FUJITSU Software Systemwalker Centric Manager 使用手引書 セキュリティ編 UNIX/Windows(R)共通 J2X1-7802-02Z0(00) 2014年1月 まえがき 本書の目的 本書は、Systemwalker Centric Manager の機能を使用して、システムやネットワークのセキュリティを強化する方法につい て説明します。 本書の読者 本書は、Systemwalker Centric Managerのセキュリティ機能の設計および設定する方を対象としています。 また、本書を読む場合、OSやGUIの一般的な操作、およびTCP/IP、SMTP、SNMP、ディレクトリサービス(Active Directory またはLDAP)などの一般的な知識をご理解の上でお読みください。 本書の表記について エディションによる固有記事について Systemwalker Centric Managerのマニュアルでは、標準仕様である“Systemwalker Centric Manager Standard Edition”の 記事と区別するため、エディションによる固有記事に対して以下の記号をタイトル、または本文に付けています。 EE: “Systemwalker Centric Manager Enterprise Edition”の固有記事 GEE: “Systemwalker Centric Manager Global Enterprise Edition”の固有記事 EE/GEE: “Systemwalker Centric Manager Enterprise Edition”、および“Systemwalker Centric Manager Global Enterprise Edition”の固有記事 固有記事の範囲は、タイトル、または本文に付いた場合で以下のように異なります。 タイトルに付いている場合 章/節/項などのタイトルに付いている場合、タイトルの説明部分全体が、固有記事であることを示します。この場合、タ イトルに対して、オンラインマニュアルの場合は色付けされます。 本文に付いている場合 固有記事全体に対して、オンラインマニュアルの場合は色付けされます。 Windows版とUNIX版の固有記事について 本書は、Windows版、UNIX版共通に記事を掲載しています。Windows版のみの記事、UNIX版のみの記事は、以下の ように記号を付けて共通の記事と区別しています。 本文中でWindows版とUNIX版の記載が分かれる場合は、“Windows版の場合は~”、“UNIX版の場合は~”のように 場合分けして説明しています。 タイトル【Windows版】 タイトル、小見出しの説明部分全体が、Windows版固有の記事です。 タイトル【UNIX版】 タイトル、小見出しの説明部分全体が、UNIX版固有の記事です。 -i- 記号について 画面項目名、およびコマンドで使用する記号について説明します。 [ ]記号 Systemwalker Centric Managerで提供している画面名、メニュー名、および画面項目名をこの記号で囲んでいます。 コマンドで使用する記号 コマンドで使用している記号について以下に説明します。 - 記述例 [PARA={a |b |c |… }] - 記号の意味 記号 意味 [] この記号で囲まれた項目を省略できることを示します。 {} この記号で囲まれた項目の中から、どれか1つを選択することを示します。 _ 省略可能記号“[ ]”内の項目をすべて省略したときの省略値が、下線で示された項目 であることを示します。 | この記号を区切りとして並べられた項目の中から、どれか1つを選択することを示しま す。 … この記号の直前の項目を繰り返して指定できることを示します。 略語表記について 本書では、以下の略称を使用しています。 オペレーティングシステム 正式名称 略称 Microsoft(R) Windows Server(R) 2012 Foundation (x64) Windows Server 2012 Microsoft(R) Windows Server(R) 2012 Standard (x64) Windows Server(R) 2012 Microsoft(R) Windows Server(R) 2012 Datacenter (x64) Windows Server® 2012 Microsoft(R) Windows Server(R) 2008 Datacenter Windows Server 2008 DTC Microsoft(R) Windows Server(R) 2008 Datacenter without HyperV(TM) Windows Server(R) 2008 DTC Microsoft(R) Windows Server(R) 2008 R2 Datacenter Windows Server 2008 R2 DTC Windows Server® 2008 DTC Windows Server(R) 2008 R2 DTC Windows Server® 2008 R2 DTC Microsoft(R) Windows Server(R) 2008 Enterprise Windows Server 2008 EE Microsoft(R) Windows Server(R) 2008 Enterprise without HyperV(TM) Windows Server(R) 2008 EE Microsoft(R) Windows Server(R) 2008 R2 Enterprise Windows Server 2008 R2 EE Windows Server® 2008 EE Windows Server(R) 2008 R2 EE Windows Server® 2008 R2 EE Microsoft(R) Windows Server(R) 2008 Standard Windows Server 2008 STD - ii - 正式名称 略称 Microsoft(R) Windows Server(R) 2008 Standard without HyperV(TM) Windows Server(R) 2008 STD Microsoft(R) Windows Server(R) 2008 R2 Standard Windows Server 2008 R2 STD Windows Server® 2008 STD Windows Server(R) 2008 R2 STD Windows Server® 2008 R2 STD Microsoft(R) Windows Server(R) 2008 Foundation Windows Server 2008 Foundation Windows Server(R) 2008 Foundation Windows Server® 2008 Foundation Microsoft(R) Windows Server(R) 2008 R2 Foundation Windows Server 2008 R2 Foundation Windows Server(R) 2008 R2 Foundation Windows Server® 2008 R2 Foundation Server Coreインストールした以下のOS Windows Server 2008 Server Core Microsoft(R) Windows Server(R) 2008 Standard Windows Server(R) 2008 Server Core Microsoft(R) Windows Server(R) 2008 Standard without HyperV(TM) Windows Server® 2008 Server Core Microsoft(R) Windows Server(R) 2008 Enterprise Microsoft(R) Windows Server(R) 2008 Enterprise without HyperV(TM) Microsoft(R) Windows Server(R) 2008 Datacenter Microsoft(R) Windows Server(R) 2008 Datacenter without HyperV(TM) Microsoft(R) Windows Server(R) 2008 R2 Foundation Windows Server 2008 R2 Microsoft(R) Windows Server(R) 2008 R2 Standard Windows Server(R) 2008 R2 Microsoft(R) Windows Server(R) 2008 R2 Enterprise Windows Server® 2008 R2 Microsoft(R) Windows Server(R) 2008 R2 Datacenter Microsoft® Windows Server® 2008 for Itanium-Based Systems Windows Server 2008 for Itanium-Based Systems Microsoft® Windows Server® 2008 Foundation Windows Server 2008 Microsoft® Windows Server® 2008 Standard Windows Server(R) 2008 Microsoft® Windows Server® 2008 Enterprise Windows Server® 2008 Microsoft® Windows Server® 2008 Datacenter Microsoft® Windows Server® 2008 Standard without Hyper-V(TM) Microsoft® Windows Server® 2008 Enterprise without HyperV(TM) Microsoft® Windows Server® 2008 Datacenter without HyperV(TM) Microsoft® Windows Server® 2008 R2 Foundation Microsoft® Windows Server® 2008 R2 Standard Microsoft® Windows Server® 2008 R2 Enterprise Microsoft® Windows Server® 2008 R2 Datacenter Microsoft(R) Windows Server(R) 2003 R2, Datacenter x64 Edition - iii - Windows Server 2003 DTC 正式名称 略称 Microsoft(R) Windows Server(R) 2003 R2, Datacenter Edition Windows Server(R) 2003 DTC Microsoft(R) Windows Server(R) 2003, Datacenter x64 Edition Windows Server® 2003 DTC Microsoft(R) Windows Server(R) 2003, Datacenter Edition for Itanium-based Systems Microsoft(R) Windows Server(R) 2003, Datacenter Edition Microsoft(R) Windows Server(R) 2003 R2, Datacenter x64 Edition Windows Server 2003 DTC (x64) Microsoft(R) Windows Server(R) 2003, Datacenter x64 Edition Windows Server(R) 2003 DTC (x64) Windows Server® 2003 DTC (x64) Microsoft(R) Windows Server(R) 2003 R2, Enterprise x64 Edition Windows Server 2003 EE Microsoft(R) Windows Server(R) 2003 R2, Enterprise Edition Windows Server(R) 2003 EE Microsoft(R) Windows Server(R) 2003, Enterprise x64 Edition Windows Server® 2003 EE Microsoft(R) Windows Server(R) 2003, Enterprise Edition for Itanium-based Systems Microsoft(R) Windows Server(R) 2003, Enterprise Edition Microsoft(R) Windows Server(R) 2003 R2, Enterprise x64 Edition Windows Server 2003 EE (x64) Microsoft(R) Windows Server(R) 2003, Enterprise x64 Edition Windows Server(R) 2003 EE (x64) Windows Server® 2003 EE (x64) Microsoft(R) Windows Server(R) 2003 R2, Standard x64 Edition Windows Server 2003 STD Microsoft(R) Windows Server(R) 2003 R2, Standard Edition Windows Server(R) 2003 STD Microsoft(R) Windows Server(R) 2003, Standard x64 Edition Windows Server® 2003 STD Microsoft(R) Windows Server(R) 2003, Standard Edition Microsoft(R) Windows Server(R) 2003 R2, Standard x64 Edition Windows Server 2003 STD (x64) Microsoft(R) Windows Server(R) 2003, Standard x64 Edition Windows Server(R) 2003 STD (x64) Windows Server® 2003 STD (x64) Microsoft(R) Windows Server(R) 2003, Standard Edition Windows Server 2003 Microsoft(R) Windows Server(R) 2003, Enterprise Edition Windows Server(R) 2003 Microsoft(R) Windows Server(R) 2003, Datacenter Edition Windows Server® 2003 Microsoft(R) Windows Server(R) 2003, Standard x64 Edition Microsoft(R) Windows Server(R) 2003, Enterprise x64 Edition Microsoft(R) Windows Server(R) 2003, Datacenter x64 Edition Microsoft(R) Windows Server(R) 2003 R2, Standard Edition Microsoft(R) Windows Server(R) 2003 R2, Enterprise Edition Microsoft(R) Windows Server(R) 2003 R2, Datacenter Edition Microsoft(R) Windows Server(R) 2003 R2, Standard x64 Edition Microsoft(R) Windows Server(R) 2003 R2, Enterprise x64 Edition Microsoft(R) Windows Server(R) 2003 R2, Datacenter x64 Edition Microsoft(R) Windows Server(R) 2003, Enterprise Edition for Itanium-based Systems Microsoft(R) Windows Server(R) 2003, Datacenter Edition for Itanium-based Systems Microsoft(R) Windows Server(R) 2003, Standard x64 Edition - iv - Windows Server 2003 x64 Editions 正式名称 略称 Microsoft(R) Windows Server(R) 2003, Enterprise x64 Edition Windows Server(R) 2003 x64 Editions Microsoft(R) Windows Server(R) 2003, Datacenter x64 Edition Windows Server® 2003 x64 Editions Microsoft(R) Windows Server(R) 2003 R2, Standard x64 Edition Microsoft(R) Windows Server(R) 2003 R2, Enterprise x64 Edition Microsoft(R) Windows Server(R) 2003 R2, Datacenter x64 Edition Microsoft(R) Windows(R) 2000 Professional Windows 2000 Microsoft(R) Windows(R) 2000 Server Windows(R) 2000 Microsoft(R) Windows(R) 2000 Advanced Server Windows® 2000 Microsoft(R) Windows(R) 2000 Datacenter Server Windows(R) 8 (x86) Windows 8 Windows(R) 8 Pro (x86) Windows(R) 8 Windows(R) 8 Enterprise (x86) Windows® 8 Windows(R) 8 (x64) Windows(R) 8 Pro (x64) Windows(R) 8 Enterprise (x64) Windows(R) 7 Home Premium Windows 7 Windows(R) 7 Professional Windows(R) 7 Windows(R) 7 Enterprise Windows® 7 Windows(R) 7 Ultimate Windows Vista(R) Home Basic Windows Vista Windows Vista(R) Home Premium Windows Vista(R) Windows Vista(R) Business Windows Vista® Windows Vista(R) Enterprise Windows Vista(R) Ultimate Microsoft(R) Windows(R) XP Professional x64 Edition Windows XP Microsoft(R) Windows(R) XP Professional Windows(R) XP Microsoft(R) Windows(R) XP Home Edition Windows® XP Microsoft(R) Windows NT(R) Server network operating system Version 4.0 Windows NT Microsoft(R) Windows NT(R) Workstation operating system Version 4.0 Windows NT(R) Windows NT® Microsoft(R) Windows NT(R) Server network operating system Version 3.51 Microsoft(R) Windows NT(R) Workstation operating system Version 3.51 Microsoft(R) Windows NT(R) Server network operating system Version 4.0 Windows NT(R) Server Microsoft(R) Windows NT(R) Server network operating system Version 3.51 Microsoft(R) Windows NT(R) Workstation operating system Version 4.0 -v- Windows NT(R) Workstation 正式名称 略称 Microsoft(R) Windows NT(R) Workstation operating system Version 3.51 Microsoft(R) Windows NT(R) Server network operating system Version 4.0 Microsoft(R) Windows NT(R) Workstation operating system Version 4.0 Microsoft(R) Windows(R) 95 operating system、Microsoft(R) Windows(R) 95 Second Edition Windows NT 4.0 Windows NT(R) 4.0 Windows NT® 4.0 Windows 95 Windows(R) 95 Windows® 95 Microsoft(R) Windows(R) 98 operating system、Microsoft(R) Windows(R) 98 Second Edition Windows 98 Windows(R) 98 Windows® 98 Microsoft(R) Windows(R) Millennium Edition Windows Me Windows(R) Me Windows® Me 上記のオペレーティングシステムすべて Windows Windows(R) Windows® Microsoft(R) Windows Azure(R) Windows Azure Windows Azure(R) Windows Azure® Solaris 11 Solaris(注) Solaris 10 Solaris 9 Red Hat Enterprise Linux 5 Linux Red Hat Enterprise Linux 6 Red Hat Enterprise Linux 5 (for Intel64) Linux for Intel64 Red Hat Enterprise Linux 6 (for Intel64) Red Hat Enterprise Linux 5 (for x86) Linux for x86 Red Hat Enterprise Linux 6 (for x86) Itaniumに対応したWindows Windows for Itanium Itaniumに対応したLinux Linux for Itanium 注) Oracle SolarisはSolaris、Solaris Operating System、Solaris OSと記載することがあります。 その他の製品 製品名称 略称 Microsoft(R) SQL Server(TM) SQL Server Microsoft(R) Visual C++ Visual C++ Systemwalker Centric Managerの表記 - vi - 略称 Systemwalker Centric Manager Windows上で動作するSystemwalker Centric Manager Windows版 32bit版のWindows上で動作するSystemwalker Centric Manager Windows(32bit)版 64bit版のWindows上で動作するSystemwalker Centric Manager Windows(64bit)版 Solaris上で動作するSystemwalker Centric Manager Solaris版 Linux上で動作するSystemwalker Centric Manager Linux版 以下のLinux上で動作するSystemwalker Centric Manager Linux for Intel64版 ・ Red Hat Enterprise Linux 5 (for Intel64) ・ Red Hat Enterprise Linux 6 (for Intel64) 以下のLinux上で動作するSystemwalker Centric Manager Linux for x86版 ・ Red Hat Enterprise Linux 5 (for x86) ・ Red Hat Enterprise Linux 6 (for x86) HP-UXで動作するSystemwalker Centric Manager V13.2.0 HP-UX版 AIXで動作するSystemwalker Centric Manager V13.2.0 AIX版 Itaniumに対応したLinux上で動作するSystemwalker Centric Manager Linux for Itanium版 Itaniumに対応したWindows上で動作するSystemwalker Centric Manager Windows for Itanium版 輸出管理規制について 本ドキュメントを輸出または提供する場合は、外国為替および外国貿易法および米国輸出管理関連法規等の規制をご 確認の上、必要な手続きをおとりください。 商標について Apache、Tomcatは、The Apache Software Foundationの登録商標または商標です。 APC、PowerChuteは、American Power Conversion Corp.の登録商標です。 ARCserveは、米国CA Technologiesの登録商標です。 Citrix、MetaFrameは、Citrix Systems, Inc.の米国およびその他の国における登録商標です。 Ethernetは、富士ゼロックス株式会社の登録商標です。 HP-UXは、米国Hewlett-Packard社の登録商標です。 IBM、IBMロゴ、AIX、AIX 5L、HACMP、Power、PowerHAは、International Business Machines Corporationの米国およ びその他の国における商標です。 Intel、Itaniumは、米国およびその他の国におけるIntel Corporationまたはその子会社の商標または登録商標です。 JP1は、株式会社日立製作所の日本における商標または登録商標です。 LANDeskは、米国およびその他の国におけるAvocent Corporationとその子会社の商標または登録商標です。 Laplinkは、米国Laplink Software, Inc.の米国およびその他の国における登録商標または商標です。 Linuxは、Linus Torvalds氏の米国およびその他の国における商標または登録商標です。 MC/ServiceGuardは、Hewlett-Packard Companyの製品であり、著作権で保護されています。 Microsoft、Windows、Windows NT、Windows Vista、Windows Serverまたはその他のマイクロソフト製品の名称および 製品名は、米国Microsoft Corporationの米国およびその他の国における登録商標または商標です。 Mozilla、Firefoxは、米国Mozilla Foundationの米国およびその他の国における商標または登録商標です。 NEC、SmartVoice、WinShareは、日本電気株式会社の商標または登録商標です。 - vii - Netscape、Netscapeの N および操舵輪のロゴは、米国およびその他の国におけるNetscape Communications Corporation の登録商標です。 OpenLinuxは、The SCO Group, Inc.の米国ならびその他の国における登録商標あるいは商標です。 Oracleは、米国Oracle Corporationの登録商標です。 Palm、Palm OSは、Palm Trademark Holding Company LLCの商標または登録商標です。 R/3およびSAPは、SAP AGの登録商標です。 Red Hat、RPMおよびRed Hatをベースとしたすべての商標とロゴは、Red Hat, Inc.の米国およびその他の国における商 標または登録商標です。 OracleとJavaは、Oracle Corporation およびその子会社、関連会社の米国およびその他の国における登録商標です。文 中の社名、商品名等は各社の商標または登録商標である場合があります。 Symantec、Symantecロゴ、LiveUpdate、Norton AntiVirusは、Symantec Corporationの米国およびその他の国における登 録商標です。 Symantec pcAnywhere、Symantec Packager、ColorScale、SpeedSendは、Symantec Corporationの米国およびその他の国 における商標です。 Tcl/Tkは、カリフォルニア大学、Sun Microsystems, Inc.、Scriptics Corporation他が作成したフリーソフトです。 TRENDMICRO、Trend Micro Control Manager、Trend Virus Control System、TVCS、InterScan、ウイルスバスター、 INTERSCAN VIRUSWALL、eManagerは、トレンドマイクロ株式会社の登録商標です。 UNIXは、米国およびその他の国におけるThe Open Groupの登録商標です。 UXP、Systemwalker、Interstage、Symfowareは、富士通株式会社の登録商標です。 Veritasは、Symantec Corporationの米国およびその他の国における登録商標です。 VirusScanおよびNetShieldは、米国McAfee, Inc.および関連会社の商標または登録商標です。 VMware、VMwareロゴ、Virtual SMP、VMotionはVMware, Inc.の米国およびその他の国における登録商標または商標 です。 Windows Azureは、米国Microsoft Corporationの米国およびその他の国における登録商標または商標です。 ショートメール、iモード、mova、シティフォンは、株式会社エヌ・ティ・ティ・ドコモ(以下NTTドコモ)の登録商標です。 その他の会社名および製品名は、それぞれの会社の商標もしくは登録商標です。 Microsoft Corporationのガイドラインに従って画面写真を使用しています。 平成26年1月 改版履歴 平成25年 10月 初 版 平成26年 1月 第2版 Copyright 1995-2014 FUJITSU LIMITED All Rights Reserved, Copyright (C) PFU LIMITED 1995-2014 - viii - 目 次 第1部 セキュリティ対策はなぜ必要なのか..................................................................................................................................1 第1章 セキュリティの脅威と対策.................................................................................................................................................2 1.1 セキュリティの脅威..............................................................................................................................................................................2 1.1.1 ネットワークに対する脅威............................................................................................................................................................3 1.1.2 Systemwalker Centric Manager自身に対する脅威.....................................................................................................................5 1.1.3 サーバとクライアントの操作に対する脅威...................................................................................................................................6 1.1.4 その他の脅威...............................................................................................................................................................................8 1.2 セキュリティの対策..............................................................................................................................................................................9 1.2.1 ネットワークに対するセキュリティ対策.......................................................................................................................................10 1.2.2 Systemwalker Centric Manager自身に対するセキュリティ対策................................................................................................12 1.2.3 サーバとクライアントの操作に対するセキュリティ対策.............................................................................................................13 1.2.4 その他のセキュリティ対策..........................................................................................................................................................14 第2章 セキュリティを確保するための前提条件..........................................................................................................................16 2.1 ネットワークに関するセキュリティの前提条件..................................................................................................................................16 2.2 サーバとクライアントに関するセキュリティの前提条件....................................................................................................................16 第2部 セキュリティを強化するにはどのような運用をしたらよいか...............................................................................................18 第3章 ネットワークセキュリティを強化するには..........................................................................................................................19 3.1 不正パケット送信による妨害を防ぐ..................................................................................................................................................19 3.2 通信傍受による情報漏洩を防ぐ.......................................................................................................................................................20 第4章 Systemwalker Centric Manager自身のセキュリティを強化するには...............................................................................22 4.1 悪意ある操作を防ぐ..........................................................................................................................................................................22 4.2 偶発的な誤操作を防ぐ.....................................................................................................................................................................22 4.3 [Systemwalkerコンソール]の操作を制御する..................................................................................................................................22 第5章 サーバとクライアントのセキュリティを強化するには.........................................................................................................28 5.1 サーバに対する不正操作を防ぐ......................................................................................................................................................28 5.2 セキュリティの構成を設計する..........................................................................................................................................................32 第6章 システムのセキュリティを点検するには...........................................................................................................................40 6.1 監査ログを管理する..........................................................................................................................................................................40 6.2 監査ログを分析する..........................................................................................................................................................................47 6.2.1 root権限での操作を点検する....................................................................................................................................................52 6.2.2 Systemwalkerコンソールでの操作を点検する..........................................................................................................................54 6.2.3 サーバでの操作を点検する.......................................................................................................................................................55 6.2.4 サーバの自動運転運用を点検する..........................................................................................................................................56 6.3 監査ログ管理の構成を設計する......................................................................................................................................................58 第3部 セキュリティを強化するためのSystemwalkerの設定.......................................................................................................62 第7章 セキュリティポリシーを設定する......................................................................................................................................63 7.1 セキュリティポリシーを設定する手順................................................................................................................................................63 7.2 セキュリティ管理者/監査者を設定する.............................................................................................................................................67 7.3 セキュリティポリシーを設定する........................................................................................................................................................74 7.4 ポリシーグループを作成する............................................................................................................................................................79 7.5 ポリシーを配付する...........................................................................................................................................................................80 7.6 ポリシーの配付状況を確認する.......................................................................................................................................................81 第8章 [Systemwalkerコンソール]の操作を制限する.................................................................................................................82 8.1 [Systemwalkerコンソール]のアクセス権の考え方............................................................................................................................82 8.2 コンソール操作制御機能で認証する...............................................................................................................................................85 8.2.1 マネージャの環境設定..............................................................................................................................................................86 8.2.2 操作制御マネージャ起動条件記述ファイルの作成.................................................................................................................90 - ix - 8.2.3 ファイルの変換...........................................................................................................................................................................90 8.2.4 操作制御マネージャ起動条件記述ファイルの定義例.............................................................................................................91 8.2.5 操作を行う担当者のユーザ名をシステムに登録する...............................................................................................................97 8.2.6 運用管理クライアントの環境設定..............................................................................................................................................99 8.2.7 操作ごとの保護を使用する場合の操作....................................................................................................................................99 8.3 SMARTACCESSと連携する...........................................................................................................................................................100 8.4 コンソール操作制御機能の注意事項............................................................................................................................................103 第9章 Systemwalker Centric Managerの監査ログを出力する...............................................................................................104 9.1 Systemwalkerコンソール/コンソール操作制御の監査ログ............................................................................................................104 9.2 サーバアクセス制御の監査ログ......................................................................................................................................................107 9.3 リモート操作の監査ログ..................................................................................................................................................................110 9.4 ACLマネージャの監査ログ.............................................................................................................................................................110 9.5 システム監視の監査ログ.................................................................................................................................................................114 9.6 自動運用支援の監査ログ...............................................................................................................................................................115 第10章 監査ログを管理する...................................................................................................................................................117 10.1 収集・管理できるログファイルの種類...........................................................................................................................................117 10.2 監査ログ管理でログを収集するために.........................................................................................................................................119 10.3 監査ログ管理の設定例.................................................................................................................................................................133 10.4 監査ログ管理のしくみ...................................................................................................................................................................140 10.5 監査ログを収集・保管するための設定.........................................................................................................................................145 10.5.1 コマンドの入力ファイルに記載して設定する........................................................................................................................146 10.5.2 コマンドを使用して設定する..................................................................................................................................................149 10.5.3 ポリシーを使用して設定する.................................................................................................................................................151 10.5.4 収集対象のログの定義..........................................................................................................................................................162 10.5.5 収集対象のサーバを限定する..............................................................................................................................................169 10.5.6 収集したログファイルを二次媒体装置へ複写するための設定............................................................................................170 10.5.7 中継サーバを利用するための設定.......................................................................................................................................171 10.5.8 カスタムイベントログを収集するための設定..........................................................................................................................174 10.6 監査ログを収集する......................................................................................................................................................................177 10.7 監査ログを管理する......................................................................................................................................................................180 10.8 監査ログを評価する......................................................................................................................................................................184 10.9 監査ログを退避する......................................................................................................................................................................190 10.10 監査ログ管理の注意事項...........................................................................................................................................................192 第11章 監査ログを分析する...................................................................................................................................................194 11.1 監査ログを分析する作業の流れ..................................................................................................................................................194 11.1.1 監査ログを正規化する...........................................................................................................................................................195 11.1.2 問い合わせファイルを作成する.............................................................................................................................................206 11.1.3 正規化ログが改ざんされていないかを確認する..................................................................................................................214 11.1.4 監査ログを集計する...............................................................................................................................................................216 11.1.5 監査ログを検索する...............................................................................................................................................................222 11.1.6 点検結果を出力する..............................................................................................................................................................243 11.1.7 正規化ログを保管する...........................................................................................................................................................246 11.1.8 正規化ログを削除する...........................................................................................................................................................248 11.2 Systemwalker Centric Managerの監査ログを分析する................................................................................................................249 11.2.1 root権限での操作を点検するには........................................................................................................................................249 11.2.1.1 監査ログを収集し正規化する.........................................................................................................................................250 11.2.1.2 問い合わせサンプルファイルを編集する.......................................................................................................................252 11.2.1.3 スケジューラに集計を実行するコマンドを登録する.......................................................................................................268 11.2.1.4 監査ログを分析する手順................................................................................................................................................269 11.2.1.5 追跡調査を行う................................................................................................................................................................270 11.2.1.6 レポートを作成する.........................................................................................................................................................272 11.2.2 Systemwalkerコンソールの操作を点検するには..................................................................................................................275 11.2.2.1 監査ログを収集し正規化する.........................................................................................................................................275 11.2.2.2 問い合わせサンプルファイルを編集する.......................................................................................................................277 11.2.2.3 スケジューラに集計を実行するコマンドを登録する.......................................................................................................289 -x- 11.2.2.4 監査ログを分析する手順................................................................................................................................................289 11.2.2.5 レポートを作成する.........................................................................................................................................................291 11.2.3 サーバの操作を点検するには...............................................................................................................................................294 11.2.3.1 監査ログを収集し正規化する.........................................................................................................................................295 11.2.3.2 問い合わせサンプルファイルを編集する.......................................................................................................................296 11.2.3.3 スケジューラに集計を実行するコマンドを登録する.......................................................................................................304 11.2.3.4 監査ログを分析する手順................................................................................................................................................304 11.2.3.5 追跡調査を行う................................................................................................................................................................310 11.2.3.6 レポートを作成する.........................................................................................................................................................311 11.3 Systemwalker Operation Managerの監査ログを分析する............................................................................................................314 11.3.1 サーバの自動運転運用を点検するには...............................................................................................................................314 11.3.2 監査ログを収集し正規化する................................................................................................................................................315 11.3.3 問い合わせサンプルファイルを編集する..............................................................................................................................316 11.3.4 スケジューラに集計を実行するコマンドを登録する..............................................................................................................323 11.3.5 監査ログを分析する手順.......................................................................................................................................................324 11.3.6 追跡調査を行う.......................................................................................................................................................................324 11.3.7 レポートを作成する................................................................................................................................................................325 11.4 カスタム イベントログを分析する...................................................................................................................................................327 11.5 [監査ログ分析]画面のメニュー項目.............................................................................................................................................330 11.6 [監査ログ分析]画面をカスタマイズする.......................................................................................................................................333 第12章 サーバへのアクセスを制御する..................................................................................................................................335 12.1 サーバアクセス制御機能を設定する作業の流れ........................................................................................................................335 12.2 ポリシーを作成・配付する.............................................................................................................................................................346 12.2.1 監査ログ、録画記録の出力先/保存日数を設定する............................................................................................................346 12.2.2 スタンダードモードでポリシーを作成する.............................................................................................................................350 12.2.3 ポリシーを配付する................................................................................................................................................................363 12.2.4 スタンダードモードをカスタムモードに変更する...................................................................................................................364 12.2.5 カスタムモードでポリシーを作成する....................................................................................................................................366 12.2.6 ポリシーを編集する................................................................................................................................................................371 12.2.7 配付済みのポリシーを削除する............................................................................................................................................377 12.3 システム運用時の作業..................................................................................................................................................................378 12.3.1 不正アクセスを監視する........................................................................................................................................................378 12.3.2 サーバへのアクセス状況を点検する.....................................................................................................................................378 12.3.3 不正アクセスに対して改善策を立案する..............................................................................................................................379 12.4 セキュリティを維持したままシステムを保守する...........................................................................................................................380 12.4.1 保守作業を承認する..............................................................................................................................................................381 12.4.2 保守作業を実施する..............................................................................................................................................................383 12.4.3 保守作業の承認状況を確認/承認番号を強制的に回収する..............................................................................................385 12.4.4 保守作業を点検する..............................................................................................................................................................387 - xi - 第1部 セキュリティ対策はなぜ必要なのか 第1部では、セキュリティ対策が必要となる社会的背景、Systemwalker Centric Managerを導入することによって可能にな るセキュリティ対策、およびセキュリティ対策を実施するときの前提条件について説明します。 第1章 セキュリティの脅威と対策....................................................................................................2 第2章 セキュリティを確保するための前提条件.............................................................................16 -1- 第1章 セキュリティの脅威と対策 本章では、システムやネットワークを取り巻くセキュリティの脅威と、その脅威に対してSystemwalker Centric Managerを使 用してどのように防御するかについて説明します。 1.1 セキュリティの脅威 Systemwalker Centric Managerを含むシステムやネットワークに存在する脅威の全体像について説明します。 システムやネットワークを取り巻く脅威には、大きく分けて以下があります。 ・ 脅威1:ネットワークに対する脅威 ・ 脅威2:Systemwalker Centric Manager自身に対する脅威 ・ 脅威3:サーバとクライアントの操作に対する脅威 ・ 脅威4:その他の脅威 システムに対し、常に新しいセキュリティの脅威が報告され、その脅威に対する新しい対策が立てられます。特にセキュ リティを重視するシステムの場合は、最新の情報の入手に努めるようにしてください。 -2- ポイント Brute force パスワードなどの文字列を解読する方法のひとつです。意味のある単語や文字を総当たりで組み合わせて一致するもの を探しだす手法です。 BOF(buffer over flow : バッファオーバーフロー) 予めプログラムが確保したメモリサイズよりも大きいサイズの文字列を入力することで、領域をあふれさせ(オーバーフ ロー)、プログラムの異常終了などの予期しない動作を引き起こす手法です。 DoS攻撃(Denial of Service Attack) ネットワークを介した攻撃方法のひとつです。コンピュータやルータに不正なデータを送信して使用不可能な状態にした り、大量のデータを送信して通信トラフィックを増大させ、相手のネットワークを麻痺させる手法です。 VPN(Virtual Private Network) インターネット上の拠点間を専用線のように接続して、安全な通信を可能とする方法です。VPNを使用すると、通信傍受 や改ざんなどの不正アクセスを防ぐことができるため、社外のネットワークから社内のネットワークに安全にアクセスするこ とができます。 パスワードクラック 他人のパスワードを解析し、探り当てることです。パスワードクラックには、Brute force(総当たり攻撃)や、辞書攻撃などの 手法があります。 1.1.1 ネットワークに対する脅威 ネットワークに対する脅威について説明します。 -3- ネットワークに対する脅威には以下があります。 ・ 脅威A:不正パケット送信によるDoS攻撃、BOF悪用 コンピュータやルータなどに不正なパケットを送信することにより、通信トラフィックを増大させ、ネットワークの麻痺を 発生させる脅威です。 脅威に対する対策については、“一般的な機能や製品による対策”を参照してください。 ・ 脅威B:BOF悪用 プログラムに存在するメモリ領域破壊の障害を悪用し、情報流出やシステム破壊などを与える脅威です。 例えば、インターネットエクスプローラなどでBOFの障害が発見された場合、Microsoft Updateから修正プログラムが 提供されますが、ユーザがその修正プログラムを適用するまでの間に、悪意ある第三者がBOFの障害を利用して、 システムに対して攻撃を行うことがあります。また、直接攻撃を与えるのではなく、悪意あるサイトにアクセスさせ情報 流出やシステム破壊を起こさせることができます。IISなど一般に利用される機能でBOF障害が検出された場合は、 攻撃対象サーバに対し不正パケットを送信し、情報流出、サーバ停止、システム破壊などの問題を引き起こすことに なります。 BOF障害はユーザのプログラムに存在する場合もあり、クライアントアプリケーションだけでなく、サーバアプリケーショ ンでも同様な問題が発生する可能性があります。 -4- 脅威に対する対策については、“一般的な機能や製品による対策”を参照してください。 ・ 脅威C:Brute Forceによるパスワードクラック パスワードとして想定されるキーワードをすべてリストアップし、総当たりで入力することにより、ユーザパスワードを割 り出すことです。パスワードを割り出された場合、ユーザになりすましてシステムに侵入され、情報の改ざんや破壊、 情報漏洩などの被害が発生する脅威です。 脅威に対する対策については、“一般的な機能や製品による対策”を参照してください。 ・ 脅威D:通信傍受による情報漏洩 通信パケットを傍受し、内容を解析することにより不正に情報を入手する脅威です。 脅威に対する対策については、“Systemwalker Centric Managerでできる対策”を参照してください。 ・ 脅威E:通信改変による機能悪用/サーバのっとり 通信パケットを傍受し、その内容を改変したものを送付することにより、機能を悪用したり、サーバをのっとったりする 脅威です。 脅威に対する対策については、“運用ルールや環境による防御”を参照してください。 1.1.2 Systemwalker Centric Manager自身に対する脅威 Systemwalker Centric Manager自身に対する脅威について説明します。 -5- Systemwalker Centric Manager自身に対する脅威には以下があります。 ・ 脅威A:不正端末使用/誤操作によるシステム破壊/情報入手 運用管理クライアントから不正に、または誤って操作することにより、運用管理サーバや被監視サーバのシステム破 壊を行ったり、社外秘情報や機密情報などを部外者が不正に入手する脅威です。 脅威に対する対策については、“コンソール操作制御、ロールによるアクセス制御強化”を参照してください。 ・ 脅威B:操作履歴削除による監査妨害 操作履歴を削除して、不当に操作を行った証拠を消去し、不正操作が行われたことを検出させないように妨害する 脅威です。 脅威に対する対策については、“監査ログ出力による事後監査”を参照してください。 1.1.3 サーバとクライアントの操作に対する脅威 サーバとクライアントの操作に対する脅威を説明します。 -6- サーバとクライアントの操作に対する脅威には以下があります。 ・ 脅威A:権限を悪用した情報搾取 権限を持つ管理者がDBサーバなどから、お客様情報やシステム情報を不正に入手する脅威です。 脅威に対する対策については、“Systemwalker Centric Managerでできる対策”を参照してください。 ・ 脅威B:監査ログの削除/改ざんによる証拠隠滅 監査ログのファイルを削除したり、内容を改ざんすることにより、不正操作を行った証拠を隠滅し、不正操作が見つか らないようにする脅威です。 脅威に対する対策については、“Systemwalker Centric Managerでできる対策”を参照してください。 ・ 脅威C:端末覗き見による不正情報入手 画面に表示されたアプリケーションの動作や、キーボード・マウスの操作を覗き見し、不正に情報を入手する脅威で す。 脅威に対する対策については、“運用ルールや環境による防御”を参照してください。 ・ 脅威D:放置端末の不正使用によるシステム悪用/不正情報入手 ログインしたまま放置された端末からシステムに侵入し、システムを悪用したり、不正に情報を入手する脅威です。 -7- 脅威に対する対策については、“運用ルールや環境による防御”を参照してください。 ・ 脅威E:ウィルス/ワームおよび不正ソフト導入による情報漏洩/システム破壊 ウィルスやワームに感染したり、または不正ソフトを導入することにより、そのウィルス、ワーム、不正ソフト経由でコン ピュータ上の情報が漏洩したり、システムが破壊されたりする脅威です。 脅威に対する対策については、“一般的な機能や製品による対策”を参照してください。 ・ 脅威F:放置IDの悪用による不正侵入 管理者の変更などにより使用しなくなったIDを、第三者が不正に利用してシステムに侵入し、情報搾取やシステム破 壊を起こす脅威です。 脅威に対する対策については、“運用ルールや環境による防御”を参照してください。 1.1.4 その他の脅威 その他の脅威について説明します。 その他の脅威には以下があります。 -8- ・ 脅威A:放置/廃棄された印刷物より不正に情報入手 プリンタに放置された印刷物や、誰でも閲覧できる場所に破棄された印刷物から、部外者が不正に情報を入手する 脅威です。 脅威に対する対策については、“運用ルールや環境による防御”を参照してください。 1.2 セキュリティの対策 各種の脅威に対するセキュリティ対策について説明します。また、Systemwalker Centric Managerが提供しているセキュ リティ対策のための機能について説明します。 Systemwalker Centric Managerでは、セキュリティ対策のために多く機能を提供していますが、Systemwalker Centric Managerですべての脅威に対抗できるわけではありません。セキュリティを確保するために必要な基本的な対策につい ては、“セキュリティを確保するための前提条件”を参照してください。 -9- セキュリティ対策には、以下の種類があります。 ・ 対策1:ネットワークに対するセキュリティ対策 ・ 対策2:Systemwalker Centric Manager自身に対するセキュリティ対策 ・ 対策3:サーバとクライアントの操作に対するセキュリティ対策 ・ 対策4:その他のセキュリティ対策 1.2.1 ネットワークに対するセキュリティ対策 ネットワークに対するセキュリティ対策について説明します。 - 10 - それぞれの脅威に対して、以下のセキュリティ対策が有効です。 対策A:Systemwalker Centric Managerでできる対策 SNMPv3、S/MIME、HTTPS通信を使用し、通信内容を暗号化することにより、通信傍受による情報漏洩や、通信改 変を防ぐことができます。 対策B:一般的な機能や製品による対策 - ファイアウォールを導入することにより、外部との通信データを監視し、不正なアクセスを検出し、遮断することが できます。 - 侵入検知システム(IDS:Intrusion Detection System)や、不正侵入防衛システムを導入することにより、ファイア ウォールでは防御できなかった不正侵入を検知することができます。 対策C:運用ルールや環境による防御 ファイアウォールを導入した場合、必要不可欠な通信に対してだけポート番号を空けるようにします。不要な通信を 行わないことにより、通信を傍受される脅威を低減できます。 - 11 - 1.2.2 Systemwalker Centric Manager自身に対するセキュリティ対策 Systemwalker Centric Manager自身の脅威に対するセキュリティ対策について説明します。 Systemwalker Centric Managerを使用して以下の対策を実施することができます。 対策A:コンソール操作制御、ロールによるアクセス制御強化 システム管理者ごとに、実行できる操作や、アクセスできる情報などをきめ細かく制限することで、不正な操作や、誤 操作を防ぐことができます。 また、SMARTACCESSと連携することでICカード、指紋などで認証を行うことができます。 対策B:監査ログ出力による事後監査 操作した内容を監査ログに出力し、そのファイルを定期的に収集し管理することにより、異常を検知した時に、あとか ら操作内容を確認したり、不正操作がなかったかを確認することができます。 - 12 - 1.2.3 サーバとクライアントの操作に対するセキュリティ対策 サーバとクライアントの操作に対するセキュリティ対策について説明します。 それぞれの脅威に対して、以下のセキュリティ対策が有効です。 対策A:Systemwalker Centric Managerでできる対策 - サーバアクセス制御を使用し、サーバに対するログインや、サーバ上のファイルへのアクセスを監査ログへ出力 し、必要に応じて強制アクセス制御を適用します。 - 監査ログを収集し、管理することにより、あとから操作内容を確認したり、不正操作がなかったかを確認することが できます。 対策B:一般的な機能や製品による対策 - ウィルス対策ソフトの導入により、端末にウィルスやワームが侵入することを防御したり、侵入したウィルスやワーム を自動的に除去することにより、端末を防御します。 - 13 - - 不正ソフト導入監視ツールを導入することにより、許可していないソフトの導入を監視することができます。不正ソ フト導入監視ツールとして、Systemwalker Desktopシリーズを使用することができます。 対策C:運用ルールや環境による防御 - 入退室管理を徹底することにより、不正人物の侵入を禁止します。これにより、不正な人物による端末覗き見や、 端末の不正使用を防ぎます。 - ID管理製品およびパスワードのルールを徹底することにより、悪意のある利用者による端末の不正使用を防ぎま す。 1.2.4 その他のセキュリティ対策 その他の脅威に対するセキュリティ対策について説明します。 - 14 - 対策A:運用ルールや環境による防御 放置/廃棄された印刷物から不正に情報入手される脅威に対しては、印刷物の取り扱いルールの徹底により、印刷し たまま放棄された印刷物をなくし、また、不要な印刷物は適切に破棄するようにします。これにより、部外者による不 正な情報入手を防ぎます。 - 15 - 第2章 セキュリティを確保するための前提条件 セキュリティを確保するには、セキュリティを強化する製品をインストールするだけでなく、セキュリティを確保するための 環境を準備したり、セキュリティに関する運用ルールを設定し、ルールを守って行動することが必要です。 本章ではセキュリティを確保するために必要な、基本的な対策について説明します。 ・ ネットワークに関するセキュリティの前提条件 ・ サーバとクライアントに関するセキュリティの前提条件 2.1 ネットワークに関するセキュリティの前提条件 ネットワークのセキュリティを確保するためには、社外のネットワーク(インターネット)から社内のネットワークに不正侵入 されないように、ファイアウォールを導入して、社内のネットワークを保護することが必要です。 ファイアウォール インターネットと社内ネットワーク間の通信を制御する一般的な方法としてファイアウォールの導入があります。ファイア ウォールは、ネットワーク間を通過するパケットを監視し、発生元のIPアドレスやポート番号などから正しいパケットと判断 されたものだけを通し、不正なパケットを破棄します。これにより、インターネットから社内ネットワークに対する不正侵入 を防ぐことができます。 通常、ファイアウォールは、社内のネットワークとインターネットの間に設置します。しかし、Webサーバなどの公開サーバ がある場合は、公開サーバを設置するネットワークと社内ネットワークを別のネットワークに分け、両方のネットワークをファ イアウォールで管理することを推奨します。これにより、公開サーバに不正侵入されても、社内ネットワークに影響が及ぶ ことを防ぐことができます。 また、OSなどに装備されている簡易ファイアウォール機能を有効に活用することで、端末レベルでもセキュリティを強化 することができます。 2.2 サーバとクライアントに関するセキュリティの前提条件 システム上に存在する各種サーバに対するセキュリティの脅威には、悪意ある者による不正操作や情報漏洩があります。 各種サーバのセキュリティを強化するためには、まず部外者によるサーバへのアクセスを物理的、ネットワーク的に制御 する必要があります。さらに、運用ルールを設定し、それを遵守する必要があります。 入退室管理 システム管理者やネットワーク管理者が使用する端末は、不特定多数の人間による入退室を制限できる部屋に隔離す ることを推奨します。端末を設置した部屋には、磁気カード、暗証番号、網膜や指紋などの認証方法を利用して、管理者 権限のある者だけが入退室できるようにします。また、監視カメラの設置や、磁気カードの使用履歴を記録するなどして 入退室履歴を記録し保管します。保管した情報は、トラブルが発生した時に調査する資料として活用します。 パスワード管理 端末を物理的に隔離した場合でも、ネットワークを介して端末にアクセスされる可能性があります。従って、IDやパスワー ドが漏れないよう、厳しく管理する必要があります。 ・ 業務に必要な権限だけを付加したIDを準備し、作業者には各作業に合ったIDを使用させる。 ・ 不要になったIDは速やかに削除する。 ・ 簡単に解読できる数値や文字列をパスワードに使用しない。 ・ パスワードは定期的に変更する。 ・ パスワードを紙などに記録しない。 ・ rootアカウントのパスワードは、少人数で安全に管理する。 サーバアクセス制御を利用する際に必要となる最も重要なルールです。必ず守ってください。 - 16 - ・ rootを含め、同一のアカウントを共有しない。 rootだけでなく、通常のアカウントも共有しないようにしてください。また、パスワードの管理を徹底してください。 教育 システム管理者やネットワーク管理者に対する教育は、セキュリティ対策の意識を持たせ、組織全体のセキュリティレベ ルの維持・向上を図るためには必要不可欠です。システム管理者やネットワーク管理者の教育は、情報の紛失や漏洩な ど、さまざまな脅威に対する基本的な対策であり、セキュリティに対する意識とリスクに対する対応能力を向上させるため にも、継続して行うことが大切です。 監査ログ 監査ログで不正な兆候がないかを定期的にチェックすることは、ユーザの不審な行為や不正アクセスなどを検出または 抑止するための、有効な対策となります。不審な動きを察知して原因となるユーザの操作を監査ログで追跡、対処するこ とで、被害を最小限に抑えることができます。 - 17 - 第2部 セキュリティを強化するにはどのような 運用をしたらよいか 第2部では、セキュリティを強化するためには、Systemwalker Centric Managerをどう活用すればよいかを、運用面から説 明します。 第3章 ネットワークセキュリティを強化するには.............................................................................19 第4章 Systemwalker Centric Manager自身のセキュリティを強化するには..................................22 第5章 サーバとクライアントのセキュリティを強化するには.............................................................28 第6章 システムのセキュリティを点検するには..............................................................................40 - 18 - 第3章 ネットワークセキュリティを強化するには 高度なセキュリティを要求されるシステムの監視においては、ネットワークに対する不正なアクセスによる脅威を十分考慮 する必要があります。 ここでは、Systemwalker Centric Managerを使用して、そのような脅威に対するセキュリティを高めるための対策について 説明します。 ネットワークセキュリティを強化するには以下の方法があります。 ・ 不正パケット送信による妨害を防ぐ ・ 通信傍受による情報漏洩を防ぐ なお、Systemwalker Centric Managerから出力された監査ログにより、システムのセキュリティを点検する場合は、“システ ムのセキュリティを点検するには”を参照してください。 3.1 不正パケット送信による妨害を防ぐ Systemwalker Centric Managerによるネットワーク監視は、管理サーバと監視対象となるサーバやネットワーク機器との間 でのパケットの送受信、または、監視対象から管理サーバに対して送信されたパケットの受信により監視を行っていま す。 このようなパケットを第三者が傍受し、それを元に生成した不正なパケットを管理サーバに送信して誤検知を引き起こし たり、ネットワーク機器の設定を不正に変更するなどの行為により監視が妨害されることが考えられます。 このような不正行為に対して、Systemwalkerが提供するセキュリティ対策を説明します。 Systemwalker Centric Managerが提供するソリューション Systemwalker Centric Managerでは、「SNMPv3」を使用した監視機能を提供しています。SNMPv3は、ユーザ認証や通 信データの暗号化をサポートしています。SNMPv3を使用して通信を行うことにより、管理サーバと監視対象ノードやネッ トワーク機器の間で、より安全にネットワーク情報の送受信を行うことができます。 これにより、外部の第三者がパケットを傍受しても、パケットを解析することが困難となり、不正パケット送信により監視を 妨害される脅威が大幅に軽減します。 事前準備 SNMPv3を使用して監視を行うためには、監視を行うサーバおよびネットワーク機器のSNMPエージェントがSNMPv3対 応している必要があります。また、監視を行う前にSNMPエージェントのSNMPv3の設定を十分把握しておく必要がありま す。 - 19 - サポート機能 SNMPv3を使用した監視をサポートする機能については、“Systemwalker Centric Manager 解説書”の“ネットワーク/シス テムの監視”を参照してください。 3.2 通信傍受による情報漏洩を防ぐ Systemwalker Centric Managerが連携するサーバ間の通信を傍受することにより、重要な情報が外部に漏洩することが 考えられます。具体的な情報漏洩の例として以下があげられます。 ・ ネットワーク監視による監視パケットの傍受によるネットワーク情報の漏洩 ・ E-Mailを使用して監視イベントを他システムに送信する運用形態の場合、監視イベント情報の傍受によるシステム情 報の漏洩 ・ インターネットで構築されたネットワーク上に配信されたコンテンツの傍受による情報漏洩 このような不正行為に対して、Systemwalkerが提供するセキュリティ対策について説明します。 ・ ネットワーク監視パケット傍受による情報漏洩を防止する ・ 監視イベント傍受による情報漏洩を防止する ・ 配信コンテンツの傍受による情報漏洩を防止する ネットワーク監視パケット傍受による情報漏洩を防止する Systemwalker Centric Managerが提供するソリューション Systemwalker Centric Managerでは、「SNMPv3」を使用した監視機能を提供しています。SNMPv3は、ユーザ認証や、 通信データの暗号化をサポートしています。SNMPv3を使用して通信を行うことにより、管理サーバと監視対象ノードや ネットワーク機器の間で、より安全に情報の送受信を行うことができます。 これにより、外部の第三者がパケットを傍受しても、パケットを解析することが困難となり、情報漏洩の脅威が大幅に軽減 します。 事前準備 SNMPv3を使用して監視を行うためには、監視を行うサーバおよびネットワーク機器のSNMPエージェントがSNMPv3対 応している必要があります。また、監視を行う前にSNMPエージェントのSNMPv3の設定を十分把握しておく必要がありま す。 - 20 - サポート機能 SNMPv3を使用した監視をサポートする機能については、“Systemwalker Centric Manager 解説書”の“ネットワーク/シス テムの監視”を参照してください。 監視イベント傍受による情報漏洩を防止する Systemwalker Centric Managerが提供するソリューション Systemwalker Centric Managerでは、「S/MIME」を使用したデータの暗号化機能を提供しています。S/MIMEを使用し て、E-Mailを使用した通信を暗号化することにより、外部の第三者が通信データを傍受しても、データを解析することが 困難となり、情報漏洩の脅威が大幅に軽減します。 事前準備 S/MIMEを使用して、E-Mailで送信する監視イベント情報を暗号化するためには、事前に送信側システムおよび受信側 システムでS/MIMEの設定を行う必要があります。S/MIMEを使用してイベント監視を行う方法や、S/MIMEの設定方法の 詳細については、“Systemwalker Centric Manager インターネット適用ガイド DMZ編”を参照してください。 配信コンテンツの傍受による情報漏洩を防止する Systemwalker Centric Managerが提供するソリューション Systemwalker Centric Managerでは、「HTTPS通信」を使用した資源配付機能を提供しています。HTTPS通信を使用し て配付データを暗号化することにより、インターネットで構築されたネットワーク上でも安全に資源を配付できます。 事前準備 HTTPS通信で資源配付を行うためには、事前にSSLの設定を行う必要があります。SSLの設定方法の詳細については、 “Systemwalker Centric Manager インターネット適用ガイド DMZ編”を参照してください。 - 21 - 第4章 Systemwalker Centric Manager自身のセキュリ ティを強化するには 運用管理クライアントまたは運用管理サーバの[Systemwalkerコンソール]を使用した操作に対するセキュリティを高める ための対策を説明します。 セキュリティを高めるためには以下の方法があります。 ・ 悪意ある操作を防ぐ ・ 偶発的な誤操作を防ぐ ・ [Systemwalkerコンソール]の操作を制御する 4.1 悪意ある操作を防ぐ [Systemwalkerコンソール]から操作を行うには、Systemwalker Centric ManagerにログインするユーザIDが必要です。 [Systemwalkerコンソール]からの操作に対するセキュリティを高めるためには、ユーザIDを正しく管理し、ユーザ情報の 漏洩を防止する必要があります。また、悪意ある操作を防ぐために、業務を行う各サーバだけでなく運用管理クライアン トをインストールしたWindowsクライアント機も、外部からの侵入による脅威がない安全な場所に設置する必要がありま す。 Systemwalker Centric Managerでは悪意ある操作を防ぐために、[Systemwalkerコンソール]にログインできる利用者(ユー ザ)を複数登録でき、ユーザごとに適切な権限を設定できます。すべての操作が行える管理者権限のユーザIDは管理者 だけが使用し、一般操作者には操作を制限したユーザIDを使用することで、一般操作者のユーザ情報が漏洩した場合 でも、システムやユーザ業務への影響を最小限に抑えることができます。 [Systemwalkerコンソール]から操作できる権限の設定については、“[Systemwalkerコンソール]の操作を制御する”を参 照してください。 4.2 偶発的な誤操作を防ぐ 正しい利用者でも偶発的な誤操作によってシステムを破壊する危険性があります。偶発的な誤操作を防ぐ手段として、 利用者ごとに操作できる機能を制限することが有効です。これにより[Systemwalkerコンソール]から一般操作者が誤った 操作を行っても、操作の権限がない場合は実行できません。 [Systemwalkerコンソール]から操作できる権限の設定については、“[Systemwalkerコンソール]の操作を制御する”を参 照してください。 4.3 [Systemwalkerコンソール]の操作を制御する [Systemwalkerコンソール]からの操作を制御する方法 [Systemwalkerコンソール]からの操作を制御するには、以下の2つの方法があります。使用目的にあった方法を選択して 運用してください。 ・ ロールによる基本的な制御方法 ロール(共通の役割(権限)を持つ利用者で構成するグループ)単位で制御します。 ・ 利用者ごとにSystemwalker Centric Managerの操作を細かく制御する方法 [Systemwalkerコンソール]を利用するユーザーIDごとに、[Systemwalkerコンソール]で操作できる機能を制御しま す。コンソール操作制御機能といいます。 各機能は、OSおよびSystemwalker Centric Managerのエディションによって提供されている場合とされていない場合があ ります。詳細は以下の表を参照してください。 - 22 - 機能 Windows SE EE Solaris SE EE Linux GEE SE EE GEE ロールによる制御 ○ ○ ○ ○ ○ ○ ○ ○ コンソール操作制御 - ○ - ○ ○ - ○ ○ ○:機能提供あり -:機能提供なし ロールによる基本的な制御方法 Systemwalker Centric Managerであらかじめ定義しているロール(参照、操作、管理)にユーザを参加させることで、 Systemwalkerが提供する標準的なユーザの権限設定を簡単に行えます。 ロールを使用する場合の注意点 ロールに登録するユーザは、あらかじめ運用管理サーバ機のOSのユーザとして登録する必要があります。一般操作者 用のユーザIDを作成するときは、運用管理サーバ機のOSの管理者(UNIXならroot、WindowsならAdministratorsグルー プに所属するユーザID)以外のユーザIDを使用してください。サーバ機のOSの管理者として登録されているユーザは、 Systemwalker Centric Managerでも管理者のロール(DmAdmin)の権限があり、すべての操作が行えます。ロールの詳細 については、“Systemwalker Centric Manager 解説書”の“セキュリティ対策”を参照してください。 利用者ごとにSystemwalker Centric Managerの操作を細かく制御する方法 ロールによる制御よりも、権限をきめ細かく制御する場合に使用します。 また、SMARTACCESSと連携することにより、ICカードなどの認証デバイスを使用してセキュリティを高めることができま す。 SystemwalkerコンソールのユーザーIDごとに、操作可能とするオブジェクトを分けたい場合 使用者が利用できるサーバ機だけを表示した論理マップを使用し、一般使用者には監視ツリーの変更ができない権限 を設定することで、使用者が利用できない他のサーバ機については、参照もできないようにします。 ・ A管理者:部門Aに対して操作はできるが、部門Bに対して操作はできない。 ・ B管理者:部門Bに対して操作はできるが、部門Aに対して操作はできない。 - 23 - ユーザごとに、操作可能とするオブジェクトを分けたい場合 1台の運用管理サーバを操作する場合 例えば、以下のように運用管理クライアントが1台だけの場合、A部門の管理者は、[Systemwalkerコンソール]を起動した ままの状態で他の部門のサーバに対して[Systemwalkerコンソール]から操作できないようにします。 ・ A管理者:部門Aに対する操作はできるが、部門Bに対する操作はできない。 ・ B管理者:部門Bに対する操作はできるが、部門Aに対する操作はできない。 - 24 - 複数の運用管理サーバを操作する場合 複数の運用管理サーバを監視するために、1台の運用管理クライアントで複数のSystemwalkerコンソールの画面を表示 します。 Systemwalkerコンソールで操作を行うときにはユーザーIDの入力が必要です。 複数の運用管理サーバを操作する場合のユーザーIDは、以下のどちらかを使用します。 ・ SystemwalkerコンソールごとのユーザーIDを使用する ・ Systemwalkerコンソールで共通のユーザーIDを使用する SystemwalkerコンソールごとのユーザーIDを使用する運用 Systemwalkerコンソールごとに使用するユーザーIDを分けて操作の保護を行う運用です。 例えば、管理者は、運用管理サーバAのSystemwalkerコンソールで操作を行う場合、ユーザーID “ida”を入力して操作 を行い、運用管理サーバBのSystemwalkerコンソールで操作を行う場合、ユーザーID “idb”を入力して操作を行います。 - 25 - Systemwalkerコンソールで共通のユーザーIDを使用する運用 Systemwalkerコンソールで共通のユーザーIDを使用して、操作の保護を行う運用です。 例えば、管理者は、運用管理サーバA、および運用管理サーバBのSystemwalkerコンソールの操作も、同じユーザーID “idc”を使用します。同じユーザーIDを使用することにより、業務サーバAを操作するときに、経由する運用管理サーバを 意識せずに操作を行えます。 - 26 - [Systemwalkerコンソール]のメニューごとに権限を設定する場合、および[Systemwalkerコンソール]からの操作につい て、細かな権限設定を行う場合 例えば、リモートコマンド機能において、一般利用者はUNIXのファイル一覧コマンド“ls -l”だけを投入可能とし、その他 のコマンドはすべて投入不可にすることができます。このように、一般利用者が投入できるコマンドを制限し、不正な操作 や誤った操作によるシステム破壊を防止できます。 コンソール操作制御を使用する場合の注意点 ・ コンソール操作制御に登録するユーザIDはあらかじめロールに登録をしておく必要があります。コンソール操作制御 で権限の設定を行っても、登録したロールの権限以上の操作はできません。 ・ コンソール操作制御の定義には、許可するメニューおよび操作を定義してください。定義方法によっては、すべてを 許可し特別なメニューおよび操作だけを許可しないような設定もできますが、新たに利用者や対象サーバを追加し た場合に、不用意に操作ができてしまうなどの問題が発生し、セキュリティが弱くなる可能性があります。 ・ コンソール操作制御を使用する場合、導入時にユーザのロールの設定、および、[Systemwalkerコンソール]のメニュー 抑止を行うことで、よりセキュリティを高めた安全な監視を行うことができます。詳細は、“[Systemwalkerコンソール]の アクセス権の考え方”を参照してください。 なお、Systemwalker Centric Managerから出力された監査ログにより、システムのセキュリティを点検する場合は、“システ ムのセキュリティを点検するには”を参照してください。 - 27 - 第5章 サーバとクライアントのセキュリティを強化するには Systemwalker Centric Managerを使用してサーバ、およびクライアントのセキュリティを高めるための対策について説明し ます。 セキュリティを高めるためには以下の方法があります。 ・ サーバに対する不正操作を防ぐ ・ セキュリティの構成を設計する 5.1 サーバに対する不正操作を防ぐ システム上に存在する各種サーバのセキュリティを強化するためには、ネットワークに設置したファイアウォールなどによ り、遠隔地からの操作を防御するのと同時に、実際にサーバの前で行う操作をどのようにして防ぐか、また、発生した問 題をどのようにして検知し、今後のサーバ運用に生かすかを検討する必要があります。 一般にセキュリティに対する脅威は常に増大していくことから、セキュリティに対する対策を検討する際は、PDCA(PlanDo-Check-Act)をどのように効率的に回していくかを念頭に置いた対策を検討してください。 サーバを利用する際の問題点 UNIXサーバでは、一般的な操作のほとんどがOSに標準添付されるシェルからコマンドを入力して行われます。特に、 UNIXサーバやOS、およびSystemwalkerを含むミドルウェアのインストールや設定変更などの操作には、システム管理者 権限であるrootユーザの特権を利用したコマンド実行が必要不可欠です。 Windowsサーバの場合でも、UNIXサーバと同じように、複数の管理者によりOSだけでなくさまざまなミドルウェアや業務 アプリケーションの管理が行われることが一般的です。 このような環境において、OSやミドルウェア、アプリケーションの種類ごとに、それぞれに精通した複数の管理者が存在 する場合、それぞれの管理者はみな同じシステム管理者(root/Administrator)のパスワードを知っている必要があります。 このような運用方法は、非常に危険な状態であることを認識しなければなりません。 Systemwalker Centric Managerが提供するソリューション Systemwalker Centric Managerでは、Windows/Linuxサーバを利用する際の上記の問題を解決するために、サーバアク セス制御機能を提供しています。 Systemwalker Centric Managerでは、Windows/Linux上で行う操作に対して、いつ、誰が、どこから操作を実施し、どういっ たユーザID(rootなど)を利用したかを正確に記録し、必要に応じて操作を追跡(点検)、抑止する「サーバアクセス制御」 機能を提供しています。この機能は、rootなどの管理者権限に対しても有効です。 - 28 - Windows/Linuxシステムでは、「サーバアクセス制御」機能に含まれる「監査ログ出力」機能、「アクセス制御」機能、およ び「安全なシステム保守支援」機能により、これまでの運用に大きく手を入れることなく、システムのセキュリティを高めるこ とが可能です。 また、Windowsサーバに対する不正操作を防ぐために、「サーバアクセス制御」機能を利用する以外に、Systemwalker ファミリのSystemwalker Desktop Keeperを提供しています。 Systemwalker Desktop Keeperでは、Windowsのサーバやクライアントの不正操作を禁止し、ファイルの持ち出しを禁止 することができます。 Systemwalker Centric Managerでは、Systemwalker Desktop Keeperと連携して、Windowsサーバの操作違反の監視や、 操作履歴を監査ログとして収集するための機能を提供しています。 Systemwalker Desktop Keeperとの連携方法については、以下のURLに公開されているマニュアル“Systemwalker Centric Manager 連携ガイド Systemwalker Desktop Keeper編”を参照してください。 http://software.fujitsu.com/jp/technical/systemwalker/centricmgr/ OS標準のアクセス制御機能との関係 OSが標準で提供しているアクセス制御機能は、任意アクセス制御機能(Discretionary Access Control、DAC)と呼ばれて いますが、サーバアクセス制御で提供している強制アクセス制御機能とDACの関係は、以下のとおりです。 Windows/Linuxの場合 DACでアクセス許可されている資源に対してのみ、サーバアクセス制御の強制アクセス制御が行われます。DACでアク セス拒否と判定された場合、強制アクセス制御のアクセス判定は行われず、監査ログも出力されません。 DACでアクセス許可の場合 DACでアクセス拒否の場合 強制アクセス制御で許可の場合 アクセス:可 監査ログ:許可ログが出力さ れます アクセス:不可 監査ログ:出力されません 強制アクセス制御で拒否の場合 アクセス:不可 監査ログ:拒否ログが出力さ れます アクセス:不可 監査ログ:出力されません サーバアクセス制御を利用する場合の運用 サーバへのアクセスを制御する場合の利用者権限、および運用イメージを説明します。 利用者権限 本機能を利用する際に必要となる利用者権限について説明します。 ・ システム管理者 システムの状態を監視し、問題がある場合は保守内容の決定などの監督をします。保守作業者に作業指示などを行 います。セキュリティ管理者が作成したセキュリティポリシーを配付する権限を持ちます。システム管理者は、セキュリ ティ管理者/セキュリティ監査者が持つ権限を代行します。 ・ セキュリティ管理者 サーバ上で行う保守作業の内容を確認し、許可または拒否を決定します。監査ログ出力、監査ログ管理、サーバア クセス制御機能の設定の変更、システム保守承認を行う権限を持ちます。 ・ セキュリティ監査者 セキュリティ管理者が許可した作業内容と、実際に行われた作業内容を監査ログから確認します。その結果、不要な 作業を許可していないか、または許可された作業以外の操作をしていないかを確認します。システム保守承認状況 の確認、録画データの再生を行う権限を持ちます。 ・ 保守作業者 システム管理者の監督のもと、実際のサーバ上で作業を行います。 - 29 - ・ 一般利用者 Webなどのシステム上で動作するサービスを利用して、間接的にシステム上の情報を参照/操作します。 サーバアクセス制御機能の運用イメージ サーバのセキュリティを強化し、適正に運用されていることを保証するために、以下のサイクルを繰り返します。これによ りセキュリティの対策を見直せます。 注意 Windows Server 2012以降の場合、以下の機能は使用できません。 ・ プロセス終了のアクセス制御、ログ出力 ・ コンソールログイン/ネットワークログインのアクセス制御 1. ポリシーの作成 セキュリティ管理者が、サーバアクセス制御のポリシーを作成します。 ただし、設定によってはOSやアプリケーションの動作を阻害することがあるため、実運用への適用時には影響範 囲を十分に考慮する必要があります。 このため最初は[試行モード]を使用してください。[試行モード]では、実際にはアクセス制御は行われず、アクセス 制御を実際に行った場合の結果がアクセス監査ログに出力されるだけです。 - 30 - また、不正なアクセスを即座に確認するために[監視画面通知]の設定もできます。[監視画面通知]の設定では、 不正なアクセスが発生したときに[Systemwalker コンソール]にメッセージを通知できます。 2. ポリシーの配付 システム管理者(DmAdmin権限を持つユーザ)(注)は、セキュリティ管理者が作成したポリシーの内容を確認し、管 理対象サーバにサーバアクセス制御のポリシーを配付します。 3. 運用 管理対象サーバの保守作業者は、サーバアクセス制御機能で許可されている範囲で管理対象サーバを運用しま す。 →監査ログが出力されます。 4. 監査ログの分析 セキュリティ監査者は、運用管理クライアントで監査ログを分析し、セキュリティ管理者およびシステム管理者の作 業を点検します。 5. 改善案の立案 セキュリティ管理者およびセキュリティ監査者は、監査ログの分析結果に基づきサーバアクセス制御の設定を見直 します。 見直し内容の決定後、手順1に戻りポリシーを作成してください。 注)サーバアクセス制御の機能説明で“システム管理者”と記述している場合は、DmAdmin権限を持つユーザを表して います。 安全なシステム保守支援機能の運用イメージ 安全なシステム保守支援機能を使用し、適正に保守されていることを保証するために、以下のサイクルで保守作業を行 います。 注意 以下のOSの場合、安全なシステム保守支援機能は使用できません。 ・ Windows Server 2012以降 ・ Red Hat Enterprise Linux 6以降 - 31 - 1. 事前準備 システム管理者に指示された保守作業者(またはシステム管理者)は、保守作業の作業内容を明確にし、作業手順 書を作成します。 2. 保守作業の申請 保守作業者(またはシステム管理者)は、作業手順に記載されている内容を実施するために、セキュリティ管理者に 保守作業を申請します。 3. 保守作業の承認 セキュリティ管理者は、保守作業者(またはシステム管理者)が実施する保守作業の内容を確認し、保守作業の開 始時間/終了時間などを[Systemwalkerコンソール]で登録します。 →登録した保守作業について、承認番号が発行されます。 4. 承認番号の通知 セキュリティ管理者は、保守作業者(またはシステム管理者)に承認番号を通知します。 5. 保守作業の実施 保守作業者は、セキュリティ管理者から通知された承認番号を用いて、作業を行うサーバ上で、サーバアクセス制 御が提供するシステム保守開始/終了コマンドにより保守作業を行います。 なお、保守作業中の操作内容は、監査ログ、および録画データとしてすべて記録することが可能です。 6. 保守作業の点検 セキュリティ監査者は、アクセス監査ログ、操作の録画データなどを使用し、保守作業を点検します。 5.2 セキュリティの構成を設計する セキュリティ確保に対する以下の機能の設計方法、注意事項について説明します。 サーバアクセス制御機能を使用するために必要な、運用の見直し項目について説明します。 - 32 - 設計時の前提条件 環境 他のアクセス制御製品との共存はできません。 ファイルシステム ファイルアクセス制御機能を利用する場合に、アクセス制御設定が行えるファイルシステムは以下のファイルシステムタイ プです。 Windowsの場合 ・ FATファイルシステム、FAT32ファイルシステム、NTFS(Windows標準ファイルシステム)、ReFS Linuxの場合 ・ ext3ファイルシステム (Linux標準ファイルシステム) ・ PRIMECLUSTER GFSファイルシステム (PRIMECLUSTER用高性能ファイルシステム) ・ nfsファイルシステム (ネットワークファイルシステム) ・ iso9660ファイルシステム (CD-ROMなどで利用されているファイルシステム) ・ sysfsファイルシステム (/sysディレクトリなどで利用されるファイルシステム) ・ tmpfsファイルシステム (/dev/shmなどで利用されているファイルシステム) ・ devptsファイルシステム (/dev/ptsなどで利用されているファイルシステム) ・ procファイルシステム (/procなどで利用されているファイルシステム) ・ binfmt_miscファイルシステム (/proc/sys/fs/binfmt_miscなどで利用されているファイルシステム) 利用者権限の見直し システムのセキュリティを向上するには、監査ログ/アクセス制御設定を検討する前に、システムの利用者に関する各種権 限を見直してください。以下では、サーバアクセス制御機能を利用する際の一般的な利用者権限について説明します。 利用者のアクセス権限を検討する サーバアクセス制御機能を使用する利用者のアクセス権限について説明します。 なお、以下の各利用者は、サーバアクセス制御機能を運用する上で異なる役割を持っています。各利用者は、機能を利 用する上で兼任をすることが可能ですが、セキュリティを強化し、内部統制を確実なものにするためには、利用者ごとに 異なるユーザを割り当てることを推奨します。 運用時の各利用者の役割については、“サーバアクセス制御を利用する場合の運用”を参照してください。 システム管理者 システムが機能的に正しく動作しているかを監視、管理する利用者です。サーバ上のハードウェアやソフトウェア(OS やミドルウェア、業務アプリケーションなど)に異常が発生した場合、その修復や調査を取り仕切るユーザです。この ユーザは、通常はOSの管理アカウント(Linuxシステムでは一般的にroot、WindowsではAdministratorsグループに所 属するユーザ)を持つ場合が多く、システムの修復や保守作業にはこれらの管理アカウントを利用して作業が行われ ています。 また、システムの規模や提供する機能により、システム管理者をより細分化し、データベース管理者、Web管理者など に役割を分割している場合があります。本書では、これらの管理者を区別する必要がない場合には、総称し、「システ ム管理者」として記載します。 なお、システム管理者は、運用管理サーバまたは運用管理クライアントにおいて、Systemwalker Centric Managerの DmAdminのロールに所属させます。 セキュリティ管理者 システムがセキュリティ上正しく運用されるように設定を行う利用者です。セキュリティを考える際、必要以上の権限が システム管理者や一般の利用者に与えないことを職務とします。システム管理者やセキュリティ監査者からの報告に - 33 - 基づき、安全な運用を行うように検討/設定をします。このためセキュリティ管理者自身の権限は、システム管理者や セキュリティ監査者とは分けておく必要があります。また、セキュリティ管理者自身の行動を統制するために、セキュリ ティ管理者を複数名任命する、またはシステム管理者、セキュリティ監査者との相互牽制を行う体制をとるなど、セキュ リティ管理者自身の抑制を考えた組織作りが必要です。 なお、セキュリティ管理者は、運用管理サーバまたは運用管理クライアントにおいて、Systemwalker Centric Manager のDmAdmin、DmOperation、またはDmReferenceのロールに所属させます。ただし、利用者ごとに異なる権限で運用 する場合は、DmOperation、またはDmReferenceのロールに所属させます。 セキュリティ監査者 セキュリティ管理者が実施した設定に対して、悪意ある操作や攻撃、および誤操作が行われていないかを監査する 利用者です。一般的に、コンピュータシステムのセキュリティを監査する場合は、アクセス監査ログへのアクセス、集計 したレポートへのアクセス、検索画面によるレコード検索、システム保守承認状況の確認、運用管理サーバ上の録画 データの再生を行い、問題がないかを確認します。アクセス監査ログに必要十分な情報が出力されているか調査も 行います。 なお、セキュリティ監査者は、運用管理サーバまたは運用管理クライアントにおいて、Systemwalker Centric Manager のDmAdmin、DmOperation、またはDmReferenceのロールに所属させます。ただし、利用者ごとに異なる権限で運用 する場合には、DmOperation、またはDmReferenceのロールに所属させます。 一般利用者 システム管理者などの管理者からの依頼により、実際にシステムの設定を変更するオペレータ、また、Webなどのシ ステム上で動作するサービスを利用して間接的にシステム上の情報を参照/操作するユーザなど、システムを利用す る管理者以外のユーザすべてを指します。必要な権限以上の操作が行われていないかなど、セキュリティ管理者、 セキュリティ監査者により常に管理/監査されるユーザです。 OS上のユーザを整理する 既存のシステム運用で利用しているOS上のユーザを整理する必要があります。具体的には以下のユーザ設定に注意し てください。 管理者アカウント 管理者アカウント(rootユーザ、Administratorsグループに所属するユーザ)でサーバの操作を制御することが可能で すが、アクセス制御の設定によっては強力な権限を持つユーザです。このため、管理者アカウントのパスワードにつ いては、少数のシステム管理者にのみ利用可能とすることや、定期的にパスワード変更を行うなどの施策を徹底して ください。 管理者アカウントに昇格して実施していた作業は、サーバアクセス制御機能の導入後、セキュリティ管理者に承認を 受けて実施します。セキュリティ管理者から承認を受けた後、作業者は管理者権限が必要な作業を実施してくださ い。 一般ユーザアカウント 一般ユーザのアカウントは、誰が操作を行っているかを一意に判別する重要な情報です。複数人で同一のユーザID を利用している場合は、操作者を特定しにくくなります。安全な運用を行うためには、利用者一人ひとりに一意となる ユーザIDを割り振りしてください。 保護資産の見直し サーバアクセス制御を利用する上で必要となる保護資産と脅威の基本的な考え方について説明します。 保護資産と脅威の概要 スタンダードモードでファイルアクセスを検討する場合、またはカスタムモードを利用する場合は、保護すべき対象(保護 資産)を決定し、誰(何)から、どのような脅威に対して保護を行うかを決定してください。 以下に、保護資産に対する代表的な脅威の例、および防御手段を説明します。 保護資産 ファイル/ディ レクトリ 代表的な脅威と発生原因の例 情報漏洩 防御手段 必要以外の利用者がファイル を参照することにより発生する - 34 - 読み込みの制御 保護資産 プロセス ネットワーク 代表的な脅威と発生原因の例 防御手段 証拠隠滅 システムやアクセスログを削除 することにより発生 書き込み、削除、作成、変 名、属性変更の制御 改ざん 対象のファイルの内容が書き 換えられることにより発生 書き込み、削除、作成、変 名の制御 システム停止 システムやサービスの停止コ マンドを起動することにより発 生 起動の制御 システム停止 動作中のプロセスを強制終了 することにより発生 強制終了の制御 不正侵入 許可された以外のネットワーク からの進入などにより発生 ネットワーク接続の制御 以下に、保護資産、および発生しうる脅威について、それぞれ説明をします。 保護する資産を検討する 保護すべき資産を決定します。 ・ 監査、およびアクセス制御すべきファイル/ディレクトリはあるか? ・ 監査、およびアクセス制御すべきアクション(プロセス)はあるか?(コンソールからのログイン/権限昇格/その他) ・ 監査、およびアクセス制御すべきネットワーク接続はあるか?(ネットワーク経由のログイン/ネットワークファイル転送/ その他) すでにセキュリティ製品を導入している場合は、既存の設定と照らし合わせて検討してください。セキュリティ製品を導入 していない場合、上記を明確にできない場合でも、サーバへのアクセス状況を把握することが可能です。 保護資産に対する脅威を想定する 保護すべき資産がある程度明確にすることができた場合は、次に、どのような脅威から守りたいかを具体的にします。保 護資産が抱える脅威と合わせて明確にすることをお勧めします。以下に、一般的な脅威について説明します。 ・ 保護資産がファイルやディレクトリである場合の脅威の例 - 情報漏洩 情報漏洩の中心となるのがこのファイルやディレクトリとなります。特に顧客 情報や従業員情報などを含む場合 は、参照できるユーザを限定することが重要となります。 - 改ざん 改ざんを契機としたシステムトラブルには、プログラムの動作をつかさどる定義ファイルなどが改ざんされた場合 に発生しうるシステム停止や、顧客情報などが改ざんされることによる社会的トラブルなど、多くのトラブルの原因 となります。これらの脅威は、対象となるファイルの書き込みや削除を抑止することで無効化することが可能で す。 ・ 保護資産がプロセスである場合の脅威の例 - プロセス起動によるシステム停止 ファイル改ざんなどによるシステム停止よりもより直接的な手法、すなわちシステム停止コマンドを実行するなど により発生する脅威です。この脅威は、悪意ある利用者以外にも、正規の利用者による作業ミスによっても発生 する問題です。システムやサービスの停止コマンドを実行抑止することで未然に防ぐことが可能です。 - プロセスの強制終了によるサービス停止 停止コマンドを実行しなくても、対象となるサービスを構成するプロセスを強制終了させることで、簡単にWebサー ビスなどを停止させることができます。守りたいプロセスが明確になっていれば、強制終了に対する防御を行うこ とが可能です。 - 35 - ・ 保護資産がネットワークの場合の脅威の例 - ネットワークからの不正侵入 サーバへの進入経路のうち、最も一般的であり注意する必要のあるものとしてネットワークからの侵入が考えられ ます。ネットワーク経由での不要なログインを拒否することにより、脅威を低減することが可能です。 防御手段を検討する それぞれの保護資産に対して、以下の設定を行うことで、脅威から保護資産を守ります。それぞれの防御手段が持つ特 徴を理解することで、より強固なシステムを構築できます。 ・ ファイル/ディレクトリに対する監査/防御手段 - 読み込みの監査/防御 主に情報漏洩を防ぐ中心的な設定です。特定のファイルへの読み込みを防御することで、ファイルやディレクト リに格納されている情報が漏洩することを防ぐことができるようになります。ただし、プログラムなどの定義ファイル へ読み込みの防御設定を行う場合、プログラムが動作しないなどの問題が発生する場合があります。 - 書き込みの監査/防御 主にファイルの改ざんを防ぐ中心的な設定です。特定のファイルへの書き込みを防御することで、ファイルやディ レクトリに格納されている情報が改ざんされることを防ぐことができます。システムなどのログファイル(シスログな ど)へ書き込みの防御を行うと、ログが残らなくなるなどの問題が発生するため、注意が必要です。 なお、ファイルの改ざんなどを防御するために、書き込みの防御を設定する場合は、合わせて削除/作成/変名な どの設定も検討してください。 - 削除の監査/防御 システム上重要な定義ファイルなどが削除されることを防ぎます。これにより、システムやサービスの停止といった 脅威に対抗できます。また、ファイルの改ざんなどが行われる手段としても、ファイル削除を利用することが可能 な場合があります。改ざんを抑止したい場合は、書き込みの防御と合わせて削除も防御設定に追加してくださ い。 - 作成の監査/防御 悪意ある操作者によるファイルの改ざんなどは、単にファイルを書き換える(書き込み)だけでなく、ファイルを削 除した後、新たなファイルを作成することでも可能です。書き込みや削除の防御を行う際は、作成の抑止を行っ て問題ないと判断できた場合のみ、作成の防御も設定してください。 - 変名の監査/防御 削除/作成と同じく、ファイルの操作に対し、書き込みと同じような制御を行うことが可能となります。 - 属性変更の監査/防御 所有者やファイルのパーミッション(アクセス権)を変更する操作を抑止できます。サーバアクセス制御を利用して いる限り、属性変更などによる脅威は大幅に削減することが可能ですが、書き込み、削除などの抑止を行う際に は合わせて設定しておくとよりセキュリティ強度を高くすることが可能です。 ・ プロセスに対する監査/防御手段 - 起動の監査/防御 システム停止コマンドなど、通常は起動してはならないコマンドに対して設定することが可能です。設定は、コマ ンドが格納されているディレクトリを含むフルパスで指定します。なお、シンボリックリンクが作成されたコマンドの 場合は、シンボリックリンクの先にあるファイルに対して制御設定を行ってください。 - 強制終了の監査/防御 すでに動作済みのプロセスに対して、強制終了を防御します。これにより不用意なプロセスの終了を防ぐことが 可能です。 ・ ネットワークに対する監査/防御手段 - ネットワーク接続の監査/防御 本来アクセスが不要な、またはアクセスされるべきではないネットワークからのログインを監査/防御するための設 定が可能です。 - 36 - アクセス制御の設定項目を検討する 設定のモードを決定する サーバアクセス制御の設定には、2つのモードがあります。モードを決定し、セキュリティを強化する場合の設計方針を決 定します。 ・ スタンダードモード 一般的なサーバへのアクセス経路を監査することが可能です。多くの設定を必要とせずに監査運用を開始すること ができます。また、スタンダードモードで設定できる監査項目は、そのままカスタムモードのアクセス制御設定へ展開 することも可能です。 なお、スタンダードモードでも、ファイルおよびレジストリの監査/アクセス制御設定だけはカスタムモードと同じ設定が 可能です。 ・ カスタムモード スタンダードモードで設定可能な監査/アクセス制御設定の他、制御対象を設定して個別のプロセスの監査/アクセス 制御設定を行うことができます。スタンダードモードに比べより詳細な設定を行うことが可能です。ファイルとレジストリ の監査/アクセス制御設定は、スタンダードモードとカスタムモードで同じ設定となります。 以下に、スタンダードモードとカスタムモードの関係を示します。 運用開始時に、スタンダードモード、またはカスタムモードのどちらのモードを使用するかについては、以下の流れ図を 参照して検討してください。 - 37 - アクセス制御設定 各保護資産に対して「ログ出力のみ」の設定を中心にサーバアクセス制御機能を利用した結果、アクセス違反や不要と 思われる操作を検出した場合、スタンダードモード、カスタムモードともにアクセス制御設定を追加していくことが可能で す。アクセス制御設定は、システム管理者(rootユーザ、Administratorsグループに所属するユーザ)に対しても有効な設 定を行うことが可能ですが、反面、システムへの影響がないかを、十分に検証する必要があります。 サーバアクセス制御機能では、アクセス制御機能のシステムへの影響を確認するために、「試行モード」を提供していま す。 「サーバアクセス制御」画面でアクセス制御設定を追加する際、設定画面にある「試行モード」をチェックすることで、追 加/変更するアクセス制御設定がどのようにシステムへ影響を与えるかを、監査ログから確認できます。アクセス制御設定 を追加/変更する際は、「試行モード」を利用し、システムが正常に動作するかを確認してください。 なお、試行モードを表す監査ログの出力内容などについては、“Systemwalker Centric Managerリファレンスマニュアル” の“アクセス監査ログファイル”を参照してください。 アクセス制御設定の例 Webサーバへのアクセス制御を検討する場合の設定例を示します。 要件 ・ 一般的なWebサーバに対して、Webコンテンツ、Webサーバ(プログラムと定義ファイル)の改ざん、およびWebサー バの起動停止を監査/制御したい ・ Webサーバは、OS上の“httpd”ユーザにより管理されており、Webコンテンツの編集は“httpd”ユーザ以外は(システ ム管理者であっても)拒否したい ・ Webサーバ(httpdプロセス)の強制終了を防御したい 設定例 サーバアクセス制御の設定を以下のとおり行います。 制御種別 ファイル 保護対象 設定内容 対象 読 込 - 38 - 書 込 作 成 削 除 変 名 (注 ) 属 性 変 更 制御種別 保護対象 設定内容 Webコンテンツ格納 ディレクトリ(/var/www/ など) httpd(ユーザ) - ○ ○ ○ ○ ○ 上記以外 - × × × × × Webサーバプログラ ム/定義ファイル(/etc/ httpd/、/usr/sbin/httpd など) 全ユーザ - × × × × × 対象 起 動 強 制 終 了 全ユーザ - × プロセス Webサーバプログラム (/usr/sbin/httpdなど) 注)ファイルの変名を行う場合、変名先のファイルまたはディレクトリには、書き込み権、作成権、削除権が必要です。 アクセス制御設定時の注意事項 プロセスのアクセス制御 プロセスのアクセス制御設定が行われている場合、および保守支援機能によりシステム保守作業を行っている場合に出 力されるコマンド実行のアクセス監査ログには、Shellが提供しているビルトインコマンドのログは出力されません。Shellの ビルトインコマンドとは、以下のようなコマンドを指します。 ・ cdコマンド ・ execコマンド シェルスクリプト プロセスアクセス制御をシェルスクリプトに対して行う場合は、プロセスアクセス制御対象のシェルスクリプトに読み込み権 限が必要です。 ハードリンク ファイルやディレクトリに対するハードリンクを作成することは、アクセス制御設定をかいくぐるための悪意ある操作に利用 されやすいことから、読み込みや書き込みなど何らかの拒否設定が行われたファイルは、ハードリンクの作成も自動的に 拒否されます。 シンボリックリンク シンボリックリンクファイルに対しては、OSの特性上読み込みのファイルアクセス制御のみが有効となります。このため、 シンボリックリンクファイルに対しては、読み込み以外のアクセス制御設定は無視されます。 このような場合は、シンボリックリンク先のファイルを確認した後、シンボリックリンク先のファイルへアクセス制御設定を追 加してください。 ネットワークアクセス制御 ネットワークのアクセス制御設定で、「ログ出力のみ」または「許可」設定が行われているポートへ、同じクライアントから続 けてアクセスが行われた場合、ログの冗長性を抑止するために監査ログ出力されないことがあります。ネットワークのアク セス制御で「ログ出力のみ」または「許可」設定を行った場合に出力される監査ログは、接続元の判断にだけ利用してく ださい。 - 39 - 第6章 システムのセキュリティを点検するには 6.1 監査ログを管理する 監査ログを確認することによって、悪意ある操作が行われていないかを判断できます。監査ログから、漏洩したユーザID や不正に使用された端末名を確認できるため、その後の対策を実施できます。また、監査ログを参照することで、過去の 操作履歴を振り返り、誤った操作などを確認できます。 ログ情報の点検を行う 望むべきセキュリティ機能を実装したシステムにおいても、その運用が正しく行われているかどうかについては、常に目 を光らせていなければなりません。セキュリティに対する防御機能は常に新しい技術や機能が提供されますが、悪意あ る第三者は常に最新のセキュリティ技術をかいくぐれると考えるべきです。 これらの悪意ある最新の技術に対抗することは、非常に困難なことですが、システムの状況を常に点検することで、対策 を立てやすくすることができます。 Systemwalker Centric Managerが提供するソリューション Systemwalker Centric Managerでは、システムの状況を監査ログとして運用管理サーバに収集し、保管することを目的と した「監査ログ管理」機能を提供しています。この機能を使用することで、システムの基本的なログ(シスログ、イベントログ など)から、Systemwalker Centric Manager自身を利用した操作内容を出力した監査ログまで、幅広く収集できます。 監査ログの重要性を十分理解した上で、監査ログ管理機能によりログの効率的な点検を実施してください。 監査ログの収集 監査ログは以下のように収集されます。 ・ 部門管理サーバおよび運用管理クライアントの監査ログは、運用管理サーバに収集されます。 ・ 各業務サーバの監査ログは、その業務サーバを管理する部門管理サーバを経由して、運用管理サーバに収集され ます。 - 40 - 運用設計する場合の検討事項 監査ログ管理機能を使用する際に検討すべき点は以下のとおりです。 ・ 収集するログの種類 監査ログとして収集するログファイルには、多くのファイルが存在します。Systemwalker Centric Managerで標準的に 収集可能なシステムのログやSystemwalker Centric Manager自身の監査ログだけでなく、業務アプリケーションが出 力するログファイルなども監査ログとして収集することを検討してください。 ・ 収集するタイミング 一般的な監査ログは、出力されたサーバ上に長い間放置することは、監査ログの改ざんや情報漏洩につながること があります。業務負荷が少なくなる深夜などを利用し、少なくとも1日1回は収集するように運用を検討してください。 ・ 収集した監査ログの保全 運用管理サーバに収集した監査ログでも、そのまま放置しておくことは危険であることに変わりはありません。特に多 数のサーバから監査ログを収集する場合は、バックアップの運用の検討、二次媒体装置(WORM: Write Once Read Many、一度だけ書き込むことができ、消去/変更のできない記憶メディア)を利用するなど、改ざんに対する対策を常 に心がけるようにしてください。 不正な操作や誤った操作の検出 不正な操作や誤った操作を検出するために、必ず監査ログの設定を行い、[Systemwalkerコンソール]から実施した操作 内容が監査ログに格納されるようにしてください。監査ログを設定することにより、[Systemwalkerコンソール]から行われた 操作は監査ログとして常に記録されます。問題が発生してなくても、監査ログから過去の操作履歴を振り返ることにより、 思わぬ問題や改善点を見つけることができます。 コンソール操作制御機能を使用しているときは、[Systemwalkerコンソール]上で行われた操作の権限チェックの結果も監 査ログとして記録されます。 Systemwalker Desktop Keeperと連携する Systemwalker Desktop Keeperの操作ログを運用管理サーバで管理できます。 Systemwalker Desktop Keeperと連携し、Systemwalker Desktop Keeperの操作ログを運用管理サーバに収集する手順に ついては、以下のURLに公開されているマニュアル“Systemwalker Centric Manager 連携ガイド Systemwalker Desktop Keeper編”を参照してください。 http://software.fujitsu.com/jp/technical/systemwalker/centricmgr/ 監査ログ収集・分析を導入するための流れ 監査ログ収集・分析を導入する作業の流れを説明します。 ログを管理するサーバ、ログを収集するサーバを選定します システム構成:クラスタシステム、二重化システム、全体監視 ログを管理するサーバ:運用管理サーバ ログを中継するサーバ:中継サーバ(運用管理サーバ) ログを収集するサーバ:被管理サーバ(運用管理サーバ、部門管理サーバ、業務 サーバ) 収集するログの種類・ログの容量を選定します 収集したログの格納先を選定します ログの格納先:運用管理サーバ、中継サーバ、二次媒体(ストレージ)装置 - 41 - 収集するログの経路を選定します 収集した監査ログの活用を考慮します 監査ログの改ざん確認・分析 収集した監査ログの保全を考慮します 監査ログの圧縮保存・二次媒体(ストレージ)装置への退避、退避するタイミング を選定します 収集するタイミングを選定します 監査ログ管理のログ収集定義を行います 監査ログ分析の定義を行います 監査ログ収集/分析の運用を開始します ログを管理するサーバ、ログを収集するサーバを選定します ログを管理するサーバ、ログを収集するサーバを選定します。 ポイント システム構成 Systemwalker Centric Managerを導入する場合、実際のネットワーク環境やシステムを管理する組織構造を考慮してシス テムの構成を検討する必要があります。 運用管理サーバはどこに設置したらよいのか、部門管理サーバは設置する必要があるのか、また、設置するとしたら、ど こに設置し、どの範囲までを管理するのかなどを検討していきます。 詳細は、“Systemwalker Centric Manager 導入手引書”の“システム構成を決定する”を参照してください。 また、システム構成として、クラスタシステム、また、運用管理サーバのシステム構成として二重化システム、全体監視シス テム構成が必要か否かを検討します。 クラスタシステムについては、“Systemwalker Centric Manager クラスタ適用ガイド”を参照してください。 二重化システムについては、“Systemwalker Centric Manager 運用管理サーバ二重化ガイド”を参照してください。 全体監視システムについては、“Systemwalker Centric Manager 全体監視適用ガイド”を参照してください。 ログを管理/収集するサーバを選定 - 42 - 監査ログの収集とは、被管理サーバ(運用管理サーバ、部門管理サーバ、業務サーバ)上に存在するログを運用管理 サーバか中継サーバ(部門管理サーバ)経由で運用管理サーバに収集します。 監査ログの分析とは、運用管理サーバに収集した監査ログを利用して検索/分析を行います。 監査ログを収集/分析するには、以下のサーバが必要です。 ・ ログを管理するサーバ:運用管理サーバ ・ ログを収集するサーバ:被管理サーバ(注1) (運用管理サーバ、部門管理サーバ、業務サーバ) ・ ログを中継するサーバ:中継サーバ(運用管理サーバ) 注1:被管理サーバには、運用管理クライアントも含まれますが、収集可能なログは、[Systemwalkerコンソール]の監査ロ グのみとなります。 収集するログの種類・ログの容量を選定します 運用管理サーバに収集する被管理サーバ上のログの種類・ログ量を選定します。 ポイント ログの種類 収集するログの種類は、どの監査ログを用いて監査を行うか、監査するために格納しておくべき監査ログは何かの観点 で選定します。 収集できるログファイルの種類については、“収集・管理できるログファイルの種類”を参照してください。 また、”収集・管理できるログファイルの種類”に記載されていないテキストログファイルについては、“監査ログ管理の収 集規約”に従った形式であれば、収集可能です。 なお、収集するログについて、ログ収集定義に必要な以下の点を確認しておきます。 ・ ログファイルは、テキストログファイルかバイナリログファイルか ・ ログファイルは、単一で生成されるか複数で生成されるか ・ 複数で生成される場合、ファイル名の昇順に依存して生成されるか降順で生成されるか ・ ログファイルが生成されるパスはどこか ・ ログファイルの日付と時間の形式は、監査ログ管理が標準で用意した形式と合っているか、標準で用意した形式が ない場合は、必要に応じてログファイルの日付と時間の形式にあった日付書式定義ファイルを用意します。 詳細は、“監査ログ管理の収集規約”を参照してください。 ログの容量 収集するログの1日当たりの容量を確認します。 ログの容量に応じて、監査ログ管理に必要な資源を準備・確認します。監査ログ管理に必要な資源については、 “Systemwalker Centric Manager 導入手引書”の“監査ログ管理に必要な資源”の被管理サーバ側を参照してください。 収集したログの格納先を選定します 収集したログを格納・管理する格納先を選定します。 ポイント 格納先は、運用管理サーバ・中継サーバ(部門管理サーバ)上で選定します。格納先には、十分なディスク容量が必要 です。 また、運用管理サーバに必要な監査ログ管理の資源については、“Systemwalker Centric Manager 導入手引書”の”監 査ログ管理に必要な資源”の運用管理サーバ側を参照してください。 - 43 - また、収集した監査ログの保全を考慮する場合、バックアップの運用の検討、二次媒体装置(WORM: Write Once Read Many、一度だけ書き込むことができ、消去/変更のできない記憶メディア)を利用することを考慮します。 収集するログの経路を選定します 選定したログを管理/収集するサーバからどの経路でログ収集を行うかを選定します。 ポイント 選定する際に、以下の点を考慮します。 ・ ログの量 ・ サーバ/ネットワーク性能など ・ 運用中にログ収集可能か否か これらの点を考慮し、中継サーバの設置を検討します。 また、中継サーバを設定した際、運用管理サーバへ収集するログや中継サーバへの収集にとどめるログを検討し、運用 管理サーバへの負荷をできるだけ少なくします。 運用管理サーバへ収集するか中継サーバへの収集にとどめるかは、以下の点を考慮します。 ・ ログ分析の問い合わせファイルを使用したログの集計を行うか否か ・ 運用管理サーバ内(部門管理サーバ間)または部門管理サーバ内での監査ログを用いた証跡とするのか 収集した監査ログの活用を考慮します 収集した監査ログを確認することによって、悪意ある操作が行われていないかを判断できます。監査ログから、漏洩した ユーザIDや不正に使用された端末名を確認できるため、その後の対策を実施できます。また、監査ログを参照すること で、過去の操作履歴を振り返り、誤った操作などを確認できます。 また、監査ログを不正に書き換えられていないかを確認することができます。 監査ログ分析を利用すると、さらに以下のことが可能となります。詳細は、“監査ログを分析する”を参照してください。 ・ さまざまな収集した監査ログのフォーマットを統一(正規化)し、検索・集計することができます。 ・ 問い合わせファイルを使用してログの集計結果からルールに則った運用であるかを確認できます。 ・ GUIを利用した特定操作の検索・調査ができます。 ・ 問題箇所の点検や運用状況の分析ができます。また、分析結果をレポートとして作成することができます。 ポイント 監査ログ分析における問い合わせファイルを利用した集計や分析結果レポート機能を利用する場合、以下のソフトウェ アが必要になります。 ・ Interstage Navigator Server 詳細は、“Systemwalker Centric Manager 導入手引書”の“監査ログ分析に必要な資源”、“監査ログ分析機能を利用す る場合の環境設定”と“Systemwalker Centric Manager 解説書”の“関連ソフトウェア” を参照してください。 監査ログ分析に必要な資源についても“Systemwalker Centric Manager 導入手引書”の“監査ログ分析に必要な資源” を参照してください。 - 44 - 収集した監査ログの保全を考慮します 運用管理サーバや中継サーバ上の格納先ばかりを利用しているとディスクが枯渇することが考えられます。その際、定 期的に監査証跡に不要となった監査ログを二次媒体装置へ退避させることを考えます。 また、運用管理サーバに収集した監査ログは、そのまま放置しておくことは危険であるため、二次媒体装置でもWORM(Write Once Read Many、一度だけ書き込むことができ、消去/変更のできない記憶メディア)を利用することを考慮します。 収集した監査ログは圧縮することもできます。 収集するタイミングを選定します 収集するスケジュールを考えます。二次媒体装置へ収集した監査ログを退避させる場合は、退避するスケジュールも考 えます。 ポイント ・ 中継サーバを導入する場合、業務サーバから中継サーバへのログ収集と中継サーバから運用管理サーバへのログ 収集のスケジュールを考えます。この場合、中継サーバから運用管理サーバへのログ収集は、業務サーバから中継 サーバへのログ収集が完了した後に実施するようにスケジュールします。 ・ 二次媒体装置へ収集した監査ログを退避する場合は、監査証跡に不要となった監査ログを定期的に退避するように スケジュールします。不要となる期間は監査証跡の運用期間に依存します。また、圧縮した後に退避する場合は、圧 縮完了後に退避するようスケジュールします。 監査ログ管理のログ収集定義を行います 監査ログ管理のログ収集定義を行います。 ログ収集定義を行う方法は、以下の方法があります。詳細については、“監査ログ管理の設定例”や“監査ログを収集・保 管するための設定”を参照してください。 ・ コマンドの入力ファイルに記載して設定する ・ コマンドを使用して設定する ・ ポリシーを使用して設定する ポイント ・ 監査ログのログ収集定義で使用/関連するコマンドは、以下のとおりです。詳細については、“リファレンスマニュア ル”を参照してください。 - コマンドの入力ファイルに記載して設定する mpatmdef(ログ収集一括定義コマンド) - コマンドを使用して設定する mpatmaccdef(共有リソース接続ユーザ設定コマンド) mpatmlogapdef(ログ収集設定コマンド) mpatmlogdef(ログ収集情報定義コマンド) mpatmsvrtypedef(サーバ種別設定コマンド) mpatmtrsdef(ファイル転送情報定義コマンド) - ポリシーを使用して設定する mpatmpset(監査ログ管理ポリシー情報移入コマンド) - 二次媒体装置へ収集した監査ログを退避する mpatmmediadef(収集ログ二次媒体複写先設定コマンド) - 45 - 監査ログ管理のログ収集定義を行った後、実際のログ収集や二次媒体装置へ退避などのコマンドを確認します。 Systemwalker Operation Managerなどでスケジュールに合わせて定期的に実施することにより、運用サイクルに合わ せた実施が可能となります。詳細については、“監査ログを収集する”、“監査ログを管理する”、“監査ログを評価す る”、“監査ログを退避する”を参照してください。 ・ 監査ログ管理の運用で使用/関連するコマンドは、以下のとおりです。詳細については、“リファレンスマニュアル” を参照してください。 - ログを収集する mpatmlog(ログ収集コマンド) - 二次媒体装置へ退避する mpatmmediacopy (共有リソース接続アカウント設定コマンド) - 収集した監査ログを圧縮/解凍する mpatmarchive(収集したログの圧縮コマンド) mpatmextract(圧縮したログの解凍コマンド) - 収集した監査ログの改ざんチェックする mpatmchecklog(収集したログの改ざん確認コマンド) - 収集した監査ログを削除する mpatmdellog(収集したログの削除コマンド) - 収集したログ管理情報を削除する mpatmdelap(ログ情報削除コマンド) クラスタシステムの共有ディスク上のログを収集する場合には、前述した監査ログ管理のログ収集定義の前に、ログ 収集定義を行う必要があります。詳細については、“Systemwalker Centric Manager クラスタ適用ガイド Windows編”、 “Systemwalker Centric Manager クラスタ適用ガイド UNIX編”の“監査ログ管理機能を使用する場合”を参照してくだ さい。 ・ クラスタシステムの共有ディスク上のログを収集する場合に使用する監査ログ管理の定義/関係するコマンドは、以 下のとおりです。詳細については、“リファレンスマニュアル”を参照してください。 - 共有ディスク上のログを収集するための設定/設定解除 mpatmcsset(共有ディスク上のログ収集設定コマンド) mpatmcsunset(共有ディスク上のログ収集設定解除コマンド) - 共有ディスク上のログ収集情報の退避/復元 mpatmcsbk(共有ディスク上のログ収集情報退避コマンド) mpatmcsrs(共有ディスク上のログ収集情報復元コマンド) 中継サーバを設定する場合の詳細について、“中継サーバを利用するための設定”を参照してください。 監査ログ分析の定義を行います 監査ログ分析を利用するための定義を行います。詳細については、“監査ログを分析する作業の流れ”を参照してくださ い。 ポイント ・ 監査ログ分析の定義で使用/関連するコマンドは、以下のとおりです。詳細については、“リファレンスマニュアル” を参照してください。 - 監査ログ分析の正規化ログ格納先を設定する mpatacnvtdef(正規化ログ格納先定義コマンド) - 46 - - 監査ログ分析の正規化ルールの登録(更新)、削除を行う mpatarulectl(正規化ルール管理コマンド) 監査ログ分析の定義を行った後、実際の正規化処理やログの集計/レポート作成を行うコマンドを確認します。 Systemwalker Operation Managerなどでスケジュールに合わせて定期的に実施することにより、運用サイクルに合わ せた実施が可能となります。 ・ 監査ログ分析の運用で使用/関連するコマンドは、以下のとおりです。詳細については、“リファレンスマニュアル” を参照してください。 - 監査ログを正規化する mpatalogcnvt(監査ログ正規化コマンド) - 集計レポートを作成する mpatareportput(集計レポート出力コマンド) - 集計レポートにコメントを追加する mpatareportcomment(集計レポートコメント追加コマンド) 監査ログ収集/分析の運用を開始します 監査ログ収集/分析を開始した後は、正しく収集/正規化されているかを特に注意します。詳細については、“監査ロ グ管理の注意事項”を参照してください。 6.2 監査ログを分析する システムが運用ルールに従って問題なく運用されていることを確認・証明するためには、システム運用全体の詳細な分 析が必要です。システム全体の運用状態を確認するためには、システム上に存在する監査ログを収集・分析する必要が あります。 監査ログを分析することにより、システム運用の正当性を証明することができ、また、問題発生時の原因究明やその後の 対策を実施できます。 監査ログを分析する際の問題点 監査ログを分析するには、さまざまなフォーマットの監査ログを調査・分析する必要があります。 監査ログはさまざまなフォーマットがあるため、監査ログを調査するには非常に手間がかかります。 - 47 - Systemwalker Centric Managerが提供するソリューション Systemwalker Centric Managerでは、監査ログを分析するために、以下の機能を提供しています。 - 48 - ・ 収集した監査ログのフォーマットを統一(正規化)し、検索・集計します。 ・ ログの集計結果からルールに則った運用であるかを把握します。 テンプレートを使用(Interstage Navigator連携)することで、ログの集計結果を簡単に確認できます。集計結果から運 用ルールに違反した操作を割り出すことができます。 - 49 - ・ 特定操作の検索・調査ができます。 集計結果から判別した違反操作などに対して、ログを検索することができます。 ・ 問題箇所の点検や運用状況の分析ができます。また、分析結果をレポートとして作成することができます。 - 運用状況の点検 - 運用ルールに則った運用で問題ないことを確認できます。 - 運用ルールに違反した操作があったときには、何があったかを確認できます。 - 50 - - 報告書として活用 システムに対する不正な行為の有無など運用状況を点検結果として報告し、監査に活用できます。 運用形態 監査ログ分析機能を使用する場合の運用形態について説明します。 - 51 - 監査ログ分析機能は、Systemwalker Centric Manager の運用管理サーバおよび運用管理クライアントにインストールしま す。監査ログの集計・分析は、運用管理サーバで行います。検索・集計の対象とする監査ログは、監査ログ管理機能に より運用管理サーバに収集された監査ログです。 Systemwalker Centric Managerで提供するテンプレートの中で、以下について監査ログをどう活用すればよいかを、運用 面から説明します。 ・ root権限での操作を点検する ・ Systemwalkerコンソールでの操作を点検する ・ サーバでの操作を点検する ・ サーバの自動運転運用を点検する それぞれの運用に沿った具体的な監査ログの集計・検索方法については、“セキュリティを強化するにはどのような運用 をしたらよいか”および“セキュリティを強化するためのSystemwalkerの設定”で説明します。機能の説明や設定手順の詳 細は、“監査ログを管理する”で説明します。 6.2.1 root権限での操作を点検する 業務サーバや部門管理サーバがLinuxやSolarisの場合、悪意あるユーザによって、システム管理者の権限であるroot権 限が不正に利用され、システム運用が被害を受けることは、あってはなりません。被害の有無の確認や被害があった場 合の原因究明のために、root権限を利用した不当な操作が行われていないかを点検する必要があります。root権限の利 用がわかる監査ログを集計・分析し、毎日確認することが必要です。 ここでは、システムに対してroot権限を使用した操作を監査ログから見つけ出し、操作内容を点検する方法を説明しま す。 運用イメージ 運用形態の運用イメージを以下に示します。 - 52 - システム構成 業務システムはSolarisまたは、Linuxで構成されています。業務システムごとに部門管理サーバが設置され、配下の業務 サーバの監視や、業務サーバの監査ログを収集するときの中継を行っています。 業務サーバはサーバ管理者が管理/監視し、部門責任者が業務システム全体を管理/監視しています。 運用上のルール 以下のルールを決めて運用しています。 ・ 各業務サーバ、部門管理サーバでは、rootでの直接ログインを禁止します。 ・ サーバ管理者が使用する、root権限の使用を許可されているユーザIDは、業務サーバごとに異なります。 問題点と問題を解決する運用例 現状の問題点 所定の時間外にroot権限を使用した操作が行われたり、不当な利用者がroot権限を行使すると、システムにとって重 大な問題が発生する恐れがあります。これを防ぐために、rootでのログイン禁止やパスワードへの有効期限の設定を しています。 しかし、実際に不当利用者によるroot権限の行使が完全にされていないことの確認は行われておらず、現在の対策 の十分性は評価できていません。評価するためには手作業で監査ログの内容を参照し、内容を分類/分析する必 要があるため、膨大な工数を必要とします。 問題を解決する運用例 上記の問題を解決するためには、夜間に自動で集計できるようにスケジュール運用ができ、また、集計条件を毎回入 力しなくてもよい運用が実現されなければなりません。集計条件が定義されているファイルを利用して夜間に処理を 行い、翌朝には、昨日のシステム運用の状態が一目でわかるという運用が求められます。 - 53 - Systemwalkerでは、このような運用を実現する手段として、各監査ログの分析目的に応じた条件を設定でき、集計処 理を行える機能を提供しています。従って、チェックに必要な作業はセキュリティ管理者による分析結果の確認(件数 の確認)だけとなり、必要な工数とチェックミスの発生は、限りなく少なくなります。 6.2.2 Systemwalkerコンソールでの操作を点検する 悪意あるユーザによって、Systemwalkerコンソールが不当に操作され、システム運用が被害を受けることは、あってはな りません。被害の有無の確認や被害があった場合の原因究明のために、運用規則に違反した操作が行われていない か、使用を許可されていないユーザが利用しようとしていないかを点検する必要があります。Systemwalkerコンソールで の操作がわかる監査ログを集計・分析し、毎日確認することが必要です。 ここでは、Systemwalkerコンソールを使用した操作を監査ログから見つけ出し、操作内容を点検する方法を説明します。 運用イメージ 運用形態の運用イメージを以下に示します。 システム構成 業務システムはDBシステムとWebシステムの2つで構成されています。業務システムごとに部門管理サーバが設置され、 配下の業務サーバの監視や、業務サーバの監査ログを収集するときの中継を行っています。 業務サーバはサーバ管理者が管理/監視しており、部門責任者が業務システム全体を管理/監視しています。 問題点と問題を解決する運用例 現状の問題点 Systemwalkerコンソールでは、Systemwalker Centric Managerのコンソール操作制御機能を利用して、画面からの操 作内容について、いつ、誰が、どこ(どのクライアント)から、どのような操作・変更を行ったかを、履歴として残していま す。ところが、不当利用者による操作、運用外の不正操作、操作ミスが実行されていないことの確認は、現状、行わ - 54 - れていません。また、複数のクライアントの監査ログを毎日目視で点検するには限界があり、監査ログによる分析がほ とんど行われていません。 問題を解決する運用例 上記の問題を解決するためには、夜間に自動で集計できるようにスケジュール運用ができ、また、集計条件を毎回入 力しなくてもよい運用が実現されなければなりません。集計条件が定義されているファイルを利用して夜間に処理を 行い、翌朝には、昨日のシステム運用の状態が一目でわかるという運用が求められます。 Systemwalkerでは、このような運用を実現する手段として、各監査ログの分析目的に応じた条件を設定でき、集計処 理を行える機能を提供しています。従って、チェックに必要な作業はセキュリティ管理者による分析結果の確認(件数 の確認)だけとなり、必要な工数とチェックミスの発生は、限りなく少なくなります。 6.2.3 サーバでの操作を点検する 悪意あるユーザによって、サーバが不正に利用され、システム運用が被害を受けることは、あってはなりません。被害の 有無の確認や被害があった場合の原因究明のために、サーバ操作のポリシーが改ざんされていないか、ポリシーどおり に運用されているかを点検する必要があります。内容がわかる監査ログを集計・分析し、毎日確認することが必要です。 ここでは、サーバに対する操作を監査ログから見つけ出し、操作内容を点検する方法を説明します。 運用イメージ 運用形態の運用イメージを以下に示します。 システム構成 業務システムはDBシステムとWebシステムの2つで構成されています。業務システムごとに部門管理サーバが設置され、 配下の業務サーバの監視や、業務サーバの監査ログを収集するときの中継を行っています。 業務サーバはサーバ管理者が管理/監視しており、部門責任者が業務システム全体を管理/監視しています。 - 55 - 問題点と問題を解決する運用例 現状の問題点 Systemwalker Centric Managerでは、サーバアクセス制御を利用して一般ユーザが利用可能なサーバ資産の制御を 行っています。しかし、Webサーバ、アプリケーションサーバ、DBサーバなど、用途が異なる複数のサーバから構成 されるシステム環境で、想定したとおりの運用が行われているかどうかについては定かではありません。また、サーバ アクセス制御は監査ログを出力しますが、複数のサーバの監査ログを毎日目視で点検するには限界があり、監査ロ グによる分析はほとんど行われていません。 問題を解決する運用例 上記の問題を解決するためには、夜間に自動で集計できるようにスケジュール運用ができ、また、集計条件を毎回入 力しなくてもよい運用が実現されなければなりません。集計条件が定義されているファイルを利用して夜間に処理を 行い、翌朝には、昨日のシステム運用の状態が一目でわかるという運用が求められます。 Systemwalkerでは、このような運用を実現する手段として、各監査ログの分析目的に応じた条件を設定でき、集計処 理を行える機能を提供しています。従って、チェックに必要な作業はセキュリティ管理者による分析結果の確認(件数 の確認)だけとなり、必要な工数とチェックミスの発生は、限りなく少なくなります。 6.2.4 サーバの自動運転運用を点検する 悪意あるユーザによって、Systemwalker Operation Managerの運用が不当に操作され、システム運用が被害を受けること は、あってはなりません。被害の有無の確認や被害があった場合の原因究明のために、運用規則に違反した操作が行 われていないか、使用を許可されていないユーザが利用しようとしていないかを点検する必要があります。Systemwalker Operation Managerに対する操作がわかる監査ログを集計・分析し、毎日確認することが必要です。 ここでは、Systemwalker Operation Managerを使用した運用に対して実行された操作を監査ログから見つけ出し、操作内 容を点検する方法を説明します。 運用イメージ 運用形態の運用イメージを以下に示します。 - 56 - システム構成 業務システムはDBシステムとWebシステムの2つで構成されています。 各業務サーバにはSystemwalker Operation Managerのサーバがインストールされています。業務システムごとに部門管 理サーバが設置され、配下の業務サーバの監視や、業務サーバの監査ログを収集するときの中継を行っています。 業務サーバはサーバ管理者が管理/監視し、部門責任者が業務システム全体を管理/監視しています。 問題点と問題を解決する運用例 現状の問題点 Systemwalker Operation Managerを利用して自動運転をしている管理者にとって、Systemwalker Operation Manager の運用に関する定義情報の不正な変更は、業務に支障が起きてしまい重大な問題です。 このような問題を早期に検出するため、自動運転のスケジュールの変更や操作を監査ログとして収集し、運用時間外 で不正な操作が行われていないかなどを確認する必要があります。 しかし、新規ユーザなど、点検を行うユーザが監査ログの分析/報告に不慣れである場合、どのように監査ログ分析を 始めたらよいか明らかになっていません。 問題を解決する運用例 上記の問題を解決するためには、夜間に自動で集計できるようにスケジュール運用ができ、また、集計条件を毎回入 力しなくてもよい運用が実現されなければなりません。集計条件が定義されているファイルを利用して夜間に処理を 行い、翌朝には、昨日のシステム運用の状態が一目でわかるという運用が求められます。 Systemwalkerでは、このような運用を実現する手段として、各監査ログの分析目的に応じた条件を設定でき、集計処 理を行える機能を提供しています。従って、チェックに必要な作業はセキュリティ管理者による分析結果の確認(件数 の確認)だけとなり、必要な工数とチェックミスの発生は、限りなく少なくなります。 - 57 - 6.3 監査ログ管理の構成を設計する 監査ログ管理機能は、収集対象となる各サーバ(業務サーバ、部門管理サーバ)と運用管理クライアント上にあるログファ イルを、運用管理サーバに収集し、一元管理する機能です。 ここでは、監査ログ管理機能の構成を設計するために必要な以下の項目について説明します。 ・ 構成例 ・ ログ収集対象期間 ・ ログファイルの管理方法 ・ ログファイルの転送方法 ・ 必要な設計項目 構成例 監査ログ管理機能を使用した場合の構成例を以下に示します。 運用管理サーバでのログ収集の例 運用管理サーバでログ収集を行う場合の設定方法については、“監査ログ管理の設定例”を参照してください。 全体監視サーバでのログ収集の例 - 58 - 運用管理サーバ上のログ収集について 運用管理サーバ上にあるログファイルを、他の運用管理サーバ(全体監視サーバ)へ収集する場合は、中継機能を利用 します。 運用管理サーバ上に存在するログファイルは、その運用管理サーバ自身か、全体監視サーバで収集を行ってください。 収集対象の運用管理サーバを中継サーバにすることで、他の運用管理サーバ(全体監視サーバ)へ収集することができ ます。 ログ収集対象期間 監査ログ管理機能では、収集実施日から最大7日前までデータをさかのぼって収集します。 同じ日に複数回収集を行った場合は、前回収集したデータから当日分の差分データを収集します。 例)5/8にログ収集を実施した場合 5/1の0:00から5/8のログ収集を実施した時刻までのデータを収集します。 ログファイルの管理方法 収集対象となるログファイル内のログレコードを、ログレコードの日付単位に分割して管理します。 例)2006年の5月8日にログ収集を実施した場合 以下のようにデータを分割して管理します。 - 59 - ログファイルの転送方法 ログファイルの転送方法は、設定により変更が可能です。 転送方法を変更することにより、ログファイルの収集によるネットワーク占有を抑えることができます。 以下の項目を指定して、ログファイルの転送方法を変更します。 ・ 分割転送サイズ 分割転送サイズを指定することにより、1回のファイル転送サイズを指定できます 例) 収集対象のログファイルのサイズが130MB、分割転送サイズを70MBと指定している場合は、130MBのファイルを 70MB、60MBに分割して転送します。 ・ 転送間隔 転送間隔を指定することにより、収集対象のログファイルを連続で転送するのではなく、一定の間隔をおいて転送す ることができます。 - 60 - 例) 30MBのログファイルが3個で、分割転送サイズを60MB、転送間隔を5秒と指定した場合は、2つのログファイル(合計 60MB)の転送を行った後、5秒間隔をおいてから、残りのログファイル(30MB)を転送します。 必要な設計項目 監査ログ管理機能を使用する場合は、以下の設計を行います。 ・ ハードウェア構成(中継サーバの使用の有無)、ネットワーク構成の設計 ・ 資源の見積もり ・ 収集するログファイルの決定 ・ 運用の設計(収集スケジュール、バックアップなど) ・ ログファイルの転送方法 収集するログファイルの種類や、設定・運用方法などの詳細については、“監査ログを管理する”を参照してください。 監査ログ管理機能を使用する場合は、以下のような構成や制限を実施するなどして、セキュリティについて考慮してくだ さい。また、中継サーバについても同様の考慮をしてください。 ・ 運用管理サーバは、管理者以外は立ち入れない場所に設置する ・ 運用管理サーバへアクセスできるサーバを、パーソナルファイアウォール、ルータなどで制限する ・ 運用管理サーバを使用する利用者を制限する - 61 - 第3部 セキュリティを強化するための Systemwalkerの設定 第3部では、セキュリティを強化するための各機能について、設定手順を説明します。 第7章 セキュリティポリシーを設定する.........................................................................................63 第8章 [Systemwalkerコンソール]の操作を制限する.....................................................................82 第9章 Systemwalker Centric Managerの監査ログを出力する...................................................104 第10章 監査ログを管理する......................................................................................................117 第11章 監査ログを分析する......................................................................................................194 第12章 サーバへのアクセスを制御する......................................................................................335 - 62 - 第7章 セキュリティポリシーを設定する システムのセキュリティを強化するには、Systemwalker Centric Managerをインストールした後、設定が必要です。設定す る方法には、ファイルやコマンドを使用して配付する方法、セキュリティポリシーを作成して配付する方法があります。ここ では、セキュリティポリシーとして設定する項目、および設定概要について説明します。ファイルやコマンドを使用した設 定およびポリシー設定の詳細については、“[Systemwalkerコンソール]の操作を制限する”、“Systemwalker Centric Managerの監査ログを出力する”、および“サーバへのアクセスを制御する”を参照してください。 セキュリティポリシーとは 運用管理サーバ上から、管理対象サーバと、これらに対する監査ログ出力および、サーバアクセス制御のポリシーを設 定/管理するポリシーをセキュリティポリシーといいます。 セキュリティポリシーでは、以下のポリシーを設定できます。 ・ 管理対象サーバのセキュリティ管理者/セキュリティ監査者の設定 管理対象サーバのセキュリティ管理者/セキュリティ監査者を設定します。 ・ 監査ログ出力 サーバアクセス制御の監査ログの出力設定を行います。 ・ サーバアクセス制御 コンソールログインやファイルアクセス等、一般的なサーバへのアクセス経路を監査/制御します。また、個別のネット ワークポートやプロセスといった制御対象に対するサーバへのアクセス経路を監査/制御します。 7.1 セキュリティポリシーを設定する手順 セキュリティポリシー設定の流れは以下のとおりです。 1.事前準備を行う 2.[セキュリティポリシー]を作成する 3.ポリシーグループを作成する セキュリティポリシーを配付するために、ポリシーグループを作成します。手順は“ポリシーグルー プを作成する”を参照してください。 4.ポリシーを配付する セキュリティポリシーを配付します。配付方法は“ポリシーを配付する”を参照してください。 5.配付状況を確認する セキュリティポリシーの配付状況を確認します。確認方法は“ポリシーの配付状況を確認する”を 参照してください。 セキュリティポリシー セキュリティポリシーには、以下の2種類のモードがあります。 - 63 - ・ スタンダードモード 配付先のサーバ(ノード)を設定するだけで、[監査ログ出力]、 および[サーバアクセス制御]に関するセキュリティポリ シーを初期値のままで運用できるモードです。 初期値を変更することも可能です。 ・ カスタムモード センタ固有の環境や用件に合わせて、[サーバアクセス制御]のセキュリティポリシーを個別に設定を行うモードです。 [監査ログ出力]については、スタンダードモードとの差異はありません。 スタンダードモードとカスタムモードで使用できるセキュリティポリシーの項目は、以下のとおりです。 セキュリティポリシーの項目 スタンダード モード カスタム モード ロール設定 (注 1) セキュリティ管理者設定 ○ ○ セキュリティ監査者設定 (注2) ○ ○ 監査ログ出力 (注1) 出力定義 ○ ○ サーバアクセス 制御 (注1) アクセス制御 コンソールログイン ○ ○ ネットワークログイン(注3) ○ ○ ネットワーク接続(Linuxのみ) ○ ○ suコマンドの実行(Linuxのみ) ○ - レジストリ(Windowsのみ) ○ ○ ファイル ○ ○ プロセス - ○ 録画設定(Linuxのみ) (注2) ○ ○ ○: 設定する -: 設定対象外 注1) Windows(R) 2000ではサポートしていません。 Windows(R) 2000のサーバを配付対象に設定した場合、[セキュリティポリシー[管理]]画面の[配付状況]タブにおい て、[配付対象外]と表示されます。 注2) V13.3.0ではサポートしていません。 - 64 - V13.3.0のLinuxのサーバを配付対象に設定した場合、[セキュリティポリシー[管理]]画面の[配付状況]タブにおいて、 [配付対象外]と表示されます。 注3) V13.3.0ではサポートしていません。 [ネットワークログイン]を保護対象種別とする[アクセス制御]ポリシーをV13.3.0のLinuxのサーバに配付した場合、ア クセス制御の対象となる[ネットワークログイン]の操作を行っても、アクセス制御の機能は動作しません。 ポリシーグループ セキュリティポリシーは、センタ個々の環境や要件に合わせて設定できます。セキュリティポリシーと対象サーバを関係付 け、同じ目的のポリシーとしてグループ化したものをポリシーグループと呼びます。 ポリシーグループでは、以下のポリシー管理ができます。 ・ 同じようなセキュリティ内容としたいノードを一括してポリシー定義/配付が可能です。 ・ ポリシーの配付状況をポリシーグループ単位で確認できます。 また、運用時にセキュリティポリシーの変更が必要となった場合は、該当するセキュリティポリシーだけを変更してポリシー を配付することができます。そのため、運用の変更が簡単に対応できます。 以下に、ポリシーグループの考え方を示します。 ポリシーグループAの“Webサーバのポリシー”では、以下のセキュリティポリシーをグルーピングし、サーバ1、2にポリシー を配付します。 [ロール設定] ・ セキュリティ管理者設定 ・ セキュリティ監査者設定 [監査ログ出力] ・ サーバアクセス制御のアクセス監査ログ [サーバアクセス制御] ・ Webサーバ上のアクセス制御 - 65 - 事前準備を行う 必要な事前準備について説明します。 ポリシー定義/配付のための事前準備を行う セキュリティポリシーを定義/配付する前に、以下の設定が完了していることを確認します。完了していない場合は、 “Systemwalker Centric Manager 使用手引書 監視機能編”の”事前準備を行う”を参照して設定してください。 ・ [Systemwalkerコンソール]を使用するための設定 ・ Systemwalkerの利用者権限を定義する ・ セキュリティポリシーを設定するノードを登録する セキュリティ管理者/セキュリティ監査者を設定する 運用管理サーバのセキュリティ管理者/セキュリティ監査者を設定します。設定の方法については、“セキュリティ管理者/ 監査者を設定する”を参照してください。 セキュリティポリシーを作成する [セキュリティポリシー]を作成する手順について説明します。 1. セキュリティ管理者で[Systemwalkerコンソール]を起動します。 [スタート]/[アプリ]-[Systemwalker Centric Manager]-[Systemwalkerコンソール]を選択します。 2. システム管理者、セキュリティ管理者が同一の場合は、[機能選択]で[編集]を選択します。 →[Systemwalkerコンソール[編集]]画面が表示されます。 システム管理者、セキュリティ管理者が異なる場合は、[機能選択]で[監視]を選択します。 →[Systemwalkerコンソール[監視]]画面が表示されます。 - 66 - 3. [ポリシー]メニューから[セキュリティ]-[セキュリティポリシー]を選択します。 →[セキュリティポリシー[管理]]画面が表示されます。 セキュリティポリシーのカスタムモードを使用する場合、[オプション]メニューの[カスタムモード表示]を“ON”にしま す。 4. [セキュリティポリシー[管理]]画面で、以下のセキュリティポリシーを設定します。 - ロール設定 - セキュリティ管理者設定 - セキュリティ監査者設定 - 監査ログ出力 - 出力定義 - サーバアクセス制御 - アクセス制御 - 録画設定 7.2 セキュリティ管理者/監査者を設定する Systemwalker Centric Managerのインストール直後には、運用管理サーバのセキュリティ管理者、セキュリティ監査者は設 定されていません。セキュリティ管理者およびセキュリティ監査者はシステム管理者と兼任となっています。セキュリティポ リシーを作成する場合、セキュリティ管理者の設定が必要です。 セキュリティ管理者およびセキュリティ監査者を設定する手順を説明します。 - 67 - セキュリティ管理者(運用管理サーバ) 運用管理サーバのセキュリティ管理者を設定します。 セキュリティ管理者を設定するには、“セキュリティの構成を設計する”の“セキュリティ管理者”に従い、ユーザをロールに 追加してください。ロールの追加方法については、“Systemwalker Centric Manager 使用手引書 監視機能編”の “Systemwalkerの利用者権限を定義する”を参照してください。 セキュリティ管理者が設定されていない場合は、UNIX版の運用管理サーバではroot、Windows版の運用管理サーバで はAdministratorsグループに所属するユーザが行ってください。 セキュリティ管理者が設定されている場合は、セキュリティ管理者が行ってください。 1. [Systemwalkerコンソール]を起動します。 root/Administratorsグループに所属するユーザが実施する場合は、[機能選択]で[編集]を選択します。セキュリティ 管理者が実施する場合は、[機能選択]で[監視]を選択します。 2. [Systemwalkerコンソール]の[ポリシー]メニューから[セキュリティ]-[利用者のアクセス権設定]を選択します。 →[ロール一覧]ダイアログボックスが表示されます。[ロール一覧]には、登録されている[ロール名]および[説明]が 表示されます。 3. ロール名“SecurityAdmin”を選択し、[プロパティ]ボタンをクリックします。 →[ロール情報]ダイアログボックスが表示されます。[アクセス権設定一覧]に、現在設定されているセキュリティ管 理者が表示されます。 - 68 - 4. セキュリティ管理者を追加するため、[ロール情報]ダイアログボックスの[ユーザーID一覧]から追加するユーザー IDを選択し、[追加]ボタンをクリックします。 →追加されたユーザーIDを含め、現在設定されているセキュリティ管理者の一覧が[アクセス権設定一覧]に表示 されます。 セキュリティ管理者の追加が完了した後、[ロール情報]ダイアログボックスの[OK]ボタンをクリックします。 5. [ロール一覧]ダイアログボックスで[閉じる]ボタンをクリックします。 6. [Systemwalkerコンソール]を終了します。 システム管理者とセキュリティ管理者が別々の場合、セキュリティ管理者は Systemwalker コンソールの[監視]モー ドから操作を行います。初期設定では非表示にしているメニューのため、手順7.から手順9.のメニュー表示設定を 行う必要があります。これらの設定は、root/Administratorsグループに所属するユーザで実行してください。 7. セキュリティ管理者のメニュー表示設定をファイルに出力します。 実行例を以下に示します。-rオプションには、セキュリティ管理者を加えたロールを指定します。 例) MpBcmMenuSetup -out -r DmReference -f c:\tmp\DmReferenceMenu.dat 8. セキュリティ管理者に対してメニュー表示する項目を編集します。 手順7.で出力されたファイルを編集します。編集例を以下に示します。例に示す「POLICY」に関する4行について 先頭に「#」を記述してください。 例) - 69 - [HIDE_MENUID] #表示するメニューID (中略) #POLICY #ポリシー(P) (中略) #POLICY_SECURITY #セキュリティ(S) #POLICY_SECURITY_POLICY #セキュリティポリシー(S)... #POLICY_ACCESS_CTRL #利用者のアクセス権設定(C)... 9. セキュリティ管理者のメニュー表示設定の反映を行います。 実行例を以下に示します。-uオプションには追加したセキュリティ管理者を指定します。-fオプションには、手順8. で編集したファイルを指定します。 例) MpBcmMenuSetup -in -u SecAdminUser -f c:\tmp\DmReferenceMenu.dat MpBcmMenuSetup([Systemwalkerコンソール]のメニュー表示設定コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 注意 Windows版で監査ログ管理と監査ログ分析の機能/コマンドを使用する場合は、Administratorsグループに所属している ユーザーをセキュリティ管理者に設定する必要があります。 セキュリティ監査者(運用管理サーバ) セキュリティ管理者が、運用管理サーバのセキュリティ監査者を設定します。 セキュリティ監査者の設定については、“セキュリティの構成を設計する”の“セキュリティ監査者”に従い、ユーザをロー ルに追加してください。ロールの追加方法については、“Systemwalker Centric Manager 使用手引書 監視機能編”の “Systemwalkerの利用者権限を定義する”を参照してください。 1. [Systemwalkerコンソール]を起動します。 システム管理者、セキュリティ管理者が同一の場合は、[機能選択]で[編集]を選択します。システム管理者、セキュ リティ管理者が異なる場合は、[機能選択]で[監視]を選択します。 2. [Systemwalkerコンソール]の[ポリシー]メニューから[セキュリティ]-[利用者のアクセス権設定]を選択します。 →[ロール一覧]ダイアログボックスが表示されます。[ロール一覧]には、登録されている[ロール名]および[説明]が 表示されます。 3. ロール名“SecurityAuditor”を選択し、[プロパティ]ボタンをクリックします。 →[ロール情報]ダイアログボックスが表示されます。[アクセス権設定一覧]に、現在設定されているセキュリティ監 査者が表示されます。 4. セキュリティ監査者を追加するため、[ロール情報]ダイアログボックスの[ユーザ一覧]から追加するユーザーIDを選 択し、[追加]ボタンをクリックします。 →追加されたユーザーIDを含め、現在設定されているセキュリティ監査者の一覧が[アクセス権設定一覧]に表示 されます。 5. セキュリティ監査者の追加が完了した後、[ロール情報]ダイアログボックスの[OK]ボタンをクリックします。 [ロール一覧]ダイアログボックスで[閉じる]ボタンをクリックします。 6. [Systemwalkerコンソール]を終了します。 システム管理者とセキュリティ監査者が別々の場合、セキュリティ監査者は Systemwalker コンソールの[監視]モー ドから操作を行います。初期設定では非表示にしているメニューのため、手順7.から手順9.のメニュー表示設定を 行う必要があります。これらの設定は、root/Administratorsグループに所属するユーザで実行してください。 - 70 - 7. セキュリティ監査者のメニュー表示設定をファイルに出力します。 実行例を以下に示します。-rオプションには、セキュリティ監査者を加えたロールを指定します。 例) MpBcmMenuSetup -out -r DmReference -f c:\tmp\DmReferenceMenu.dat 8. セキュリティ監査者に対してメニュー表示する項目を編集します。 手順7.で出力されたファイルを編集します。編集例を以下に示します。例に示す「POLICY」に関する4行について 先頭に「#」を記述してください。 例) [HIDE_MENUID] #表示するメニューID (中略) #POLICY #ポリシー(P) (中略) #POLICY_SECURITY #セキュリティ(S) #POLICY_SECURITY_POLICY #セキュリティポリシー(S)... #POLICY_ACCESS_CTRL #利用者のアクセス権設定(C)... 9. セキュリティ監査者のメニュー表示設定の反映を行います。 実行例を以下に示します。-uオプションには追加したセキュリティ監査者を指定します。-fオプションには、手順8. で編集したファイルを指定します。 例) MpBcmMenuSetup -in -u SecAdminUser -f c:\tmp\DmReferenceMenu.dat MpBcmMenuSetup([Systemwalkerコンソール]のメニュー表示設定コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 セキュリティ管理者(管理対象サーバ) 管理対象サーバにサーバアクセス制御機能がインストールされている場合、管理対象サーバのセキュリティ管理者/監査 者を設定することができます。 インストールされていない場合は、システム管理者がセキュリティ管理者/監査者の役割を兼任します。 運用管理サーバのセキュリティ管理者が、管理対象サーバのセキュリティ管理者/監査者のポリシーを作成し、管理対象 サーバに配付して設定します。 - 71 - 1. [Systemwalkerコンソール]の[ポリシー]メニューから[セキュリティ]-[セキュリティポリシー]を選択します。 →[セキュリティポリシー]画面が表示されます。 2. [設定対象ツリー]から、[セキュリティポリシー]-[ポリシー]-[ロール設定]-[セキュリティ管理者設定]を選択します。 3. [操作]メニューの[新規作成]を選択します。 →[セキュリティポリシー[ポリシーの作成]]画面が表示されます。 - 72 - 4. [プラットフォーム]を選択し、[ポリシー名]、[コメント]を入力し、[OK]ボタンをクリックします。 →[セキュリティ管理者設定]画面が表示されます。 5. [ユーザ一覧からの追加]ボタンをクリックします。 →[ユーザ一覧]画面が表示されます。 [ホスト名]をプルダウンメニューから選択するか、または入力します。 [ユーザ]には、[ホスト名]に指定したサーバに存在するユーザが表示されます。 6. セキュリティ管理者に設定するユーザを選択し、[OK]ボタンをクリックします。 7. [OK]ボタンをクリックします。 管理対象サーバへポリシーを配付した後、管理対象サーバのセキュリティ管理者の設定が有効となります。 - 73 - 注意 Windows版で監査ログ管理と監査ログ分析の機能/コマンドを使用する場合は、Administratorsグループに所属している ユーザーをセキュリティ管理者に設定する必要があります。 セキュリティ監査者(管理対象サーバ) 1. [Systemwalkerコンソール]の[ポリシー]メニューから[セキュリティ]-[セキュリティポリシー]を選択します。 →[セキュリティポリシー]画面が表示されます。 2. [設定対象ツリー]から、[セキュリティポリシー]-[ポリシー]-[ロール設定]-[セキュリティ監査者設定]を選択します。 3. [操作]メニューの[新規作成]を選択します。 →[セキュリティポリシー[ポリシーの作成]]画面が表示されます。 4. [プラットフォーム]を選択し、[ポリシー名]、[コメント]を入力し、[OK]ボタンをクリックします →[セキュリティ監査者設定]画面が表示されます。 5. [ユーザ一覧からの追加]ボタンをクリックします。 →[ユーザ一覧]画面が表示されます。 [ホスト名]をプルダウンメニューから選択するか、または入力します。 [ユーザ]には、[ホスト名]に指定したサーバに存在するユーザが表示されます。 6. セキュリティ監査者に設定するユーザを選択し、[OK]ボタンをクリックします。 7. [OK]ボタンをクリックします。 管理対象サーバへポリシーを配付した後、管理対象サーバのセキュリティ監査者が有効となります。 7.3 セキュリティポリシーを設定する セキュリティポリシーは、運用形態に応じて以下の設定を行います。 ・ 全ノードを初期設定で運用する場合 ・ サーバごとにポリシーを設定して運用する場合 ・ バージョンアップしてポリシーを再設定する場合 - 74 - 全ノードを初期設定で運用する場合 Systemwalker Centric Manager をインストールするだけで、すぐに運用を開始したい場合に使用します。専用のセキュリ ティ管理者/監査者をおかず、監査ログ出力、アクセス制御、録画設定などを初期設定のままで運用します。 手順 1. [Systemwalkerコンソール]から[ポリシー]メニューの[セキュリティ]-[セキュリティポリシー]を選択し、セキュリティポリ シー[管理]画面を起動します。 - 75 - 2. [設定対象]ツリーで[ポリシーグループ]フォルダを選択し、[新規作成]ボタンをクリックします。 →[セキュリティポリシー[ポリシーグループの登録]]画面が起動します。 3. [監査ログ出力]、[サーバアクセス制御]の各ポリシーについて、配付先のノードのプラットフォームに対応した初期 設定を選択します。 - 76 - 4. [配付先]タブを選択し、[追加]ボタンをクリックします。 5. セキュリティポリシー[配付先の追加]画面で、ノードまたはフォルダ(複数選択可)を選択して[追加]ボタンをクリック します。ポリシーを配付するサーバの設定が完了したら[OK]ボタンをクリックします。 6. [セキュリティポリシー[ポリシーグループの登録]]画面で[OK]ボタンをクリックし、[セキュリティポリシー[設定内容の 確認]]画面で確認をした後、[はい]ボタンをクリックして、ポリシーグループを追加します。 - 77 - 7. [セキュリティポリシー[管理]]画面で、[全て配付]ボタンをクリックし、ポリシーを配付します。 →[セキュリティポリシー[配付結果]]画面が表示され、ポリシー配付が完了します。 サーバごとにポリシーを設定して運用する場合 サーバごとに個別のポリシーを設定したい場合に使用します。各ノードの構成情報を調査/分類し、計画的にポリシーグ ループを作成します。 手順 1. 管理対象のノードの構成情報を調査/分類します。 論理ツリー(ノード管理ツリー、業務管理ツリー)を作成します。構成情報ごとにフォルダを作成し、ノードを分類しま す。 2. [Systemwalkerコンソール]から[ポリシー]メニューの[セキュリティ]-[セキュリティポリシー]を選択し、セキュリティポリ シー[管理]画面を起動します。 3. [オプション]メニューの[カスタムモード表示]を選択し、カスタムモードに変更します。 4. カスタマイズが必要な種類のポリシーを事前に作成します。 5. [設定対象]ツリーで[ポリシーグループ]フォルダを選択し、[新規作成]ボタンをクリックして、[セキュリティポリシー [ポリシーグループの登録]]画面を起動します。 6. 4. で作成したセキュリティポリシーを選択します。 7. [配付先]タブを選択し、[追加]ボタンをクリックして、セキュリティポリシー[配付先の追加]画面を表示します。 8. 1. で作成した論理ツリーから、フォルダ(複数選択可)を選択して[追加]ボタンをクリックします。追加が完了したら [OK]ボタンをクリックします。 9. [セキュリティポリシー[ポリシーグループの登録]]画面で[OK]ボタンをクリックし、ポリシーグループを追加します。 10. 類似のポリシーグループを作成する場合は、8. で追加したポリシーグループを複写し、設定が異なるポリシーだけ を変更します。 11. 4. ~ 9. の作業を繰り返します。 - 78 - 12. すべてのポリシーグループを作成した後、[セキュリティポリシー[管理]]画面で、[全て配付]ボタンをクリックし、ポリ シーを配付します。 →[セキュリティポリシー[配付結果]]画面が表示され、ポリシー配付が完了します。 バージョンアップしてポリシーを再設定する場合 Systemwalker Centric Manager V13.3.0で作成したサーバアクセス制御のポリシーは、サーバアクセス制御の“アクセス制 御”ポリシー、監査ログ出力の”出力定義”ポリシーの“アクセス監査ログ”の設定として引き続き使用することができます。 ただし、ポリシーの割り当て情報(サーバとポリシーの情報の関連付け)は引き継がれません。ポリシーグループを作成 し、サーバアクセス制御のポリシーの配付先サーバを再設定する必要があります。ポリシーグループの作成については、 “ポリシーグループを作成する”を参照してください。 7.4 ポリシーグループを作成する 設定したセキュリティポリシーを配付するために、ポリシーグループを作成します。 1. セキュリティ管理者で[Systemwalkerコンソール]を起動します。 システム管理者、セキュリティ管理者が同一の場合は、[機能選択]で[編集]を選択します。システム管理者、セキュ リティ管理者が異なる場合は、[機能選択]で[監視]を選択します。 2. [Systemwalkerコンソール]画面の[ポリシー]メニューから[セキュリティ]-[セキュリティポリシー]を選択します。 →[セキュリティポリシー[管理]]画面が表示されます。 3. ポリシーグループを作成する [設定対象]ツリーで、セキュリティポリシーグループを選択し、右クリックして[新規作成]をクリックします。 - 79 - →[セキュリティポリシー[ポリシーグループの登録]]画面が表示されます。 4. ポリシーグループを設定する ポリシーグループ名および各種ポリシーを設定します。 以下のポリシーの“設定なし”と“[初期設定]”は、同一の設定内容になります。 - 監査ログ出力 - 出力定義 - サーバアクセス制御 - 録画設定 5. 配付先ノードを設定する a. ポリシー内容の設定が完了したら[配付先]タブをクリックします。 b. [配付先]タブで[追加]ボタンをクリックします。 c. [セキュリティポリシー[配付先の追加]]画面で配付先ノードを選択し、[OK]ボタンをクリックします。 6. [OK]ボタンをクリックし、ポリシーグループを登録する 7. ポリシーグループの設定内容を確認する 設定内容が正しいことを確認し、[はい]ボタンをクリックします。 →セキュリティポリシー[管理]画面にポリシーグループが登録されます。 7.5 ポリシーを配付する 作成したポリシーグループをサーバに配付して、セキュリティポリシーを反映します。 なお、作成したポリシーは、mppolgrpadm(ポリシーグループの操作コマンド)を使用して配付することもできます。 mppolgrpadm(ポリシーグループの操作コマンド)の詳細については“Systemwalker Centric Manager リファレンスマニュ アル”を参照してください。 1. [Systemwalkerコンソール]を更新権(DmAdmin)ユーザで起動し、[ポリシー]-[セキュリティ]-[セキュリティポリシー]メ ニューを選択して、[セキュリティポリシー[管理]]画面を起動します。 2. [全て配付]ボタンをクリックするか、ポリシーグループを選択して[配付]ボタンをクリックし、[セキュリティポリシー[配 付の確認]]画面を表示します。 - 80 - 3. ポリシーの設定をしてよいかの確認画面が表示されるので、[はい]ボタンをクリックし、ポリシーを配付します。 4. ポリシーの配付がすべて正常に完了すると、セキュリティポリシー[配付結果]画面が表示されます。 7.6 ポリシーの配付状況を確認する 設定したセキュリティポリシーが管理対象サーバへ配付されたことを、[セキュリティポリシー[管理]]画面で確認します。 1. [Systemwalkerコンソール]を更新権(DmAdmin)をもつユーザで起動し、[ポリシー]-[セキュリティ]-[セキュリティポリ シー]メニューを選択して、[セキュリティポリシー[管理]]画面を起動します。 2. [配付状況]のタブをクリックして、ポリシーグループの配付状況一覧を表示します。 - 81 - 第8章 [Systemwalkerコンソール]の操作を制限する [Systemwalkerコンソール]での操作を制限する場合の設定手順について説明します。 8.1 [Systemwalkerコンソール]のアクセス権の考え方 Systemwalker Centric Managerは、セキュリティのため、画面のアクセス権やツリーへのアクセス権をユーザごとに定義す ることができます。ここでは、以下の構成でアクセス権の定義方法を説明します。 ・ [Systemwalkerコンソール]のアクセス権 ・ セキュリティを高めた監視を行う場合の設定 [Systemwalkerコンソール]のアクセス権 Systemwalker Centric Managerの各機能を利用するために必要な権限を、利用者ごとに設定することができます。 Systemwalker Centric Managerは、ロールという単位で各機能の利用権限を定義しています。ロールとは、共通の役割 (権限)を持つ利用者から構成されるグループのことです。Systemwalker Centric Managerをインストールすると、以下の ロールが登録されます。 表8.1 機能の使用を許可するためにユーザを所属させるロール ロール名 説明 使用機能 DmAdmin 監視機能の管理系ロール DmOperation 監視機能の操作系ロール DmReference 監視機能の参照系ロール [Systemwalkerコンソー ル]、 [Systemwalker Webコ ンソール]の監視機能 OrmOperation(注) 返答機能の操作系ロール 返答操作のコマンド AssetAdmin システム全体の資産管理者 AssetSectionAdm in 部門配下の資産管理者 SecurityAdmin セキュリティ管理者 SecurityAuditor セキュリティ監査者 資産管理機能 [Systemwalkerコンソー ル]、サーバアクセス制 御、監査ログ分析を使 用するには同時に DmReference、 DmOperationまたは DmAdminロールに所 属している必要がありま す。 注)Solaris版、Linux版で登録されます。 管理者は、ユーザを上記のロールに適宜所属させてください。所属させるロールの種類により、ユーザが使用できる機 能と利用権限が決まります。ロールと利用可能な機能の関係は、以下のとおりです。 ・ [Systemwalkerコンソール]の監視機能を使用するために必要な権限については、“Systemwalker Centric Manager 使用手引書 監視機能編”の“[Systemwalkerコンソール]のメニュー項目”を参照してください。 ・ [Systemwalkerコンソール]の編集機能を使用するためには、DmAdminロールに所属している必要があります。 ・ [システム監視設定]ダイアログボックスを起動するためには、DmAdminロールに所属している必要があります。[シス テム監視設定]ダイアログボックスについては、“Systemwalker Centric Manager 使用手引書 監視機能編”の“イベン ト監視の条件を設定する”の“サーバに直接接続して環境定義を行う場合”を参照してください。 ・ DmAdminは、DmOperation、DmReference、OrmOperationの権限を含んでいます。 ・ DmOperationは、DmReference、OrmOperationの権限を含んでいます。 - 82 - ・ 返答操作のコマンドの詳細は、“Systemwalker Centric Manager リファレンスマニュアル”の“返答メッセージ用コマン ドの概要【UNIX版】”を参照してください。 “機能の使用を許可するためにユーザを所属させるロール”に記載したロールに所属していない一般のユーザは、 Systemwalker Centric Managerの機能を使用できません。[Systemwalkerコンソール]を起動するユーザを、“機能の使用 を許可するためにユーザを所属させるロール”に記載したロールに所属させるか、Administratorsグループに所属させて ください。 [Systemwalkerコンソール]を起動するユーザについては、“Systemwalker Centric Manager 使用手引書 監視機能編”の “Systemwalkerの利用者権限を定義する”を参照してください。 【UNIXの場合】 ・ スーパーユーザは、セキュリティ情報の設定(ロールへの所属、ツリーに対するアクセス権の設定)の実施にかかわら ず、アクセス制御の対象外として常に更新権を持つユーザとして扱われます。 ・ Solaris 11では、OSのインストール時にユーザアカウントの設定を行った場合、rootは「役割」として登録されます。こ の場合、スーパーユーザ(root)をSecurityAdmin,SecurityAuditor以外のロールに登録すると、以下のポップアップメッ セージが表示され登録に失敗します。 DmAdminにrootを登録するときに表示されるメッセージ例 なお、スーパーユーザ(root)は、セキュリティ情報の設定(ロールへの所属、ツリーに対するアクセス権の設定)の実 施にかかわらず、アクセス制御の対象外として常に更新権を持つユーザであり、デフォルトで次のロールに登録され た状態と同等の権限を持っているため、ロールに登録する必要はありません。 - DmAdmin - DmOperation - DmReference - DistributionAdmin - DistributionOperation - DistributionReference - OrmOperation 【Windows(R)の場合】 Administratorsグループに所属するユーザは、セキュリティ情報の設定(ロールへの所属、ツリーに対するアクセス権の設 定)の実施にかかわらず、アクセス制御の対象外として常に更新権を持つユーザとして扱われます。 注意 運用管理クライアントから以下の運用管理サーバへ接続する場合の注意事項 ・ Windows Server 2008 STD ・ Windows Server 2008 DTC - 83 - ・ Windows Server 2008 EE ・ Windows Server 2008 Foundation ・ Windows Server 2008 R2 ・ Windows Server 2012 OSのセキュリティポリシーで、「アカウントの空のパスワードの使用をコンソールログオンのみに制限する」を「有効」として いた場合、パスワードが空のアカウントは、Systemwalker Centric Managerのユーザ認証でエラーとなります。 Systemwalkerコンソールを起動するWindows端末にログオンする場合 Systemwalkerコンソールを起動するWindows端末がWindows Vista、Windows 7、Windows 8、Windows Server 2008 、 Windows Server 2008 R2、またはWindows Server 2012の場合は、Systemwalkerコンソールを起動するWindows端末の DmAdmin、DmOperation、DmReference、またはAdministratorsのどれかのグループに所属するローカルユーザで Windows端末にログオンする必要があります。 ただし、Windows Vista、Windows 7、Windows 8、Windows Server 2008 、Windows Server 2008 R2、またはWindows Server 2012で、ユーザアカウント制御(UAC)が有効になっている場合には、DmAdmin、DmOperation、またはDmReference のどれかのグループに所属するローカルユーザでWindows端末にログオンする必要があります。 運用時には、DmReferenceグループに所属するローカルユーザでWindows端末にログオンすることを推奨します。 セキュリティを高めた監視を行う場合の設定 以下の運用を検討されている場合、セキュリティをより高めた監視を行うことを推奨します。 1. 監視ツリーごとにオペレータを分けて監視を行う場合 2. 同一の監視ツリーを複数のオペレータが監視するが、オペレータごとに作業、または監視対象が異なる場合 3. オペレータごとに使用できる[Systemwalkerコンソール]のメニューを限定したい場合 4. オペレータごとに監視するノードなどのオブジェクトを限定したい場合 セキュリティをより高めた監視を行うには、以下の設定を行ってください。 ・ ユーザ権限の設定 ・ メニュー抑止の設定 ユーザ権限の設定 管理者、オペレータ、および資源配付の管理者(資源配付のオペレータを含む)のユーザ名をそれぞれ決定してくださ い。各ユーザの役割は、以下のとおりです。 ・ 管理者 Systemwalker Centric Managerのすべての資源に対し、更新、操作、参照できる特権ユーザ。導入時の初期設定や 構成情報/ポリシーの変更などを行うユーザ。 ・ オペレータ 通常の監視操作を行い、特定の資源に対しての操作、参照が行えるユーザ。更新権は付与されていないが、監視 時にリモートコマンドの発行やイベントの対処などを行うユーザ。 ・ 資源配付の管理者(資源配付のオペレータを含む) 資源配付機能を利用するユーザ。 なお、資源配付の操作は、コンソール操作制御の対象ではないため、[Systemwalkerコンソール]からは使用せず、 スタートメニューまたはアプリ画面から使用してください。 管理者およびオペレータに対して、それぞれ以下の設定を行ってください。 ・ 管理者 【付与するロールおよび権限】 - 84 - - DmAdmin - DistributionAdmin ・ オペレータ 【付与するロールおよび権限】 - DmOperation または、DmReference 操作、参照ユーザの場合は、「DmOperation」、参照ユーザの場合は、「DmReference」を付与してください。 メニュー抑止の設定 以下のメニューについて、上記「ユーザ権限の設定」の「オペレータ」が実行できないようにするため、DmAdminロール に所属するユーザのみが実行できるようコンソール操作制御機能で設定してください。定義方法は、“コンソール操作制 御機能で認証する”を参照してください。 [オブジェクト]メニュー ・ ノード情報をCSV形式で保存 [イベント]メニュー ・ 監視イベントログをCSV形式で保存 [操作]メニュー ・ IP NetMGR-構成情報検索 ・ ブレードサーバ管理画面-指定ノード ・ 性能情報の出力 ・ 利用者管理 ・ ノード中心マップ型の表示 ・ ペアノード経路マップ型の表示 ・ バッチ業務 ・ IP NetMGR-構成情報 ・ ブレードサーバ管理画面-全ノード ・ ユーザ登録メニュー(注) ・ 連携製品の起動 注)操作メニュー登録画面または、「mpaplreg(監視画面のメニュー項目登録コマンド)」から登録したメニューです。 上記のメニューは、表示している監視ツリーに含まれないオブジェクトについて参照/操作/更新が可能です。監視ツリー に含まれないオブジェクトを参照/操作/更新させない運用をするために、本設定を行う必要があります。 インベントリ情報を参照する機能を使用する場合 以下の画面および機能においてインベントリ情報を参照するには、コンソール操作制御機能が運用中でない場合に使 用してください。 ・ [インベントリ情報で検索]画面 ・ [ソフトウェア修正管理]画面からインベントリ情報を表示する 8.2 コンソール操作制御機能で認証する コンソール操作制御機能で認証する場合の設定方法・運用方法について説明します。 - 85 - 注意 コンソール操作制御機能の注意事項 所属するロールにより制限されている操作については、コンソール操作制御機能の設定を行っても利用することはでき ません。 コンソール操作制御の認証方式 コンソール操作制御では、以下の方式で認証できます。 ・ ログインIDでの操作の保護 ・ 操作ごとの保護 ログインIDでの操作の保護 システム管理者やオペレータごとに運用管理クライアント用の端末が割り当てられており、各担当者にSystemwalkerにロ グインするIDを割り当てる場合や、操作する資源ごとに専用の運用管理クライアントが存在し、運用管理クライアントごと にログインするIDを割り当てる場合など、[Systemwalkerコンソール]にログインするユーザごとに操作の制限を行う場合に 使用します。 ログインIDでの操作の保護をする場合、以下の手順で設定してください。 1. マネージャの環境設定 2. 操作制御マネージャ起動条件記述ファイルの作成 操作制御マネージャ起動条件記述ファイルの定義例 3. ファイルの変換 操作ごとの保護 操作ごとの保護では、[Systemwalkerコンソール]で操作を行うときに操作を行う人のID(ユーザ名)の入力が必要です。コ ンソール操作制御では、入力されたユーザ名に対して選択した操作が実行可能かの判定を行います。 運用管理クライアントをオペレータやシステム管理者が共同で使用するなど、[Systemwalkerコンソール]は常時起動した 状態で運用し、操作を行うユーザごとに操作を制限する場合に使用します。また、複数の運用管理サーバを監視するた めに、1台の運用管理クライアントで[Systemwalkerコンソール]の画面を複数表示できます。 操作ごとの保護をする場合、以下の手順で設定してください。 1. マネージャの環境設定 2. 操作制御マネージャ起動条件記述ファイルの作成 3. ファイルの変換 4. 操作制御マネージャ起動条件記述ファイルの定義例 5. 操作を行う担当者のユーザ名をシステムに登録する 6. 運用管理クライアントの環境設定 7. 操作ごとの保護を使用する場合の操作 8.2.1 マネージャの環境設定 コンソール操作制御機能で認証を行う運用を開始/停止する 運用の開始/停止は、運用管理サーバ上で操作制御マネージャ起動条件記述ファイルを編集することで行います。 運用を開始する前に、監査ログを出力する設定を行ってください。コンソール操作制御機能の操作を判定した結果は監 査ログに出力します。 なお、監査ログ出力の設定方法は、“Systemwalkerコンソール/コンソール操作制御の監査ログ”を参照してください。 - 86 - 以下に手順を示します。 1. 操作を行う担当者のユーザ名をシステムのユーザアカウントとして登録する 操作を行う担当者のユーザ名をシステムのユーザアカウントとして登録し、Systemwalker Centric Managerのロール(DmAdmin/DmOperation/DmReferenceのどれか)に所属させます。 ユーザアカウントの登録については、“操作を行う担当者のユーザ名をシステムに登録する” を参照してください。 2. 操作制御マネージャ起動条件記述ファイルの作成 ・コンソール操作制御機能を使用した運用を開始する場合、操作制御マネージャ起動条件 記述ファイルで、コンソール操作制御機能の実施有無のcheck_consoleに“y”を指定します。 ・コンソール操作制御機能を使用した運用を停止する場合、操作制御マネージャ起動条件 記述ファイルで、コンソール操作制御機能の実施有無のcheck_consoleに“n”を指定します。 操作制御マネージャ起動条件記述ファイルについては、“操作制御マネージャ起動条件 記述ファイルの作成”を参照してください。 3. ファイルの変換 操作制御マネージャ起動条件記述ファイルを、操作制御マネージャ起動条件ファイルに変 換します。変換方法については、“ファイルの変換”を参照してください。 4. Systemwalker Centric Managerの再起動 Systemwalker Centric Manager の起動/停止方法については、“Systemwalker Centric Manager導入手引書”を参照してください。 コンソール操作制御機能の運用状態を確認する 運用管理サーバ上で操作制御運用状態確認コマンド(idorcstatus)を実行することで、コンソール操作制御機能の運用 状態を確認します。 以下に操作制御運用状態確認コマンドの実行例を示します。 [コンソール操作制御機能が運用中の場合] /opt/FJSVsopct/bin/idorcstatus Operation Control is started. [コンソール操作制御機能が停止中の場合] /opt/FJSVsopct/bin/idorcstatus Operation Control is stopped. idorcstatus(操作制御運用状態表示コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュア ル”を参照してください。 設定した内容で認証の動作を確認する 操作制御マネージャ起動条件記述ファイルで設定した操作について動作確認します。意図した動作とならない場合は、 監査ログで操作の判定の結果を確認し、操作制御マネージャ起動条件記述ファイルの該当する個所を再編集してくだ さい。 - 87 - ログインIDでの操作の保護機能では、以下の場合、操作権限の判定で使用するログインIDはOSにログインしたユーザ 名になります。 ・ Windows版の運用管理サーバ ・ 運用管理クライアントの[ログイン]画面で、[ログインユーザを指定する]のチェックをOFFにした場合 運用中にユーザの追加、操作レベルの変更を行う ユーザの追加、操作レベルの変更は、運用管理サーバ上で操作制御マネージャ起動条件記述ファイルを編集すること で行います。 作業の実施前には、変更対象のユーザ名で[Systemwalkerコンソール]にログインし、ユーザが使用するツリーおよび、リ モートコマンドグループ定義/カスタマイズ情報などの各種定義情報を設定したあとに、コンソール操作制御機能を設 定してください(該当のメニューを使用できなくする前に必要な設定は行ってください)。 ポイント ユ ー ザ が 使 用 す る ツ リ ー お よ び 、 リ モ ー ト コ マ ン ド グ ル ー プ 定 義 / カ ス タ マ イ ズ 情 報 な ど は、 mpbcmcopyuserinfo([Systemwalkerコンソール]のユーザ定義情報複写コマンド)で他のユーザからコピーすることができ ます。mpbcmcopyuserinfo(ユーザ定義情報複写コマンド)の詳細については、“Systemwalker Centric Manager リファレ ンスマニュアル”を参照してください。 以下に手順を示します。 1. 操作制御マネージャ起動条件記述ファイルの編集 操作制御マネージャ起動条件記述ファイルでユーザ情報、操作レベルを編集します。編集 する内容については、“操作制御マネージャ起動条件記述ファイルの作成”を参照してくだ さい。 2. ファイルの変換 操作制御マネージャ起動条件記述ファイルを、操作制御マネージャ起動条件ファイルに変 換します。変換方法については、“ファイルの変換”を参照してください。 ユーザの追加/削除、操作レベルの変更および定義を間違えた場合の修正の反映は、Systemwalker Centric Managerの 再起動は必要ありません。 Systemwalker Web連携からの操作を使用できなくする Systemwalker Web連携からの操作は、コンソール操作制御の対象外です。Systemwalker Web連携からの操作を使用 できなくする場合は、以下の手順に従って、WebサーバからSystemwalker Web連携の仮想ディレクトリの設定を変更して ください。 なお、Systemwalker Webコンソールではコンソール操作制御が有効な場合、監視機能の画面は非表示となります。 [解除の手順] 1. Web連携機能が正しく動作することの確認 任意の端末からWeb連携のトップページおよびWeb連携の任意の機能が表示できることを確認します。 確認方法: 以下2つのURLをブラウザで参照し、「ページが見つかりません」(または、「Not Found」)の旨のメッセージが表示 されないことを確認します。 【Windowsの場合】 - 88 - http://運用管理サーバのコンピュータ名またはIPアドレス(※):9800/Systemwalker/ http://運用管理サーバのコンピュータ名/MpScript/mpopagtx/f1base.exe 【UNIXの場合】 http://運用管理サーバのコンピュータ名またはIPアドレス(※):9800/Systemwalker/ http://運用管理サーバのコンピュータ名/MpScript/mpopagtx/f1base ※:IPv6のIPアドレスを使用する場合は、以下のようにIPアドレスを[]で囲む必要があります。 http://[IPv6のIPアドレス]:9800/Systemwalker/ 2. Webサーバからの仮想ディレクトリ設定の解除 Webサーバから以下の仮想ディレクトリの定義をコメントアウト(行頭に“#”を記述)します。 【Windowsの場合】 ScriptAlias /MpScript "Systemwalkerインストールディレクトリ/MPWALKER/inet/scripts" Alias /Systemwalker/CentricMGR "Systemwalkerインストールディレクトリ/MPWALKER.DM/java/classes" Alias /SystemWalker/CentricMGR "Systemwalkerインストールディレクトリ/MPWALKER.DM/java/classes" Alias /Systemwalker "Systemwalkerインストールディレクトリ/MPWALKER/inet/wwwroot" Alias /SystemWalker "Systemwalkerインストールディレクトリ/MPWALKER/inet/wwwroot" 仮想ディレクトリの定義は以下に格納されています。 Systemwalkerインストールディレクトリ\MPWALKER.DM\mpahs\conf\httpd.conf 【UNIXの場合】 ScriptAlias /MpScript/ Alias /Systemwalker/CentricMGR/ Alias /SystemWalker/CentricMGR/ Alias /Systemwalker/ Alias /SystemWalker/ "/opt/systemwalker/inet/scripts/" "/opt/FJSVfsjvc/java/classes/" "/opt/FJSVfsjvc/java/classes/" "/opt/systemwalker/inet/wwwroot/" "/opt/systemwalker/inet/wwwroot/" 仮想ディレクトリの定義は以下に格納されています。 /opt/FJSVftlc/mpahs/conf/httpd.conf 3. Webサーバの再起動 Webサーバを再起動します。 4. 仮想ディレクトリ設定解除の確認 正しく仮想ディレクトリの設定が解除できたか確認するため、「1.」で表示したページ、および機能が使用できなく なっていることを確認します。 確認方法: 以下の2つのURLをブラウザで参照し、「ページが見つかりません」(または、「Not Found」)の旨のメッセージが表示 されることを確認します。 【Windowsの場合】 http://運用管理サーバのコンピュータ名またはIPアドレス(※):9800/Systemwalker/ http://運用管理サーバのコンピュータ名/MpScript/mpopagtx/f1base.exe 【UNIXの場合】 http://運用管理サーバのコンピュータ名またはIPアドレス(※):9800/Systemwalker/ http://運用管理サーバのコンピュータ名/MpScript/mpopagtx/f1base - 89 - ※:IPv6のIPアドレスを使用する場合は、以下のようにIPアドレスを[]で囲む必要があります。 http://[IPv6のIPアドレス]:9800/Systemwalker/ 8.2.2 操作制御マネージャ起動条件記述ファイルの作成 操作制御マネージャ起動条件記述ファイルは、コンソール操作制御機能を使用するための定義ファイルです。操作制 御マネージャ起動条件記述ファイルには、ユーザと操作のそれぞれにレベルを設定します。コンソール操作制御機能 で、ユーザと操作のレベルを比較し、ユーザレベルが大きいときに操作可能となります。 [操作の可否判定] ユーザの操作可能レベル (ユーザレベル) < 操作不可 ≧ 操作可能 操作のレベル情報で指定された操 作のレベル(操作レベル) 操作制御マネージャ起動条件記述ファイルの詳細については、“Systemwalker Centric Managerリファレンスマニュアル” の“操作制御マネージャ起動条件記述ファイル”を参照してください。 ポイント 運用管理サーバに、操作制御マネージャ起動条件記述ファイルのサンプルが格納されています。任意のディレクトリへ コピーし、システムの運用方法に合わせて“操作レベル”、“ログインID”をカスタマイズすることで操作制御マネージャ起 動条件記述ファイルを作成することができます。 以下に格納場所を示します。 【Solaris版/Linux版の場合】 /opt/FJSVfwgui/sample/opct/menuid.txt 【Windows版の場合】 Systemwalkerインストールディレクトリ\mpwalker.dm\mpbcmgui\server\sample\opct \menuid.txt 8.2.3 ファイルの変換 操作制御マネージャ起動条件記述ファイルからマネージャ起動条件ファイルを作成する手順を以下に示します。 1. 操作制御マネージャ起動条件記述ファイルを変換します。 以下のコマンドをAdministrator権限で実行します。 【Linux版/Solaris版の場合】 /opt/FJSVsopct/bin/idorcmanager 操作制御マネージャ起動条件記述ファイル 【Windows版の場合】 Systemwalkerインストールディレクトリ\mpwalker.dm\MpOrCtrl\bin\idorcmanager 操作制御マネージャ起動条件記述ファイル - 90 - - 操作制御マネージャ起動条件記述ファイル: 操作制御マネージャ起動条件記述ファイルをフルパス名で指定します。 省略値のあるレコードに誤りがある場合、パスワード入力前に処理継続を問い合わせるメッセージが出力されま す。ここで処理継続を指定した場合、誤りがあるレコードには省略値が設定されます。 出力メッセージの詳細は、“Systemwalker Centric Manager リファレンスマニュアル”の“idorcmanager(操作制御マ ネージャ起動条件ファイル作成コマンド)”を参照してください。 idorcmanagerコマンドを実行すると、Linux版/Solaris版の場合は、パスワード入力のプロンプトが表示されるので、 rootのパスワードを入力します。Windows版の場合は、ユーザーIDとパスワード入力のプロンプトが表示されるの で、スタートアップアカウントのユーザーIDとパスワードを入力します。 操作制御マネージャ起動条件記述ファイルの適用は以下のようになります。 - 運用を開始/停止する場合は、Systemwalker Centric Managerの再起動が必要です。 - ユーザの追加/削除、操作レベルの変更および定義を間違えた場合の修正の反映は“-n”を指定すれば、即 座に適用できます。 - “-n”を指定しなければ、設定内容は、Systemwalker Centric Managerの次回起動時に適用されます。 idorcmanager(操作制御マネージャ起動条件ファイル作成コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 8.2.4 操作制御マネージャ起動条件記述ファイルの定義例 操作制御マネージャ起動条件記述ファイルの定義例を示します。 定義例では、以下の環境を想定しています。 ・ 1つの運用管理サーバにAセンターとBセンターの業務サーバが接続しています。 ・ Aセンターの管理者のログインIDは、centa003、centa005です。 ・ Bセンターの管理者のログインIDは、jkl00001、jkl00021です。 ・ 担当外のサーバに対しては、利用者権限で使用します。 ・ すべてのログインIDは、[Systemwalkerコンソール]の操作権のあるユーザです。 ファイル記述方法の詳細 想定に合わせた操作制御マネージャ起動条件記述ファイルの記述方法を説明します。 - 91 - 以下に記述例を示します。 1. 操作判定情報を設定します。 コンソール操作制御機能の実 施有無 使用する y 使用しない n check_console y コンソール操作制御 機能を使用する 未登録操作のレベル(判定を 行う操作が登録されていない 操作の操作レベル) level 127 管理者権限 操作制御マネージャ起動条件記述ファイルでは、以下の定義になります。 check_console=y #コンソール操作制御機能の実施有無 level=127 #未登録操作のレベル 2. ユーザグループを登録します。 操作権限を設定したいユーザのグループ分けを行います。 ユーザグループは操作制御マネージャ起動条件記述ファイル内だけで有効であり、ACLマネージャのロールや、 セキュリティ管理者、セキュリティ監査者の設定と関係しません。 - 92 - グループが行う操作 ユーザグループ名 Aセンターの管理 CenterA ログインID centa003 centa005 Bセンターの管理 CenterB jkl00001 jkl00021 操作制御マネージャ起動条件記述ファイルでは、以下の定義になります。 !UserID CenterA centa003 centa005 CenterB jkl00001 jkl00021 !UserID-End 3. 操作のレベルを登録します。 操作を行うために必要な権限のレベルを決めます。 - 各メニューに対する操作レベルの設定例 操作レベル 更新権が必要なメニュー 50 操作権が必要なメニュー 10 参照権が必要なメニュー 5 メニューの詳細は、“Systemwalker Centric Manager 使用手引書 監視機能編”の“[Systemwalkerコンソール]のメ ニュー項目”を参照してください。操作制御マネージャ起動条件記述ファイルに設定する「操作名」は“Systemwalker Centric Manager リファレンスマニュアル”の“操作制御マネージャ起動条件記述ファイル”を参照してください。 操作 操作レ ベル 製品名 ls -l 1 opmgr kill 50 “command kill” 監視イベントの状態変更 10 action リモートコマンド検索(全ノー ド) 10 rcmdserchall メッセージ検索(指定ノード) 10 msgserchsel [リモートコマンド]画面の起 動 「リモートコマンド」を投入 するためには、[リモートコマ ンド]画面の起動が必要 1 "CONSOLE TOOLS_REMOTECOMMAND " [監視イベントの状態変更] 画面の起動 「監視イベントの状態変更」 を行うには[監視イベントの 状態変更]画面の起動が必 要 5 "CONSOLE EVENT_UPDATEEVENT" [リモートコマン ド]で、右記のコ マンドを投入 判定を行う操作 “command ls -l” - 93 - 操作 操作レ ベル 製品名 判定を行う操作 [リモートコマンド検索]画面 の起動 「リモートコマンド検索(全 ノード)」を行うには[リモート コマンド検索]画面の起動が 必要 5 "CONSOLE TOOLS_A_SERCHRCMD" [メッセージ検索]画面の起 動 「メッセージ検索(指定ノー ド)」を行うには[メッセージ検 索]画面の起動が必要 5 "CONSOLE TOOLS_SERCHMSGLOG" 製品名:opmgr は予約語であり、[Systemwalkerコンソール]の操作に対する判定を行うことを表します。 操作制御マネージャ起動条件記述ファイルは、以下の定義となります。 !OperationEx opmgr 1,"command ls -l" 50,"command kill" 10,action 10,rcmdserchall 10,msgserchsel 1,"CONSOLE TOOLS_REMOTECOMMAND" 5,"CONSOLE EVENT_UPDATEEVENT" 5,"CONSOLE TOOLS_A_SERCHRCMD" 5,"CONSOLE TOOLS_SERCHMSGLOG" 1,"CONSOLE FILE_SELECTTREE" !OperationEx-End 4. 条件グループを登録します。 製品名に対して実行可能なレベルを決めたグループ(条件グループ)を決めます。 定義するグ 条件グ ループの権限 ループ名 実行できる権限 製品名 opmgr ユーザレベル 管理者権限 Special 製品名opmgrに対し て、127レベルまで実 行可能 利用者権限 User 製品名opmgrに対し て、15レベルまで実行 可能 15 一時利用者 Guest 製品名opmgrに対し て、5レベルまで実行 可能 5 127 操作制御マネージャ起動条件記述ファイルは、以下の定義となります。 !Condition Guest opmgr,5 User opmgr,15 Special - 94 - opmgr,127 !Condition-End 5. グループへの条件設定を設定します。 操作対象に対して、ユーザグループと条件グループを関連付けます。 ユーザグ 操作対象名 ループ (操作する対 象) 権限 CenterA hostA 管理 者権 限 Special ユーザグループ(CenterA)は、 hostAに対して条件グループ (Special)で設定した権限(管理者 権限)まで行える。 hostB 利用 者権 限 User ユーザグループ(CenterA)は、 hostBに対して条件グループ (User)で設定した権限(利用者権 限)まで行える。 “” 利用 者権 限 User ユーザグループ(CenterA)は、操 作対象名の判定を行わない操作 (注)に対して条件グループ(User) で設定した権限(利用者権限)まで 行える。 * 一時 利用 者 Guest ユーザグループ(CenterA)は、 hostA、hostB以外に対して条件グ ループ(Guest)で設定した権限(一 時利用者)まで行える。 hostA 利用 者権 限 User ユーザグループ(CenterB)は、 hostAに対して条件グループ (User)で設定した権限(利用者権 限)まで行える。 hostB 管理 者権 限 Special ユーザグループ(CenterB)は、 hostBに対して条件グループ (Special)で設定した権限(管理者 権限)まで行える。 “” 利用 者権 限 User ユーザグループ(CenterB)は、操 作対象名の判定を行わない操作 (注)に対して条件グループ(User) で設定した権限(利用者権限)まで 行える。 * 一時 利用 者 Guest ユーザグループ(CenterB)は、 hostA、hostB以外に対して条件グ ループ(Guest)で設定した権限(一 時利用者)まで行える。 CenterB 設定する条 件グループ 操作できる権限 注:“3.操作のレベルを登録します。”に登録されている操作で、[操作対象名]に[objectEx=""]が指定される操作。 操作対象名については、“Systemwalker Centric Manager リファレンスマニュアル”の“操作制御マネージャ起動条 件記述ファイル”を参照してください。 操作制御マネージャ起動条件記述ファイルは、以下の定義となります。 !! CenterA objectEx=hostA condition=Special - 95 - objectEx=hostB,”” condition=User objectEx=* condition=Guest CenterB objectEx=hostA,”” condition=User objectEx=hostB condition=Special objectEx=* condition=Guest !! すべての定義を行った操作制御マネージャ起動条件記述ファイルを以下に示します。 check_console=y level=127 !UserID CenterA centa003 centa005 CenterB jkl00001 jkl00021 !UserID-End #コンソール操作制御機能の実施有無 #未登録操作のレベル #(1) !OperationEx opmgr #(4) 1,"command ls -l" 50,"command kill" 10,action 10,rcmdserchall 10,msgserchsel 1,"CONSOLE TOOLS_REMOTECOMMAND" 5,"CONSOLE EVENT_UPDATEEVENT" 5,"CONSOLE TOOLS_A_SERCHRCMD" 5,"CONSOLE TOOLS_SERCHMSGLOG" 1,"CONSOLE FILE_SELECTTREE" !OperationEx-End !Condition Guest opmgr,5 User opmgr,15 Special opmgr,127 !Condition-End !! CenterA objectEx=hostA condition=Special objectEx=hostB,"" condition=User objectEx=* condition=Guest CenterB objectEx=hostA,"" condition=User #(5) #(3) #(2) #(6) #(6) - 96 - objectEx=hostB condition=Special objectEx=* condition=Guest !! - (1)ログインIDがcenta003の利用者は、Aセンターに属します。 - (2)操作対象名がhostBに対してAセンターのcenta003は、User条件グループの権限を持っています。 - (3)User条件グループの権限は、製品名(opmgr)に対して15のレベルの操作が許可されています。 - (4)centa003は、hostBに対して、レベル1のリモートコマンド“ls -l”は実行できますが、レベル50のリモートコマ ンド“kill”は、実行できません。 - (5)「監視ツリーの選択」は、ユーザを追加したときにツリーの切り替えが行えなくなるのを防ぐため、低いレベ ルを指定します。監視ツリーの選択を許可しない場合は高いレベルを設定します。 - (6)操作対象名が存在しない操作を指定するときは""を設定します。 上記の定義の例では、“3.操作のレベルを登録します。”に登録されている操作の中で、[操作対象名]に [objectEx=""]が指定される操作です。 操作対象名については、“Systemwalker Centric Manager リファレンスマニュアル”の“操作制御マネージャ起 動条件記述ファイル”を参照してください。 8.2.5 操作を行う担当者のユーザ名をシステムに登録する 「操作ごとの保護」機能を使用する場合、操作する担当者のユーザ名は、以下の条件を満たす必要があります。 ・ [Systemwalkerコンソール]を接続する運用管理サーバのユーザとして登録されている。かつ ・ Systemwalker Centric Managerの、以下のどれかのロールに所属している。かつ、 - DmAdmin - DmOperation - DmReference ・ [Systemwalkerコンソール]にログインしているユーザが所属しているロール以上の権限を持つロールに所属してい る。 ロールの登録 [Systemwalkerコンソール]でメニューを選択したあとに表示される[コンソール操作制御 [操作の判定]]ダイアログボックス に入力するユーザ名が所属するロールの権限は、[Systemwalkerコンソール]にログインしたユーザが所属するロールの 権限より高い必要があります。 例えば、[Systemwalkerコンソール]にログインしたユーザが所属するロールが“DmOperation”で、[コンソール操作制御 [操作の判定]]ダイアログボックスに入力したユーザ名が所属するロールが“DmReference”の場合、操作制御マネージャ 起動条件ファイルに操作可能と定義されている操作に対しても操作の権限がないと判定します。 [Systemwalkerコンソール]から表示される画面 [Systemwalkerコンソール]からメニューを選択して表示される画面の操作は、[Systemwalkerコンソール]にログインした ユーザが所属するロールの権限の範囲で操作可能です。 例えば、[Systemwalkerコンソール]にログインしたユーザが“DmOperation”に属している場合、[Systemwalkerコンソー ル]で画面を表示するメニューを選択したあとに表示される[コンソール操作制御 [操作の判定]]ダイアログボックスに “DmAdmin”に所属するユーザ名を入力しても、表示される画面では“DmOperation”の権限の範囲内でだけ操作可能 です。 - 97 - [Systemwalkerコンソール]にログインするユーザの権限と組み合わせた運用 権限が異なる作業(オペレータ業務/システム管理業務、等)を1台の運用管理クライアントで行う場合は、[Systemwalker コンソール]にログインするユーザの権限(ログインIDが所属するロールの権限)により[Systemwalkerコンソール]で操作で きる機能を制限し、制限した機能内で“操作ごとの保護”機能を使用して、担当者ごとに操作できる範囲を制限します。 運用管理クライアントで行う作業を変更する場合は、作業の権限にあったロールに所属するログインIDで[Systemwalker コンソール]に再ログインします。 例として、1台の運用管理クライアントを、通常業務(複数のオペレータの業務)から管理業務に変更する場合について説 明しています。 通常業務(オペレータ業務): 1. 通常業務はオペレータ権限(DmOperation)での操作だけであるため[Systemwalkerコンソール]にはDmOperation ロールに所属するユーザでログインします。 2. 各オペレータが[Systemwalkerコンソール]を使用するときは、[コンソール操作制御 [操作の判定]]ダイアログボック スに作業を行うオペレータのユーザ名を入力します。これによりオペレータごとに操作できる範囲を限定することが できます。 管理業務への切り替え: 1. 管理業務に切り替える([Systemwalkerコンソール]での更新権(DmAdmin)が必要な作業を行う)場合、[Systemwalker コンソール]を終了し、再度、DmAdminロールに所属したユーザで[Systemwalkerコンソール]にログインします。 管理者が[Systemwalkerコンソール]を使用するときは、[コンソール操作制御 [操作の判定]]ダイアログボックスに作業を 行う管理者のユーザ名を入力します。これにより管理者ごとに操作できる範囲を限定することができます。 管理業務で使用する場合、ユーザ名/パスワードを毎回入力するように設定し、操作を行うごとに操作の判定を行うことを 推奨します。これにより、管理者不在時の第三者による端末の不正使用を防ぎます。 - 98 - 8.2.6 運用管理クライアントの環境設定 運用管理クライアントの設定について説明します。 1. 操作制御エージェント起動条件記述ファイルを作成し、操作制御エージェント起動条件ファイルを作成する。(任 意) - 複数のSystemwalkerコンソールを表示し、共通のユーザ名を使用しない場合 common_user=n(ユーザ名の保存方法)とintervalパラメタ(ユーザ名が有効な時間)を指定した操作制御エー ジェント起動条件記述ファイルを作成する - 複数のSystemwalkerコンソールを表示し、共通のユーザ名を使用する場合 common_user=y(ユーザ名の保存方法)とintervalパラメタ(ユーザ名が有効な時間)を指定した操作制御エー ジェント起動条件記述ファイルを作成する 2. Systemwalker Centric Managerを再起動する 操作制御エージェント起動条件記述ファイルの作成については、“Systemwalker Centric Managerリファレンスマニュア ル”の“操作制御エージェント起動条件記述ファイル”を参照してください。 運用管理クライアントでSMARTACCESSと連携する場合の設定については、“SMARTACCESSと連携する”を参照して ください。 8.2.7 操作ごとの保護を使用する場合の操作 操作ごとの保護を使用する場合について操作手順を説明します。 [Systemwalkerコンソール]での操作手順 1. [Systemwalkerコンソール]にログインします。 2. [Systemwalkerコンソール]のメニューより「リモートコマンド」等の操作を選択します。 操作できるのは、手順1.でログインしたユーザが所属するロールの権限内で操作できるメニューだけです。 →[コンソール操作制御 [操作の判定]]ダイアログボックスが表示されます。 - 99 - 3. [ユーザーID]と[パスワード]を入力し、[ログイン]ボタンをクリックします。 操作制御エージェント起動条件記述ファイルのintervalパラメタに0以上を設定し、かつ、最後に[Systemwalkerコン ソール]の操作の判定が必要な操作を行ってから経過した時間がinterval秒以内、または、[コンソール操作制御 [状態表示]]アイコンの[ユーザーIDを無効にする]を選択するまでの間は、[コンソール操作制御 [操作の判定]]ダ イアログボックスは表示されません。 また、[コンソール操作制御 [操作の判定]]ダイアログボックスが表示されている状態で、[Systemwalkerコンソール] から操作の判定が必要な操作を行った場合、最初に表示している[コンソール操作制御[操作の判定]]ダイアログ ボックスを閉じるかを確認するメッセージが表示されます。 4. 選択した操作に対して入力した[ユーザーID]が操作可能な場合、手順2.で選択した操作が実行されます。 入力した[ユーザーID]、および[パスワード]が以下の場合、選択した操作は操作不可となります。 - [ユーザーID]、または[パスワード]の形式が正しくない - [ユーザーID]がシステムに登録されていない - [パスワード]が正しくない - [ユーザーID]がロール(DmAdmin/DmOperation/DmReferenceのどれか)に所属していない - [ユーザーID]に選択した操作を行う権限がない ポイント コンソール操作制御において[ユーザーID]が入力済みなどの情報は、Windowsのタスクトレイに表示されている[コンソー ル操作制御 [状態表示]]アイコンで確認することができます。また、[コンソール操作制御 [状態表示]]アイコンにマウス カーソルを位置づけることにより、状態がバルーンヘルプで表示されます。 8.3 SMARTACCESSと連携する SMARTACCESSと連携し、Systemwalkerコンソールにログインする場合の設定方法・運用方法について説明します。 SMARTACCESSとの連携 運用管理クライアントに富士通のソフトウェア製品であるSMARTACCESSを導入することにより、ICカード(Felica方式)や 指紋認証などの認証デバイスを使用してセキュリティを強化できます。 ユーザ名(ログインID)/パスワードのシステムへの登録、および認証デバイスへの登録は管理者が行います。操作を行う 担当者は管理者が登録した認証デバイスだけで操作するため、ユーザ名/パスワードを知る必要がなくなります。そのた め、システムを操作するためのユーザ名(ログインID)やパスワードが漏洩する可能性が低くなります。認証デバイスを使 用するため、なりすましを防止できます。 SMARTACCESSがサーバOSに対応していないため、運用管理サーバ上ではSMARTACCESSを使用できません。運 用管理サーバではユーザ名、パスワードを操作者が知る運用になります。運用管理サーバは管理者だけが使用する運 用をお勧めします。 SMARTACCESSの連携は、SMARTACCESSのアプリケーションログオン機能を使用して行います。アプリケーションロ グオン機能により、認証デバイスに登録されているユーザ名(ログインID)/パスワードが、ユーザ名(ログインID)/パスワー ドを入力するダイアログボックスに自動で入力されます。 手順 運用管理クライアントでSMARTACCESSと連携する場合の設定手順について説明します。 以下に手順を示します。 1. 認証デバイスの設定およびSMARTACCESSをインストールする 認証デバイスの設定およびSMARTACCESSをインストールします。インストール手順に ついては、各製品のマニュアルを参照してください。 - 100 - 2. SMARTACCESSのアプリケーションログオン機能にSystemwalkerコンソールのログ イン画面を登録する 登録手順については、“SMARTACCESSを使用する場合の設定手順”を参照してくだ さい。 3. SMARTACCESSのツールを使用して、認証デバイスにユーザ名およびパスワード を登録する 登録手順については、“認証デバイスへのユーザ名およびパスワードの登録”を参照し てください。 4. SystemwalkerコンソールのSMARTACCESS設定を有効にする Systemwalkerコンソールの画面設定の管理者用定義ファイルで設定を行います。 Systemwalkerコンソールの画面設定の管理者用定義ファイルについては、 “Systemwalker Centric Managerリファレンスマニュアル”の“Systemwalkerコンソールの 画面設定の管理者用定義ファイル”を参照してください。 SMARTACCESSを使用する場合の設定手順 運用管理クライアントに富士通ソフトウェア製品であるSMARTACCESSをインストールおよび設定することにより、スマー トカードや指紋認証等を使用してセキュリティを強化することができます。 アプリケーションログオン機能への登録 Systemwalker コ ン ソ ー ル と SMARTACCESS と の 連 携 は 、 SMARTACCESS の ア プ リ ケ ー シ ョ ン ロ グ オ ン 機 能 に Systemwalkerコンソールのログイン画面を登録することで可能となります。登録処理は、すべての運用管理クライアントで 行ってください。 アプリケーションログオン機能の設定は、以下の手順で行います。 1. SMARTACCESSのインストールと認証デバイスを設定します。 SMARTACCESSのインストールおよび認証デバイスの設定については、各製品のマニュアルを参照しください。 2. SMARTACCESSにSystemwalkerコンソールのログイン画面を登録します。 SMARTACCESSのアプリケーションログオン機能にSystemwalkerコンソールのログイン画面を登録する手順につ いては、SMARTACCESSのマニュアルを参照してください。 登録内容 SMARTACCESSのアプリケーションログオン機能に登録する内容について説明します。 ・ [パスワード入力画面登録ツール]画面 パスワード入力画面のタイプとして“ダイアログ形式のパスワード入力画面”を選択してください。 ・ Systemwalkerコンソールのログイン画面の表示 アプリケーションログオン機能に登録するために、Systemwalkerコンソールのログイン画面を表示します。[スタート]/[ア プリ]-[Systemwalker Centric Manager]-[Systemwalkerコンソール]を選択し、表示します。 ・ Systemwalkerコンソールのログイン画面の登録 アプリケーションログオン機能の登録では、登録するダイアログボックスのパスワード入力域などのフィールドを登録 する必要があります。Systemwalkerコンソールのログイン画面を登録する場合、以下のフィールドを登録してくださ - 101 - い。アプリケーションログオン機能の登録処理ではその他のフィールドについて指定する処理がありますが、特に指 定する必要はありません。 (1)「表題の指定」で関連付けるフィールド (2)「ユーザーID入力フィールドの指定」で関連付けるフィールド (3)「パスワード入力フィールドの指定」で関連付けるフィールド (4)「OKボタンの指定」で関連付けるフィールド (5)「キャンセルボタンの指定」で関連付けるフィールド (6)「その他の入力フィールドの指定」で関連付けるフィールド 注意 SMARTACCESSの設定を行う場合の注意事項 ・ アプリケーションログオン機能への登録処理は、Administrators権限を持つユーザで行ってください。 ・ アプリケーションログオン機能の登録処理を行う場合、Systemwalker Centric Managerの画面をすべて閉じてくださ い。 SMARTACCESSの設定の推奨値 Systemwalkerコンソールのログイン画面とSMARTACCESSの連携を行う場合、SMARTACCESSの設定を以下にするこ とを推奨します。 設定項目 シングルサインオン 値 しない 備考 “シングルサインオン”を“しない”にする ことにより、操作を行うごとに認証デバイ スからユーザ名を読み込みます。本設定 により、認証デバイスを変えた場合でも即 時に新しい認証デバイスの情報で動作 します。 - 102 - 設定項目 値 備考 操作保護 する “操作保護”を“する”に設定することによ り、SMARTACCESSが表示する[PIN入 力]ダイアログボックスで[キャンセル]ボタ ンを押した場合、Systemwalkerコンソー ルのログイン画面も同時に閉じることがで きます。 Windowsログオン する “カードのポーリング動作”、“カードリー ダ/ライタ抜き取り時の動作”を設定する ために必要です。 カードのポーリング動作 する “カードのポーリング動作”および“カード リーダ/ライタ抜き取り時の動作”に“コン ピュータをロックする”を設定することによ り、認証装置からカードを抜いた場合(担 当者が離席する場合など)に、他の人が 操作できないようにできます。 動作 コンピュータをロック する カードリーダ/ライタ抜き 取り時の動作 動作 する コンピュータをロック する 認証デバイスへのユーザ名およびパスワードの登録 認証デバイスにSystemwalkerコンソールのログイン画面に入力する[ユーザーID]および[パスワード]を登録する必要が あります。登録方法については、SMARTACCESSのマニュアルを参照してください。 端末の保護機能について ICカード(Felica対応)またはスマートカードを使用する場合、認証装置からカードを抜いた場合にコンピュータをロックす ることができます。詳細についてはSMARTACCESSのマニュアルを参照してください。 8.4 コンソール操作制御機能の注意事項 コンソール操作制御機能の注意事項について説明します。 ・ 操作権限の設定は、フォルダ単位で行うことはできません。操作権限 の設定は、ノードのオブジェクト単位で行いま す。ただし、以下のフォルダだけ設定が可能です。 - インベントリ情報の収集やフォルダプロパティなどフォルダを選択して実行するもの - グローバルサーバ(Global Enterprise Editionだけ) ・ 以下のオブジェクトは、操作権限の設定を行うことはできません。対象オブジェクトが実行されるノードに対し操作権 限の設定を行ってください。 - アプリケーション ・ SMARTACCESSを使用する場合 - 運用管理サーバで起動する[Systemwalkerコンソール]では、SMARTACCESSとの連携はできません。 - SMARTACCESSと連携する場合、ターミナルサーバやリモートデスクトップは使用できません。 - SMARTACCESSと連携する場合、LiveHelpを使用して操作することはできません。 ・ [Systemwalkerコンソール]での操作を終了する場合 ユーザーIDで操作の保護を行っている場合に、担当者が離席するなど作業を終了するときは、他の人が操作でき ないようにするため、以下の操作を行ってください。 - ユーザーIDが入力されている状態の場合、[コンソール操作制御 [状態表示]]アイコンで「ユーザを無効にする」 操作を行ってください。 - [Systemwalkerコンソール]から起動した子画面はすべて閉じてください。 - 103 - 第9章 Systemwalker Centric Managerの監査ログを出 力する Systemwalker Centric Managerの、以下の機能の監査ログについて説明します。 ・ Systemwalkerコンソール/コンソール操作制御の監査ログ ・ サーバアクセス制御の監査ログ ・ リモート操作の監査ログ ・ ACLマネージャの監査ログ ・ システム監視の監査ログ ・ 自動運用支援の監査ログ 9.1 Systemwalkerコンソール/コンソール操作制御の監査ログ [Systemwalkerコンソール]の監査ログを出力する設定を説明します。 Systemwalkerコンソール/コンソール操作制御では、以下の監査ログを出力しています。 ・ クライアントから、ACL認証および操作の判定の要求があった場合 クライアントからの判定要求に対する結果を、監査ログに採取します。 - ユーザのACL認証に失敗した場合、ユーザ名/結果(失敗のみ)/理由を出力する。 - 操作の判定を実施した場合、ユーザ名/操作対象名/操作名/結果(成功または失敗)を出力する。 ・ コンソール操作制御のGUIから操作を行った場合 コンソール操作制御の画面に対し、ユーザによる明示的な操作を行った場合、操作内容/結果の監査ログを採取し ます。操作の処理で失敗はないため、結果は成功のみとなります。 設定手順 1. 監査ログ出力設定を行います。 運用管理サーバおよび運用管理クライアントで、mpsetlogsend_swgui(Systemwalkerコンソール監査ログ収集設定 コマンド)を実行します。 【Windowsの場合】 Systemwalkerインストールディレクトリ\MpWalker.DM\bin\mpsetlogsend_swgui y -f <変更先ファイル名> -k {<保存日数>|unlimit} 【UNIXの場合】 /usr/bin/mpsetlogsend_swgui -y -f <変更先ファイル名> -k {<保存日数>|unlimit} 運用管理クライアント上でmpsetlogsend_swguiコマンドを実行するとき、監査ログ出力先として存在しないディレク トリを指定した場合は、everyone full controlのアクセス権で出力先ディレクトリが作成されます。運用管理サーバで 出力先ディレクトリを変更する場合、存在しないディレクトリにのみ変更できます。 mpsetlogsend_swguiコマンドの詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照し てください。 2. Systemwalker Centric Managerの再起動をします。 mpsetlogsend_swguiのオプションに-f、-kまたは-dを指定し、設定を反映させるためにSystemwalker Centric Manager の再起動をします。 運用管理クライアントで-f、-kまたは-dオプションを指定した場合は、[Systemwalkerコンソール]を再起動します。 - 104 - mpsetlogsend_swguiのオプションで、-yまたは-nだけを指定し、収集設定だけを変更する場合は再起動する必要 はありません。次回監査ログ収集を行うときに自動的に設定が反映されます。 Systemwalker Centric Managerの停止 【UNIXの場合】 /opt/systemwalker/bin/pcentricmgr -a 【Windowsの場合】 pcentricmgr /a Systemwalker Operation Managerと共存する環境では、上記のコマンドで、Systemwalker Operation Managerも停 止します。 Systemwalker Centric Managerの起動 【UNIXの場合】 /opt/systemwalker/bin/scentricmgr 【Windowsの場合】 scentricmgr Systemwalker Operation Managerと共存する環境で、Systemwalker Operation Managerも再起動する場合は、以下 のコマンドによりSystemwalker Operation Managerを起動してください。 【UNIXの場合】 /opt/systemwalker/bin/soperationmgr 【Windowsの場合】 soperationmgr なお、soperationmgrコマンドの詳細については、Systemwalker Operation Managerのマニュアルを参照してくださ い。 3. 収集対象のサーバを限定します。 監査ログを収集できるサーバを限定します。 設定方法については、“収集対象のサーバを限定する”を参照してください。 4. 監査ログ管理機能の設定を行います。 運用管理サーバで、監査ログ管理機能を使用するための設定“格納ディレクトリの設定”が行われていない場合、 以下のコマンドを実行します。 【Windowsの場合】 Systemwalkerインストールディレクトリ\mpwalker.dm\bin\mpatmtrsdef REP -S < 格納ディレクトリ> 【UNIXの場合】 /opt/systemwalker/bin/mpatmtrsdef REP -S <格納ディレクトリ> mpatmtrsdefコマンドについては、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 5. 監査ログ収集を実施します。 運用管理サーバから以下のコマンドにより監査ログ収集を実行します。 - 105 - 【Windowsの場合】 Systemwalkerインストールディレクトリ\mpwalker.dm\bin\mpatmlog -H <対象サー バ名> 【UNIXの場合】 /opt/systemwalker/bin/mpatmlog -H <対象サーバ名> 収集のためのコマンドの詳細、注意事項、およびスケジューリングなどの運用方法については、“監査ログを収集 する”を参照してください。 設定を変更する手順 監査ログの出力先変更、および収集設定の変更を行う手順について説明します。 監査ログの出力先を変更する場合 監査ログの出力先の変更と、監査ログ管理による収集タイミングを時系列に沿って示すと、以下のとおりになります。 出力先の変更と収集とを適切なタイミングで実施しないと、監査ログとして必要な情報が監査ログ管理機能により収集で きない時間帯が発生します。 監査ログの出力先を変更する場合は、以下の手順を実施します。なお、Systemwalkerコンソール監査ログ設定コマンド のオプションに-dを指定し実行したあと、出力を再開する場合も本手順を実行してください。 1. 出力先を変更するサーバ、またはクライアント上で以下のコマンドを実行します。 mpsetlogsend_swgui -f <変更先ファイル名> -k {<保存日数>|unlimit} なお、上記コマンドを実行する際、オプションの-yや-nを合わせて指定すると、収集設定も変更されます。この場 合、出力先変更前に保存されていた情報の収集が行われなくなるため、本手順では-yまたは-nオプションは指定 しないでください。 なお、変更前の情報を収集しなくてもよい場合は、-yまたは-nオプションを同時に指定してもかまいません。 運用管理クライアント、またはクライアント上でmpsetlogsend_swguiコマンドを実行するとき、監査ログ出力先として 存在しないディレクトリを指定した場合は、everyone full controlのアクセス権で出力先ディレクトリが作成されます。 運用管理サーバ、部門管理サーバ、および業務サーバで、出力先ディレクトリを変更する場合、存在しないディレ クトリにのみ変更できます。 mpsetlogsend_swguiコマンドの詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照し てください。 2. 出力先設定変更を反映します。 監査ログの出力先を変更したあと、設定を反映させるために、変更したサーバ/クライアント上でSystemwalker Centric Managerを再起動します。 なお、運用管理サーバ(Windowsの場合だけ)、または運用管理クライアント上で[Systemwalkerコンソール]を起動 している場合は、[Systemwalkerコンソール]も再起動します。再起動の方法については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 3. 収集設定を変更したサーバまたはクライアントに対して、運用管理サーバから監査ログ収集を実行します。 監査ログ出力先を変更する前の情報をすべて運用管理サーバに収集するために、運用管理サーバから以下のコ マンドにより監査ログ収集を実行します。 - 106 - 【Windowsの場合】 Systemwalkerインストールディレクトリ\mpwalker.dm\bin\mpatmlog -H <対象サー バ名> 【UNIXの場合】 /opt/systemwalker/bin/mpatmlog -H <対象サーバ名> mpatmlogコマンドの使用方法については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してく ださい。 また、運用管理サーバへ収集が完了したあと、設定変更前の監査ログ出力先に保存されている監査ログが不要な 場合は、削除してください。 4. Systemwalkerコンソール監査ログ設定コマンドにより、監査ログの収集設定を更新します。 以下のコマンドを実行し、収集先の設定を更新します。操作は設定を変更したサーバまたはクライアント上で実施 します。 mpsetlogsend_swgui {-y|-n} ログ出力先を変更後、監査ログ収集を取りやめる場合は、mpsetlogsend_swguiコマンドのオプションに-nを指定し てください。また、ログの収集先を変更し、ログ収集を続ける場合、または新たに収集する場合は-yオプションを指 定します。 収集設定を変更する場合 ログ収集を中止する場合、または再開する場合は、以下の手順を実施します。 ・ 監査ログ設定を更新します。 以下のコマンドを実行し、収集先の設定を更新します。操作は設定を変更したサーバ、またはクライアント上で行い ます。 mpsetlogsend_swgui {-y|-n} 監査ログ収集を取りやめる場合は、mpsetlogsend_swguiコマンドのオプションに-nを指定してください。また、収集を 行っていない状態から収集するように設定を変更する場合は、-yオプションを指定します。 9.2 サーバアクセス制御の監査ログ サーバアクセス制御では、以下の監査ログを出力します。 ・ アクセス監査ログ ・ 操作の録画データ ・ Systemwalkerコンソール監査ログ システムごとに出力されるログ サーバアクセス制御機能を使用することで出力されるログをシステムごとに分類すると以下のとおりです。 - 107 - ログの使用目的と出力契機 サーバアクセス制御機能を使用することで出力されるログをまとめると以下のとおりです。 ログ名 使用目的 ログファイル名 出力契機 出力場所 監査方法 アクセス 監査ロ グ セキュリティ監査者 が、システムが正常に 稼働していることを確 認する。 swsvac_audit YYMMDD.lo g ・サーバアクセス制御で 定義した操作が実行され たとき 管理対象サーバ: 運用管理クライ アントで、セキュ リティ監査者が、 監査ログ分析機 能を利用して実 施する ・管理対象サーバでポリ シーが適用されたとき ・サーバアクセス制御 設定に該当する操作 として、どのような操作 が行われているか ・システム保守承認コマン ド実行時 ・システム保守開始/終了 コマンド実行時 ・サーバアクセス制御 機能に関連したコマ ンドの実行状況 ・セキュリティ管理者/セ キュリティ監査者の変更 が実行されたとき Linuxの場 合: /var/opt/ FJSVsvac/ audit/ (初期値) Windowsの場合: Systemwalkerイン ストールディレクトリ \mpwalker.dm \mpsvac\var\audit \ (初期値) ・操作の録画コマンド実 行時 ・録画した操作の再生コ マンド実行時 操作の 録画 データ セキュリティ監査者 が、サーバアクセス制 御機能を使用した保 日時(年月日 時分秒ミリ秒) _ホスト名_ システム保守開始/終了コ マンドで、保守作業を開 始したときに録画が開始 - 108 - 管理対象サーバ: Linuxの場 合: /var/opt/ 管理対象サーバ で、サーバアク セス制御のセ ログ名 System walker コン ソール 監査ロ グ 使用目的 ログファイル名 出力契機 出力場所 守作業時の操作内容 を確認する ユーザ_実効 ユーザ_プロ セスID.rec されます。 保守作業の終了時に録 画は終了します。 FJSVsvac/ record/ (初期値) キュリティ監査者 が、サーバアク セス制御機能を 利用して実施す る システム管理者が、 Systemwalker Centric Managerの使 用状況(予定にない 操作が行われていな いか)を確認したり、 操作内容の事後監査 をする mp_cmgr_au ditYYMMD D.log 運用管理クライアント操作 時 運用管理クライアン ト: 運用管理クライ アントで、システ ム管理者が、監 査ログ分析機能 を利用して実施 する Systemwalkerイン ストールディレクトリ \mpwalker.dm \Mpcmtool\audit \ (初期値) 運用管理クライアント操作 実行時 運用管理サーバ: Windowsの場合: Systemwalkerイン ストールディレクトリ \mpwalker.dm \Mpcmtool\audit \ (初期値) 監査方法 運用管理クライ アントで、システ ム管理者が、監 査ログ分析機能 を利用して実施 する Solaris/Linuxの場 合: /var/opt/ FJSVftlc/audit/ (初 期値) ・管理対象サーバでポリ シーが適用されたとき ・システム保守承認コマン ド実行時 ・システム保守開始/終了 コマンド実行時 ・セキュリティ管理者/セ キュリティ監査者の変更 が実行されたとき システ ムログ/ イベント ログ システム管理者に対 して早期に状況を伝 達する OSの設定によ る ・サーバアクセス制御で 定義(システムログに出力 する)した操作を実行した とき 管理対象サーバ: Linuxの場合: /var/ opt/FJSVsvac/var/ audit/ (初期値) Windowsの場合: Systemwalkerイン ストールディレクトリ \mpwalker.dm \mpsvac\var/audit \ (初期値) 管理対象サーバ: 運用管理クライ アントで、システ ム管理者が、監 査ログ分析機能 を利用して実施 する - OSの設定で指定し たパス ・サーバアクセス制御機 能の開始/終了時、および システム要因(ログ出力領 域の不足など)でアクセス 制御の設定どおりの動作 を実施できないとき 設定手順 アクセス監査ログ サーバアクセス制御のポリシーをサーバに適用したときに、管理対象サーバでアクセス監査ログを出力するための設定 が行われます。 設定手順については、“ポリシーを作成・配付する”を参照してください。 - 109 - 注意 アクセス監査ログは直接参照することはできません。 アクセス監査ログの参照手順については、“監査ログを管理する”を参照してください。 操作の録画データ 安全なシステム保守支援機能で操作の録画データを出力する設定は、“保守作業を承認する”を参照してください。 操作の録画データについては、“監査ログを管理する”を参照し、録画データをバイナリファイルとして収集してください。 Systemwalkerコンソール監査ログ Systemwalkerコンソール監査ログは、mpsetlogsend_swgui(Systemwalkerコンソール監査ログ収集設定コマンド)で現在 の設定状況を確認し、監査ログ管理機能を用いて収集してください。 mpsetlogsend_swgui(Systemwalkerコンソール監査ログ収集設定コマンド)については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 9.3 リモート操作の監査ログ [リモート操作クライアント]、[リモート操作エキスパート]、または[リモート操作モニタ]プログラムを利用中に発生するセッ ションイベントを監査ログとして出力できます。ExpertおよびClientどちらもデフォルトでは、監査ログに出力されません。 mpsetlogsend_swgui(Systemwalkerコンソール監査ログ収集設定コマンド)で現在の設定状況を確認し、監査ログの出力 を設定する必要があります。 mpsetlogsend_swgui(Systemwalkerコンソール監査ログ収集設定コマンド)については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 監査ログ出力機能とは別にLive Help独自のセッションジャーナル機能があります。セッションジャーナル機能を利用す る場合は、別途設定が必要になります。なお、ジャーナルログファイルは、1日ごとに異なるファイルへ出力する仕様で、 ファイルの保持日数を設定することができます。 LiveHelp接続認証の詳細については、“Systemwalker Centric Manager 使用手引書 リモート操作機能編 ユーザーズガ イド”を参照してください。 9.4 ACLマネージャの監査ログ Systemwalker ACLマネージャの監査機能について Systemwalker ACL マネージャでは、以下の操作を実行した場合に、監査情報をファイルに出力するよう設定することが できます。また、出力する監査情報については、成否や操作種別による採取条件の指定も可能です。 [監査情報を出力する操作] 操作 [Systemwalkerコンソール] の起動(運用管理クライアン トではログイン) 監査対象 種別 認証 (Login) 参 照 業務監視監視機能、業務 監視編集機能 (Target) 種別詳細 - 結果 成功 失敗 アクセス権情報 取得 (Get Access) 成功 失敗 [Systemwalkerコンソール] でのツリー一覧の表示 基本ツリー、論理ツリー (Target) 参 照 一覧情報取得 (List) 成功 [Systemwalkerコンソール] でのツリーの作成 基本ツリー、論理ツリー (Target) 更 新 作成 (Create) 成功 - 110 - 失敗 失敗 操作 監査対象 種別 種別詳細 結果 [Systemwalkerコンソール] でのツリーの削除 基本ツリー、論理ツリー (Target) 更 新 削除 (Remove) 成功 [Systemwalkerコンソール] でのツリー名の変更 基本ツリー、論理ツリー (Target) 更 新 変更 (Modify) 成功 [Systemwalkerコンソール] でのツリーのアクセス権の変 更 基本ツリー、論理ツリー (Target) 更 新 アクセス権設定 (Set Access) 成功 [システム監視設定]画面か らのログイン 認証 (Login) 参 照 - 成功 システム監視機能 (Target) [利用者のアクセス権設定] 画面からのログイン 認証 (Login) 参 照 システム監視機能、資源配 付機能 (Target) [利用者のアクセス権設定] 画面からのロールに所属す るユーザの変更 ロール [資源配付]画面の起動、資 源配付コマンドの実行(一部 のみ) 認証 (Login) 失敗 失敗 失敗 失敗 アクセス権情報 取得 (Get Access) 成功 - 成功 失敗 失敗 アクセス権 チェック アクセ ス許可 (Check Access) アクセ ス拒否 更 新 変更 (Modify) 成功 参 照 - 資源配付機能 (Target) 失敗 成功 失敗 アクセス権情報 取得 (Get Access) 成功 失敗 [監査情報、監査操作についての情報共通の出力項目] その他共通項目 内容 事象の日付/時刻 曜日 月 日 時間 年 の形式 事象の操作ユーザ名 Windows(R)の場 合 ホスト名:ドメイン名:ユーザ名 の形式 Solarisの場合 ホスト名::ユーザ名 の形式 仮想資源名 (認証時は除く) 操作対象となった仮想資源名 コメント チェックしたアクセス権の種別や、変更前の所有者名、ロール に追加/削除したユーザ名等 [Systemwalker ACLマネージャの監査操作についての情報] 操作 mpsetauditコマンド 監査対象 種別 監査対象の変更 (-fオプション)の実施 mpauditenvコマンドの実行 ・ Systemwalker ACL マ ネージャの監査ログ ファイル出力先の変更 内容 結果 更 新 変更のあった 監査環境情報 成功 更 新 実行された操 作情報 成功 - 111 - 失敗 失敗 操作 監査対象 種別 内容 結果 ・ Systemwalker ACL マ ネージャの監査ログ ファイルサイズの変更 ・ Systemwalker ACL マ ネージャの監査ログ ファイルのクリア ・ Systemwalker ACL マ ネージャの監査ログ ファイルの削除 その他共通項目 内容 事象の日付/時刻 曜日 月 日 時間 年 の形式 事象の操作ユーザ名 Windows(R)の場 合 ドメイン名\ユーザ名 の形式 Solarisの場合 ユーザ名 ACLマネージャの監査機能を有効にする 以下の監査コマンドを使用することにより、ACLマネージャの監査機能を有効にできます。これらの監査コマンドは、以下 のサーバ上で動作します。 ・ 運用管理サーバ ・ 部門管理サーバ ・ 業務サーバ 監査コマンド コマンド名 実行権限 機能 mpsetaudit 管理者のみ 監査機能の有効/無効を設定します。 mpauditenv (注) 監査機能の動作環境の設定を変更します。 mplstaudit 監査機能の動作環境の設定状況を表示します。 注) Windows(R)では、Administratorsグループに所属しているユーザ、UNIXでは、root権限をもつユーザのみ実行可能 となります。それぞれのコマンドは、起動時にコマンドの実行ユーザをチェックしています。管理者(Windows(R)では Administratorsグループに所属しているユーザ、UNIXではroot権限をもつユーザ)でない場合、コマンドは異常終了し、 処理は行われません。 監査ログファイル Systemwalker Centric Managerでの認証、[Systemwalkerコンソール]、[システム監視設定]、[資源配付]、[利用者のアク セス権設定]画面の起動・表示、ロールに所属するメンバの変更に対する操作の監査情報をログファイルに出力します。 Systemwalker ACLマネージャの監査ログファイルのサイズが一定の値に達した場合、Systemwalker ACLマネージャの 監査ログファイルのバックアップがとられ、イベントログ(UNIX版の場合はシスログ)に、バックアップファイル名が通知され ます。 監査ログのバックアップファイルの数は10で、mpfwsec_audit_log.xxxxxxxx.csv(xは英数字)という名前で作成されます。 xxxxxxxx に は 00000001 ~ 0000000a が 使 用 さ れ 、 mpfwsec_audit_log.0000000a.csv の 次 は 、 mpfwsec_audit_log. 00000001.csvとなります。 Systemwalker ACLマネージャの監査ログファイルのサイズ、および出力先は、mpauditenvコマンドにより変更できます。 - 112 - 監査環境設定情報のログ出力 ACLマネージャの監査ログ環境を変更した場合に、その監査ログを出力します。監査環境設定情報のログについても、 ファイルのサイズが一定の値に達した場合に、バックアップがとられ、イベントログ(UNIX版の場合はシスログ)に、バック アップファイル名が通知されます。 監査環境設定情報のログは、mpfwsec_audit_sys.xxxxxxxx.csv(xは英数字)という名前で作成されます。バックアップファ イ ル の 数 は 10 で す 。 xxxxxxxx に は 00000001 ~ 0000000a が 使 用 さ れ 、 mpfwsec_audit_sys.0000000a.csv の 次 は、 mpfwsec_audit_sys.00000001.csvとなります。 監査コマンド、監査ログファイルのアクセス権 ACLマネージャの監査コマンド、監査ログファイルには、それぞれインストール時に以下に示すアクセス権を設定してい ます。 【Windows(R)の場合】 ※1: Administrators フルコントロール SYSTEM フルコントロール CREATOR OWNER フルコントロール Everyone(注) 読み取り DmAdmin フルコントロール DmOperation 変更 DmReference 変更 DistributionAdmin フルコントロール DistributionOperation 変更 DistributionReference 変更 注)以下のWindows OSの場合は、Users ・ Windows Server 2008 STD/Windows Server 2008 DTC/Windows Server 2008 EE/Windows Server 2008 Foundation/ Windows Server 2008 R2 ・ Windows Server 2012 ※2: Administrators フルコントロール - 113 - SYSTEM フルコントロール CREATOR OWNER フルコントロール 【UNIXの場合】 9.5 システム監視の監査ログ システム監視の監査ログは、トレースファイル形式で出力されます。 監査ログの形式 監査ログは、以下のトレースファイルにサイクリックに出力されます。 ・ SEC_sagt#1.trc ・ SEC_sagt#2.trc トレースファイルは以下のディレクトリ配下に格納されます。 /var/opt/FJSVftlc/trc/ 監査ログを見る 以下のコマンドを使用して、監査ログを見ることができます。 /opt/FJSVftlc/bin/mpprttrc mpprttrc(監査ログ/操作ログファイル表示コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュ アル”を参照してください。 監査ログの情報 事象 [通信環 境定義] ・ [通信環境定義詳細]-[ログファイル定 義]タブ([メッセージログ]/[コマンドログ] [格納ディレクトリ]を除く) ・ [通信環境定義詳細]-[接続]タブ 種別 事象の 結果 対応するソース ファイル名 参 照 成功 Opacnf_broS 失敗 Opacnf_broF 更 新 成功 OpacnfL_modS - 114 - 事象 種別 事象の 結果 対応するソース ファイル名 失敗 OpacnfL_modF 参 照 成功 Opacnf2_broS 失敗 Opacnf2_broF 更 新 成功 Opacnf2_modS 失敗 Opacnf2_modF 参 照 成功 Sndsys_broS 失敗 Sndsys_broF 更 新 成功 Sndsys_modS 失敗 Sndsys_modF 参 照 成功 CmailL_broS 失敗 CmailL_broF 更 新 成功 CmailL_modS 失敗 CmailL_modF 参 照 成功 FmonL_broS 失敗 FmonL_broF 更 新 成功 FmonL_modF 失敗 FmonL_modS ・ [通信環境定義詳細]-[動作設定]タブ ・ [通信環境定義詳細]-[自ホスト名]タブ ・ [通信環境定義詳細]-[ログファイル定 義]タブ([メッセージログ]/[コマンドログ] [格納ディレクトリ]のみ) [メッセージ送信先システム] [イベント 監視の 条件定 義] [メール連携環境設定] [監視ログファイル設定] その他共通項目 内容 事象の日付/時刻 トレースの時刻を参照 事象のサブジェクト識別名【コンポ名】 システム監視 利用者名 root 9.6 自動運用支援の監査ログ 自動運用支援の監査ログは、トレースファイル形式で出力されます。 監査ログの形式 監査ログは、以下のトレースファイルにサイクリックに出力されます。 ・ SEC_fwaos#1.trc ・ SEC_fwaos#2.trc トレースファイルは以下のディレクトリ配下に格納されます。 /var/opt/FJSVftlc/trc/ 監査ログを見る 以下のコマンドを使用して、監査ログを見ることができます。 /opt/FJSVftlc/bin/mpprttrc mpprttrc(監査ログ/操作ログファイル表示コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュ アル”を参照してください。 - 115 - 監査ログの情報 事象 定義種別 [イベン ト監視 の条件 定義] ポリシー定義 設定 事象の結果 対応するソースファ イル名 ポリシー設定が成功 dsv:rvevnt01 poin1コマンドによるポリシー移入が成功 poin1:cp:out 監視ポリシーのテンプレート設定 stt:sett01 ローカル定義での設定が成功 dsv:rvevnt0 ポリシー配付(即時適用)による設定が成功 ローカル定 義設定 [アク ション環 境設定] ポリシー定義 設定 ローカル定 義設定 その他 の定義 ローカル定 義設定 [Windows(R)] dsv:policy04 [Solaris] dsv:policy02 poin2コマンドによる設定が成功 poin2:cmd aoseadefコマンドによる設定が成功 aosdef:out 「監視対象に追加」による定義変更 dsv:actadd01 「監視対象から除外」による定義変更 dsv:msgchg02 ポリシー設定が成功 dsv:actenv01 poin1コマンドによるポリシー移入が成功 poin1:cp:out ローカル定義での設定が成功 dsv:actenv01 ポリシー配付(即時適用)による設定が成功 dsv:policy02 poin2コマンドによる設定が成功 poin2:cmd mpaosemnyコマンドによる類似イベント抑 止、大量イベント抑止定義の変更が成功 mny:mny01 mpaosemexコマンドによる類似イベント抑 止、大量イベント抑止対象外設定の変更 が成功 mex:mex01 - 116 - 第10章 監査ログを管理する 監査ログ管理機能を使用して、Systemwalker Centric Managerの各サーバ上にあるログを運用管理サーバ上に収集し、 一元的に管理する方法を説明します。収集したログから、各サーバの運用状況の把握、点検が可能となります。 10.1 収集・管理できるログファイルの種類 監査ログ管理機能で収集するログファイルの種類を説明します。監査ログ管理機能は、OSや製品が出力するテキストロ グで、日時の形式が一定のものについて収集可能です。また、バイナリデータのログ収集も可能です。 代表的なログファイルを以下に示します。以下のファイルのほか、収集規約に従った形式であれば、収集可能です。収 集規約については、“監査ログ管理の収集規約”を参照してください。 代表的なログファイルの一覧 監査ログ管理機能が収集可能なファイルの例を以下に示します。 ・ Windows イベントログ 以下のイベントログの収集が可能です。 - アプリケーション - セキュリティ - システム - DNS Server - Directory Service - ファイル複製サービス - DFS レプリケーション - ハードウェア イベント - 転送された イベント - Hyper-V Server イベントログ ・ UNIX OSのログ - シスログ - /var/adm/loginlog・・・・・Solarisのみ - suログ(/var/adm/sulog)・・・Solaris、HP-UX、AIXのみ ・ GSシステムのログ - アクセス(RACF)ログ - 業務(AIM)ログ ・ Windows Internet Information Service(IIS) ログ - NCSA 共通ログ ファイル形式 - Microsoft IIS ログ ファイル形式 - W3C拡張形式 ・ Apache - アクセスログ NCSA形式(初期形式) - エラーログ - 117 - ・ Systemwalker Centric Managerのログ - opacmdrev(リモートコマンド検索コマンド)で出力したテキストログ - [Systemwalkerコンソール]の監査ログ - サーバアクセス制御の監査ログ ・ Systemwalker Desktop Keeperのバックアップコマンドによるクライアント操作ログ ・ ETERNUS NR1000F seriesイベントログ ・ テキストログ - 監査ログ管理機能の収集規約に合致しているものについて収集可能です。 ・ バイナリファイルのログ - バイナリファイルのログ収集は、V13.2.0以降の運用管理サーバ、被管理サーバまたは中継サーバが必要です。 ・ Systemwalker Operation Manager操作ログ 注意 Windows イベントログ収集、およびWindows Internet Information Service(IIS) ログについての注意事項 ・ Windows イベントログ収集時の注意事項 - イベントログ収集の際、以下の状態になっているイベントログメッセージは「なし」として収集します。 イベントログのメッセージテキストの取得に失敗した場合 例:イベントログを出力したアプリケーションがアンインストールなどで収集対象のシステムに存在しない、または システムの状態によりメッセージが取得できない状態になっている。 - イベントログ(セキュリティ)について セキュリティ監査ポリシーの設定により、イベントログ(セキュリティ)のイベントログ出力量はかなりの量となり、シス テム監視やシステムにも影響を与える恐れがあります。 運用を含め、適切にセキュリティ監査ポリシーを設定し、ログ出力量の絞り込みをしてください。 - カスタムイベントログについて ログ収集定義を行うことで、以下のイベントログを収集することができます。 - Internet Explorer - Key Management Service - Media Center - Virtual Server - アプリケーションのインストール、またはユーザ作成のアプリケーションの追加により、追加されたイベントログ ログ収集定義については、“カスタムイベントログを収集するための設定”を参照してください。 ・ Windows Internet Information Service(IIS) ログについて W3C拡張形式のログを収集する際の注意事項を以下に示します。 - 収集を行うために 拡張プロパティの設定(※)で“日付”の追加出力指定が必要となります。“日付”の出力設定を追加しないと収集 できません。 ※「拡張プロパティの設定」については、OSのヘルプを参照してください。 - 時間表示について W3C拡張形式の時間は、GMT時間表示となっています(IISの仕様となっているため変更不可)。ほかのログファ イルと比較した場合、ローカル時間分ずれた時間の表示となります。 - 118 - null文字を含むログを収集する場合の注意事項 null文字を含むログを収集する場合は、テキストログではなく、バイナリログとして収集してください。 10.2 監査ログ管理でログを収集するために 監査ログ管理機能の収集規約について説明します。 監査ログ管理の収集規約 監査ログ管理機能が対応している日付と時間の対応形式を以下に示します。 対応形式 監査ログ管理機能が対応している日付形式、時間形式を以下の表に示します。以下の表の日付、時間を組み合わせる ことで、監査ログ管理機能による収集が可能となります。以下の表に書かれていない形式はテキストログファイルとして収 集はできません。そのため、バイナリファイルとして収集してください。 ユーザがカスタマイズした形式については、“ユーザがカスタマイズした日付、時間に指定できる形式”を参照してくださ い。 対応している日付形式 本機能での日 付名称 説明 例 補足 YYYY:西暦年(~2038) YY:西暦年下2桁(~38) MM:月2桁(01~12) DD:日2桁(01~31) MON:月3文字(“Jan”~“Dec”) 文字は英語の先頭3文字 TIMEFMT1:時間(下記時間形 式を参照) DATEFMT1 YYYY/MM/DD 本機能のエクスポート 形式 IISのIIS形式 DATEFMT2 YYYY-MM-DD IISのW3C拡張形式 DATEFMT3 MM/DD/YYYY - DATEFMT4 DD/MON/YYYY IIS、ApacheのNCSA 形式 DATEFMT5 DD-MONYYYY ORACLEの LISTENERログ形式 DATEFMT6 MON DD TIMEFMT1 YYYY Apacheのエラーログ形 式 DATEFMT7 MON DD TIMEFMT1 UNIX シスログ形式 DATEFMT8 YYYYMMDD - DATEFMT9 YY/MM/DD - DATEFMT1 0 MM/DD UNIX suコマンドログ形 式 DATEFMT1 1 DD MON YYYY - DATEFMT1 2 MM/DD/YY - DATEFMT9 9 ユーザがカスタマイズした形式 対応している時間形式 - 119 - 本機能での日付名称 説明 補足 TIMEFMT1 HH:MM:SS HH:時(0~23)または(00~23) MM:分(00~59) SS:秒(00~59) sss:ミリ秒(000~999) TIMEFMT2 HH:MM:SS.sss TIMEFMT3 HHMMSS TIMEFMT4 HH:MM TIMEFMT99 ユーザがカスタマイズした形式 日付書式定義ファイルについて 監査ログ管理機能が収集の際に使用する「日付書式定義ファイル」を説明します。 監査ログ管理機能は、「日付書式定義ファイル」と収集対象のログファイルとを対応させ収集を行っています。監査ログ 管理機能がサンプルとして用意している、「日付書式定義ファイル」を以下の表に示します。 日付書式定義ファイルの場所 Windows Systemwalkerインストールディレクトリ\MPWALKER.DM\mpatm \fmt UNIX /etc/opt/FJSVmpatm/fmt 日付書式定義ファイル ファイル名 説明 mpatmevt.fmt 本機能のエクスポート形式(イベントログ用) mpatmdtk.fmt 本機能のエクスポート形式(Systemwalker Desktop Keeperログ用) mpatmiisw3c.fmt IISのW3C拡張形式 mpatmiis.fmt IISのIIS形式 mpatmncsa.fmt IIS、ApacheのNCSA形式 mpatmoralistener.fmt ORACLEのLISTENERログ形式 mpatmapaerr.fmt Apacheのエラーログ形式 mpatmunixsyslog.fmt UNIXのシステムログ形式 mpatmcmgrrev.fmt opacmdrev(Systemwalker Centric Managerの検索コマンド)の出 力形式 mpatmsolarissu.fmt Solaris suログ形式 mpatmsolarisloginlog.fmt Solaris loginlog(/var/adm/loginlog)形式 mpatmcmgroplog.fmt [Systemwalkerコンソール]の監査ログ、またはSystemwalker Centric Managerのサーバアクセス制御の監査ログ形式 mpatmsavelog.fmt 格納ディレクトリ配下のテキストログ形式 mpatmgsracflog.fmt GSシステムのアクセス(RACF)ログ mpatmgsaimlog.fmt GSシステムの業務(AIM)ログ 日付書式定義ファイルの内容 [FORMAT] TOKEN_WORD= DATE_FORMAT=DATEFMT99 DATE_TOKEN_POSIT= DATE_WORD_POSIT= TIME_FORMAT=TIMEFMT99 TIME_TOKEN_POSIT= - 120 - TIME_WORD_POSIT= [USR_FMT1] USR_FORMAT=%yyyy% USR_TOKEN_POSIT=0 USR_WORD_POSIT=0 [USR_FMT2] USR_FORMAT=%MM% USR_TOKEN_POSIT=1 USR_WORD_POSIT=0 [USR_FMT3] USR_FORMAT=%DD% USR_TOKEN_POSIT=4 USR_WORD_POSIT=0 ・・・ 日付書式定義ファイルで指定する情報 説明 セクション/キー FORMAT 日付書式セクション TOKEN_WORD ログレコード内のデータ種を区別するためのトークン区別文字TAB、 BLANK、COMMA、BRACKETのどれかを指定します。 ※TAB:タブ、BLANK:空白、COMMA:カンマ(“,”)、BRACKET:括弧 (“[]”) DATE_FORMA T 日付形式を指定します。 DATEFMT1~DATEFMT12のどれかを指定します。 ユーザが指定した日付形式を指定する場合は、DATEFMT99を指定しま す。 DATE_TOKEN_ POSIT トークン文字で区切られたトークンのうち、どのトークンに日付情報が含まれ ているかを指定します。 ※位置は0以上の数字を指定します。 ※トークン文字がログレコードの先頭にあり、かつ先頭のトークンの直後に 日付情報がある場合は、1を指定します。Apacheのエラーログ形式を参考 にしてください。 DATE_WORD_ POSIT 日付が存在するトークン内の何文字目から日付データが始まるかを指定し ます。 ※検索位置は0以上の数字を指定します。 TIME_FORMAT 時間形式を指定します。 TIMEFMT1~TIMEFMT4のどれかを指定します。 ユーザが指定した時間形式を指定する場合は、TIMEFMT99を指定しま す。 TIME_TOKEN_ POSIT トークン文字で区切られたトークンのうち、どのトークンに時間情報が含まれ ているかを指定します。 ※位置は0以上の数字を指定します。 ※トークン文字がログレコードの先頭にあり、かつ先頭のトークンの直後に 時間情報がある場合は、1を指定します。Apacheのエラーログ形式を参考 にしてください。 TIME_WORD_P OSIT 時間が存在するトークン内の何文字目から日付データが始まるかを指定し ます。 ※検索位置は0以上の数字を指定します。 USR_FMTn ユーザ指定形式セクション ※[USR_FMT1]~[USR_FMT7]まで指定できます。 - 121 - 説明 セクション/キー USR_FORMAT ユーザ指定の形式を指定します。 DATEFMT99、またはTIMEFMT99を指定した場合だけ有効です。 ※最大80文字まで設定できます。 例)%yyyy%、%YYYY%/%MM%/%DD%,%hour%、%a%:%hh%:%min %:%sec%、%UNIX% USR_TOKEN_P OSIT トークン文字で区切られたトークンのうち、どのトークンにUSR_FORMATで 指定した情報が含まれているかを指定します。 DATEFMT99もしくは、TIMEFMT99を指定した場合のみ有効です。 ※位置は0以上の数字を指定します。 USR_WORD_P OSIT USR_FORMAT_POSITで指定したトークンの、何文字目から日付データが 始まるかを指定します。途中でトークン文字を含む場合でも指定できます。 DATEFMT99、またはTIMEFMT99を指定した場合だけ有効です。 ※検索位置は0以上の数字を指定します。 ユーザがカスタマイズした日付、時間に指定できる形式は、次のとおりです。内容に応じた指定を行います。指定方法に ついては、“サンプル例2”を参照してください。 ユーザがカスタマイズした日付、時間に指定できる形式 形式 西暦年 月 日 時間 時 分 秒 内容 形式 備考 1970~2038 %yyyy% 00~99 %yy% 01~12 %mm% 1~12 %MM% Jan~Dec %mon% January~December %MON% 01~31 %dd% 1~31 %DD% “am”、“pm” %a% “AM”、“PM” %A% 01~12 %hh% ※12時間単位 1~12 %HH% ※12時間単位(先頭に0なし) 00~23 %hour% ※24時間単位 0~23 %HOUR% ※24時間単位(先頭に0なし) 00~59 %min% 0~59 %MIN% 00~59 %sec% 0~59 %SEC% 1970/1/1からの通算秒 %UNIX% 先頭に0なし 先頭に0なし 先頭に0なし 注意事項 ・ USR_FORMATには、年月日時分秒を重複して指定することはできません。 ・ DATEFMT99を指定した場合、DATE_TOKEN_POSITとDATE_WORD_POSITを無視します。 ・ TIMEFMT99を指定した場合、TIME_TOKEN_POSITとTIME_WORD_POSITを無視します。 ・ 日付形式(DATEFMT1~DATEFMT12)とTIMEFMT99、時間形式(TIMEFMT1~TIMEFMT4)とDATEFMT99を 組み合わせて指定することも可能です。ただし、年月日時分秒を重複して指定することはできません。 - 122 - ・ %UNIX%を指定する場合は、DATE_FORMATにDATEFMT99、TIME_FORMATにTIMEFMT99を指定してくだ さい。 初回ログ収集の結果を確認する 指定した形式が正しく指定できていると判断できる条件は、以下のとおりです。 ・ ログデータが日付ごとのファイルに、正しい日付で分割されている場合 指定した形式が正しく指定できていないと判断できる条件は、以下のとおりです。 ・ ログデータが複数の日数に存在するにもかかわらず、収集された日付ファイルが、収集当日のログファイルのみしか 存在しない場合 ・ ログデータが複数の日数に存在するにもかかわらず、日付ごとに分割されてはいるが、ファイル名の日付とデータが 一致しない場合 ・ ログデータが複数の日数が存在するにもかかわらず、「mpatm: 情報: 124」メッセージ(収集対象のログがありません でした。)が出力された場合 誤って異なる日付形式を指定してログ収集を行った場合も、監査ログ管理はログファイル情報を格納します。そのため、 正しい形式に修正し、再度ログ収集を行っても一度読み込んだログファイル情報が格納されているため、日付形式が誤っ ているときに読み込んだログデータは収集されません。その際は、形式を修正したログ識別名に対してmpatmdelap(ログ 情報削除コマンド)を実施し、ログの管理情報を削除してからログ収集してください。mpatmdelap(ログ情報削除コマンド) の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 テキストログを収集する 監査ログ管理機能では、テキストログ中にあるログレコード内の日時をキーに、データの抽出/収集を行います。日付・時 間を出力しているデータは、ログレコード内に複数存在している可能性もあります。 そのため、日付・時間データがログレコード内のどの位置に存在しているかを収集処理内で認識させ、監査ログ管理機 能で対応している日付・時間形式であれば収集可能となります。監査ログ管理機能は、日付・時間データの位置を「日付 書式定義ファイル」という形で持っています。 複数ファイルを収集する 監査ログ管理機能は、ワイルドカード(*、?)の指定により、複数生成されているログファイルの収集も可能です。 収集可能なログファイルの例を以下に示します。 ・ サイクリック運用しているもの (例) C:\AppLog\log_* - 123 - ・ カレントのログファイルが固定でローテーションにより番号が増えていくもの (例) C:\AppLog\messages* C:\AppLog\Applog* ・ 日によってファイルが作成されるもの (例) C:\AppLog\log_* 収集対象かどうか確認する ログを収集する際に確認すべき点を以下に示します。 - 124 - サンプル例1 - 125 - 収集対象のログファイルのログレコードと、日付書式定義ファイルの定義例を以下に示します。新たに「日付書式定義ファ イル」を作成する場合は、下記例を参考に作成してください。ファイル名、ファイルの拡張子、ファイル作成場所に関して は任意ですが、テキストファイルで作成する必要があります。 以下の場合、正常にログ収集が行われない場合があります。サンプル例、日付書式定義ファイルの指定する内容を確認 の上、作成してください。 ・ ログレコード内の日時の書式が、監査ログ管理機能が対応している日付形式/時間形式と異なる場合 ・ ログレコード内の日時の書式と、「日付書式定義ファイル」の書式が異なる場合 サンプルで使用している用語を説明します。 用語 説明 時間トークン ログレコード内のトークン文字で区切られた時間データを含むトークン 日付トークン ログレコード内のトークン文字で区切られた日付データを含むトークン 時間検索位置 ログレコード内の時間トークンの先頭から時間データが記述されるまでの 文字数 日付検索位置 ログレコード内の日付トークンの先頭から日付データが記述されるまでの 文字数 ・ (例) 本機能のエクスポート形式(イベントログから抽出したテキスト形式のログファイルの場合) - ファイル名:mpatmevt.fmt 指定する情報 指定値 トークン区別文字 COMMA 日付フォーマット DATEFMT1 日付トークン位置 0 トークン内の日付検索位置 0 時間フォーマット TIMEFMT1 時間トークン位置 0 トークン内の時間検索位置 11 ・ (例) IISのW3C形式 - 126 - - ファイル名:mpatmiisw3c.fmt 指定する情報 指定値 トークン区別文字 BLANK 日付フォーマット DATEFMT2 日付トークン位置 0 トークン内の日付検索位置 0 時間フォーマット TIMEFMT1 時間トークン位置 1 トークン内の時間検索位置 0 ・ (例) IISのIIS形式 - ファイル名:mpatmiis.fmt 指定する情報 指定値 トークン区別文字 COMMA 日付フォーマット DATEFMT1 日付トークン位置 2 トークン内の日付検索位置 1 時間フォーマット TIMEFMT1 時間トークン位置 3 トークン内の時間検索位置 1 ・ (例) IIS、ApacheのNCSA形式 - ファイル名:mpatmncsa.fmt 指定する情報 指定値 トークン区別文字 BRACKET 日付フォーマット DATEFMT4 - 127 - 指定する情報 指定値 日付トークン位置 1 トークン内の日付検索位置 0 時間フォーマット TIMEFMT1 時間トークン位置 1 トークン内の時間検索位置 12 ・ (例) Apacheのエラーログ形式 - ファイル名:mpatmapaerr.fmt 指定する情報 指定値 トークン区別文字 BRACKET 日付フォーマット DATEFMT6 日付トークン位置 1 トークン内の日付検索位置 4 時間フォーマット TIMEFMT1 時間トークン位置 1 トークン内の時間検索位置 11 ・ (例) UNIXシスログ形式 - ファイル名:mpatmunixsyslog.fmt 指定する情報 指定値 トークン区別文字 COMMA 日付フォーマット DATEFMT7 日付トークン位置 0 トークン内の日付検索位置 0 - 128 - 指定する情報 指定値 時間フォーマット TIMEFMT1 時間トークン位置 0 トークン内の時間検索位置 7 ・ (例) Systemwalker Desktop Keeperバックアップコマンドにより出力されたログの形式 - ファイル名:mpatmdtk.fmt 指定する情報 指定値 トークン区別文字 COMMA 日付フォーマット DATEFMT1 日付トークン位置 1 トークン内の日付検索位置 1 時間フォーマット TIMEFMT1 時間トークン位置 1 トークン内の時間検索位置 12 ・ (例) ORACLE LISTENERログ形式 - ファイル名:mpatmoralistener.fmt 指定する情報 指定値 トークン区別文字 BLANK 日付フォーマット DATEFMT5 日付トークン位置 0 トークン内の日付検索位置 0 時間フォーマット TIMEFMT1 時間トークン位置 1 トークン内の時間検索位置 0 - 129 - ・ (例) SUログ形式 - ファイル名:mpatmsolarissu.fmt 指定する情報 指定値 トークン区別文字 BLANK 日付フォーマット DATEFMT10 日付トークン位置 1 トークン内の日付検索位置 0 時間フォーマット TIMEFMT4 時間トークン位置 2 トークン内の時間検索位置 0 ・ (例) /var/adm/loginlog の形式 - ファイル名:mpatmsolarisloginlog.fmt 指定する情報 指定値 トークン区別文字 BLANK 日付フォーマット DATEFMT6 日付トークン位置 1 トークン内の日付検索位置 0 時間フォーマット TIMEFMT1 時間トークン位置 1 トークン内の時間検索位置 7 サンプル例2 監査ログ管理が標準提供している日付形式、時間形式以外について、ユーザがカスタマイズした形式を指定する場 合、日付書式定義ファイル内の“DATE_FORMAT=DATEFMT99”や“TIME_FORMAT=TIMEFMT99”を指定しま - 130 - す。この場合、USR_FMTセクション(USR_FORMAT/USR_TOKEN_POSIT/USR_WORD_POSIT)を追記し、ユーザ がカスタマイズした形式を記述します。 日付書式定義ファイル設定例は、以下のとおりです。 ・ 月と年の間の文字が、月により変更するログの場合。(日月+年+時分秒+DATA) - 日付書式定義ファイル [日付形式] カスタマイズ指定します(DATE_FORMAT=DATEFMT99)。「日-月」は先頭のTOKENの先頭から始まっている ので、USR_TOKEN_POSIT=0/ USR_WORD_POSIT=0を設定します。「年」は先頭のTOKENから8文字目から 始まるため、USR_TOKEN_POSIT=0/ USR_WORD_POSIT=8を設定します。先頭のTOKENからの文字数を設 定することで、月と年の間の文字数が変更されるログに対応できます。 - [時間形式] 時間形式TIMEFMT1と一致するため、TIME_FORMATに指定します。先頭のTOKENから13文字目から始まる ため、TIME_TOKEN_POSIT=0/TIME_WORD_POSIT=13を設定します。先頭のTOKENからの文字数を設定 することで、月と年の間の文字数が変更されるログに対応できます。 [FORMAT] TOKEN_WORD=BLANK DATE_FORMAT=DATEFMT99 DATE_TOKEN_POSIT= DATE_WORD_POSIT= TIME_FORMAT=TIMEFMT1 TIME_TOKEN_POSIT=0 TIME_WORD_POSIT=13 [USR_FMT1] USR_FORMAT=%dd%-%MM% USR_TOKEN_POSIT=0 USR_WORD_POSIT=0 [USR_FMT2] USR_FORMAT=%yyyy% USR_TOKEN_POSIT=0 USR_WORD_POSIT=8 ・ 年月と日が分けられているログの場合。(年月+DATA+日+DATA+時分秒) - 131 - - 日付書式定義ファイル [FORMAT] TOKEN_WORD=COMMA DATE_FORMAT=DATEFMT99 DATE_TOKEN_POSIT= DATE_WORD_POSIT= TIME_FORMAT=TIMEFMT1 TIME_TOKEN_POSIT=3 TIME_WORD_POSIT=0 [USR_FMT1] USR_FORMAT=%yy%/%mm% USR_TOKEN_POSIT=0 USR_WORD_POSIT=0 [USR_FMT2] USR_FORMAT=%dd% USR_TOKEN_POSIT=2 USR_WORD_POSIT=0 ・ 1970/1/1からの通算秒を出力しているログの場合。(通算秒+DATA) 1157084161 data… - 日付書式定義ファイル [FORMAT] TOKEN_WORD=BLANK DATE_FORMAT=DATEFMT99 DATE_TOKEN_POSIT= DATE_WORD_POSIT= TIME_FORMAT=TIMEFMT99 TIME_TOKEN_POSIT= TIME_WORD_POSIT= [USR_FMT1] USR_FORMAT=%UNIX% USR_TOKEN_POSIT=0 USR_WORD_POSIT=0 - 132 - ・ トークン区別文字がBRACKETを使用しているログの場合 BRACKETの“[”と“]”で1つずつと数えます。 - 日付書式定義ファイル [FORMAT] TOKEN_WORD=BRACKET DATE_FORMAT=DATEFMT99 DATE_TOKEN_POSIT= DATE_WORD_POSIT= TIME_FORMAT=TIMEFMT99 TIME_TOKEN_POSIT= TIME_WORD_POSIT= [USR_FMT1] USR_FORMAT=%yyyy% USR_TOKEN_POSIT=1 USR_WORD_POSIT=0 [USR_FMT2] USR_FORMAT=%mm% USR_TOKEN_POSIT=1 USR_WORD_POSIT=6 [USR_FMT3] USR_FORMAT=%dd% USR_TOKEN_POSIT=1 USR_WORD_POSIT=10 [USR_FMT4] USR_FORMAT=%hour% USR_TOKEN_POSIT=3 USR_WORD_POSIT=0 [USR_FMT5] USR_FORMAT=%min% USR_TOKEN_POSIT=3 USR_WORD_POSIT=4 [USR_FMT6] USR_FORMAT=%sec% USR_TOKEN_POSIT=3 USR_WORD_POSIT=8 10.3 監査ログ管理の設定例 監査ログ管理機能を使用した設定例について説明します。 - 133 - 構成 ・ 運用管理サーバの保管ディレクトリ:C:\AuditLogdir ・ 被管理サーバの転送のための転送用ディレクトリ:Systemwalker Centric Managerインストール時の初期値を変更せ ず使用 設定 被管理サーバ側の設定 1. 収集対象ログファイルを登録します。 被管理サーバ(ホスト名:GyomuServer)上で、収集対象ログファイルの登録を行います。 設定方法として、mpatmdef(ログ収集一括定義コマンド)の入力ファイルに記載する方法と、mpatmlogapdef(ログ 収集設定コマンド)のパラメタに指定する方法、およびmpatmpset(監査ログ管理ポリシー情報移入コマンド)でポリ シーを使用して設定する方法があります。 - mpatmdef(ログ収集一括定義コマンド)の入力ファイルに記載する場合 上記の構成でmpatmdef(ログ収集一括定義コマンド)の入力ファイルへの記載は以下のとおりです。 TRANSDEF, LOGDEF, APDEF, ADD,Applilog,YES,NO,ASC,”c:\Gyoumu1\Job*.log”,”C:\Systemwalker \Mpwalker.dm\MpAtm\fmt\mpatmunixsyslog.fmt”,,,, - mpatmlogapdef(ログ収集設定コマンド)のパラメタに指定する場合 上記の構成でmpatmtrsdef(ファイル転送情報定義コマンド)に指定するパラメタは以下のとおりです。 mpatmlogapdef ADD -A Applilog -E YES -M ASC -L ”C: \Gyoumu1\Job*.log” -F C:\Systemwalker\Mpwalker.dm\MpAtm\fmt \mpatmunixsyslog.fmt - mpatmpset(監査ログ管理ポリシー情報移入コマンド)でポリシーを使用する場合 運用管理サーバから本コマンドを実行し、ポリシーを適用して設定します。ポリシー設定については、“ポリシー を使用して設定する”を参照してください。 運用管理サーバ上で収集対象ログファイルの設定を行う場合、以下のサービス/デーモンが起動されている必要 があります。 - Windows:“Systemwalker ACL Manager”サービス - UNIX:“MpFwsec”デーモン - 134 - 2. 収集対象サーバを設定します。 設定方法として、テキストエディタにより編集する方法と、ポリシーを使用して設定する方法があります。詳細につ いては、“収集対象のサーバを限定する”を参照してください。 運用管理サーバ側の設定 運用管理サーバ上では以下の設定を行います。 1. 格納ディレクトリの設定 設定方法として、mpatmdef(ログ収集一括定義コマンド)の入力ファイルに記載する方法と、mpatmlogapdef(ログ 収集設定コマンド)のパラメタに指定する方法、およびmpatmpset(監査ログ管理ポリシー情報移入コマンド)でポリ シーを使用して設定する方法があります。 - mpatmdef(ログ収集一括定義コマンド)の入力ファイルに記載する場合 上記の構成でmpatmdef(ログ収集一括定義コマンド)の入力ファイルへの記載は以下のとおりです。 TRANSDEF, REP,C:\AuditLogdir,, LOGDEF, APDEF, - mpatmtrsdef(ファイル転送情報定義コマンド)のパラメタに指定する場合 上記の構成でmpatmtrsdef(ファイル転送情報定義コマンド)に指定するパラメタは以下のとおりです。 mpatmtrsdef REP -S C:\AuditLogdir - mpatmpset(監査ログ管理ポリシー情報移入コマンド)でポリシーを使用する場合 運用管理サーバから本コマンドを実行し、ポリシーを適用して設定します。ポリシー設定については、“ポリシー を使用して設定する”を参照してください。 格納ディレクトリを設定した場合、以下のユーザだけに限定するように格納ディレクトリのアクセス権を変更します。 - Windows: Administrators権限、およびSYSTEM権限 - UNIX : root権限 また、UNIX環境でNFSマウントしたネットワーク上のパスを格納ディレクトリに指定する場合は、事前に問題なくパ スにアクセスできることを確認してください。ファイルサーバのダウンなどが原因でパスが利用できない場合、NFS タイムアウトが発生するまで処理が終了しません。 格納ディレクトリの設定を行う場合、以下のサービス/デーモンが起動されている必要があります。 - Windows:“Systemwalker ACL Manager”サービス - UNIX:“MpFwsec”デーモン 2. 収集するためのスケジュールの設定 ツール(タスクスケジューラなど)を使用し、運用に合わせた時間でmpatmlog(ログ収集コマンド)をスケジュール設定 します。 中継サーバ側の設定 中継サーバを設定する場合は以下の設定を行います。 全体監視サーバで監査ログを管理し、運用管理サーバ上で中継サーバの設定を行う場合は、以下のサービス/デーモ ンが起動されている必要があります。 ・ Windows:“Systemwalker ACL Manager”サービス ・ UNIX:“MpFwsec”デーモン - 135 - 1. 中継サーバを設定します。 mpatmsvrtypedef(サーバ種別設定コマンド)を使用して設定してください。 mpatmsvrtypedef REP -R 2. 格納ディレクトリを設定します。 中継サーバは、運用管理サーバと被管理サーバを兼用します。運用管理サーバと同様に格納ディレクトリを設定 してください。 3. 収集対象ログファイルを登録します。 中継サーバ上のログを収集したい場合は、被管理サーバと同様に収集対象ログファイルを登録してください。 4. 被管理サーバから収集したログを運用管理サーバに転送するための定義を行います。 mpatmlogapdef(ログ収集設定コマンド)を使用して設定してください。 mpatmlogapdef(ログ収集設定コマンド)に指定するログ識別名には、被管理サーバと同一のログ識別名を設定す る必要はありません。任意のログ識別名を指定してください。 また、収集対象ログファイル名の文字コードには、監査ログ管理で収集したログファイル名に付加されている文字 コードを指定します。収集したログファイル名については、“監査ログの一覧を参照する”を参照してください。 収集対象ログファイル名の指定方法 収集対象ログファイル名は、以下のように指定します。 - 被管理サーバの、すべてのテキストログファイルを収集する場合 mpatmlogapdef ADD -A ログ識別名 -M ASC -L "格納ディレクトリ\被 管理サーバ名_*_文字コード_*.log" 被管理サーバから収集したテキストログを運用管理サーバに転送する場合、日付書式定義ファイルの指 定は省略可能です。ただし、省略する場合、事前にmpatmsvrtypedef(サーバ種別設定コマンド)で中継サー バの設定を行っておく必要があります。 日付書式定義ファイルの指定を省略した場合は、"mpatmsavelog.fmt"が設定されています。 なお、日付書式定義ファイルの指定を省略した場合は、テキストログファイルとしてログ収集します。 - 被管理サーバの、すべてのバイナリログファイルを収集する場合 mpatmlogapdef ADD -A ログ識別名 -M ASC -L "格納ディレクトリ\被 管理サーバ名_*_B_*.log" -F BIN バイナリログファイルの場合は、日付書式定義ファイルに“BIN”を指定します。 - 被管理サーバの、指定したログ識別子がファイル名に含まれるテキストログファイルを収集する場合 mpatmlogapdef ADD -A ログ識別名 -M ASC -L "格納ディレクトリ\被 管理サーバ名_ログ識別名_文字コード_*.log" - 被管理サーバの、指定したログ識別子がファイル名に含まれるバイナリログファイルを収集する場合 mpatmlogapdef ADD -A ログ識別名 -M ASC -L "格納ディレクトリ\被 管理サーバ名_ログ識別名_B_*.log" -F BIN mpatmlogapdef(ログ収集設定コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュ アル”を参照してください。 設定時には、以下の点に注意してください。 - ログ識別名は、任意の名前を指定してください。被管理サーバ名とログ識別名と組み合わせた名前を用い ると管理がしやすくなります。 中継したログには、ログファイル名にログ識別名を付加しません。そのため、運用管理サーバには被管理 サーバから収集したファイル名のまま収集します。 - 136 - - 収集対象ログファイルがバイナリログファイルで、mpatmlogapdefコマンドに“ADD”、または“REP”を指定し た場合は、“-F BIN”を必ず指定してください。 - 以下の場合、mpatmlog(ログ収集コマンド)を実行すると、「mpatm: エラー: 990」を出力してエラー終了しま す。 【収集対象ログファイル名の文字コード指定を省略した場合】 収集対象ログファイル名の文字コード指定を省略すると、収集対象ログファイルにテキストログファイルとバ イナリログファイルが混在してログ収集される可能性があります。 例:収集対象ログファイル名に“格納ディレクトリ\被管理サーバ名_ログ識別名_*.log”のように指定した場 合 【収集対象ログファイル名の文字コードと異なる日付書式定義ファイル名を指定した場合】 収集対象ログファイル名の文字コードと異なる日付書式定義ファイル名を指定すると、誤った文字コードで ログ収集します。 例1:テキストログファイルを収集するのに日付書式定義ファイルに“BIN”を指定した場合 例2:バイナリログファイルを収集するのに日付書式定義ファイルに“mpatmsavelog.fmt”を指定した場合 例3:日付書式定義ファイルの指定を省略した場合 - ファイル名の長さが6バイト以上のバイナリログファイルをテキストログファイルとして収集した場合、以下の 例のようにログファイル名が不当な状態でログ収集が正常終了する場合があります。 例) 中継サーバ上の格納ディレクトリ内のログファイル:svr_id_B_20070514_wtmp01_0001.log 運用管理サーバ上に収集されるログファイル名:svr_id_B__0001.log 5. 収集対象サーバを設定します。 被管理サーバと同様に、収集するサーバを設定してください。 6. 収集するためのスケジュールを設定します。 運用管理サーバと同様に、ツール(タスクスケジューラ等)を使用し、運用に合わせた時間でmpatmlog(ログ収集コ マンド)をスケジュール設定してください。 ただし、中継サーバからの収集をツール(タスクスケジューラ等)で設定した場合は、運用管理サーバからの収集の スケジュールを、中継サーバの収集が完了した後に行うように設定してください。 収集状況 監査ログ管理機能は、ログが出力された順序に従って収集します。 ログの日付が翌日になったことを検出した時点で収集ファイル(格納)の日付を更新します。 監査ログ管理機能による収集状況は、以下のとおりです。 - 137 - ・ 日付順に格納されるログファイルの収集 ・ 日付が混在するログファイルの収集 - 処理中の日付より過去の日付のログは、収集対象期間内の日付の場合、処理中の日付の収集ファイルに格納 します。 - 138 - ・ 日付のないログが格納されるログファイルの収集 - 日付のないログを検出したときに、処理中の日付が明確になっている場合は、その処理中の日付の収集ファイ ルに格納します。 - 日付のないログを検出した時に、処理中の日付が明確になっていない場合は、日付が明確になった時点で、そ の日付の収集ファイルに格納します。 - 日付のないログしか存在しない場合は、ログ収集を実施した日付の収集ファイルに格納します。 また、日付書式定義ファイルの形式とログ形式が一致しない場合も同様です。 ・ 日付が収集日よりも未来のログが格納されるログファイルの収集 - 未来日付のログを検出したときに、処理中の日付が明確になっている場合は、その処理中の日付の収集ファイ ルに格納します。 - 139 - - 未来日付のログを検出したときに、処理中の日付が明確になっていない場合は、日付が明確になった時点で、 その日付の収集ファイルに格納します。 - 未来日付のログしか存在しない場合は、ログ収集を実施した日付の収集ファイルに格納します。 監査ログ管理の収集について ・ 収集対象のログを複数回転送される場合(上記の場合、2006/05/07のデータが複数回転送されている)は、運用管理 サーバ側で、2006/05/07のログデータとしてまとめて管理します。 ・ 収集を行う間隔は、ログを出力する製品・機能の以下の内容を考慮して決めてください。 - 出力するログ出力数 - ログを出力する製品の運用状況 - ネットワーク容量 10.4 監査ログ管理のしくみ 監査ログ管理機能で収集を行うしくみについて説明します。 テキストファイルを収集する場合の監査ログ管理のしくみ 収集のしかた 収集対象のログファイル内のログレコードから、ログレコードの日付から日付単位にファイルを作成し管理します。 初回収集 - 140 - 上記の初回収集の場合、2006/5/1から2006/5/8まで収集し、格納ディレクトリには、2006/5/1のデータから2006/5/8(当日) までのログデータを格納します。 テスト運用から本運用前に収集したログファイルは、運用に従いCD-R/DVD-Rなどの別媒体にバックアップし、バックアッ プした後のデータは削除するなどしてください。 時間外データ、日時データがないデータについて 時間外データ(時系列にならんでいないデータ)、ログレコード内の日時データ(形式が一致する日付と時間が付加され ているデータ)がないデータについて、監査ログ管理機能の扱いについて説明します。 初回収集 初回の収集において、日時データの確認ができるログレコードの前にある日時データがないデータは、収集当日のデー タに含めて収集します。日時データの場合、収集対象外日付のものは収集対象外とします。 2回目以降の収集 - 141 - 前回収集したログレコードの次に時間外データがある場合は、以下のようになります。 ・ ログレコードの日付が収集対象外の場合は、収集対象外 ・ ログレコードの日付が現在処理している日付より古く、収集対象内の日付の場合は、現在処理している日付ファイル に追加 また、日時データがないデータは、収集当日のデータに含めて収集します。 ファイル名に設定する“サーバ名”について 監査ログ管理機能では、収集したログファイルの名前に、サーバ名(Systemwalker Centric Managerで指定する自ホスト 名)を付け、対象ログ(ログ識別名)、日付ごとのファイルとして管理しています。 サーバ名に以下の文字がある場合、別名に変更をしてください。 ・ “\”(0x5C)、“/”(0x2F)、“:”(0x3A)、“,”(0x2C)、“;”(0x3B)、“*”(0x2A)、“?”(0x3F)、“"”(0x22)、“<”(0x3C)、“>” (0x3E)、“|”(0x7C)の文字があるサーバ ・ サーバ名の先頭、または最後の文字に“-”(0x2D)があるサーバ また、自ホスト名に“_”(0x5F)、“ ”(0x20)を設定している場合は、“-”(ハイフン 0x2D)に置き換えて収集を行います。 バイナリファイルを収集する場合の監査ログ管理のしくみ 収集のしかた バイナリデータは、ログレコードの時間情報を識別することができません。そのため、テキストファイルと異なり、日付単位 に分割した管理ができません。代わりにファイルの最終更新日付で日付単位にファイルを作成し管理します。 監査ログ管理では、バイナリファイルは以下のことを想定しています。 ・ Lotus Notes/DominoのDBログ(約300MB) ・ 暗号化されたログファイル ・ 日付データがないテキストログファイル ・ /var/adm/wtmpx 初回収集 バイナリファイルの収集は、テキストファイルの収集と異なり差分収集せず、ファイル単位で収集します。そのため、複数 ファイルの場合、ログ収集のデータ量が多くなることが予想されます。監査ログ管理を使用した収集を行う場合、初回の ログ収集は7日までさかのぼった収集対象期間内のログをすべて収集します。そのため、膨大なログデータの収集による - 142 - ネットワーク負荷を抑えるために、分割転送および転送間隔を指定してください。また、複数ログファイルの収集で、初回 の収集は収集対象ファイルリスト内で最新ファイルだけを収集することを選択することも可能です。 以下の図は、収集期間内の最新ファイルの選択処理について説明しています。 2回目以降の収集 バイナリファイルの収集では、差分収集しないため、運用管理サーバに収集するとディスク容量をテキストファイルよりも 費やします。そのため、バイナリログファイルが累積型のログで、同日に複数回ログ収集を行った場合、最新のログファイ ルだけ保管することもできます。 収集対象 初回収集時は、以下の条件で収集します。 ・ 単一ファイルの場合 指定したファイルの最終更新日付が収集期間内であれば収集します。 ・ 複数ファイルの場合 指定した複数ファイルのうち、最終更新日付が収集期間内であれば収集します。ただし、収集対象のファイルの総 容量が大容量でネットワーク負荷をかけたくない場合は、収集期間内の最終更新日付が、最新のファイルのみを収 集することも選択可能です。 ・ 2回目以降は、ファイルの最終更新日付が収集期間内で前回収集時より新しいファイルをすべて収集します。 ・ 2回目以降は、差分収集を行わず、別ファイルとして収集します。ただし、同一日にログ収集を複数回実行した場合 のみ、上書きファイルとして保存できることも選択可能です。 - 143 - 注意 Windows Server 2008以降のWindowsシステムの場合、ファイルが更新されても更新日時がすぐに反映されず、更新さ れたバイナリファイルが収集されないことがあります。 その場合は、バイナリファイルの更新日時が反映されてからログ収集を行うようにしてください。 収集したファイル名 収集ファイルは、以下のファイル名形式で作成します。 被管理サーバ名_ログ識別名_文字コード_YYYYMMDD_収集対象ファイル名_通番.log ・ YYYYMMDD:収集対象ファイルの最終更新日付 ・ 文字コード:“B” バイナリファイルの“B”を付加します ・ 収集対象ファイル名:収集ファイル名 拡張子も付加しますが、その際、“.”(0x2E)は“-”(ハイフン 0x2D)に置き換え ます。また、以下の文字についても“-”(ハイフン 0x2D)に置き換えます。 “_”(0x5F)、“ ”(0x20)、“\”(0x5C)、“/”(0x2F)、“:”(0x3A)、“,”(0x2C)、“;”(0x3B)、 “*”(0x2A)、“?”(0x3F)、“"”(0x22)、“<”(0x3C)、“>”(0x3E)、“|”(0x7C) ・ 通番:同一日にログ収集を複数回実行した場合の収集回数(0001~9999)です。上書きするを選択した場合、通番 は“0001”固定となります。通番が“9999”を超えた場合は、「mpatm: エラー: 672」が出力され、該当ログ識別名のロ グ収集は失敗します。 収集する時の転送設定 テキストファイルの転送と同様に、以下の設定が可能です。 ・ 分割転送サイズ - 144 - ・ 転送間隔 10.5 監査ログを収集・保管するための設定 監査ログ管理機能を使用して、各サーバ(運用管理サーバ/部門管理サーバ/業務サーバ)と運用管理クライアント上に あるログを収集・保管するための設定について説明します。 サーバ(運用管理サーバ/部門管理サーバ/業務サーバ) 設定方法には、以下の3つがあります。 ・ コマンドの入力ファイルに記載して設定する 監査ログ管理機能の導入時に使用します。 ・ コマンドを使用して設定する 運用中に監査ログ管理機能の設定を変更する場合に、リモートコマンドなどを使用して運用管理サーバ上から実施 して使用します。 ・ ポリシーを使用して設定する 以下の場合に使用します。 - 監査ログ管理機能を導入する場合 - 監査ログ分析機能を使用してログ分析を行う場合 - ポリシーに従ったログ収集を行う場合 - 収集対象マシンが多い場合 また、必要に応じて以下の設定を行います。 ・ 収集対象のログの定義 ・ 収集対象のサーバを限定する(必須) ・ 収集したログファイルを二次媒体装置へ複写するための設定 ・ 中継サーバを利用するための設定 ・ カスタムイベントログを収集するための設定 なお、運用管理サーバ上で監査ログを収集・保管するための設定を行う場合、以下のサービス/デーモンが起動されて いる必要があります。 ・ Windows:“Systemwalker ACL Manager”サービス ・ UNIX:“MpFwsec”デーモン 運用管理クライアント 運用管理クライアントで、デフォルトで定義されている収集できるログは、以下のログです。 ・ Windows イベントログ - アプリケーション - セキュリティ - システム ・ Systemwalkerコンソールの監査ログ 設定は、mpsetlogsend_swgui(Systemwalkerコンソール監査ログ収集設定コマンド)で行います。詳細については、 “Systemwalkerコンソール/コンソール操作制御の監査ログ”を参照してください。 Systemwalkerコンソールの監査ログ以外の設定方法には、以下の2つがあります。 ・ コマンドの入力ファイルに記載して設定する - 145 - ・ コマンドを使用して設定する また、以下の設定を行います。 ・ 収集対象のサーバを限定する 10.5.1 コマンドの入力ファイルに記載して設定する ログ収集するための情報をコマンドの入力ファイルに記載して、設定する方法について説明します。この方法は、監査ロ グ管理機能の導入時に使用してください。 1. コマンドの入力ファイルを編集する 設定場所:運用管理サーバ、被管理サーバ、中継サーバ 2. 編集した定義ファイルを適用する 設定場所:運用管理サーバ、被管理サーバ、中継サーバ コマンドの入力ファイルを編集する 入力ファイルのサンプルの格納先 設定用の入力ファイルは、サンプル(監査ログ管理設定サンプルファイル)として提供します。サンプルファイルをコピー し、コピーしたファイルを環境に応じて修正した上で、編集したファイルを入力ファイルとして使用してください。 Windows Systemwalkerインストールディレクトリ\MPWALKER.DM\MpAtm\sample \mpatmdef.dat UNIX /etc/opt/FJSVmpatm/sample/mpatmdef.dat 監査ログ管理設定サンプルファイル(mpatmdef.dat)の詳細については、“Systemwalker Centric Manager リファレンスマ ニュアル”を参照してください。 入力ファイルを編集する 監査ログ管理設定サンプルファイルをコピーし、コピーしたファイルを環境に応じて修正した上で、編集したファイルで設 定を行います。設定する内容について以下に示します。 1. 格納ディレクトリの設定 格納ディレクトリの設定は、運用管理サーバ・中継サーバに設定します。被管理サーバから収集したログを、運用 管理サーバ・中継サーバ上に格納する場所を設定します。Systemwalker Centric Managerインストール時は格納 ディレクトリの設定はされていません。 また、格納ディレクトリのディスク容量に対してディスク使用量をしきい値として指定することもできます。しきい値を 設定するとログ収集コマンド実行時に、ログを転送する前に空き容量不足を検出できるため、無駄なログ転送がな くなります。また、格納ディレクトリのディスク容量不足を未然に検知することができます。 注意 格納ディレクトリを設定する際の注意事項 - 格納ディレクトリを変更する場合、変更前の格納ディレクトリを削除する前に実行してください。削除して実行し た場合、「mpatm: エラー: 691」が出力され、失敗します。この場合、変更前の格納ディレクトリを作成した上で 再実行してください。 - ディレクトリ名について 格納ディレクトリ名は、監査ログ管理機能で収集したファイル名に使用します。そのため、長いファイル名や深 い階層を指定しないでください。 - 146 - (例) D:\Auditlog, /Auditlog など - アクセス権設定について 格納ディレクトリを設定した場合、以下のユーザだけに限定するように格納ディレクトリのアクセス権を変更しま す。 - Windows :Administrators権限、およびSYSTEM権限 - UNIX : root権限 - 64bit版のWindowsの場合、格納ディレクトリには“Windowsディレクトリ\system32”配下を指定しないでくださ い。 - 格納ディレクトリにSystemwalker Centric Managerのインストールディレクトリ配下を指定した場合、Systemwalker Centric Managerをアンインストールすると収集したログファイルも削除されます。格納ディレクトリに Systemwalker Centric Managerのインストールディレクトリ配下を指定しないことをお勧めします。 - UNIX環境でNFSマウントしたネットワーク上のパスを格納ディレクトリに指定する場合は、事前に問題なくパス にアクセスできることを確認してください。ファイルサーバのダウンなどが原因でパスが利用できない場合、NFS タイムアウトが発生するまで処理が終了しません。 2. 転送のための転送用ディレクトリの変更 Systemwalker Centric Managerインストール時は、以下のディレクトリが設定されています。 Windows Systemwalkerインストールディレクトリ\MPWALKER.DM\MpAtm \sendlog UNIX /var/opt/FJSVmpatm/sendlog Systemwalker Centric Managerのインストールされているディスクのディスク空き容量に余裕がない場合、転送の際 の転送用ディレクトリを変更してください。 注意 転送用ディレクトリを変更する場合の注意事項 - アクセス権設定について 転送用ディレクトリを設定した場合、以下のユーザだけに限定するように転送用ディレクトリのアクセス権を変更 します。 - Windows:Administrators権限、およびSYSTEM権限 - UNIX : root権限 - 64bit版のWindowsの場合、転送用ディレクトリは、“Windowsディレクトリ\system32”配下を指定しないでくださ い。 3. 分割転送サイズ、転送間隔の変更 ログファイルを収集するときの多重度、転送するときの分割転送サイズ、転送間隔および圧縮転送を設定します。 Systemwalker Centric Managerインストール時は、以下の値が設定されています。 分割転送サイズ 60 (MB) 転送間隔 5 (秒) ログ収集多重度 1 圧縮転送 圧縮転送しない 4. 収集するログファイルの設定 収集するログファイルを設定します。 - 147 - 設定例 ・ 運用管理サーバに設定する入力ファイルの例 - 格納ディレクトリ: D:\AuditLog - 収集したいログファイル名: IIS 共通ログファイル形式 - 格納先ディレクトリ:C:\WINNT\system32\LogFiles\W3SVC1\*.log - ワイルドカード指定時の昇順/降順設定: ASC (昇順) 上記例の場合、入力ファイルは、以下のようになります。 TRANSDEF, REP,D:\AuditLog,, LOGDEF, APDEF, REP,IISNCSALog,YES,NO,ASC,”C:\WINNT\system32\LogFiles \W3SVC1\*.log”,,,,, ・ 被管理サーバ(部門管理サーバ、業務サーバ)に設定する入力ファイルの例 - 分割転送サイズ: 50 (MB) - 転送間隔: 3 (秒) - 収集したいログファイル名: Apacheアクセスログ - 格納先ディレクトリ: C:\Apache\Logs\Aaccess.* - ワイルドカード指定時の昇順/降順設定: ASC (昇順) 上記例の場合、入力ファイルは、以下のようになります。 TRANSDEF LOGDEF, REP,,50,3,1,NO, APDEF, REP,ApacheAccessLog,YES,NO,ASC,”C:\Apache\Logs\Aaccess.*”,,,,, 監査ログ管理設定サンプルファイル(mpatmdef.dat)の詳細については、“Systemwalker Centric Manager リファレンスマ ニュアル”を参照してください。 収集するログの定義 収集するログファイルの定義、または、Systemwalker Centric Managerのリモートコマンド検索ログ、Systemwalker Desktop Keeperのバックアップコマンドによるクライアント操作ログの収集定義については、“収集対象のログの定義”を参照してく ださい。 編集した定義ファイルを適用する 「運用管理サーバ」、「被管理サーバ」、「中継サーバ」へ編集した入力ファイルを、FTPなどを使用して配置します。それ ぞれのサーバ上で以下のコマンドを実行します。 mpatmdef -F 配置した入力ファイル名 →「配置した入力ファイル」の記述内容が設定されます。 mpatmdef (ログ収集一括定義コマンド)の詳細については、“Systemwalker Centric Manager マニュアル”を参照してくだ さい。 設定例 ・ 業務サーバ上で、入力ファイル(c:\GyoumuFile.dat)を配置し、mpatmdef(ログ収集一括定義コマンド)を実施します。 mpatmdef -F c:\GyoumuFile.dat - 148 - 10.5.2 コマンドを使用して設定する 各定義コマンドを使用して設定する方法を説明します。この方法は、運用中に監査ログ管理機能の設定を変更する場合 に、リモートコマンドなどを使用して運用管理サーバ上から実施します。 1. 格納ディレクトリを変更する 設定場所:運用管理サーバ、中継サーバ 2. 転送のための転送用ディレクトリを変更する 設定場所:運用管理サーバ、被管理サーバ、中継サーバ 3. ログファイルを収集する時の多重度、分割転送サイズ、転送間隔および圧 縮転送を変更する 設定場所:被管理サーバ、中継サーバ 4. 収集するログファイルを更新する 設定場所:運用管理サーバ、被管理サーバ、中継サーバ 格納ディレクトリを変更する 以下のコマンドを実行して、格納ディレクトリを変更します。 mpatmtrsdef REP -S 格納ディレクトリ →「格納ディレクトリ」に指定したディレクトリをログ格納先として変更します。 また、mpatmtrsdef(ファイル転送情報定義コマンド)にオプション(-V)を指定すると格納ディレクトリのディスク容量に対し てディスク使用量をしきい値として指定することができます。しきい値を設定するとログ収集コマンド実行時、ログを転送 する前に、空き容量不足を検出できるため無駄なログ転送がなくなります。また、格納ディレクトリのディスク容量不足を 未然に検知することができます。 mpatmtrsdef(ファイル転送情報定義コマンド)、mpatmlog(ログ収集コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 注意 格納ディレクトリを変更する際の注意事項 ・ 格納ディレクトリを変更する場合、変更前の格納ディレクトリを削除する前に実行してください。削除して実行した場 合、「mpatm: エラー: 691」が出力され、失敗します。この場合、変更前の格納ディレクトリを作成した上で再実行して ください。 ・ 格納ディレクトリには、多くの被管理サーバのログを格納するため、ディスク容量に余裕のあるパーティション、ドライ ブ上を格納ディレクトリに設定してください。格納ディレクトリの見積もりについては、“Systemwalker Centric Manager 導入手引書”で、“運用管理サーバの環境構築”の“監査ログ管理に必要な資源”を参照してください。 ・ ディレクトリ名について 格納ディレクトリ名は、監査ログ管理機能で収集したファイル名に使用します。そのため、長いファイル名や深い階層 を指定しないでください。 (例) D:\Auditlog, /Auditlog など - 149 - ・ アクセス権設定について 格納ディレクトリを設定した場合、以下のユーザだけに限定するように格納ディレクトリのアクセス権を変更します。 Windows:Administrators権限、およびSYSTEM権限 UNIX : root権限 ・ 64bit版のWindowsの場合、格納ディレクトリには“Windowsディレクトリ\system32”配下を指定しないでください。 ・ 格納ディレクトリに Systemwalker Centric Managerのインストールディレクトリ配下を指定した場合、Systemwalker Centric Managerをアンインストールすると収集したログファイルも削除されます。格納ディレクトリに Systemwalker Centric Managerのインストールディレクトリ配下を指定しないことをお勧めします。 ・ 中継サーバを使用し、被管理サーバから収集したログを運用管理サーバに収集する設定を行っている場合に、格 納ディレクトリを変更すると被管理サーバから収集したログを運用管理サーバに収集できなくなります。そのため、格 納ディレクトリを変更する場合は、被管理サーバから収集したログを運用管理サーバに収集するための収集対象ロ グファイルの設定も変更してください。 ・ UNIX環境でNFSマウントしたネットワーク上のパスを格納ディレクトリに指定する場合は、事前に問題なくパスにアク セスできることを確認してください。ファイルサーバのダウンなどが原因でパスが利用できない場合、NFSタイムアウト が発生するまで処理が終了しません。 転送のための転送用ディレクトリを変更する Systemwalker Centric Managerインストール時は、以下のディレクトリが設定されています。 Windows Systemwalkerインストールディレクトリ\MPWALKER.DM\MpAtm\sendlog UNIX /var/opt/FJSVmpatm/sendlog Systemwalker Centric Managerのインストールされているディスクのディスク空き容量に余裕がない場合、以下のコマンド を実行し、転送の際の転送用ディレクトリを変更してください。 mpatmlogdef REP -T 転送用ディレクトリ →「転送用ディレクトリ」に指定したディレクトリを一時格納先にします。 注意 転送用ディレクトリを変更する場合の注意事項 ・ アクセス権設定について 転送用ディレクトリを設定した場合、以下のユーザだけに限定するように転送用ディレクトリのアクセス権を変更しま す。 - Windows:Administrators権限、およびSYSTEM権限 - UNIX : root権限 ・ 64bit版のWindowsの場合、転送用ディレクトリには“Windowsディレクトリ\system32”配下を指定しないでください。 ログファイルを収集する時の多重度、分割転送サイズ、転送間隔および圧縮転送を変更する ログファイルを収集するときの多重度、分割転送サイズ、転送間隔および圧縮転送を設定します。Systemwalker Centric Managerインストール時は、以下の値が設定されています。 分割転送サイズ 60 (MB) 転送間隔 5 (秒) ログ収集多重度 1 - 150 - 圧縮転送 圧縮転送しない 1. ログファイルを収集するときの多重度、分割転送サイズ、転送間隔および圧縮転送を変更する場合は、以下のコ マンドを実行します。 mpatmlogdef REP -S 分割転送サイズ -I 転送間隔 -P ログ収集多重度 -C YES →「ログ収集多重度、分割転送サイズ、転送間隔、圧縮転送」が指定した値に変更されます。 多重度とは、被管理サーバでログ収集を行う際に、ログ収集処理を同時に実行するログ識別名の数です。多重度数を設 定することでログ収集を効率的に実行することが可能です。 mpatmlogdef(ログ収集情報定義コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル” を参照してください。 収集するログファイルを更新する 収集するログファイルを更新します。 1. 収集するログファイルの内容を確認する 以下のコマンドを実行し、収集するログファイルの一覧を確認します。 mpatmlogapdef DISP 2. 収集定義しているログファイルの収集を中断する 以下のコマンドを実行し、収集するログファイルの収集を中断します。 mpatmlogapdef REP -A 収集対象のログファイルのログ識別名 -E NO 3. 収集対象のログファイルを追加/登録する 以下のコマンドを実行し、収集するログファイルを追加します。 mpatmlogapdef ADD -A ログ識別名A -E YES -L ログファイル -F 日付書式定義 ファイル名 日付書式定義ファイルのフルパスの代わりに“BIN”を指定した場合、バイナリファイルのログ収集となります。 →「ログ識別名A」がログ収集の対象として定義されます。 4. 収集を中断したログファイルの収集を再開する 以下のコマンドを実行し、ログファイルの収集を再開します。 mpatmlogapdef REP -A 収集対象のログファイルのログ識別名 -E YES 収集するログの定義 収集するログファイルの定義、または、Systemwalker Centric Managerのリモートコマンド検索ログ、Systemwalker Desktop Keeperのバックアップコマンドによるクライアント操作ログの収集定義については、“収集対象のログの定義”を参照してく ださい。 mpatmlogapdef(ログ収集設定コマンド)の詳細、ログ識別名の予約語については、“Systemwalker Centric Manager リファ レンスマニュアル”を参照してください。 10.5.3 ポリシーを使用して設定する ポリシーを使用して設定する方法を説明します。監査ログ管理機能の導入時に使用します。監査ログ分析機能を使用し てログ分析を行いたい場合、ポリシーに従ったログ収集を行う場合や収集対象マシンが多い場合に使用します。特に監 査ログ分析機能を使用してログ分析を行いたい場合、必ずポリシーを使用した設定を行ってください。 1. ポリシーを設計する - 151 - 2. 監視ツリーを作成する(必要に応じて) 設定場所:[Systemwalkerコンソール] 3. ポリシーを作成する 設定場所:運用管理サーバ 4. 中継サーバを設定する(必要に応じて) 設定場所:[Systemwalkerコンソール](リモートコマンド使用) 5. ポリシーを登録する 設定場所:運用管理サーバ 6. ポリシーを配付する 設定場所:[Systemwalkerコンソール] 7. 中継サーバ上の被管理サーバのログ収集を定義する(必要に応じて) 設定場所:[Systemwalkerコンソール](リモートコマンド使用)、 または運用管理サーバ ポリシーを設計する ポリシーを使用したログ収集の設定を行うには、現在のシステム内のどのサーバ上のログを収集するか、どのような経路 でログを収集するか などを検討します。 以下に考慮する観点を説明します。 - 152 - ・ 収集対象のサーバを選定 Systemwalker Centric Managerで構成するシステム内のどのサーバからログを収集するかを選定します。この場合、 サーバ内で出力するログ(システムのログやアプリケーションのログ)から収集する必要があるサーバを選定します。 ・ 収集対象のログを選定 Systemwalker Centric Managerで構成するシステム内の各サーバから収集するログを選定します。 Windows システム Solaris イベントログ シスログ アプリケーションログ loginlog システムログ suログ Linux シスログ HP-UX、 AIX シスログ suログ セキュリティログ DNSサーバログ ファイルリプリケー ション複製サービス ログ ディレクトリサービス ログ DFSリプリケーション ログ ハードウェアイベン トログ Forwardedイベント WEB IIS(収集形式) Apache(アクセスログ、エラーログ) Apache(アクセスロ グ、エラーログ) Systemwalker Centric Manager リモートコマンド検索コマンド [Systemwalkerコンソール]の監査ログ サーバ操作制御の監査ログ(注) サーバアクセス制御の監査ログ - 153 - サーバ操 作制御の 監査ログ (注) Windows アプリケーショ ン 任意 Solaris 任意 Linux 任意 HP-UX、 AIX 任意 注) 旧バージョンのシステムで収集されたサーバ操作制御の監査ログ アプリケーションログについては、収集するログ形式も検討します。 ログ形式が、既存の日付書式定義ファイルに一致しない場合は、日付書式定義ファイルを新規に作成してください。 ・ ログ収集を行うサーバの選定 運用管理サーバだけで収集を行うのか、中継サーバを設置するかを検討します。中継サーバの検討は、特に収集 処理に費やす時間を意識した収集を行いたい場合などに設置すると有効です。 ・ ログ収集を行うサーバの限定 収集対象のサーバから、ログ収集を行うサーバを限定するか検討します。 ログ収集を行うサーバを限定すると、ログ収集を許可したサーバ以外のサーバからログを収集することができなくなる ため、セキュリティが向上します。詳細については、“収集対象のサーバを限定する”を参照してください。 ・ 格納ディレクトリの選定(運用管理サーバまたは中継サーバの設定) 運用管理サーバまたは中継サーバの格納ディレクトリ(被管理サーバから収集したログファイルを保管するディレクト リ)を選定します。ポリシーを配付するサーバにディレクトリが存在しない場合は、ポリシー適用時に作成します。 格納ディレクトリを設定した場合、以下のユーザだけに限定するように格納ディレクトリのアクセス権を変更します。 - Windows:Administrators権限、およびSYSTEM権限 - UNIX : root権限 ・ 転送用ディレクトリの選定 被管理サーバの転送用ディレクトリ(収集したログを運用管理サーバに転送するためのディレクトリ)を選定します。ポ リシーを配付するサーバにディレクトリが存在しない場合は、ポリシー適用時に作成します。 転送用ディレクトリを設定した場合、以下のユーザだけに限定するように転送用ディレクトリのアクセス権を変更しま す。 - Windows:Administrators権限、およびSYSTEM権限 - UNIX : root権限 ・ ログの転送についての検討 分割転送するデータサイズ、転送間隔および転送ファイルの圧縮について検討します。デフォルトでは、データサイ ズ:60 MB、転送間隔:5 秒、非圧縮です。 ・ ログの収集についての検討 被管理サーバでログ収集を行う際に、ログ収集処理を同時に実行するログ識別名の数(多重度)について検討しま す。デフォルトでは、多重度:1です。 ・ ポリシーを配付するサーバで、ポリシーを共通にできる範囲を選定 運用管理サーバ、中継サーバおよび被管理サーバにおいて、収集するログや転送用ディレクトリ、格納ディレクトリ の設定する値により、共通範囲を選定します。 監視ツリーを作成する 複数のノードに対して同じポリシーを設定する場合は、運用管理クライアントまたは運用管理サーバ(Windowsのみ)から [Systemwalkerコンソール]を起動し、監視ツリーを作成します。 ノードを指定してポリシーを設定する場合や、すべてのノードに同じポリシーを設定する場合は、監視ツリーを設定する 必要はありません。 複数のノードに対して異なるポリシーを設定する場合は、監視ツリーにポリシーの種類分のフォルダを作成します。作成 したフォルダ配下に同じポリシーを設定するノードを追加することにより、ポリシーを効率的に配付することができます。 - 154 - 例えば、“ポリシーを設計する”の構成の場合は、[Systemwalkerコンソール]の監視ツリーを以下のように作成すると効率 的にポリシーを配付することができます。 ポリシーを作成する “ポリシーを設計する”で設計したポリシー値に沿って、運用管理サーバの任意のディレクトリ配下に監査ログ管理ポリ シーファイル(以降は、ポリシーファイルと表現)を作成します。ポリシーファイルは、ポリシーの種類やOSごとに作成しま す。mpatmdef.dat(監査ログ管理設定サンプルファイル)を流用すると簡単に作成することができます。ポリシーファイルの APDEFセクションで、収集実行の設定が“YES”(収集する)となっているもの、または監査ログ管理ポリシーファイル中の 必須項目を記載している定義についてポリシー登録を行います。監査ログ管理ポリシーファイルと監査ログ管理設定サ ンプルファイルの詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 ・ ポリシーファイル名には拡張子(.csv)を付けてください。(例:mpatmpolicy.csv)。 拡張子(.csv)がないファイルは、ポリシーファイルとして認識しません。拡張子以外は特に制限はありません。 ・ 同じディレクトリ配下に複数のポリシーファイルを作成しないでください。 ポリシーファイルが複数ある場合は、ファイル名の昇順で1番最初のポリシーファイルを使用します。異なるポリシー ファイルを複数作成する場合は、ディレクトリを分けて作成してください。 ・ V13.3.0以降のWindows版 運用管理サーバからV13.2.0 Windows版やV13.2.0以降のUNIX版に対してポリシーを 作成する際に、mpatmdef.dat(監査ログ管理設定サンプルファイル)を流用する場合は、以下の点に注意してくださ い。 V13.3.0以降のWindows版 mpatmdef.datには、収集対象ログファイルの文字コードを指定する項目が追加されてい ます。文字コードの指定は、V13.2.0 Windows版やV13.2.0以降のUNIX版に指定すると無視されます。そのため、 V13.2.0 Windows版やV13.2.0以降のUNIX版のポリシーに使用する場合は、文字コードの項目を削除した上で使 用してください。 ・ Solaris版またはLinux版の運用管理サーバからWindows上のJIS2004で出力するログ設定を行う場合、以下の点に 注意してください。 Solaris版またはLinux版のmpatmdef.datには、収集対象ログファイルの文字コードを指定する項目はありません。そ のため、Windows上のJIS2004で出力するログ設定を行う場合は、文字コードの項目を追加した上で使用してくださ い。 [日付書式定義ファイルの作成] ポリシーファイルに記述した日付書式定義ファイルをポリシー配付する場合は、ポリシーファイルと同じディレクトリ配下に ポリシー配付する日付書式定義ファイルを作成します。 - 155 - ポリシーファイルに記述していない日付書式定義ファイルを、ポリシーファイルと同じディレクトリ配下に作成しても、その 日付書式定義ファイルはポリシー配付しません。 ポリシーファイルに、日付書式定義ファイルをフルパス名で記述した場合は、ポリシーを配付するサーバの該当ディレク トリ配下に日付書式定義ファイルを格納します。 ディレクトリを省略し、ファイル名だけを記述した場合は、ポリシーを配付するサーバの以下のディレクトリ配下に日付書 式定義ファイルを格納します。 ・ Windows:Systemwalker Centric Managerのインストールディレクトリ\mpwalker.dm\mpatm\fmt ・ UNIX:/etc/opt/FJSVmpatm/fmt すでに日付書式定義ファイルが存在する場合は、ポリシー配付した日付書式定義ファイルを上書きします。 ポリシーを配付したサーバに、すでに日付書式定義ファイルがある場合は、ポリシーを配付する必要がないため、日付 書式定義ファイルを作成する必要はありません。 例えば、デフォルトで提供しているイベントログ、シスログ、IISのログやSystemwalker Centric Managerのリモートコマンド 検索コマンドなどの日付書式定義ファイルは、Systemwalker Centric Managerをインストールしたときに、日付書式定義 ファイルをインストールしているため、作成する必要はありません。 ポリシー配付する日付書式定義ファイルのファイル名は、パスも含めて80文字以内になるようにしてください。 また、ファイル名には日本語を含めないでください。(使用できないファイル名の例:日本語.fmt) 日付書式定義ファイルについては、“日付書式定義ファイルについて”を参照してください。 [mpatmconnect.ini(接続可能一覧ファイル)の作成] 被管理サーバからログ収集するサーバを限定する場合は、mpatmconnect.ini(接続可能一覧ファイル)を運用管理サー バの任意のディレクトリ配下に作成します。mpatmconnect.ini(接続可能一覧ファイル)はポリシーファイルの有無にかかわ らずポリシー配付します。 ポリシーファイルと一緒にポリシー配付する場合は、ポリシーファイルと同じディレクトリ配下にmpatmconnect.ini(接続可 能一覧ファイル)を作成してください。 ポリシーを配付したサーバにすでにmpatmconnect.ini(接続可能一覧ファイル)が存在する場合は、ポリシー配付した mpatmconnect.ini(接続可能一覧ファイル)を上書きします。 ログ収集できるサーバを限定しない場合は、mpatmconnect.ini(接続可能一覧ファイル)を作成する必要はありません。 mpatmconnect.ini(接続可能一覧ファイル)については、“収集対象のサーバを限定する”を参照してください。 中継サーバを設定する ポリシーを設定する前に、中継サーバの選定を行います。中継サーバの選定後、中継サーバを設定する必要がある場 合は、以下の手順で中継サーバの設定を行います。 1. 運用管理クライアント、または運用管理サーバ(Windowsのみ)から[Systemwalkerコンソール]を起動します。 2. [Systemwalkerコンソール]で中継サーバとする部門管理サーバまたは業務サーバに対して、リモートコマンドによ るコマンド投入により、中継サーバの設定を行います。中継サーバの設定は、mpatmsvrtypedef(サーバ種別設定 コマンド)を実行します。 mpatmsvrtypedef REP -R 中継サーバ上の格納ディレクトリや被管理サーバから収集した格納ディレクトリ配下のログ収集の設定について は、“中継サーバ上の被管理サーバのログ収集を定義する”を参照してください。 ポリシーを登録する ポリシーを配付する前に、ポリシーの登録をします。 ポリシーの登録方法は、以下の2つの方法があります。 ・ 作成(編集)したポリシーファイルを使用してポリシー登録する ・ 移出したポリシーまたはローカル定義をポリシー登録する - 156 - 作成(編集)したポリシーファイルを使用してポリシー登録する ポリシーの登録は、運用管理サーバでmpatmpset(監査ログ管理ポリシー情報移入コマンド)を実行して行います。 mpatmpset {-N ノード名|-I IPアドレス|-F フォルダ名 } -D ディレクトリ名 mpatmpset(監査ログ管理ポリシー情報移入コマンド)では、実行結果を監査ログに出力します。監査ログについては、 “Systemwalker Centric Managerの監査ログを出力する”を参照してください。 mpatmpset(監査ログ管理ポリシー情報移入コマンド)については、“Systemwalker Centric Manager リファレンスマニュア ル”を参照してください。 以下のマシン構成を例に、ケースごとに実行するmpatmpset(監査ログ管理ポリシー情報移入コマンド)の実行例を記述し ます。 ノードを指定してポリシーを登録する場合は、ディレクトリ(例:c:\policy)配下にポリシーファイル、日付書式定義ファイル、 mpatmconnect.ini(接続可能一覧ファイル)を作成し、以下のコマンドを実行します。 mpatmpset -N 業務サーバ1 -D c:\policy ノードの表示名が重複している場合は、ノード名ではなくIPアドレスを指定します。 mpatmpset -I 192.168.0.1 -D c:\policy 1回のコマンド実行で共通のポリシーを各ノードに登録することもできます。 その場合、フォルダの表示名を指定してmpatmpset(監査ログ管理ポリシー情報移入コマンド)を実行します。 ノードの表示名、フォルダの表示名については、[Systemwalkerコンソール]上で確認してください。 フォルダ配下のすべてのノードに対し、共通の定義を設定できない場合は、[Systemwalkerコンソール]上でポリシー登録 用の監視ツリーを新規に作成します。 作成した監視ツリーに、ポリシーの種別ごとにフォルダを作成し、登録するポリシーに該当するノードを追加してください。 部門管理サーバ3、部門管理サーバ4、部門管理サーバ5に同じポリシーを適用する場合、[Systemwalkerコンソール]の 監視ツリーにフォルダを作成し、そのフォルダ配下に部門管理サーバ3、部門管理サーバ4、部門管理サーバ5を追加し ます。 - 157 - ディレクトリ(例:c:\policy)配下にポリシーファイル、日付書式定義ファイル、mpatmconnect.ini(接続可能一覧ファイル)を 作成し、以下のコマンドを実行します。 mpatmpset -F 監査ログ管理 -D c:\policy 監視ツリーを作成しない場合は、mpatmpset(監査ログ管理ポリシー情報移入コマンド)をノード数分実行します。このとき、 以下のようにバッチファイルを作成すると、1回の操作でポリシーを登録することができます。mpatmpset(監査ログ管理ポ リシー情報移入コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してくださ い。 バッチファイルの記述例: mpatmpset -N gyoumu1 -D c:\policy_a mpatmpset -N gyoumu2 -D c:\policy_a mpatmpset -N gyoumu3 -D c:\policy_a mpatmpset -N gyoumu4 -D c:\policy_b mpatmpset -N gyoumu5 -D c:\policy_c 移出したポリシーまたはローカル定義をポリシー登録する mppolcollect(ポリシー情報移出コマンド)で移出した監査ログ管理のポリシーを登録することもできます。 監査ログ管理のポリシー情報の移出からポリシー登録するまでの手順は以下のとおりです。 1. mppolcollect(ポリシー情報移出コマンド)を実行します。 各ノードから共通化したい監査ログ管理の設定をしたノードを選定し、mppolcollect(ポリシー情報移出コマンド)を 実行します。 mppolcollect(ポリシー情報移出コマンド)では、監査ログ管理のポリシー情報として以下のファイル(以降は、監査 ログ管理ポリシー情報ファイルと表現)を生成します。 生成したこれらのファイルを編集しないでください。 - P_mpatm_policy.csv - P_mpatm_format.ini - P_mpatm_conn.ini ※mppolcollect(ポリシー情報移出コマンド)を"-A"または"-n"オプションを指定して実行した場合は、ノードに設定 したポリシーを移出します。 "-A"または"-n"オプションを指定せずに実行した場合は、ローカル定義を移出します。 "-A"または"-n"オプションは運用管理サーバで実行する場合のみ指定できます。 mppolcollect(ポリシー情報移出コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュ アル”を参照してください。 2. 監査ログ管理のポリシー情報を運用管理サーバに転送します。 運用管理サーバ以外でmppolcollect(ポリシー情報移出コマンド)を実行した場合に、監査ログ管理ポリシー情報 ファイルを運用管理サーバに転送します。 転送先のディレクトリは任意です。 運用管理サーバでmppolcollect(ポリシー情報移出コマンド)を実行した場合は、監査ログ管理ポリシー情報ファイ ルを転送する必要はありません。 - 158 - 3. 監査ログ管理のポリシー情報をポリシー登録可能なファイル形式に変換します。 運用管理サーバで、mpatmpconv(監査ログ管理ポリシー情報変換コマンド)を実行します。 mpatmpconv(監査ログ管理ポリシー情報変換コマンド)では、以下のファイルを生成します。 - 監査ログ管理ポリシーファイル 監査ログ管理ポリシーファイルの詳細は“Systemwalker Centric Manager リファレンスマニュアル”を参照してく ださい。 - 日付書式定義ファイル 日付書式定義ファイルの詳細は“日付書式定義ファイルについて”を参照してください。 - mpatmconnect.ini(接続可能一覧ファイル) mpatmconnect.ini(接続可能一覧ファイル)の詳細は“収集対象のサーバを限定する”を参照してください。 mpatmpconv(監査ログ管理ポリシー情報変換コマンド)の詳細については、“Systemwalker Centric Manager リファ レンスマニュアル”を参照してください。 mpatmpconv(監査ログ管理ポリシー情報変換コマンド)で指定する移出ディレクトリ名には、監査ログ管理ポリシー 情報ファイルが格納されているディレクトリ名をフルパスで指定します。 mppolcollect(ポリシー情報移出コマンド)は"-A"オプション、または”-n”オプションの指定により監査ログ管理ポリ シー情報ファイルの出力先が以下のように変わるため注意してください。 - ["-A"オプション、または”-n”オプション指定あり] コマンド例:mppolcollect -A -o c:\policy "-o"オプションで指定したディレクトリ配下にIPアドレスと同じ名称のディレクトリを作成します。 作成したIPアドレスと同じ名称のディレクトリ配下に監査ログ管理ポリシー情報ファイルを出力します。 - ["-A"オプション、および”-n”オプション指定なし] コマンド例:mppolcollect -o c:\policy "-o"オプションで指定したディレクトリ配下に監査ログ管理ポリシー情報ファイルを出力します。 4. ポリシー登録するファイルの内容を修正します。 mpatmpconv(監査ログ管理ポリシー情報変換コマンド)で作成されたファイルの内容を確認してください。 設定内容を変更する場合は、テキストエディタを使用して、変更するパラメタ値のみ更新します。 移出したノードの設定を、そのままポリシー登録する場合は更新は不要です。 5. ポリシーを登録します。 運用管理サーバでmpatmpset(監査ログ管理ポリシー移入コマンド)を実行します。 ポリシー登録後、ポリシー配付を行うことにより、ポリシーが指定したノードに適用されます。ポリシー登録、ポリシー 配付については、“ポリシーを登録する”および“ポリシーを配付する”を参照してください。 ポリシーを配付する 全体監視(Systemwalkerプロトコル)運用している場合、全体監視サーバから、自部門のノードへのポリシー配付はでき ません。 [Systemwalkerコンソール]を起動する [Systemwalkerコンソール]を起動します。 [Systemwalkerコンソール]の起動については、“Systemwalker Centric Manager 使用手引書 監視機能編”の“設定の各 手順”を参照してください。 ポリシー配付画面を起動する ポリシー配付画面は、以下の2とおりの方法で起動することができます。 - 159 - ・ [Systemwalkerコンソール]の[ポリシー]メニューから起動する 1. [Systemwalkerコンソール]の[ポリシー]メニューから、[セキュリティ]-[ポリシーの配付]を選択します。 →[ポリシーの配付]画面が表示されます。 ・ [ポリシーの配付状況]画面の[配付]メニューから起動する 1. [Systemwalkerコンソール]の[ポリシー]メニューから、[セキュリティ]-[ポリシーの配付状況]を選択します。 →[ポリシーの配付状況]画面が表示されます。 2. [配付]メニューの[全て]、または[選択したコンポーネントのみ]を選択します。 配付待ち、および配付に失敗したすべてのポリシーを配付する場合は、[全て]を選択します。 [ポリシーの配付状況]画面左側のツリー、または画面右側のリストから選択した特定のコンポーネントの配付待 ち、および配付に失敗したポリシーを配付する場合は、[選択したコンポーネントのみ]を選択します。 →[ポリシーの配付]画面が表示されます。 ポリシーを配付する 1. [ポリシーの配付]画面で[OK]ボタンをクリックすると、配付が開始します。 2. ポリシーの配付をキャンセルする場合は、[キャンセル]ボタンをクリックします。 ポリシーの配付のキャンセルは数十秒かかる場合があります。複数のポリシーを配付しているときに[キャンセル]ボ タンがクリックされた場合、すでに配付が完了したポリシーはキャンセルされません。 3. ポリシーの配付状況の詳細を表示する場合は、[詳細]ボタンをクリックします。 注意 ポリシー配付中に[ポリシーの配付状況]ダイアログボックスを強制的に終了しないでください。強制終了すると、ポリシー 配付を実行するプロセスが滞留し、以降のポリシー配付ができなくなる場合があります。 ポリシーの配付状況を確認する ・ ポリシーの配付に成功した場合 配付終了のメッセージを表示し、[ポリシーの配付]画面が自動的に終了します。ポリシーの配付結果は[ポリシーの 配付状況]画面で確認します。 - 160 - ・ ポリシーの配付に失敗した場合 エラーダイアログボックスが表示されます。エラーダイアログボックスのボタンをクリックし、[ポリシーの配付状況]画面 を表示してください。 1. [ポリシーの配付状況]画面を起動します。 [Systemwalkerコンソール]の[ポリシー]メニューから、[監視]-[ポリシーの配付状況]を選択します。ポリシーを配付 する前から[ポリシーの配付状況]画面を起動している場合は、[ポリシーの配付状況]画面の[リフレッシュ]メニュー を選択し、画面の情報を更新してください。 2. 配付の成功を確認します。 [ポリシーの配付状況]画面の左側ツリーで、[配付済み(配付成功)]を展開し、配付したコンポーネントを選択しま す。画面右側のリストに配付したポリシーの情報が表示さると配付成功です。 3. 配付の失敗を確認します。 [ポリシーの配付状況]画面の左側ツリーで、[配付失敗]を展開し、配付したコンポーネントを選択します。画面右 側のリストに、配付したポリシーの情報が表示された場合は配付が失敗しています。右側のリストの[配付結果]に 表示されているエラーコードを参照し、配付が失敗した原因を特定して対処を行ってください。 [配付結果]に表示されているエラーコードの詳細については、[ポリシーの配付状況]画面の“Systemwalker Centric Manager オンラインヘルプ”、または“Systemwalker Centric Manager メッセージ説明書”の“[ポリシーの配付状況] 画面に表示されるエラーコード一覧”を参照してください。 注意 ・ 配付が完了したポリシーを取り消すことはできません。ポリシー配付前の状態に戻す可能性がある場合は配付前の ポリシーの設定状況を確認しておいてください。 - 161 - ・ Systemwalker Centric Managerインストールディレクトリ配下に、作業用ファイルを格納しないでください。格納した場 合は、配付エラー(アクセスエラー)となり、ポリシー配付に失敗する場合があります。 中継サーバ上の被管理サーバのログ収集を定義する 中継サーバを設定した場合は、中継サーバ上の被管理サーバのログ収集定義を行います。 中継サーバでは被管理サーバから収集したログを中継サーバ上の格納ディレクトリに保管しています。そのログを運用 管理サーバに収集するように中継サーバに定義を行います。本設定は通常中継サーバごとに管理する被管理サーバが 異なるため、個別に設定する必要があります。本設定については、“中継サーバを利用するための設定”を参照してくだ さい。 注意事項 ・ 監査ログ管理のポリシーを配付する場合、ポリシーを設定する運用管理サーバとポリシーを配付するサーバには、 V13.2.0以降のSystemwalker Centric Managerが必要です。 ポリシーを配付するサーバがV13.2.0以前の場合はポリシーを配付しません。 ・ HP-UX、AIXの場合、syslogへの日本語出力をサポートしていない環境があります。 - HP-UX版 - AIX版(SJIS環境) 上記環境の被管理サーバに対し監査ログ管理のポリシー配付を行った場合、[Systemwalkerコンソール]の[ポリシー の配付状況]画面の[アプリケーションメッセージ]欄に出力する監査ログ管理のメッセージ(mpatmで始まるもの)は英 語で出力します。 ・ mpbcmpolmode (監視ポリシー管理形式の変更コマンド)で、監視ポリシーの管理形式を切り替えた場合、ポリシーの 再登録後、ポリシーを再配付してください。 監視ポリシーの管理形式を切り替える手順については、“Systemwalker Centric Manager 導入手引書”の“ポリシー 設定について”を参照してください。 10.5.4 収集対象のログの定義 ここでは、以下の説明を行います。 ・ 収集するログファイルの定義 ・ Systemwalker Centric Managerのリモートコマンド検索ログの定義 ・ Systemwalker Desktop Keeperのバックアップコマンドによるクライアント操作ログの収集定義 ・ ETERNUS NR1000F seriesイベントログを収集するための設定 ・ JIS2004に対応したログの定義 収集するログファイルの定義 ログ識別名 Systemwalker Centric Managerインストール時には、以下のログファイルがあらかじめ登録されており、以下のログファイ ルの収集を行う場合は、新規登録は不要です。また、新たにログ収集を行う場合、すでに登録済みのログ識別名の割り 当ては行わないでください。 ただし、運用管理クライアントは、一覧と異なり、イベントログ(アプリケーション、セキュリティ、システム、Systemwalkerコン ソールの監査ログ)が登録されています。Systemwalkerコンソールの監査ログを収集する場合は、ログ収集の有無が"し ない"になっているため、mpsetlogsend_swgui(Systemwalkerコンソール監査ログ収集設定コマンド)で設定してから行っ てください。 - 162 - ログファイル ログ識別名 ロ グ 収 集 の 有 無 イベントログ アプリケーション EventLogApplication す る セキュリティ EventLogSecurity す る システム EventLogSystem す る DNS Server EventLogDNSServer す る Directory Service EventLogDirectoryService す る ファイル複製サービス EventLogFileRepService す る DFSレプリケーション EventLogDFSReplication す る ハードウェア イベント EventLogHardwareEvents す る 転送された イベント EventLogForwardedEvent s す る Microsoft-Windows-Hyper-V-Config-Admin EventLogHVCfgAdmin す る Microsoft-Windows-Hyper-V-Config-Operational EventLogHVCfgOpe す る Microsoft-Windows-Hyper-V-High-Availability-Admin EventLogHVHAAdmin す る Microsoft-Windows-Hyper-V-Hypervisor-Admin EventLogHVHyAdmin す る Microsoft-Windows-Hyper-V-Hypervisor-Operational EventLogHVHyOpe す る Microsoft-Windows-Hyper-V-Image-Management-Service-Admin EventLogHVIMSAdmin す る Microsoft-Windows-Hyper-V-Image-Management-ServiceOperational EventLogHVIMSOpe す る Microsoft-Windows-Hyper-V-Integration-Admin EventLogHVIntAdmin す る Microsoft-Windows-Hyper-V-Network-Admin EventLogHVNetAdmin す る Microsoft-Windows-Hyper-V-Network-Operational EventLogHVNetOpe す る Microsoft-Windows-Hyper-V-SynthNic-Admin EventLogHVSNAdmin す る - 163 - ログファイル ログ識別名 ロ グ 収 集 の 有 無 Microsoft-Windows-Hyper-V-SynthStor-Admin EventLogHVSSAdmin す る Microsoft-Windows-Hyper-V-SynthStor-Operational EventLogHVSSOpe す る Microsoft-Windows-Hyper-V-VMMS-Admin EventLogHVVMMSAdmi n す る Microsoft-Windows-Hyper-V-Worker-Admin EventLogHVWAdmin す る Microsoft-Windows-Hyper-V-SynthFc-Admin EventLogHVSFAdmin す る Microsoft-Windows-Hyper-V-VID-Admin EventLogHVVIDAdmin す る Microsoft-Windows-Hyper-V-VMMS-Networking EventLogHVVMMSNet す る Microsoft-Windows-Hyper-V-VMMS-Operational EventLogHVVMMSOpe す る Microsoft-Windows-Hyper-V-VMMS-Storage EventLogHVVMMSSto す る Solarisシステムログ SolarisSyslog す る Linuxシステムログ LinuxSyslog す る Solaris suログ SolarisSuLog す る Solarisログインログ SolarisLoginLog す る HP-UXシステムログ HPUXSyslog す る HP-UX suログ HPUXSuLog す る AIXシステムログ AIXSyslog す る AIX suログ AIXSuLog す る CMGRCmdRevLog し な い IISNCSALog し な い UNIXシステムログ Systemwalker Centric Manager リモートコマンド検索コマンド結果のログ IISログ NCSA 共通ログファイル形式 - 164 - ログファイル ログ識別名 ロ グ 収 集 の 有 無 Microsoft IIS ログファイル形式 IISLog し な い W3C拡張形式 IISW3CLog し な い アクセスログ NCSA 形式 ApacheAccessLog し な い エラーログ ApacheErrorLog し な い OracleListenerLog し な い Apacheログ ORACLE LISTENER ログ 予約語 監査ログ管理機能は、以下のキーワードを監査ログ管理機能のログ識別に関する予約語としています。 ・ DTK ・ EventLog ・ MpAtm ・ CMGRCmdRevLog ・ CMGROpLog ・ CMGRSvacLog ・ CMGRSVOpLog ・ NREventLog ・ OMGRLog ・ GS ・ IS ・ SYM 予約語は、次のログファイルを収集する場合に使用します。 予約語 ログファイル DTK Systemwalker Desktop Keeperのログファイル(注1) EventLog イベントログ※1 CMGRCmdRevLog Systemwalker Centric Manager リモートコマンド検索コマンド結果のログ CMGROpLog [Systemwalkerコンソール]の監査ログ - 165 - 予約語 ログファイル CMGRSvacLog サーバアクセス制御の監査ログ CMGRSVOpLog サーバ操作制御の監査ログ(注3) NREventLog ETERNUS NR1000F seriesイベントログ OMGRLog Systemwalker Operation Managerの操作ログ GSRACF GSシステムのアクセス(RACF)ログ(注2) GSAIM GSシステムの業務(AIM)ログ (注2) 注1)ログ識別名は、予約語とログファイルを識別する文字列を組み合わせて指定します。 例: ・ DTKの印刷操作ログの場合 DTKPrintLog (予約語 "DTK"、識別文字列 "PrintLog" ) ・ DTKのファイル操作ログの場合 DTKFileOpLog (予約語 "DTK"、識別文字列 "FileOpLog" ) 注2)ログ識別名は、予約語とGSシステムを識別する文字列を組み合わせて指定します。 例: ・ GSシステムのアクセス(RACF)ログの場合 GSRACFOsaka (予約語 "GSRACF"、識別文字列 "Osaka" ) ・ GSシステムの業務(AIM)ログの場合 GSAIMOsaka (予約語 "GSAIM"、識別文字列 "Osaka" ) 注3) 旧バージョンのシステムで収集されたサーバ操作制御の監査ログ Systemwalker Centric Managerのリモートコマンド検索ログの定義 監査ログ管理機能は、テキストログ収集時にSystemwalker Centric Managerのリモート検索コマンドを実行し、テキストロ グに変換したログを収集することができます。設定方法について以下に示します。 リモートコマンドログを収集する場合(リモートコマンド検索コマンド) システム監視機能が設定済みのサーバ上で、opacmdrev(リモートコマンド検索コマンド)を実行することで、リモートコマ ンドログを収集することができます。リモートコマンド検索コマンドは、運用管理サーバ上で実行した場合、リモートコマン ド実行先にかかわらずリモートコマンドを実行したログ履歴一覧が取得できます。 リモートコマンドログを収集したいサーバ上で、以下のコマンドを実行し収集対象に定義します。 設定例:運用管理サーバ上で以下のコマンドを実行し、「opacmdrev」を定義します。 【Windows版】 mpatmlogapdef REP -A CMGRCmdRevLog -E YES -X YES -L "収集ファイル名" -O "opacmdrev.exe" 【UNIX版】 mpatmlogapdef REP -A CMGRCmdRevLog -E YES -X YES -L "収集ファイル名" -O "opacmdrev" ※-Lオプションに指定するログファイル名については、一時ファイルとなります。そのため、そのファイルにはログは蓄積 されません。 - 166 - →ログ収集実行の前に実行するコマンドにopacmdrev(リモートコマンド検索コマンド)が設定されます。 mpatmlogapdef(ログ収集設定コマンド)、opacmdrev(リモートコマンド検索コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 複数のサーバから、Systemwalker Centric Managerリモートコマンド検索コマンドのログを収集する場合は、ログ収集の前 にリモートコマンドが実行されるようスケジュール登録してください。 Systemwalker Desktop Keeperのバックアップコマンドによるクライアント操作ログの収集定義 Systemwalker Desktop Keeperのバックアップコマンドによるクライアント操作ログの収集については、以下のURLに公開 されているマニュアル“Systemwalker Centric Manager 連携ガイド Systemwalker Desktop Keeper編”を参照してください。 http://software.fujitsu.com/jp/technical/systemwalker/centricmgr/ ETERNUS NR1000F seriesイベントログを収集するための設定 ETERNUS NR1000F series装置をWindows版の被管理サーバや運用管理サーバにファイル共有することにより、 ETERNUS NR1000F seriesが出力するイベントログファイルを収集することができます。 この場合、ETERNUS NR1000F series側では、被管理サーバにて監査ログ管理がアクセス可能なユーザIDとパスワード が事前に登録されている必要があります。 監査ログ管理がアクセス可能なユーザIDとパスワードは、収集対象のETERNUS NR1000F seriesすべて同じものを登録 してください。 ETERNUS NR1000F seriesが出力するイベントログファイルの出力パターンは以下のとおりです。 出力パターン 説明 単一ファイル 固定ファイル名で出力します。 例:adtlog.evt ETERNUS NR1000F seriesのデフォルトは単一ファイルで上記名称とな ります。 複数ファイル (数字付加) 固定ファイル名に数字が付加されます。新しいファイルから順番に番号 が付加されます。最新のファイルには番号は付加されません。 例:(古い順) adtlog2.evt adtlog1.evt adtlog.evt - 167 - 出力パターン 説明 複数ファイル (タイムスタンプ付 加) 固定ファイル名にタイムスタンプ(YYYYMMDDHHMMSS)が付加され ます。 例:(古い順) adtlog20060621000000.evt adtlog20060622000000.evt adtlog20060623000000.evt ※複数ファイルの最大数は1~999の範囲で指定が可能です。 設計 通常のテキストログ収集の設計に加え、以下のことを設計します。 ・ どのWindowsの被管理サーバに対してファイル共有をさせるか ・ ETERNUS NR1000F series側の機器名の確認 ・ ファイル共有をUNC名で行う場合の接続情報(サーバ名、IPアドレス、共有名、ユーザID、パスワード)の確認 ・ ETERNUS NR1000F series側で登録する監査ログ管理がアクセス可能なユーザIDとパスワードか 設定手順 監査ログ管理でETERNUS NR1000F seriesが出力するイベントログファイルを収集する場合、以下の手順で行います。 1. 被管理サーバでmpatmaccdef(共有リソース接続ユーザ設定コマンド)を実行し、共有リソースにアクセスするための ユーザIDとパスワードの設定を行います。パスワードはユーザIDを入力後に入力します。 例)接続ユーザを設定する場合 mpatmaccdef REP -U audituser Enter password :****** Re-Enter password:****** mpatmaccdef(共有リソース接続ユーザ設定コマンド)については、“Systemwalker Centric Managerリファレンスマ ニュアル”を参照してください。 2. 被管理サーバで、mpatmlogapdef(ログ収集設定コマンド)を実行し、ETERNUS NR1000F seriesが出力するイベン トログファイルを収集する定義を行います。ETERNUS NR1000F seriesが複数台存在する場合は、ログ識別名を区 別して定義を行う必要があります。 mpatmlogapdef(ログ収集設定コマンド)については、“Systemwalker Centric Manager リファレンスマニュアル”の “mpatmlogapdef(ログ収集設定コマンド)”を参照してください。 以下に例を示します。例中では、ETERNUS NR1000F seriesの機器名を“Fileserver1”としています。 イベントログファイルが単一ファイルの場合 単一ファイル名としてファイルのフルパス名を指定してください。 例) mpatmlogapdef ADD -A NREventLog001 -L \\192.168.0.2\etc\log\adtlog.evt -N Fileserver1 イベントログファイルが複数ファイル(数字付加)の場合 複数ログファイルであることの -M パラメタに数字付加なので降順(“DESC”)を指定します。 収集対象ログファイル名には、ETERNUS NR1000F seriesが出力するイベントログファイルが複数のため、数字付 加部分をワイルドカードに置き換えて指定します。 例) - 168 - mpatmlogapdef ADD -A NREventLog001 -M DESC -L \\192.168.0.2\etc\log \adtlog*.evt -N Fileserver1 イベントログファイルが複数ファイル(タイムスタンプ付加)の場合 複数ログファイルであることの -M パラメタにタイムスタンプ付加なので昇順(“ASC”)を指定します。 ETERNUS NR1000F seriesが出力するイベントログファイルが複数のため、収集対象ログファイル名には、タイムス タンプ付加部分をワイルドカードに置き換えて指定します。 例) mpatmlogapdef ADD -A NREventLog001 -M ASC -L \\192.168.0.2\etc\log \adtlog*.evt -N Fileserver1 3. 運用管理サーバ上で格納ディレクトリの設定をmpatmtrsdef(ファイル転送情報定義コマンド)で実行します。 4. 運用管理サーバ上で、被管理サーバに対してmpatmlog(ログ収集コマンド)を実行します。 ログ収集実行中に、ETERNUS NR1000F seriesのネットワーク接続が切断された場合は、ログ収集はエラーとなり ます。 JIS2004に対応したログの定義 通常、Windows上のログは収集する際、収集対象ログをSJISとして収集します。 下記のWindows OSで、JIS2004で出力しているログを収集する場合、以下のようにmpatmlogapdef(ログ収集設定コマン ド)に“-C W”を指定して、ログファイルを収集する定義を行います。 対象のWindows OS: ・ Windows 8 ・ Windows 7 ・ Windows Vista ・ Windows Server 2012 ・ Windows Server 2008 STD/Windows Server 2008 DTC/Windows Server 2008 EE/Windows Server 2008 Foundation/ Windows Server 2008 R2 mpatmlogapdef ADD -A Applog -L "C:\Log\Applog" -F "C:\Systemwalker \MpWalker.DM\mpatm\fmt\mpatmevt.fmt" -C W mpatmlogapdef(ログ収集設定コマンド)については、“Systemwalker Centric Manager リファレンスマニュアル”を参照して ください なお、JIS2004に対応したログは、条件により正常にログ収集されない場合があります。 以下の表で、○の条件の場合、JIS2004に対応したログが正常に収集できます。 運用管理サーバ 中継サーバ ログ収集設定時の文字コード "-C W"を設定 "-C S"を設定 V13.2.0以前 × 文字コードは指定できません。SJISのログとして収集されます。 V13.3.0以降 ○ × SJISのログとして収集されます。 10.5.5 収集対象のサーバを限定する 運用管理サーバ-被管理サーバ(部門管理サーバ/業務サーバ)間でログ収集を行う場合、被管理サーバ上の接続 可能一覧ファイルに、接続元運用管理サーバの情報(サーバ名、またはIPアドレス)を記述することで収集対象の運用管 理サーバをチェックし、指定した運用管理サーバ以外からの収集を抑止することができます。 - 169 - インストール後のデフォルトの設定では、ログ収集できません。必ず、接続可能一覧ファイル(mpatmconnect.ini)で収集 対象のサーバを設定してください。 どこの運用管理サーバからでもログ収集を可能とする場合は、接続可能一覧ファイル(mpatmconnect.ini)を削除してくだ さい。 なお、接続可能一覧ファイル(mpatmconnect.ini)の設定は、テキストエディタによる手動での編集とポリシーによる設定方 法があります。 接続可能一覧ファイルを作成する 接続元運用管理サーバの情報を記述したテキストファイル(接続可能一覧ファイル)はインストールされています。インス トール直後は、"*"が設定されており、"*"行が存在するとログ収集ができません。そのため、収集を行う前に必ず接続可 能一覧ファイルを編集する必要があります。本ファイルが存在しない場合は、収集対象の運用管理サーバのチェックは 行いません。 ファイルを格納するサーバ 運用管理サーバのチェックを実施したい被管理サーバ上で設定します。 接続可能一覧ファイルの格納場所 Windows Systemwalkerインストールディレクトリ\MPWALKER.DM\MpAtm\etc \mpatmconnect.ini UNIX /etc/opt/FJSVmpatm/data/mpatmconnect.ini ファイル形式 テキスト形式で、1行1ノード名(運用管理サーバのホスト名、またはIPアドレス)を記述します。 ノード名1↓ ノード名2↓ ↓:改行 注意事項 ・ mpatmlog(ログ収集コマンド)に運用管理サーバのIPアドレス(部門管理サーバ/業務サーバから運用管理サーバへ 通信が可能な運用管理サーバのIPアドレス)を指定してログ収集を行う場合は、ノード名にログ収集コマンドに指定 する運用管理サーバのIPアドレスを必ず指定してください。 ・ ノード名には、“TCP/IP”通信が可能なノード名を指定してください。 “TCP/IP”通信ができないノード名を指定した場合は、運用管理サーバのチェックはエラーとなり、ログ収集は行いま せん。 ・ ノード名にはホスト名、またはIPアドレスを指定してください。ホスト名を指定する場合は、128バイト以内の文字列を 指定してください。 ・ 収集対象の運用管理サーバ接続元のIPアドレスが、接続可能一覧ファイルに指定されていない場合は、「mpatm: エラー: 661」が出力され、ログ収集は行いません。 ・ 接続可能一覧ファイルに記述されている"*"の行よりも前に、ログ収集を行ったサーバのノード名またはIPアドレスが 登録されている場合は、収集可能となります。 ・ 中継サーバを利用した環境で本機能を利用する場合は、運用管理サーバではなく、中継サーバのノード名を指定 してください。 10.5.6 収集したログファイルを二次媒体装置へ複写するための設定 運用管理サーバに収集したログファイルをログファイルの保全などのために、格納ディレクトリから二次媒体装置へ複写 するための設定方法を説明します。二次媒体には、以下の装置が利用できます。 - 170 - ・ ディスクアレイ装置 ETERNUS NR1000F series ・ ファイルコピー先がファイルパスとして見える装置 なお、TAPE装置への複写は、TAPE装置へ書き込みを行うソフトウェアで行ってください。 設定手順 ログ収集から二次媒体装置への複写を行うために、運用管理サーバ上で以下の操作を行います。 ・ 二次媒体複写のデフォルトの複写先ディレクトリを定義するため、mpatmmediadef(収集ログ二次媒体複写先設定コ マンド)を実行します。 mpatmmediadef REP -D 複写先ディレクトリ 複写先ディレクトリは格納ディレクトリと同じにはできません。 また、UNIX環境でNFSマウントしたネットワーク上のパスを複写先ディレクトリに指定する場合は、事前に問題なくパ スにアクセスできることを確認してください。ファイルサーバのダウンなどが原因でパスが利用できない場合、NFSタイ ムアウトが発生するまで処理が終了しません。 10.5.7 中継サーバを利用するための設定 監査ログ管理では、被管理サーバの台数が多く、業務停止中にすべての収集処理を完了させたい場合に中継サーバ を利用します。特に収集処理に費やす時間を意識した収集を行う場合に有効です。中継サーバ上に収集した業務サー バのログは、業務には関係なくなるため、業務運用中のバックグラウンドで運用管理サーバにログ収集することもできま す。 部門管理サーバまたは業務サーバを、ログ収集の中継サーバとして利用できます。 中継サーバを利用した場合のログ収集の設定 中継サーバを利用する場合、被管理サーバの台数が多く、遠隔地のサーバが含まれることが考えられます。監査ログ管 理のログ収集を行うためには、中継サーバを含む被管理サーバの収集設定が必要です。効率よく設定するには、被管 理サーバの収集設定は運用管理サーバからのポリシーにより行い、中継サーバの設定はリモートコマンドによるコマンド 投入で行います。 監査ログ管理では、以下のようにサーバ種別を定義し、中継サーバを置くことで、階層構造のログを収集できます。 サーバ種別 説明 運用管理サーバ ログ収集対象サーバから収集したログを一括管理するサー バ(ログ収集対象サーバの機能も含んでおり、運用管理サー バ上にあるログ収集もできます) 被管理サーバ ログ収集対象となるサーバ (部門管理サーバ/業務サー バ/運用管理クライアント) 中継サーバ (運用管理サーバ/部門管理 サーバ/業務サーバ)(注) ログ収集対象サーバから収集したログを一時的に管理す るサーバ(運用管理サーバと被管理サーバの機能を含んで います) 運用管理サーバから中継サーバ上のログを収集すること で、運用管理サーバ上でログを一括管理します。 注) 運用管理サーバを中継サーバとして利用できるのは、全体監視サーバ運用を行った場合だけです。 中継サーバにできるサーバは、V13.2.0以降の運用管理サーバ、部門管理サーバ、または業務サーバです。 運用管理サーバ上の設定 通常の運用管理サーバと同様に運用管理サーバ側の設定を行います。 - 171 - 運用管理サーバ側の設定については、“監査ログ管理の設定例”を参照してください。 中継サーバ上の設定 中継サーバとする部門管理サーバ/業務サーバのサーバ環境に応じて、以下の設定方法があります。 ・ 中継サーバの設定を直接設定する場合 設定方法については、“中継サーバ側の設定”を参照してください。 ・ 中継サーバの設定を直接設定できない場合 以下の手順で設定します。 1. 中継サーバとする部門管理サーバ、業務サーバに対して[Systemwalkerコンソール]からリモートコマンドを利 用して中継サーバの設定を行います。 リモートコマンドで以下のコマンドを実行してください。 - 中継サーバの設定 mpatmsvrtypedef REP -R mpatmsvrtypedef(サーバ種別設定コマンド)の詳細については、“Systemwalker Centric Managerリファレン スマニュアル”を参照してください。 - 格納ディレクトリの設定 mpatmtrsdef REP -S 格納ディレクトリ mpatmtrsdef(ファイル転送情報定義コマンド)の詳細については、“Systemwalker Centric Managerリファレ ンスマニュアル”を参照してください。 - 被管理サーバから収集したログを運用管理サーバに転送するための定義 mpatmlogapdef ADD -A ログ識別名 -M ASC -L 収集 対象ログファイル名 mpatmlogapdefコマンドに指定するログ識別名には、被管理サーバと同一のログ識別名を設定する必要 はありません。任意のログ識別名を指定してください。 また、収集対象ログファイル名の文字コードには、監査ログ管理で収集したログファイル名に付加されてい る文字コードを指定します。収集したログファイル名については、“監査ログの一覧を参照する”を参照して ください。 収集対象ログファイル名の設定方法や注意事項については、“収集対象ログファイル名の指定方法”を参 照してください。 2. 収集対象サーバの設定を行います。 収集対象サーバの設定については、“収集対象のサーバを限定する”を参照してください。収集対象のサー バは、運用管理サーバを指定してください。 被管理サーバ上への設定 設定するサーバ環境に応じて、以下の設定方法があります。 ・ 被管理サーバの設定を直接設定する場合 設定方法については、“被管理サーバ側の設定”を参照してください。 ・ 被管理サーバの設定台数が多くまとめて設定したい場合や直接設定できない場合 以下の設定方法があります。 - Systemwalkerのポリシー機能を利用した収集設定を行います。 ポリシー機能を利用した収集設定については、“ポリシーを使用して設定する”を参照してください。 - 172 - - Systemwalkerのリモートコマンドを利用した収集設定を行います。 [Systemwalkerコンソール]からリモートコマンドを利用して、設定対象のサーバに対して監査ログ管理の設定コマ ンドを実行します。 収集対象サーバの設定については、“収集対象のサーバを限定する”を参照してください。収集対象のサーバは、中継 サーバを指定してください。 ログ収集の実行 ログ収集は、以下の方法があります。 各サーバ上で収集コマンドを実行 1. 被管理サーバのログを中継サーバ上に収集します。 中継サーバ上で、mpatmlog(ログ収集コマンド)を実行します。 mpatmlog(ログ収集コマンド)については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してくだ さい。 mpatmlog -H 被管理サーバ 2. 中継サーバ上に収集した被管理サーバのログと中継サーバ自身のログを運用管理サーバ上に収集します。 運用管理サーバ上で、mpatmlog(ログ収集コマンド)を実行します。 mpatmlog -H 中継サーバ Systemwalker Operation Manager等のスケジューラ機能を持った製品でログ収集する場合は、中継サーバ上の収 集の後に、運用管理サーバ上の収集が開始する設定にしてください。 例: 中継サーバ上で22:00にログ収集を実行し、23:00までに完了する場合は、23:00以降に運用管理サーバ上でログ 収集を実行するように設定します。 運用管理サーバ上で収集コマンドを実行 運用管理サーバ上に中継サーバおよび被管理サーバのログを収集する場合、運用管理サーバ上で以下の手順を行い ます。 1. 中継サーバ上からの被管理サーバのログ収集をリモートコマンドで実行します。被管理サーバごとに実行します。 mpatmlog -H 被管理サーバ 被管理サーバ名は、[Systemwalkerコンソール]上で確認します。 2. 中継サーバ上に収集した被管理サーバのログと中継サーバ自身のログを運用管理サーバ上に収集します。 mpatmlog -H 中継サーバ Systemwalker Operation Manager等のスケジューラ機能を持った製品でスケジュールしてログ収集する場合は、中 継サーバ上の収集の後に、運用管理サーバ上の収集が開始する設定にしてください。 また、リモートコマンドをスケジュールする場合、リモートコマンドを直接スケジュールすることはできません。そのた め、リモートコマンドを使用したコマンドを作成してください。 コマンドの作成には、“Systemwalker Centric Manager API・スクリプトガイド”の“リモートコマンドのAPIを使用した サンプルプログラム”を参照してください。 中継サーバ上のログの削除 運用管理サーバ上に収集した被管理サーバのログを中継サーバ上の格納ディレクトリから削除する場合は、以下の手 順で行うことにより、収集→二次媒体退避→削除の一連の操作として実施することができます。 - 173 - 1. 中継サーバに収集した被管理サーバのファイル名から削除したい日付だけを対象とした削除するスクリプトを作成 します。 中継サーバの格納ディレクトリに収集したファイル名は、以下の形式です。日付フィールドを可変として作成しま す。 被管理サーバ名_ログ識別名_文字コード_YYYYMMDD.log 2. 削除する場合は、収集したログファイルを二次媒体へ退避し、不要になったことを確認した上で実施する必要があ ります。そのため、収集→二次媒体退避の操作後に削除するスケジュールを組み込むことで、一連の操作として 実施できます。 ただし、収集や二次媒体退避が失敗した場合に実施してしまうと必要なログを削除してしまう可能性があります。そ のため、収集や二次媒体退避が成功した場合だけ実施してください。 注意事項 ・ 中継サーバから運用管理サーバに対してログ収集を実行するとエラーになります。 ・ 格納ディレクトリ上のログファイルは、複数の運用管理サーバから収集される可能性があるため、運用管理サーバへ 収集しても削除しません。そのため、不要になった時点で削除する必要があります。 ログを削除する場合は、収集したログファイルを二次媒体へ退避し、不要になったことを確認した上で削除してくださ い。 ・ 格納ディレクトリを変更する場合は、収集対象ログファイルに格納ディレクトリ配下を指定したログファイル名も変更す る必要があります。 ・ ポリシーを利用して収集対象サーバの設定を行う場合、運用管理サーバから最下位層のサーバに対しては、最下 位層が所属するサーバを設定するようにしてください。中継サーバには、中継サーバが所属するサーバを設定して ください。収集対象サーバの設定については、“収集対象のサーバを限定する”を参照してください。 ・ 被管理サーバから収集したログも、収集期間内に運用管理サーバからログ収集を実施してください。収集期間外に なったログは、収集対象外となります。 10.5.8 カスタムイベントログを収集するための設定 Systemwalker Centric Managerの監査ログ管理機能でカスタム イベントログを収集する設定方法を説明します。 カスタム イベントログ名を確認する カスタム イベントログの一覧を出力し、確認します。 監査ログの収集を設定する 収集したいカスタム イベントログのログ収集を設定します。 カスタム イベントログ名を確認する カスタム イベントログの収集を行いたいサーバ上で、カスタム イベントログ名を確認します。 1. Windowsの[コマンドプロンプト]を右クリックし、[管理者として実行]を選択します。 →[管理者: コマンドプロンプト]が表示されます。 2. コマンドプロンプトで以下のコマンドを実行します。 wevtutil.exe el - 174 - 3. 実行結果一覧から監査ログ収集するカスタム イベントログ名を確認します。 カスタム イベントログ名は、1行に表示されるすべての文字列が該当します。 4. 監視対象とするカスタム イベントログの種類が収集できるかを確認します。 以下のコマンドを実行した結果、typeが“Admin”、または“Operational”と表示されるものが、収集可能なカスタム イベントログです。 wevtutil.exe gl カスタムイベントログ名 例) “Microsoft-Windows-Application-Experience/Program-Inventory”を指定した場合の例です。 - 175 - typeに“Operational”と表示されたため、収集可能なカスタム イベントログであることを確認できます。 監査ログの収集を設定する 収集するカスタム イベントログをログ収集するための設定を行います。ログ収集の設定は、収集対象サーバで行います。 1. 以下のファイルをテキストエディタで開きます。 Systemwalkerインストールディレクトリ\MPWALKER.DM\mpatm\etc \mpatm_eventlog.def 2. 収集するカスタム イベントログのログ識別名とカスタム イベントログ名を以下の形式で追加します。 ログ識別名<タブ>カスタムイベントログ名 ログ識別名: “EventLog”で始まる文字列を、ASCII(80文字以内)で指定します。 半角英数字、および“-”(ハイフン)以外の文字列を指定しないでください。 カスタムイベントログ名: “カスタム イベントログ名を確認する”で確認した、カスタム イベントログ名から追加するものを定義します。 【条件】 - 文字コードは、Shift-JISで定義します。 - 1行1イベントログで定義します。 - 各項目区切り文字は必ずタブを使用します。半角空白は利用できません。 - 176 - - 本定義ファイルは削除しないでください。 - 既存の定義は変更しないでください。OSのイベントログ収集ができなくなります。 - 本定義は、バージョンアップ、バックアップ・リストアの対象とはなっていません。バージョンアップ、バックアッ プ・リストア時には再設定してください。 例) “Microsoft-Windows-Application-Experience/Program-Inventory”のカスタム イベントログを定義する場合 mpatm_eventlog.defファイル EventLogApplication Application EventLogSystem System … EventLogHVVMMSSto Microsoft-Windows-Hyper-V-VMMS-Storage NREventLog Security EventLogMWAEPI Microsoft-Windows-Application-Experience/Program-Inventory 3. mpatmlogapdef(ログ収集設定コマンド)により、ログ収集の定義を行います。 mpatmlogapdef(ログ収集設定コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュア ル”を参照してください。 例) “Microsoft-Windows-Application-Experience/Program-Inventory”のカスタム イベントログを定義する場合 mpatmlogapdef ADD -A EventLogMWAEPI -L “Systemwalkerインストールディレクトリ \MPWALKER.DM\mpatm\EventLog\EventLogMWAEPI” 【条件】 - ログ識別名は、手順2で追加した文字列を指定してください。 - ログファイル名は、イベントログを出力する任意の一時ファイル名を指定してください。 ただし、一時ファイル名のパスは存在する必要があります。 - 日付書式定義ファイル名は、ログ識別名に“EventLog”で始まる文字列を指定することにより、“mpatmevt.fmt” がデフォルト定義されます。 10.6 監査ログを収集する ログファイルを収集・管理する手順を説明します。 監査ログを収集する 監査ログを収集する手順を説明します。 以下のコマンドを実行し、指定したサーバ(部門管理サーバ、業務サーバ、運用管理サーバ、運用管理クライアント)に 対してログの収集を行います。 mpatmlog -H サーバ名 [部門管理サーバ/業務サーバ/運用管理クライアントから運用管理 サーバへ通信が可能な運用管理サーバのIPアドレス] 特定のログ識別名だけを収集したい場合は、mpatmlog(ログ収集コマンド)のオプション(-A)でログ識別名を指定します。 →指定したサーバに対してログを収集します。 mpatmlog(ログ収集コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してく ださい。 収集を行う際の注意事項 - 177 - ログ収集を確実に行うためには、運用管理サーバ、および指定したサーバ(部門管理サーバ、業務サーバ、運用管理ク ライアント)の双方とも、互いのホスト名の名前解決がされていることを確認してください。 部門管理サーバ/業務サーバ/運用管理クライアントから運用管理サーバへ通信が可能な運用管理サーバのIPアドレス の指定について 以下の条件の場合に指定する必要があります。 ・ 運用管理サーバがインストールされているシステムが複数のIPアドレスを持っており、被管理サーバ(部門管理サー バ、業務サーバ、運用管理クライアント)から運用管理サーバとの通信を行っているIPアドレスを特定したい場合 NAT構成でログを収集する場合は、“Systemwalker Centric Manager NAT適用ガイド”を参照してください。 構成例を以下に示します。 ログの収集結果を確認する ログ収集の結果は、イベントログやsyslogに以下のメッセージが出力されます。 [Systemwalkerコンソール]を使用することで、ログ収集の結果を知ることができます。 状況 メッセージ ログ収集が正常終了 (情報)mpatm: 情報: 121: ログ収集は成功しました。サーバ 名=xxx。 収集対象のログがない (情報)mpatm: 情報: 124: 収集対象のログがありませんでし た。サーバ名=xxx。 収集処理に一部失敗した場合 (警告)mpatm: 情報: 122: ログ収集は一部成功しました。 サーバ名=xxx。 ログ収集に失敗した場合 (エラー)mpatm: 情報: 123: ログ収集は失敗しました。サー バ名=xxx。 ログ収集の正常終了も監視したい場合、Systemwalker Centric Managerのイベント監視の条件定義を使用し、監査ログ 管理機能のメッセージを監視対象にしてください。 収集処理に失敗した場合、詳細情報は以下のように知ることができます。 ・ イベントログやsyslogへの出力 [Systemwalkerコンソール]を使用することで、どの被管理サーバのログの収集中でエラーが発生したか確認すること ができます。 - 178 - ・ 標準エラー出力としての出力 mpatmlog(ログ収集コマンド)の実行結果は、標準出力/標準エラー出力として出力します。mpatmlog(ログ収集コマ ンド)を実行する際、出力ファイルをリダイレクト指定することにより、実行結果を確認することができます。 注意 ログの収集結果についての注意事項 ・ UNIXシステムの場合、/etc/syslog.conf の指定(user.infoの出力抑止)によっては、「ログ収集が正常終了(mpatm: 情 報: 121)」が出力されない場合があります。 ・ UNIX環境でNFSマウントしたネットワーク上のパスを格納ディレクトリに指定した場合は、事前に問題なくパスにアク セスできることを確認してください。ファイルサーバのダウンなどが原因でパスが利用できない場合、NFSタイムアウト が発生するまで処理が終了しません。 ・ HP-UX、AIX版の場合、syslogへの日本語出力をサポートしていない環境があります。 - HP-UX版 - AIX版 (SJIS環境) 上記環境の場合、mpatmlog(ログ収集コマンド)のsyslogへの出力、コマンドの実行結果のメッセージは英語で出力 します。 指定した形式が正しいかは、初回ログ収集の結果で確認します。 指定した形式が正しく指定できていると判断できる条件は、以下のとおりです。 ・ ログデータが日付ごとのファイルに、正しい日付で分割されている場合 指定した形式が正しく指定できていないと判断できる条件は、以下のとおりです。 ・ ログデータが複数の日数に存在するにもかかわらず、収集された日付ファイルが、収集当日のログファイルのみしか 存在しない場合 ・ ログデータが複数の日数に存在するにもかかわらず、日付ごとに分割されてはいるが、ファイル名の日付とデータが 一致しない場合 ・ ログデータが複数の日数が存在するにもかかわらず、「mpatm: 情報: 124」メッセージ(収集対象のログがありません でした。)が出力された場合 誤って異なる日付形式を指定してログ収集を行った場合も、監査ログ管理はログファイル情報を格納します。そのため、 正しい形式に修正し、再度ログ収集を行っても一度読み込んだログファイル情報が格納されているため、日付形式が誤っ ているときに読み込んだログデータは収集されません。その際は、形式を修正したログ識別名に対してmpatmdelap(ログ 情報削除コマンド)を実施し、ログの管理情報を削除してからログ収集してください。mpatmdelap(ログ情報削除コマンド) の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 定期的にログを収集する OSのスケジュール機能、Systemwalker Operation Managerなどのジョブ管理製品を使用することにより、定期的なログの 採取が可能となります。 OSのスケジュール機能についてはOSのヘルプを、またSystemwalker Operation Managerによる設定方法については、 Systemwalker Operation Managerのマニュアルを参照してください。 注意 定期的にログを収集する場合の注意事項 ・ 実行するユーザについて 実行するユーザは、Administratorsグループ(Windows)/システム管理者(スーパーユーザ)(UNIX)に属しているユー ザで設定/登録してください。 - 179 - ・ ログ収集コマンドの実行および、スケジュール機能登録時の注意事項 - ログ収集の実施により、一時的にネットワークや特定のサーバ(運用管理サーバ)に負荷が集中するため、以下 の時間帯での実施をしてください。 業務が稼働していない時間帯(例:夜間) - 転送量の軽減のため、収集1回あたりのログデータ量、回線の太さを考慮しスケジュール登録をしてください。 収集中にログが改ざんされていないかを確認できます 収集する監査ログの改ざんチェックを行う場合は、mpatmlog(ログ収集コマンド)の“-U YES”を指定して実行します。 監査ログの改ざんチェックを行う場合は、“監査ログの改ざんを検出する”を参照してください。 収集の際に監査ログを圧縮保管する場合は、mpatmlog(ログ収集コマンド)の“-C YES”を指定して実行します。 mpatmlog(ログ収集コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してく ださい。 収集したログを圧縮して保管することができます 収集の際に監査ログを圧縮保管する場合は、“監査ログを圧縮する”を参照してください。 mpatmlog(ログ収集コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してく ださい。 10.7 監査ログを管理する 監査ログの一覧を参照する 収集したログファイルの管理について説明します。 ログ収集コマンドで収集したログファイルは、設定時に指定した格納ディレクトリに格納/保存します。収集したログファイ ルは、以下の名前で保存します。 テキストログの場合 サーバ名_ログ識別名_文字コード_YYYYMMDD.log ・ サーバ名: 収集対象のサーバ名 ・ ログ識別名:収集するログファイルの識別子 ・ 文字コード:収集対象サーバのOSの文字コード - S:SJIS - E:EUC - U:UTF-8 - W:JIS2004 - C:英語(SJIS/EUC/UTF-8/JIS2004以外の文字コード) ・ 日付:収集対象のログのうち、YYYYMMDDのもの バイナリログの場合 サーバ名_ログ識別名_文字コード_YYYYMMDD_収集対象ファイル名_通 番.log ・ YYYYMMDD:収集対象ファイルの最終更新日付 ・ 文字コード:“B” - 180 - ・ 収集対象ファイル名:収集ファイル名 拡張子も付加しますが、その際、“.”(0x2E)は“-”(ハイフン 0x2D)に置き換えます。 ・ 通番:同一日にログ収集を複数回実行した場合の収集回数(0001~9999) 上書きするを選択した場合、通番は“0001”固定となります。 テキストログとバイナリログ共に、中継サーバを経由した被管理サーバのログファイル名のサーバ名、ログ識別名、文字 コードおよび日付は、運用管理サーバ上でも被管理サーバ名で使用された名前です。 注意 格納したログファイルに関する注意事項 ・ テキストログの場合、収集対象のログファイルは日付ごとにまとめられます。この場合、収集したログファイルが2GBを 超えた場合は、2GBごとに分割して保存します。収集したログファイルは、以下の名前で保存します。 サーバ名_ログ識別名_文字コード_YYYYMMDD_NN.log NN:通番 01~99 ・ 監査ログ管理機能では、収集対象のログの文字コード変換はしていません。(※監査証跡の観点から、形式を変え ないで収集対象のログを収集しています。) ・ 格納ディレクトリ配下の収集ログは、管理者権限のあるユーザ以外はアクセスできません。 監査ログを圧縮する 運用管理サーバ上の格納ディレクトリが存在するローカルディスクの容量を効率的に使用するために、収集した監査ロ グを圧縮して保管します。 監査ログの圧縮は、mpatmlog(ログ収集コマンド)を使用し、格納ディレクトリに収集した監査ログが圧縮機能の対象となり ます。 なお、圧縮した監査ログは監査ログ分析機能やテキストビューアなどで利用することができません。監査ログを利用する 場合は、事前に圧縮した監査ログから監査ログを復元してください。 ETERNUS AS500アーカイブストレージに監査ログを格納する場合は、データの圧縮処理を装置内で行うため、本機能 で圧縮する必要はありません。 - 181 - 監査ログの圧縮方法 監査ログを圧縮する場合は、mpatmarchive(収集したログの圧縮コマンド) のオプション(-L)を指定して実行します。 圧縮ログは対象ファイルが存在するディレクトリに作成されます。 mpatmarchive(収集したログの圧縮コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照 してください。 ・ 圧縮ログのファイル名 監査ログを圧縮すると、収集したログファイルのファイル名の拡張子を“log”から“loga”に変換します。監査ログを圧 縮して収集する場合は、オプション(-C YES)を指定してmpatmlog(ログ収集コマンド)を実行します。 【テキストファイルの場合】 サーバ名_ログ識別名_文字コード_YYYYMMDD.loga - サーバ名:収集対象のサーバ名 - ログ識別名:収集するログファイルの識別子 - YYYYMMDD:収集対象ファイルの最終更新日付 - 文字コード:収集対象サーバのOSの文字コード 【バイナリファイルの場合】 被管理サーバ名_ログ識別名_文字コード_YYYYMMDD_収集対象ファイル名_通 番.loga - サーバ名:収集対象のサーバ名 - ログ識別名:収集するログファイルの識別子 - YYYYMMDD:収集対象ファイルの最終更新日付 - 文字コード:収集対象サーバのOSの文字コード - 収集対象ファイル名:収集前のバイナリファイルのファイル名 - 通番:同一日にログ収集を複数回実行した場合の収集回数(0001~9999) 運用の手順 1. 被管理サーバでmpatmlogapdef(ログ収集設定コマンド)を実行し、監査ログを収集する設定を行います。 例) 監査ログを収集するための設定 mpatmlogapdef ADD -A textlog -L C:\logs\access.log -F C:\Systemwalker \MPWALKER.DM\mpatm\fmt\mpatmncsa.fmt 2. 運用管理サーバで格納ディレクトリの設定をmpatmtrsdef(ファイル転送情報定義コマンド)で行います。 例) 格納ディレクトリの設定 mpatmtrsdef REP -S C:\savelog 3. 運用管理サーバで被管理サーバに対してmpatmlog(ログ収集コマンド)を実行します。 例) 監査ログの収集 mpatmlog -H 被管理サーバ 運用を自動化する場合は、上記のコマンドをOS標準のタスクスケジューラやバッチ処理に追加してください。 4. 格納ディレクトリの監査ログを監査ログ分析で利用(正規化、分析など)します。 - 182 - 5. 運用管理サーバでmpatmarchive(収集したログの圧縮コマンド)を実行します。格納ディレクトリ内の前日分のログ を圧縮します。 例) 監査ログの圧縮 mpatmarchive 運用を自動化する場合は、上記のコマンドをOS標準のタスクスケジューラやバッチ処理に追加してください。 6. 運用管理サーバで、mpatmmediacopy(収集ログ二次媒体複写コマンド)を実行します。 オプション(-K LOGA)を指定し、圧縮ログを二次媒体へ複写します。 例) 二次媒体装置に監査ログを複写 mpatmmediacopy -K LOGA mpatmmediacopyコマンドで、運用管理サーバ上に格納/管理したログファイルを二次媒体装置へ複写します。前 日までの監査ログが複写の対象となります。 7. 運用管理サーバ上で、mpatmdellog(収集したログの削除コマンド)を実行します。 オプション-Fと-Tを指定し、格納ディレクトリ配下の1ヶ月(31日)以前の監査ログおよび圧縮ログを削除します。 例) 監査ログを削除するためのコマンド (対象:62日前から31日前までの監査ログ) mpatmdellog -F 62 -T 31 -Q NO ジョブスケジューラやバッチファイルに登録して自動実行する場合は、上記のとおり“-Q NO”を指定し、削除実行 時の再確認を省略してください。 監査ログの解凍方法 圧縮ログを解凍する場合は、mpatmextract(圧縮したログの解凍コマンド) のオプション(-L)を指定して実行します。 圧縮ログのファイル名に記載された、サーバ名、ログ識別名、収集日付を元に必要とする監査ログを選び、圧縮ログを解 凍します。 mpatmextract(圧縮したログの解凍コマンド)の詳細は、“Systemwalker Centric Managerリファレンスマニュアル”を参照し てください。 運用の手順 1. 二次媒体から対象となる圧縮ログを任意のディレクトリ(C:\temp)に取り出します。圧縮ログのファイル名から該当す る期間中の圧縮ログを判断します。 2. オプション-Lで任意のディレクトリを指定し、mpatmextract(圧縮したログの解凍コマンド)を実行します。 mpatmextract -B 20070601 -E 20070630 -L C:\temp 注意事項 ・ ETERNUS 1000FシリーズのWORM機能を利用した装置、もしくは読み取り専用の装置に保管した圧縮ログはロー カルディスク上に解凍してください。 ・ 監査ログの収集中に圧縮および解凍を行う運用を避けてください。スケジュール登録による自動運用においては、 監査ログの収集と圧縮の実行間隔を十分あけてください。 監査ログをバックアップする 収集したログファイルのバックアップについて説明します。 ログファイルを収集し続けると、格納ディレクトリのディスク容量不足を招く恐れがあります。格納ディレクトリは、収集当 日、前日のログのみとし、ほかのログはCD-R/DVD-R/ストレージ装置などの追記不可の媒体にバックアップし、バックアッ プ後のファイルは削除をする運用を推奨します。収集したログファイルのバックアップには、OSのバックアップ機能やバッ クアップ製品を使用してください。 - 183 - または、収集ログ二次媒体複写コマンドにてバックアップを行ってください。二次媒体への複写については、“監査ログを 退避する”を参照してください。 10.8 監査ログを評価する 監査ログ管理機能を使用して、運用管理サーバ上にログを収集することで、ログの一元管理が容易になります。収集し たログから、各サーバの運用状況の把握、監査が可能となります。 また、問題事象が発生したときの、調査の早期取り掛かりも可能となります。 ここでは、収集した監査ログが改ざんされていないことを確認する方法を説明します。 監査ログの改ざんを検出する ログ収集コマンドで集めた監査ログに、加えられた変更が存在しないことを確認するために監査ログの改ざんをチェック し、不正な監査ログの混入を未然に防ぐことができます。以下の場所で、監査ログに行われた改ざんを検出できます。 転送中の監査ログ 被管理サーバから転送された監査ログが正しいことをmpatmlog(ログ収集コマンド)のオプション(-U YES)を指定すること で確認できます。 運用管理サーバまたは中継サーバに転送中の監査ログが対象です。 転送中に改ざん検出する場合、V13.3.0以降の運用管理サーバ・中継サーバ・被管理サーバが必要です。 また、HTTPS通信により信号を暗号化し、監査ログの盗聴や第三者の傍受を防ぎます。旧バージョンの被管理サーバか ら監査ログを収集する場合は、HTTPS通信で監査ログの収集を行い、転送中の監査ログを保護してください。 HTTPS通信による収集を行う際には、“Systemwalker Centric Manager インターネット適用ガイド DMZ編”の“監査ログを 管理するための設定”を参照してください。 保管中の監査ログ 格納ディレクトリに保管した監査ログ/圧縮ログは、以下のコマンドの実行を契機に改ざんが確認されます。 - 184 - ・ mpatmlog(ログ収集コマンド)の実行中 - 既存のログファイルにログデータを追加する前 テキストファイルを2回目以降に収集する場合、ログデータを追加する対象のログファイルに対して改ざんの確認 が行われます。 前回収集した直後の状態から行われた変更が、改ざんとして検出されます。 ・ mpatmarchive(収集したログの圧縮コマンド)の実行中 - 監査ログを圧縮する前 格納ディレクトリ配下の監査ログを圧縮する場合、圧縮対象のログファイルに対して改ざんの確認が行われます。 収集した直後の状態、または解凍した直後の状態から行われた変更が改ざんとして検出されます。 - 既存の圧縮ログにログデータを追加する前 格納ディレクトリ配下の監査ログを圧縮する場合、ログデータを追加する対象の圧縮ログに対して改ざんの確認 が行われます。 前回圧縮した直後の状態から行われた変更が、改ざんとして検出されます。 監査ログの圧縮については、“監査ログを圧縮する”を参照してください。 ・ mpatmextract(圧縮したログの解凍コマンド)の実行中 - 監査ログを解凍する前 格納ディレクトリ配下の圧縮ログを解凍する場合、解凍対象の圧縮ログに対して改ざんの確認が行われます。圧 縮した直後の状態から行われた変更が改ざんとして検出されます。 ・ mpatmchecklog(収集したログの改ざん確認コマンド)を実行したとき 指定した監査ログまたは圧縮ログに対し、以下のコマンドを実行した後からの変更が改ざんとして検出されます。 - mpatmlog(ログ収集コマンド) - mpatmarchive(収集したログの圧縮コマンド) - mpatmextract(圧縮したログの解凍コマンド) なお、格納ディレクトリ内の改ざんを検出する場合は、V13.0.0以降の旧バージョンの被管理サーバと接続した場合 でも利用できます。 退避中の監査ログ mpatmmediacopy(収集ログ二次媒体複写コマンド)のオプション(-U YES)を指定すると退避後の監査ログが改ざんされて いないことを確認した上で、監査ログを二次媒体装置に退避します。 ・ 二次媒体装置に退避中の監査ログまたは圧縮ログが対象です。 ・ mpatmmediacopyは、運用管理サーバ・中継サーバで実行します。 二次媒体装置に複写中に監査ログの改ざんを検出できます。 注意 監査ログの改ざんを検出する場合の注意事項 ・ 監査ログを改ざん前の状態に戻すことはできません。 ・ 収集した直後の監査ログの内容から何らかの変更が生じた場合、改ざんを受けたと判断し、不正ログとして扱いま す。 例えば、以下の行為により、監査ログは不正と判断されます。 - 運用者がテキストエディタを用いて、不要なログレコードを削除する - 不正ログディレクトリに退避された監査ログを、正常な監査ログに追加する - 既存の監査ログと同じファイル名を付けて、別の監査ログに置き換える - 185 - - 運用者が正常な監査ログの文字コードを変換して保存する - 運用者が監査ログを上書き保存する 改ざん検出後の対処 改ざんがあった場合の対処を説明します。 転送中の監査ログ mpatmlog(ログ収集コマンド)で改ざんを検出した場合、監査ログの収集が中断されます。改ざんが検出された場合、改 ざん防止の対策を実施した上で、再度ログ収集を行ってください。再実行したログ収集では、前回の続きでログデータが 収集されます。 保管中の監査ログ 改ざんが検出された場合、該当する監査ログが格納ディレクトリ配下の“invalidlog”ディレクトリに移動され、改ざん確認 の対象外となります。 改ざんが検出されたログファイルにはログレコードが追加されません。 監査ログから改ざんが検出された場合は、以下の手順で再収集してください。 - 186 - ・ ログの再収集 mpatmchecklog(収集したログの改ざん確認コマンド)で改ざんを検出した場合、改ざんを検出した監査ログを以下の 手順で再収集します。 1. ログの読み込み情報の初期化 改ざんが検出されたログファイル名から初期化対象の被管理サーバ名とログ識別名を確認します。 改ざんされた日付のログを再収集するために、被管理サーバ上でログ情報を初期化します。 被管理サーバ上でmpatmdelap(ログ情報削除コマンド)を実行してください。 2. 過去7日間の監査ログの退避 改ざんが検出されたログファイル名から退避対象のサーバ名とログ識別名を確認します。 再収集によるログデータの重複を防ぐため、前日から過去7日間の監査ログを二次媒体に退避していなけれ ば、mpatmmediacopy(収集ログ二次媒体複写コマンド)を実行してください。当日の監査ログは再収集により、 取得できます。 3. 監査ログの削除 改ざんが検出されたログファイル名から削除対象のサーバ名とログ識別名を確認します。 再収集によるログデータの重複を防ぐため、当日から過去7日間の監査ログを削除します。 mpatmdellog(収集したログの削除コマンド)を実行してください。 4. 監査ログの再収集 改ざんが検出されたログファイル名から収集対象のサーバ名とログ識別名を確認します。 改ざんされた監査ログを復旧するため、再度ログ収集を実施します。 mpatmlog(ログ収集コマンド)を実行してください。 以下の場合は、改ざんが検出された監査ログを再収集できません。二次媒体に退避した監査ログをお使いください。 ・ 当日から7日前より以前の監査ログが改ざんを受けた場合 ・ 収集元のアプリケーションやシステムからログが消失した場合 例) ログレコードが削除された場合 例) ログの保管期間が8日間未満の場合 例) 循環ログ方式でログが生成されて、過去のログレコードが上書きされた場合 なお、改ざんされたログファイルを正規化していた場合は、改ざんを検出したログファイル名からサーバ名とログ識別名、 日付を確認し、対象の正規化ログを削除した上で、再度正規化してください。 退避中の監査ログ mpatmmediacopy(収集ログ二次媒体複写コマンド)で改ざんを検出した場合、改ざんされた監査ログは、複写先ディレク トリ上から削除され、mpatmmediacopy(収集ログ二次媒体複写コマンド)はエラー終了します。 ただし、ETERNUS 1000FシリーズのWORM機能を利用している、または読み取り専用の装置が二次媒体装置の場合 は、削除されません。 改ざん検出後は、監査ログの内容が変更された原因を取り除いた上で、再度二次媒体装置に退避してください。 - 187 - 使用方法 1. 監査ログの収集、および退避の設定を行います。 a. 被管理サーバでmpatmlogapdef(ログ収集設定コマンド)を実行し、収集ログファイルを登録します。 例) 監査ログを収集するための設定 mpatmlogapdef ADD -A textlog -L C:\logs\access.log -F C:\Systemwalker インストールディレクトリ\MPWALKER.DM\mpatm\fmt\mpatmncsa.fmt b. 運用管理サーバ上で格納ディレクトリの設定をmpatmtrsdef(ファイル転送情報定義コマンド)で行います。 例) 格納ディレクトリの設定 mpatmtrsdef REP -S C:\savelog c. 運用管理サーバ上で二次媒体の複写先ディレクトリの設定をmpatmmediadef(二次媒体複写先設定コマン ド)で行います。 例) 複写先ディレクトリの設定 mpatmmediadef REP -D Z:\logs d. 運用管理サーバ上で正規化ログ格納先ディレクトリの設定をmpatacnvtdef(正規化ログ格納先定義コマンド) で行います。 例) 正規化ログ格納先ディレクトリの設定 mpatacnvtdef -N C:\csvs 2. 運用管理サーバ上で、被管理サーバに対してmpatmlog(ログ収集コマンド)を実行します。 例)監査ログの収集 mpatmlog -H 被管理サーバ -U YES mpatmlog(ログ収集コマンド)を使用すると転送中における改ざん検出処理が自動的に行われます。 3. 運用管理サーバで監査ログを正規化します。mpatalogcnvt(監査ログ正規化コマンド)を実行する際には、-Xオプ ションの値にYESを指定してください。正規化の手順については、“監査ログを正規化する”を参照してください。 例) 監査ログ正規化コマンド - 188 - mpatalogcnvt -X YES 4. 正規化ログの集計レポートを作成する前に、正規化ログが改ざんされていないことを、mpatmchecklog(収集したロ グの改ざん確認コマンド)を実行します。 正規化ログの集計レポートを作成する前に、正規化ログが改ざんされていないことを、mpatmchecklog(収集したロ グの改ざん確認コマンド)を実行します。 mpatmchecklog -K CSV 5. 正規化ログの集計レポートを作成します。集計レポートは、mpatareportput(集計レポート出力コマンド)を実行しま す。 例1)正規化ログに対して改ざん確認を行うためのコマンド (対象:前日の正規化ログまたは圧縮ログ)。 mpatareportput -O CSV -F SolarisSyslog.rne C:\report\SolarisSyslog 6. 正規化/集計レポート作成処理を終えた監査ログを圧縮する場合は、運用管理サーバでmpatmarchive(収集したロ グの圧縮コマンド)を実行します。 例)監査ログを収集するための設定 (対象:前日の監査ログ) mpatmarchive 7. 監査ログを二次媒体に退避して、長期保管を行います。 a. 運用管理サーバ上で、mpatmchecklog(収集したログの改ざん確認コマンド)を実行します。 例) 監査ログに対して改ざん確認を行うためのコマンド (対象:前日の監査ログまたは圧縮ログ) mpatmchecklog b. 運用管理サーバ上で、mpatmmediacopy(収集ログ二次媒体複写コマンド)を実行します。 例) 監査ログを二次媒体に複写するためのコマンド (対象:前日の監査ログおよび圧縮ログ) mpatmmediacopy mpatmmediacopy -K ARC c. 運用管理サーバ上で、mpatmmediacopy(収集ログ二次媒体複写コマンド)を実行します。 例) 正規化ログを二次媒体に複写するためのコマンド (対象:前日の正規化ログ) mpatmmediacopy -D Z:\CSV -K CSV 8. 運用管理サーバ上で、mpatmdellog(収集したログの削除コマンド)を実行します。 オプション-Fと-Tを指定し、格納ディレクトリ配下の1ヶ月(31日)以前の監査ログ、および圧縮ログを削除します。 例) 監査ログを削除するためのコマンド (対象:62日前から31日前までの監査ログ) mpatmdellog -F 62 -T 31 -Q NO ジョブスケジューラやバッチファイルに登録して自動実行する場合は、上記のとおり“-Q NO”を指定し、削除実行 時の再確認を省略してください。 9. 必要に応じて、運用管理サーバ上で、不要となった正規化ログを削除するために、mpatmdellog(収集したログの 削除コマンド)を実行します。オプション-Fと-Tを指定し、正規化ログ格納先ディレクトリ配下の1ヶ月(31日)以前の 正規化ログおよび圧縮ログを削除します。 例) 正規化ログを削除するためのコマンド (対象:62日前から31日前までの監査ログ) mpatmdellog -F 62 -T 31 -Q NO -K CSV - 189 - ジョブスケジューラやバッチファイルに登録して自動実行する場合は、例のとおり“-Q NO”を指定し、削除実行時 の再確認を省略してください。 削除実行は、ログ収集と同様に1日1回実施することを想定しています。 各コマンドの詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 10.9 監査ログを退避する 収集したログファイルを二次媒体装置へ退避(複写)する方法を説明します。 監査ログを退避(複写)する 以下に収集したログファイルを二次媒体装置へ退避(複写)する手順を示します。 1. 収集したログを二次媒体装置へ複写します。 mpatmmediacopy 二次媒体装置への複写時にしきい値に応じた容量不足が発生した場合、複写処理はエラー終了します。また、ロ グファイルの属性を書き込み不可属性にすることで、改ざんの防止が可能となります。 二次媒体装置への複写の異常時は、OSのシステムログ(イベントログ/syslog)に失敗した旨を出力します。 退避ファイルごとの結果は、コマンドから出力されたメッセージより、エラー原因を取り除きます。 複写失敗したログは、複写失敗したメッセージ中のファイル名に含まれる日付から判断し、二次媒体装置へ複写 失敗したログを、mpatmmediacopyコマンドの日付(-B)指定で再複写します。 各コマンドの詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 ポイント 収集および二次媒体への複写は、毎日実施し、収集は常に最新ログまでを運用管理サーバへ、複写は常に収集したロ グの前日分を二次媒体に複写する運用とすることをお勧めします。 収集および二次媒体への複写を毎日実施することにより、二次媒体へ退避するログデータ量を1日分だけにできデータ 量を抑えることができます。また、格納ディレクトリ内のログデータについて、前日までのログを二次媒体へ退避したことを 明確にできます。 注意 監査ログを退避(複写)する場合の注意事項 ・ ログ収集と二次媒体への退避の手順は、それぞれOSのスケジュール機能、Systemwalker Operation Managerなどの ジョブ管理製品を用いて、定期的に動作させる運用を行ってください。 また、監査ログ管理によるログ収集、二次媒体装置への実行のスケジュール登録は、同じ時間に設定しないようにし てください。 ・ UNIX環境でNFSマウントしたネットワーク上のパスを複写先ディレクトリに指定した場合は、事前に問題なくパスにア クセスできることを確認してください。ファイルサーバのダウンなどが原因でパスが利用できない場合、NFSタイムアウ トが発生するまで処理が終了しません。 ・ HP-UX、AIX版の場合、syslogへの日本語出力をサポートしていない環境があります。 - HP-UX版 - AIX版 (SJIS環境) 上記環境の場合、mpatmmediacopy(収集ログ二次媒体複写コマンド)のsyslogへの出力、コマンドの実行結果のメッ セージは英語で出力します。 - 190 - 複写先のディレクトリに同名のファイルが存在する場合 複写先のディレクトリに同名のファイルが存在する場合、以下のように扱います。 ファイルサイズが同じ場合は、複写を実行しません。「複写先上に既に同一サイズのファイルが存在します。」メッセージ が出力されます。 ファイルサイズが異なる場合は、別名で保存されます。以下に例を説明します。 ・ [テキストログの場合] ファイル名が“Server_LogName_Code_Date_XX.log”の場合 Server:サーバ名 LogName:ログ識別名 Code:文字コード Date:日付(YYYYMMDD形式) XX:分割通番(2GB以上で分割されていない場合は存在しません) NNN:通番(001~999) ※999を超える通番になった場合、その旨をメッセージ通知し、ファイルコピーは失敗します。 ・ [バイナリログの場合] ファイル名が“Server_LogName_Code_Date_File_XX.log”の場合 Server:サーバ名 LogName:ログ識別名 Code:文字コード Date:日付(YYYYMMDD形式) File:バイナリファイルの元ファイル名(拡張子前の“.”は“_”に置き換え) XX:分割通番(2GB以上で分割されていない場合は存在しません) NNN:通番(001~999) ※999を超える通番になった場合、その旨をメッセージ通知し、ファイルコピーは失敗します。 注意事項 ・ mpatmmediacopyコマンドは、監査ログ管理格納ディレクトリが未設定の場合、エラーとなります。 ・ サーバまたはログ識別名単位に退避先を分別したい場合は、各々の複写先を指定したコマンドを実行してください。 例)サーバ hostAのログ識別名 AP1は、“E:\hostA\AP1”、サーバ hostAのログ識別名 AP2は、“E:\hostA\AP2”へ 退避する場合 mpatmmediadef REP -D E:\hostA mpatmlog -H hostA ・・・デフォルトの退避先 “E:\hostA” を設定 ・・・hostAのログ収集を実施 - 191 - mpatmmediacopy -H hostA -A AP1 -D E:\hostA\AP1 mpatmmediacopy -H hostA -A AP2 -D E:\hostA\AP2 ・・・hostAのAP1をE:\hostA\AP1に退避 ・・・hostAのAP2をE:\hostA\AP2に退避 10.10 監査ログ管理の注意事項 監査ログ管理を行う場合の注意事項について説明します ・ Solaris 10以降のシステムでZone機能を使用している場合 Solaris 10以降のシステムでZone機能を使用している場合、以下のように異なるZoneのログ収集はできません。同じ Zone内のログファイルの収集を行ってください。 - Global Zoneの場合、Non-global Zone内にあるログファイル - Non-global Zoneの場合、Global Zone内にあるログファイル - Non-global Zoneの場合、異なるNon-global Zoneのログファイル ・ 運用に関する注意事項 監査ログ管理機能によるログ収集の運用中、システム時間の日付を1年先など先へ進めたり、過去に戻す操作を行 わないでください。そのような操作を行った場合、ログの収集が正常に行われないことがあるため、システム時間変更 中でのログの収集は、実施しないでください。実施した場合、以下の対応をしてください。 - システム時間の変更を行った際に出力されたログは、削除してください。 - 複数ファイルからログ収集を行っている場合、1)の対応により、システム時間の変更を行った際に出力されたログ が存在したログファイルの更新日時が、現在運用中のログファイルより新しくなる場合があります。その場合、運 用中のログファイルの更新日時を最新になるようにしてください。 ・ 収集処理に関する注意事項 監査ログ管理機能は、運用管理サーバへ確実に転送された時点で、被管理サーバ側の転送用ディレクトリ内にあ る、収集対象のログファイルを削除します。この時点で「監査ログ管理の収集は成功した」という判断をしています。 運用管理サーバへの転送に失敗した場合は、収集対象のログファイルは削除せず、次回収集依頼時に当日のデー タが存在する場合は、再度、前回収集済みデータに追加して、運用管理サーバへ転送します。 また、以下の場合は、運用管理サーバ上に同じログレコードが複数格納される場合があります。 - 運用管理サーバへ確実に転送はできたが、被管理サーバ側で削除処理に失敗したとき この場合、前回収集時に“収集は失敗した”という旨のメッセージを出力しています。 ・ 指定した形式が正しいかは、初回ログ収集の結果で確認します。 指定した形式が正しく指定できていると判断できる条件は、以下のとおりです。 - ログデータが日付ごとのファイルに、正しい日付で分割されている場合 指定した形式が正しく指定できていないと判断できる条件は、以下のとおりです。 - ログデータが複数の日数に存在するにもかかわらず、収集された日付ファイルが、収集当日のログファイルのみ しか存在しない場合 - ログデータが複数の日数に存在するにもかかわらず、日付ごとに分割されてはいるが、ファイル名の日付とデー タが一致しない場合 - ログデータが複数の日数が存在するにもかかわらず、「mpatm: 情報: 124」メッセージ(収集対象のログがありま せんでした。)が出力された場合 誤って異なる日付形式を指定してログ収集を行った場合も、監査ログ管理はログファイル情報を格納します。そのた め、正しい形式に修正し、再度ログ収集を行っても一度読み込んだログファイル情報が格納されているため、日付形 式が誤っているときに読み込んだログデータは収集されません。その際は、形式を修正したログ識別名に対して mpatmdelap(ログ情報削除コマンド)を実施し、ログの管理情報を削除してからログ収集してください。mpatmdelap(ロ グ情報削除コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してくださ い。 - 192 - ・ バイナリファイルを収集する場合 - 収集したファイル名には、収集対象ファイル名を含みます。そのため、被管理サーバ上で収集対象ファイル名が 同じで、パスが異なる場合のログ収集に関しては、ログ識別名で区別するようにしてください。 - テキストログファイルをバイナリファイルとして収集し、運用管理サーバで参照する場合、被管理サーバ側の文字 コードに合わせて参照してください。 ・ 中継サーバとして使用する場合の注意事項【HP-UX版、AIX版】 HP-UX、AIX版は、syslogへの日本語出力をサポートしていない環境があります。 - HP-UX版 - AIX版(SJIS環境) 上記環境を監査ログ管理のログ収集において、中継サーバとして使用する場合の注意事項は以下のとおりです。 - コマンド実行結果のメッセージ出力 mpatmlog(ログ収集コマンド)は、コマンドの実行結果をsyslogへ出力しています。また、収集中にエラーが発生 した場合は、コマンドの実行結果と同時にsyslogへエラーメッセージを出力しています。 上記環境の場合、syslogへ出力するメッセージは英語となります。 また、コマンドの実行結果のメッセージも英語で出力します。 - 日本語(マルチバイト文字)を含むファイルの収集・定義について 上記環境で日本語(マルチバイト文字)が含まれている場合、コマンド実行結果のメッセージ内で文字化けが発 生します。 日本語(マルチバイト文字)を含む定義(格納ディレクトリ設定など)は行わないようにしてください。 また、収集対象のログファイル中に日本語(マルチバイト文字)が含まれている場合、あらかじめ日本語(マルチ バイト文字)以外の名前に変名し、監査ログ収集設定の定義を行ってください。 - 被管理サーバに他OS(Windows/Solaris/Linux)が含まれる場合 被管理サーバに他OS(Windows/Solaris/Linux)が含まれる場合、以下のようになります。 - 被管理サーバ側でエラーが発生した場合、コマンド実行結果のメッセージ中で文字化けが発生します。 - 収集対象のログファイル中に日本語(マルチバイト文字)が含まれている場合、上記“日本語(マルチバイト文 字)を含むファイルの収集・定義について”の対処を行ってください。 - 193 - 第11章 監査ログを分析する 監査ログを分析するときに使用する各機能を、分析作業の流れに沿って説明します。 11.1 監査ログを分析する作業の流れ 監査ログを分析する作業の流れを説明します。 1.監査ログを正規化する システムで出力されるさまざまな監査ログファイルは、それぞれ、ログテキストの形 式が異なっています。このため、形式の異なる監査ログファイルを、統一された共 通の形式に変換(正規化)してから、分析します。 2.問い合わせファイルを作成する 集計するときの問い合わせ条件(集計項目)や、表のレイアウトを設定するために、 運用管理クライアント上で問い合わせファイルを作成し、運用管理サーバに登録し ます。 3.正規化ログが改ざんされていないかを確認する 分析した監査ログ(正規化ログ)が改ざんされていないことを確認します。 改ざんされていないことを確認した後に、分析した監査ログ(正規化ログ)を集計・検 索に活用します。 4.監査ログを集計する 収集された膨大な量の監査ログに対して、サーバへの不正アクセス件数や時間 帯別のアクセス件数など、監査ログの分析目的に沿った情報を集計項目として集 計します。問い合わせファイルを実行して集計します。 5.監査ログを検索する 監査ログに対して、分析目的となる特定の情報を、検索条件にしたがって絞り込 んで表示します。[監査ログ分析]画面の[監査ログ分析-検索]画面で実施しま す。 6.点検結果を出力する 監査ログを分析した結果を点検結果として報告するため、レポートに出力します。 - 194 - 7.正規化ログを保管する 分析した監査ログ(正規化ログ)を二次媒体に退避し、長期保管を行う。 8.正規化ログを削除する 二次媒体に退避した後、ローカルディスク上から監査ログ(正規化ログ)を削除しま す。 11.1.1 監査ログを正規化する 監査ログの正規化とは 監査ログを分析する場合、分析目的に応じて検索条件を設定し、検索結果を分析・評価します。このとき、分析対象のプ ラットフォームや監査ログの種別を意識することなく、同じ手順で分析を実施できることが必要です。 しかし、システムで出力されるさまざまな監査ログファイルは、それぞれ、ログテキストの形式が異なっています。このた め、形式の異なる監査ログファイルを、統一された共通の形式に変換してから、分析する必要があります。 形式の異なる監査ログファイルを、統一された共通の形式に変換することを、監査ログを正規化するといいます。監査ロ グの正規化は、mpatalogcnvt(監査ログ正規化コマンド)を使用して行います。mpatalogcnvt(監査ログ正規化コマンド)の 詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 正規化した監査ログの改ざんを防止する 正規化された監査ログ(正規化ログ)の改ざんを防止するためには、-XオプションにYESを指定して、mpatalogcnvt(監査 ログ正規化コマンド)を実行します。-XオプションにYESを指定して作成した正規化ログのみが改ざん確認の対象となりま す。 mpatalogcnvt(監査ログ正規化コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を 参照してください。 事前準備 監査ログを収集する 監査ログを収集していない場合は、監査ログを収集してください。 監査ログの収集方法については、“監査ログを収集する”を参照願います。 監査ログのディレクトリを定義する 分析に使用する監査ログを格納するディレクトリを作成します。 mpatacnvtdef(正規化ログ格納先定義コマンド)で、正規化ディレクトリとして定義します。正規化された監査ログはこのディ レクトリに格納されます。 【定義例】 [Windowsの場合] c:\mpata\cnvtlogを作成し、正規化ログ格納ディレクトリとして定義します。 mkdir C:\mpata\cnvtlog C:\Systemwalker\MPWALKER.DM\bin\mpatacnvtdef -N C:\mpata\cnvtlog [UNIXの場合] /mpata/cnvtlogを作成し、正規化ログ格納ディレクトリとして定義します。 mkdir /mpata/cnvtlog /opt/systemwalker/bin/mpatacnvtdef -N /mpata/cnvtlog - 195 - 正規化ルール定義ファイルをカスタマイズする システムで出力されるさまざまな監査ログファイルは、それぞれ、ログテキストの形式が異なっています。監査ログを正規 化するには、監査ログの各値を共通形式のどの項目名として置き換えるかを指定しなければなりません。この変換規則 を、正規化ルール定義ファイルで指定します。 製品に添付されている正規化ルール定義ファイルは、運用に応じて変換規則を変更して使用します。正規ルール定義 ファイルはiniファイル形式です。内容を変更する場合は、テキストエディタを使用します。 定義ファイルの詳細は、“Systemwalker Centric Managerリファレンスマニュアル”で“正規化ルール定義ファイル”を参照 してください。 なお、IISログ(W3C拡張形式)の場合、正規化ルール定義ファイルでコメントアウトされているIIS 5.0またはIIS 6.0の定義 を有効にしてください。 バイナリログファイルに対応する 監査ログファイルがバイナリログファイルの場合、直接正規化することはできません。バイナリログファイルをテキストログ ファイルに変換してから、正規化してください。 運用管理サーバでテキストログファイルに変換する場合 以下に手順を示します。 1. バイナリログファイルを収集します。 mpatmlog(ログ収集コマンド)を使用して、バイナリログファイルを運用管理サーバ上の格納ディレクトリに格納しま す。mpatmlog(ログ収集コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してく ださい。 2. 運用管理サーバ上で、バイナリログファイルをテキストログファイルに変換します。 適切なコマンド、またはツールを使用して、バイナリログファイルをテキストログファイルに変換し、一時ディレクトリ に格納します。 このとき、以下の条件をすべて満たすことが必要です。 - ログレコード中に、監査ログ管理の収集規約にしたがった形式で日時が出力されていなければなりません。 - テキストログファイル名は、監査ログ管理の収集規約に沿っていなければなりません。 - テキストログファイルは、日付(収集実行日)、サーバ名、ログ識別名が正しくなければなりません。 監査ログ管理の収集規約については、“監査ログ管理でログを収集するために”を参照してください。 - 196 - 【テキストログファイル名の例】 [Windowsの場合] C:\Windows\Temp\server1_BinLog_S_20061221.log [UNIXの場合] /var/tmp/server1_BinLog_S_20061221.log 3. 日付書式定義ファイルを準備します。 運用管理サーバ上の以下のディレクトリ配下に、テキストログファイルのログ識別名および日時出力書式に対応し た、日付書式定義ファイルを配置します。 [Windowsの場合] Systemwalkerインストールディレクトリ\MPWALKER.DM\MpAtm\Analysis\サーバ名 \ログ識別名\ [UNIXの場合] /etc/opt/FJSVmpatm/Analysis/サーバ名/ログ識別名/ 4. テキストログファイルを正規化します。 mpatalogcnvt(監査ログ正規化コマンド)で“-L 一時ディレクトリ名”オプションを指定して、一時ディレクトリ上にある テキストログファイルを正規化ログファイルに変換し、正規化ディレクトリに格納します。mpatalogcnvt(監査ログ正規 化コマンド)の詳細は、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 【テキストログファイルの正規化例】 [Windowsの場合] Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatalogcnvt -H server1 -A BinLog -L C:\Windows\Temp\ -F 1 -T 1 [UNIXの場合] /opt/systemwalker/bin/mpatalogcnvt -H server1 -A BinLog -L /var/tmp -F 1 -T 1 5. テキストログファイルを削除します。 正規化後、不要になったテキストログファイルを削除します。 業務サーバでテキストログファイルに変換する場合 運用管理サーバにテキスト変換コマンドを用意できない場合、業務サーバでバイナリログファイルをテキストログファイル に変換し、テキストログファイルを運用管理サーバへ収集します。 以下に手順を示します。 - 197 - 1. 運用管理サーバ上で、バイナリログファイルをテキストログファイルに変換します。 適切なコマンド、またはツールを使用して、バイナリログファイルをテキストログファイルに変換し、一時ディレクトリ 上に格納します。 このとき、以下の条件をすべて満たすことが必要です。 - ログレコード中に、監査ログ管理の収集規約にしたがった形式で日時が出力されていなければなりません。 - テキストログファイル名は、監査ログ管理の収集規約に沿っていなければなりません。 - テキストログファイルは、日付(収集実行日)、サーバ名、ログ識別名が正しくなければなりません。 監査ログ管理の収集規約については、“監査ログ管理でログを収集するために”を参照してください。 【テキストログファイル名の例】 [Windowsの場合] C:\Windows\Temp\server1_BinLog_s_20061221.log [UNIXの場合] /var/tmp/server1_BinLog_s_20061221.log 2. テキストログファイルを収集します。 mpatmlog(ログ収集コマンド)を使用して、テキストログファイルを運用管理サーバ上の格納ディレクトリに格納しま す。 3. テキストログファイルを削除します。 収集後、不要になったテキストログファイルを削除します。 4. テキストログファイルを正規化します。 mpatalogcnvt(監査ログ正規化コマンド)を使用して、テキストログファイルを正規化ログファイルに変換し、正規化 ディレクトリに格納します。 ユーザ独自のログを分析するための準備をする 監査ログがユーザ独自ログの場合、システム管理者は、運用管理サーバ上で正規化ルール定義ファイルを作成し、運 用管理サーバに登録してください。 以下に手順を示します。 - 198 - 1. 正規化ルール定義ディレクトリで、他のログ識別名の正規化ルール定義ファイルを、ユーザ独自ログの正規化ルー ル定義ファイル用にコピーします。 [正規化ルール定義ファイルの格納場所が“Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\etc \rule”、コピー元の正規化ルール定義ファイルが“mpatarule_ApacheErrorLog.ini”である場合] cd Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\etc\rule copy mpatarule_ApacheErrorLog.ini mpatarule_XXXXX.ini XXXXX:ユーザ独自ログのログ識別名を表します。 [正規化ルール定義ファイルの格納場所が“/etc/opt/FJSVmpata/etc/rule”、コピー元の正規化ルール定義ファイル が“mpatarule_ApacheErrorLog.ini”である場合] cd /etc/opt/FJSVmpata/etc/rule cp mpatarule_ApacheErrorLog.ini mpatarule_XXXXX.ini 2. コピーした正規化ルール定義ファイルをユーザ独自ログの正規化に適合するよう、テキストエディタで編集します。 3. mpatarulectl(正規化ルール管理コマンド)で、ユーザ独自ログの正規化ルール定義ファイルを、運用管理サーバ に登録します。mpatarulectl(正規化ルール管理コマンド)の詳細については、“Systemwalker Centric Managerリファ レンスマニュアル”を参照してください。 なお、ユーザ独自ログの分析が不要になった場合は、以下の手順で正規化ルールの登録情報を削除してください。 1. 運用管理サーバ上の問い合わせファイルにおいて、条件にユーザ独自ログのログ種別を指定している場合は、そ のログ種別を削除してください。 2. [監査ログ分析-検索]画面において、現在設定中の検索条件、または保存済みの検索条件に、ユーザ独自ログ のログ種別を指定している場合は、そのログ種別を削除してください。 3. mpatarulectl(正規化ルール管理コマンド)で、ユーザ独自ログの正規化ルールの登録情報を、運用管理サーバ上 で削除してください。 mpatarulectl(正規化ルール管理コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュ アル”を参照してください。 DTKログを分析するための準備をする 監査ログがSystemwalker Desktop Keeperクライアント操作ログ(以下DTKログ)の場合、システム管理者は運用管理サー バ上で正規化ルール定義ファイルを作成し、運用管理サーバに登録してください。 以下に手順を示します。 1. 正規化ルール定義ディレクトリで、ログ識別名が“DTK”の正規化ルール定義ファイルを、DTKログの正規化ルー ル定義ファイル用にコピーします。 [正規化ルール定義ファイルの格納場所が“Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\etc \rule”、コピー元の正規化ルール定義ファイルが“mpatarule_DTK.ini”である場合] cd Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\etc\rule copy mpatarule_DTK.ini mpatarule_DTKXXXXX.ini DTKXXXXX:DTKログのログ識別名を表します。 [正規化ルール定義ファイルの格納場所が“/etc/opt/FJSVmpata/etc/rule”、コピー元の正規化ルール定義ファイル が“mpatarule_DTK.ini”である場合] cd /etc/opt/FJSVmpata/etc/rule cp mpatarule_DTK.ini mpatarule_DTKXXXXX.ini 2. コピーした正規化ルール定義ファイルをDTKログの正規化に適合するように、テキストエディタで編集します。 - 199 - 3. mpatarulectl(正規化ルール管理コマンド)で、DTKログの正規化ルール定義ファイルを、運用管理サーバに登録 します。 mpatarulectl(正規化ルール管理コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュ アル”を参照してください。 なお、DTKログの分析が不要になった場合は、以下の手順で正規化ルールの登録情報を削除してください。 1. 運用管理サーバ上の問い合わせファイルにおいて、条件にDTKログのログ種別を指定している場合は、そのログ 種別を削除してください。 2. [監査ログ分析-検索]画面において、現在設定中の検索条件、または保存済みの検索条件に、DTKログのログ 種別を指定している場合は、そのログ種別を削除してください。 3. mpatarulectl(正規化ルール管理コマンド)で、DTKログの正規化ルールの登録情報を、運用管理サーバ上で削除 してください。 mpatarulectl(正規化ルール管理コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュ アル”を参照してください。 正規化の手順 正規化するためには、mpatalogcnvt(監査ログ正規化コマンド)を実行します。 本コマンドは、監査ログ管理機能の格納ディレクトリ上に格納された監査ログファイルを正規化し、正規化ログファイルと して、正規化ディレクトリに格納します。 正規化ディレクトリは、運用管理サーバのローカルディスク上に作成してください。検索/集計時に必要な全正規化ログ ファイルを格納できる容量を確保してください。 一般的な運用では、監査ログ管理のmpatmlog(ログ収集コマンド)を記述したバッチファイルまたはシェルスクリプトに本コ マンドを記述し、スケジューラに登録します。 監査ログ正規化コマンドの処理時間の目安としては、10KBの監査ログファイルが10ファイル(合計100KB)で8秒程度で す。 ただし、処理時間はマシン性能により異なりますので、スケジュールの際には対象とする監査ログの量と実機での測定を 行った上で処理時間を見積もってください。 正規化は、基本的に1つの監査ログファイルが、1つの正規化ログファイルに変換されます。ただし、以下の場合は、複数 の正規化ログファイルに分割して変換されます。 ・ 監査ログファイルがSystemwalker Desktop Keeperクライアント操作ログの場合(Systemwalker Desktop Keeperクライア ントごとに正規化ログファイルが分割されます。) - 200 - ・ 1つの正規化ログファイルのサイズが、2Gバイトを超過した場合 ・ 監査ログファイルの正規化がすでに実行されており、かつ前回の実行時から差分がある場合(差分を正規化し、前回 とは別のファイルに格納します。) 正規化されたログ項目 各種監査ログファイルは、以下の監査ログ項目を持つ正規化ログファイル(CSV形式)に変換されます。 以下の監査ログ項目は、検索機能および集計機能利用時に、条件指定で選択したり、結果表示項目として指定するこ とが可能です。 項番 項目名 値の形式(説明) 1 日時 YYYY/MM/DD△HH:mm:SS 2 日付 MM/DD(ローカル日付) 3 時刻 HH:mm:SS(ローカル時刻) 4 時間帯 HH(ローカル時刻)(注1) 5 曜日 日 月 火 水 木 金 土 6 操作場所 操作を行ったホスト名など(運用管理クライアント名など) 7 操作IPアドレス 操作を行ったホストのIPアドレス(IPv6の場合、RFC 5952形式) 8 実行ホスト 要求された操作を実際に実行するホスト名(運用管理サーバ名 など)(注2) 9 実行IPアドレス 要求された操作を実際に実行するホストのIPアドレス(IPv6の場 合、RFC 5952形式) 10 操作者 操作を行ったユーザ名 11 操作対象 操作対象となるノードやアプリケーションなどを表す名称(業務 サーバ名など) 12 操作種別 操作した内容を分類するための種別 13 操作内容 何を行ったかの内容(実行したコマンド行やメッセージテキスト) 14 実行結果 成功 失敗 操作の開始 キャンセル 15 コンポーネント 操作対象のコンポーネント名 16 追加情報 操作エラーの詳細情報、操作を追跡するためのID(セッションID 相当)、影響範囲など 17 深刻度 不明 情報 警告 軽微なエラー エラー 重大なエラー 致命的なエラー 18 ログテキスト 元の監査ログテキスト - 201 - 項番 項目名 値の形式(説明) 19 ログ種別 EventLogApplication EventLogSecurity EventLogSystem EventLogDNSServer EventLogDirectoryService EventLogFileRepService EventLogDFSReplication EventLogHardwareEvents EventLogForwardedEvents EventLogHVCfgAdmin EventLogHVCfgOpe EventLogHVHAAdmin EventLogHVHyAdmin EventLogHVHyOpe EventLogHVIMSAdmin EventLogHVIMSOpe EventLogHVIntAdmin EventLogHVNetAdmin EventLogHVNetOpe EventLogHVSNAdmin EventLogHVSSAdmin EventLogHVSSOpe EventLogHVVMMSAdmin EventLogHVWAdmin EventLogHVSFAdmin EventLogHVVIDAdmin EventLogHVVMMSNet EventLogHVVMMSOpe EventLogHVVMMSSto SolarisSyslog SolarisSuLog SolarisLoginLog LinuxSyslog HPUXSyslog HPUXSuLog AIXSyslog AIXSuLog IISNCSALog IISLog IISW3CLog ApacheAccessLog ApacheErrorLog CMGRCmdRevLog DTK CMGROpLog CMGRSvacLog CMGRSVOpLog NREventLog OMGRLog (注3) 20 拡張種別1 21 拡張値1 22 拡張種別2 ログ種別ごとに一意で固有の項目を「拡張項目」として格納しま す(最大20項目)。 「拡張種別x」に項目の種別を格納し、「拡張値x」に項目の値を 格納します(x=1~20)。 23 拡張値2 24 拡張種別3 (例)項目が「送信バイト数」の場合 - 202 - 項番 項目名 25 拡張値3 26 拡張種別4 27 拡張値4 28 拡張種別5 29 拡張値5 30 拡張種別6 31 拡張値6 32 拡張種別7 33 拡張値7 34 拡張種別8 35 拡張値8 36 拡張種別9 37 拡張値9 38 拡張種別10 39 拡張値10 40 拡張種別11 41 拡張値11 42 拡張種別12 43 拡張値12 44 拡張種別13 45 拡張値13 46 拡張種別14 47 拡張値14 48 拡張種別15 49 拡張値15 50 拡張種別16 51 拡張値16 52 拡張種別17 53 拡張値17 54 拡張種別18 55 拡張値18 56 拡張種別19 57 拡張値19 58 拡張種別20 59 拡張値20 値の形式(説明) 拡張種別1:送信バイト数 拡張値1 :300 注1) 本項目は集計機能で時間帯ごとの表示(1時台、2時台・・・)を行う際に使用するデータです。日時や時刻のHHと同じ 値であるため、検索機能では条件や結果一覧で表示されません。 - 203 - 注2) Systemwalker Desktop Keeperクライアントの場合、“Systemwalker Desktop Keeperサーバ名+クライアントのコンピュー タ名”の形式です。 注3) 項目として設定される値と、それぞれに対応するログ種別は以下のとおりです。 項目の値 ログ種別 EventLogApplication Windowsイベントログのアプリケーションログ EventLogSecurity Windowsイベントログのセキュリティログ EventLogSystem Windowsイベントログのシステムログ EventLogDNSServer WindowsイベントログのDNS Serverログ EventLogDirectoryServic e WindowsイベントログのDirectory Serviceログ EventLogFileRepService Windowsイベントログのファイル複製サービスログ EventLogDFSReplication WindowsイベントログのDFSレプリケーションログ EventLogHardwareEvent s Windowsイベントログのハードウェアイベントログ EventLogForwardedEven ts Windowsイベントログの転送されたイベントログ EventLogHVCfgAdmin Microsoft-Windows-Hyper-V-Config-Admin EventLogHVCfgOpe Microsoft-Windows-Hyper-V-Config-Operational EventLogHVHAAdmin Microsoft-Windows-Hyper-V-High-Availability-Admin EventLogHVHyAdmin Microsoft-Windows-Hyper-V-Hypervisor-Admin EventLogHVHyOpe Microsoft-Windows-Hyper-V-Hypervisor-Operational EventLogHVIMSAdmin Microsoft-Windows-Hyper-V-Image-Management-Service-Admin EventLogHVIMSOpe Microsoft-Windows-Hyper-V-Image-Management-ServiceOperational EventLogHVIntAdmin Microsoft-Windows-Hyper-V-Integration-Admin EventLogHVNetAdmin Microsoft-Windows-Hyper-V-Network-Admin EventLogHVNetOpe Microsoft-Windows-Hyper-V-Network-Operational EventLogHVSNAdmin Microsoft-Windows-Hyper-V-SynthNic-Admin EventLogHVSSAdmin Microsoft-Windows-Hyper-V-SynthStor-Admin EventLogHVSSOpe Microsoft-Windows-Hyper-V-SynthStor-Operational EventLogHVVMMSAdm in Microsoft-Windows-Hyper-V-VMMS-Admin EventLogHVWAdmin Microsoft-Windows-Hyper-V-Worker-Admin EventLogHVSFAdmin Microsoft-Windows-Hyper-V-SynthFc-Admin EventLogHVVIDAdmin Microsoft-Windows-Hyper-V-VID-Admin EventLogHVVMMSNet Microsoft-Windows-Hyper-V-VMMS-Networking EventLogHVVMMSOpe Microsoft-Windows-Hyper-V-VMMS-Operational EventLogHVVMMSSto Microsoft-Windows-Hyper-V-VMMS-Storage SolarisSyslog Solarisシステムログ SolarisSuLog Solaris suログ - 204 - 項目の値 ログ種別 SolarisLoginLog Solarisログインログ LinuxSyslog Linuxシステムログ HPUXSyslog HP-UXシステムログ HPUXSuLog HP-UX suログ AIXSyslog AIXシステムログ AIXSuLog AIX suログ IISNCSALog IISのNCSA 共通ログファイル形式 IISLog IISのMicrosoft IIS ログファイル形式 IISW3CLog IISのW3C拡張形式 ApacheAccessLog Apacheのアクセスログ NCSA 形式 ApacheErrorLog Apacheのエラーログ NREventLog ETERNUS NR1000F seriesイベントログ DTK Systemwalker Desktop Keeper バックアップコマンドにより出力され たログ CMGRCmdRevLog Systemwalker Centric Managerのリモートコマンド検索ログ CMGROpLog Systemwalker Centric Managerの[Systemwalkerコンソール]の監査 ログ CMGRSvacLog サーバアクセス制御の監査ログ CMGRSVOpLog Systemwalker Centric Managerのサーバ操作制御の監査ログ(注) OMGRLog Systemwalker Operation Managerの操作ログ 注) 旧バージョンのシステムで収集された監査ログ 正規化ログの管理 通常、正規化ディレクトリには定期的に分析する予定のある正規化ログを格納し、不要になり次第、圧縮または削除して ください。 監査ログや正規化ログを退避する場合は、監査ログ管理のmpatmmediacopy(収集ログ二次媒体複写コマンド)を使用し て退避します。 正規化ログを圧縮/解凍する場合は、mpatmarchive(収集したログの圧縮コマンド)/mpatmextract(圧縮したログの解凍 コマンド)を使用します。詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 すでに正規化ログを削除してしまった過去の監査ログに対して突発的な調査が必要になった場合は、必要なログを mpatalogcnvt(監査ログ正規化コマンド)で正規化して分析してください。 ネットワーク上のディスクを正規化ディレクトリとして使用することも可能です。 ポリシーを使用せずに収集定義を行った監査ログを分析する場合 監査ログを収集する場合、収集定義はポリシーを使用して行います。詳細は、“ポリシーを使用して設定する”を参照し てください。 しかし、収集定義をコマンドで行った場合、分析前に以下の手順で正規化を実施する必要があります。また、業務サー バからユーザ独自ログの収集を行っている場合、日付書式定義ファイルも転送する必要があります。 1. ユーザ独自ログ用の日付書式定義ファイルを格納する。 [Windowsの場合] 業務サーバからユーザ独自ログの収集を行っている場合、業務サーバ上にあるユーザ独自ログ用の日付書式定 義ファイル(*.fmt)を、監査ログ分析が導入された運用管理サーバの、Systemwalkerインストールディレクトリ \MPWALKER.DM\MpAtm\Analysis\サーバ名\ログ識別名 配下に、FTPコマンドで転送し、格納してください。 - 205 - [UNIXの場合] 業務サーバからユーザ独自ログの収集を行っている場合、業務サーバ上にあるユーザ独自ログ用の日付書式定 義ファイル(*.fmt)を、監査ログ分析が導入された運用管理サーバの、/etc/opt/FJSVmpatm/Analysis/サーバ名/ログ 識別名 配下に、FTPコマンドで転送し、格納してください。 WindowsとUNIXのどちらの場合においても、日付書式定義ファイルを変更する場合は、古い日付書式定義ファイ ルを所定のディレクトリから別ディレクトリに移動するか削除し、新しい日付書式定義ファイルのみを格納してくださ い。 2. 監査ログファイルを正規化する。 mpatalogcnvt(監査ログ正規化コマンド)を使用して、格納ディレクトリ配下に転送した監査ログファイルを、正規化 ディレクトリ配下に正規化してください。 以下は、すべての監査ログを正規化する例です。 [Windowsの場合] Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatalogcnvt [UNIXの場合] /opt/systemwalker/bin/mpatalogcnvt 11.1.2 問い合わせファイルを作成する 集計するときの問い合わせ条件(集計項目)や、表のレイアウトを設定するために、問い合わせファイルを作成します。 運用管理クライアント上で作成し、運用管理サーバに登録します。 問い合わせファイルを作成する 問い合わせファイルの作成について、以下の2とおりの方法を説明します。 ・ 導入時にインストールされた問い合わせサンプルファイルをカスタマイズする ・ 問い合わせファイルを新規作成する 作成した問い合わせファイルはそれを使用する他の運用管理クライアントや運用管理サーバへコピーしてください。 導入時にインストールされた問い合わせサンプルファイルをカスタマイズする 監査ログ分析機能をインストールしたとき、問い合わせサンプルファイルは、運用管理クライアントに格納されます。この 問い合わせサンプルファイルをカスタマイズし、運用管理クライアントに保存します。 1. 問い合わせサンプルファイルを、任意のディレクトリにコピーします。 問い合わせサンプルファイルのインストール先は“Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata \sample\total”です。 - 206 - 2. [スタート]/[アプリ]-[Interstage Navigator Client]-[Navigator クライアント]を選択します。 →[Navigator クライアント]が起動されます。 3. [Navigator クライアント]から[ファイル]メニューの[開く]を選択します。 →[開く]ダイアログボックスが表示されます。 [開く]ダイアログボックスで、手順1.で任意のディレクトリにコピーしたカスタマイズ用の問い合わせファイルを選択 します。 →[サーバに接続]画面が表示されます。 - 207 - 4. [サーバに接続]画面において、Interstage Navigator Serverに接続するためのユーザ名とパスワード、Interstage Navigator Serverがインストールされた運用管理サーバのサーバ名を入力し、[OK]ボタンをクリックします。 →以下の確認メッセージが表示されます。 5. 問い合わせファイルをカスタマイズするので、[いいえ]ボタンをクリックします。 →[レイアウトの指定]画面が表示されます。 - 208 - 6. 集計内容をカスタマイズし、[OK]ボタンをクリックします。 →以下の確認メッセージが表示されます。 7. [いいえ]ボタンをクリックします。 注意 ボタンの選択についての注意事項 ここでは、集計処理を実行しません。誤って[はい]ボタンをクリックした場合、集計が実行されてしまいます。 →集計結果画面が表示されます。 手順7.で[いいえ]を選択しているため、実データは表示されません。 - 209 - 8. [Navigatorクライアント]画面の[ファイル]メニューから[上書き保存]を選択します。 →問い合わせファイルが、運用管理クライアント上に保存されます。 9. [ファイル]メニューから[終了]を選択し、Navigatorクライアントを終了します。 問い合わせファイルを新規作成する 新規作成した問い合わせファイルは、運用管理クライアント上に保存します。問い合わせファイルを新規に作成する手順 を説明します。 - 210 - 1. [スタート]/[アプリ]-[Interstage Navigator Client]-[Navigator クライアント]を選択します。 →[Navigator クライアント]が起動されます。 2. [Navigator クライアント]から[ファイル]メニューの[新規作成]-[問い合わせ表]を選択します。 →[サーバに接続]画面が表示されます。 3. [サーバに接続]画面において、Interstage Navigator Serverに接続するためのユーザ名とパスワード、Interstage Navigator Serverがインストールされた運用管理サーバのサーバ名を入力し、[OK]ボタンをクリックします。 →[Navigator クライアント]画面が表示されます。 - 211 - 4. [ファイル]メニューから[新規作成]-[問い合わせ表]を選択します。 - 212 - →[レイアウトの指定]画面が表示されます。 5. 集計内容を作成後、[OK]ボタンをクリックします。 →以下の確認メッセージが表示されます。 6. [いいえ]ボタンをクリックします。 注意 ボタンの選択についての注意事項 ここでは、集計処理を実行しません。誤って[はい]ボタンをクリックした場合、集計が実行されてしまいます。 - 213 - →集計結果画面が表示されます。 手順6.で[いいえ]を選択しているため、実データは表示されません。 7. [ファイル]メニューから[名前を付けて保存]を選択し、問い合わせファイルを保存します。 保存するディレクトリは、作業用ディレクトリを指定します。問い合わせファイル名は集計レポート出力コマンドで使 用するため、ASCII文字210文字以内またはシフトJIS文字105文字以内で指定してください。 →問い合わせファイルが、運用管理クライアント上に保存されます。 8. [ファイル]メニューから[終了]を選択し、[Navigator クライアント]画面を終了します。 11.1.3 正規化ログが改ざんされていないかを確認する 正規化ログの改ざん確認とは 分析に使用する正規化ログが改ざんされていないことを確認します。 改ざんされていないことを確認した後に、正規化ログを集計・検索に活用します。 正規化ログの改ざん確認を行う手順 正規化ログの改ざん確認するには、mpatmchecklog(収集ログの改ざん確認コマンド)を実行します。mpatmchecklog(収 集ログの改ざん確認コマンド)は、集計・検索に活用するための正規化ログに対して行います。 mpatmchecklog(収集ログの改ざん確認コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュ アル”を参照してください。 - 214 - 例) 正規化ディレクトリ内の日付:20090515の正規化ログの改ざん確認を行います。 mpatmchecklog -B 20090515 -K CSV 改ざん検出後の対処 正規化ログに対して改ざんを検出した場合、集計・検索に活用できません。 改ざんを検出した正規化ログは正規化ログが格納されているディレクトリ配下の“invalidlog”ディレクトリに移動されます。 正規化ログから改ざんが検出された場合は、以下の手順で該当する日付の監査ログを再度正規化してください。 1. 改ざんが検出された日付の正規化ログを削除します。 改ざんが検出された正規化ログファイル名から削除対象のサーバ名、ログ識別名と日付を確認します。 改ざんが確認された日付の監査ログを再正規化するために、運用管理サーバ上で正規化ログを削除します。 運用管理サーバ上でmpatmdellog(収集したログの削除コマンド)に“-K CSV”を指定し、実行してください。 mpatmdellog(収集したログの削除コマンド)で削除される正規化ログは、“-L”オプションで指定したディレクトリ、ま たは、正規化ディレクトリ(“-L”オプションを省略した場合)内の正規化ログ、および、そのディレクトリ配下の“invalidlog” ディレクトリ内の通番を含めた正規化ログです。 例) 正規化ディレクトリ内のサーバ:server、ログ識別名:ap、日付:20090515の正規化ログを削除します。 - 215 - mpatmdellog -H server -A ap -B 20090515 -K CSV 2. 改ざんが検出された日付の監査ログを再度正規化します。 改ざんが確認されたサーバ名、ログ識別名および“-B”オプションで該当日付を指定して、mpatalogcnvt(監査ログ 正規化コマンド)で再度正規化ログを作成します。 例) サーバ:server、ログ識別名:ap、日付:20090515の正規化ログを再作成します。 mpatalogcnvt -H server -A ap -B 20090515 -X YES 11.1.4 監査ログを集計する 収集された膨大な量の監査ログに対して、サーバへの不正アクセス件数や時間帯別のアクセス件数など、監査ログの分 析目的に沿った情報を集計項目として集計する機能です。 Interstage Navigator Serverと連携することにより、正規化ログの集計処理をGUIまたはコマンドで実施し、表形式(CSV形 式またはHTML形式)の集計結果を取得します。分析に必要な集計項目は、問い合わせファイルに設定し、運用管理 サーバに登録してあるため、どの運用管理クライアントで集計を実行しても同じ集計結果を得ることができます。 実行手順 問い合わせファイルを実行することにより、集計が行われます。 集計する正規化ログが圧縮されている場合は、事前にmpatmextract(圧縮したログの解凍コマンド)で解凍します。 問い合わせファイルを実行する 1. [スタート]/[アプリ]-[Interstage Navigator Client]-[Navigator クライアント]を選択します。 →[Navigator クライアント]が起動されます。 2. [Navigator クライアント]から[ファイル]メニューの[開く]を選択します。 →[開く]ダイアログボックスが表示されます。 [開く]ダイアログボックスで、問い合わせファイルを選択します。 - 216 - →[サーバに接続]画面が表示されます。 3. [サーバに接続]画面において、Interstage Navigator Serverに接続するためのユーザ名とパスワード、Interstage Navigator Serverがインストールされた運用管理サーバのサーバ名を入力し、[OK]ボタンをクリックします。 →以下の確認メッセージが表示されます。 4. [はい]ボタンをクリックします。 →集計処理が実施されます。 - 217 - →集計が終了したら、問い合わせ完了メッセージが表示されます。 5. [OK]ボタンをクリックします。 →集計結果がダウンロードされます。 →読み込み完了メッセージが表示されます。 - 218 - 6. [OK]ボタンをクリックします。 →集計が表示されます。 問い合わせファイルに設定した集計項目や、表のレイアウトどおりに集計が行われていることを確認します。 7. 集計結果を、保存します。 ポイント Navigatorクライアントのメッセージを抑止する 以下の設定を行うと、手順4.および手順5.で表示された、問い合わせ完了メッセージや読み込み完了メッセージを非表 示にすることができます。集計の完了に続いて結果がダウンロードされます。 - 219 - 1. [Navigator クライアント]画面の[ツール]メニューから[オプション]を選択し、[オプション]画面を表示します。 2. [画面]タブの[確認メッセージ]で、[少なくする]をチェックします。 3. [OK]ボタンをクリックします。 コマンドを実行する 集計は、運用管理サーバ上でコマンドを実行することによっても実施できます。集計に使用するコマンドは mpatareportput(集計レポート出力コマンド)です。引数として問い合わせファイルを指定します。 バッチファイルを、システムのスケジューラ機能などにスケジュール登録することにより、定期的に集計を実施することが できます。 以下に、本コマンドを使用したバッチファイルの例を示します。 例:アプリケーションイベントログの集計結果をデフォルトの出力ディレクトリ(Systemwalkerインストールディレクトリ \MPWALKER.DM\mpata\var\user\report)配下に出力する場合 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportput EventLogApplication.rne EventLogApplication mpatareportput(集計レポート出力コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル” を参照してください。 Interstage Navigator連携に関する注意事項 監査ログ分析機能は、Interstage NavigatorのCSVファイルの集計機能と連携することにより実現しています。Interstage Navigatorの仕様により生じる注意事項について説明します。 文字列条件指定で使用できない記号について 監査ログの集計機能では、分析の観点・目的にしたがって対象ログレコードを特定する条件を指定します。 例) 過去3日以内のログ、発生ホスト名にhhhを含む、ログテキスト中にxxxを含むなど。 条件を指定するときに、以下の記号を含む文字列を使用することはできません。 ・ シングルクオート(') - 220 - ・ カンマ(,) ・ 半角のアンダースコア(_) ・ 全角のアンダースコア(_) ・ 半角のパーセント記号(%) ・ 全角のパーセント記号(%) 文字列末尾の空白文字の扱いについて 監査ログ分析機能は、監査ログのログテキストから分析に必要な情報項目(ユーザ名や実行結果など)を抽出し、それを 分析のキーとして使用します。集計するときは、その分析のキーを使用し「実行ユーザごとに操作失敗の件数を出す」と いうような集計を行います。このとき、抽出した情報の末尾の空白はデータとして扱われず無視されます。 例) 以下のデータはすべて同一データとして扱われて集計されます(△は半角空白を表します)。 ・ ABC ・ ABC△ ・ ABC△△ 80バイトを超える文字列について 分析のキーとしてログテキストから抽出する文字列の長さは、ログや抽出情報の内容により変わります。しかし、Interstage Navigatorが分析のキーとして扱える情報の長さはShift-JISコードで80バイトまでです。80バイトを超える文字列は、80バ イトで切り捨てて実行されるため、80バイトまで同じで、81バイト以降が異なるような文字列は、同一文字列として扱われ ます。 制御文字について ログファイル中には、TAB文字や改ページなどの制御文字が含まれている場合がありますが、Interstage Navigatorでは、 制御文字を含んだ文字列を扱うことはできません。そのため監査ログ分析機能が、Interstage Navigatorと連携して処理 を実行するときは、ログファイル中の制御文字はすべて半角空白に置き換えて実行されます。 点検レポートの書式について 監査ログ分析機能が出力する点検レポート(HTML形式)は、Interstage Navigatorの問い合わせ結果の表を元にしていま す。問い合わせ結果の表は、分析のキーに使用した情報の値を縦方向・横方向に列挙して表示します。 例) リスクの高い操作を各ユーザが1日に何度実行しているかを分析する場合 条件指定によりリスクの高い操作のログを特定し、縦方向に実行ユーザ名、横方向に実行日付を表示させる 横方向に並べた情報の個数(上記の例では日数)が多い場合、表は横に長くなります。このような場合は、点検レポート の印刷を行うときには、HTML形式を扱えるツールを使用し、書式の整形を行ってください。 使用するデータベースについて Interstage Navigatorの運用にはデータベース製品が別途必要ですが、監査ログ分析機能との連携時には、Systemwalker Centric Managerのデータベースを使用することができます。 監査ログ分析機能との連携以外の用途でInterstage Navigatorを使用する場合は、対応するSymfoware/RDBなど、別途 データベース製品を導入してください。 辞書の更新を伴う機能について 運用管理サーバがクラスタ環境の場合、辞書の更新を伴う以下の機能は使用できません。 ・ メッセージ機能 ・ 個人の管理ポイント ・ 一般利用者による集計結果の二次加工 - 221 - ドリリング機能の制限 監査ログ分析機能とInterstage Navigatorが連携するときには、Interstage Navigator のドリリング機能は使用できません。 管理ポイントについて 管理ポイントに関連した以下の操作を実施しないでください。 管理ポイントの作成 管理ポイントを以下の方法で作成しないでください。 ・ カテゴリ型のデータ項目から作成 ・ カテゴリ型(全値型)の管理ポイントから作成 ・ 管理ポイントのインポートで作成 問い合わせの実行 表の種類が集計表または明細表であり、かつ表側または表頭にデータ項目または全値型管理ポイントを配置した場合、 以下を実施しないでください。 ・ 配置したデータ項目または全値型管理ポイントから作成したカテゴリ型管理ポイントを表側または表頭に配置 ・ [表のオプション指定]画面の[表側]タブで、[実績データのない行のみ表示する]または[すべての行を表示する]を選 択 ・ [表のオプション指定]画面の[表頭]タブで、[実績データのない列のみ表示する]または[すべての列を表示する]を選 択 ・ [表のオプション指定]画面の[その他]タブで、[コードで分類して集計]または[「未分類」として集計]または[「その他」 に含めて集計]を選択 管理ポイントの詳細指定 表側または表頭に配置したデータ項目または全値型管理ポイントに対しデータの並べ順を変更するため、[管理ポイント の詳細指定]画面で[データの並べ順を変更]を押下した場合、以下を実施しないでください。 ・ [カテゴリの読み込み]画面で、[全てのカテゴリを読み込む]を選択 ・ [カテゴリの読み込み]画面で、[カテゴリを検索して読み込む]かつ[サーバーから読み込む]を選択 11.1.5 監査ログを検索する 膨大な量の監査ログに対して、検索条件を設定し検索することによって、必要な情報だけを入手して監査ログを調査す ることができます。 検索条件は、保存できます。次回からは、保存されている検索条件を再利用すれば、条件を設定する手間が省け、簡単 に監査ログの検索を行うことができます。 保存した検索条件は、運用管理サーバに登録し管理します。複数の運用管理クライアントで検索条件を使用することが できます。 実行手順 集計する正規化ログが圧縮されている場合は、事前にmpatmextract(圧縮したログの解凍コマンド)で解凍します。 検索条件を設定する 検索条件を設定する手順を説明します。 1. [スタート]/[アプリ]-[Systemwalker Centric Manager]-[Systemwalkerコンソール]を選択します。 →[Systemwalkerコンソール]が起動されます。 - 222 - 2. [Systemwalkerコンソール]の[操作]メニューから[監査ログ分析]を選択します。 →[監査ログ分析]画面の[監査ログ分析-検索]画面が起動されます。 注意 [監査ログ分析]画面を使用する場合の留意事項 監査ログ分析のメニューから[ヘルプ]-[ヘルプ目次]を選択した場合、以下のメッセージで[Windowsセキュリティ の重要な警告]ダイアログが表示されることがあります。 コンピュータを保護するため、このプログラムの機能の一部がWindowsファイアウォー ルでブロックされています。 このプログラムをブロックし続けますか? 名前(N): javaw 発行元(P): 不明 このような場合には[Windowsセキュリティの重要な警告]ダイアログで、[ブロックする]、[ブロックを解除する]あるい は[後で確認する]のいずれかのボタンを押してダイアログを閉じてください。どのボタンを押しても問題なくヘルプ が表示されます。 3. [監査ログ分析-検索]画面は、以下の条件をすべて満たしているユーザだけが使用できます。 - Systemwalker Centric Manager に て “ DmReference ” 、 “ DmOperation ” 、 ま た は “ DmAdmin ” お よ び “SecurityAuditor”の両方のロールに所属している。 - コンソール操作制御機能を導入している場合、同機能の“操作制御マネージャ起動条件記述ファイル”にお いて、本機能の操作名“com.fujitsu.swsi.swcent.audittrail.retrieval”に対する操作が可能な権限が定義されて いる。 - 223 - 同じ運用管理サーバに接続している各[監査ログ分析]画面から起動できる[監査ログ分析-検索]画面は、合計で 最大50個です。 ロール、およびコンソール操作制御機能の詳細については、"コンソール操作制御機能で認証する"を参照してく ださい。 監査ログ分析機能の以下の画面において、画面タイトルに“[通番:接続先運用管理サーバのホスト名:Systemwalker コンソールにログインしたユーザーID]”が表示されます。 - 監査ログ分析-検索 - ディレクトリ参照 - 条件の追加(※) - 条件の編集(※) - 条件の追加(実行ホスト) - 条件の編集(実行ホスト) - ノード選択 - 条件の追加(日付) - 条件の編集(日付) - 条件の追加(時刻) - 条件の編集(時刻) - 検索条件の選択 - 検索条件の確認 - 224 - - 検索条件の管理 - カテゴリーの選択 - カテゴリーの追加 - 検索条件保存ファイル情報の編集 - 検索条件保存ファイルの取り込み - 表示項目の設定 - 日時調節 - CSV形式で保存 - 検索条件反映項目の選択 (※)日付、時刻、実行ホスト以外の文字検索の条件 [監査ログ分析-検索]画面は複数起動できます。複数起動した場合は、[監査ログ分析-検索][監査ログ分析- 検索(2)][監査ログ分析-検索(3)]のように、連番がつきます。複数起動していた[監査ログ分析-検索]画面をす べて終了したのち、[監査ログ分析-検索]画面を起動した場合には、はじめから番号がふられます。 4. [正規化ログの格納場所]の[参照]ボタンをクリックします。 初期表示は、[(デフォルトの格納ディレクトリ)]です。デフォルトの格納ディレクトリとは、mpatacnvtdef(正規化ログ格 納先定義コマンド)で定義した正規化ディレクトリを指しています。 →[ディレクトリ参照]画面が表示されます。 5. 正規化ログファイルが格納されているディレクトリを選択し、[OK]ボタンをクリックします。 →[正規化ログの格納場所]にディレクトリパス名が表示されます。 - 225 - 6. [検索開始日時]を設定します。 [監査ログ分析-検索]画面の起動時には、初期値として現在の時刻から10分前の時刻が設定されています。 検索開始日時を指定しない場合は、チェックボックスを“OFF”にします。 7. [検索終了日時]を設定します。 [監査ログ分析-検索]画面の起動時には、現在の時刻が設定されています。 検索終了日時を指定しない場合は、チェックボックスを“OFF”にします。 8. 検索条件を設定します。 [検索条件の設定]に表示される項目は、正規化ログの項目名です。選択する項目によって、検索条件の設定内 容が異なります。 以下に、項目名と検索名の一覧を示します。 正規化ログの項目名の詳細は、“正規化されたログ項目”を参照してください。 項番 [検索条件の設定]に 表示される項目 検索型 検索結果一 覧での初期 表示 1 日付 日付検索 - 2 時刻 時刻検索 - 3 曜日 選択検索 - 4 操作場所 文字検索 ○ 5 操作IPアドレス 文字検索 ○ 6 実行ホスト 実行ホスト 検索 ○ 7 実行IPアドレス 文字検索 ○ 8 操作者 文字検索 ○ 9 操作対象 文字検索 ○ 10 操作種別 文字検索 ○ 11 操作内容 文字検索 ○ 12 実行結果 選択検索 ○ 13 コンポーネント 文字検索 ○ 14 追加情報 文字検索 ○ 15 深刻度 選択検索 ○ 16 ログテキスト 文字検索 ○ 17 ログ種別 選択検索 ○ 18 拡張値1 文字検索 ○ 19 拡張値2 文字検索 ○ 20 拡張値3 文字検索 ○ 21 拡張値4 文字検索 ○ 22 拡張値5 文字検索 ○ 23 拡張値6 文字検索 ○ 24 拡張値7 文字検索 ○ 25 拡張値8 文字検索 ○ 26 拡張値9 文字検索 ○ 27 拡張値10 文字検索 ○ 備考 ノード検索を行うときに 使用します。 - 226 - 項番 [検索条件の設定]に 表示される項目 検索型 検索結果一 覧での初期 表示 28 拡張値11 文字検索 - 29 拡張値12 文字検索 - 30 拡張値13 文字検索 - 31 拡張値14 文字検索 - 32 拡張値15 文字検索 - 33 拡張値16 文字検索 - 34 拡張値17 文字検索 - 35 拡張値18 文字検索 - 36 拡張値19 文字検索 - 37 拡張値20 文字検索 - 備考 ○:初期表示されます。 -:初期表示されません。 なお、各項目に設定された検索条件の内容は、[検索条件の確認]ボタンで参照することができます。 文字検索の場合 [検索条件の設定]に表示される項目において、文字検索に該当する項目を選択した場合、文字検索の条件を入 力します。 a. 以下のいずれかのボタンを選択します。 - [一覧の値いずれかを含む]:「条件一覧」に設定した値を含むログ情報を検索します。一覧に値を複数 設定した場合は、OR条件で検索します。 - [一覧の値すべてを含まない]:「条件一覧」に設定した値を含まないログ情報を検索します。一覧に値を 複数設定した場合は、AND条件で検索します。 - 227 - b. [追加]ボタンをクリックします。 →[条件の追加(操作IPアドレス)]画面が表示されます。 c. 以下の値を設定し、[OK]ボタンをクリックします。 - [値]:検索する値を設定します。入力可能な最大文字数は、1024文字です。任意の文字を入力できま す。 - [一致の判定方法]:検索する値の判定方法を指定します。 →[条件値一覧]に値(文字検索の内容)が表示されます。 値を複数設定する場合は、b)からc)を繰り返します。 実行ホスト検索の場合 [検索条件の設定]に表示される項目において、実行ホストに該当する項目を選択した場合、実行ホスト検索の条 件を入力します。 a. 以下のいずれかのボタンを選択します。 - [一覧の値すべてを含む]:「条件一覧」に設定した値を含むログ情報を検索します。一覧に値を複数設 定した場合は、OR条件で検索します。 - [一覧の値すべてを含まない]:「条件一覧」に設定した値を含まないログ情報を検索します。一覧に値を 複数設定した場合は、AND条件で検索します。 - 228 - b. [追加]ボタンをクリックします。 →[条件の追加(実行ホスト)]画面が表示されます。 c. 以下の値を設定し、[OK]ボタンをクリックします。 - [実行ホスト]:検索する値を設定します。入力可能な最大文字数は、256文字です。任意の文字を入力 できます。 - [一致の判定方法]:検索する値の判定方法を指定します。 または、[参照]ボタンをクリックします。 →[ノード選択]画面が表示されます。 条件に設定するノードを選択し、[OK]ボタンをクリックします。 →[条件値一覧]に値(実行ホスト検索の内容)が表示されます。 値を複数設定する場合は、b)からc)を繰り返します。 選択検索の場合 - 229 - [検索条件の設定]に表示される項目において、選択検索に該当する項目を選択した場合、選択検索の条件を入 力します。 [候補一覧]から条件となる値を選択し、[選択一覧]へ追加します。[候補一覧]の値は複数選択できます。値を複数 設定した場合は、OR条件で検索されます。 なお、項目として[ログ種別]を選択した場合、ユーザ独自ログおよびDTKログについては、[候補一覧]にログ識別 名がすべて小文字で表示されます。 例1) ログ識別名が“XXXXX”であるユーザ独自ログの場合、[候補一覧]に“xxxxx”と表示されます。 - 230 - 例2) ログ識別名が“DTKXXXXX”であるDTKログの場合、[候補一覧]に“dtkxxxxx”と表示されます。 日付検索の場合 [検索条件の設定]に表示される項目において、日付検索に該当する項目を選択した場合、日付検索の条件を入 力します。 - 231 - a. [追加]ボタンをクリックします。 →[条件の追加(日付)]画面が表示されます。 b. 以下の値を設定し[OK]ボタンをクリックします。 - [月日指定]:ラジオボタンを選択すると、開始月日、終了月日が使用可能になります。開始日付、終了 日付はグレー表示されます。 - [日付指定]:ラジオボタンを選択すると、開始日付、終了日付が使用可能になります。開始月日、終了 月日はグレー表示されます。 開始日付>終了日付の値を指定した場合、月またぎの範囲で指定されることになります。 以下の場合、2006/10/25~2006/11/5までに含まれるログ情報が対象となります。 検索開始日時:2006/10/1 00:00:00 検索終了日時:2006/11/30 00:00:00 開始日付:25 終了日付:5 →[条件値一覧]に値(日付検索の内容)が表示されます。 条件を複数設定する場合は、a)からb)を繰り返します。入力できる条件の数は、最大100件です。入力した条件は OR条件で検索されます。 時刻検索の場合 [検索条件の設定]に表示される項目において、時刻検索に該当する項目を選択した場合、時刻検索の条件を入 力します。 - 232 - a. [追加]ボタンをクリックします。 →[条件の追加(時刻)]画面が表示されます。 b. 以下の値を設定し[OK]ボタンをクリックします。 - [開始時刻]:検索する時刻範囲の開始時刻を設定します。[終了時刻]より大きな値を指定することがで きます。 - [終了時刻]:検索する時刻範囲の終了時刻を設定します。[開始時刻]より大きな値を指定することがで きます。 開始時刻>終了時刻の値を指定した場合、日またぎの範囲で指定されることになります。 以下の場合、2006/10/1~2006/10/2までの23:00:00から02:00:00に含まれるログ情報が対象となります。 検索開始日時:2006/10/1 00:00:00 検索終了日時:2006/10/2 23:59:59 開始時刻:23:00:00 終了時刻:02:00:00 →[一覧]に値(時刻検索の内容)が表示されます。 日付の範囲を複数設定する場合は、a)からb)を繰り返します。 入力できる条件の数は、最大100件です。入力した条件はOR条件で検索されます。 - 233 - 9. [検索条件の保存・管理]ボタンをクリックします。 →[検索条件の管理]画面が表示されます。 10. 設定情報を確認し、以下の情報を設定します。 - [検索条件の保存名]:保存する検索条件に付ける名前を入力します。入力可能な最大文字数は64文字です。 以下の文字を除く任意の文字を入力できます。 - * (アスタリスク) - ? (疑問符) - : (コロン) - " (ダブルクォーテーション) - < (左アングルブラケット) - > (右アングルブラケット) - | (パイプ) - \(円記号) - / (スラッシュ) - [コメント]:保存する検索条件に付けるコメントを入力します。入力可能な最大文字数は、100文字です。任意 の文字を入力できます。 - 234 - - [登録先カテゴリー選択]:登録先のカテゴリーを選択します。 未選択の場合は、カテゴリーのルートに登録されます。直接入力はできません。 または、[カテゴリー参照]ボタンをクリックします。 →[カテゴリーの選択]画面が表示されます。 登録先のカテゴリーを選択します。 カテゴリーを選択する場合は、あらかじめカテゴリーを登録しておく必要があります。カテゴリーの登録につい ては、“カテゴリーの登録”を参照してください。 11. [保存]ボタンをクリックします。 →検索条件が運用管理クライアント上の以下のフォルダに保存されます。 Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\data\retrieval ポイント 検索条件を他の運用管理クライアントでも使用する 保存した検索条件を他の運用管理クライアントでも使用する場合は、以下の手順で検索条件ファイルを移行してくださ い。 1. 検索条件ファイルを、使用したい運用管理クライアントへコピーします。 2. コピー先運用管理クライアント上の[監査ログ分析-検索]画面で[検索条件の管理]画面を起動します。 3. [編集]タブの[検索条件登録情報の操作]内の[取り込み]で、コピーした検索条件ファイルを取り込みます。 ポイント 検索条件のクリア 以下の操作を行うと検索条件がクリアされます。検索条件を保存する場合は、クリア操作を行う前に実施してください。 ・ [クリア]ボタンをクリックする ・ 検索条件選択にて初期値の「選択してください」を選択する ・ [検索条件の管理]画面の[編集]タブにおいて、現在選択中の検索条件を変更、または削除する - 235 - カテゴリーの登録 検索条件を登録するカテゴリーは、検索条件や用途に応じて作成できます。以下に作成手順を説明します。 1. [監査ログ分析-検索]画面で[検索条件の保存・管理]ボタンをクリックします。 →[検索条件の管理]画面が表示されます。 2. [編集]タブを選択します。 →カテゴリーのルートである[検索条件]が、[検索条件登録一覧]に表示されます。カテゴリーは、フォルダのアイコ ンとして表示されます。 3. [検索条件登録一覧]の[検索条件]フォルダを選択します。 4. [カテゴリーの登録情報の操作]の[追加]ボタンをクリックします。 →[カテゴリーの追加]画面が表示されます。 - 236 - 5. 以下の値を設定し[OK]ボタンをクリックします。 - [カテゴリー名]:登録するカテゴリー名を設定します。入力可能な最大文字数は64文字です。以下の文字を除 く任意の文字を入力できます。 - * (アスタリスク) - ? (疑問符) - : (コロン) - " (ダブルクォーテーション) - < (左アングルブラケット) - > (右アングルブラケット) - | (パイプ) - \(円記号) - / (スラッシュ) - [コメント]:保存するカテゴリー情報に付けるコメントを入力します。入力可能な最大文字数は100文字です。任 意の文字を入力できます。 →登録したカテゴリーが[検索条件登録一覧]に表示されます。 検索する 保存されている検索条件を指定し、検索を行います。以下に手順を説明します。 1. [監査ログ分析]画面を起動し、[監査ログ分析-検索]画面を表示します。 - 237 - 2. [検索条件参照]ボタンをクリックします。 →[検索条件の選択]画面が表示されます。 検索条件の登録情報は、ツリー形式で表示されます。 カテゴリーは、フォルダのアイコンで表示されます。 検索条件は、ファイルのアイコンで表示されます。 3. 実行する検索条件を選択し、[OK]ボタンをクリックします。 - 238 - 4. [監査ログ分析-検索]画面で、[検索開始]ボタンをクリックします。 →検索が開始され、[検索結果一覧]タブが表示されます。 検索中に、検索条件に該当するログ情報が1000件(初期値)を超えた場合は、エラーメッセージが表示され、検索が中断 されます。1001件目以降のログ情報を表示する場合は、[次へ]ボタンをクリックします。 ポイント 検索の所要時間例 以下に所要時間の例を示します。 なお、検索の所要時間(検索開始から検索結果表示完了まで)は、正規化ログの量や検索条件の内容、ハードウェア/通 信環境などの要因によって変動します。 ・ 測定環境 - 運用管理サーバ OS Windows Server 2008 R2 CPU Core 2 Quad Q6600 2.4GHz×4 メモリ 4GB - 運用管理クライアント OS Windows(R) 7 Enterprise CPU Core 2 Quad Q6600 2.4GHz×1 メモリ 1GB - 239 - ・ 検索の所要時間 170秒 ・ 検索条件 正規化ログのファイル数 10個 正規化ログの合計サイズ 2048MB 検索条件数 4(検索開始日時、および検索終了日時を含む) ヒット件数 1000 検索結果を確認する 検索結果の一覧から、詳細情報を表示して確認します。 1. [監査ログ分析-検索]画面の[検索結果一覧]タブで、確認するログ情報を選択し、[検索結果詳細表示]ボタンを クリックします。 - 240 - →[検索結果詳細]タブが表示され、対象ログの詳細情報が表示されます。 2. 検索結果を確認します。 3. [監査ログ分析-検索]画面の[検索結果一覧]タブで、[CSV形式で保存]ボタンをクリックします。 →[CSV形式で保存]画面が表示されます。 4. 保存方法や文字コードを選択し、[OK]ボタンをクリックします。 →ファイル保存用のダイアログボックスが表示されます。 5. ファイル名を入力してファイルを保存します。 →検索結果がCSVファイルに保存されます。 - 241 - CSVファイルの保存場所のデフォルト値は、“Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\var \user\csv”です。また、ファイル名の初期値は、“retrieval.csv”です。 注意 ディスク容量についての注意事項 大量の検索結果を出力する場合、出力先のディスク容量が不足しないように注意してください。目安として、2×検索結 果の件数(KB)のディスク容量が必要になります。 出力する正規化ログの件数が10,000件を超えている場合は、10,000件ごとに複数のファイルに分割されて出力されま す。正規化ログが分割された場合、ファイル名(拡張子なし)の後ろに通し番号がつきます。 例)Abc.csvを指定して、イベントの件数が25,000件の場合 Abc.csv 1件目~10,000件目 Abc_1.csv 10,001件目~20,000件目 Abc_2.csv 20,001件目~25,000件目 [監査ログ分析-検索]画面の[検索結果一覧]タブでは他に以下の操作が可能です。操作の詳細はヘルプを参照してく ださい。 ・ 表示項目の設定 検索結果の一覧に表示する項目の選択・順序の変更を行います。 [表示項目の設定]ボタンのクリックにより設定画面が表示されます。 ・ 日時調節 検索結果の一覧に表示する日時の値を実行ホスト単位に変更します(進める/遅らせる)。 ホスト間で時間(時計)にずれがある場合にそのずれを調整して表示させることができます。 [日時調節]ボタンのクリックにより設定画面が表示されます。 ・ 選択行を条件に反映 検索結果の一覧の中から選択した監査ログの情報を検索条件にコピーします。 検索された監査ログの操作者名などの値を次に行う検索の条件とする場合などに使用します。 [選択行を条件に反映]ボタンのクリックにより設定画面が表示されます。 検索画面の初期状態を変更する 検索条件として初期表示される値や、メッセージボックスの表示/非表示など、検索機能でカスタマイズ可能な情報があり ます。 カスタマイズ可能な情報は以下のとおりです。 ・ 検索範囲の指定(時間) ・ 検索結果一覧の最大表示件数 ・ [検索開始]/[次へ]ボタン押下後のタイムアウト時間 ・ 検索を開始する際の検索対象ログファイルのファイル数と合計サイズの表示/非表示 ・ 検索条件を削除する場合の確認メッセージボックスの表示/非表示 ・ 検索条件を読み込む際の確認メッセージボックスの表示/非表示 情報を設定する画面の表示手順を以下に説明します。 1. [監査ログ分析]画面を起動します。 2. [ウィンドウ]メニューから[設定]を選択します。 - 242 - 3. ツリー内のフォルダ[監査ログ分析-検索]を選択します。 →[設定]画面が表示されます。 4. カスタマイズする情報を設定します。 11.1.6 点検結果を出力する 監査ログを分析した結果をもとに、システムに対する不正な行為の有無など運用状況を点検結果として報告します。監 査ログ分析機能では、簡単な操作によって、レポートを作成することができます。 点検結果をレポート出力する mpatareportput(集計レポート出力コマンド)で、出力形式をHTML形式(-O HTMLオプション指定)にした場合、以下の一 般的なレポート形式で集計結果を出力することができます。 - 243 - mpatareportput(集計レポート出力コマンド)で出力したレポートには、分析結果を点検した担当者名や点検コメントは出 力されません。 集計レポートに、点検した担当者名や点検コメントを追加する場合は、以下の手順が必要です。 - 244 - 1. 監査ログをmpatareportput(集計レポート出力コマンド)を利用して集計し、結果を出力します。 運用管理サーバで、mpatareportput(集計レポート出力コマンド)に問い合わせファイルを指定して実行します。集 計は、スケジューラに登録して実行します。mpatareportput(集計レポート出力コマンド)の詳細については、 “Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 以下に、問い合わせファイル“EventLogApplication.rne”を使用して、アプリケーションイベントログの集計レポート “EventLogApplication”をデフォルトの出力ディレクトリ“Systemwalkerインストールディレクトリ\MPWALKER.DM \mpata\var\user\report”配下に出力するバッチファイルの例を示します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportput -O HTML EventLogApplication.rne EventLogApplication 2. 集計レポートの結果が出力されたファイルをコピーします。 FTPコマンドなどを使用して、運用管理サーバに出力された集計レポート結果ファイル(上記の例の場合、 Systemwalker イ ン ス ト ー ル デ ィ レ ク ト リ \ MPWALKER.DM \ mpata \ var \ user \ report \EventLogApplication_YYYYMMDD.html)を、運用管理クライアント上の任意のディレクトリにコピーします。本手 順は必要に応じてスケジューラに登録してください。 3. 点検担当者が集計レポートの結果出力ファイルを確認します。 レポートの点検担当者は、運用管理クライアント上にコピーされた集計レポートの結果出力ファイルをWebブラウザ などで開き、その内容を確認します。 4. 集計レポートの結果出力ファイルへ点検コメントを追加します。 運 用 管 理 ク ラ イ ア ン ト で 、 mpatareportcomment( 集 計 レ ポ ー ト コ メ ン ト 追 加 コ マ ン ド ) を 実 行 し ま す。 mpatareportcomment(集計レポートコメント追加コマンド)の詳細については、“Systemwalker Centric Managerリファ レンスマニュアル”を参照してください。 以下に、コマンドの実行例と、コメントを追加した集計レポートの出力例を示します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportcomment -U 佐藤 -C "夜間の不正なアクセスはありません。" C:\temp \EventLogApplication_20061102.html C:\temp \EventLogApplication_20061102_CHECK.html - 245 - 11.1.7 正規化ログを保管する 運用管理サーバ上の正規化ディレクトリが存在するローカルディスクや二次媒体装置のディスク容量を効率的に使用す るために、mpatalogcnvt(監査ログ正規化コマンド)で作成した正規化ログを圧縮して保管します。 なお、圧縮した正規化ログは集計機能や検索機能、テキストビューアなどで利用することができません。正規化ログを利 用する場合は、事前に圧縮した正規化ログを解凍してください。正規化ログの圧縮および解凍を、ログの検索中、集計 中、または正規化中に行う運用は避けてください。スケジュール登録による自動運用では、正規化ログの各処理の実行 間隔を十分あけてください。 - 246 - ETERNUS AS500アーカイブストレージに正規化ログを格納する場合は、データの圧縮処理を装置内で行うため、本機 能で圧縮する必要はありません。 また、ETERNUS 1000FシリーズのWORM機能を利用した装置、または読み取り専用の装置に保管した圧縮ログはロー カルディスク上に解凍してください。 正規化ログの圧縮方法 正規化ログを圧縮する場合は、mpatmarchive(収集したログの圧縮コマンド) のオプション(-K、-L)を指定して実行しま す。 圧縮した正規化ログは、対象ファイルが存在するディレクトリに作成されます。 mpatmarchive(収集したログの圧縮コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照 してください。 圧縮した正規化ログのファイル名 正規化ログを圧縮すると、正規化ログのファイル名の拡張子が“csv”から“csva”に変換されます。 サーバ名_ログ識別名_文字コード_YYYYMMDDCCC.csva サーバ名: 収集対象のサーバ名 ログ識別名: 収集するログファイルの識別子 文字コード: 収集対象サーバのOSの文字コード YYYYMMDD: 収集対象ファイルの最終更新日付 CCC: 001~999の通番(正規化ログのファイルサイズが2GBを超過している場合、または同一監査ログの差分を正規化した 場合) - 247 - 運用の手順 1. 運用管理サーバでmpatmarchive(収集したログの圧縮コマンド)を実行します。 例) 正規化ログを圧縮 (2ヶ月前から1ヶ月前の正規化ディレクトリ内の正規化ログを対象) mpatmarchive -F 62 -T 31 -K CSV 運用を自動化する場合は、上記のコマンドをジョブスケジューラやOS標準のタスクスケジューラ、バッチ処理に追 加してください。 2. 運用管理サーバでmpatmmediacopy (収集ログ二次媒体複写コマンド)を実行します。 オプション(-K CSVA)を指定し、圧縮した正規化ログを二次媒体へ複写します。 例) 二次媒体装置に正規化ログを複写 (3ヶ月前から6ヶ月前の正規化ディレクトリ内の正規化ログを対象) mpatmmediacopy -F 186 -T 93 -K CSVA 運用を自動化する場合は、上記のコマンドをジョブスケジューラやOS標準のタスクスケジューラ、バッチ処理に追 加してください。 3. 二次媒体装置に複写した正規化ログを削除します。OS標準のファイル削除コマンドを使用してください。 運用を自動化する場合は、ファイル削除コマンドをジョブスケジューラやOS標準のタスクスケジューラ、バッチ処理 に追加してください。 正規化ログの解凍方法 圧縮した正規化ログを解凍する場合は、mpatmextract(圧縮したログの解凍コマンド) のオプション(-K、-L)を指定して実 行します。 圧縮した正規化ログのファイル名に記載された、サーバ名、ログ識別名、収集日付を元に解凍する正規化ログを選び、 圧縮した正規化ログを解凍します。 mpatmextract(圧縮したログの解凍コマンド)の詳細は、“Systemwalker Centric Managerリファレンスマニュアル”を参照し てください。 運用の手順 二次媒体から対象となる圧縮した正規化ログを任意のディレクトリ(C:\temp)に取り出します。圧縮した正規化ログのファ イル名から該当する期間の圧縮した正規化ログを判断します。 運用管理サーバでmpatmextract(圧縮したログの解凍コマンド)を実行します。オプション(-L)で任意のディレクトリを指定 します。 例) 任意のディレクトリ(C:\temp)に取り出した2010年4月1日から2010年4月30日の正規化ログを解凍 mpatmextract -B 20100401 -E 20100430 -L C:\temp -K CSVA 11.1.8 正規化ログを削除する 正規化ログファイルを保管した後は、ローカルディスクを効率的に使用するため、ログの集計、検索で使用しなくなった 正規化ログをローカルディスク上から削除することができます。 正規化ログを削除する場合は、運用管理サーバ上でmpatmdellog(収集したログの削除コマンド)に“-K CSV”を指定し、 実行してください。 mpatmdellog(収集したログの削除コマンド)で削除される正規化ログは、“-L”オプションで指定したディレクトリ、または、 正規化ディレクトリ(“-L”オプションを省略した場合)内の正規化ログ、および、そのディレクトリ配下の“invalidlog”ディレク トリ内の通番を含めた正規化ログです。 mpatmdellog(収集したログの削除コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル” を参照してください。 - 248 - 例) 正規化ディレクトリ内のサーバ:server、ログ識別名:ap、日付:20080515の正規化ログを削除します。 mpatmdellog -H server -A ap -B 20080515 -K CSV 注意 正規化ログを削除する場合 ・ 以下の場合は、正規化ログの削除は、行わないでください。 - 監査ログの検索を行っている場合 - 監査ログの集計を行っている場合 - 監査ログの正規化を行っている場合 - 正規化ログの改ざんチェックを行っている場合 ・ スケジュール登録による自動運用では、正規化ログの各処理の実行間隔を十分あけてください。 ・ mpatmdellog(収集したログの削除コマンド)で指定した正規化ログを削除した後に、再度、mpatalogcnvt(監査ログ正 規化コマンド)を実行した場合、差分ではなく、正規化ログの再作成になります。 例) 正規化ディレクトリ内のサーバ:server、ログ識別名:ap、3ヶ月前から6ヶ月前の正規化ログを削除します。 mpatmdellog -H server -A ap -F 186 -T 93 -K CSV 11.2 Systemwalker Centric Managerの監査ログを分析する 11.2.1 root権限での操作を点検するには SolarisおよびLinuxのシステムにおいて、不当にroot権限を使用していないかを分析するためには、分析対象の監査ロ グを運用管理サーバに収集し、分析用に変換(正規化)する必要があります。また、分析するための集計項目や集計結 果を表示する表のレイアウトを定義する必要があります。 この章では、監査ログを収集し正規化するための設定と、監査ログを分析するための設定について説明します。 Linux版を使用している場合 アクセス監査ログを使用するとroot権限での操作内容を詳細に点検できます。アクセス監査ログの点検については、“サー バの操作を点検するには”を参照してください。 - 249 - 11.2.1.1 監査ログを収集し正規化する Solaris、Linux、HP-UX、およびAIXのシステムにおいて、不当にroot権限を使用していないかを分析するために必要な 監査ログは、部門管理サーバや業務サーバで採取します。部門管理サーバや、業務サーバにある監査ログを運用管理 サーバに収集するための設定は、以下の順で行います。 1. 採取する監査ログを定義する 2. 接続可能一覧ファイルを作成する 3. 監査ログの格納先を定義する 4. スケジューラに監査ログを収集し正規化するコマンドを登録する 採取する監査ログを定義する 部門管理サーバ、業務サーバにおいて以下のログを採取するよう定義します。 ・ UNIXシステムログ(Solaris) ・ UNIXシステムログ(Linux) ・ HP-UXシステムログ ・ AIXシステムログ ・ Solaris suログ ・ HP-UX suログ ・ AIX suログ 【Solarisの場合】 採取する監査ログのログ識別名は、SolarisSuLogです。 /opt/systemwalker/bin/mpatmlogapdef REP -A SolarisSuLog -E YES 【Linuxの場合】 採取する監査ログのログ識別名は、LinuxSyslogです。 /opt/systemwalker/bin/mpatmlogapdef REP -A LinuxSyslog -E YES 【HP-UXの場合】 採取する監査ログのログ識別名は、HPUXSuLogです。 /opt/systemwalker/bin/mpatmlogapdef REP -A HPUXSuLog -E YES 【AIXの場合】 採取する監査ログのログ識別名は、AIXSuLogです。 /opt/systemwalker/bin/mpatmlogapdef REP -A AIXSuLog -E YES mpatmlogapdef(ログ収集設定コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してく ださい。 接続可能一覧ファイルを作成する 運用管理サーバ-被管理サーバ(部門管理サーバ/業務サーバ)間でログ収集を行う場合、被管理サーバ上の接続 可能一覧ファイルに、接続元運用管理サーバの情報(サーバ名、またはIPアドレス)を記述することで収集対象の運用管 理サーバをチェックし、指定した運用管理サーバ以外からの収集を抑止することができます。 接続可能一覧ファイルについての詳細は、“収集対象のサーバを限定する”を参照してください。 - 250 - 監査ログの格納先を定義する 運用管理サーバにおいて、部門管理サーバ、業務サーバから収集した監査ログを格納するディレクトリを定義します。 例として、C:\mpatm\rootlogに格納します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatmtrsdef REP -S C:\mpatm \rootlog mpatmtrsdef(ファイル転送情報定義コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照 してください。 スケジューラに監査ログを収集し正規化するコマンドを登録する システムに対する不当な操作をできるだけ早く発見するため、監査ログの収集、正規化は毎日実施する必要があります。 監査ログの収集・正規化によるサーバへの負荷を減らし、通常業務に支障をきたさないように、作業は夜間に行うことが 必要です。そのためには、運用管理サーバにおいて、OSに標準で提供されている「タスク」などのスケジューラ機能に、 監査ログ収集と正規化を実行するスケジュールを登録し、自動で作業できるようにする必要があります。 以下に、スケジューラに登録するコマンドを示します。 1. 監査ログを収集するコマンド 部門管理サーバ、業務サーバから監査ログを収集するようにコマンドを登録します。 例として、部門管理サーバのサーバ名がserver1である場合のコマンドを以下に示します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatmlog -H server1 2. 収集した監査ログを正規化するコマンド 【部門管理サーバ、業務サーバがSolarisの場合】 正規化する監査ログのログ識別名は、SolarisSuLogです。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatalogcnvt -H server1 -A SolarisSuLog -L C:\mpatm\rootlog 【部門管理サーバ、業務サーバがLinuxの場合】 正規化する監査ログのログ識別名は、LinuxSyslogです。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatalogcnvt -H server1 -A LinuxSyslog -L C:\mpatm\rootlog 【業務サーバがHP-UXの場合】 正規化する監査ログのログ識別名は、HPUXSuLogです。 Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\bin\mpatalogcnvt -H server1 -A HPUXSuLog -L C:\mpatm\rootlog 【業務サーバがAIXの場合】 正規化する監査ログのログ識別名は、AIXSuLogです。 Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\bin \mpatalogcnvt -H server1 -A AIXSuLog -L C:\mpatm\rootlog 例として、Solarisの業務サーバ(ホスト名がgyoumu1)と、Linuxの業務サーバ(ホスト名がgyoumu2)から監査ログを収集し 正規化する場合に、登録するコマンドを以下に示します。なお、収集した監査ログの格納先は、mpatmtrsdef(ファイル転 送情報定義コマンド)を使用してC:\mpatm\rootlogに設定済みであるとします。 C:\Systemwalker\MPWALKER.DM\bin\mpatmlog -H gyoumu1 C:\Systemwalker\MPWALKER.DM\bin\mpatmlog -H gyoumu2 - 251 - C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H gyoumu1 -A SolarisSuLog -L C:\mpatm\rootlog C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H gyoumu2 -A LinuxSyslog -L C: \mpatm\rootlog mpatmlog(ログ収集コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 mpatalogcnvt(監査ログ正規化コマンド) はオプション指定により正規化対象とする監査ログを種別やホスト・出力日など で絞り込んだり、正規化をテスト実行させることができます。mpatalogcnvt(監査ログ正規化コマンド)の詳細については、 “Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 11.2.1.2 問い合わせサンプルファイルを編集する 監査ログを分析するには、監査ログを集計するときの問い合わせ条件(集計項目)や、集計結果を表示する表のレイアウ トの設定条件を、問い合わせファイルに定義する必要があります。 セキュリティ管理者は、root権限の不正な使用を分析する場合の固有情報(実行ホスト、操作者、root権限での操作が不 当な時間帯)を設定するため、標準提供されている“root権限不当使用分析問い合わせサンプルファイル”をカスタマイ ズします。 監査ログ分析のための設定は、以下の順で行います。 1. root権限不当使用分析問い合わせサンプルファイルを編集する 2. root権限不当使用分析問い合わせサンプルファイルの動作確認をする 3. スケジューラに集計を実行するコマンドを登録する 注意 ユーザIDについての注意事項 Solaris suログではsu操作を行ったユーザIDと新ユーザIDの区切りにハイフンが使用されています。そのため、ハイフン (-)を含んだユーザIDは使用しないでください。 root権限不当使用分析問い合わせサンプルファイルを編集する 問い合わせサンプルファイルは、監査ログ分析機能をインストールしたときに、運用管理クライアントに格納されます。こ の問い合わせサンプルファイルをコピーしてカスタマイズします。問い合わせファイルの編集は、Interstage Navigatorで 行います。 サンプルファイルをコピーする 問い合わせサンプルファイルを、任意のディレクトリにコピーします。 問い合わせサンプルファイルのインストール先は“Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\sample \total”です。“root権限不当使用分析問い合わせサンプルファイル”のファイル名は“rootAuthorityUse.rne”です。 コピー先がc:\tempの場合の例を以下に示します。 copy c:\Systemwalker\MPWALKER.DM\mpata\sample\total\rootAuthorityUse.rne c: \temp 問い合わせファイルの編集する項目 “root権限不当使用分析問い合わせサンプルファイル”には、初期値として以下の条件が登録されています。 ・ 期間対象が開始日から終了日までである。かつ、 ・ ログ種別が、以下のどれかである。かつ、 - Solaris suログ - Linuxシステムログ - 252 - - HP-UX suログ - AIX suログである。 ・ 追加情報がrootである。かつ、 ・ 以下の条件のどれかに一致する。 - 時刻が、8時0分0秒より前である、または23時0分0秒以降である。 - 操作者がUSER1ではない、かつ、実行ホストがHOST1またはHOST2である。 - 操作者がUSER2ではない、かつ、実行ホストがHOST3またはHOST4である。 これらの条件のうち、時刻はroot権限の使用が許可されていない時間帯になるように、必要に応じて設定値を変更してく ださい。 操作者と実行ホスト(太字部分)は運用に合わせて必ずカスタマイズする必要があります。操作者と実行ホストには、root 権限の使用が許可されているシステム管理者のアカウント名と、その管理者の管理対象ホスト名を登録します。サンプル ファイルには操作者と実行ホストの組み合わせが2組登録されていますので、実際の運用で使用している管理者アカウ ントの数により、以下の手順で条件の変更、追加、または削除を行ってください。 登録する管理者アカウントが1つの場合 1. サンプルファイルに登録されている操作者と実行ホストの組み合わせのうちの1つを、実際の管理者アカウント名・ 管理ホスト名に変更します。 変更方法については、“条件の変更方法”を参照してください。 2. 変更を行わなかった組み合わせを削除します。 削除方法については、“条件の削除方法”を参照してください。 登録する管理者アカウントが2つの場合 ・ サンプルファイルに登録されている2組の操作者と実行ホストの組み合わせのそれぞれについて、実際の管理者ア カウント名・管理ホスト名に変更します。 変更方法については、“条件の変更方法”を参照してください。 登録する管理者アカウントが3つ以上の場合 1. サンプルファイルに登録されている2組の操作者と実行ホストの組み合わせのそれぞれについて、実際の管理者 アカウント名・管理ホスト名に変更します。 変更方法については“条件の変更方法”を参照してください。 2. 操作者と実行ホストの組み合わせ条件を新たに追加します。 追加方法については、“条件の追加方法”を参照してください。 編集画面を起動する 問い合わせファイルの編集は、Interstage Navigatorのクライアント画面で行います。Interstage Navigatorのクライアント画 面の起動方法を説明します。 - 253 - 1. [スタート]/[アプリ]-[Interstage Navigator Client]-[Navigator クライアント]を選択します。 →[Navigator クライアント]が起動されます。 2. [Navigator クライアント]から[ファイル]メニューの[開く]を選択します。 →[開く]ダイアログボックスが表示されます。 [開く]ダイアログボックスで、任意のディレクトリにコピーしたカスタマイズ用“root権限不当使用分析問い合わせファ イル”を選択します。 →[サーバに接続]画面が表示されます。 - 254 - 3. [サーバに接続]画面において、Interstage Navigator Serverに接続するためのユーザ名とパスワード、Interstage Navigator Serverがインストールされた運用管理サーバのサーバ名を入力し、[OK]ボタンをクリックします。 →確認メッセージが表示されます。 4. 問い合わせファイルをカスタマイズするので、[いいえ]ボタンをクリックします。 注意 ボタンの選択についての注意事項 [はい]ボタンをクリックすると、問い合わせファイルをカスタマイズできずに集計処理が実行されてしまいます。 →[レイアウトの指定]画面が表示されます。 問い合わせファイルを編集する “root権限不当使用分析問い合わせファイル”に定義されている操作者、および実行ホストの変更方法を説明します。 ・ 条件の変更方法 - 255 - ・ 条件の削除方法 ・ 条件の追加方法 条件の変更方法 条件に設定されている内容を変更する方法を説明します。 1. [レイアウトの指定]画面で、[条件のAND/OR編集]画面表示の起動ボタンをクリックします。 →[条件のAND/OR編集]画面が表示されます。 2. [条件のAND/OR編集]画面で、[操作者: NOT (USER1)]を選択し、[項目の詳細]ボタンをクリックします。 →[条件の指定]画面が表示されます。 - 256 - 3. [一致キー]に実際の管理者のアカウント名を入れ、[OK]ボタンをクリックします。 4. [実行ホスト: HOST2, HOST1]を選択し、[項目の詳細]ボタンをクリックします。 →[条件の指定]画面が表示されます。 - 257 - 5. [一致キー]に実際の管理対象であるホスト名を入力し、[OK]ボタンをクリックします。管理対象のホストが複数ある 場合は、ホスト名をカンマで区切って入力します。 6. 操作者、および実行ホストが正しく変更されていることを確認し、[OK]ボタンをクリックします。 条件の削除方法 条件を削除する方法を説明します。 - 258 - 1. [レイアウトの指定]の画面において、[条件]で不要な[操作者]を選択し、[削除]ボタンをクリックします。 注意 削除対象についての注意事項 [条件]の欄には登録されている条件の項目名([操作者]など)だけが横一列に並んで表示されます。そのため、本 サンプルの[操作者]のように、同じ項目に対して複数個の条件が設定されている場合、同じ項目名が複数表示さ れていますので、選択の際に削除対象を間違えないように、注意してください。 →削除確認の画面が表示されます。 2. [OK]ボタンをクリックします。 →操作者が削除されます。 3. [条件]の欄で選択して削除した[操作者]の右側にある[実行ホスト]も同様の手順で削除します。 - 259 - 4. [条件のAND/OR編集]画面において、必要のない条件が削除されていることを確認します。 条件の追加方法 操作者と実行ホスト条件の追加を行う場合、単に条件項目を追加するだけではなく、追加した条件項目をサンプル に設定されている他の操作者と実行ホストの組み合わせと同じ論理構造にする必要があります。 ここでは、以下の手順について説明します。 - 項目を追加する - 論理構造を設定する 【項目を追加する】 以下の手順で、操作者と実行ホストの条件項目を追加します。 1. [レイアウトの指定]の画面において、[データ項目]の[操作者]を右クリックして表示されるポップアップメニューから [追加]を選択します。さらに表示されるポップアップメニューから[条件]をクリックします。 →[条件の指定]画面が表示されます。 - 260 - 2. [一致キー]に新たに追加する管理者名を入れ、[一致しないデータが対象]にチェックを付けます。 3. [OK]ボタンをクリックします。 4. [実行ホスト]についても同様に、[レイアウトの指定]の画面において、[データ項目]の[実行ホスト]を右クリックして 表示されるポップアップメニューから[追加]を選択します。さらに表示されるポップアップメニューから[条件]をクリッ クします。 5. [条件の指定]画面において、[一致キー]に管理対象であるホスト名を入力します。管理対象のホストが複数ある場 合、ホスト名をカンマで区切って入力します。 - 261 - 6. [OK]ボタンをクリックします。 【論理構造を設定する】 [条件のAND/OR編集]画面において、追加した項目の条件をサンプルに設定されている条件と同じ論理構造にします。 1. [レイアウトの指定]画面で、[条件のAND/OR編集]画面表示の起動ボタンをクリックします。 →[条件のAND/OR編集]画面が表示されます。 2. 追加した操作者と実行ホストの条件を、2つで1組の条件にするために、操作者の条件を[レベル上げ]によって階 層化します。手順は以下のとおりです。 - 追加した[操作者: NOT (管理者名)]を選択し、[レベル上げ]ボタンをクリックします。 →選択した[操作者]の条件が階層化されます。 3. 作成した階層内に実行ホストの条件を入れます。手順は以下のとおりです。 a. 追加した[実行ホスト]の条件を選択し、[上に移動]ボタンをクリックします。 →選択した[実行ホスト]の条件が、直上の階層内の[操作者]の条件の上に移動します。 4. 追加した操作者・実行ホストの条件を既存の操作者・実行ホストの条件が配置されている階層内に入れます。手順 は以下のとおりです。 a. [時刻]の条件の下にある、[OR((操作者 AND 実行ホスト) AND (操作者 AND 実行ホスト))]のツリーを開き ます。 - 262 - b. 追加した[AND(実行ホスト AND 操作者)]を選択した後、[上に移動]ボタンをクリックします。 →選択した[実行ホスト AND 操作者]の条件が、すぐ上の階層内の[操作者 AND 実行ホスト]の条件の上(2 つある既存の条件の間)に移動します。 5. 追加した操作者と実行ホストの条件は他の操作者と実行ホストの条件とAND条件の関係になっているため、他の 条件と同じようにOR条件にします。手順は以下のとおりです。 a. 追加/移動した[AND(実行ホスト AND 操作者)]を選択した後、[AND/OR]ボタンをクリックします。 →[OR(実行ホスト AND 操作者)]の状態に変わります。 ここまでの操作で、必要な条件の追加ができました。しかし、この状態では[条件の一覧]内の表示内容と、問い合わせ ファイルに設定されている条件が以下のように異なり、確認がしにくくなっています。 ・ 追加した条件が一番下ではなく、下から2番目の位置にある。 ・ 追加した条件は[実行ホスト AND 操作者]と表示されており、問い合わせファイルに設定されている条件とは[操作 者]と[実行ホスト]の表示順が逆になっている。 そこで、追加した条件を一番下に移動し、[操作者]と[実行ホスト]の表示順を[操作者 AND 実行ホスト]とする方法を説 明します。 1. 追加した[AND(実行ホスト AND 操作者)]を選択し、[下に移動]ボタンをクリックします。 - 263 - 2. 追加した[操作者: NOT(管理者名)]を選択し、[上に移動]ボタンをクリックします。 →選択した条件がそれぞれボタンどおり移動します。 3. 追加した条件の内容が正しいこと、および論理構造が問い合わせファイルに設定されていた条件と同じであること を確認し、[OK]ボタンをクリックします。 さらに[操作者]、[実行ホスト]を追加する場合は、手順1から同様の操作を行います。 問い合わせファイルを保存する 1. [レイアウトの指定]画面で[OK]ボタンをクリックします。 →[Navigator クライアント]画面が表示されます。 2. ここでは集計処理を実施しないので、[いいえ]ボタンをクリックします。 注意 ボタンの選択についての注意事項 誤って[はい]ボタンをクリックした場合、集計が実行されてしまいます。 - 264 - →[Navigator クライアント]画面が表示されます。 3. [ファイル]メニューから[名前を付けて保存]を選択し、ファイルを保存します。 →“root権限不当使用分析問い合わせサンプルファイル”が、運用管理クライアント上のファイルとして作成されま す。 例として、以下の場所に保存します。 - フォルダ名: C:\temp - ファイル名: SuLogCheck.rne 注意 問い合わせファイル名についての注意事項 問い合わせファイル名は集計レポート出力コマンドで使用するため、ASCII文字210文字以内またはシフトJIS 文字105文字以内で指定してください。 4. [ファイル]メニューから[終了]を選択します。 root権限不当使用分析問い合わせサンプルファイルの動作確認をする 動作確認をするために、編集したサンプルファイルを使用して実際に集計した結果と、監査ログの内容を比較します。 サンプルファイルで集計する 以下の手順で、編集したサンプルファイルを使用して、実際に集計します。 - 265 - 1. [スタート]/[アプリ]-[Interstage Navigator Client]-[Navigator クライアント]を選択します。 →[Navigator クライアント]が起動されます。 2. [Navigator クライアント]から[ファイル]メニューの[開く]を選択します。 →[開く]ダイアログボックスが表示されます。 [開く]ダイアログボックスで、“root権限不当使用分析問い合わせサンプルファイルを編集する”で編集した問い合 わせファイルを選択します。 →[サーバに接続]画面が表示されます。 - 266 - 3. [サーバに接続]画面において、Interstage Navigator Serverに接続するためのユーザ名とパスワード、Interstage Navigator Serverがインストールされた運用管理サーバのサーバ名を入力し、[OK]ボタンをクリックします。 →確認メッセージが表示されます。 4. [はい]ボタンをクリックします。 →以下の画面が表示されます。 5. [OK]ボタンをクリックします。 →以下の画面が表示されます。 - 267 - 6. [OK]ボタンをクリックします。 →集計結果が表示されます。 監査ログから抽出した監査ログの件数と比較する 監査ログから以下の手順で監査ログを抽出し、サンプルファイルを使用して集計した結果と比較します。 1. Solarisのsuログ、Linuxのsyslog、HP-UXのsuログ、およびAIXのsuログから、指定した時間帯以外の監査ログを抽 出します。 2. Solarisのsuログ、Linuxのsyslog、HP-UXのsuログ、およびAIXのsuログについて、変更先ユーザIDがrootの監査ロ グを抽出します。 3. 手順2の抽出結果からさらに、操作者がそのシステムの管理者アカウント以外の監査ログを抽出します。 4. 手順1と手順3で抽出した監査ログが、root権限を不当に使用したときの監査ログとなるため、その監査ログの件数 を数えます。 5. 手順4で数えたroot権限不当使用ログの件数を集計結果と比較し、同じ件数であることを確認します。 →確認した結果に問題がなければ、“root権限不当使用分析問い合わせサンプルファイル”(root権限不当使用 チェック)が正しく設定されており、運用で使用できることが証明されました。 11.2.1.3 スケジューラに集計を実行するコマンドを登録する システムに対する不当な操作は、できるだけ早く発見しなければなりません。そのためには、監査ログの集計を毎日実施 し、分析する必要があります。また、監査ログの収集・集計・分析作業によるサーバへの負荷を減らし、通常業務に支障 をきたさないように、作業は夜間に行うことが必要です。 そのためには、運用管理サーバにおいて、OSに標準で提供されている「タスク」などのスケジューラ機能に、集計を実行 するスケジュールを登録し、自動で作業できるようにする必要があります。 以下に、集計実行コマンドをスケジューラに登録する手順を示します。 1. 運用管理クライアント上に保存した問い合わせファイルを運用管理サーバ上の下記ディレクトリへコピーします。 - 268 - Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\data\total 2. 運用管理サーバ上の任意のスケジューラ機能にmpatareportput(集計レポート出力コマンド)を、以下のように登録 します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportput SuLogCheck.rne SuLogCheck →“root権限不当使用分析問い合わせサンプルファイル”による集計が、毎日実行されるようにスケジュールを設 定します。 mpatareportput(集計レポート出力コマンド) はオプション指定により出力形式や出力ファイル名を変更することができま す。mpatareportput(集計レポート出力コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュア ル”を参照してください。 運用 夜間のうちに集計されCSV形式に出力された結果をもとに、前日のシステム運用の様子を分析します。分析の結果、シ ステム運用に問題があると判断された場合は、追跡調査を実施したり、管理者や責任者に報告するなどして、少しでも早 く運用ルールに沿ったシステム運用に戻します。また、結果は点検資料としてレポートに出力し、保管しておきます。 分析するときの集計方法や、検索方法の詳細は、“監査ログを検索する”を参照してください。 11.2.1.4 監査ログを分析する手順 監査ログを分析する手順について説明します。 1. mpatareportput(集計レポート出力コマンド)で運用管理サーバ上に保存された集計レポート結果ファイルを、クライ アントへコピーしExcelで開きます。mpatareportput(集計レポート出力コマンド)の詳細は、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 運用管理サーバ上での集計レポート結果ファイルの格納先は、以下のとおりです。 Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\var\user\report \SuLogCheck_YYYYMMDD_01.csv ※YYYYMMDDは、分析を実行した年月日を示します。 2. 不当なユーザによるroot権限の使用の有無を、出力ファイルの内容から判断します。 - 分析結果が見出し行だけの場合:不当な使用はありません。 - 分析結果に集計件数が記載された行がある場合:不当な使用があります。 不当なユーザによるroot権限の使用がある場合、ユーザ名、時刻、ホスト名を確認します。 - 該当セルの行の左端からユーザ名と実行時間を確認します。(例では、ユーザ名は“user01”、実行時間 “2006/9/12 20:23”です。) - 269 - 11.2.1.5 追跡調査を行う 監査ログを分析した結果を元に、追跡調査を行います。以下に作業の手順を説明します。 1. [スタート]/[アプリ]-[Systemwalker Centric Manager]-[Systemwalkerコンソール]を選択します。 →[Systemwalkerコンソール]が起動されます。 2. [Systemwalkerコンソール]の[操作]メニューから[監査ログ分析]を選択します。 →[監査ログ分析]画面の[監査ログ分析-検索]画面が起動されます。 [監査ログ分析-検索]画面は、以下の条件をすべて満たしているユーザだけが使用できます。 - Systemwalker Centric Manager に て “ DmReference ” 、 “ DmOperation ” ま た は “ DmAdmin ” お よ び “SecurityAuditor”の両方のロールに所属している。 - コンソール操作制御機能を導入している場合、同機能の“操作制御マネージャ起動条件記述ファイル”にお いて、本機能の操作名“com.fujitsu.swsi.swcent.audittrail.retrieval”に対する操作が可能な権限が定義されて いる。 同じ運用管理サーバに接続している各[監査ログ分析]画面から起動できる[監査ログ分析-検索]画面は、合計で 最大32個です。 ロール、およびコンソール操作制御機能の詳細については、“コンソール操作制御機能で認証する”を参照してく ださい。 3. [検索開始日時]を不当にsuコマンドが実行された時刻に設定します。 4. [検索条件の設定]から[実行ホスト]を選択し、[追加]ボタンをクリックします。 - 270 - 5. [条件の追加(実行ホスト)]画面で[参照]ボタンをクリックします。 6. [ノード選択]画面で、不当操作が行われたノードを選択します。 7. [OK]ボタンをクリックします。 8. [検索条件の設定]から[ログ種別]を選択し、[追加]ボタンをクリックします。 9. [条件の追加]画面で[ログ種別]に“SolarisSuLog”を設定します。 - 271 - 10. [検索開始]ボタンをクリックします。 →[監査ログ分析-検索]画面の[検索結果一覧]タブが選択されます。 11. 関連する痕跡(異常やシステム設定の変更メッセージなど)がないか確認します。 11.2.1.6 レポートを作成する 詳細な調査結果を部門責任者に通知します。部門責任者は、問題の有無を確認し対処します。以下に作業の手順を説 明します。 1. 実行ホストの部門責任者へ、分析結果ファイルを添付し原因調査の依頼メールを出します。 2. 部門責任者は、セキュリティ管理者からの調査依頼メールに添付された分析結果をもとに、該当するユーザ名、時 刻、ホスト名を確認します。 - 該当セルの行の左端からユーザ名と実行時間を確認します。(例では、ユーザ名は“user01”、実行時間は “2006/9/12 20:23”です。) 3. 当日の業務内容の確認、該当者からの事情の確認などにより原因を調査し、結果をセキュリティ管理者へ通知し ます。 4. セキュリティ管理者は、サーバ管理者の変更が行われる月初めに、必ずrootのパスワード変更がされるように、各 システムのパスワード有効期限を1ヶ月とする対策を検討・実施します。 - 272 - レポートを作成する mpatareportput(集計レポート出力コマンド)で、出力形式をHTML形式(-O HTMLオプション指定)にした場合、以下の一 般的なレポート形式で集計結果を出力することができます。mpatareportput(集計レポート出力コマンド)の詳細は、 “Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 mpatareportput(集計レポート出力コマンド)で出力したレポートには、分析結果を点検した担当者名や点検コメントは出 力されません。 集計レポートに、点検した担当者名や点検コメントを追加する場合は、以下の手順が必要です。 - 273 - 1. 監査ログをmpatareportput(集計レポート出力コマンド)を利用して集計し、結果を出力します。 運用管理サーバで、mpatareportput(集計レポート出力コマンド)に問い合わせファイルを指定して実行します。集 計は、OSに標準で提供されている「タスク」などのスケジューラに登録して実行します。mpatareportput(集計レポー ト出力コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 以 下 に 、 問 い 合 わ せ フ ァ イ ル “rootAuthorityUse.rne”を 使 用 し て 、 root権 限 不 当 使 用 分 析 の 集 計 レ ポ ー ト “rootAuthorityUse”をデフォルトの出力ディレクトリ“Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata \var\user\report”配下に出力するバッチファイルの例を示します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportput -O HTML rootAuthorityUse.rne rootAuthorityUse 2. 集計レポートの結果が出力されたファイルをコピーします。 FTPコマンドなどを使用して、運用管理サーバに出力された集計レポート結果ファイル(上記の例の場合、 Systemwalker イ ン ス ト ー ル デ ィ レ ク ト リ \ MPWALKER.DM \ mpata \ var \ user \ report \rootAuthorityUse_YYYYMMDD.html)を、運用管理クライアント上の任意のディレクトリにコピーします。本手順 は必要に応じてスケジューラに登録してください。 3. 点検担当者が集計レポートの結果出力ファイルを確認します。 レポートの点検担当者は、運用管理クライアント上にコピーされた集計レポートの結果出力ファイルをWebブラウザ などで開き、その内容を確認します。 4. 集計レポートの結果出力ファイルへ点検コメントを追加します。 運 用 管 理 ク ラ イ ア ン ト で 、 mpatareportcomment( 集 計 レ ポ ー ト コ メ ン ト 追 加 コ マ ン ド ) を 実 行 し ま す。 mpatareportcomment(集計レポートコメント追加コマンド)の詳細については、“Systemwalker Centric Managerリファ レンスマニュアル”を参照してください。 以下に、コマンドの実行例と、コメントを追加した集計レポートの出力例を示します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportcomment U 佐藤 -C "該当者は前サーバ管理者であり、担当変更後もrootのパスワード変更が なされていなかったため、今後の対策が必要です。" C:\temp \rootAuthorityUse_20060913.html C:\temp \rootAuthorityUse_20060913_CHECK.html - 274 - 11.2.2 Systemwalkerコンソールの操作を点検するには Systemwalkerコンソールで行った操作の内容を分析するためには、分析対象の監査ログを運用管理サーバに収集し、 分析用に変換(正規化)する必要があります。また、分析するための集計項目や集計結果を表示する表のレイアウトを定 義する必要があります。 この章では、監査ログを収集し正規化するための設定と、監査ログを分析するための設定について説明します。 11.2.2.1 監査ログを収集し正規化する Systemwalkerコンソールで行った操作の内容を分析するために必要な監査ログは、運用管理サーバおよび運用管理ク ライアントで採取します。運用管理サーバおよび運用管理クライアントにある監査ログを運用管理サーバに収集するため の設定は、以下の順で行います。 1. 採取する監査ログを定義する - 275 - 2. 接続可能一覧ファイルを作成する 3. 監査ログの格納先を定義する 4. スケジューラに監査ログを収集し正規化するコマンドを登録する 採取する監査ログを定義する 運用管理サーバおよび運用管理クライアントにおいて、Systemwalkerコンソールの監査ログを採取するよう定義します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpsetlogsend_swgui -y mpsetlogsend_swgui(Systemwalkerコンソール監査ログ収集設定コマンド)の詳細は、“Systemwalker Centric Manager リ ファレンスマニュアル”を参照してください。 接続可能一覧ファイルを作成する 運用管理サーバ-被管理サーバ(部門管理サーバ/業務サーバ)間でログ収集を行う場合、被管理サーバ上の接続 可能一覧ファイルに、接続元運用管理サーバの情報(サーバ名、またはIPアドレス)を記述することで収集対象の運用管 理サーバをチェックし、指定した運用管理サーバ以外からの収集を抑止することができます。 接続可能一覧ファイルについての詳細は、“収集対象のサーバを限定する”を参照してください。 監査ログの格納先を定義する 運用管理サーバにおいて、運用管理サーバおよび運用管理クライアントから収集した監査ログを格納するディレクトリを 定義します。 例として、C:\mpatm\cmgrlogに格納します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatmtrsdef REP -S C:\mpatm \cmgrlog mpatmtrsdef(ファイル転送情報定義コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照 してください。 スケジューラに監査ログを収集し正規化するコマンドを登録する システムに対する不当な操作をできるだけ早く発見するため、監査ログの収集、正規化は毎日実施する必要があります。 監査ログの収集・正規化によるサーバへの負荷を減らし、通常業務に支障をきたさないように、作業は夜間に行うことが 必要です。そのためには、運用管理サーバにおいて、OSに標準で提供されている「タスク」などのスケジューラ機能に、 ログ収集と正規化を実行するスケジュールを登録し、自動で作業できるようにする必要があります。 以下に、スケジューラに登録するコマンドを示します。 1. 監査ログを収集するコマンド 運用管理クライアントから監査ログを収集するコマンドを登録します。運用管理サーバ上にある監査ログも運用管 理クライアントから収集した監査ログと同じ場所に格納します。 例として、運用管理サーバのサーバ名がserver1、運用管理クライアントのサーバ名がserver2である場合のコマン ドを以下に示します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatmlog -H server1 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatmlog -H server2 2. 収集した監査ログを正規化するコマンド 正規化する監査ログのログ識別名は、CMGROpLogです。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatalogcnvt -H server1 -A CMGROpLog -L C:\mpatm\cmgrlog - 276 - 例として、運用管理サーバ(ホスト名がServer1)と、運用管理クライアント(ホスト名がClient1)から監査ログを収集し正規化 する場合に、登録するコマンドを以下に示します。なお、収集した監査ログの格納先は、mpatmtrsdef(ファイル転送情報 定義コマンド)を使用してC:\mpatm\cmgrlogに設定済みであるとします。 C:\Systemwalker\MPWALKER.DM\bin\mpatmlog -H Server1 C:\Systemwalker\MPWALKER.DM\bin\mpatmlog -H Client1 C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H Server1 -A CMGROpLog L C:\mpatm\cmgrlog C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H Client1 -A CMGROpLog L C:\mpatm\cmgrlog mpatmlog(ログ収集コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 mpatalogcnvt(監査ログ正規化コマンド) はオプション指定により正規化対象とする監査ログを種別やホスト・出力日など で絞り込んだり、正規化をテスト実行させることができます。mpatalogcnvt(監査ログ正規化コマンド)の詳細については、 “Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 11.2.2.2 問い合わせサンプルファイルを編集する 監査ログを分析するには、監査ログを集計するときの問い合わせ条件(集計項目)や、集計結果を表示する表のレイアウ トの設定条件を、問い合わせファイルに定義する必要があります。 セキュリティ管理者は、Systemwalkerコンソールの監査ログを分析する場合の固有情報(認証の成功/失敗、許可されて いないユーザからの接続、リモートコマンドの実行、ポリシー操作の有無)を設定するため、標準提供されているSystemwalker コンソールの各監査ログの分析問い合わせサンプルファイルをカスタマイズします。 Systemwalkerコンソールの監査ログ分析では、以下の種類の問い合わせファイルを使用します。 ・ Systemwalkerコンソールログイン点検分析(1日/1週間/1ヶ月)問い合わせサンプルファイル ・ Systemwalkerコンソール想定外接続分析(1日/1週間/1ヶ月)問い合わせサンプルファイル ・ Systemwalkerコンソール影響操作分析(1日/1週間/1ヶ月)問い合わせサンプルファイル 以降の説明では、これらの問い合わせファイルを、まとめて“Systemwalkerコンソールのログ分析問い合わせサンプルファ イル”と呼んでいます。 監査ログ分析のための設定は、以下の順で行います。 1. Systemwalkerコンソールのログ分析問い合わせサンプルファイルを編集する 2. Systemwalkerコンソールのログ分析問い合わせサンプルファイルの動作確認をする 3. スケジューラに集計を実行するコマンドを登録する Systemwalkerコンソールのログ分析問い合わせサンプルファイルを編集する 問い合わせサンプルファイルは、監査ログ分析機能をインストールしたときに、運用管理クライアントに格納されます。こ の問い合わせサンプルファイルをコピーしてカスタマイズします。 1. 問い合わせサンプルファイルを、任意のディレクトリにコピーします。 問い合わせサンプルファイルのインストール先は“Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata \sample\total”です。“Systemwalkerコンソールのログ分析問い合わせサンプルファイル”のファイル名は以下のと おりです。 問い合わせサンプルファイル ファイル名 Systemwalkerコンソールログインを点検 分析する(1日) CMGR_ConsoleLogin_1Day.rne Systemwalkerコンソールログインを点検 分析する(1週間) CMGR_ConsoleLogin_1Week.rne Systemwalkerコンソールログインを点検 分析する(1ヶ月) CMGR_ConsoleLogin_1Month.rne - 277 - 問い合わせサンプルファイル ファイル名 Systemwalkerコンソール想定外接続を分 析する(1日) CMGR_IllegalConnection_1Day.rn e Systemwalkerコンソール想定外接続を分 析する(1週間) CMGR_IllegalConnection_1Week. rne Systemwalkerコンソール想定外接続を分 析する(1ヶ月) CMGR_IllegalConnection_1Mont h.rne Systemwalkerコンソール影響操作を分析 する(1日) CMGR_ImportantOperation_1Day. rne Systemwalkerコンソール影響操作を分析 する(1週間) CMGR_ImportantOperation_1Wee k.rne Systemwalkerコンソール影響操作を分析 する(1ヶ月) CMGR_ImportantOperation_1Mon th.rne Systemwalkerコンソールログイン点検分析(1ヶ月)問い合わせサンプルファイルをc:\tempにコピーする場合の例を 以下に示します。 copy c:\Systemwalker\MPWALKER.DM\mpata\sample\total \CMGR_ConsoleLogin_1Month.rne c:\temp 2. [スタート]/[アプリ]-[Interstage Navigator Client]-[Navigator クライアント]を選択します。 →[Navigator クライアント]が起動されます。 3. [Navigator クライアント]から[ファイル]メニューの[開く]を選択します。 →[開く]ダイアログボックスが表示されます。 [開く]ダイアログボックスで、手順1.で任意のディレクトリにコピーした“Systemwalkerコンソールのログ分析問い合 わせファイル”を選択します。 - 278 - →[サーバに接続]画面が表示されます。 4. [サーバに接続]画面において、Interstage Navigator Serverに接続するためのユーザ名とパスワード、Interstage Navigator Serverがインストールされた運用管理サーバのサーバ名を入力し、[OK]ボタンをクリックします。 →確認メッセージが表示されます。 5. 問い合わせファイルをカスタマイズするので、[いいえ]ボタンをクリックします。 注意 ボタンの選択についての注意事項 [はい]ボタンをクリックすると、問い合わせファイルをカスタマイズできずに集計処理が実行されてしまいます。 - 279 - →[レイアウトの指定]画面が表示されます。 6. [条件]欄に、問い合わせファイルの条件となる固有情報を設定します。固有情報は、各“Systemwalkerコンソール のログ分析問い合わせファイル”によって異なります。各問い合わせファイルに登録されている条件と編集する項 目は、“Systemwalkerコンソールのログ分析問い合わせサンプルファイルに登録されている条件”を参照してくださ い。 固有情報を編集するときは、[条件]欄の該当項目を選択し、編集画面で内容を書き換えます。 - 280 - 固有情報を複数設定する場合は、[データ項目]から該当項目を追加します。 a. 項目の追加を行った場合、[条件のAND/OR編集]画面の起動ボタンをクリックします。 - 281 - →[条件のAND/OR編集]画面が表示されます。 b. 追加した固有情報を、既存の固有情報と同様の条件構造に設定します。 7. 設定した条件内容を一覧表示で確認します。 →[条件]画面が表示されます。 - 282 - 8. 設定した情報に問題がない場合は、[閉じる]ボタンをクリックし、[レイアウトの指定]画面で[OK]ボタンをクリックしま す。 →[Navigator クライアント]画面が表示されます。 9. ここでは集計処理を実施しないので、[いいえ]ボタンをクリックします。 注意 ボタンの選択についての注意事項 [はい]ボタンをクリックすると、問い合わせファイルをカスタマイズできずに集計処理が実行されてしまいます。 →[Navigator クライアント]画面が表示されます。 10. [ファイル]メニューから[名前を付けて保存]を選択し、ファイルを保存します。 →“Systemwalkerコンソールのログ分析問い合わせファイル”が、運用管理クライアント上のファイルとして作成され ます。 - 283 - 例として、以下の場所に保存します。 - フォルダ名: C:\temp - ファイル名: SysconCheck.rne 注意 問い合わせファイル名についての注意事項 問い合わせファイル名は集計レポート出力コマンドで使用するため、ASCII文字210文字以内またはシフトJIS 文字105文字以内で指定してください。 11. [ファイル]メニューから[終了]を選択します。 Systemwalkerコンソールのログ分析問い合わせサンプルファイルに登録されている条件 それぞれの問い合わせファイルに登録されている条件と、編集が必要な項目は以下のとおりです。 Systemwalkerコンソールログイン点検分析(1日/1週間/1ヶ月)問い合わせサンプルファイル “Systemwalkerコンソールログイン点検分析(1日/1週間/1ヶ月)問い合わせサンプルファイル”には、初期値として以下の 条件が登録されています。 ・ 期間対象が開始日から終了日までである。かつ、 ・ ログ種別が、Systemwalkerコンソール監査ログ である。かつ、 ・ 操作内容が、“ログインしました”または“ログインに失敗しました”を含む。 これらの条件は変更する必要はありません。 Systemwalkerコンソール想定外接続分析(1日/1週間/1ヶ月)問い合わせサンプルファイル “Systemwalkerコンソール想定外接続分析(1日/1週間/1ヶ月)問い合わせサンプルファイル”には、初期値として以下の 条件が登録されています。 ・ 期間対象が開始日から終了日までである。かつ、 ・ ログ種別が、Systemwalkerコンソール監査ログである。かつ、 ・ 以下のa)またはb)の条件のどちらかに一致する。 a. 操作者がUSER1である。かつ、以下の条件のどれかに一致する。 - 操作場所がCLIENT1でない。かつ、操作場所がCLIENT2でない。 - 時刻がTIME1~TIME2でない。 - 操作内容がOPERATION1でない。かつ、操作内容がOPERATION2でない。 b. 操作者がUSER2である。かつ、以下の条件のどれかに一致する。 - 操作場所がCLIENT3でない。かつ、操作場所がCLIENT4でない。 - 時刻がTIME3~TIME4でない。 - 操作内容がOPERATION3でない。かつ、操作内容がOPERATION4でない。 これらの条件のうち、操作者、操作場所、時刻、操作内容の値(太字部分)は運用に合わせて必ずカスタマイズする必要 があります。 操作者にはオペレータのユーザIDを登録し、そのオペレータごとに利用を許可されている操作場所・時間の範囲・操作 内容の値をそれぞれ設定します。 オペレータの人数や、許可されている操作場所や操作内容の個数に応じて、条件の追加、変更、削除を行ってくださ い。 Systemwalkerコンソール影響操作分析(1日/1週間/1ヶ月)問い合わせサンプルファイル - 284 - “Systemwalkerコンソール影響操作分析(1日/1週間/1ヶ月)問い合わせサンプルファイル”には、初期値として以下の条 件が登録されています。 ・ 期間対象が開始日から終了日までである。かつ、 ・ ログ種別が、Systemwalkerコンソール監査ログである。かつ、 ・ 操作内容に以下の文字列のうちのどれかを含んでいる。 - “リモートコマンドを実行します” - “[ポリシーの配付]メニューを選択しました” - “[ポリシーの配付]を実行します” - “配付します” これらの条件のうち、操作内容には点検対象とする影響度の大きい操作を検出するキーワードを設定します。必要に応 じて、操作内容の条件を追加、変更、削除してください。 標準で設定されているキーワードの他に、影響度の高い操作を検出するキーワードとしては以下があります。 ・ 監視ツリーの削除 ・ 監視ツリーの切り替え ・ オブジェクトの追加・削除 各条件の詳細は、“Systemwalker Centric Managerリファレンスマニュアル”で“Systemwalkerコンソールログイン点検分析 (1日/1週間/1ヶ月)問い合わせサンプルファイル”、“Systemwalkerコンソール想定外接続分析(1日/1週間/1ヶ月)問い合 わせサンプルファイル”、“Systemwalkerコンソール影響操作分析(1日/1週間/1ヶ月)問い合わせサンプルファイル”を参 照してください。 Systemwalkerコンソールのログ分析問い合わせサンプルファイルの動作確認をする 動作確認をするために、編集したサンプルファイルを使用して実際に集計した結果と、監査ログの内容を比較します。 サンプルファイルで集計する 以下の手順で、編集したサンプルファイルを使用して、実際に集計します。 - 285 - 1. [スタート]/[アプリ]-[Interstage Navigator Client]-[Navigator クライアント]を選択します。 →[Navigator クライアント]が起動されます。 2. [Navigator クライアント]から[ファイル]メニューの[開く]を選択します。 →[開く]ダイアログボックスが表示されます。 [開く]ダイアログボックスで、“Systemwalkerコンソールのログ分析問い合わせサンプルファイルを編集する”で編集 した問い合わせファイルを選択します。 →[サーバに接続]画面が表示されます。 - 286 - 3. [サーバに接続]画面において、Interstage Navigator Serverに接続するためのユーザ名とパスワード、Interstage Navigator Serverがインストールされた運用管理サーバのサーバ名を入力し、[OK]ボタンをクリックします。 →確認メッセージが表示されます。 4. [はい]ボタンをクリックします。 →以下の画面が表示されます。 5. [OK]ボタンをクリックします。 →以下の画面が表示されます。 - 287 - 6. [OK]ボタンをクリックします。 →集計結果が表示されます。 監査ログから抽出したログの件数と比較する 監査ログから以下の手順で監査ログを抽出し、サンプルファイルを使用して集計した結果と比較します。“Systemwalker コンソールのログ分析問い合わせサンプルファイル”のサンプルファイルごとに抽出・比較手順を以下に説明します。 Systemwalkerコンソールログイン点検分析(1日/1週間/1ヶ月)問い合わせサンプルファイル “Systemwalkerコンソールログイン点検分析(1日/1週間/1ヶ月)問い合わせサンプルファイル”の内容は編集していないた め、抽出・比較作業は不要です。 Systemwalkerコンソール想定外接続分析(1日/1週間/1ヶ月)問い合わせサンプルファイル 1. Systemwalkerコンソール監査ログから、操作者(CSV形式の4項目目)が、サンプルファイルで定義したオペレータ である監査ログを抽出します。 2. 手順1の抽出結果からさらに、操作場所(2項目目)が定義したクライアント名以外の監査ログを抽出します。 3. 手順1の抽出結果からさらに、日時(1項目目)が定義した時間帯以外の監査ログを抽出します。 4. 手順1の抽出結果からさらに、操作内容(7項目目)が定義した操作内容以外の監査ログを抽出します。 5. 手順2~手順4で抽出した監査ログの件数を数えます。 6. 手順1~手順5の作業を、サンプルファイルで定義したオペレータの数だけ繰り返します。 7. サンプルファイルで定義したすべてのオペレータについて、抽出した監査ログの件数を数えます。 8. 手順7で数えた監査ログの件数が想定外に接続された監査ログの件数です。この監査ログの件数と集計結果と比 較し、同じ件数であることを確認します。 Systemwalkerコンソール影響操作分析(1日/1週間/1ヶ月)問い合わせサンプルファイル 1. Systemwalkerコンソール監査ログから、操作内容(CSV形式の7項目目)に、点検対象とする影響度の大きい操作 に定義した文字列が含まれている監査ログを抽出します。 - 288 - 2. 手順1で抽出した監査ログの件数を数えます。 3. 手順2で数えた監査ログの件数が、影響度の大きい操作の監査ログの件数です。この件数を集計結果と比較し、 同じ件数であることを確認します。 →サンプルファイルごとに確認した結果に問題がなければ、“Systemwalkerコンソールのログ分析問い合わせサンプル ファイル”(Systemwalkerコンソールログインチェック)が正しく設定されており、運用で使用できることが証明されました。 11.2.2.3 スケジューラに集計を実行するコマンドを登録する システムに対する不当な操作は、できるだけ早く発見しなければなりません。そのためには、監査ログの集計を毎日実施 し、分析する必要があります。また、監査ログの収集・集計・分析作業によるサーバへの負荷を減らし、通常業務に支障 をきたさないように、作業は夜間に行うことが必要です。 そのためには、運用管理サーバにおいて、OSに標準で提供されている「タスク」などのスケジューラ機能に、集計を実行 するスケジュールを登録し、自動で作業できるようにする必要があります。 以下に、集計実行コマンドをスケジューラに登録する手順を示します。 1. 運用管理クライアント上に保存した問い合わせファイルを運用管理サーバ上の下記ディレクトリへコピーします。 Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\data\total 2. 運用管理サーバ上の任意のスケジューラ機能にmpatareportput(集計レポート出力コマンド)を、以下のように登録 します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportput SysconCheck.rne SysconCheck →“Systemwalkerコンソールのログ分析問い合わせサンプルファイル”による集計が、毎日実行されるようにスケ ジュールされます。 mpatareportput(集計レポート出力コマンド) はオプション指定により出力形式や出力ファイル名を変更することができま す。mpatareportput(集計レポート出力コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュア ル”を参照してください。 運用 夜間のうちに集計されCSV形式に出力された結果をもとに、前日のシステム運用の様子を分析します。分析の結果、シ ステム運用に問題があると判断された場合は、追跡調査を実施したり、管理者や責任者に報告するなどして、少しでも早 く運用ルールに沿ったシステム運用に戻します。また、結果は点検資料としてレポートに出力し、保管しておきます。 分析するときの集計方法や、検索方法の詳細は、“監査ログを集計する”および“監査ログを検索する”を参照してくださ い。 11.2.2.4 監査ログを分析する手順 以下の観点で監査ログを分析します。 ・ 悪意のあるユーザを分析する ・ 運用ルール以外の操作を分析する ・ システムへの影響度が大きい操作を分析する 悪意のあるユーザを分析する Systemwalkerコンソールの操作状況を、出力ファイルの内容から判断します。 認証失敗ログ件数の集中しているセルを確認します。 - 289 - 9時台(9:00~9:59)に、user2が認証に5回失敗していることがわかります。 出力されたCSVファイルを元に、以下の観点で分析結果を評価します。 ・ 認証失敗件数が集中している時間帯を特定します。 ・ 認証失敗件数が集中している時間帯が運用上妥当かどうかを確認します。 時間帯が運用上妥当でない場合は、不正ログインが行われた可能性があります。管理者による詳細な調査を行いま す。 運用ルール以外の操作を分析する 運用管理サーバに対して、許可されていない運用管理クライアント(client01)からの接続がないか確認します。 出力されたCSVファイルを元に、以下の観点で分析結果を評価します。 ・ 運用ルールに違反している項目(接続を許可されている運用管理クライアント以外からの接続)を特定します。 ・ 違反行為の理由が妥当であるか確認します。 運用上妥当でない場合は、想定外の接続が行われた可能性があるため、管理者による詳細調査を行います。 システムへの影響度が大きい操作を分析する リモートコマンド、およびポリシー操作ログの時間帯と件数を確認します。 - 290 - 例では、12時台(12:00~12:59)と13時台(13:00~13:59)に、user1がシステムに対する影響度の大きい操作であるポリシー 設定を実行しています。 システムへの影響度が大きい操作としては、以下の項目も考えられます。 ・ 監視ツリーの削除 ・ 監視ツリーの切り替え ・ オブジェクトの追加・削除 出力されたCSVファイルを元に、以下の観点で分析結果を評価します。 ・ システムへの影響度が大きい操作が集中している時間帯を特定します。 ・ 時間帯が運用上妥当かどうかを確認します。 運用上妥当でない場合は、通常運用外の操作が行われた可能性があるため、管理者による詳細調査を行います。 11.2.2.5 レポートを作成する 詳細な調査結果を部門責任者へ通知します。部門責任者は、問題の有無を確認し対処します。また、点検結果はレポー トの形式に出力します。 レポートを作成する mpatareportput(集計レポート出力コマンド)で、出力形式をHTML形式(-O HTMLオプション指定)にした場合、以下の一 般的なレポート形式で集計結果を出力することができます。mpatareportput(集計レポート出力コマンド)の詳細について は、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 - 291 - mpatareportput(集計レポート出力コマンド)で出力したレポートには、分析結果を点検した担当者名や点検コメントは出 力されません。 集計レポートに、点検した担当者名や点検コメントを追加する場合は、以下の手順が必要です。 - 292 - 1. 監査ログをmpatareportput(集計レポート出力コマンド)を利用して集計し、結果を出力します。 運用管理サーバで、mpatareportput(集計レポート出力コマンド)に問い合わせファイルを指定して実行します。集 計は、OSに標準で提供されている「タスク」などのスケジューラに登録して実行します。mpatareportput(集計レポー ト出力コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 以下に、問い合わせファイル“CMGR_ConsoleLogin_1Month.rne”を使用して、Systemwalkerコンソールログイン点 検分析(1ヶ月)の集計レポート“CMGR_ConsoleLogin_1Month”をデフォルトの出力ディレクトリ“Systemwalkerイン ストールディレクトリ\MPWALKER.DM\mpata\var\user\report”配下に出力するバッチファイルの例を示します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportput -O HTML CMGR_ConsoleLogin_1Month.rne CMGR_ConsoleLogin_1Month 2. 集計レポートの結果が出力されたファイルをコピーします。 FTPコマンドなどを使用して、運用管理サーバに出力された集計レポート結果ファイル(上記の例の場合、 Systemwalker イ ン ス ト ー ル デ ィ レ ク ト リ \ MPWALKER.DM \ mpata \ var \ user \ report \CMGR_ConsoleLogin_1Month_YYYYMMDD.html)を、運用管理クライアント上の任意のディレクトリにコピーし ます。本手順は必要に応じてスケジューラに登録してください。 3. 点検担当者が集計レポートの結果出力ファイルを確認します。 レポートの点検担当者は、運用管理クライアント上にコピーされた集計レポートの結果出力ファイルをWebブラウザ などで開き、その内容を確認します。 4. 集計レポートの結果出力ファイルへ点検コメントを追加します。 運 用 管 理 ク ラ イ ア ン ト で 、 mpatareportcomment( 集 計 レ ポ ー ト コ メ ン ト 追 加 コ マ ン ド ) を 実 行 し ま す。 mpatareportcomment(集計レポートコメント追加コマンド)の詳細については、“Systemwalker Centric Managerリファ レンスマニュアル”を参照してください。 以下に、コマンドの実行例と、コメントを追加した集計レポートの出力例を示します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportcomment -U 佐藤 -C "5回のログイン失敗はパスワード忘却によるものであり、問題ありません。" C:\temp\CMGR_ConsoleLogin_1Month_20061004.html C:\temp \CMGR_ConsoleLogin_1Month_20061004_CHECK.html - 293 - 11.2.3 サーバの操作を点検するには サーバ操作が正しく行われているかを分析するためには、分析対象の監査ログを運用管理サーバに収集し、分析用に 変換(正規化)する必要があります。また、分析するための集計項目や集計結果を表示する表のレイアウトを定義する必 要があります。 この章では、監査ログを収集し正規化するための設定と、監査ログを分析するための設定について説明します。 - 294 - 11.2.3.1 監査ログを収集し正規化する サーバ操作が正しく行われているかを分析するために必要な監査ログは、部門管理サーバや業務サーバで採取しま す。部門管理サーバや、業務サーバにある監査ログを運用管理サーバに収集するための設定は、以下の順で行いま す。 1. 採取する監査ログを定義する 2. 接続可能一覧ファイルを作成する 3. 監査ログの格納先を定義する 4. スケジューラに監査ログを収集し正規化するコマンドを登録する 採取する監査ログを定義する 運用管理サーバおよび運用管理クライアントでSystemwalkerコンソールの監査ログを採取するよう定義します。 【Windowsの場合】 ・ 運用管理サーバおよび運用管理クライアント Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpsetlogsend_swgui -y 【UNIXの場合】 ・ 運用管理サーバ /usr/bin/mpsetlogsend_swgui -y mpsetlogsend_swgui(Systemwalkerコンソール監査ログ収集設定コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 接続可能一覧ファイルを作成する 運用管理サーバ-被管理サーバ(部門管理サーバ/業務サーバ)間でログ収集を行う場合、被管理サーバ上の接続 可能一覧ファイルに、接続元運用管理サーバの情報(サーバ名、またはIPアドレス)を記述することで収集対象の運用管 理サーバをチェックし、指定した運用管理サーバ以外からの収集を抑止することができます。 接続可能一覧ファイルについての詳細は、“収集対象のサーバを限定する”を参照してください。 監査ログの格納先を定義する 運用管理サーバにおいて、運用管理サーバ、部門管理サーバ、業務サーバおよび運用管理クライアントから収集した 監査ログを格納するディレクトリを定義します。 例として、C:\mpatm\cmgrsvlogに格納します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatmtrsdef REP -S C:\mpatm \cmgrsvlog mpatmtrsdef(ファイル転送情報定義コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照 してください。 スケジューラに監査ログを収集し正規化するコマンドを登録する システムに対する不当な操作をできるだけ早く発見するため、監査ログの収集、正規化は毎日実施する必要があります。 監査ログの収集・正規化によるサーバへの負荷を減らし、通常業務に支障をきたさないように、作業は夜間に行うことが 必要です。そのためには、運用管理サーバにおいて、OSに標準で提供されている「タスク」などのスケジューラ機能に、 監査ログ収集と正規化を実行するスケジュールを登録し、自動で作業できるようにする必要があります。 以下に、スケジューラに登録するコマンドを示します。 - 295 - 1. 監査ログを収集するコマンド 運用管理サーバ、部門管理サーバ、業務サーバおよび運用管理クライアントから監査ログを収集するようにコマン ドを登録します。 例として、部門管理サーバのサーバ名がserver1である場合のコマンドを以下に示します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatmlog -H server1 監査ログを収集する対象のすべてのサーバに対し、コマンドを実行してください。 2. 収集した監査ログを正規化するコマンド 正規化する監査ログのログ識別名は、CMGROpLogおよびCMGRSVOpLogです。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatalogcnvt -H server1 -A CMGROpLog -L C:\mpatm\cmgrsvlog Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatalogcnvt -H server1 -A CMGRSVOpLog -L C:\mpatm\cmgrsvlog 例として、運用管理サーバ(ホスト名がServer1)、運用管理クライアント(ホスト名がClient1)、およびSolarisの業務サーバ (ホスト名がgyoumu1)から監査ログを収集し正規化する場合に、登録するコマンドを以下に示します。なお、収集した監 査ログの格納先は、mpatmtrsdef(ファイル転送情報定義コマンド)を使用してC:\mpatm\cmgrsvlogに設定済みであるとし ます。 C:\Systemwalker\MPWALKER.DM\bin\mpatmlog -H Server1 C:\Systemwalker\MPWALKER.DM\bin\mpatmlog -H Client1 C:\Systemwalker\MPWALKER.DM\bin\mpatmlog -H gyoumu1 C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H Server1 -A CMGROpLog -L C: \mpatm\cmgrsvlog C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H Server1 -A CMGRSVOpLog -L C:\mpatm\cmgrsvlog C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H Client1 -A CMGROpLog -L C: \mpatm\cmgrsvlog C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H gyoumu1 -A CMGRSVOpLog L C:\mpatm\cmgrsvlog mpatmlog(ログ収集コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 mpatalogcnvt(監査ログ正規化コマンド) はオプション指定により正規化対象とする監査ログを種別やホスト・出力日など で絞り込んだり、正規化をテスト実行させることができます。mpatalogcnvt(監査ログ正規化コマンド)の詳細については、 “Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 11.2.3.2 問い合わせサンプルファイルを編集する 監査ログを分析するには、監査ログを集計するときの問い合わせ条件(集計項目)や、集計結果を表示する表のレイアウ トの設定条件を、問い合わせファイルに定義する必要があります。 セキュリティ管理者は、サーバ操作の監査ログを分析する場合の固有情報(実行ホスト、操作者、日時、録画異常や認証 失敗などの異常内容)を設定するため、標準提供されているサーバ操作の各監査ログの分析問い合わせサンプルファイ ルをカスタマイズします。 サーバ操作の監査ログ分析では、サーバ不正操作分析問い合わせサンプルファイルを使用します。 監査ログ分析のための設定は、以下の順で行います。 1. サーバ不正操作分析問い合わせサンプルファイルを編集する 2. スケジューラに集計を実行するコマンドを登録する サーバ不正操作分析問い合わせサンプルファイルを編集する 問い合わせサンプルファイルは、監査ログ分析機能をインストールしたときに、運用管理クライアントに格納されます。こ の問い合わせサンプルファイルをコピーしてカスタマイズします。 - 296 - 1. 問い合わせサンプルファイルを、任意のディレクトリにコピーします。 問い合わせサンプルファイルのインストール先は“Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata \sample\total”です。“サーバ不正操作分析問い合わせサンプルファイル”のファイル名は以下のとおりです。 分析する内容 ファイル名 サーバのアクセス制御作業を分析 する(1日) CMGR_SVAccessCTLOperation_1Day.rne サーバのアクセス制御作業を分析 する(1週間) CMGR_SVAccessCTLOperation_1Week.rne サーバのアクセス制御作業を分析 する(1ヶ月) CMGR_SVAccessCTLOperation_1Month.rne サーバのアクセス分析する(1日) CMGR_ServerAccess_1Day.rne サーバのアクセス分析する(1週 間) CMGR_ServerAccess_1Week.rne サーバのアクセス分析する(1ヶ月) CMGR_ServerAccess_1Month.rne サーバの不正アクセスを分析する (1日) CMGR_ServerIllegalAccess_1Day.rne サーバの不正アクセスを分析する (1週間) CMGR_ServerIllegalAccess_1Week.rne サーバの不正アクセスを分析する (1ヶ月) CMGR_ServerIllegalAccess_1Month.rne “サーバのアクセス分析する(1日)”をc:\tempにコピーする場合の例を以下に示します。 copy c:\Systemwalker\MPWALKER.DM\mpata\sample\total \CMGR_ServerAccess_1Day.rne c:\temp 2. [スタート]/[アプリ]-[Interstage Navigator Client]-[Navigator クライアント]を選択します。 →[Navigator クライアント]が起動されます。 - 297 - 3. [Navigator クライアント]から[ファイル]メニューの[開く]を選択します。 →[開く]ダイアログボックスが表示されます。 [開く]ダイアログボックスで、手順1.で任意のディレクトリコピーしたカスタマイズ用“サーバ操作のログ分析問い合 わせファイル”を選択します。 →[サーバに接続]画面が表示されます。 4. [サーバに接続]画面において、Interstage Navigator Serverに接続するためのユーザ名とパスワード、Interstage Navigator Serverがインストールされた運用管理サーバのサーバ名を入力し、[OK]ボタンをクリックします。 →確認メッセージが表示されます。 5. 問い合わせファイルをカスタマイズするので、[いいえ]ボタンをクリックします。 注意 ボタンの選択についての注意事項 [はい]ボタンをクリックすると、問い合わせファイルをカスタマイズできずに集計処理が実行されてしまいます。 - 298 - →[レイアウトの指定]画面が表示されます。 6. [条件]欄に、問い合わせファイルの条件となる固有情報を設定します。固有情報は、各サーバ操作のログ分析問 い合わせファイルによって異なります。各問い合わせファイルに登録されている条件と編集する項目は、“サーバ 不正操作分析問い合わせサンプルファイルに登録されている条件”を参照してください。 初期状態ですでに固有情報が入力されている場合、固有情報を編集するときは、[条件]欄の該当項目を選択し、 編集画面で内容を書き換えます。 - 299 - 固有情報を複数設定する場合は、[データ項目]から該当項目を追加します。 a. 項目の追加を行った場合、[条件のAND/OR編集]画面の起動ボタンをクリックします。 - 300 - →[条件のAND/OR編集]画面が表示されます。 b. 追加した固有情報を、既存の固有情報と同様の条件構造に設定します。 7. 設定した条件内容を一覧表示で確認します。 →[条件]画面が表示されます。 - 301 - 8. 設定した情報に問題がない場合は、[閉じる]ボタンをクリックし、[レイアウトの指定]画面で[OK]ボタンをクリックしま す。 →[Navigator クライアント]画面が表示されます。 9. ここでは集計処理を実施しないので、[いいえ]ボタンをクリックします。(誤って[はい]ボタンをクリックした場合、集計 が実行されてしまいます。) →[Navigator クライアント]画面が表示されます。 10. [ファイル]メニューから[名前を付けて保存]を選択し、ファイルを保存します。 →“サーバ操作のログ分析問い合わせファイル”が、運用管理クライアント上のファイルとして作成されます。 例として、以下の場所に保存します。 - フォルダ名: C:\temp - ファイル名: ServerCheck.rne - 302 - 注意 問い合わせファイル名についての注意事項 問い合わせファイル名は集計レポート出力コマンドで使用するため、ASCII文字210文字以内またはシフトJIS 文字105文字以内で指定してください。 11. [ファイル]メニューから[終了]を選択します。 サーバ不正操作分析問い合わせサンプルファイルに登録されている条件 それぞれの問い合わせファイルに登録されている条件と、編集が必要な項目は以下のとおりです。 サーバアクセス制御作業分析問い合わせサンプルファイル “サーバアクセス制御作業分析(1日/1週間/1ヶ月)問い合わせサンプルファイル”には、初期値として以下の条件が登録 されています。 ・ 期間対象が開始日から終了日までである。かつ、 ・ ログ種別(ログファイル)がサーバアクセス制御ログである。かつ、 ・ 実行結果が成功または失敗である。 これらの条件のうち、「期間対象」は必要に応じて設定値を変更してください。 サーバアクセス制御アクセス分析問い合わせサンプルファイル “サーバアクセス制御アクセス分析(1日/1週間/1ヶ月)問い合わせサンプルファイル”には、初期値として以下の条件が登 録されています。 ・ 期間対象が開始日から終了日までである。かつ、 ・ ログ種別(ログファイル)がサーバアクセス制御ログである。かつ、 ・ 拡張値4に以下のどれかが含まれている。 - ログ取得 - 許可 - 拒否 これらの条件のうち、「期間対象」は必要に応じて設定値を変更してください。 サーバアクセス制御不正アクセス分析問い合わせサンプルファイル “サーバアクセス制御不正アクセス分析(1日/1週間/1ヶ月)問い合わせサンプルファイル”には、初期値として以下の条件 が登録されています。 ・ 期間対象が開始日から終了日までである。かつ、 ・ ログ種別(ログファイル)がサーバアクセス制御ログである。かつ、 ・ 拡張値4が拒否である。 これらの条件のうち、「期間対象」は必要に応じて設定値を変更してください。 各条件の詳細は、“Systemwalker Centric Managerリファレンスマニュアル”で“サーバアクセス制御作業分析(1日/1週 間/1ヶ月)問い合わせサンプルファイル”、“サーバアクセス分析(1日/1週間/1ヶ月)問い合わせサンプルファイル”、“サー バ不正アクセス分析(1日/1週間/1ヶ月)問い合わせサンプルファイル”を参照してください。 ポイント 「期間対象」以外を変更していない場合は、問い合わせサンプルファイルの動作確認をする必要はありません。 - 303 - 11.2.3.3 スケジューラに集計を実行するコマンドを登録する システムに対する不当な操作は、できるだけ早く発見しなければなりません。そのためには、監査ログの集計を毎日実施 し、分析する必要があります。また、監査ログの収集・集計・分析作業によるサーバへの負荷を減らし、通常業務に支障 をきたさないように、作業は夜間に行うことが必要です。 そのためには、運用管理サーバにおいて、OSに標準で提供されている「タスク」などのスケジューラ機能に、集計を実行 するスケジュールを登録し、自動で作業できるようにする必要があります。 以下に、集計実行コマンドをスケジューラに登録する手順を示します。 1. 運用管理クライアント上に保存した問い合わせファイルを運用管理サーバ上の下記ディレクトリへコピーします。 Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\data\total 2. 運用管理サーバ上の任意のスケジューラ機能にmpatareportput(集計レポート出力コマンド)を、以下のように登録 します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportput SvcntlPolicy.rne svcntl_policy →“サーバ不正操作分析問い合わせサンプルファイル”による集計が、毎日実行されるようにスケジュールされま す。 mpatareportput(集計レポート出力コマンド) はオプション指定により出力形式や出力ファイル名を変更することができま す。mpatareportput(集計レポート出力コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュア ル”を参照してください。 運用 サーバ操作の監査ログを分析する場合、まず、ポリシーが改ざんされていないことを確認します。ポリシーに沿った操作 が行われていても、そのポリシー自体が改ざんされていたり、不当だったりした場合、規則に則ったシステム運用が根底 から覆されてしまいます。 ポリシーが妥当だと判断された場合は、そのポリシーに沿って、サーバ操作が正しく行われているかを確認します。以下 の観点で、分析します。 ・ システム異常に起因したサーバ操作の停止はないか ・ サーバに対する悪意のある操作はないか ・ 不正なアクセスを繰り返した形跡はないか 分析結果によっては、特定のユーザや操作を追跡調査する必要もあります。 分析するときの集計方法や、検索方法の詳細は、“監査ログを集計する”および“監査ログを検索する”を参照してくださ い。 11.2.3.4 監査ログを分析する手順 以下の観点で監査ログを分析します。 ・ サーバへのアクセス状況を確認し、サーバアクセス制御のポリシー設定の妥当性を確認する ・ サーバに対し、許可されていないユーザによる不正なアクセスが行われていないか ・ サーバアクセス制御に対し、不正な操作が行われていないか ・ サーバ操作が正しく行われているか サーバへのアクセス状況を確認し、サーバアクセス制御のポリシー設定の妥当性を確認する 集計レポート結果から、ポリシー設定の妥当性を評価します。 - 304 - ・ 本来、拒否すべき操作が許可されていないか - [実行結果]が[許可]となっている操作について、拒否すべき操作はないか ・ 本来、許可すべき操作が拒否されていないか - [実行結果]が[拒否]となっている操作について、許可すべき操作はないか それぞれの操作について「検索」機能を利用して、問題発生時刻、操作内容、操作対象の特定を行う場合は、以下の操 作をします。 1. [監査ログ分析]画面を起動し、[監査ログ分析-検索]画面を起動します。 2. [検索範囲の設定]で、以下の設定をします。 - [検索開始日時]:集計結果から特定の件数以上の監査ログが存在する日付の0時0分0秒 - [検索終了日時]:集計結果から特定の件数以上の監査ログが存在する日付の23時59分59秒 3. [検索条件の設定]で、以下の項目を選択します。 - [ログ種別]:CMGRSvacLog - [操作種別]:「コンソールログイン」、「ネットワーク」、「ファイル/ディレクトリハードリンク」、「ファイル/ディレクトリ 作成操作」、「ファイル/ディレクトリ削除操作」、「ファイル/ディレクトリ書き込み操作」、「ファイル/ディレクトリ属性 変更操作」、「ファイル/ディレクトリ読み取り操作」、「ファイル/ディレクトリ変名操作」、「プロセス起動」、「プロセ ス強制停止」、「レジストリ読み取り操作」「レジストリ書き込み操作」「レジストリ作成操作」「レジストリ削除操作」 - [操作者]:集計結果から1件以上のアクセスの監査ログが存在する操作者名 - [実行ホスト]:集計結果から1件以上のアクセスの監査ログが存在する実行ホスト名 4. [検索開始]ボタンをクリックします。 5. 検索結果から、操作日の詳細情報を確認します。 6. 確認結果をセキュリティ管理者へ通知します。 試行モードを利用している場合 試行モードで出力されたアクセス監査ログを抽出し、セキュリティ管理者に抽出結果を通知する場合は、以下の操作をし ます。 1. [監査ログ分析]画面を起動し、[監査ログ分析-検索]画面を起動します。 2. [検索範囲の設定]で、以下の設定をします。 - [検索開始日時]、[検索終了日時]:分析対象の期間 3. [検索条件の設定]で、以下の項目を選択します。 - [ログ種別]:CMGRSvacLog - [拡張値3]:試行モード有効 - 305 - 4. [検索開始]ボタンをクリックします。 5. [検索結果一覧]で、[CSV形式で保存]を指定し、検索結果を任意のファイルに保存します。 6. 保存したファイルをセキュリティ管理者に通知します。 サーバに対し、許可されていないユーザによる不正なアクセスが行われていないか 集計レポート結果から、不正なアクセス状況を確認します。 ・ 分析結果に集計件数が記載された行がない場合:サーバへの不正なアクセスはありません。 ・ 分析結果に集計件数が記載された行がある場合:サーバへの不正アクセスの可能性があります。 不当なユーザがサーバへアクセスした可能性がある場合、集計時間、実行ホスト名、ユーザ名、操作種別を確認します。 それぞれの操作者について「検索」機能を利用して、問題発生時刻の特定と操作内容、操作対象の特定を行います。 「検索」機能は以下のように操作します。 1. [監査ログ分析]画面を起動し、[監査ログ分析-検索]画面を起動します。 2. [検索範囲の設定]で、以下の設定をします。 - [検索開始日時]:集計結果から特定の件数以上の監査ログが存在する日付の0時0分0秒 - [検索終了日時]:集計結果から特定の件数以上の監査ログが存在する日付の23時59分59秒 3. [検索条件の設定]で、以下の項目を選択します。 - [ログ種別]:CMGRSvacLog - [操作種別]:「コンソールログイン」、「ネットワーク」、「ファイル/ディレクトリハードリンク」、「ファイル/ディレクトリ 作成操作」、「ファイル/ディレクトリ削除操作」、「ファイル/ディレクトリ書き込み操作」、「ファイル/ディレクトリ属性 変更操作」、「ファイル/ディレクトリ読み取り操作」、「ファイル/ディレクトリ変名操作」、「プロセス起動」、「プロセ ス強制停止」 - [拡張値4]:「拒否」 - [操作者]:集計結果から1件以上の不正なアクセスの監査ログが存在する操作者名 - [実行ホスト]:集計結果から1件以上の不正なアクセスの監査ログが存在する実行ホスト名 4. [検索開始]ボタンをクリックします。 5. 検索結果から、該当操作日の詳細情報を確認します。 6. 確認結果をセキュリティ管理者へ通知します。 サーバアクセス制御に対し、不正な操作が行われていないか 出力されたCSVファイルを元に、以下の観点で分析結果を評価します。 - 306 - ・ 操作が行われた日付を特定します。 集計内容の数字に着目します。0以外の値が存在している日にサーバアクセス制御に対する操作が行われていま す。 ・ 操作が行われた日付が妥当かどうかを確認します。 該当する日付にサーバアクセス制御に対する操作を行っていない場合は、「検索」機能を使用して追跡調査を行う 必要があります。 不当なユーザによるサーバへのアクセスの可能性がある場合、集計時間、実行ホスト名、ユーザ名、操作種別を確認し ます。 不当なユーザによるアクセスの可能性がある操作について「検索」機能を利用して、問題発生時刻の特定と操作内容、 操作対象の特定を行います。「検索」機能は以下のように操作します。 1. [監査ログ分析]画面を起動し、[監査ログ分析-検索]画面を起動します。 2. [検索範囲の設定]で、以下の設定をします。 - [検索開始日時]:集計結果から該当する操作の日付の0時0分0秒 - [検索終了日時]:集計結果から該当する操作の日付の23時59分59秒 3. [検索条件の設定]で、以下の項目を選択します。 - [ログ種別]:CMGRSvacLogおよびCMGROpLog - [操作者]:集計結果から1件以上の不正なアクセスの監査ログが存在する操作者名 - [実行ホスト]:集計結果から1件以上の不正なアクセスの監査ログが存在する実行ホスト名 - [操作種別]:「システム保守開始コマンド」、「システム保守終了コマンド」、「システム保守承認コマンド」、「シス テム保守承認状況表示コマンド」、「ポリシー適用(アクセス制御設定)」、「swsvacpolin」、「swsvacpolout」、サー バアクセス制御設定時の画面タイトル名 4. [検索開始]ボタンをクリックします。 5. 検索結果から、該当操作日の詳細情報を確認します。 6. 確認結果をセキュリティ管理者へ通知します。 サーバ操作が正しく行われているか サーバ操作状況を、出力ファイルの内容から判断します。 - 307 - システム異常に起因したサーバ操作の停止はないか サーバ操作に対する運用が正しく行われているかを、システム異常の観点から分析します。集計結果から、まず、[録画 異常]と[監査ログ異常]に着目します。録画データや監査ログの出力失敗は、点検を行えなくなる恐れがあるため、注目 が必要な項目です。システムに対するDoS(サービス拒否)攻撃やBruteForce(パスワード奪取のための総当たり)攻撃な どが行われた場合に異常を示す場合があります。 システム異常を疑い、システムログやアプリケーションログなどを日付、発生元サーバをキーに検索を行います。 1. [監査ログ分析]画面を起動し、[監査ログ分析-検索]画面を起動します。 2. [検索条件の設定]で、以下の項目を選択します。 - [実行ホスト]:検索対象のホスト名 - [ログ種別]:SolarisSyslog 3. [検索開始]ボタンをクリックします。 4. [検索条件の保存・管理]ボタンをクリックし、検索条件を保存します。 5. 検索結果から、問題箇所を特定します。 6. 分析対象日以降、現在までに問題が解消されているかどうかを、部門責任者に確認します。 サーバに対する悪意のある操作はないか システムに異常が発見された場合は、その原因がシステムへのセキュリティ攻撃であるかどうかを分析します。 集計結果の該当日のデータで、[実行権限のない操作]と[認証失敗]に着目します。特定の件数以上の監査ログが存在 すると認められた場合、それぞれで検索を実施し、問題発生時刻の特定と操作者の特定を行います。 1. [監査ログ分析]画面を起動し、[監査ログ分析-集計]画面を起動します。 2. [検索範囲の設定]で、以下の設定をします。 - [検索開始日時]:集計結果から特定の件数以上の監査ログが存在する日付の0時0分0秒 - [検索終了日時]:集計結果から特定の件数以上の監査ログが存在する日付の23時59分0秒 3. [検索条件の設定]で、以下の項目を選択します。 - [ログ種別]:CMGRSVOpLog - [実行結果]:「失敗」を指定します。 - [拡張値1]:「実行権限のない操作」または「認証失敗」(集計結果から特定の件数以上の監査ログが存在する 異常内容) - [検索開始]ボタンをクリックします。 4. 検索結果から、該当操作日の詳細情報を確認します。 5. 同一人物による、繰り返し認証の失敗を確認した場合、または、実行権限のない操作を行っていることを確認した 場合は、確認結果を部門責任者へ通知します。 - 308 - 部門責任者は、該当ユーザへの聞き取りを実施し、必要に応じて以下の対処を行います。 ・ 悪意ある第三者からの操作である場合、パスワードの変更などを実施し、問題を未然に防ぎます。 ・ 該当ユーザ自身の操作である場合は、操作内容と操作理由を確認します。利用権限の剥奪、または、必要な操作 であったことが認められればサーバアクセス制御のポリシー変更をセキュリティ管理者へ依頼します。 ・ 部門責任者は、セキュリティ管理者からの情報に基づき、必要に応じて録画データの再生を行うことによって、詳細 な操作内容を確認します。 不正なアクセスを繰り返した形跡はないか システムに異常が発見されなかった場合でも、[実行権限のない操作]や[認証失敗]の項目が多いときは、システムに対 する不正がないか分析する必要があります。なぜなら、[実行権限のない操作]や[認証失敗]の項目が多いときは、パス ワードクラックなどの不正アクセスの恐れがあるからです。 以下に該当する場合、検索を実施し調査します。 ・ 操作が行われるはずのない日時に操作異常が報告されている場合 ・ 操作が行われる日でも、特出した(100件程度以上)集計結果がでている場合 検索結果において以下の項目に着目し、該当操作日の詳細情報を確認します。 ・ [日時] ・ [操作ホスト] ・ [操作者] ・ [操作種別] ・ [操作内容] ・ [実行結果] ・ [追加情報] 分析結果から特定のユーザや操作を追跡調査する 前日までの分析結果から、特定ユーザや、特定操作に[実行権限のない操作]または[認証失敗]が集中していることがわ かった場合は、成功の点検結果も含めて操作の追跡を実施します。 この分析を行うためには、サンプルファイルのカスタマイズが必要です。 以下に手順を示します。 1. サーバ不正操作分析問い合わせサンプルファイルを開きます。 →[レイアウトの指定]画面が表示されます。 - 309 - 2. [データ]領域、[操作者]を選択し、右クリックで表示されるメニューから、[詳細指定]を選択します。 →[データ項目の詳細指定]画面が表示されます。 3. [条件設定]ボタンをクリックします。 →[条件の指定]画面が表示されます。 4. 以下の項目を入力し、[OK]ボタンをクリックします。 - [指定]、[NULL値を除くすべて]、[NULL値のみ]、[指定しない]のうち、[指定]をチェックします。 - [一致指定]をチェックします。 - [一致指定]タブから、[一致キー]に対象のユーザ名、[検索方法]に[一致するデータ]を指定します。 作成した問い合わせファイルは運用管理サーバへコピーし、対象ユーザの追跡調査用の問い合わせファイルとし て定期的に集計を実行します。 集計手順は以下のとおりです。 5. mpatareportput(集計レポート出力コマンド)の引数として[サーバ不正操作分析問い合わせサンプルファイル]を指 定して実行し、集計結果を取得します。 mpatareportput(集計レポート出力コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュ アル”を参照してください。 11.2.3.5 追跡調査を行う ポリシーの不正改変が行われた可能性がある場合は、詳細を調査する必要があります。 以下に手順を示します。 1. [監査ログ分析]画面を起動し、[監査ログ分析-検索]画面を示します。 2. [検索範囲の設定]で、以下のように設定します。 - [検索開始日時]:集計結果からポリシーの不正改変が行われた可能性がある日付の0時0分0秒を指定します。 - [検索終了日時]:集計結果からポリシーの不正改変が行われた可能性がある日付の23時59分0秒を指定しま す。 3. [検索条件の設定]で、以下の項目を選択します。 - [ログ種別]:CMGRSVOpLogを指定します。 - 310 - - [操作種別]:以下のうち、ポリシーの不正改変が行われた可能性のある操作種別を指定します。 - [ユーザ情報取得] - [ユーザ情報設定] - [ポリシー移出] - [ポリシー移入] 4. [検索開始]ボタンをクリックします。 5. 検索結果の以下の項目に着目し、該当操作日の詳細情報を確認します。 - [日時] - [操作ホスト] - [操作者] - [操作種別] - [追加情報] - [実行結果] 11.2.3.6 レポートを作成する 詳細な調査結果を部門責任者へ通知します。部門責任者は、問題の有無を確認し対処します。また、点検結果はレポー トの形式に出力します。 レポートを作成する mpatareportput(集計レポート出力コマンド)で、出力形式をHTML形式(-O HTMLオプション指定)にした場合、以下の一 般的なレポート形式で集計結果を出力することができます。mpatareportput(集計レポート出力コマンド)の詳細は、 “Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 - 311 - mpatareportput(集計レポート出力コマンド)で出力したレポートには、分析結果を点検した担当者名や点検コメントは出 力されません。 集計レポートに、点検した担当者名や点検コメントを追加する場合は、以下の手順が必要です。 - 312 - 1. 監査ログをmpatareportput(集計レポート出力コマンド)を利用して集計し、結果を出力します。 運用管理サーバで、mpatareportput(集計レポート出力コマンド)に問い合わせファイルを指定して実行します。集 計は、OSに標準で提供されている「タスク」などのスケジューラに登録して実行します。mpatareportput(集計レポー ト出力コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 以下に、問い合わせファイル“CMGR_SVCTLOperation.rne”を使用して、UNIXサーバ不正操作分析の集計レ ポ ー ト “ CMGR_SVCTLOperation ” を デ フ ォ ル ト の 出 力 デ ィ レ ク ト リ “ Systemwalker イ ン ス ト ー ル デ ィ レ ク ト リ \MPWALKER.DM\mpata\var\user\report”配下に出力するバッチファイルの例を示します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\var\user\report \mpatareportput -O HTML CMGR_SVCTLOperation.rne CMGR_SVCTLOperation 2. 集計レポートの結果が出力されたファイルをコピーします。 FTPコマンドなどを使用して、運用管理サーバに出力された集計レポート結果ファイル(上記の例の場合、 Systemwalker イ ン ス ト ー ル デ ィ レ ク ト リ \ MPWALKER.DM \ mpata \ var \ user \ report \CMGR_SVCTLOperation_YYYYMMDD.html)を、運用管理クライアント上の任意のディレクトリにコピーします。 本手順は必要に応じてスケジューラに登録してください。 3. 点検担当者が集計レポートの結果出力ファイルを確認します。 レポートの点検担当者は、運用管理クライアント上にコピーされた集計レポートの結果出力ファイルをWebブラウザ などで開き、その内容を確認します。 4. 集計レポートの結果出力ファイルへ点検コメントを追加します。 運 用 管 理 ク ラ イ ア ン ト で 、 mpatareportcomment( 集 計 レ ポ ー ト コ メ ン ト 追 加 コ マ ン ド ) を 実 行 し ま す。 mpatareportcomment(集計レポートコメント追加コマンド)の詳細については、“Systemwalker Centric Managerリファ レンスマニュアル”を参照してください。 以下に、コマンドの実行例と、コメントを追加した集計レポートの出力例を示します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportcomment -U 佐藤 -C "異常操作は監査ログ出力確認のためであり、問題ありません。" C:\temp \CMGR_SVCTLOperation_20061001.html C:\temp \CMGR_SVCTLOperation_20061101_CHECK.html - 313 - 11.3 Systemwalker Operation Managerの監査ログを分析する 11.3.1 サーバの自動運転運用を点検するには Systemwalker Operation Managerの運用が正しく行われているかを分析するためには、分析対象の監査ログを運用管理 サーバに収集し、分析用に変換(正規化)する必要があります。また、分析するための集計項目や集計結果を表示する 表のレイアウトを定義する必要があります。 この章では、監査ログを収集し正規化するための設定と、監査ログを分析するための設定について説明します。 - 314 - 11.3.2 監査ログを収集し正規化する サーバ操作が正しく行われているかを分析するために必要な監査ログは、Systemwalker Operation Managerのサーバが インストールされている運用管理サーバ、部門管理サーバ、または業務サーバで採取します。それぞれのサーバにある 監査ログを運用管理サーバに収集するための設定は、以下の順で行います。 1. 採取する監査ログを定義する 2. 接続可能一覧ファイルを作成する 3. 監査ログの格納先を定義する 4. スケジューラに監査ログを収集し正規化するコマンドを登録する 採取する監査ログを定義する 運用管理サーバ、部門管理サーバ、業務サーバにおいて、Systemwalker Operation Manageの監査ログを収集するよう 定義します。収集する監査ログのログ識別名は、OMGRLogです。 【Windowsの場合】 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatmlogapdef REP -A OMGRLog -E YES 【SolarisまたはLinuxの場合】 /opt/systemwalker/bin/mpatmlogapdef REP -A OMGRLog -E YES mpatmlogapdef(ログ収集設定コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してく ださい。 接続可能一覧ファイルを作成する 運用管理サーバ-被管理サーバ(部門管理サーバ/業務サーバ)間でログ収集を行う場合、被管理サーバ上の接続 可能一覧ファイルに、接続元運用管理サーバの情報(サーバ名、またはIPアドレス)を記述することで収集対象の運用管 理サーバをチェックし、指定した運用管理サーバ以外からの収集を抑止することができます。 接続可能一覧ファイルについての詳細は、“収集対象のサーバを限定する”を参照してください。 監査ログの格納先を定義する 運用管理サーバにおいて、運用管理サーバ、部門管理サーバ、業務サーバから収集した監査ログを格納するディレクト リを定義します。 例として、C:\mpatm\omgrlogに格納します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatmtrsdef REP -S C: \mpatm\omgrlog mpatmtrsdef(ファイル転送情報定義コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照 してください。 スケジューラに監査ログを収集し正規化するコマンドを登録する システムに対する不当な操作をできるだけ早く発見するため、監査ログの収集、正規化は毎日実施する必要があります。 監査ログの収集・正規化によるサーバへの負荷を減らし、通常業務に支障をきたさないように、作業は夜間に行うことが 必要です。そのためには、運用管理サーバにおいて、OSに標準で提供されている「タスク」などのスケジューラ機能に、 監査ログ収集と正規化を実行するスケジュールを登録し、自動で作業できるようにする必要があります。 以下に、スケジューラに登録するコマンドを示します。 1. 監査ログを収集するコマンド 運用管理サーバ、部門管理サーバ、業務サーバおよび運用管理クライアントから監査ログを収集するようにコマン ドを登録します。 - 315 - 例として、部門管理サーバのサーバ名がserver1である場合のコマンドを以下に示します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatmlog -H server1 監査ログを収集する対象のすべてのサーバに対し、コマンドを実行してください。 2. 収集した監査ログを正規化するコマンド 正規化する監査ログのログ識別名は、OMGRLogです。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatalogcnvt -H server1 -A OMGRLog -L C:\mpatm\omgrlog 例として、3台の業務サーバ(ホスト名がgyoumu1、gyoumu2およびgyoumu3)から監査ログを収集し正規化する場合に、 登録するコマンドを以下に示します。なお、収集した監査ログの格納先は、mpatmtrsdef(ファイル転送情報定義コマンド) を使用してC:\mpatm\omgrlogに設定済みであるとします。 C:\Systemwalker\MPWALKER.DM\bin\mpatmlog -H gyoumu1 C:\Systemwalker\MPWALKER.DM\bin\mpatmlog -H gyoumu2 C:\Systemwalker\MPWALKER.DM\bin\mpatmlog -H gyoumu3 C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H gyoumu1 -A OMGRLog -L C:\mpatm\omgrsvlog C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H gyoumu2 -A OMGRLog -L C:\mpatm\omgrsvlog C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H gyoumu3 -A OMGRLog -L C:\mpatm\omgrsvlog mpatmlog(ログ収集コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 mpatalogcnvt(監査ログ正規化コマンド) はオプション指定により正規化対象とする監査ログを種別やホスト・出力日など で絞り込んだり、正規化をテスト実行させることができます。mpatalogcnvt(監査ログ正規化コマンド)の詳細については、 “Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 11.3.3 問い合わせサンプルファイルを編集する 監査ログを分析するには、監査ログを集計するときの問い合わせ条件(集計項目)や、集計結果を表示する表のレイアウ トの設定条件を、問い合わせファイルに定義する必要があります。 セキュリティ管理者は、Systemwalker Operation Managerを用いた運用に対する不正な操作を分析する場合の固有情報 (操作の時間帯、操作種別、実行結果、操作者)を設定するため、標準提供されている“Systemwalker Operation Manager 運用の定義情報変更・操作分析問い合わせサンプルファイル”をカスタマイズします。 監査ログ分析のための設定は、以下の順で行います。 1. Systemwalker Operation Manager運用の定義情報変更・操作分析問い合わせサンプルファイルを編集する 2. スケジューラに集計を実行するコマンドを登録する Systemwalker Operation Manager運用の定義情報変更・操作分析問い合わせサンプルファイルを編集 する 問い合わせサンプルファイルは、監査ログ分析機能をインストールしたときに、運用管理クライアントに格納されます。こ の問い合わせサンプルファイルをコピーしてカスタマイズします。 1. 問い合わせサンプルファイルを、任意のディレクトリにコピーします。 問い合わせサンプルファイルのインストール先は“Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata \sample\total”です。“Systemwalker Operation Manager運用の定義情報変更・操作分析問い合わせサンプルファ イル”のファイル名は“OMGR_DefinitionChange.rne”です。 コピー先がc:\tempの場合の例を以下に示します。 - 316 - copy c:\Systemwalker\MPWALKER.DM\mpata\sample\total \OMGR_DefinitionChange.rne c:\temp 2. [スタート]/[アプリ]-[Interstage Navigator Client]-[Navigator クライアント]を選択します。 →[Navigator クライアント]が起動されます。 3. [Navigator クライアント]から[ファイル]メニューの[開く]を選択します。 →[開く]ダイアログボックスが表示されます。 [開く]ダイアログボックスで、手順1.で任意のディレクトリにコピーしたカスタマイズ用“Systemwalker Operation Manager 運用の定義情報変更・操作分析問い合わせファイル”を選択します。 →[サーバに接続]画面が表示されます。 - 317 - 4. [サーバに接続]画面において、Interstage Navigator Serverに接続するためのユーザ名とパスワード、Interstage Navigator Serverがインストールされた運用管理サーバのサーバ名を入力し、[OK]ボタンをクリックします。 →確認メッセージが表示されます。 5. 問い合わせファイルをカスタマイズするので、[いいえ]ボタンをクリックします。 注意 ボタンの選択についての注意事項 [はい]ボタンをクリックすると、問い合わせファイルをカスタマイズできずに集計処理が実行されてしまいます。 - 318 - →[レイアウトの指定]画面が表示されます。 6. [条件]欄に、問い合わせファイルの条件となる、固有情報を設定します。 “Systemwalker Operation Manager運用の定義情報変更・操作分析問い合わせサンプルファイル”には、初期値と して以下の条件が登録されています。 - 期間対象が開始日から終了日までである。かつ、 - ログ種別が、Systemwalker Operation Managerの監査ログ である。かつ、 - 拡張値11が以下のどれかである。 - ログイン成功 - ログイン失敗 - 変更・操作 これらの条件のうち、「期間対象」は必要に応じて設定値を変更してください。 固有情報の詳細は、“Systemwalker Centric Managerリファレンスマニュアル”で“Systemwalker Operation Manager 運用の定義情報変更・操作分析問い合わせサンプルファイル”を参照してください。 固有情報を編集するときは、[条件]欄の該当項目を選択し、編集画面で内容を書き換えます。 - 319 - 固有情報を複数設定する場合は、[データ項目]から該当項目を追加します。 a. 項目の追加を行った場合、[条件のAND/OR編集]画面の起動ボタンをクリックします。 - 320 - →[条件のAND/OR編集]画面が表示されます。 b. 追加した固有情報を、既存の固有情報と同様の条件構造に設定します。 7. 設定した条件内容を一覧表示で確認します。 →[条件]画面が表示されます。 - 321 - 8. 設定した情報に問題がない場合は、[閉じる]ボタンをクリックし、[レイアウトの指定]画面で[OK]ボタンをクリックしま す。 →[Navigator クライアント]画面が表示されます。 9. ここでは集計処理を実施しないので、[いいえ]ボタンをクリックします。 注意 ボタンの選択についての注意事項 [はい]ボタンをクリックすると、問い合わせファイルをカスタマイズできずに集計処理が実行されてしまいます。 →[Navigator クライアント]画面が表示されます。 10. [ファイル]メニューから[名前を付けて保存]を選択し、ファイルを保存します。 →“Systemwalker Operation Manager運用の定義情報変更・操作分析問い合わせファイル”が、運用管理クライア ント上のファイルとして作成されます。 - 322 - 例として、以下の場所に保存します。 - フォルダ名: C:\temp - ファイル名: OpeLogCheck.rne 注意 問い合わせファイル名についての注意事項 問い合わせファイル名は集計レポート出力コマンドで使用するため、ASCII文字210文字以内またはシフトJIS 文字105文字以内で指定してください。 11. [ファイル]メニューから[終了]を選択します。 ポイント 「期間対象」以外を変更していない場合は、問い合わせサンプルファイルの動作確認をする必要はありません。 11.3.4 スケジューラに集計を実行するコマンドを登録する システムに対する不当な操作は、できるだけ早く発見しなければなりません。そのためには、監査ログの集計を毎日実施 し、分析する必要があります。また、監査ログの収集・集計・分析作業によるサーバへの負荷を減らし、通常業務に支障 をきたさないように、作業は夜間に行うことが必要です。 そのためには、運用管理サーバにおいて、OSに標準で提供されている「タスク」などのスケジューラ機能に、集計を実行 するスケジュールを登録し、自動で作業できるようにする必要があります。 以下に、集計実行コマンドをスケジューラに登録する手順を示します。 1. 運用管理クライアント上に保存した問い合わせファイルを運用管理サーバ上の下記ディレクトリへコピーします。 Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\data\total 2. 運用管理サーバ上の任意のスケジューラ機能にmpatareportput(集計レポート出力コマンド)を、以下のように登録 します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportput OpeLogCheck.rne OpeLogCheck →“Systemwalker Operation Manager運用の定義情報変更・操作分析問い合わせサンプルファイル”による集計 が、毎日実行されるようにスケジュールされます。 mpatareportput(集計レポート出力コマンド) はオプション指定により出力形式や出力ファイル名を変更することができま す。mpatareportput(集計レポート出力コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュア ル”を参照してください。 運用 夜間のうちに集計されCSV形式に出力された結果をもとに、前日のシステム運用の様子を分析します。分析の結果、シ ステム運用に問題があると判断された場合は、追跡調査を実施したり、管理者や責任者に報告するなどして、少しでも早 く運用ルールに沿ったシステム運用に戻します。また、結果は点検資料としてレポートに出力し、保管しておきます。 分析するときの集計方法や、検索方法の詳細は、“監査ログを集計する”および“監査ログを検索する”を参照してくださ い。 以下の3種類の運用例を説明します。 ・ 不正ユーザのログインを分析する ・ 業務時間外での不正な定義変更・操作を分析する ・ ユーザの役割の範囲外となる操作を分析する - 323 - 11.3.5 監査ログを分析する手順 Systemwalker Operation Managerに対する操作状況を、出力ファイルの内容から判断します。 認証失敗ログ件数の集中しているセルを確認します。 例は、11/1 の夜間(運用が行われていない時間帯)にUser2によりSystemwalker Operation Managerサーバへのログイン、 および運用の定義情報の変更・操作が行われていることを想定した出力例です。 集計結果の数字に着目し、0以外のセルを以下の観点で確認します。 不正ユーザのログインを分析する 1. 登録していないユーザ、または登録を削除したユーザがログインしていないか確認します。 2. 分析結果を評価します。 業務時間外での不正な定義変更・操作を分析する 1. 運用が行われていない時間帯(0:00-05:59)にログインの成功や失敗がないか確認します。 2. 分析結果を評価します。 夜間(0:00-05:59)に監査ログが書き込まれている場合は、不正なアクセスや、変更・操作が行われた可能性がある ため、詳細な調査を行います。 ユーザの役割の範囲外となる操作を分析する 1. 許可されていない変更・操作が行われていないか確認します。 2. 分析結果を評価します。 ユーザごとに、変更・操作の内容(ジョブの停止回数、再起動回数、強制終了回数など)を具体的に確認します。 11.3.6 追跡調査を行う 許可されていない操作が行われた可能性がある場合は、監査ログ分析の検索機能を使用して追跡調査を行います。 以下に手順を説明します。 1. [スタート]/[アプリ]-[Systemwalker Centric Manager]-[Systemwalkerコンソール]を選択します。 →[Systemwalkerコンソール]が起動されます。 2. [Systemwalkerコンソール]の[操作]メニューから[監査ログ分析]を選択します。 →[監査ログ分析]画面の[監査ログ分析-検索]画面が表示されます。 3. [検索範囲の設定]を設定します。 4. [検索条件の設定]で、[実行ホスト]、[実行ユーザ]を選択します。 5. [検索開始]ボタンをクリックします。 6. 検索結果から、問題箇所を特定します。 - 324 - 7. [検索条件の保存・管理]ボタンをクリックし、検索条件を保存します。 8. 該当ログをもとに、部門責任者へ確認を行います。 11.3.7 レポートを作成する 詳細調査の結果を部門責任者へ通知します。部門責任者は、問題の有無を確認し対処します。また、点検結果はレポー トの形式に出力します。 レポートを作成する mpatareportput(集計レポート出力コマンド)で、出力形式をHTML形式(-O HTMLオプション指定)にした場合、以下の一 般的なレポート形式で集計結果を出力することができます。mpatareportput(集計レポート出力コマンド)の詳細は、 “Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 - 325 - mpatareportput(集計レポート出力コマンド)で出力したレポートには、分析結果を点検した担当者名や点検コメントは出 力されません。 集計レポートに、点検した担当者名や点検コメントを追加する場合は、以下の手順が必要です。 1. 監査ログをmpatareportput(集計レポート出力コマンド)を利用して集計し、結果を出力します。 運用管理サーバで、mpatareportput(集計レポート出力コマンド)に問い合わせファイルを指定して実行します。集 計は、OSに標準で提供されている「タスク」などのスケジューラに登録して実行します。mpatareportput(集計レポー ト出力コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 以下に、問い合わせファイル“OMGR_DefinitionChange.rne”を使用して、Systemwalker Operation Manager運用 の定義情報変更の集計レポート“OMGR_DefinitionChange”をデフォルトの出力ディレクトリ“Systemwalkerインス トールディレクトリ\MPWALKER.DM\mpata\var\user\report”配下に出力するバッチファイルの例を示します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportput -O HTML OMGR_DefinitionChange.rne OMGR_DefinitionChange 2. 集計レポートの結果が出力されたファイルをコピーします。 FTPコマンドなどを使用して、運用管理サーバに出力された集計レポート結果ファイル(上記の例の場合、 Systemwalker イ ン ス ト ー ル デ ィ レ ク ト リ \ MPWALKER.DM \ mpata \ var \ user \ report \OMGR_DefinitionChange_YYYYMMDD.html)を、運用管理クライアント上の任意のディレクトリにコピーします。 本手順は必要に応じてスケジューラに登録してください。 3. 点検担当者が集計レポートの結果出力ファイルを確認します。 レポートの点検担当者は、運用管理クライアント上にコピーされた集計レポートの結果出力ファイルをWebブラウザ などで開き、その内容を確認します。 4. 集計レポートの結果出力ファイルへ点検コメントを追加します。 運 用 管 理 ク ラ イ ア ン ト で 、 mpatareportcomment( 集 計 レ ポ ー ト コ メ ン ト 追 加 コ マ ン ド ) を 実 行 し ま す。 mpatareportcomment(集計レポートコメント追加コマンド)の詳細については、“Systemwalker Centric Managerリファ レンスマニュアル”を参照してください。 以下に、コマンドの実行例と、コメントを追加した集計レポートの出力例を示します。 【正常の場合】 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportcomment -U 佐藤 -C "夜間の不正なアクセスはありません。" C:\temp - 326 - \OMGR_DefinitionChange_20061102.html C:\temp \OMGR_DefinitionChange_20061102_CHECK.html 11.4 カスタム イベントログを分析する Systemwalker Centric Managerの監査ログ分析機能でカスタムイベントログを分析する手順を説明します。 なお、“カスタムイベントログを収集するための設定”で収集したカスタム イベントログを分析します。 監査ログの分析を設定する 分析したいカスタム イベントログのログ分析を設定します。 - 327 - 監査ログを分析する カスタム イベントログを分析します。 Systemwalker Centric Managerの監査ログ分析機能でカスタム イベントログを分析する設定方法を説明します。 監査ログの分析を設定する カスタム イベントログをログ分析するための設定を行います。ログ分析の設定は、運用管理サーバ、および運用管理クラ イアントで行います。 1. 運用管理サーバ上で、正規化ルール定義ファイルをコピーし、mpatarulectl(正規化ルール管理コマンド)を利用し て登録します。mpatarulectl(正規化ルール管理コマンド)の詳細については、“Systemwalker Centric Manager リ ファレンスマニュアル”を参照してください。 例) “Microsoft-Windows-Application-Experience/Program-Inventory”のカスタム イベントログを分析する場合 【Windows】 cd Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\etc\rule copy mpatarule_EventLogApplication.ini mpatarule_EventLogMWAEPI.ini mpatarulectl -A mpatarule_EventLogMWAEPI.ini 【Solaris/Linux】 cd /etc/opt/FJSVmpata/etc/rule cp mpatarule_EventLogApplication.ini mpatarule_EventLogMWAEPI.ini /opt/systemwalker/bin/mpatarulectl -A mpatarule_EventLogMWAEPI.ini ログ識別名は、“監査ログの収集を設定する”の手順2で追加した文字列を指定してください。 2. 運用管理サーバ上の以下の問い合わせサンプルファイルを、運用管理クライアント上の任意のディレクトリにバイ ナリファイルとしてコピーします。 【Windows】 運用管理サーバ上のファイル格納ディレクトリ サンプルファイル名 Systemwalkerインストールディレクトリ\MPWALKER.DM \mpata\sample\total DayOfWeek.RNE EachTimeSlot.RNE ExecutionHost.RNE LogType.RNE severity.RNE 【Solaris/Linux】 運用管理サーバ上のファイル格納ディレクトリ サンプルファイル名 /etc/opt/FJSVmpata/sample/total DayOfWeek.RNE EachTimeSlot.RNE ExecutionHost.RNE LogType.RNE severity.RNE - 328 - 3. 運用管理クライアント上で、コピーした各問い合わせサンプルファイルをInterstage Navigatorクライアントで開き、条 件の[ログ種別]にログ識別名を追加し、保存します。 条件の追加方法の詳細については、“問い合わせファイルを作成する”を参照してください。 4. 運用管理クライアント上で保存した各問い合わせサンプルファイルを、運用管理サーバの以下のディレクトリにコ ピーします。 【Windows】 Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\data\total 【Solaris/Linux】 /etc/opt/FJSVmpata/data/total 監査ログを分析する 監査ログを運用管理サーバで分析します。 なお、[監査ログ分析-検索]画面で追加したカスタム イベントログの監査ログを検索する場合、[検索条件の設定]の[ロ グ種別]の[候補一覧]に、ログ識別名がすべて小文字で表示されます。 例) ログ識別名が“EventLogMWAEPI”の場合、[検索条件の設定]の[ログ種別]の[候補一覧]に“eventlogmwaepi”と表示さ れます。 - 329 - 11.5 [監査ログ分析]画面のメニュー項目 [ファイル]メニュー メニュー項目名 備考 [機能を実行する] [ランチャー]において、実行できる機能 のフォルダが選択されている場合のみ有 効 [終了] [表示]メニュー メニュー項目名 備考 [監査ログ分析-検索] [ランチャーの表示] [機能情報の表示] [通知履歴の表示] [ウィンドウ]メニュー メニュー項目名 備考 複数のプラグインが表示されている場合 のみ有効 このメニューを選択すると、[機能の一覧] 画面が表示されます。 [切り替え] [全て閉じる] [設定] [ヘルプ]メニュー メニュー項目名 備考 [ヘルプ目次] [バージョン情報] [ランチャー] 項目名 権限 備考 - ノード単一選択時に操作可能 [ping] - ノード単一選択時に操作可能 [arp] - ノード単一選択時に操作可能 [telnet] - ノード単一選択時に操作可能 [ftp] - ノード単一選択時に操作可能 [traceroute(サブネット)] - サブネットフォルダ選択時およびノード 単一選択時に操作可能 [traceroute(ノード)] - ノード単一選択時に操作可能 [リモート操作] - ノード単一選択時に操作可能 リモート操作がインストールされている場 合のみ [構成管理] - 330 - 項目名 権限 備考 [ソフトウェア修正管理] - 資源配付がインストールされている場合 のみ [インベントリ情報の表示] - 資源配付がインストールされている場合 のみ [性能情報の出力] 更新 操作 [資源配付の操作] - 資源配付がインストールされている場合 のみ [ランチャー]から運用管理サーバ二重化システムを構成している主系サーバ/従系サーバで使用できる機能 名称 権限 主系 従系 その他 構成管理 - ○ ○ ping - ○ ○ ノード単一選択時に操作可能 arp - ○ ○ ノード単一選択時に操作可能 telnet - ○ ○ ノード単一選択時に操作可能 ftp - ○ ○ ノード単一選択時に操作可能 traceroute(サブネット) - ○ ○ サブネットフォルダ・ノード単一選択時 に操作可能 traceroute(ノード) - ○ ○ ノード単一選択時に操作可能 telnet(管理サーバ) - ○ ○ リモートデスクトップ - ○ ○ リモートデスクトップ(管理サー バ) - ○ ○ リモート操作(管理サーバ) - ○ ○ リモート操作 - ○ ○ ノード単一選択時に操作可能 ソフトウェア修正管理 - ○ × 資源配付インストール時 インベントリ情報の表示 - ○ × 資源配付をインストールしている環境 で、ノードを単一選択した場合に操作 できます。 性能情報の出力 更新 ○ ○ ○ × 操作 資源配付の操作 - 資源配付インストール時 上記の機能に加え、以下の機能をランチャーに追加し、実行することができます。 ・ 富士通の各ミドルウェアから随時提供されるプラグイン プラグインは以下のURLから入手することができます。 http://software.fujitsu.com/jp/technical/systemwalker/centricmgr/template/ ・ Systemwalkerコンソールの[操作]メニューに追加した機能 操作メニューに登録する手順については、“Systemwalker Centric Manager使用手引書 監視機能編”を参照してくだ さい。 ・ Systemwalkerコンソールのクラスタプロパティ画面で登録したクラスタコンソール [ランチャー]から全体監視環境の各運用形態で使用できる機能 - 331 - 名称 権限 シング マルチサイト型 ルサイト 型 Syste mwalk erプロト コル 構成管理 その他 Syste インター mwalk ネット標 erプロ 準プロト コル トコル ○ ○ ○ ping - ○ ○ × ノード単一選択時に操作 可能 arp - ○ ○ × ノード単一選択時に操作 可能 telnet - ○ ○ × ノード単一選択時に操作 可能 ftp - ○ ○ × ノード単一選択時に操作 可能 traceroute(サブネット) - ○ ○ × サブネットフォルダ・ノード 単一選択時に操作可能 traceroute(ノード) - ○ ○ × ノード単一選択時に操作 可能 telnet(管理サーバ) - × × ○ リモートデスクトップ - ○ ○ × リモートデスクトップ(管 理サーバ) - × × ○ リモート操作(管理 サーバ) - ○ ○ × リモート操作 - ○ ○ × ノード単一選択時に操作 可能 ソフトウェア修正管理 - ○ ○ ○ 資源配付インストール時 インベントリ情報の表 示 - ○ ○ ○ 資源配付インストール時 性能情報の出力 更新 × × × × × × 操作 資源配付の操作 - 資源配付インストール時 上記の機能に加え、以下の機能を[ランチャー]に追加し、実行することができます。 ・ 富士通の各ミドルウェアから随時提供されるプラグイン プラグインは以下のURLから入手することができます。 http://software.fujitsu.com/jp/technical/systemwalker/centricmgr/template/ ・ [Systemwalkerコンソール]の[操作]メニューに追加した機能 [操作]メニューに登録する手順については、“Systemwalker Centric Manager使用手引書 監視機能編”を参照してく ださい。 ・ [Systemwalkerコンソール]の[クラスタプロパティ]画面で登録した[クラスタコンソール] - 332 - 注意 VM運用について 管理OSに異常が発生した場合、同一物理サーバ内のゲストOSにも影響があるため、高信頼な環境を実現することがで きません。このため、同一物理サーバ内の2台の運用管理サーバで全体監視環境(全体監視サーバ-被監視運用管理 サーバ)を作成しないでください。 VM運用で使用できる機能の詳細については、“Systemwalker Centric Manager PRIMERGY/PRIMEQUEST運用管理 ガイド”の、“機能概要”を参照してください。 11.6 [監査ログ分析]画面をカスタマイズする [監査ログ分析]画面のカスタマイズについて説明します。 [監査ログ分析]画面の設定を変更する [監査ログ分析]画面でカスタマイズ可能な項目があるプラグインの機能名が表示されます。ツリーに表示しているフォル ダ(各プラグインの機能名)を選択すると、右側の領域に各プラグインのカスタマイズ可能な項目が表示され、設定するこ とができます。 [監査ログ分析]画面の[基本設定]では以下の設定をカスタマイズできます。 フォルダ名 [基本設定] カスタマイズできる項目 初期値 [画面の終了状態を保存 する] ON [終了時に確認メッセージ を表示する] ON [ランチャーカスタマイズ設 定] 表示項目の順序 現在の[ランチャー]に表示されて いる順番で表示されます。 [通知履歴] [一覧の最大表示メッセー ジ数] 100 備考)1~1000の間で設定できま す。 - 333 - 1. [監査ログ分析]画面の[ウィンドウ]-[設定]メニューを選択します。 →[基本設定]画面が表示されます。 2. ツリーでカスタマイズする機能名を選択し、設定を変更します。 - 334 - 第12章 サーバへのアクセスを制御する 12.1 サーバアクセス制御機能を設定する作業の流れ サーバアクセス制御機能を設定する作業の流れを説明します。 サーバ資産に対する操作を制御する作業の流れを説明します。 1.セキュリティ管理者/監査者を設定する セキュリティ管理者/監査者については、“セキュリティ管理者/監査者”を参照して ください。 2.監査ログ、録画記録の出力先/保存日数を設定する 監査ログの出力設定については、“監査ログの出力設定”を参照してください。 3.スタンダードモードでポリシーを作成する スタンダードモードについては、“アクセス制御”を参照してください。 4.ポリシーを配付する 5.監査ログを収集する 事前に、“監査ログ管理の設定例”の“運用管理サーバ側の設定”を参照し、格納 ディレクトリの設定を行ってください。また、必要に応じて“収集対象のサーバを限 定する”に記述されている設定を実施してください。(注) 6.監査ログの正規化/集計を自動化する “Systemwalker Centric Managerの監査ログを分析する”を参照してください。 7.ログ集計表を適用・カスタマイズする 作業手順については、“問い合わせファイルを作成する”および“問い合わせサン プルファイルを編集する”を参照してください。 8.カスタムモードでポリシーを作成する カスタムモードについては、“アクセス制御”を参照してください。 - 335 - 注) ・ すでに監査ログ管理を使用している場合、設定は不要です。 ・ “監査ログ管理の設定例”に記述されている運用管理サーバ以外のサーバ種別の設定は不要です。 セキュリティ管理者/監査者 各管理者/監査者の設定については、“セキュリティ管理者/監査者を設定する”を参照してください。 運用管理サーバのセキュリティ管理者の設定 Systemwalker Centric Managerをインストールした直後には、運用管理サーバのセキュリティ管理者は設定されていませ ん。セキュリティポリシーを作成する場合、セキュリティ管理者の設定が必要です。 設定は、運用管理クライアントの[Systemwalkerコンソール]を使用し、サーバアクセス制御のポリシーを作成する前に行っ てください。 登録されたセキュリティ管理者は、以下の設定を行うことができます。 ・ 運用管理サーバのセキュリティ監査者の設定 ・ 管理対象サーバのセキュリティ管理者/セキュリティ監査者の設定 ・ アクセス監査ログ出力およびアクセス制御の設定 ・ セキュリティポリシーの作成/編集/削除 ・ 監査ログ管理の設定 ・ 監査ログ出力の設定 ・ セキュリティを維持したままシステム保守を行う場合の承認 運用管理サーバのセキュリティ監査者の設定 Systemwalker Centric Managerをインストールした直後には、運用管理サーバのセキュリティ監査者は設定されていませ ん。 設定は、運用管理サーバのセキュリティ管理者が、運用管理クライアントで[Systemwalkerコンソール]からセキュリティ監 査者を設定します。 登録されたセキュリティ監査者は、運用管理サーバでセキュリティポリシー設定内容の参照ができます。また、アクセス監 査ログの監査を行うことができます。 管理対象サーバのセキュリティ管理者の設定 運用管理サーバのセキュリティ管理者が、運用管理クライアントで[Systemwalkerコンソール]から管理対象サーバのセ キュリティ管理者を設定します。設定は、システム管理者が当該設定をポリシーとして配付/適用することで有効になりま す。 登録されたセキュリティ管理者は、当該の管理対象サーバで以下のシステム保守コマンドを実行できます。 ・ システム保守承認コマンド ・ システム保守終了コマンド ・ システム保守承認状況表示コマンド 管理対象サーバのセキュリティ監査者の設定 運用管理サーバのセキュリティ管理者が、運用管理クライアントで[Systemwalkerコンソール]から管理対象サーバのセ キュリティ監査者を設定します。設定は、システム管理者が当該設定をポリシーとして配付/適用することで有効になりま す。 登録されたセキュリティ監査者は、当該の管理対象サーバで、録画した操作の再生コマンドを実行できます。 - 336 - 監査ログの出力設定 アクセス監査ログ ・ 監査ログの出力先 ・ 監査ログの保存日数 操作の録画データ ・ サーバアクセス制御機能の[録画設定]画面の設定【Linux版】 Systemwalkerコンソール監査ログ ・ 監査ログの出力先 ・ 監査ログの保存日数 アクセス制御 スタンダードモード・カスタムモード サーバアクセス制御では、以下の2種類の設定方法があります。スタンダードモードは配付先のサーバ(ノード)を設定 するだけで運用できるモードです。 - スタンダードモード - ファイル - suコマンドの実行【Linux版】 - レジストリ【Windows版】 - ネットワーク接続【Linux版】 - コンソールログイン - ネットワークログイン - カスタムモード - ファイル - プロセス - レジストリ【Windows版】 - ネットワーク接続【Linux版】 - コンソールログイン - ネットワークログイン カスタムモードは、監査の対象やアクセス制御の対象がプロセスや、ポートなどの単位で詳細に把握できている場合 に使用します。 一般ルール・優先ルール サーバアクセス制御では、以下の2種類のルールがあります。 ・ 一般ルール アクセスの許可/拒否を設定する場合、以下を検討し決定したことを一般ルールと呼びます。 - アクセスの許可を基本とする - アクセスの拒否を基本とする ・ 優先ルール 一般ルールに対して、例外の制御(許可/拒否)の設定を行います。これを優先ルールと呼びます。 なお、優先ルールは、一般ルールで制御対象とした動作のみ設定できます。 - 337 - ・ 一般ルール・優先ルールの設定 一般ルール 優先ルール 1 アクセスを 許可するこ とを基本と した場合 アクセスを 拒否する ユーザ/グ ループ/端 末を設定 説明 業務処理への影響を軽減できますが、セキュリティ 強度は、「アクセスを拒否することを基本とした場合」 よりも低くなります。 社外からのアクセスのみを拒否したり、特定の利用 者のみアクセスを拒否するといった、一部のユーザ/ グループ/端末に対して、利用を限定する場合など に使用します。 [試行モード]を利用して業務への影響がないことを 確認した後にアクセス制御を行ってください。 2 アクセスを 拒否するこ とを基本と した場合 アクセスを 許可する ユーザ/グ ループ/端 末を設定 セキュリティ強度を高くできますが、業務処理への悪 影響が考えられます。 [試行モード]を利用して業務への影響がないことを 確認した後にアクセス制御を行ってください。 ・ 優先ルールの推奨設定 優先ルールを設定する場合、rootやAdministratorなど明にユーザ名を指定したい場合を除き、グループ名を指定し てください。グループ名を指定してアクセス制御を行う場合、OSユーザの追加/削除に伴うアクセス制御ポリシーの更 新・再配付が不要となります。 注意 ルールは1つのポリシーに対して、2000個まで作成できます。 ・ 優先ルールにおいて、同じ[ルール内容]にユーザ/グループを複数指定した場合、1つのユーザ/グループごとに1つ のルールとカウントします。 ・ 保護対象種別が[ネットワーク接続](カスタムモード)の一般ルールにおいて、ポート番号の範囲指定を使用して複数 ポート番号を指定した場合、1つのポート番号ごとに1つのルールとカウントします。 ・ 上記以外の優先ルールおよび一般ルールは、1つごとに1つのルールとカウントします。 スタンダードモード・カスタムモード、優先ルール・一般ルールの関係 以下にアクセス制御の設定について、スタンダードモード・カスタムモードのポリシーと、優先ルール・一般ルールの関係 を示します。 - 338 - アクセス制御の設定 - 339 - ・ スタンダードモード 保護対象 ファイル ルール 一般ルール、優先ルールの順に設定します。 レジストリ【Windows 版】 コンソールログイン ネットワーク接続 【Linux版】 優先ルールのみ設定します。 優先ルールの設定のみを行えば、自動的に一般ルールの 設定が行われます。(注) suコマンドの実行 【Linux版】 ネットワークログイン 注)例:ユーザAにコンソールログインの「許可」設定(優先ルール)を設定した場合、ユーザA以外にはコンソールログ インの「拒否」設定(一般ルール)が自動的に適用されます。 ・ カスタムモード 保護対象 ファイル ルール 一般ルール、優先ルールの順に設定します。 プロセス レジストリ【Windows 版】 ネットワーク接続 【Linux版】 コンソールログイン ネットワークログイン アクセス制御の対象となる操作の一覧は以下のとおりです。 モード スタン ダード モード 保護対象種別 (注1) コンソールログイ ン/ログオン OS Linuxの場合 Windowsの場合 ・コンソールからのログイン ・ログオン画面からのログオン ・ログアウト ・ユーザ切替からのログオン認 証(Windows Server 2008のみ) ・ログアウト カスタ ムモー ド suコマンドの実 行 suコマンドの実行 - ネットワーク接続 telnet、ssh、ftp接続 × ネットワークログ イン telnet、ssh、ftpによるログイン (注2) リモートデスクトップ接続による ログオン プロセス起動 コマンド、スクリプトの実行 exeファイルの実行 プロセス終了 kill(コマンド/API)によるプロセ スの強制停止(SIGKILL送信) タスクマネージャ等によるプロセ スの強制停止 コンソールログイ ン/ログオン ・コンソールからのログイン ・ログオン画面からのログオン ・ログアウト ・ユーザ切替からのログオン認 証(Windows Server 2008のみ) ・ログアウト - 340 - モード 保護対象種別 (注1) OS Linuxの場合 Windowsの場合 ネットワークログ イン telnet、ssh、ftpによるログイン (注2) ファイル読み込 み ファイルの場合: 読み込み操作 ファイル書き込 み ファイルの場合: 書き込み操作 ファイル作成 ファイル/ディレクトリの作成処理 ファイル削除 ファイル/ディレクトリの削除処理 ファイル変名 ファイル/ディレクトリの変名処理。 リモートデスクトップ接続による ログオン ディレクトリ場合: ファイル一覧取得操作 ディレクトリの場合: 配下のファイル作成操作 ただし、別のディスク(ドライブ)への変名処理の場合、変名元の 「ファイル削除」と変名先の「ファイル作成」処理として扱う。 ファイル属性変 更 ファイル/ディレクトリの属性変更 (所有権、パーミッション) ファイル/ディレクトリの属性変更 (アクセス許可(ACL)、読み取り 専用、隠しファイル、アーカイブ 属性、インデックス属性、圧縮 属性、暗号化属性) ネットワーク IPアドレス、ポート指定の TCP/UDP接続 × レジストリ読み込 み - ・レジストリキーのサブキー一 覧、値一覧取得処理。 ・レジストリ値の参照処理。 レジストリ書き込 み - ・レジストリ値の設定、作成、削 除、変名。 ・サブキーの作成・削除・変名 レジストリ作成 - ・レジストリキーの作成。 ・レジストリキーの変名(変名先 が制御対象の場合) レジストリ削除 - ・レジストリキーの削除。 ・レジストリキーの変名(変名元 が制御対象の場合) 注1) 以下のアクセス制御の保護対象種別は、RHEL6でサポートしていないため、ポリシーを配付しても設定が無視され ます。 ・ スタンダードモード - suコマンドの実行 - ネットワーク接続 - コンソールログイン - ネットワークログイン ・ カスタムモード - プロセス - ネットワーク接続 - コンソールログイン - 341 - - ネットワークログイン 注2) ネットワークログインでサポートするサービスは以下です。 ・ telnetによるログインの場合、intelnet.dサービス ・ sshによるログインの場合、sshdサービス ・ ftpによるログインの場合、vsftpdサービス 試行モード [試行モード]は、アクセス制御の設定に基づき、サーバへのアクセスの許可・拒否の判定を実施して判定結果をアクセス 監査ログに出力するモードです。実際にアクセスが拒否されることはありません。 このため、アクセス制御を[試行モード]で実行することで、アクセス制御の設定を変更したときの業務への影響を確認で きます。 監視画面通知 [監視画面通知]は、アクセス制御設定のルールに該当する操作が行われたときに[Systemwalkerコンソール]にメッセー ジを通知します。監視機能と連動することで、即座に不正なアクセスを確認できます。 [Systemwalkerコンソール]に通知されるメッセージを以下に示します。 ・ アクセスを許可していない制御対象にアクセスした場合 FJSVsvac: WARNING: 00001 : A control target that is not allowed to be accessed has been accessed. ・ アクセスを許可している制御対象にアクセスした場合 FJSVsvac: WARNING: 00002 : A control target has been accessed. コマンドのエラーメッセージ サーバアクセス制御により、強制アクセス制御を行った結果、通常正常に終了するはずのコマンドがアクセス制御機能に より必要な権限を得ることができずに異常終了することがあります。このような場合は、実行したコマンドにより以下のよう なエラーメッセージが表示される場合があります。 例:ls(1)コマンドによりアクセス拒否されたディレクトリを参照した場合 ls: <アクセス先ディレクトリ>: 許可がありません 例:コンソールログインが拒否されている場合にX Window Systemの画面からログインを行った場合 あなたのセッションは 10秒以上続きませんでした。 もしあなた自身がログアウトしていな い場合、インストールに問題があるか、ディスクの空き容量が足りないかもしれません。 フェイルセーフなセッションからログインし、この問題を解決できるかどうか確認してくださ い。 Red Hat Enterprise Linux 5の場合とRed Hat Enterprise Linux 6の場合の動作差異 OSがRed Hat Enterprise Linux 5の場合とRed Hat Enterprise Linux 6の場合でアクセス制御に以下の動作差異がありま す。 項目 ファイル アクセ ス制御 の保護 対象の RHEL5 ・ 保護対象の末尾が“/”の場合 保護対象に指定したディレクトリ配下 のファイルまたはディレクトリが保護の 対象になります。 RHEL6 アクセス制御ポリシーにおける保護対象は ファイル/ディレクトリに分けて指定する必 要があります。 ・ 保護対象の末尾が“/”の場合 ・ 保護対象の末尾が“/”でない場合 - 342 - 項目 指定方 法 RHEL5 保護対象に指定したファイル/ディレク トリが保護の対象になります。 ・ 保護対象に“*”を使用した場合 RHEL6 - 保護対象に指定したディレクトリが 保護の対象になります。 - 保護対象に指定したディレクトリ配 下のファイルまたはディレクトリが 保護の対象になります。 条件を満たすファイル/ディレクトリが保 護の対象になります。 ・ 保護対象の末尾が“/”でない場合 保護対象に指定したファイルが保護 の対象になります。 ・ 保護対象に“*”を指定した場合 - アクセス制御は有効になりません。 - “*”を使用した保護対象が設定さ れたアクセス制御ポリシーが配付 された場合、システムログに警告 メッセージが出力されます。 アクセス 制御ポ リシー 配付時 の保護 対象の 存在有 無によ る動作 アクセス制御ポリシー配付時に保護対象 に指定されたファイル/ディレクトリが存在 する/しないにかかわらず、アクセス制御は 有効になります。 ・ 保護対象の末尾が“/”の場合 - アクセス制御ポリシー配付時、ア クセス制御ポリシーにおいて保護 対象に指定したディレクトリが存在 する場合のみ、アクセス制御が有 効になります。 - アクセス制御ポリシー配付後、保 護対象に指定したディレクトリが作 成された場合、作成したディレクト リおよび配下のファイル/ディレクト リに対してアクセス制御は有効に なりません。 - アクセス制御ポリシー配付時にア クセス制御ポリシーにおいて保護 対象に指定したディレクトリが存在 する場合、配下のファイル/ディレ クトリがアクセス制御ポリシー配付 後に作成された場合でも、アクセ ス制御は有効になります。 ・ 保護対象の末尾が“/”でない場合 - アクセス制御ポリシー配付時、ア クセス制御ポリシーにおいて保護 対象に指定したファイルが存在す る場合のみ、アクセス制御が有効 になります。 - アクセス制御ポリシー配付後に作 成されたファイルは制御対象には なりません。 ・ 存在しないファイル/ディレクトリが保護 対象に指定されたアクセス制御ポリ シーが配付された場合、システムログ に警告メッセージが出力されます。 【運用方法】 - 343 - 項目 RHEL5 RHEL6 削除・作成が繰り返されるファイル/ディレ クトリをアクセス制御したい場合、親ディレ クトリを保護対象に指定してください。 サーバ アクセ ス制御 の再開 方法 アクセス 監査ロ グの出 力項目 ・ アクセス制御ポリシーを再度配付しま す。 す。 ・ Systemwalker Centric Managerのサー ・ サーバアクセス制御の緊急停止コマ ビス起動コマンド(scentricmgr)を実行 します。所要時間は数十秒程度かか ります。 ンド(swsvaccontrol)にstartオプションを 指定して実行します。緊急停止コマン ドは時間がかかることがあります。目安 としては、優先ルールに設定したユー ザ/グループが10個の場合、10~15分 程度です。アクセス制御ポリシーの優 先ルールに設定したユーザ/グループ 数が多い場合、さらに時間がかかりま す。 ・ 日付 ・ 日付 --------------------------------- --------------------------------- YYYY/MM/DD +0900 YYYY/MM/DD +0900 HH:MM:SS.??? HH:MM:SS.??? --------------------------------- --------------------------------- ???の値はミリ秒を表しています。 ???は、ログ出力の順序を表す値で す。000~999の値が出力され、1秒当 たり1000個までのログの順序性を保証 します。 ・ 操作IPアドレス 管理対象サーバに対して操作を実行 するクライアントのIPアドレスです。 ・ 操作場所 管理対象サーバに対して操作を実行 するクライアント/運用管理クライアント のホスト名です。 ・ 操作対象 ファイル変名操作のアクセス制御をポ リシーに設定した場合、変名前と変名 後のファイルまたはディレクトリ名が出 力されます。 ファイ ル/ディ レクトリ の変名 操作 ・ アクセス制御ポリシーを再度配付しま ・ 操作IPアドレス ファイルのアクセス制御の場合、常に “_”が出力されます。 ・ 操作場所 ファイルのアクセス制御の場合、常に “_”が出力されます。 ・ 操作対象 ファイル変名操作のアクセス制御をポ リシーに設定した場合、変名前のファ イルまたはディレクトリ名だけが出力さ れます。 ・ mvコマンドなどの変名(移動)操作に ・ mvコマンドなどの変名(移動)操作に よって、異なる場所に移動させた場 合、変名(移動)前と同じ内容のアクセ ス制御は行われません。 よって、異なる場所に移動させた場 合、操作対象のファイル/ディレクトリに 対して、変名(移動)前と同じ内容のア クセス制御が行われます。このアクセ ス制御は、次にポリシーが配付される まで有効です。 ・ ファイル変名操作のアクセス制御をポ リシーに設定した場合、アクセス監査 ログに、操作種別“FNB”と“FNA”のロ グが出力されます。 ・ ファイル変名操作のアクセス制御をポ リシーに設定した場合、アクセス監査 ログに、操作種別“FNB”のログのみ出 力され、操作種別“FNA”のログは出 力されません。 - 344 - 項目 RHEL5 RHEL6 su/sudo コマンド による ユーザ 権限の 変更 su/sudoコマンドを使用して異なるユーザ権 限で操作した場合、異なるユーザ権限に 対してアクセス制御が行われます。 su/sudoコマンドを使用して異なるユーザ権 限で操作した場合でも、ログインしたユー ザの権限でアクセス制御が行われます。 注意 【Windows Server 2012以降の場合】 ・ Windows Server 2012以降では、プロセス終了のアクセス制御/ログ出力、コンソールログイン/ネットワークログインの アクセス制御は使用できないため、プロセス終了の[許可][拒否][ログ出力のみ]設定およびコンソールログイン/ネッ トワークログインの[拒否]設定は無効になります。 このため、アクセス制御ポリシーにおいて、以下の条件のどれかを満たすルールをWindows Server 2012のサーバに 配付した場合、イベントログに警告メッセージが出力されます。 - スタンダードモード - 保護対象種別が「コンソールログイン」で、かつ[許可]を選択した場合、[許可]に指定したユーザ以外への [拒否]設定 - 保護対象種別が「コンソールログイン」で、かつ[拒否]を選択した場合、指定したユーザへの「拒否」設定 - 保護対象種別が「ネットワークログイン」で、かつ[許可]を選択した場合、[許可]に指定したユーザ以外への [拒否]設定 - 保護対象種別が「ネットワークログイン」で、かつ[拒否]を選択した場合、指定したユーザへの「拒否」設定 - カスタムモード - 保護対象種別が「プロセス」の「一般ルール」で、かつ[終了]のチェックボックスにチェックが入っている場合 - 保護対象種別が「プロセス」の「優先ルール」である場合 - 保護対象種別が「コンソールログイン」の「一般ルール」で、かつ[拒否]を選択している場合 - 保護対象種別が「コンソールログイン」の「優先ルール」で、かつ[拒否]を選択している場合 - 保護対象種別が「ネットワークログイン」の「一般ルール」で、かつ[拒否]を選択している場合 - 保護対象種別が「ネットワークログイン」の「優先ルール」で、かつ[拒否]を選択している場合 以下が出力されるメッセージです。 FJSVsvac: WARNING: 01013: サポートされていない保護対象種別を含む[アクセス制 御]ポリシーが配付されました。 ・ Windows Server 2012以降では、安全なシステム保守支援機能が使用できないため、以下の操作は行えません。 - [保守作業の承認]画面で、Windows Server 2012のホスト名を指定して[OK]ボタンをクリックして承認番号を発行 する - Systemwalkerコンソールの[操作]-[サーバアクセス制御]-[保守承認状況の表示/回収]で表示される[サーバの選 択]画面で、Windows Server 2012のホスト名を指定して[OK]ボタンをクリックし、保守承認状況を表示する。 【Red Hat Enterprise Linux 6の場合】 ・ SELinuxを使用して、ファイルのアクセス制御を行っています。ユーザ定義のSELinuxポリシーと競合する可能性が あるため、ユーザ定義のSELinuxポリシーを動作させている場合は停止させてください。また、必要に応じて停止さ せたSELinuxのポリシーファイルを退避させてください。 ・ サーバアクセス制御の使用を停止し、他のユーザ定義のSELinuxポリシーの使用を再開する場合、退避させたポリ シーを再度ロードしてください。 - 345 - ・ サーバアクセス制御の機能使用中に、他のユーザ定義のSELinuxポリシーを使用しようとした場合、以下の現象が 発生する可能性があります。 - 他のユーザ定義のSELinuxポリシーのロードが失敗する。 - 他のユーザ定義のSELinuxポリシーのロード後、どちらかのポリシーの動作が正常に動作しない。 ・ OSをRed Hat Enterprise Linux 5からRed Hat Enterprise Linux 6にバージョンアップした場合、Systemwalker Centric Managerの再インストールが必要となるため、他のプラットフォームと同様に、サーバアクセス制御のポリシーの再配 付が必要です。また、ファイル以外の保護対象種別のアクセス制御を設定していた場合、それらのアクセス制御は有 効になりません。 ・ アクセス制御ポリシーを配付した場合、以下のようなメッセージがシステムログに出力されることがありますが、動作に は問題ありません。 kernel: SELinux: Context system_u:object_r:fjsvsvact_???_????_t:s0 became invalid (unmapped). ? : 0~9の数字 ・ SELinuxをPermissiveモードで動作させていた場合、拒否のアクセス制御は動作しません。アクセス制御ポリシーに おいてアクセス許可されていないユーザが制御対象のファイル/ディレクトリにアクセスした場合、出力されるアクセス 監査ログの[アクセス制御結果]の項目には、“F”が出力されます。 ・ ポリシーの配付先ノードがRed Hat Enterprise Linux 6のとき、以下のどちらかの条件を満たした場合、ポリシー配付 に失敗することがあります。 - 初回ポリシー配付の場合、アクセス制御ポリシーの優先ルールに設定したユーザ/グループ数が多い場合 - 2回目以降のポリシー配付の場合、前回配付したポリシーと比較して、アクセス制御ポリシーの優先ルールに設 定したユーザ/グループ数の増減数(重複を除く)が多い場合 12.2 ポリシーを作成・配付する 12.2.1 監査ログ、録画記録の出力先/保存日数を設定する 監査ログおよび録画記録を出力するために、以下の設定を行います。 ・ 監査ログを出力する ・ 録画記録を収集する【Linux版】 ・ 設定した定義を反映する(ポリシー配付) 初期設定ポリシーだけを使用する場合、本設定をする必要はありません。初期設定ポリシーの内容は以下のとおりです。 設定項目 Windowsの場合 Linuxの場合 監査ロ グ出 力 ログ出力 先 [Systemwalkerインストールディレクトリ] \MPWALKER.DM\mpsvac\var\audit /opt/FJSVsvac/var/audit ログ保存 期間 30日 30日 録画 設定 出力先 - /var/opt/FJSVsvac/record 保存期間 - 30日 ファイル 容量 - 50MB 監査ログを出力する 各種監査ログを出力するために、監査ログの出力先および保存期間を設定します。 - 346 - 1. [Systemwalkerコンソール]を起動します。 システム管理者、セキュリティ管理者が同一の場合は、[機能選択]で[編集]を選択します。システム管理者、セキュ リティ管理者が異なる場合は、[機能選択]で[監視]を選択します。 2. [ポリシー]メニューの[セキュリティ]-[セキュリティポリシー]を選択します。 →[セキュリティポリシー[管理]]画面が表示されます。 3. [セキュリティポリシー[管理]]画面のツリーで[監査ログ出力]-[出力定義]を選択します。 - 347 - 4. [操作]メニューの[新規作成]を選択します。または、[出力定義]配下にある[初期設定]の中から該当するプラット フォームのポリシーを選択し、[操作]メニューの[複写]を選択します。 →[セキュリティポリシー[ポリシーの作成]]画面が表示されます。 5. [ポリシー名]の入力域に任意のポリシー名を入力します。 6. [OK]ボタンをクリックします。 →[監査ログ出力[出力定義]]画面が表示されます。 [ログ出力先]の“%SystemwalkerRoot%”は、Systemwalker Centric Managerのインストール先ディレクトリを意味し ます。“%SystemwalkerRoot%”は、Windowsの場合だけ使用可能です。 7. 出力定義の内容を各入力域に記述します。 [ログ出力先] - 監査ログの出力先を、ドライブ名("C:"など)、またはルートディレクトリ("/")からのフルパスで入力します。 - 348 - - または、[参照]ボタンをクリックすると、[ファイル一覧]画面が表示されます。 [ファイル一覧]画面の[接続先ホスト名]コンボボックス、または、直接入力でサーバを指定し、ディレクトリを 選択して[OK]ボタンをクリックします。 注意 [ファイル一覧]画面で[接続先ホスト名]を直接入力する場合は、[セキュリティポリシー[ポリシーの作成]]画面で 指定したプラットフォームと同じプラットフォームのサーバを指定してください。 [ログ保存期間] 監査ログを保存する日数を入力します。 8. [OK]ボタンをクリックします。 →[セキュリティポリシー[管理]]画面のツリーの[監査ログ出力]-[出力定義]のノードの配下に作成したポリシーの ノードが追加されます。 録画記録を収集する【Linux版】 システム保守支援機能を使用して実施した作業内容を録画し、管理対象サーバにおいて、監査を行うことができます。 運用管理サーバのセキュリティ管理者は、以下の手順で録画記録を出力するための設定をします。 1. [Systemwalkerコンソール]を起動します。 システム管理者、セキュリティ管理者が同一の場合は、[機能選択]で[編集]を選択します。システム管理者、セキュ リティ管理者が異なる場合は、[機能選択]で[監視]を選択します。 2. [Systemwalkerコンソール]画面の[ポリシー]メニューから[セキュリティ]-[セキュリティポリシー]を選択します。 →[セキュリティポリシー[管理]]画面が表示されます。 - 349 - 3. [セキュリティポリシー[管理]]画面の[設定対象]ツリーから、[セキュリティポリシー]-[ポリシー]-[サーバアクセス制 御]-[録画設定]を選択し、[操作]メニューの[新規作成]を選択します。または、[録画設定]配下にある[初期設定]の 中から該当するプラットフォームのポリシーを選択し、[操作]メニューの[複写]を選択します。 →[セキュリティポリシー[ポリシーの作成]]画面が表示されます。 4. [ポリシー名]、[コメント]を入力し、[OK]ボタンをクリックします。 →[録画設定]画面が表示されます。 録画記録の出力先を運用中(管理対象サーバへのポリシー配付/適用後)に変更した場合、すでに出力されている 録画記録は、運用管理サーバから収集されなくなると同時に、アクセス制御の保護対象からもはずれます。 録画記録の出力先を変更する場合は、ポリシー配付/適用を行う前に運用管理サーバから録画記録を収集し、そ の後にポリシーを適用してください。不要になった録画記録は速やかに削除してください。 5. [録画設定]画面で、以下の項目を設定します。 - [出力先] - [保存期間] - [ファイル容量] - [録画することができなくなった時点で処理を強制終了する]チェックボックス 6. [OK]ボタンをクリックします。 →管理対象サーバにポリシーを配付したときに、管理対象サーバの録画記録の設定が行われます。 設定した定義を反映する(ポリシーの配付) 作成したセキュリティポリシーを対象サーバに配付して、監査ログ収集の環境定義が各ノードに反映されます。 12.2.2 スタンダードモードでポリシーを作成する サーバアクセス制御のポリシーは、設定によってはOSやアプリケーションの動作を阻害することがあるため、実運用への 適用時には影響範囲を十分に考慮する必要があります。 このため最初は[試行モード]を使用してください。なお、ポリシーを新規に作成する際、初期設定では[試行モード]になっ ています。 実際にサーバアクセス制御を行う際には、[試行モード]を解除してからポリシー設定を行ってください。 初期設定ポリシーだけを使用する場合、本設定をする必要はありません。初期設定ポリシーの内容は以下のとおりです。 ・ [コンソールログイン]: ログ出力のみ - 350 - ・ [ネットワークログイン]: ログ出力のみ ・ [ネットワーク接続]: ログ出力のみ【Linux版】 ・ [suコマンドの実行]: ログ出力のみ【Linux版】 ポリシーを作成する 1. [Systemwalkerコンソール]を起動します。 システム管理者、セキュリティ管理者が同一の場合は、[機能選択]で[編集]を選択します。システム管理者、セキュ リティ管理者が異なる場合は、[機能選択]で[監視]を選択します。 2. [Systemwalkerコンソール]画面の[ポリシー]メニューから[セキュリティ]-[セキュリティポリシー]を選択します。 →[セキュリティポリシー[管理]]画面が表示されます。 - 351 - 3. [設定対象]ツリーから[セキュリティポリシー]-[ポリシー]-[サーバアクセス制御]-[アクセス制御]を選択し、[操作]メ ニューの[新規作成]を選択します。または、[アクセス制御]配下にある[初期設定]の中から該当するプラットフォー ムのポリシーを選択し、[操作]メニューの[複写]を選択します。 →[セキュリティポリシー[ポリシーの作成]]画面が表示されます。 4. [ポリシー名]、[コメント]を入力し、[OK]ボタンをクリックします。 →[サーバアクセス制御]画面が表示されます。 【Linux版】 - 352 - 【Windows版】 ※ 上記の画面例は、各設定を行った場合のものです。 一般ルールを追加する 1. [サーバアクセス制御]画面の[新規作成]ボタンをクリックします。 →[ルールの追加(スタンダードモード)]画面が表示されます。 2. 以下の保護対象の中から1つを選択し、[OK]ボタンをクリックします。 - [ファイル] - [レジストリ]【Windows版】 - [コンソールログイン] - 353 - - [ネットワークログイン] - [ネットワーク接続]【Linux版】 - [suコマンドの実行]【Linux版】 →選択した保護対象に応じた、[一般ルールの編集(スタンダードモード)]画面が表示されます。 ポリシーの配付対象サーバがRed Hat Enterprise Linux 6の場合、[ファイル]のアクセス制御だけが有効になりま す。 [ファイル]を選択した場合 [一般ルールの編集]画面で、ファイルアクセスに関する一般ルールを設定します。 1. [保護対象]入力域にアクセス制御を行うファイル、またはディレクトリを設定します。 - ファイル、またはディレクトリをフルパスで入力します。 - 354 - - もしくは、[参照]ボタンをクリックすると、[ファイル一覧]画面が表示されます。 [ファイル一覧]画面の[接続先ホスト名]コンボボックス、または直接入力でサーバを指定し、ファイル/ディレクト リを選択して[OK]ボタンをクリックします。 ドライブまたはディレクトリを指定した場合、その配下のファイル/ディレクトリもアクセス制御の対象となります。 アスタリスク(“*”)を前方一致、または後方一致を表す記号として利用することが可能です。なお、アスタリスクを複 数使用することはできません。 注意 [ファイル一覧]画面で[接続先ホスト名]を直接入力する場合は、[セキュリティポリシー[ポリシーの作成]]画面で指 定したプラットフォームと同じプラットフォームのサーバを指定してください。 2. [一般ルールの編集(スタンダードモード)]画面で、[ルール内容]を設定します。 a. [読み込み]、[書き込み]、[作成]、[削除]、[名前変更]、および[属性変更]チェックボックスからログを出力す る操作を選択します。 b. ログを出力する操作に対し、[ログ出力のみ]、[許可]、または[拒否]からアクセス制御の動作を選択します。 c. 設定したアクセス制御の動作を試行モードで使用する場合は、[試行モード]チェックボックスを有効にしま す。 d. アクセス制御設定のルールに該当する操作が行われたときに、[Systemwalkerコンソール]にメッセージを通 知する場合は、[監視画面通知]チェックボックスを有効にします。 3. 必要に応じて、[コメント]を入力し、[OK]ボタンをクリックします。 →ファイルアクセスに関する一般ルールの設定が完了しました。 [レジストリ]を選択した場合【Windows版】 [一般ルールの編集]画面で、レジストリに関する一般ルールを設定します。 - 355 - 1. [保護対象]入力域にアクセス制御を行うレジストリキーを設定します。 - レジストリキーをフルパスで入力します。 - もしくは、[参照]ボタンをクリックすると、[レジストリ一覧]画面が表示されます。 [レジストリ一覧]画面の[接続先ホスト名]コンボボックスでサーバを指定し、[OK]ボタンをクリックします。 指定したレジストリキーのサブキーもアクセス制御の対象となります。 - 356 - 注意 "HKEY_LOCAL_MACHINE\"、"HKEY_USERS\"などのルートキーに拒否のアクセス制御を行った場合、指定 したルートキー以下の情報が必要なOS、ミドルウェア、アプリケーションの機能が正常に動作しなくなる恐れがあり ます。 拒否のアクセス制御を行う対象を、システムが正常に動作する範囲に設定してください。 システムが正常に動作する範囲が不明な場合は、[試行モード]を使用して、システムが正常に動作する範囲を確 認してください。 2. [一般ルールの編集(スタンダードモード)]画面で、[ルール内容]を設定します。 a. [読み込み]、[書き込み]、[作成]、および[削除]チェックボックスからログを出力する操作を選択します。 b. ログを出力する操作に対し、[ログ出力のみ]、[許可]、または[拒否]からアクセス制御の動作を選択します。 c. 設定したアクセス制御の動作を試行モードで使用する場合は、[試行モード]チェックボックスを有効にしま す。 d. アクセス制御設定のルールに該当する操作が行われたときに、[Systemwalkerコンソール]にメッセージを通 知する場合は、[監視画面通知]チェックボックスを有効にします。 3. 必要に応じて、[コメント]を入力し、[OK]ボタンをクリックします。 →レジストリに関する一般ルールの設定が完了しました。 [コンソールログイン]、[ネットワークログイン]、[suコマンドの実行]を選択した場合 [ルールの編集(スタンダードモード)]画面で、[コンソールログイン]、[ネットワークログイン]、または[suコマンドの実行]に 関する一般ルールを設定します。 - 357 - 1. [コンソールログイン]、[ネットワークログイン]、または[suコマンドの実行]に対する保護対象の[操作内容]を選択し ます。 a. ログを出力する操作に対して、[ログ出力のみ]、[許可]、または[拒否]からアクセス制御の操作内容を選択し ます。 b. 操作に対するアクセスを[許可]、または[拒否]するユーザを指定する場合、[ユーザ一覧からの追加]ボタン をクリックします。 →[ユーザ一覧]画面が表示されます [ユーザ一覧]画面の[ホスト名]コンボボックスには、ポリシーが適用されているサーバと適用されていないサー バが表示されます。[ユーザ]には、[ホスト名]で選択したサーバ上に存在するユーザの一覧が表示されま す。 ユーザを選択し、[OK]ボタンをクリックします。 - 358 - c. アクセスを[許可]、または[拒否]するグループを指定する場合、[グループ一覧からの追加]ボタンをクリックし ます。 →[グループ一覧]画面が表示されます。 [グループ一覧]画面の[ホスト名]コンボボックスには、ポリシーが適用されているサーバと適用されていない サーバが表示されます。[グループ]には、[ホスト名]で選択したサーバ上に存在するグループの一覧が表示 されます。 グループを選択し、[OK]ボタンをクリックします。 d. 設定したアクセス制御の動作を試行モードで使用する場合は、[試行モード]チェックボックスを有効にしま す。 e. アクセス制御設定のルールに該当する操作が行われたときに[Systemwalkerコンソール]にメッセージを通知 する場合は、[監視画面通知]チェックボックスを有効にします。 2. 必要に応じて、[コメント]を入力し、[OK]ボタンをクリックします。 →[コンソールログイン]、[ネットワークログイン]、または[suコマンドの実行]に関する一般ルールの設定が完了しま した。 [ネットワーク接続]を選択した場合 [一般ルールの編集]画面で、[ネットワーク接続]に関する一般ルールを設定します。 - 359 - 1. [ネットワーク接続]に対する[操作内容]を選択します。 a. ログを出力する操作に対して、[ログ出力のみ]、[許可]または[拒否]からアクセス制御の操作内容を選択しま す。 b. 操作に対するアクセスを[許可]、または[拒否]する場合、該当するサブネット情報もしくはIPアドレスを指定し ます。 c. 設定したアクセス制御の動作を試行モードで使用する場合は、[試行モード]チェックボックスを有効にしま す。 d. アクセス制御設定のルールに該当する操作が行われたときに[Systemwalkerコンソール]にメッセージを通知 する場合は、[監視画面通知]チェックボックスを有効にします。 2. [OK]ボタンをクリックします。 →[ネットワーク接続]に関する一般ルールの設定が完了しました。 優先ルール(ファイル)を追加する ファイルに対するアクセス制御において、一般ルールより優先するアクセス制御のルールを設定することができます。優 先ルールでユーザ名、またはグループ名を指定することで詳細なアクセス制御を行います。 - 360 - 1. [サーバアクセス制御]画面で優先ルールを追加する保護対象種別がファイルのルールを1つ選択します。 - 361 - 2. [サーバアクセス制御]画面の[優先ルールの追加]ボタンをクリックします。 →[優先ルールの編集]画面が表示されます。 3. [ユーザ]、[グループ]、および[操作内容]を設定します。 - [ユーザ一覧からの追加]ボタンをクリックし、ファイルへのアクセスを許可/拒否するユーザを追加します。 - [グループ一覧からの追加]ボタンをクリックし、ファイルへのアクセスを許可/拒否するグループを追加します。 - ログを出力する操作を、[読み込み]、[書き込み]、[作成]、[削除]、[名前変更]、および[属性変更]の[許可]、ま たは[拒否]オプションボタンから選択します。 4. [OK]ボタンをクリックします。 →ファイルに対する優先ルールが追加されます。 優先ルール(レジストリ)を追加する【Windows版】 レジストリに対するアクセス制御において、一般ルールより優先するアクセス制御のルールを設定することができます。 1. [サーバアクセス制御]画面で優先ルールを追加する保護対象種別がレジストリのルールを1つ選択します。 - 362 - 2. [サーバアクセス制御]画面の[優先ルールの追加]ボタンをクリックします。 →[優先ルールの編集]画面が表示されます。 3. [ユーザ/グループ]、および[操作内容]を設定します。 - [ユーザ一覧からの追加]ボタンをクリックし、レジストリへのアクセスを許可/拒否するユーザを追加します。 - [グループ一覧からの追加]ボタンをクリックし、レジストリへのアクセスを許可/拒否するグループを追加します。 - ログを出力する操作を、[読み込み]、[書き込み]、[作成]、[削除]、[名前変更]、および[属性変更]の[許可]、ま たは[拒否]オプションボタンから選択します。 4. [OK]ボタンをクリックします。 →レジストリに対する優先ルールが追加されます。 12.2.3 ポリシーを配付する サーバアクセス制御の設定を、セキュリティポリシーとして管理対象サーバへ配付することで、アクセス監査ログが自動的 に保護(アクセス制御)されるようになります。 ポリシーが配付される前の状態では、アクセス監査ログは保護されません。 ポリシーを配付するには、管理対象サーバに対して以下の設定を行います。 1. セキュリティ管理者がポリシーグループを作成する。 2. システム管理者がポリシーを配付する。 それぞれの設定手順については、“ポリシーグループを作成する”、および“ポリシーを配付する”を参照してください。 - 363 - サーバアクセス制御の設定が管理対象サーバに配付された後は、以下のファイルが自動的に保護(強制アクセス制御) されます。 ・ アクセス監査ログ(初期設定では、Linux版は/var/opt/FJSVsvac/audit以下のファイル、Windows版はSystemwalkerイ ンストールディレクトリ\MPWALKER.DM\mpsvac\var\audit) ・ サ ー バ ア ク セ ス 制 御 定 義 フ ァ イ ル (Linux 版 は /etc/opt/FJSVsvac 以 下 の フ ァ イ ル / デ ィ レ ク ト リ 、 Windows 版 は Systemwalkerインストールディレクトリ\MPWALKER.DM\mpsvac\etc以下のファイル/ディレクトリ) これらのファイル、またはディレクトリへアクセスされた場合、アクセス監査ログにアクセス違反であることが出力されます。 出力される監査ログについては、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 ポイント ・ [監査ログ出力]の出力先を変更したポリシーグループを配付する場合、[セキュリティ管理者]、[セキュリティ監査者]、 [アクセス制御]、[録画設定]のポリシー更新のログ内容が、[監査ログ出力]の変更前の出力先、変更後の出力先に 分散する場合があります。ログ内容の分散を防ぐためには、[監査ログ出力]のみを変更したポリシーグループを配付 した後、他のポリシーを変更したポリシーグループを配付してください。 また、ポリシーグループを一度も配付していない場合、[監査ログ出力]の出力先と保存日数は初期設定として動作し ます。 ・ ポリシーの配付対象のサーバがWindows Server 2003の場合、かつ、そのサーバがそれまでに一度もポリシーグルー プが配付されていない環境の場合、[コンソールログイン]のアクセス制御・監査ログ出力するためにはシステムの再 起動が必要です。[コンソールログイン]を制御する場合は、システムの再起動をしてください。 ・ 部門管理サーバ、および業務サーバが、x64プラットフォームに32bit版をインストールした環境の場合、これらのサー バへのポリシー配付はサポートしていません。配付を行った場合は、「適用エラー」となります。 ・ ポリシーの配付先ノードがRed Hat Enterprise Linux 6のとき、以下のどちらかの条件を満たした場合、ポリシー配付 に失敗することがあります。ポリシーの設定内容に問題がなく、ポリシー配付に失敗した場合、再配付してください。 - 初回ポリシー配付の場合、アクセス制御ポリシーの優先ルールに設定したユーザ/グループ数が多い場合 - 2回目以降のポリシー配付の場合、前回配付したポリシーと比較して、アクセス制御ポリシーの優先ルールに設 定したユーザ/グループ数の増減数(重複を除く)が多い場合 12.2.4 スタンダードモードをカスタムモードに変更する スタンダードモードで作成したルールをカスタムモードに変更する手順を説明します。なお、カスタムモードに変更したス タンダードモードのルールを、スタンダードモードに戻すことはできません。 セキュリティ管理者が、スタンダードモードからカスタムモードへルールを変更できます。 - 364 - 1. [サーバアクセス制御]画面の保護対象種別から、カスタムモードに変更したいスタンダードモードのルールを選択 します。 2. [カスタムモードへの展開]ボタンをクリックします。 →カスタムモードへ展開するかどうかを確認するメッセージが表示されます。 3. [はい]ボタンをクリックすると、スタンダードモードのルールがカスタムモードに変更されます。 スタンダードモードで作成したルールをカスタムモードへ変更した場合、カスタムモードでは[スタンダードモード(スタン ダードモードでの制御対象名)]と表示され、背景がピンク色になります。 以下にスタンダードモードのルールをカスタムモードに変更した場合に、設定される内容を示します。 スタンダードモー ド カスタムモード 保護対象種別 保護対象種別 保護対象種別 コンソールログ イン スタンダード モード(コンソー ルログイン) コンソールログ イン - 設定内容は一般ルール と優先ルールに分割さ れます。 ネットワークロ グイン スタンダード モード(ネット ワークログイン) ネットワークロ グイン リモートデスク トップ接続 なお、[許可]または[拒 否]の設定がされていな い場合、優先ルールは 作成されません。 [カスタムモードへの変更]を行った場合 保護対象 (注1) TELNET (注 2) SSH (注2) FTP (注2) ネットワーク接 続 スタンダード モード(ネット ワーク接続) ネットワーク接 続 20_21_TCP 22_22_TCP - 365 - 備考 スタンダードモー ド カスタムモード 保護対象種別 保護対象種別 [カスタムモードへの変更]を行った場合 保護対象種別 保護対象 備考 23_23_TCP suコマンドの実 行 スタンダード モード(suコマン ドの実行) プロセス /bin/su 注1) Windowsポリシーの場合 注2) Linuxポリシーの場合 一般ルールと優先ルールについては、“アクセス制御”を参照してください。 12.2.5 カスタムモードでポリシーを作成する ファイル/プロセス/レジストリ/ネットワーク接続/コンソールログイン/ネットワークログイン単位に、詳細にアクセス制御を設 定します。 カスタムモードで設定する項目については、“スタンダードモード・カスタムモード”を参照してください。 ポリシーの作成は、セキュリティ管理者が行います。 サーバアクセス制御のポリシーは、設定によってはOSやアプリケーションの動作を阻害することがあるため、実運用への 適用時には影響範囲を十分に考慮する必要があります。 このため最初は[試行モード]を使用してください。なお、ポリシーを設定する際、初期設定では[試行モード]になってい ます。 実際にサーバアクセス制御を行う際には、[試行モード]を解除してからポリシー設定を行ってください。 ポリシーを作成する 1. [Systemwalkerコンソール]を起動します。 システム管理者、セキュリティ管理者が同一の場合は、[機能選択]で[編集]を選択します。システム管理者、セキュ リティ管理者が異なる場合は、[機能選択]で[監視]を選択します。 - 366 - 2. [Systemwalkerコンソール]画面の[ポリシー]メニューから[セキュリティ]-[セキュリティポリシー]を選択します。 →[セキュリティポリシー[管理]]画面が表示されます。 3. [セキュリティポリシー[管理]]画面の[オプション]メニューで[カスタムモード表示]を選択します。 4. [設定対象]ツリーから[セキュリティポリシー]-[ポリシー]-[サーバアクセス制御]-[アクセス制御]を選択し、[操作]メ ニューの[新規作成]を選択します。または、[アクセス制御]配下にある[初期設定]の中から該当するプラットフォー ムのポリシーを選択し、[操作]メニューの[複写]を選択します。 →[セキュリティポリシー[ポリシーの作成]]画面が表示されます。 - 367 - 5. [ポリシー名]、[コメント]を入力し、[OK]ボタンをクリックします。 →[サーバアクセス制御]画面が表示されます。 一般ルールを追加する 1. [サーバアクセス制御]画面の[新規作成]ボタンをクリックします。 →[ルールの追加(カスタムモード)]画面が表示されます。 2. 以下の保護対象の中から1つを選択し、[OK]ボタンをクリックします。 - [ファイル] - [プロセス] - [レジストリ] 【Windows版】 - 368 - - [ネットワーク接続] 【Linux版】 - [コンソールログイン] - [ネットワークログイン] ポリシーの配付対象サーバがRed Hat Enterprise Linux 6の場合、[ファイル]のアクセス制御だけが有効になりま す。 3. [一般ルールの編集]画面で[ルール内容]および[コメント]を設定し、[OK]ボタンをクリックします。 4. 設定手順は“スタンダードモードでポリシーを作成する”の“一般ルールを追加する”を参照してください。 優先ルールを追加する カスタムモードで設定した一般ルールより優先するアクセス制御のルールを設定するときに、優先ルールを追加します。 - 369 - 1. [サーバアクセス制御]画面の[保護対象種別]一覧から、優先ルールを追加したい保護対象種別を選択し、[優先 ルールの追加]ボタンをクリックします。 - [ファイル] - [プロセス] - [レジストリ] - [ネットワーク接続] - [コンソールログイン] - [ネットワークログイン] - 370 - →選択したルールの種別に応じて、[優先ルールの編集]画面が表示されます。 2. [優先ルールの編集]画面で各項目を設定し、[OK]ボタンをクリックします。 12.2.6 ポリシーを編集する すでに作成したセキュリティポリシーのルールを変更したり、複写して流用したり、削除することができます。また、優先 ルールの順序を変更することができます。 一般ルール/優先ルールを変更する すでに作成済みの一般ルール、優先ルールを変更することができます。変更対象のルールがすでに1つ以上のサーバ に割り当てられている場合は、再度配付を行うと、割り当てられているすべてのサーバのルールが変更されます。 1. [サーバアクセス制御]画面の[保護対象種別]一覧から編集したいルールを選択します。 2. [変更]ボタンをクリックします。 →[ルールの編集(スタンダードモード)]、[一般ルールの編集]または[優先ルールの編集]画面が表示されます。 3. 各ルールの編集画面で項目を変更し、[OK]ボタンをクリックします。 一般ルール/優先ルールを複写する すでに作成済みのルールをもとに、新しいルールを作成することができます。以下の保護対象種別について、作成済み のルールを複写することができます。 - 371 - 保護対象種別 ルール種別 複写の可否 スタンダードモード(コンソールログイン) - × スタンダードモード(ネットワークログイン) - × スタンダードモード(ネットワーク接続) - × スタンダードモード(suコマンドの実行) - × ファイル 一般ルール ○ 優先ルール ×(注1) 一般ルール ○ 優先ルール ×(注1) 一般ルール ○ 優先ルール ×(注1) 一般ルール ○ 優先ルール ×(注1) 一般ルール ×(注2) プロセス レジストリ ネットワーク接続 コンソールログイン 優先ルール ネットワークログイン 一般ルール ×(注2) 優先ルール ○: 複写できます ×: 複写できません -: ルール種別はありません 注1) 優先ルールを選択して複写することはできません。一般ルールに対する優先ルールが存在する場合、一般ルール を複写したときに優先ルールも一緒に複写されます。 注2) コンソールログイン/ネットワークログインは保護対象が固定されているため、複写の対象外です。 - 372 - 1. [サーバアクセス制御]画面の[保護対象種別]一覧から複写したいルールを選択します。 2. [複写]ボタンをクリックします。 →[一般ルールの編集]画面が表示されます。 - 373 - 保護対象種別が[ファイル]の場合 [保護対象]には何も表示されていません。 [ルール内容]および[コメント]はコピー元の設定が引き継がれ表示されます。 保護対象種別が[プロセス]の場合 [保護対象]には何も表示されていません。 - 374 - [ルール内容]および[コメント]はコピー元の設定が引き継がれ表示されます。 保護対象種別が[レジストリ]の場合 [保護対象]には何も表示されていません。 [ルール内容]および[コメント]はコピー元の設定が引き継がれ表示されます。 保護対象種別が[ネットワーク接続]の場合 [保護対象]の[ポート]には何も表示されていません。プロトコルは、初期値(“TCP”)です。 [操作内容]はコピー元の設定が引き継がれます。 - 375 - 3. [保護対象]および[ルール内容]を編集し、[OK]ボタンをクリックします。 →新しい一般ルールが追加されます。複写元の一般ルールと保護対象が同一の優先ルールも複写されます。 一般ルール/優先ルールを削除する すでに作成済みの一般ルールおよび優先ルールを削除することができます。 なお、削除対象のルールを持つポリシーがすでに1つ以上のポリシーグループに登録されている場合、そのポリシーグ ループの全配付先サーバのアクセス制御ルールが削除対象となります(再度配付するとルールが削除されたポリシーが 適用されます)。 一度に複数のルールを削除することができます。同一の保護対象に対して一般ルールと優先ルールが存在する場合、 優先ルールを選択して[削除]を行うと、選択した優先ルールのみ削除されます。一般ルールを選択して[削除]を行うと、 一般ルールと保護対象が同一の優先ルールもすべて削除されます。 1. [サーバアクセス制御]画面の[保護対象種別]一覧から削除するルールを選択します。 2. [削除]ボタンをクリックします。 →[ルールを削除します。よろしいですか?]という確認ダイアログが表示されます。 3. ルールが削除する場合は、[はい]ボタンをクリックします。ルールが削除しない場合は、[いいえ]ボタンをクリックし ます。 優先ルールの優先度を変更する【Windows版】 任意の保護対象に対する優先ルールの優先度を変更することができます。なお、優先度の変更は、Windowsのポリシー に対してのみ行うことができます。 同じ保護対象の優先ルールは、[サーバアクセス制御]画面の[保護対象種別]一覧の上位に表示されている優先ルール の方が優先度が高くなります。 1. [サーバアクセス制御]画面の保護対象種別から優先度を変更したい、優先ルールを選択します。 - 376 - 2. [優先度を上げる]または[優先度を下げる]ボタンをクリックします。 →選択した優先度の順序が1つ前または1つ後ろの優先ルールと入れ替わります。 一般ルールより下への移動および、保護対象をまたいでの移動はできません。 12.2.7 配付済みのポリシーを削除する 配付済みのポリシーを削除する手順を以下に示します。管理対象ノードのポリシーを削除します。 セキュリティポリシーの削除 1. [Systemwalkerコンソール]画面の[ポリシー]メニューから[セキュリティ]-[セキュリティポリシー]を選択します。 →[セキュリティポリシー[管理]]画面が表示されます。 2. [設定対象]ツリーにおいて、削除対象のノードが配付先となっているポリシーグループを選択し、[操作]メニューの [更新]を選択します。 →[セキュリティポリシー[ポリシーグループの登録]]画面が表示されます。 3. [配付先]タブの[配付先一覧]リストにおいて、削除対象のノードを選択し、[削除]ボタンをクリックします。 4. [OK]ボタンをクリックし、[セキュリティポリシー[ポリシーグループの登録]]画面を終了します。 5. [セキュリティポリシー[管理]]画面の[操作]からメニュー[配付]を選択し、更新したポリシーグループを配付します。 →ポリシー配付が成功すると、ポリシーグループの配付先からノードが削除されます。 - 377 - 12.3 システム運用時の作業 12.3.1 不正アクセスを監視する サーバアクセス制御の[アクセス制御]ポリシーで設定した事象が発生した場合、[Systemwalker コンソール]にメッセージ が通知されるよう設定することができます。 [Systemwalker コンソール]にメッセージを通知するには、サーバアクセス制御の[アクセス制御]ポリシーの[ルールの編 集]画面で[監視画面通知]チェックボックスをチェックしてください。 システム管理者は、メッセージ内容から問題の有無を調査し、問題がある場合は、セキュリティ管理者にアクセス制御設 定の見直しを依頼します。 12.3.2 サーバへのアクセス状況を点検する セキュリティ監査者が、運用管理サーバに収集されたアクセス監査ログを点検します。セキュリティ監査者は、許可すべ きアクセスのみが実行されているか、拒否しているアクセスが実行されていないかを調査し、問題の有無を確認します。 また、セキュリティ監査者は、点検するための情報が十分そろっているかを確認します。 サーバアクセス制御機能を利用した場合に取得できる監査資料には、「アクセス監査ログ」と「操作の録画データ」の2種 類があります。以下、それぞれの特徴をまとめます。 監査資料の 種類 特徴 利用契機 アクセス監 査ログ サーバアクセス制御の 設定により指定された 操作が、1行1アクセス として出力されます。 サーバアクセス制御の 機能を利用する場合 に、定期的に利用する 監査資料です。通常 は本アクセス監査ログ により問題の有無を判 断することができます。 操作の録画 データ サーバアクセス制御の 機能のうち、「システム 保守開始」コマンドを 用いた保守作業を行う 際のコンソール上の キー入力情報を保存/ 再生することができま す。 保守作業を実施する 際に、操作時に行われ たファイル編集などを 監査する場合に利用 します。 それぞれの監査情報の利用方法を以下に説明します。 サーバへのアクセスの点検 [アクセス監査ログ] 監査ログ分析機能により、サーバのアクセス状況の点検、およびアクセス制御の点検を行います。点検の結果は、セキュ リティ監査者が、点検レポートに出力して電子メールなどを利用してセキュリティ管理者に通知します。 問題がある場合は、点検レポートのコメントに問題内容を具体的に記載してセキュリティ管理者に送付します。 [試行モード]を実施している場合は、セキュリティ監査者は、監査ログ分析機能の[検索]機能で[試行モード]のログのみ を抽出し、CSV ファイルに出力して、セキュリティ管理者へ送付します。 監査ログ分析機能で、以下を分析します。 ・ サーバへのアクセス状況を確認し、サーバアクセス制御のポリシー設定の妥当性を確認する ・ サーバに対し、許可されていないユーザによる不正なアクセスが行われていないか ・ サーバアクセス制御の設定に対し、不正な操作が行われていないか 監査ログを分析する手順については、“サーバの操作を点検するには”を参照してください。 - 378 - システム保守作業の詳細な点検 [操作の録画データ]【Linux版】 操作の録画データには、安全なシステム保守支援機能を使用して実施した作業内容が録画されています。 操作の録画データは運用管理クライアントの[Systemwalker コンソール]からは点検できません。セキュリティ監査者は、 管理対象サーバでswplay(録画した操作の再生コマンド)を使用し、システム保守作業の詳細な点検を行います。 swplay(録画した操作の再生コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してくだ さい。 12.3.3 不正アクセスに対して改善策を立案する 監査ログを点検した結果、問題が検出された場合、セキュリティ管理者、セキュリティ監査者が協議し、問題を解決する ための改善策を立案します。検出した問題や、システムの状況に応じてさまざまな改善策を立案することが可能ですが、 以下に改善策の立案までの検討例を示します。 対策の具体的な例について以下に説明します。 ・ システムや環境の変化に備える アクセス監査ログから問題が検出されない場合でも、システムの変更や、利用者の追加などによりサーバアクセス制 御機能の設定内容を変更する必要があるかもしれません。必要に応じて設定内容を見直してください。 ・ 事情聴取やユーザ指導により問題に対処する 問題が検出され、原因となったユーザやクライアントIPアドレスがアクセス監査ログから判明した場合、利用者に対し て作業内容を問い合わせ、問題の有無を確認することも重要な対処のひとつです。事情聴取の結果、不要な作業 が行われていた場合は、運用指導、不要なユーザ情報の削除などを行うことで問題に対処することができます。 ・ アクセス制御設定を追加し、問題を無効化する アクセス監査ログの監査結果から問題が明らかになり、聴取するまでもなく違反操作であることが明確な場合は、ユー ザ情報の削除などを行うほか、アクセス制御設定を見直すことでより安全なシステムとすることが可能です。なお、ア クセス制御設定の変更に対して、システムの影響を事前に測定する場合は、[試行モード]を利用することで影響範 囲を把握することができます。 問題に対して、セキュリティ管理者またはセキュリティ監査者は、問題となった事象の原因を調査します。調査の結果、ア クセス制御の設定に変更が必要な場合、変更の内容をセキュリティ管理者とセキュリティ監査者で協議して決定します。 - 379 - アクセス制御を変更する場合は、[試行モード]を使用し、アクセス制御を変更した場合の影響を確認できます。 12.4 セキュリティを維持したままシステムを保守する システム保守を行う際は、セキュリティが強化されている環境において、セキュリティ強度を落とすことなく、安全に作業を 実施する必要があります。 サーバアクセス制御機能を利用して、以下の流れで、安全にシステム保守を実施し、結果を点検することができます。 OSがRed Hat Enterprise Linux 6の場合、安全なシステム保守支援機能は動作しません。 保守作業の承認 安全なシステム保守支援機能でシステムを保守する手順を説明します。 1. 事前準備 システム管理者に指示されたオペレータまたはシステム管理者は、実施する保守 作業を明確にします。通常は、システムの試験環境を用いて保守作業を試行し、 作業手順書を作成します。 2. 作業内容の申請 作業者は、作業手順に記載されている内容を、本運用環境に対して実施するた めに、セキュリティ管理者に保守作業を申請します。 サーバへアクセスする OSのユーザ、利用者氏名、および作業時間(開始日時、 終了日時)などをセキュリティ管理者に申請します。 3. 保守作業を承認する セキュリティ管理者は、作業手順書を確認し、作業の承認を行い、作業申請者に 承認番号を発行します。 承認番号は、いつ、誰が、どこで行う作業を、誰が承認したかを一意に判別でき るユニークなIDです。承認番号で、どの利用者が、どの管理対象サーバで、どの 期間内に、どの特権を利用して作業するかを一意に特定します。 4. 保守作業を実施する 【Linux版】 作業者は、システム保守作業を実施する際にシステム保守開始コマンドに承認番 号を入力すると、セキュリティ管理者に許可された条件のもとで作業が実施できま す。 【Windows版】 作業者は、OSにログインする際に、[保守作業を実施する]を選択し、承認番号を 入力すると、セキュリティ管理者に許可された条件のもとで作業が実施できます。 5. 保守作業の承認状況を確認/承認番号を強制的に回収する - 380 - セキュリティ管理者は、不要な承認番号が管理対象サーバ上に残っていないか 確認し、不要な承認番号を回収します。 6. 保守作業を点検する セキュリティ監査者は、保守作業で出力されたアクセス監査ログを使用し、保守作 業を点検します。 12.4.1 保守作業を承認する 保守作業の承認は、セキュリティ管理者が行います。 1. [Systemwalkerコンソール[監視]]の[操作]メニューから、[サーバアクセス制御]-[保守作業の承認]を選択します。 →[保守作業の承認]画面が表示されます。 - 381 - 2. [追加]ボタンをクリックし、[作業者]を設定します。 →[保守作業ユーザの追加]画面が表示されます。 3. [保守作業ユーザの追加]画面で以下の項目を設定し、[OK]ボタンをクリックします。 - [ホスト名] 保守作業を行うサーバ名を指定します。 - [ユーザ名] 保守作業を行う際に使用するログインユーザを指定します。 - [担当者氏名] 担当者氏名を指定します。保守作業承認情報のメモとして使用してください。 4. [保守作業の承認]画面で以下の項目を設定し、[OK]ボタンをクリックします。 - [作業日時] 保守作業を行う日時を指定します。 - [録画をする]【Linuxサーバのみ】 保守作業の開始時から終了時までの録画を行います。 指定しない場合は、録画しません。対象サーバがWindowsのときは無視されます。 - [作業内容] 作業目的や作業内容を記述するコメントを記入します。 - [特権を指定する] 作業を行う際に特権の指定が必要な場合は、必要な特権を指定します。 【Linuxの場合】 特権としてユーザ名を指定します。指定がない場合、“root”が指定されたものとして動作します。 【Windowsの場合】 特権としてグループ名を指定します。指定がない場合、“Administrators”が指定されたものとして動作します。 - 382 - - [多重度を許可する]【Linuxサーバのみ】 1つの承認番号で、同一のユーザが同時に使用できる端末の数(多重度)を指定します。 初期値は1、最大値は10です。対象サーバがWindowsのときは無視されます。 →[承認番号一覧]画面が表示されます。 5. 保守作業の承認状況を確認し、[閉じる]ボタンをクリックします。 12.4.2 保守作業を実施する 保守作業の開始/終了 作業者は、申請した作業手順を元にクライアント端末からサーバへアクセスします。以下の操作は保守作業の作業者が 行います。 Linuxサーバの場合 1. 保守作業を開始します。 承認番号を使用して、swsvacoperate(システム保守開始/終了コマンド)を実行してください。 swsvacoperate BEGIN -n server_20080515_001 →セキュリティ管理者に承認された特権を使用できるようになります。 swsvacoperate(システム保守開始/終了コマンド)については、“Systemwalker Centric Managerリファレンスマニュア ル”を参照してください。 2. 保守作業を実施します。 なお、保守作業中に終了日時を過ぎた場合でも、exitコマンドを実行するまでは特権を利用して作業を行うことが できます。 - 383 - 3. 保守作業を終了します。 exitコマンドを実行してください。 なお、exitコマンドを実行した後でも、承認番号の有効期限まで、または手順4で承認番号を回収するまでは、再 度保守作業を実施できます。 4. 承認番号を回収します。 保守作業を完全に終了させる場合は、swsvacoperate(システム保守開始/終了コマンド)を実行してください。 swsvacoperate END -n server_20080515_001 →保守作業は完全に終了します。これ以降、指定した承認番号での保守作業は実施できなくなります。 swsvacoperate(システム保守開始/終了コマンド)の詳細については、“Systemwalker Centric Managerリファレンス マニュアル”を参照してください。 Windowsサーバの場合 1. 保守作業を開始します。 a. 作業者が、保守作業期間にログオンすると、[承認番号入力]画面が表示されます。 - 別セッションで同一ユーザが保守作業中の場合 [承認番号入力]画面は表示されず、“同一ユーザが保守作業中のため、ログオンできません”とメッセー ジが表示され、ログオン処理がキャンセルされます。 - コンピュータのロックを解除する場合 [承認番号入力]画面は表示されず、通常のログオン処理が行われます。保守作業を行う場合は、ログ オフした後に再度ログオン処理を実行してください。 b. 保守作業を行う場合は[保守作業を行う]を選択し、保守承認番号を入力した後、[OK]ボタンをクリックしま す。 c. 同一ユーザがログオンしておらず、承認番号が正しい場合、作業者は保守作業を行うための権限を得た状 態でログオンされます。 別セッションで同一ユーザが通常作業中(保守作業中ではない)の場合には、別セッションの同一ユーザを 強制的にログオフさせるかどうかを選択することができます。 2. 保守作業を実施します。 保守作業中に終了日時を過ぎた場合でも、ログオフするまでは特権を利用して作業を行うことができます。 3. 保守作業を終了します。 - ログオフしてください。 ログオフした後でも、承認番号の有効期限内で、かつ承認番号を回収するまでは、再度保守作業を実施でき ます。 - 384 - - 保守作業を完全に終了させたい場合、ログオフした後、再度通常権限でログオンしてください。ログオンした 後、swsvacoperate(システム保守開始/終了コマンド)を実行してください。 swsvacoperate END -n server_20080515_001 →保守作業は完全に終了します。これ以降、指定した承認番号での保守作業は実施できなくなります。 swsvacoperate(システム保守開始/終了コマンド)の詳細については、“Systemwalker Centric Managerリファレン スマニュアル”を参照してください。 保守支援機能実行時の監査ログ 保守支援機能によりシステム保守作業を行っている場合に出力されるログは以下のとおりです。 Linuxサーバの場合 ・ ファイル/ディレクトリへのアクセスログ サーバアクセス制御のアクセス制御ポリシーに設定したものだけが出力されます。 ・ プロセス起動時のログ ・ システム保守開始コマンドの実行ログ Windowsサーバの場合 ・ ファイル/ディレクトリ/レジストリへのアクセスログ サーバアクセス制御のアクセス制御ポリシーに設定したものだけが出力されます。 12.4.3 保守作業の承認状況を確認/承認番号を強制的に回収する 保守作業の承認結果を確認する、および承認済みの承認番号を強制的に回収する方法について説明します。 この作業は、セキュリティ管理者が行います。 管理対象サーバで保守作業の承認状況を確認/承認番号を強制的に回収する セキュリティ管理者は、不要な承認番号が管理対象サーバ上に残留していないか確認します。 1. swsvacapprovalview(システム保守承認状況表示コマンド)を実行します。 swsvacapprovalview APPROVAL NUMBER USER ID Effective time Expiration time Num Operator Comment ================================================================================= === server_20080515_001 user1 20080601090000 20080601180000 2 担当1 OS パッ チ適用 server_20080515_002 user2 20080610160000 20080610180000 1 DB メン テナンス server_20080515_001 user3 20080615090000 UNLIMIT 1 担当2 swsvacapprovalview(システム保守承認状況表示コマンド)については、“Systemwalker Centric Managerリファレン スマニュアル”を参照してください。 2. 不要な特権が利用できる状況になっている場合、強制的に承認番号を回収します。 [Systemwalkerコンソール]で承認番号を回収する場合は、“[Systemwalkerコンソール]画面で保守作業の承認状 況を確認/承認番号を強制的に回収する”を参照してください。 swsvacoperate(システム保守開始/終了コマンド)で承認番号を回収する場合は、“Systemwalker Centric Managerリ ファレンスマニュアル”を参照してください。 - 385 - [Systemwalkerコンソール]画面で保守作業の承認状況を確認/承認番号を強制的に回収する 1. [Systemwalkerコンソール]の[操作]メニューから、[サーバアクセス制御]-[保守承認状況の表示/回収]を選択しま す。 →[サーバの選択]画面が表示されます。 2. 保守作業の表示/回収を行うサーバを選択し、[OK]ボタンをクリックします。 →[保守承認状況]画面が表示されます。 3. 保守承認状況を確認し、不要となった承認番号を回収します。 承認番号を回収する場合は、回収する保守作業を選択し、[回収]ボタンをクリックします。 - 386 - 4. [閉じる]ボタンをクリックします。 注意 ・ V13.3.0/V13.3.1のサーバを選択した場合、[保守承認状況]画面の[利用状況]は、参照できません。作業中かどうか にかかわらず、"------"と表示されます。 ・ 承認番号の回収処理が異常終了した場合、失敗理由として以下のメッセージが表示されます。 管理対象サーバから回収されませんでした。[%1] %1:エラーコード エラーコードの説明と対処は以下のとおりです。 - 3,0 現在保守作業に利用している承認番号を対象に回収処理を行っています。 保守作業が完了した後、再度実行してください。 - 11,0 [保守承認状況]画面に承認番号が表示されていても、[回収]ボタンを クリックした時に対象の承認番号が回収済である場合に発生します。 [最新の情報に更新]ボタンをクリックして、承認番号が存在しないことを確認してください。 - 上記以外 ネットワーク、システムに問題がないことを確認してください。 12.4.4 保守作業を点検する セキュリティ監査者は、保守作業が申請どおりに行われたかを点検します。保守作業の点検は、収集したアクセス監査ロ グに対して承認番号で検索して行います。 承認番号を検索キーに使用することで、保守作業時に不要な操作が行われていないか点検をすばやく実施できます。 なお、保守作業時に、アクセス監査ログに出力されるログは以下のとおりです。 ・ ファイル/ディレクトリへのアクセスログ サーバアクセス制御のアクセス制御ポリシーに設定したものだけが出力されます。 ・ プロセス起動時のログ 【Windowsサーバの場合】 サーバアクセス制御のアクセス制御ポリシーに設定したものだけが出力されます。 【Linuxサーバの場合】 実行したコマンドがデーモンなどになった場合(端末上から制御できないコマンドとなった場合)に出力されます。 ・ システム保守開始コマンドの実行ログ 監査ログの分析方法については、“サーバの操作を点検するには”を参照してください。 - 387 -
© Copyright 2024 Paperzz