被監視システムのログを運用管理サーバに収集し、監査ログを管理/分析する運用について説明します。
各システム上にある自動化機能、OSのスケジュール機能、スケジュール製品の使用により、自動運用によるログ収集が可能です。
また、被監視システム上での処理結果出力メッセージ、ログ収集の処理結果出力メッセージを監視することで、ログ出力処理の異常監視、処理の再開などのアクションも可能となります。
被監視システムのログを出力し運用管理サーバへ転送する
被監視システムの自動化・省力化機能のAOF(Advanced Operation Facility:MSP)、SCF(System Control Facility:XSP)を利用し、被監視システム上へ出力したログ(RACF/AIM)を運用管理サーバに転送します。
被監視システム上で行う作業を以下に示します。
以下に、それぞれの作業について説明します。
それぞれの作業は、OP(Operation Procedure)/SCFを使い自動運用します。被監視システムの監査ログの採取は定期的に実施してください。
1)ファイルの切り替え/交替
OS上で管理しているファイルの切り替え/交替を行います。
RACF(アクセスログ)の場合
以下のコンソールコマンドを使用します。
【MSP】
SWITCH SMF コマンド
OPを使い、上記のコマンドを発行してください。
コマンドが正しく終了したことを確認するために、OPで以下のメッセージを待ち合わせてください。
MSP: JDE362A(切り替え元のデータセット名出力)、および
JDE688I(SMFデータセットの切り替え処理が完了)
SWITCHコマンドの詳細は、“OSIV/MSP コンソールコマンド文法書 AFII”を参照してください。
【XSP】
FDUMP DA,SW,FILE=file名 コマンド
SCFを使い、上記のコマンドを発行してください。
コマンドが正しく終了したことを確認するために、SCFで以下のメッセージを待ち合わせてください。
XSP: XDM1631I(FDUMP指令が正常に終了)
FDUMP指令(システム管理ロギングファイルの磁気テープまたは直接アクセスボリュームへの掃き出し)の詳細は、“OSIV/XSP 操作手引書 AFII”を参照してください。
AIM(業務ログ)の場合
以下のコンソールコマンドを使用します。
SWITCH HLF コマンド
OP/SCFを使い、上記のコマンドを発行してください。
コマンドが正しく終了したことを確認するために、OP/SCFで以下のメッセージを待ち合わせてください。
JXAG04I
SWITCH [HLF]コマンド(HLFファイルの交替)の詳細は、“OS IV AIM操作コマンド文法書”を参照してください。
2)出力ファイルへの抽出
CSV出力ユーティリティを使い、RACF(アクセスログ)、AIM(業務ログ)の情報を抽出します。
RACF(アクセスログ)を抽出の場合
以下のユーティリティを実行し、RACFログを抽出します。
【MSP】
KDKSMFDP ユーティリティ
SMFダンプデータセットの作成処理
OPを使い、KDKSMFDP ユーティリティを動作させてください。(注1)
KDKSMFDP ユーティリティの復帰値が「0」の場合が正常終了です。(注2)
KDSARCSV ユーティリティ
CSV出力処理
OPを使い、手順1.で作成したSMFダンプデータセットを入力として、KDSARCSV ユーティリティを動作させてください。(注1)
KDSARCSV ユーティリティの復帰値が「0」の場合が正常終了です。(注2)
OPを使い、ユーティリティを動作させる方法について、以下に例を示します。
順データセットの複写・編集ユーティリティ(JSDGENER)でユーティリティのJCL(Job Control Language)をインタナルリーダ(INTRDR)に複写するバッチジョブを作成します。
上記のJSDGENERのバッチジョブをスターテッドタスクジョブ(STCジョブ)で動作できるように修正し、プロシジャライブラリに格納します。
OPでSTARTコマンドを発行することで、上記のステーテッドタスクジョブを起動します。
OPを使い、ユーティリティが正常終了したかどうかを判定する方法について、以下に示します。
以下のメッセージを使い、OPを作成してください。
ユーティリティが正常に終了した場合には「KDS401I」のメッセージが出力されます。正常に終了していない場合は、「KDS402E」が出力されます。
【XSP】
FDUMP コマンド
SMFファイルの作成処理
SCFを使い、上記のコマンドを発行してください。
KDSARCSV ユーティリティ
CSV出力処理
SCFを使い、手順1.で退避したSMFファイルを入力として、KDSARCSV ユーティリティを動作させてください。(注3)
KDSARCSV ユーティリティの正常終了は、「KDS401I」のメッセージで確認します。(注4)
SCFを使い、ユーティリティを動作させる方法について、以下に例を示します。
SCFで「:STACK指令」(システム入力制御プログラムの発生)を発行することで、ユーティリティを動作させます。
SCFを使い、ユーティリティが正常終了したかどうかを判定する方法について、以下に示します。
以下のメッセージを使い、SCFを作成してください。
ユーティリティが正常に終了した場合には「KDS401I」のメッセージが出力されます。正常に終了していない場合は、「KDS402E」が出力されます。
KDKSMFDPプログラム(SMFダンプデータセットの複写とSMFデータセットのクリア)の詳細は、“OSIV/MSP SMF説明書 AFII”を参照してください。
FDUMP指令(システム管理ロギングファイルの磁気テープ又は直接アクセスボリュームへの掃き出し)の詳細は、“OSIV/MSP 操作手引書 AFII”を参照してください。
KDSARCSV ユーティリティ(SMFレコードのCSV変換)の詳細は、“OS IV/MSP RACFユーティリティ使用手引書”、“OSIV/XSP RACF運用手引書”を参照してください。
JSDGENER ユーティリティ(順データセットの複写・編集ユーティリティ)の詳細は、“OS IV/MSP データセットユーティリティ使用手引書 AFII”を参照してください。
インタナルリーダ(INTRDR)、スターテッドタスクジョブ(STCジョブ)、プロシジャライブラリの詳細は、“OS IV/MSP 運用手引書 JES編 AFII”を参照してください。
:STACK 指令(システム入力制御プログラムの発生)の詳細は、“OS IV/XSP 操作手引書 AFII”を参照してください。
AIM(業務ログ)を抽出する場合
以下のユーティリティを実行し、AIMログを抽出します。
JXALEDIT ユーティリティ
イメージコピーの取得
JXALEDIT ユーティリティ
ログ出力処理(分類機能)
上記2つのユーティリティの動作方法、復帰値は、以下を参照してください。
【MSP】
OPを使い、JXALEDIT ユーティリティを動作させてください。(注)
JXALEDITユーティリティが終了した場合は、「JXA237I」のメッセージが出力され、正常終了の場合は、メッセージ内の「RCODE=nn」欄に「RCODE=00」と出力されます。
「JXA237I」はJXALEDITユーティリティの終了メッセージであり、ユーティリティ実行制御文のUIDパラメタに1.または2.の処理を区別できるよう、UIDパラメタ値の設定が必要です。
詳細については、“RACF(アクセスログ)を抽出の場合”の“注1)”を参照してください。
【XSP】
SCFを使い、JXALEDIT ユーティリティを動作させてください。(注)
JXALEDITユーティリティが終了した場合は、「JXA237I」のメッセージが出力され、正常終了の場合は、メッセージ内の「RCODE=nn」欄に「RCODE=10」と出力されます。
「JXA237I」はJXALEDITユーティリティの終了メッセージであり、ユーティリティ実行制御文のUIDパラメタに1.または2.の処理を区別できるよう、UIDパラメタ値の設定が必要です。
詳細については、“RACF(アクセスログ)を抽出の場合”の“注3)”を参照してください。
JXALEDITユーティリティ(履歴ログデータの編集)の詳細は、MSPとXSPの場合共に“AIM操作手引書” 、“AIMユーティリティ使用手引書”を参照してください。
3)ファイル転送の実施
運用管理サーバ上のあらかじめ指定した転送先ディレクトリ上へ、抽出したファイルを転送します。
ファイル内の文字コードは変換が必要です。転送元システム(被監視システム)のファイル内の文字コードはEBCDIC(ASCII)です。ファイル転送後、転送先システム(運用管理サーバ)のファイル内の文字コードを(EBCDIC(ASCII)から)ASCIIに変換しておく必要があります。
Linkexpress File Transferを使用した場合の例)
以下の条件でファイルを転送する時のコマンド例を示します。
転送元ファイル(被監視システム上のファイル) : USER1.RACF.LOG
転送先ノード(運用管理サーバ) : UNKAN
転送先ファイル(運用管理サーバ上のファイル): /var/tokyo/racf/racflog
コード変換: EBCDIC(ASCII)からASCIIにコード変換します
MSPの場合の起動プロシジャ名: LXP
XSPの場合のジョブ名: LXP
OP/SCFを使い、以下のコマンドを発行してください。
【MSP】
MODITY LXP,SEND NODE(UNKAN) LINK(NO) FILE(USER1.RACF.LOG) VFILE(‘/var/tokyo/racf/racflog’) ADD(YES) DOCTYPE(TX) CKRTN(YES) CNVT(A)
【XSP】
JALT JN=LXP,SEND NODE(UNKAN) LINK(NO) FILE(USER1.RACF.LOG) VFILE(‘/var/tokyo/racf/racflog’) ADD(YES) DOCTYPE(TX) CKRTN(YES) CNVT(A)
ファイル転送コマンドが正常に終了した場合、「KGFV368I」で始まるメッセージが出力されます。ファイル転送コマンドが失敗した場合、「KGFV369I」で始まるメッセージが出力されます。
転送コマンドは、Linkexpress File Transferのコンソールコマンド(SENDコマンド)を使用します。SENDコマンド(ファイル送信コマンド)の詳細は、“OSIV Linkexpress File Transfer 使用手引書”を参照してください。
監査ログ分析への活用、保管を行う
OSのスケジュール機能(crontab)、スケジュール製品(Systemwalker Operation Manager)を使用し、運用管理サーバ上に転送した被監視システムのログの収集、分析への活用、二次媒体への保管を行います。
ログ収集の実施
mpatmlog(ログ収集コマンド)を使用して、被監視システムのログを収集します。
mpatmlog -H UNKAN -A GSRACFTokyo
以下の条件で被監視システムのログを収集します。
転送先ノード: UNKAN
ログ識別名 : GSRACFTokyo
正常終了の場合、「0121」で始まるメッセージがコマンドの標準出力に出力されます。またOSログ(syslog、イベントログ)に出力されます。
mpatmlog(ログ収集コマンド)を使用したログ収集処理については、“Systemwalker Centric Manager 使用手引書 セキュリティ編”の“監査ログを収集する”を参照してください。
後処理
ログ収集処理が正常終了した場合
ファイル転送の完了後にログ収集が開始されているかを、GS上のジョブ結果またはコンソールで、ファイル転送完了時刻とログ収集開始時刻とを見比べて確認します。
ファイル転送完了後にログ収集が開始されているときは、被監視システムから転送されたログファイルを、ファイル転送ディレクトリ配下から削除してください。
ファイル転送完了前にログ収集が開始されているときは、再度、ログ収集を実行してください。
ログ収集処理が異常終了した場合
“Systemwalker Centric Manager メッセージ説明書”を参照して異常終了の原因を取り除いた後、GSシステムから運用管理サーバへの次回のファイル転送が始まる前に、以下の対処を実施します。
【ファイルを拡張(追加)モードで転送している場合】
ログ収集を再実行してください。
【ファイルを置換モードで転送している場合】
異常終了となった収集対象ログデータ量が少なく、次回のファイル転送の開始までにログ収集の再実行が完了できそうな場合は、再度、ログ収集を実行します。
ログ収集が正常終了したら、被監視システムから転送されたログファイルを、ファイル転送ディレクトリ配下から削除します。
異常終了となった収集対象ログデータ量が多く、次回のファイル転送の開始までにログ収集の再実行が完了できそうにない場合は、転送済みのログファイルを改名して退避させます。
次に、改名したログファイルを入力としてログ収集を実行します。
ログ収集が正常終了したら、改名したログファイルを削除します。
正規化処理の実施
mpatalogcnvt(監査ログ正規化コマンド)を使用し、正規化ログを作成します。
mpatalogcnvt -H UNKAN -A GSRACFTokyo -F 1 -T 1 -R /var/tokyo/rule/gsracflog.ini
転送先ノード: UNKAN
ログ識別名 : GSRACFTokyo
正規化ルールファイル名 : /var/tokyo/rule/gsracflog.ini
正規化条件 1日前のログについて正規化を行う
正常終了の場合、「3200」で始まるメッセージがコマンドの標準出力に出力されます。
mpatalogcnvt(監査ログ正規化コマンド)を使用した正規化処理については、“Systemwalker Centric Manager 使用手引書 セキュリティ編”の“監査ログを正規化する”を参照してください。
集計の実施
mpatareportput(集計レポート出力コマンド)を使用し、事前に作成した「問い合わせファイル」にもとづいて集計した結果を、集計レポート結果ファイルへ出力します。
mpatareportput -O CSV -F /var/tokyo/total/racfreport1.rne /var/tokyo/report/GSSystemReport1
出力形式 : CSV形式、固定ファイル
問い合わせファイル : /var/tokyo/total/racfreport1.rne
集計ファイル出力先 : /var/tokyo/report/GSSystemReport1
正常終了の場合、「3300」で始まるメッセージがコマンドの標準出力に出力されます。
mpatareportput(集計レポート出力コマンド)を使用した集計処理については、“Systemwalker Centric Manager 使用手引書 セキュリティ編”の“監査ログを集計する”を参照してください。
二次媒体退避の実施
収集した被監視システムのログをETERNUS NR1000Fシリーズなどのストレージ装置、またはテープ装置などの二次媒体へ保管します。
運用管理サーバ上のディスク領域(格納ディレクトリ)、また監査ログ分析機能の活用(検索)期間を考慮し、二次媒体退避を行ってください。
