ファイル名
swsvac_auditYYMMDD.log
「YYMMDD」の部分は、ログ出力日の年月日です。
使用用途
サーバアクセス制御機能をインストールした管理対象サーバで出力されるログファイルです。本ログファイルは、日付が更新されるごとに新しいログファイルが作成され、初期設定では30日間保存されます。
なお、1日に出力されるログファイルにはサイズの制限はないため、事前にディスク容量を見積もる必要があります。
ディスク容量は、“Systemwalker Centric Manager導入手引書”の“サーバアクセス制御に必要な資源【Windows版/Linux版】”を参照してください。
本ファイルには、管理対象サーバで以下の操作のログが出力されます。
ユーザ操作(セキュリティ管理者が設定した、アクセス監査ログ出力やアクセス制御の設定に該当する操作)
システム保守承認コマンド実行時
システム保守開始/終了コマンド実行時
アクセス制御設定の適用時
システム保守開始コマンド実行後のユーザ操作
操作の録画機能使用時
録画した操作の再生コマンド実行時
セキュリティ監査者は、出力されたログから以下の内容を確認できます。
管理対象サーバへの設定の内容
管理対象サーバへのアクセス状況
セキュリティ管理者が承認した一連の作業(承認の実績、作業の開始終了、および作業の内容)
操作の録画機能の利用状況
録画データの再生機能の使用状況
なお、本ログファイルは、Systemwalker Centric Managerの監査ログ管理機能で運用管理サーバに収集した後、監査ログ管理機能の画面から確認することができます。
格納場所
本ファイルは、初期設定では管理対象サーバ上の以下の場所に格納されます。
Windows | Systemwalkerインストールディレクトリ\mpwalker.dm\mpsvac\var\audit\swsvac_auditYYMMDD.log |
Linux | /var/opt/FJSVsvac/audit/swsvac_auditYYMMDD.log |
格納場所は、[サーバアクセス制御]画面から確認できます。
ファイル形式
項目名 | 最大長(B) | 値の形式 | 備考 |
|---|---|---|---|
日付 | 29 | YYYY/MM/DD△HH:mm:SS.sss△[+|-]UTC | 「△」は半角スペース
|
操作種別 | 8 | 文字列 | 操作種別で出力される文字列は、“操作種別の一覧”を参照してください。 |
操作種別(基本) | 8 | CL | コンソールログイン |
NC | ネットワークを経由した接続 | ||
SU | suコマンドの抑止 | ||
アクセス制御結果 | 1 | A | ALLOW(許可) |
D | DENY(拒否) | ||
L | LOG(ログ取得) | ||
N | NOP(設定なし) | ||
試行モード | 1 | T | 試行モード有効 |
_ | 試行モード無効 | ||
実行結果 | 1 | S | SUCCESS(成功) システム保守承認コマンド、またはポリシー適用(アクセス制御設定)の成功時に出力されます。 |
F | FAIL(失敗) システム保守承認コマンド、またはポリシー適用(アクセス制御設定)の失敗時に出力されます。 | ||
コンポーネント | 8 | svac | サーバアクセス制御機能を示す固定値です。 |
操作IPアドレス | 39 | ・IPv4の場合 ・IPv6の場合 |
管理対象サーバに対して操作を実行するクライアントのIPアドレスです。 システム保守承認コマンド実行時は、運用管理クライアント/管理対象サーバのIPアドレスです。 ポリシー適用時は、運用管理クライアントのIPアドレスです。 |
実行IPアドレス | 39 | ・IPv4の場合 ・IPv6の場合 XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX(注2) |
管理対象サーバの IP アドレスです。 |
実ユーザ名 | 31 | 文字列 | OSにログインしているユーザ名です。(UNIXの実ユーザ名) |
実効ユーザ名 | 31 | 文字列 | 実効ユーザ名です。 |
実行サーバ | 128 | 文字列 | 運用管理サーバで管理している「表示名」です。 |
コメント | 128 | 文字列 | 各種設定時に指定したコメントです。 |
ポリシー情報 | 277 | <GUIで設定したポリシー名>_<モード>NNNN |
|
Internal definition violation | サーバアクセス制御機能で提供している資産(実行/設定ファイル、ログなど)にアクセスしたときに出力されます。 | ||
操作場所 | 1024 | 文字列 | 管理対象サーバに対して操作を実行するクライアント/運用管理クライアントのホスト名です。 |
承認証明番号 | 1037 | サーバ名/IPアドレス_YYYYMMDD_3桁の通番 |
アクセス制御に関する承認証明番号付きログのアクセス制御結果はすべて「A」となります。 |
プロセス | 4112 | プロセス名(プロセスID) | プロセス名(フルパス)とプロセスIDの2つの情報が取得できた場合の出力形式です。 |
プロセス名 | プロセス名(フルパス)の情報だけが取得できた場合の出力形式です。 | ||
プロセスID | プロセスIDの情報だけが取得できた場合の出力形式です。 | ||
操作対象 | 8200(ルール出力時だけ 8192) | 文字列 | ファイルのアクセス制御を設定した場合、操作対象となったファイル/ディレクトリをフルパスで出力します。 ネットワークのアクセス制御を設定した場合は、後述する注釈を参照してください。(注1) プロセス起動のアクセス制御を設定した場合、プロセス(ファイル)のフルパスおよび引数を出力します。 プロセス強制停止のアクセス制御を設定した場合、「シグナル番号△対象プロセスのフルパス」(△は半角空白)を出力します。 システム保守承認コマンドの実行時は、コマンド実行時の引数を出力します。 ポリシー適用(アクセス監査ログ設定)の場合、ログ出力先と保存日数を出力します。 ポリシー適用(セキュリティ管理者設定)の場合、セキュリティ管理者のユーザ名を出力します。 ポリシー適用(アクセス制御設定:ルール)の場合、ポリシーの1ルールを出力します。 |
注1)
ネットワークのアクセス制御を設定した場合、取得できる情報により以下の形式で出力します。(△は半角空白)
サービス名、ポート番号、TCP or UDPの3つの情報が取得できる場合
→サービス名△ポート番号/TCP or UDP
サービス名とポート番号だけ取得できる場合
→サービス名△ポート番号
サービス名とTCP or UDPだけ取得できる場合
→サービス名△TCP or UDP
ポート番号とTCP or UDPだけ取得できる場合
→ポート番号/TCP or UDP
サービス名だけ取得できる場合
→サービス名
ポート番号だけ取得できる場合
→ポート番号
TCP or UDPだけ取得できる場合
→TCP or UDP
注2)
RFC4291に準拠したIPv6アドレス表記です。
機能 | 出力される | ||
|---|---|---|---|
アクセス制御 | ファイル/ディレクトリ | 読み取り操作 | FR |
書き込み操作 | FW | ||
作成操作 | FC | ||
削除操作 | FD | ||
変名操作(変名前) | FNB | ||
変名操作(変名後) | FNA(注1) | ||
属性変更操作 | FA | ||
ハードリンク(リンク元) | FLB | ||
ハードリンク(リンク先) | FLA(注2) | ||
プロセス | 起動 | PS | |
終了 | PK | ||
ネットワーク接続 | NE | ||
コンソールログイン | ログイン | LI | |
ログアウト | LO | ||
ネットワークログイン | ログイン | NLI | |
ログアウト | NLO | ||
レジストリ | 読み取り操作 | RR | |
書き込み操作 | RW | ||
作成操作 | RC | ||
削除操作 | RD | ||
システム保守コマンド | システム保守承認コマンド | SAC | |
システム保守承認状況表示コマンド | SVC | ||
システム保守開始コマンド | SBC | ||
システム保守終了コマンド | SEC | ||
ポリシー適用 | ポリシー適用(アクセス制御設定) | PAA | |
ポリシー適用(アクセス監査ログ設定) | PAL | ||
ポリシー適用(アクセス制御設定:ルール) | PAR | ||
ポリシー適用(セキュリティ管理者設定) | PAS | ||
ポリシー適用(セキュリティ監査者) | PAU | ||
ポリシー適用(録画設定) | PAC | ||
注1)
変名後のファイル/ディレクトリに対して、アクセス制御が設定されていない場合、「アクセス制御結果」に「N」が出力されます。
注2)
リンク先のファイル/ディレクトリに対して、アクセス制御が設定されていない場合、「アクセス制御結果」に「N」が出力されます。
注意事項
出力する情報がない欄には、「_」が入ります。
各フィールドはダブルクォーテーションで囲まれて出力されます。また、以下のフィールドについては、ダブルクォーテーションの内側の最初と最後に記号が出力されます。
実ユーザ名:<T0>、</T0>
実効ユーザ名:<T1>、</T1>
実行サーバ:<T2>、</T2>
コメント:<T3>、</T3>
ポリシー情報:<T4>、</T4>
操作場所:<T5>、</T5>
承認証明番号:<T6>、</T6>
プロセス:<T7>、</T7>
操作対象:<T8>、</T8>
出力されるレコードに含まれるコードは、Systemwalkerのインストール時に設定されているOSの動作言語となります。
使用例
コンソールからログインした場合(基本設定のログ)
TELNETで接続した場合(基本設定のログ)
suを実行した場合(基本設定のログ)
ファイルを操作した場合
