機能説明
本コマンドは、監査ログ管理機能で収集した監査ログファイルをもとに、正規化ログファイルを出力します。
本コマンドは以下の機能を提供します。
監査ログファイルの正規化
監査ログファイルを、登録済みの正規化ルールの内容に従って正規化し、正規化ログファイル(CSV形式)を出力します。
監査ログメッセージの正規化テスト
監査ログファイル内の各メッセージを正規化ルール定義ファイルの内容でテストし、一致したテキストパターンと正規化結果を出力します。
テスト結果を確認することにより、正規化ルール定義ファイルの妥当性を確認できます。正規化ログファイルの文字コードは、常にUTF-8ですが、テスト結果を出力するファイル(正規化テスト結果ファイル)の文字コードは、システムの文字コードです。
正規化では、1つの監査ログファイルに対し1つの正規化ログファイルへ変換が実施されます。ただし、以下の場合は、複数の正規化ログファイルに分割されます。
監査ログファイルに複数日付のログレコードが出力されている場合
各ログレコードの日付ごとに、正規化ログが分割されます。
監査ログがSystemwalker Desktop Keeperクライアント操作ログの場合
Systemwalker Desktop Keeperクライアントおよび各ログレコードの日付ごとに、正規化ログが分割されます。
1つの正規化ログファイルまたは正規化テスト結果ファイルのどちらかのサイズが2Gバイトを超過した場合
該当監査ログファイルの正規化がすでに実行されていて、前回の実行時から差分がある場合
差分の正規化を前回とは別のファイルに分割して出力します。ただし、正規化ログファイルが削除された場合、該当監査ログファイルに対する正規化は、差分ではなく先頭から行われるため、差分の正規化によるファイル分割は行われません。
各ログファイル名の形式は以下の通りです。
ログファイル | ファイル名の形式 |
|---|---|
監査ログファイル | サーバ名_ログ識別名_文字コード_YYYYMMDD[_XX].log |
正規化ログファイル | サーバ名_ログ識別名_文字コード_YYYYMMDDCCC.csv |
文字コード:監査ログファイルの文字コード
S:SJIS、E:EUC、U:UTF-8、W:JIS2004(UTF-16)
正規化ログファイルのファイル名には、変換元の監査ログファイルの文字コードが表示されています。
文字コードが「W」の監査ログにJIS2004(UTF-16)の合成文字が含まれる場合、通常の1文字として正規化します。そのため、正規化ログを検索する際は、条件に通常の文字を指定してください。
例)
合成文字の「フ」+「゜」 ⇒通常の文字「プ」
(U+30D5)(U+309A) ⇒ (U+30D7)
()内:文字コード
YYYYMMDD:日付
XX:通番(01~99、監査ログのファイルサイズが2Gバイトを超過している場合)
CCC:通番(001~999、正規化ログのファイルサイズが2Gバイトを超過している場合、または同一監査ログの差分の正規化を実行した場合)
999を超える通番になった場合、その旨をメッセージ通知し、正規化は失敗します。
通番として使用するのは、同じサーバ名、ログ識別名、文字コード、日付の正規化ログに付けられた通番と衝突しない最小の1以上の数字です。圧縮した正規化ログが存在する場合は、圧縮した正規化ログと非圧縮の正規化ログの通番が衝突しない数字を使用します。
監査ログファイルの退避において、同一ファイル名で内容の異なるファイルの退避を複数回実行した場合、上記ファイル名形式にない通番(_NNNN)がファイル名に付加されます。このようなファイルは、本コマンドで直接正規化することはできません。正規化する場合は、該当ファイルを作業ディレクトリへコピーし、付加された通番を削除したファイル名にリネームしてから正規化を行ってください。
また、本コマンドで正規化しようとした監査ログファイルが監査ログ管理機能から提供されるmpatmlog(ログ収集コマンド)で作成・更新中の場合、本コマンドは該当ファイルの作成・更新が完了するまで一定時間(10秒)、正規化処理の実行を待ちます。
正規化ログを改ざん確認の対象とする場合は、-Xオプション「YES」を指定し、mpatalogcnvtコマンドを実行してください。このときに作成した正規化ログをmpatmchecklog(収集したログの改ざん確認コマンド)で改ざん確認を行うことができます。-Xオプション「NO」としてmpatalogcnvtコマンドを実行してできた正規化ログに対して改ざん確認は行われません。
記述形式
mpatalogcnvt | [-H サーバ名] [-A ログ識別名] [-F 日数 -T 日数 | -B 日付(YYYYMMDD)] [-L 監査ログ格納ディレクトリ] [-D 正規化出力ディレクトリ] [-P [-R 正規化ルール定義ファイル名]] [-C {S|E|U|W}] [-Q] [-V] -X [YES|NO] [-O [{1|2}]] |
オプション
正規化する監査ログのサーバ名を指定します。ASCII(128文字以内)で指定します。
本オプションを省略した場合、すべてのサーバ名の監査ログが正規化対象になります。
正規化する監査ログのログ識別名を指定します。ASCII(80文字以内)で指定します。
本オプションを省略した場合、すべてのログ識別名の監査ログが対象になります。
監査ログのログ識別名の詳細については、インストールされているSystemwalker Centric Managerのバージョンの“Systemwalker Centric Manager 使用手引書 セキュリティ編”の“収集対象のログの定義”を参照してください。
正規化する監査ログの日数の範囲を指定します。
本オプションで指定した範囲の日数のログを正規化対象とします。
本オプション(-F/-T)は必ず対の指定を行う必要があります。
本オプションは、0以上の整数値を指定します。0はコマンドを実行した当日、1はコマンドを実行した1日前・・・と解釈されます。
-F オプションは -T オプション以上の値を設定します。
本オプションを省略し、-B オプションも省略した場合は、1日前の監査ログファイルだけを正規化対象とします。
-B オプションと同時に指定することはできません。
例)
3日前からコマンド実行当日までの範囲の監査ログを正規化対象とします。
-F 3 -T 0
正規化する監査ログの日付を指定します。
本オプションで指定した日付のログだけを正規化対象とします。
本オプションは以下のように指定します。
YYYY:西暦年を指定します。
MM:01~12で月を指定します。
DD:01~31で日付を指定します。
本オプションは以下の場合だけ使用してください。
- 正規化が何らかの原因で失敗し、該当日付の監査ログを再度正規化する場合
本オプションに未来の日付を指定して実行した場合、本コマンドはエラーになります。
-Fオプション、-Tオプションと同時に指定することはできません。
例)
2010年07月25日の監査ログだけを正規化します。
-B 20100725
正規化対象の監査ログファイルが格納されているディレクトリ名をフルパス、または相対パスで指定します。ASCII(80文字以内)、EUC(40文字以内)、シフトJIS(40文字以内)、またはUTF-8(80バイト以内)で指定します。
省略時は、監査ログ管理の格納ディレクトリ配下の監査ログファイルが対象になります。格納ディレクトリは、以下のコマンドで設定してください。
mpatmtrsdef REP -S 格納ディレクトリ
本オプションは以下の場合だけ使用してください。
- バイナリログを正規化するために、作業ディレクトリへテキスト出力したファイルを正規化対象にする場合
- 正規化の実行テストのために、テスト用のログファイルを正規化対象にする場合
出力する正規化ログファイル、または正規化テスト結果ファイルを格納するディレクトリをフルパス、または相対パスで指定します。ASCII(160文字以内)、EUC(80文字以内)、シフトJIS(80文字以内)、またはUTF-8(160バイト以内)で指定します。
本オプションでmpatacnvtdef(正規化ログ格納先定義コマンド)で定義した正規化ディレクトリ以外のディレクトリを指定した場合、出力された正規化ログファイルは集計レポートの対象外となります。
省略時は、-Pオプション指定の有無により、出力されるディレクトリが以下のように変わります。
監査ログ分析の正規化ディレクトリ配下に正規化ログファイルが出力されます。正規化ディレクトリは以下のコマンドで設定してください。
mpatacnvtdef -N 正規化ディレクトリ
コマンド実行時のカレントディレクトリ配下に、正規化ログファイルおよび正規化テスト結果ファイルが出力されます。
なお、-Pオプションを指定した場合は、mpatacnvtdef(正規化ログ格納先定義コマンド)で定義した正規化ディレクトリを本オプションの正規化出力ディレクトリに指定することはできません。
正規化ログファイル名は機能説明の表で説明した形式です。正規化テスト結果ファイル名は、正規化ログファイルの拡張子「.csv」を「.txt」に置き換えたものです。
同名の正規化ログファイルがすでに存在する場合、-Pオプション指定の有無により以下のように動作が変わります。
監査ログファイルの正規化されていない部分(増加部分)を正規化し、正規化ログファイル名形式中の通番を1つ増やした名前の正規化ログファイルを作成します。
正規化ログファイルおよび正規化テスト結果ファイルの両方を、上書きします。
監査ログファイル内の各ログテキストを、正規化ルール定義ファイルの内容でテスト(パターン解釈)し、一致したテキストパターンと正規化した結果を、正規化テスト結果ファイルに出力します。
本オプション指定時は正規化と正規化テストの両方が実行され、省略時は正規化だけが実行されます。
正規化テストのときに参照する正規化ルール定義ファイル名をフルパス、または相対パスで指定します。ASCII(256文字以内)、EUC(128文字以内)、シフトJIS(128文字以内)、またはUTF-8(256バイト以内)で指定します。
本オプションを省略した場合、登録済みの正規化ルールを参照して正規化テストが実施されます。
本オプションは、-Pオプションと同時に指定可能です。
なお、正規化を行う監査ログのログ種別が本オプションで指定したルール定義ファイルのログ種別と異なる場合、指定されたルール定義ファイルは使用されません。
正規化する監査ログの文字コードを指定します。文字コードと文字の関係は以下の通りです。
文字 | 文字コード |
|---|---|
S | SJIS |
E | EUC |
U | UTF-8 |
W | JIS2004(UTF-16) |
本オプションは、監査ログの文字コードが収集元のサーバの言語と異なる場合だけ指定します。監査ログの文字コードが収集元のサーバの言語と同じ場合は、本オプションを指定する必要はありません。本オプションを省略した場合、正規化する監査ログのファイル名に埋め込まれている収集元のサーバの言語情報を示す文字から、監査ログの文字コードを判断します。
正規化対象とする監査ログ格納ディレクトリに、サーバの言語と同じ文字コードの監査ログと、サーバの言語と異なる文字コードの監査ログが混在して格納されている場合は、-Hオプションや-Aオプションで実行単位を分けて正規化してください。
合成文字を通常文字に変換する処理を省略することで正規化の性能を上げます。
正規化対象にWindows OSのログがない場合に指定してください。これらのログを含む場合に本オプションを指定した場合、合成文字が通常文字に変換されないため、通常文字(例えば、「ぱ」)と合成文字(例えば、「は゜」)を区別して検索する必要があります。
複数日付のログデータが含まれる監査ログファイルを正規化した場合、以下のメッセージを出力します。
mpatalogcnvt: 警告: 3218: 監査ログファイルが、複数の日付の正規化ログファイルに振り分けて出力されました。監査ログファイル名=%1
正規化したログを改ざん確認の対象とする場合は「YES」、対象としない場合は「NO」を指定します。
本オプションを指定しない場合は、「NO」として処理します。
「NO」を指定して作成した正規化ログに対して、mpatmchecklogコマンドで改ざん確認を実施すると、次のメッセージを出力し、確認が行えません。
mpatm: 警告: 432: 改ざんチェックの対象ではありません。ファイル=%1
正規化ログ項目のうち、ログテキスト(第18項目)または操作内容(第13項目)の正規化を抑止し、アンダースコア(_)として出力します。
本オプションを省略した場合、ログテキストおよび操作内容の正規化を抑止せず、正規化ログファイルに格納します。
本オプションの引数に1を指定した場合、ログテキストのみをアンダースコアで格納します。本オプションの引数に2を指定した場合、操作内容のみをアンダースコアで格納します。
本オプションの引数を省略した場合、ログテキストおよび操作内容の両方をアンダースコアで格納します。
復帰値
正常終了
異常終了
サーバ名かつログ識別名が、ほかの監査ログ正規化コマンドと重複しています。
または、監査ログ正規化コマンドの実行多重度を超過しています。
サーバ名かつログ識別名が、ほかの監査ログ正規化コマンドと重複しています。
(-Hオプションまたは-Aオプションを指定していない場合)
参照
コマンド格納場所
Windows | Systemwalkerインストールディレクトリ\MPWALKER.DM\bin |
Solaris | /opt/systemwalker/bin |
実行に必要な権限/実行環境
本コマンド実行前に、格納ディレクトリおよび正規化ディレクトリが定義済みである必要があります。
【Windows版】
Administrator権限が必要です。
本コマンドは、[管理者として実行]を選択して起動したコマンドプロンプト上で実行してください。
運用管理サーバで実行可能です。
【UNIX版】
システム管理者(スーパーユーザ)権限が必要です。
運用管理サーバで実行可能です。
注意事項
差分の正規化を行う場合、通常は前回作成した正規化ログファイルの内容は変更されませんが、以下の場合に限り前回作成した正規化ログファイルの最後のレコードが削除されます。
該当ログファイル内に、複数行を1つのレコードと解釈するログが格納されている。かつ、
複数行を1つのレコードと解釈するログの途中が差分の切れ目となっている。
この場合、該当ログレコードの前回の正規化は不完全な状態で行われた結果であるため削除し、完全な状態での正規化結果を今回の正規化ログファイルの先頭に出力します。
複数行を1つのレコードと解釈するログの詳細については、“正規化ルール定義ファイル”を参照してください。
なお、処理対象のファイルを誤認する場合があるため、監査ログ格納ディレクトリ、正規化ディレクトリには、監査ログファイル、正規化ログファイル以外のファイルは置かないでください。
本コマンドで正規化を作成する場合、サーバ名とログ識別名、日付が一致するログに対して、次のコマンドの処理を実行できません。
収集したログの圧縮コマンド(mpatmarchive)
圧縮したログの解凍コマンド(mpatmextract)
収集したログの改ざん確認コマンド(mpatmchecklog)
収集したログの削除コマンド(mpatmdellog)
例)
削除中の正規化ログのサーバ名が「hosta」、ログ識別名が「EventLogApplication」、日付が2010年5月30日の場合、hosta_EventLogApplication_S_20100530.logの監査ログを正規化できません。
収集したログの削除コマンド(mpatmdellog)で指定した正規化ログを削除した後に、再度、監査ログ正規化コマンド(mpatalogcnvt)を実行した場合、差分ではなく、正規化ログの再作成になります。
本コマンドを複数同時に実行する場合、必ずコマンドごとに-Hオプション(サーバ名)や-Aオプション(ログ識別名)を別々に指定し、正規化対象となる監査ログの範囲がコマンド間で重複しないようにしてください。
例1)
サーバ名を別々に指定する場合
mpatalogcnvt -H server1 -F 7 -T 1 mpatalogcnvt -H server2 -F 7 -T 1
例2)
ログ識別名を別々に指定する場合
mpatalogcnvt -A EventLogApplication -F 7 -T 1 mpatalogcnvt -A SolarisSyslog -F 7 -T 1
本コマンド間でサーバ名の範囲およびログ識別名の範囲が重複する場合、後続のコマンドは排他され、以下のメッセージを出力して異常終了します。
mpatalogcnvt: 情報: 3220:サーバ名およびログ識別名が他のコマンドと重複しています。サーバ名=%1、ログ識別名=%2、コマンドライン=%3
以下の場合は、後続コマンドが排他され、異常終了します。
先行コマンド | 後続コマンド |
|---|---|
サーバ名=SERVER1、ログ識別名=LOGID1 | サーバ名=SERVER1、ログ識別名=LOGID1 |
以下の場合は、後続コマンドが排他されず、同時に実行されます。
先行コマンド | 後続コマンド |
|---|---|
サーバ名=SERVER1、ログ識別名=LOGID1 | サーバ名=SERVER1、ログ識別名=LOGID2 |
本コマンド間でサーバ名の範囲およびログ識別名の範囲が重複しない場合、複数のコマンドが最大10多重まで実行できます。本コマンドが最大10多重を超過した場合、以下のメッセージを出力して異常終了します。
mpatalogcnvt: 情報: 1072: 実行多重度が超過していますので、これ以上コマンドを実行できません。しばらくしてからコマンドを再実行してください。コマンドライン=%1
この場合、他のmpatalogcnvt(監査ログ正規化コマンド)が終了してから、コマンドを再実行してください。
使用例1
3日前から1日前までの範囲で、アプリケーションイベントログの正規化ログを出力します。
【Windows版】
C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H server2 -A EventLogApplication -F 3 -T 1 -D C:\Windows\Temp
【UNIX版】
/opt/systemwalker/bin/mpatalogcnvt -H server2 -A EventLogApplication -F 3 -T 1 -D /var/tmp
使用例2
指定したアプリケーションイベントログファイルの正規化ログを出力します。
【Windows版】
C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -L C:\Systemwalker\MPWALKER.DM\mpatm\savelog\ -D C:\Windows\Temp
【UNIX版】
/opt/systemwalker/bin/mpatalogcnvt -L /var/opt/FJSVmpatm/savelog/ -D /var/tmp
使用例3
5日前から1日前までの範囲で、アプリケーションイベントログファイルの各メッセージを正規化ルール定義ファイルの内容で正規化テストします。
【Windows版】
C:\Systemwalkerp\MPWALKER.DM\bin\mpatalogcnvt -H server2 -A EventLogApplication -F 5 -T 1 -D C:\Windows\Temp -P -R C:\Windows\Temp\mpatarule_EventLogApplication.ini
【UNIX版】
/opt/systemwalker/bin/mpatalogcnvt -H server2 -A EventLogApplication -F 5 -T 1 -D /var/tmp -P -R /var/tmp/mpatarule_EventLogApplication.ini
使用例4
指定したアプリケーションイベントログファイルの各メッセージを正規化ルール定義ファイルの内容で正規化テストします。
【Windows版】
C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -L C:\Systemwalker\MPWALKER.DM\mpatm\savelog\ -D C:\Windows\Temp -P -R C:\Windows\Temp\mpatarule_=EventLogApplication.ini
【UNIX版】
/opt/systemwalker/bin/mpatalogcnvt -L /var/opt/FJSVmpatm/savelog/ -D /var/tmp -P -R /var/tmp/mpatarule_=EventLogApplication.ini
実行結果/出力形式
監査ログファイルの正規化(-Pオプション未指定)をした場合の表示形式を以下に示します。
正常終了時は、以下の文字列が標準出力に出力されます。
情報: 監査ログファイルの正規化に成功しました。
正規化ログファイルの出力形式を以下に示します。
2009/08/09 13:00:00,08/09,13:00:00,13,水,client1,10.10.151.136,server1,10.90.144.76,root,認証,server1,ログオン,失敗,_,529,警告,"…",EventLogSecurity,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, 2009/08/09 13:00:01,08/09,13:00:01,13,水,client1,10.10.151.136,server1,10.90.144.76,guest,認証,server1,ログオン,成功,_,528,情報,"…",EventLogSecurity,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
上記で「ログテキスト」の項目は「"…"」としていますが、実際には正規化元のログのテキストがそのまま入ります。
元のログテキストが10Mバイトを超える場合は、以下の長さ分のログテキストを出力します。
出力するログテキストの最後の文字がマルチバイト文字の一部の場合は、最後の文字は出力されません。
10Mバイト - "ログテキスト"以外の項目長 - 固定文字列(※)の長さ |
(※) 固定文字列には以下が含まれます。
正規化ログテキストに含まれる "(ダブルクォーテーション)の数
正規化ログテキストに含まれる ,(カンマ)の数
改行コード1つ分
また、正規化ログファイルの出力先には見出し行ファイルが1つ作成されます。見出し行ファイルとは正規化ログファイルのCSV項目に対する見出し(項目名)をCSV形式で格納したファイルで、ファイル名は「csv.head」です。
見出し行ファイルの出力内容を以下に示します。
"日時","日付","時刻","時間帯","曜日","操作場所","操作IPアドレス","実行ホスト","実行IPアドレス","操作者","操作種別","操作対象","操作内容","実行結果","コンポーネント","追加情報","深刻度","ログテキスト","ログ種別","拡張種別1","拡張値1","拡張種別2","拡張値2","拡張種別3","拡張値3","拡張種別4","拡張値4","拡張種別5","拡張値5","拡張種別6","拡張値6","拡張種別7","拡張値7","拡張種別8","拡張値8","拡張種別9","拡張値9","拡張種別10","拡張値10","拡張種別11","拡張値11","拡張種別12","拡張値12","拡張種別13","拡張値13","拡張種別14","拡張値14","拡張種別15","拡張値15","拡張種別16","拡張値16","拡張種別17","拡張値17","拡張種別18","拡張値18","拡張種別19","拡張値19","拡張種別20","拡張値20" |
異常終了時は、エラーメッセージを標準エラー出力、およびWindowsイベントログ/syslogに出力して、処理を終了します。
監査ログファイルの正規化テスト(-Pオプション指定)をした場合の表示形式を以下に示します。
正常終了時は、以下の文字列が標準出力に出力されます。
情報: 監査ログファイルの正規化テストに成功しました。
正規化テスト結果ファイルの出力形式を以下に示します。斜体箇所(監査ログテキスト、n行目、テキスト一致パターン、正規化ログテキスト)は可変情報です。
監査ログ:監査ログテキスト 一致パターン:n行目:テキスト一致パターン 正規化ログ:正規化ログテキスト 監査ログ:監査ログテキスト 一致パターン:なし 正規化ログ:正規化ログテキスト :
正規化の元となった監査ログのテキストを表示します。
「監査ログテキスト」と一致したテキスト一致パターンの正規化ルールファイル内での行数と定義文字列を表示します。
正規化した結果(CSV形式)を表示します。
以下の長さの監査ログテキストを、それぞれ、監査ログテキスト、正規化ログテキストに出力します。
(10Mバイト - 一致パターン行の長さ - 固定文字列(※)の長さ) / 2 |
(※)固定文字列には以下が含まれます。
“監査ログ:”、“正規化ログ:”の文字列
一致パターンがある場合、数値部分(10バイト固定)
改行コード3つ分
異常終了時はエラーメッセージを標準エラー出力に出力して、処理を終了します。エラー時の出力例を以下に示します。
例)
正規化ルール定義ファイルに誤りがある場合
mpatalogcnvt: エラー: 1052:3行目: キー名が不正です。正規化ルール定義ファイルの文法を確認してください。キー名=PositionParm、ファイル名=C:\Systemwalker\MPWALKER.DM\mpata\etc\rule\mpatarule_SolarisSyslog.ini PositionParm=":",4,OperationLocation mpatalogcnvt: 情報: 3201:監査ログファイルの正規化テストが完了しました。
例)
監査ログや正規化ログから改ざんを検出した場合
mpatm: エラー: 655: ログデータから変更を検出しました。ファイル=C:\savelog\host_app_S_20080602.log、検出箇所=Log in the log directory mpatm: エラー: 655: ログデータから変更を検出しました。ファイル=C:\normalize\host_app_s_20080602001.csv、検出箇所=Log in the normalization directory mpatalogcnvt: 情報: 3201: 監査ログファイルの正規化テストが完了しました。
