機能説明
本コマンドは、運用管理サーバで、監査ログ分析の正規化ルールの登録(更新)、削除、登録内容の一覧表示、または文法チェックを行います。
正規化ルールとは、様々な形式の監査ログファイルを分析可能な1つの形式に変換するための規則で、その変換規則は正規化ルール定義ファイル(iniファイル)に記述します。
正規化ルール定義ファイルは、ファイル名が「mpatarule_XXXXX.ini」(XXXXX:ログ識別名)で、運用管理サーバ上の以下のディレクトリ(正規化ルール定義ディレクトリ)に格納されます。正規化ルール定義ファイル名は、半角の大文字小文字を区別しません。
Windows | Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\etc\rule |
Solaris | /etc/opt/FJSVmpata/etc/rule |
標準で登録されている正規化ルールは以下の通りです。
正規化ルール定義ファイル名 | 対象監査ログ |
|---|---|
mpatarule_EventLog.ini | Windowsイベントログ |
mpatarule_SolarisSyslog.ini | UNIXシステムログ(Solaris) |
mpatarule_SolarisSuLog.ini | Solaris suログ |
mpatarule_SolarisLoginLog.ini | Solarisログインログ |
mpatarule_LinuxSyslog.ini | UNIXシステムログ(Linux) |
mpatarule_HPUXSyslog.ini | HP-UXシステムログ |
mpatarule_HPUXSuLog.ini | HP-UX suログ |
mpatarule_AIXSyslog.ini | AIXシステムログ |
mpatarule_AIXSuLog.ini | AIX suログ |
mpatarule_IISNCSALog.ini | IISログ(NCSA共通ログファイル形式) |
mpatarule_IISLog.ini | IISログ(Microsoft IISログファイル形式) |
mpatarule_IISW3CLog.ini | IISログ(W3C拡張形式) |
mpatarule_ApacheAccessLog.ini | Apacheアクセスログ(NCSA形式) |
mpatarule_ApacheErrorLog.ini | Apacheエラーログ |
mpatarule_CMGRCmdRevLog.ini | Systemwalker Centric Managerリモートコマンド検索ログ |
mpatarule_DTK.ini | Systemwalker Desktop Keeperクライアント操作ログ |
mpatarule_CMGROpLog.ini | Systemwalkerコンソール監査ログ |
mpatarule_CMGRSvacLog.ini | サーバアクセス制御の監査ログ |
mpatarule_NREventLog.ini | ETERNUS NR1000F seriesイベントログ |
mpatarule_OMGRLog.ini | Systemwalker Operation Managerの監査ログ |
本コマンドは以下の機能を提供します。
正規化ルールの登録(更新)
対象となる監査ログを分析可能とするために、運用管理サーバ上の正規化ルール定義ファイルを登録(更新)します。正規化ルール定義ファイルを指定して登録する方法と、すべての正規化ルール定義ファイルを一括登録する方法とがあります。登録できる正規化ルール定義ファイル数は、最大100個です。登録済みの正規化ルールと今回新規に追加登録される正規化ルールの合計数が100個を超える場合、指定された正規化ルールはすべて登録および更新されません。
正規化ルールの削除
登録済み正規化ルールの登録情報を削除します。正規化ルール定義ファイルを指定してルール単位で削除する方法と、すべての登録済みのルールを一括削除する方法とがあります。
登録内容の一覧表示
登録されている正規化ルール定義ファイルの一覧を表示します。
正規化ルール定義ファイルの文法チェック
指定された正規化ルール定義ファイルの文法をチェックします。
本コマンドの実行によって変更された正規化ルールの登録情報は、監査ログ正規化コマンドの次回実行時から有効になります。
正規化ルールの更新は、以下の場合に実施します。
標準で登録されている正規化ルールの定義内容を変更する場合
現在有効になっている正規化ルールの定義内容を変更する場合
正規化ルールの定義内容を変更した場合、正規化ルールの対象となる監査ログの検索や集計の結果に変化が生じます。
本コマンドを使用して正規化ルールを登録していない監査ログの場合、以下の監査ログ項目でログが正規化されます。
また、監査ログがユーザ独自ログの場合も、製品導入当初は正規化ルールが登録されていないため、以下の項目でログが正規化されます。
日時
日付
時刻
時間帯
曜日
実行ホスト
ログテキスト
ログ種別
監査ログがユーザ独自ログの場合、システム管理者が運用管理サーバ上で、以下の手順で正規化ルール定義ファイルを作成し、正規化ルールを登録してください。
正規化ルール定義ディレクトリにおいて、他のログ識別名の正規化ルール定義ファイルを、ユーザ独自ログの正規化ルール定義ファイル用にコピーします。
例)
【Windows版】
cd C:\Systemwalker\MPWALKER.DM\mpata\etc\rule copy mpatarule_ApacheErrorLog.ini mpatarule_XXXXX.ini
【UNIX版】
cd /etc/opt/FJSVmpata/etc/rule cp mpatarule_ApacheErrorLog.ini mpatarule_XXXXX.ini
XXXXX:ユーザ独自ログのログ識別名を表します。
コピーした正規化ルール定義ファイルをユーザ独自ログの正規化に適合するよう、“正規化ルール定義ファイル”で示された文法に従い、テキストエディタなどを用いて編集します。
本コマンドを実行し、ユーザ独自ログの正規化ルール定義ファイルを登録します。
記述形式
mpatarulectl | |
mpatarulectl | -A {正規化ルール定義ファイル | ALL} [-I W] |
mpatarulectl | -D {正規化ルール定義ファイル | ALL} |
mpatarulectl | -C 正規化ルール定義ファイル [-I W] |
オプション
登録内容を一覧表示します。
パスなしの正規化ルール定義ファイル、または文字列「ALL」を指定します。
正規化ルール定義ファイルを指定した場合、指定したファイルの正規化ルールを登録します。ASCII(94文字以内)で指定します。
「ALL」を指定した場合、正規化ルール定義ディレクトリ配下のすべての正規化ルール定義ファイルを登録します。
指定した正規化ルールがすでに登録済みの場合、登録確認メッセージを出力した後、登録情報を更新します。
-Dオプション、-Cオプションと同時に指定することはできません。
正規化ルール定義ファイル(パスなし)を指定した場合、指定した正規化ルールの登録情報を削除します。ASCII(94文字以内)で指定します。「ALL」を指定した場合、登録情報を削除する確認メッセージを出力した後、すべての正規化ルールの登録情報を削除します。
-Aオプション、-Cオプションと同時に指定することはできません。
正規化ルール定義ファイル(フルパス、相対パス、またはパスなし)の文法をチェックします。ASCII(256文字以内)、EUC(128文字以内)、シフトJIS(128文字以内)、またはUTF-8(256バイト以内)で指定します。
パスを省略した場合、正規化ルール定義ディレクトリ配下の定義ファイルがチェックされます。
-Aオプション、-Dオプションと同時に指定することはできません。
正規化ルール定義ファイルの文字コードがJIS2004(UTF-16)の場合に指定します。本オプションを省略した場合、OSの文字コードとして扱います。
-Dオプションと同時に指定することはできません。
復帰値
正常終了
異常終了
参照
コマンド格納場所
Windows | Systemwalkerインストールディレクトリ\MPWALKER.DM\bin |
Solaris | /opt/systemwalker/bin |
実行に必要な権限/実行環境
【Windows版】
Systemwalkerセキュリティ管理者の権限が必要です。
Systemwalkerセキュリティ管理者はAdministratorsグループに所属している必要があります。
本コマンドは、[管理者として実行]を選択して起動したコマンドプロンプト上で実行してください。
運用管理サーバで実行可能です。
【UNIX版】
Systemwalkerセキュリティ管理者の権限が必要です。
運用管理サーバで実行可能です。
使用例1
【Windows版】
正規化ルール定義ファイル 「C:\Systemwalker\MPWALKER.DM\mpata\etc\rule\mpatarule_IISLog.ini」を登録します。
C:\Systemwalker\MPWALKER.DM\bin\mpatarulectl -A mpatarule_IISLog.ini
【UNIX版】
正規化ルール定義ファイル 「/etc/opt/FJSVmpata/etc/rule/mpatarule_IISLog.ini」を登録します。
/opt/systemwalker/bin/mpatarulectl -A mpatarule_IISLog.ini
使用例2
正規化ルール定義ディレクトリ配下のすべての正規化ルール定義ファイルを登録します。
【Windows版】
C:\Systemwalker\MPWALKER.DM\bin\mpatarulectl -A ALL
【UNIX版】
/opt/systemwalker/bin/mpatarulectl -A ALL
使用例3
【Windows版】
登録済みの正規化ルール定義ファイル 「C:\Systemwalker\MPWALKER.DM\mpata\etc\rule\mpatarule_IISLog.ini」について、登録情報を削除します。
C:\Systemwalker\MPWALKER.DM\bin\mpatarulectl -D mpatarule_IISLog.ini
【UNIX版】
登録済みの正規化ルール定義ファイル 「/etc/opt/FJSVmpata/etc/rule/mpatarule_IISLog.ini」について、登録情報を削除します。
/opt/systemwalker/bin/mpatarulectl -D mpatarule_IISLog.ini
使用例4
すべての正規化ルールの登録情報を削除します。
【Windows版】
C:\Systemwalker\MPWALKER.DM\bin\mpatarulectl -D ALL
【UNIX版】
/opt/systemwalker/bin/mpatarulectl -D ALL
使用例5
【Windows版】
正規化ルール定義ディレクトリC:\Systemwalker\MPWALKER.DM\mpata\etc\rule配下の正規化ルール定義ファイルmpatarule_ApacheErrorLog.iniを文法チェックします。
C:\Systemwalker\MPWALKER.DM\bin\mpatarulectl -C mpatarule_ApacheErrorLog.ini
【UNIX版】
正規化ルール定義ディレクトリ/etc/opt/FJSVmpata/etc/rule 配下の正規化ルール定義ファイルmpatarule_ApacheErrorLog.iniを文法チェックします。
/opt/systemwalker/bin/mpatarulectl -C mpatarule_ApacheErrorLog.ini
実行結果/出力形式
オプションを省略した場合、その時点での全登録内容が一覧表示で標準出力に出力されます。また、正規化ルールの登録(-Aオプション指定)をした場合、そのときに登録した内容を一覧表示と同形式で標準出力に出力します。
【オプションを省略した場合】
mpatarule_SolarisSyslog.ini mpatarule_SolarisSuLog.ini mpatarule_ApacheErrorLog.ini
【オプションを指定した場合】
正常終了時は以下の文字列が標準出力に出力されます。
mpatarulectl: 情報: 3100:正規化ルールの登録が完了しました。
mpatarulectl: 情報: 3101:正規化ルールの登録情報の削除が完了しました。
mpatarulectl: 情報: 3102:正規化ルール定義ファイルの文法チェックが完了しました。
異常終了時はエラーメッセージを標準エラー出力に出力して、処理を終了します。
エラー時の出力例を以下に示します。
mpatarulectl: エラー: 1052:3行目: キー名が不正です。正規化ルール定義ファイルの文法を確認してください。キー名=PositionParm、ファイル名=C:\Systemwalker\MPWALKER.DM\mpata\etc\rule\mpatarule_SolarisSyslog.ini PositionParm=":",4,OperationLocation mpatarulectl: 情報: 3102:正規化ルール定義ファイルの文法チェックが完了しました。
