatmgsaimlog.fmt	GSシステムの業務(AIM)ログ

日付書式定義ファイルの内容

[FORMAT]
TOKEN_WORD=
DATE_FORMAT=DATEFMT99
DATE_TOKEN_POSIT=
DATE_WORD_POSIT=
TIME_FORMAT=TIMEFMT99
TIME_TOKEN_POSIT=
TIME_WORD_POSIT=
[USR_FMT1]
USR_FORMAT=%yyyy%
USR_TOKEN_POSIT=0
USR_WORD_POSIT=0
[USR_FMT2]
USR_FORMAT=%MM%
USR_TOKEN_POSIT=1
USR_WORD_POSIT=0
[USR_FMT3]
USR_FORMAT=%DD%
USR_TOKEN_POSIT=4
USR_WORD_POSIT=0

・・・

日付書式定義ファイルで指定する情報

セクション/キー	説明
FORMAT	日付書式セクション
TOKEN_WORD	ログレコード内のデータ種を区別するためのトークン区別文字TAB、BLANK、COMMA、BRACKETのどれかを指定します。 TAB：タブ、BLANK：空白、COMMA：カンマ(「,」)、BRACKET：括弧(「[]」)
DATE_FORMAT	日付形式を指定します。 DATEFMT1～DATEFMT12のどれかを指定します。ユーザが指定した日付形式を指定する場合は、DATEFMT99を指定します。
DATE_TOKEN_POSIT	トークン文字で区切られたトークンのうち、どのトークンに日付情報が含まれているかを指定します。位置は0以上の数字を指定します。トークン文字がログレコードの先頭にあり、かつ先頭のトークンの直後に日付情報がある場合は、1を指定します。Apacheのエラーログ形式を参考にしてください。
DATE_WORD_POSIT	日付が存在するトークン内の何文字目から日付データが始まるかを指定します。検索位置は0以上の数字を指定します。
TIME_FORMAT	時間形式を指定します。 TIMEFMT1～TIMEFMT4のどれかを指定します。ユーザが指定した時間形式を指定する場合は、TIMEFMT99を指定します。
TIME_TOKEN_POSIT	トークン文字で区切られたトークンのうち、どのトークンに時間情報が含まれているかを指定します。位置は0以上の数字を指定します。トークン文字がログレコードの先頭にあり、かつ先頭のトークンの直後に時間情報がある場合は、1を指定します。Apacheのエラーログ形式を参考にしてください。
TIME_WORD_POSIT	時間が存在するトークン内の何文字目から日付データが始まるかを指定します。検索位置は0以上の数字を指定します。
USR_FMTn	ユーザ指定形式セクション [USR_FMT1]～[USR_FMT7]まで指定できます。
USR_FORMAT	ユーザ指定の形式を指定します。 DATEFMT99、またはTIMEFMT99を指定した場合だけ有効です。最大80文字まで設定できます。例) %yyyy%、%YYYY%/%MM%/%DD%,%hour%、%a%:%hh%:%min%:%sec%、%UNIX%
USR_TOKEN_POSIT	トークン文字で区切られたトークンのうち、どのトークンにUSR_FORMATで指定した情報が含まれているかを指定します。 DATEFMT99もしくは、TIMEFMT99を指定した場合のみ有効です。位置は0以上の数字を指定します。
USR_WORD_POSIT	USR_FORMAT_POSITで指定したトークンの、何文字目から日付データが始まるかを指定します。途中でトークン文字を含む場合でも指定できます。 DATEFMT99、またはTIMEFMT99を指定した場合だけ有効です。検索位置は0以上の数字を指定します。

ユーザがカスタマイズした日付、時間に指定できる形式は、次のとおりです。内容に応じた指定を行います。指定方法については、“サンプル例2”を参照してください。

ユーザがカスタマイズした日付、時間に指定できる形式

形式	内容	形式	備考
西暦年	1970～2038	%yyyy%
西暦年	00～99	%yy%
月	01～12	%mm%
	1～12	%MM%	先頭に0なし
	Jan～Dec	%mon%
	January～December	%MON%
日	01～31	%dd%
日	1～31	%DD%	先頭に0なし
時間	「am」、「pm」	%a%
時間	「AM」、「PM」	%A%
時	01～12	%hh%	12時間単位
	1～12	%HH%	12時間単位(先頭に0なし)
	00～23	%hour%	24時間単位
	0～23	%HOUR%	24時間単位(先頭に0なし)
分	00～59	%min%
分	0～59	%MIN%
秒	00～59	%sec%
	0～59	%SEC%	先頭に0なし
	1970/1/1からの通算秒	%UNIX%

注意事項

USR_FORMATには、年月日時分秒を重複して指定することはできません。
DATEFMT99を指定した場合、DATE_TOKEN_POSITとDATE_WORD_POSITを無視します。
TIMEFMT99を指定した場合、TIME_TOKEN_POSITとTIME_WORD_POSITを無視します。
日付形式（DATEFMT1～DATEFMT12）とTIMEFMT99、時間形式(TIMEFMT1～TIMEFMT4)とDATEFMT99を組み合わせて指定することも可能です。ただし、年月日時分秒を重複して指定することはできません。
%UNIX%を指定する場合は、DATE_FORMATにDATEFMT99、TIME_FORMATにTIMEFMT99を指定してください。

初回ログ収集の結果を確認する

指定した形式が正しく指定できていると判断できる条件は、以下のとおりです。

ログデータが日付ごとのファイルに、正しい日付で分割されている場合

指定した形式が正しく指定できていないと判断できる条件は、以下のとおりです。

ログデータが複数の日数に存在するにもかかわらず、収集された日付ファイルが、収集当日のログファイルのみしか存在しない場合
ログデータが複数の日数に存在するにもかかわらず、日付ごとに分割されてはいるが、ファイル名の日付とデータが一致しない場合
ログデータが複数の日数が存在するにもかかわらず、「mpatm: 情報: 124」メッセージ（収集対象のログがありませんでした。）が出力された場合

誤って異なる日付形式を指定してログ収集を行った場合も、監査ログ管理はログファイル情報を格納します。そのため、正しい形式に修正し、再度ログ収集を行っても一度読み込んだログファイル情報が格納されているため、日付形式が誤っているときに読み込んだログデータは収集されません。その際は、形式を修正したログ識別名に対してmpatmdelap(ログ情報削除コマンド)を実施し、ログの管理情報を削除してからログ収集してください。mpatmdelap（ログ情報削除コマンド）の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。

テキストログを収集する

監査ログ管理機能では、テキストログ中にあるログレコード内の日時をキーに、データの抽出/収集を行います。日付・時間を出力しているデータは、ログレコード内に複数存在している可能性もあります。

そのため、日付・時間データがログレコード内のどの位置に存在しているかを収集処理内で認識させ、監査ログ管理機能で対応している日付・時間形式であれば収集可能となります。監査ログ管理機能は、日付・時間データの位置を「日付書式定義ファイル」という形で持っています。

定期的にログが上書きされる単一ファイルを収集する場合、ログが上書きされる前にログ収集する運用にしてください。

複数ファイルを収集する

監査ログ管理機能は、ワイルドカード(*、?) の指定により、複数生成されているログファイルの収集も可能です。

収集可能なログファイルの例を以下に示します。

サイクリック運用しているもの
例)
C:\AppLog\log_*
ファイル数が固定で定期的にログが上書きされる複数ファイルを収集する場合、最古のログファイルが上書き、破棄される前に、ログ収集する運用にしてください。
カレントのログファイルが固定でローテーションにより番号が増えていくもの
例)
C:\AppLog\messages* C:\AppLog\Applog*
日によってファイルが作成されるもの
例)
C:\AppLog\log_*

収集対象かどうか確認する

ログを収集する際に確認すべき点を以下に示します。

サンプル例1

収集対象のログファイルのログレコードと、日付書式定義ファイルの定義例を以下に示します。新たに日付書式定義ファイルを作成する場合は、下記例を参考に作成してください。ファイル名、ファイルの拡張子、ファイル作成場所に関しては任意ですが、テキストファイルで作成する必要があります。

以下の場合、正常にログ収集が行われない場合があります。サンプル例、日付書式定義ファイルの指定する内容を確認の上、作成してください。

ログレコード内の日時の書式が、監査ログ管理機能が対応している日付形式/時間形式と異なる場合
ログレコード内の日時の書式と、日付書式定義ファイルの書式が異なる場合

サンプルで使用している用語を説明します。

用語	説明
時間トークン	ログレコード内のトークン文字で区切られた時間データを含むトークン
日付トークン	ログレコード内のトークン文字で区切られた日付データを含むトークン
時間検索位置	ログレコード内の時間トークンの先頭から時間データが記述されるまでの文字数
日付検索位置	ログレコード内の日付トークンの先頭から日付データが記述されるまでの文字数

例)
本機能のエクスポート形式（イベントログから抽出したテキスト形式のログファイルの場合）

ファイル名：mpatmevt.fmt

指定する情報	指定値
トークン区別文字	COMMA
日付フォーマット	DATEFMT1
日付トークン位置	0
トークン内の日付検索位置	0
時間フォーマット	TIMEFMT1
時間トークン位置	0
トークン内の時間検索位置	11

例)
IISのW3C形式

ファイル名：mpatmiisw3c.fmt

指定する情報	指定値
トークン区別文字	BLANK
日付フォーマット	DATEFMT2
日付トークン位置	0
トークン内の日付検索位置	0
時間フォーマット	TIMEFMT1
時間トークン位置	1
トークン内の時間検索位置	0

例)
IISのIIS形式

ファイル名：mpatmiis.fmt

指定する情報	指定値
トークン区別文字	COMMA
日付フォーマット	DATEFMT1
日付トークン位置	2
トークン内の日付検索位置	1
時間フォーマット	TIMEFMT1
時間トークン位置	3
トークン内の時間検索位置	1

例)
IIS、ApacheのNCSA形式

ファイル名：mpatmncsa.fmt

指定する情報	指定値
トークン区別文字	BRACKET
日付フォーマット	DATEFMT4
日付トークン位置	1
トークン内の日付検索位置	0
時間フォーマット	TIMEFMT1
時間トークン位置	1
トークン内の時間検索位置	12

例)
Apacheのエラーログ形式

ファイル名：mpatmapaerr.fmt

指定する情報	指定値
トークン区別文字	BRACKET
日付フォーマット	DATEFMT6
日付トークン位置	1
トークン内の日付検索位置	4
時間フォーマット	TIMEFMT1
時間トークン位置	1
トークン内の時間検索位置	11

例)
UNIXシスログ形式

ファイル名：mpatmunixsyslog.fmt

指定する情報	指定値
トークン区別文字	COMMA
日付フォーマット	DATEFMT7
日付トークン位置	0
トークン内の日付検索位置	0
時間フォーマット	TIMEFMT1
時間トークン位置	0
トークン内の時間検索位置	7

例)
Systemwalker Desktop Keeperバックアップコマンドにより出力されたログの形式

ファイル名：mpatmdtk.fmt

指定する情報	指定値
トークン区別文字	COMMA
日付フォーマット	DATEFMT1
日付トークン位置	1
トークン内の日付検索位置	1
時間フォーマット	TIMEFMT1
時間トークン位置	1
トークン内の時間検索位置	12

例)
ORACLE LISTENERログ形式

ファイル名：mpatmoralistener.fmt

指定する情報	指定値
トークン区別文字	BLANK
日付フォーマット	DATEFMT5
日付トークン位置	0
トークン内の日付検索位置	0
時間フォーマット	TIMEFMT1
時間トークン位置	1
トークン内の時間検索位置	0

例)
SUログ形式

ファイル名：mpatmsolarissu.fmt

指定する情報	指定値
トークン区別文字	BLANK
日付フォーマット	DATEFMT10
日付トークン位置	1
トークン内の日付検索位置	0
時間フォーマット	TIMEFMT4
時間トークン位置	2
トークン内の時間検索位置	0

例)
/var/adm/loginlog の形式

ファイル名：mpatmsolarisloginlog.fmt

指定する情報	指定値
トークン区別文字	BLANK
日付フォーマット	DATEFMT6
日付トークン位置	1
トークン内の日付検索位置	0
時間フォーマット	TIMEFMT1
時間トークン位置	1
トークン内の時間検索位置	7

サンプル例2

監査ログ管理が標準提供している日付形式、時間形式以外について、ユーザがカスタマイズした形式を指定する場合、日付書式定義ファイル内の「DATE_FORMAT=DATEFMT99」や「TIME_FORMAT=TIMEFMT99」を指定します。この場合、USR_FMTセクション(USR_FORMAT/USR_TOKEN_POSIT/USR_WORD_POSIT)を追記し、ユーザがカスタマイズした形式を記述します。

日付書式定義ファイル設定例は、以下のとおりです。

月と年の間の文字が、月により変更するログの場合。(日月＋年＋時分秒＋DATA)

日付書式定義ファイル

[日付形式]

カスタマイズ指定します(DATE_FORMAT=DATEFMT99)。「日-月」は先頭のTOKENの先頭から始まっているので、USR_TOKEN_POSIT=0/ USR_WORD_POSIT=0を設定します。「年」は先頭のTOKENから8文字目から始まるため、USR_TOKEN_POSIT=0/ USR_WORD_POSIT=8を設定します。先頭のTOKENからの文字数を設定することで、月と年の間の文字数が変更されるログに対応できます。

[時間形式]

時間形式TIMEFMT1と一致するため、TIME_FORMATに指定します。先頭のTOKENから13文字目から始まるため、TIME_TOKEN_POSIT=0/TIME_WORD_POSIT=13を設定します。先頭のTOKENからの文字数を設定することで、月と年の間の文字数が変更されるログに対応できます。

[FORMAT]
TOKEN_WORD=BLANK
DATE_FORMAT=DATEFMT99
DATE_TOKEN_POSIT=
DATE_WORD_POSIT=
TIME_FORMAT=TIMEFMT1
TIME_TOKEN_POSIT=0
TIME_WORD_POSIT=13
[USR_FMT1]
USR_FORMAT=%dd%-%MM%
USR_TOKEN_POSIT=0
USR_WORD_POSIT=0
[USR_FMT2]
USR_FORMAT=%yyyy%
USR_TOKEN_POSIT=0
USR_WORD_POSIT=8

年月と日が分けられているログの場合。(年月＋DATA＋日＋DATA＋時分秒)

日付書式定義ファイル

[FORMAT]
TOKEN_WORD=COMMA
DATE_FORMAT=DATEFMT99
DATE_TOKEN_POSIT=
DATE_WORD_POSIT=
TIME_FORMAT=TIMEFMT1
TIME_TOKEN_POSIT=3
TIME_WORD_POSIT=0
[USR_FMT1]
USR_FORMAT=%yy%/%mm%
USR_TOKEN_POSIT=0
USR_WORD_POSIT=0
[USR_FMT2]
USR_FORMAT=%dd%
USR_TOKEN_POSIT=2
USR_WORD_POSIT=0

1970/1/1からの通算秒を出力しているログの場合。(通算秒＋DATA)
1157084161 data…
- 日付書式定義ファイル
  [FORMAT]
  TOKEN_WORD=BLANK
  DATE_FORMAT=DATEFMT99
  DATE_TOKEN_POSIT=
  DATE_WORD_POSIT=
  TIME_FORMAT=TIMEFMT99
  TIME_TOKEN_POSIT=
  TIME_WORD_POSIT=
  [USR_FMT1]
  USR_FORMAT=%UNIX%
  USR_TOKEN_POSIT=0
  USR_WORD_POSIT=0

トークン区別文字がBRACKETを使用しているログの場合

BRACKETの「[」と「]」で1つずつと数えます。

日付書式定義ファイル

[FORMAT]
TOKEN_WORD=BRACKET
DATE_FORMAT=DATEFMT99
DATE_TOKEN_POSIT=
DATE_WORD_POSIT=
TIME_FORMAT=TIMEFMT99
TIME_TOKEN_POSIT=
TIME_WORD_POSIT=
[USR_FMT1]
USR_FORMAT=%yyyy%
USR_TOKEN_POSIT=1
USR_WORD_POSIT=0
[USR_FMT2]
USR_FORMAT=%mm%
USR_TOKEN_POSIT=1
USR_WORD_POSIT=6
[USR_FMT3]
USR_FORMAT=%dd%
USR_TOKEN_POSIT=1
USR_WORD_POSIT=10
[USR_FMT4]
USR_FORMAT=%hour%
USR_TOKEN_POSIT=3
USR_WORD_POSIT=0
[USR_FMT5]
USR_FORMAT=%min%
USR_TOKEN_POSIT=3
USR_WORD_POSIT=4
[USR_FMT6]
USR_FORMAT=%sec%
USR_TOKEN_POSIT=3
USR_WORD_POSIT=8