機能説明
収集後の格納ディレクトリ内の収集したログ、または正規化ディレクトリ内の正規化ログが改ざんされていないかを確認します。
本コマンドで改ざんを検出した場合は、改ざん確認を行ったディレクトリ配下の「invalidlog」ディレクトリに改ざんを検出したログ、または正規化ログを移動します。
記述形式
mpatmchecklog | [-H サーバ名] [-A ログ識別名] [{-F 日数 -T 日数 | -B 日付 [-E 日付]}] [-L 改ざん確認元ディレクトリ] [-K LOG | CSV ] |
-F、-Tは対で指定します。この指定は省略できます。
-B、-Eは対で指定します。この指定は省略できます。また-Eは省略できます。
-F、-Tの対と-B、-Eの対は重複して指定できません。どちらかの対を使います。
オプション
改ざんの確認を行う収集したログのサーバ名を指定します。IPアドレスの指定も可能です。
ASCII(128文字以内)で指定します。
IPアドレスを指定する場合、先頭に0を付けると8進数での指定扱いとなるため、先頭に0を指定しないでください。
本パラメタを省略した場合、すべてのサーバが対象となります。
IPアドレスを指定する場合、格納ディレクトリ内に収集したログファイル名のサーバ名がIPアドレス表記になっている必要があります
改ざんの確認を行う収集したログのログ識別名を指定します。
ASCII(80文字以内)で指定します。
本パラメタを省略した場合、すべてのログ識別名が対象となります。
改ざんの確認を行う収集したログデータの日数の範囲を指定します。
本パラメタで指定した範囲の日数のログを対象とします。
本パラメタ(-F/-T)は必ず対の指定を行う必要があります。
本パラメタは、0以上の数値を指定します。
本パラメタ -F は、-Tのパラメタ以上の値を設定します。
本パラメタを省略し、-B パラメタも省略した場合は、1日前のログデータのみ対象となります。
-B/-Eパラメタと同時に指定することはできません。
例)
3日前から1日前までの範囲のログを対象とします。
-F 3 -T 1
改ざんの確認を行う収集したログデータの日付を指定します。
-Eパラメタを省略した場合は、-Bパラメタで指定した日付のログのみを対象とします。
-Eパラメタを指定した場合は、-Bパラメタの日付から-Eパラメタの日付までの期間が対象となります。
-Eパラメタは、-Bと必ず対で指定する必要があります。
本パラメタは以下のように指定します。
YYYY: 西暦年を指定します。
MM : 01~12で月を指定します。
DD : 01~31で日付を指定します。
本パラメタに本コマンドを実行するときより未来の日付を指定して実行した場合、本コマンドはエラーとなります。
-F -T パラメタと同時に指定することはできません。
例1)
2010年07月25日のみを対象とします。
-B 20100725
例2)
2010年07月25日から2010年8月24日までの期間を対象とします。
-B 20100725 -E 20100824
改ざん確認を行いたい正規化ログが存在するディレクトリをASCII(80文字以内)、EUC(40文字以内)、シフトJIS(40文字以内)、またはUTF-8(80バイト以内)のフルパスで指定します。
本パラメタは-Kオプションで「CSV」を指定した場合のみ有効です。
本パラメタを省略した場合は、以下のディレクトリが対象となります。
-Kオプションで「LOG」を指定した場合 : 格納ディレクトリ
-Kオプションで「CSV」を指定した場合 : 正規化ディレクトリ
-Kオプションを省略した場合 : 格納ディレクトリ
本パラメタに指定するディレクトリは実在している必要があります。実在していないディレクトリを指定した場合は、本コマンドはエラーとなります。
また、ルートディレクトリ(Windowsの場合「c:\」など、UNIXの場合「/」)を指定した場合や、ディレクトリ名の最後にパス区切り文字(Windowsの場合「\」、UNIXの場合「/」)を指定した場合は、本コマンドはエラーとなります。
改ざん確認を行うログの種別を指定します。
収集したログを改ざん確認する場合は「LOG」を指定します。
監査ログ分析機能で正規化したログを改ざん確認する場合は、「CSV」を指定します。
本オプションを省略した場合は、「LOG」を指定したものとみなされます。
復帰値
内容が変更されたログファイルはありませんでした。
一部の改ざん確認処理が失敗しました。
処理対象のファイルが存在しませんでした。
ログデータの内容の変更を検出しました。
改ざん確認は失敗しました。
参照
コマンド格納場所
Windows | Systemwalkerインストールディレクトリ\mpwalker.dm\bin |
Solaris | /opt/systemwalker/bin |
実行に必要な権限/実行環境
【Windows版】
Administrator権限が必要です。
本コマンドは、[管理者として実行]を選択して起動したコマンドプロンプト上で実行してください。
運用管理サーバ、中継サーバで実行可能です。
【UNIX版】
システム管理者(スーパーユーザ)権限が必要です。
運用管理サーバ、中継サーバで実行可能です。
注意事項
本コマンドは、以下のコマンドや処理を実行中の場合、実行できません。
ファイル転送情報定義コマンド(mpatmtrsdef)
収集したログの圧縮コマンド(mpatmarchive)
圧縮したログの解凍コマンド(mpatmextract)
収集したログの改ざん確認コマンド(mpatmchecklog)
収集したログの削除コマンド(mpatmdellog)
二次媒体複写コマンド(mpatmediacopy)
収集中のログのサーバ名とログ識別名が、改ざん確認対象のログのものと一致する場合
例)
収集中のログのサーバ名が「hosta」、ログ識別名が「EventLogApplication」の場合、サーバ名が「hosta」、ログ識別名が「EventLogApplication」のログの改ざん確認を行うことができません。
正規化中のログのサーバ名とログ識別名、日付が、改ざん確認対象のログのものと一致する場合
例)
正規化中のログのサーバ名が「hosta」、ログ識別名が「EventLogApplication」、日付が2010年5月30日の場合、hosta_eventlogapplication_s_20100530001.csvの正規化ログの改ざん確認を行うことができません。
格納ディレクトリを変更した場合には、変更前の格納ディレクトリ内のログファイルは改ざん確認の対象外となります。
使用例
ログ識別名がlog1であるログファイルを過去5日分に対し、改ざんの確認を行います。
mpatmchecklog -A log1 -F 5 -T 1
ログ識別名log1の正規化ログファイルを過去5日分に対して改ざん確認を行います。
mpatmchecklog -A log1 -F 5 -T 1 -K CSV
実行結果/出力形式
内容が変更されたファイルが存在する場合
mpatm: 情報: 2: mpatmchecklogコマンドを開始します。 [警告メッセージ、エラーメッセージを標準エラーに出力します]
