Systemwalker Centric Manager 使用手引書 セキュリティ編 UNIX/Windows(R)共通 J2X1-4600-08Z0(00) 2011年4月 まえがき 本書の目的 本書は、Systemwalker Centric Manager の機能を使用して、システムやネットワークのセキュリティを強化する方法について説明します。 本書の読者 本書は、Systemwalker Centric Managerのセキュリティ機能の設計および設定する方を対象としています。 また、本書を読む場合、OSやGUIの一般的な操作、およびTCP/IP、SMTP、SNMP、ディレクトリサービス(Active DirectoryまたはLDAP) などの一般的な知識をご理解の上でお読みください。 平成23年4月 改版履歴 平成18年10月 初 版 平成19年 5月 第2版 平成19年 7月 第3版 平成19年 8月 第4版 平成20年 6月 第5版 平成22年 4月 第6版 平成23年 4月 第7版 Copyright 1995-2011 FUJITSU LIMITED All Rights Reserved, Copyright (C) PFU LIMITED 1995-2011 Portions Copyright (C) 1983-1994 Novell, Inc., All Rights Reserved. -i- 目 次 第1部 セキュリティ対策はなぜ必要なのか..................................................................................................................................1 第1章 セキュリティの脅威と対策.................................................................................................................................................2 1.1 セキュリティの脅威..............................................................................................................................................................................2 1.1.1 ネットワークに対する脅威............................................................................................................................................................3 1.1.2 Systemwalker Centric Manager自身に対する脅威.....................................................................................................................5 1.1.3 サーバとクライアントの操作に対する脅威...................................................................................................................................6 1.1.4 その他の脅威...............................................................................................................................................................................7 1.2 セキュリティの対策..............................................................................................................................................................................8 1.2.1 ネットワークに対するセキュリティ対策.........................................................................................................................................9 1.2.2 Systemwalker Centric Manager自身に対するセキュリティ対策................................................................................................11 1.2.3 サーバとクライアントの操作に対するセキュリティ対策.............................................................................................................12 1.2.4 その他のセキュリティ対策..........................................................................................................................................................13 第2章 セキュリティを確保するための前提条件..........................................................................................................................14 2.1 ネットワークに関するセキュリティの前提条件..................................................................................................................................14 2.2 サーバとクライアントに関するセキュリティの前提条件....................................................................................................................14 第2部 セキュリティを強化するにはどのような運用をしたらよいか...............................................................................................16 第3章 ネットワークセキュリティを強化するには..........................................................................................................................17 3.1 不正パケット送信による妨害を防ぐ..................................................................................................................................................17 3.2 通信傍受による情報漏洩を防ぐ.......................................................................................................................................................18 第4章 Systemwalker Centric Manager自身のセキュリティを強化するには...............................................................................20 4.1 悪意ある操作を防ぐ..........................................................................................................................................................................20 4.2 偶発的な誤操作を防ぐ.....................................................................................................................................................................20 4.3 [Systemwalkerコンソール]の操作を制御する..................................................................................................................................20 第5章 サーバとクライアントのセキュリティを強化するには......................................................................................................... 25 5.1 サーバに対する不正操作を防ぐ......................................................................................................................................................25 5.2 セキュリティの構成を設計する..........................................................................................................................................................29 第6章 システムのセキュリティを点検するには...........................................................................................................................36 6.1 監査ログを管理する..........................................................................................................................................................................36 6.2 監査ログを分析する..........................................................................................................................................................................43 6.2.1 root権限での操作を点検する....................................................................................................................................................47 6.2.2 Systemwalkerコンソールでの操作を点検する..........................................................................................................................49 6.2.3 サーバでの操作を点検する.......................................................................................................................................................50 6.2.4 サーバの自動運転運用を点検する..........................................................................................................................................51 6.3 監査ログ管理の構成を設計する......................................................................................................................................................53 第3部 セキュリティを強化するためのSystemwalkerの設定.......................................................................................................57 第7章 セキュリティポリシーを設定する......................................................................................................................................58 7.1 セキュリティポリシーを設定する手順................................................................................................................................................58 7.2 セキュリティ管理者/監査者を設定する.............................................................................................................................................62 7.3 セキュリティポリシーを設定する........................................................................................................................................................69 7.4 ポリシーグループを作成する............................................................................................................................................................74 7.5 ポリシーを配付する...........................................................................................................................................................................75 7.6 ポリシーの配付状況を確認する.......................................................................................................................................................76 第8章 [Systemwalkerコンソール]の操作を制限する................................................................................................................. 77 8.1 [Systemwalkerコンソール]のアクセス権の考え方............................................................................................................................77 8.2 コンソール操作制御機能で認証する...............................................................................................................................................80 8.2.1 マネージャの環境設定..............................................................................................................................................................81 8.2.2 操作制御マネージャ起動条件記述ファイルの作成.................................................................................................................84 - ii - 8.2.3 ファイルの変換...........................................................................................................................................................................84 8.2.4 操作制御マネージャ起動条件記述ファイルの定義例.............................................................................................................85 8.2.5 操作を行う担当者のユーザ名をシステムに登録する...............................................................................................................91 8.2.6 運用管理クライアントの環境設定..............................................................................................................................................92 8.2.7 操作ごとの保護を使用する場合の操作....................................................................................................................................93 8.3 SMARTACCESSと連携する.............................................................................................................................................................94 8.4 コンソール操作制御機能の注意事項..............................................................................................................................................97 第9章 Systemwalker Centric Managerの監査ログを出力する.................................................................................................99 9.1 Systemwalkerコンソール/コンソール操作制御の監査ログ..............................................................................................................99 9.2 サーバアクセス制御の監査ログ......................................................................................................................................................102 9.3 リモート操作の監査ログ..................................................................................................................................................................105 9.4 ACLマネージャの監査ログ.............................................................................................................................................................105 9.5 システム監視の監査ログ.................................................................................................................................................................109 9.6 自動運用支援の監査ログ...............................................................................................................................................................110 第10章 監査ログを管理する...................................................................................................................................................112 10.1 収集・管理できるログファイルの種類...........................................................................................................................................112 10.2 監査ログ管理でログを収集するために.........................................................................................................................................114 10.3 監査ログ管理の設定例.................................................................................................................................................................127 10.4 監査ログ管理のしくみ...................................................................................................................................................................134 10.5 監査ログを収集・保管するための設定......................................................................................................................................... 138 10.5.1 コマンドの入力ファイルに記載して設定する........................................................................................................................139 10.5.2 コマンドを使用して設定する.................................................................................................................................................. 142 10.5.3 ポリシーを使用して設定する.................................................................................................................................................145 10.5.4 収集対象のログの定義..........................................................................................................................................................155 10.5.5 収集対象のサーバを限定する..............................................................................................................................................162 10.5.6 収集したログファイルを二次媒体装置へ複写するための設定............................................................................................162 10.5.7 中継サーバを利用するための設定....................................................................................................................................... 163 10.5.8 カスタムイベントログを収集するための設定..........................................................................................................................166 10.6 監査ログを収集する......................................................................................................................................................................169 10.7 監査ログを管理する......................................................................................................................................................................172 10.8 監査ログを評価する......................................................................................................................................................................175 10.9 監査ログを退避する......................................................................................................................................................................181 10.10 監査ログ管理の注意事項...........................................................................................................................................................183 第11章 監査ログを分析する...................................................................................................................................................186 11.1 監査ログを分析する作業の流れ..................................................................................................................................................186 11.1.1 監査ログを正規化する...........................................................................................................................................................187 11.1.2 問い合わせファイルを作成する.............................................................................................................................................197 11.1.3 正規化ログが改ざんされていないかを確認する..................................................................................................................204 11.1.4 監査ログを集計する...............................................................................................................................................................206 11.1.5 監査ログを検索する...............................................................................................................................................................211 11.1.6 点検結果を出力する..............................................................................................................................................................231 11.1.7 正規化ログを保管する...........................................................................................................................................................233 11.1.8 正規化ログを削除する...........................................................................................................................................................235 11.2 Systemwalker Centric Managerの監査ログを分析する................................................................................................................236 11.2.1 root権限での操作を点検するには........................................................................................................................................236 11.2.1.1 監査ログを収集し正規化する.........................................................................................................................................236 11.2.1.2 問い合わせサンプルファイルを編集する.......................................................................................................................239 11.2.1.3 スケジューラに集計を実行するコマンドを登録する.......................................................................................................257 11.2.1.4 監査ログを分析する手順................................................................................................................................................258 11.2.1.5 追跡調査を行う................................................................................................................................................................258 11.2.1.6 レポートを作成する.........................................................................................................................................................261 11.2.2 Systemwalkerコンソールの操作を点検するには..................................................................................................................264 11.2.2.1 監査ログを収集し正規化する.........................................................................................................................................264 11.2.2.2 問い合わせサンプルファイルを編集する.......................................................................................................................266 11.2.2.3 スケジューラに集計を実行するコマンドを登録する.......................................................................................................277 - iii - 11.2.2.4 監査ログを分析する手順................................................................................................................................................277 11.2.2.5 レポートを作成する.........................................................................................................................................................279 11.2.3 サーバの操作を点検するには...............................................................................................................................................282 11.2.3.1 監査ログを収集し正規化する.........................................................................................................................................283 11.2.3.2 問い合わせサンプルファイルを編集する.......................................................................................................................284 11.2.3.3 スケジューラに集計を実行するコマンドを登録する.......................................................................................................291 11.2.3.4 監査ログを分析する手順................................................................................................................................................292 11.2.3.5 追跡調査を行う................................................................................................................................................................297 11.2.3.6 レポートを作成する.........................................................................................................................................................298 11.3 Systemwalker Operation Managerの監査ログを分析する............................................................................................................301 11.3.1 サーバの自動運転運用を点検するには...............................................................................................................................301 11.3.2 監査ログを収集し正規化する................................................................................................................................................302 11.3.3 問い合わせサンプルファイルを編集する..............................................................................................................................303 11.3.4 スケジューラに集計を実行するコマンドを登録する..............................................................................................................309 11.3.5 監査ログを分析する手順.......................................................................................................................................................310 11.3.6 追跡調査を行う.......................................................................................................................................................................311 11.3.7 レポートを作成する................................................................................................................................................................311 11.4 カスタム イベントログを分析する...................................................................................................................................................314 11.5 [監査ログ分析]画面のメニュー項目.............................................................................................................................................316 11.6 [監査ログ分析]画面をカスタマイズする.......................................................................................................................................319 第12章 サーバへのアクセスを制御する..................................................................................................................................321 12.1 サーバアクセス制御機能を設定する作業の流れ........................................................................................................................321 12.2 ポリシーを作成・配付する.............................................................................................................................................................328 12.2.1 監査ログ、録画記録の出力先/保存日数を設定する............................................................................................................328 12.2.2 スタンダードモードでポリシーを作成する.............................................................................................................................332 12.2.3 ポリシーを配付する................................................................................................................................................................344 12.2.4 スタンダードモードをカスタムモードに変更する...................................................................................................................345 12.2.5 カスタムモードでポリシーを作成する....................................................................................................................................347 12.2.6 ポリシーを編集する................................................................................................................................................................352 12.2.7 配付済みのポリシーを削除する............................................................................................................................................358 12.3 システム運用時の作業..................................................................................................................................................................359 12.3.1 不正アクセスを監視する........................................................................................................................................................359 12.3.2 サーバへのアクセス状況を点検する.....................................................................................................................................359 12.3.3 不正アクセスに対して改善策を立案する..............................................................................................................................360 12.4 セキュリティを維持したままシステムを保守する...........................................................................................................................361 12.4.1 保守作業を承認する..............................................................................................................................................................362 12.4.2 保守作業を実施する..............................................................................................................................................................364 12.4.3 保守作業の承認状況を確認/承認番号を強制的に回収する..............................................................................................366 12.4.4 保守作業を点検する..............................................................................................................................................................368 - iv - 第1部 セキュリティ対策はなぜ必要なのか 第1部では、セキュリティ対策が必要となる社会的背景、Systemwalker Centric Managerを導入することによって可能になるセキュリティ 対策、およびセキュリティ対策を実施するときの前提条件について説明します。 第1章 セキュリティの脅威と対策.........................................................................................................................2 第2章 セキュリティを確保するための前提条件..................................................................................................14 -1- 第1章 セキュリティの脅威と対策 本章では、システムやネットワークを取り巻くセキュリティの脅威と、その脅威に対してSystemwalker Centric Managerを使用してどのよ うに防御するかについて説明します。 1.1 セキュリティの脅威 Systemwalker Centric Managerを含むシステムやネットワークに存在する脅威の全体像について説明します。 システムやネットワークを取り巻く脅威には、大きく分けて以下があります。 ・ 脅威1:ネットワークに対する脅威 ・ 脅威2:Systemwalker Centric Manager自身に対する脅威 ・ 脅威3:サーバとクライアントの操作に対する脅威 ・ 脅威4:その他の脅威 システムに対し、常に新しいセキュリティの脅威が報告され、その脅威に対する新しい対策が立てられます。特にセキュリティを重視す るシステムの場合は、最新の情報の入手に努めるようにしてください。 -2- ポイント Brute force パスワードなどの文字列を解読する方法のひとつです。意味のある単語や文字を総当たりで組み合わせて一致するものを探しだす手 法です。 BOF(buffer over flow : バッファオーバーフロー) 予めプログラムが確保したメモリサイズよりも大きいサイズの文字列を入力することで、領域をあふれさせ(オーバーフロー)、プログラム の異常終了などの予期しない動作を引き起こす手法です。 DoS攻撃(Denial of Service Attack) ネットワークを介した攻撃方法のひとつです。コンピュータやルータに不正なデータを送信して使用不可能な状態にしたり、大量のデー タを送信して通信トラフィックを増大させ、相手のネットワークを麻痺させる手法です。 VPN(Virtual Private Network) インターネット上の拠点間を専用線のように接続して、安全な通信を可能とする方法です。VPNを使用すると、通信傍受や改ざんなど の不正アクセスを防ぐことができるため、社外のネットワークから社内のネットワークに安全にアクセスすることができます。 パスワードクラック 他人のパスワードを解析し、探り当てることです。パスワードクラックには、Brute force(総当たり攻撃)や、辞書攻撃などの手法があります。 1.1.1 ネットワークに対する脅威 ネットワークに対する脅威について説明します。 -3- ネットワークに対する脅威には以下があります。 ・ 脅威A:不正パケット送信によるDoS攻撃、BOF悪用 コンピュータやルータなどに不正なパケットを送信することにより、通信トラフィックを増大させ、ネットワークの麻痺を発生させる脅 威です。 脅威に対する対策については、“一般的な機能や製品による対策”を参照してください。 ・ 脅威B:BOF悪用 プログラムに存在するメモリ領域破壊の障害を悪用し、情報流出やシステム破壊などを与える脅威です。 例えば、インターネットエクスプローラなどでBOFの障害が発見された場合、Microsoft Updateから修正プログラムが提供されますが、 ユーザがその修正プログラムを適用するまでの間に、悪意ある第三者がBOFの障害を利用して、システムに対して攻撃を行うこと があります。また、直接攻撃を与えるのではなく、悪意あるサイトにアクセスさせ情報流出やシステム破壊を起こさせることができます。 IISなど一般に利用される機能でBOF障害が検出された場合は、攻撃対象サーバに対し不正パケットを送信し、情報流出、サーバ 停止、システム破壊などの問題を引き起こすことになります。 BOF障害はユーザのプログラムに存在する場合もあり、クライアントアプリケーションだけでなく、サーバアプリケーションでも同様な 問題が発生する可能性があります。 脅威に対する対策については、“一般的な機能や製品による対策”を参照してください。 -4- ・ 脅威C:Brute Forceによるパスワードクラック パスワードとして想定されるキーワードをすべてリストアップし、総当たりで入力することにより、ユーザパスワードを割り出すことです。 パスワードを割り出された場合、ユーザになりすましてシステムに侵入され、情報の改ざんや破壊、情報漏洩などの被害が発生す る脅威です。 脅威に対する対策については、“一般的な機能や製品による対策”を参照してください。 ・ 脅威D:通信傍受による情報漏洩 通信パケットを傍受し、内容を解析することにより不正に情報を入手する脅威です。 脅威に対する対策については、“Systemwalker Centric Managerでできる対策”を参照してください。 ・ 脅威E:通信改変による機能悪用/サーバのっとり 通信パケットを傍受し、その内容を改変したものを送付することにより、機能を悪用したり、サーバをのっとったりする脅威です。 脅威に対する対策については、“運用ルールや環境による防御”を参照してください。 1.1.2 Systemwalker Centric Manager自身に対する脅威 Systemwalker Centric Manager自身に対する脅威について説明します。 -5- Systemwalker Centric Manager自身に対する脅威には以下があります。 ・ 脅威A:不正端末使用/誤操作によるシステム破壊/情報入手 運用管理クライアントから不正に、または誤って操作することにより、運用管理サーバや被監視サーバのシステム破壊を行ったり、 社外秘情報や機密情報などを部外者が不正に入手する脅威です。 脅威に対する対策については、“コンソール操作制御、ロールによるアクセス制御強化”を参照してください。 ・ 脅威B:操作履歴削除による監査妨害 操作履歴を削除して、不当に操作を行った証拠を消去し、不正操作が行われたことを検出させないように妨害する脅威です。 脅威に対する対策については、“監査ログ出力による事後監査”を参照してください。 1.1.3 サーバとクライアントの操作に対する脅威 サーバとクライアントの操作に対する脅威を説明します。 サーバとクライアントの操作に対する脅威には以下があります。 ・ 脅威A:権限を悪用した情報搾取 権限を持つ管理者がDBサーバなどから、お客様情報やシステム情報を不正に入手する脅威です。 -6- 脅威に対する対策については、“Systemwalker Centric Managerでできる対策”を参照してください。 ・ 脅威B:監査ログの削除/改ざんによる証拠隠滅 監査ログのファイルを削除したり、内容を改ざんすることにより、不正操作を行った証拠を隠滅し、不正操作が見つからないように する脅威です。 脅威に対する対策については、“Systemwalker Centric Managerでできる対策”を参照してください。 ・ 脅威C:端末覗き見による不正情報入手 画面に表示されたアプリケーションの動作や、キーボード・マウスの操作を覗き見し、不正に情報を入手する脅威です。 脅威に対する対策については、“運用ルールや環境による防御”を参照してください。 ・ 脅威D:放置端末の不正使用によるシステム悪用/不正情報入手 ログインしたまま放置された端末からシステムに侵入し、システムを悪用したり、不正に情報を入手する脅威です。 脅威に対する対策については、“運用ルールや環境による防御”を参照してください。 ・ 脅威E:ウィルス/ワームおよび不正ソフト導入による情報漏洩/システム破壊 ウィルスやワームに感染したり、または不正ソフトを導入することにより、そのウィルス、ワーム、不正ソフト経由でコンピュータ上の情 報が漏洩したり、システムが破壊されたりする脅威です。 脅威に対する対策については、“一般的な機能や製品による対策”を参照してください。 ・ 脅威F:放置IDの悪用による不正侵入 管理者の変更などにより使用しなくなったIDを、第三者が不正に利用してシステムに侵入し、情報搾取やシステム破壊を起こす脅 威です。 脅威に対する対策については、“運用ルールや環境による防御”を参照してください。 1.1.4 その他の脅威 その他の脅威について説明します。 -7- その他の脅威には以下があります。 ・ 脅威A:放置/廃棄された印刷物より不正に情報入手 プリンタに放置された印刷物や、誰でも閲覧できる場所に破棄された印刷物から、部外者が不正に情報を入手する脅威です。 脅威に対する対策については、“運用ルールや環境による防御”を参照してください。 1.2 セキュリティの対策 各種の脅威に対するセキュリティ対策について説明します。また、Systemwalker Centric Managerが提供しているセキュリティ対策のた めの機能について説明します。 Systemwalker Centric Managerでは、セキュリティ対策のために多く機能を提供していますが、Systemwalker Centric Managerですべて の脅威に対抗できるわけではありません。セキュリティを確保するために必要な基本的な対策については、“セキュリティを確保するた めの前提条件”を参照してください。 -8- セキュリティ対策には、以下の種類があります。 ・ 対策1:ネットワークに対するセキュリティ対策 ・ 対策2:Systemwalker Centric Manager自身に対するセキュリティ対策 ・ 対策3:サーバとクライアントの操作に対するセキュリティ対策 ・ 対策4:その他のセキュリティ対策 1.2.1 ネットワークに対するセキュリティ対策 ネットワークに対するセキュリティ対策について説明します。 -9- それぞれの脅威に対して、以下のセキュリティ対策が有効です。 対策A:Systemwalker Centric Managerでできる対策 SNMPv3、S/MIME、HTTPS通信を使用し、通信内容を暗号化することにより、通信傍受による情報漏洩や、通信改変を防ぐことが できます。 対策B:一般的な機能や製品による対策 - ファイアウォールを導入することにより、外部との通信データを監視し、不正なアクセスを検出し、遮断することができます。 - 侵入検知システム(IDS:Intrusion Detection System)や、不正侵入防衛システムを導入することにより、ファイアウォールでは防 御できなかった不正侵入を検知することができます。 対策C:運用ルールや環境による防御 ファイアウォールを導入した場合、必要不可欠な通信に対してだけポート番号を空けるようにします。不要な通信を行わないことに より、通信を傍受される脅威を低減できます。 - 10 - 1.2.2 Systemwalker Centric Manager自身に対するセキュリティ対策 Systemwalker Centric Manager自身の脅威に対するセキュリティ対策について説明します。 Systemwalker Centric Managerを使用して以下の対策を実施することができます。 対策A:コンソール操作制御、ロールによるアクセス制御強化 システム管理者ごとに、実行できる操作や、アクセスできる情報などをきめ細かく制限することで、不正な操作や、誤操作を防ぐこと ができます。 また、SMARTACCESSと連携することでICカード、指紋などで認証を行うことができます。 対策B:監査ログ出力による事後監査 操作した内容を監査ログに出力し、そのファイルを定期的に収集し管理することにより、異常を検知した時に、あとから操作内容を 確認したり、不正操作がなかったかを確認することができます。 - 11 - 1.2.3 サーバとクライアントの操作に対するセキュリティ対策 サーバとクライアントの操作に対するセキュリティ対策について説明します。 それぞれの脅威に対して、以下のセキュリティ対策が有効です。 対策A:Systemwalker Centric Managerでできる対策 - サーバアクセス制御を使用し、サーバに対するログインや、サーバ上のファイルへのアクセスを監査ログへ出力し、必要に応じ て強制アクセス制御を適用します。 - 監査ログを収集し、管理することにより、あとから操作内容を確認したり、不正操作がなかったかを確認することができます。 対策B:一般的な機能や製品による対策 - ウィルス対策ソフトの導入により、端末にウィルスやワームが侵入することを防御したり、侵入したウィルスやワームを自動的に除 去することにより、端末を防御します。 - 不正ソフト導入監視ツールを導入することにより、許可していないソフトの導入を監視することができます。不正ソフト導入監視 ツールとして、Systemwalker Desktopシリーズを使用することができます。 - 12 - 対策C:運用ルールや環境による防御 - 入退室管理を徹底することにより、不正人物の侵入を禁止します。これにより、不正な人物による端末覗き見や、端末の不正使 用を防ぎます。 - ID管理製品およびパスワードのルールを徹底することにより、悪意のある利用者による端末の不正使用を防ぎます。 1.2.4 その他のセキュリティ対策 その他の脅威に対するセキュリティ対策について説明します。 対策A:運用ルールや環境による防御 放置/廃棄された印刷物から不正に情報入手される脅威に対しては、印刷物の取り扱いルールの徹底により、印刷したまま放棄さ れた印刷物をなくし、また、不要な印刷物は適切に破棄するようにします。これにより、部外者による不正な情報入手を防ぎます。 - 13 - 第2章 セキュリティを確保するための前提条件 セキュリティを確保するには、セキュリティを強化する製品をインストールするだけでなく、セキュリティを確保するための環境を準備した り、セキュリティに関する運用ルールを設定し、ルールを守って行動することが必要です。 本章ではセキュリティを確保するために必要な、基本的な対策について説明します。 ・ ネットワークに関するセキュリティの前提条件 ・ サーバとクライアントに関するセキュリティの前提条件 2.1 ネットワークに関するセキュリティの前提条件 ネットワークのセキュリティを確保するためには、社外のネットワーク(インターネット)から社内のネットワークに不正侵入されないように、 ファイアウォールを導入して、社内のネットワークを保護することが必要です。 ファイアウォール インターネットと社内ネットワーク間の通信を制御する一般的な方法としてファイアウォールの導入があります。ファイアウォールは、ネッ トワーク間を通過するパケットを監視し、発生元のIPアドレスやポート番号などから正しいパケットと判断されたものだけを通し、不正な パケットを破棄します。これにより、インターネットから社内ネットワークに対する不正侵入を防ぐことができます。 通常、ファイアウォールは、社内のネットワークとインターネットの間に設置します。しかし、Webサーバなどの公開サーバがある場合は、 公開サーバを設置するネットワークと社内ネットワークを別のネットワークに分け、両方のネットワークをファイアウォールで管理すること を推奨します。これにより、公開サーバに不正侵入されても、社内ネットワークに影響が及ぶことを防ぐことができます。 また、OSなどに装備されている簡易ファイアウォール機能を有効に活用することで、端末レベルでもセキュリティを強化することができ ます。 2.2 サーバとクライアントに関するセキュリティの前提条件 システム上に存在する各種サーバに対するセキュリティの脅威には、悪意ある者による不正操作や情報漏洩があります。各種サーバ のセキュリティを強化するためには、まず部外者によるサーバへのアクセスを物理的、ネットワーク的に制御する必要があります。さらに、 運用ルールを設定し、それを遵守する必要があります。 入退室管理 システム管理者やネットワーク管理者が使用する端末は、不特定多数の人間による入退室を制限できる部屋に隔離することを推奨し ます。端末を設置した部屋には、磁気カード、暗証番号、網膜や指紋などの認証方法を利用して、管理者権限のある者だけが入退室 できるようにします。また、監視カメラの設置や、磁気カードの使用履歴を記録するなどして入退室履歴を記録し保管します。保管した 情報は、トラブルが発生した時に調査する資料として活用します。 パスワード管理 端末を物理的に隔離した場合でも、ネットワークを介して端末にアクセスされる可能性があります。従って、IDやパスワードが漏れない よう、厳しく管理する必要があります。 ・ 業務に必要な権限だけを付加したIDを準備し、作業者には各作業に合ったIDを使用させる。 ・ 不要になったIDは速やかに削除する。 ・ 簡単に解読できる数値や文字列をパスワードに使用しない。 ・ パスワードは定期的に変更する。 ・ パスワードを紙などに記録しない。 ・ rootアカウントのパスワードは、少人数で安全に管理する。 サーバアクセス制御を利用する際に必要となる最も重要なルールです。必ず守ってください。 ・ rootを含め、同一のアカウントを共有しない。 rootだけでなく、通常のアカウントも共有しないようにしてください。また、パスワードの管理を徹底してください。 - 14 - 教育 システム管理者やネットワーク管理者に対する教育は、セキュリティ対策の意識を持たせ、組織全体のセキュリティレベルの維持・向上 を図るためには必要不可欠です。システム管理者やネットワーク管理者の教育は、情報の紛失や漏洩など、さまざまな脅威に対する 基本的な対策であり、セキュリティに対する意識とリスクに対する対応能力を向上させるためにも、継続して行うことが大切です。 監査ログ 監査ログで不正な兆候がないかを定期的にチェックすることは、ユーザの不審な行為や不正アクセスなどを検出または抑止するための、 有効な対策となります。不審な動きを察知して原因となるユーザの操作を監査ログで追跡、対処することで、被害を最小限に抑えるこ とができます。 - 15 - 第2部 セキュリティを強化するにはどのような運用 をしたらよいか 第2部では、セキュリティを強化するためには、Systemwalker Centric Managerをどう活用すればよいかを、運用面から説明します。 第3章 ネットワークセキュリティを強化するには..................................................................................................17 第4章 Systemwalker Centric Manager自身のセキュリティを強化するには.......................................................20 第5章 サーバとクライアントのセキュリティを強化するには.................................................................................25 第6章 システムのセキュリティを点検するには...................................................................................................36 - 16 - 第3章 ネットワークセキュリティを強化するには 高度なセキュリティを要求されるシステムの監視においては、ネットワークに対する不正なアクセスによる脅威を十分考慮する必要があ ります。 ここでは、Systemwalker Centric Managerを使用して、そのような脅威に対するセキュリティを高めるための対策について説明します。 ネットワークセキュリティを強化するには以下の方法があります。 ・ 不正パケット送信による妨害を防ぐ ・ 通信傍受による情報漏洩を防ぐ なお、Systemwalker Centric Managerから出力された監査ログにより、システムのセキュリティを点検する場合は、“システムのセキュリ ティを点検するには”を参照してください。 3.1 不正パケット送信による妨害を防ぐ Systemwalker Centric Managerによるネットワーク監視は、管理サーバと監視対象となるサーバやネットワーク機器との間でのパケット の送受信、または、監視対象から管理サーバに対して送信されたパケットの受信により監視を行っています。 このようなパケットを第三者が傍受し、それを元に生成した不正なパケットを管理サーバに送信して誤検知を引き起こしたり、ネットワー ク機器の設定を不正に変更するなどの行為により監視が妨害されることが考えられます。 このような不正行為に対して、Systemwalkerが提供するセキュリティ対策を説明します。 Systemwalker Centric Managerが提供するソリューション Systemwalker Centric Managerでは、「SNMPv3」を使用した監視機能を提供しています。SNMPv3は、ユーザ認証や通信データの暗 号化をサポートしています。SNMPv3を使用して通信を行うことにより、管理サーバと監視対象ノードやネットワーク機器の間で、より安 全にネットワーク情報の送受信を行うことができます。 これにより、外部の第三者がパケットを傍受しても、パケットを解析することが困難となり、不正パケット送信により監視を妨害される脅威 が大幅に軽減します。 事前準備 SNMPv3を使用して監視を行うためには、監視を行うサーバおよびネットワーク機器のSNMPエージェントがSNMPv3対応している必 要があります。また、監視を行う前にSNMPエージェントのSNMPv3の設定を十分把握しておく必要があります。 サポート機能 SNMPv3を使用した監視をサポートする機能については、“Systemwalker Centric Manager 解説書”の“ネットワーク/システムの監視” を参照してください。 - 17 - 3.2 通信傍受による情報漏洩を防ぐ Systemwalker Centric Managerが連携するサーバ間の通信を傍受することにより、重要な情報が外部に漏洩することが考えられます。 具体的な情報漏洩の例として以下があげられます。 ・ ネットワーク監視による監視パケットの傍受によるネットワーク情報の漏洩 ・ E-Mailを使用して監視イベントを他システムに送信する運用形態の場合、監視イベント情報の傍受によるシステム情報の漏洩 ・ インターネットで構築されたネットワーク上に配信されたコンテンツの傍受による情報漏洩 このような不正行為に対して、Systemwalkerが提供するセキュリティ対策について説明します。 ・ ネットワーク監視パケット傍受による情報漏洩を防止する ・ 監視イベント傍受による情報漏洩を防止する ・ 配信コンテンツの傍受による情報漏洩を防止する ネットワーク監視パケット傍受による情報漏洩を防止する Systemwalker Centric Managerが提供するソリューション Systemwalker Centric Managerでは、「SNMPv3」を使用した監視機能を提供しています。SNMPv3は、ユーザ認証や、通信データの 暗号化をサポートしています。SNMPv3を使用して通信を行うことにより、管理サーバと監視対象ノードやネットワーク機器の間で、より 安全に情報の送受信を行うことができます。 これにより、外部の第三者がパケットを傍受しても、パケットを解析することが困難となり、情報漏洩の脅威が大幅に軽減します。 事前準備 SNMPv3を使用して監視を行うためには、監視を行うサーバおよびネットワーク機器のSNMPエージェントがSNMPv3対応している必 要があります。また、監視を行う前にSNMPエージェントのSNMPv3の設定を十分把握しておく必要があります。 サポート機能 SNMPv3を使用した監視をサポートする機能については、“Systemwalker Centric Manager 解説書”の“ネットワーク/システムの監視” を参照してください。 監視イベント傍受による情報漏洩を防止する Systemwalker Centric Managerが提供するソリューション Systemwalker Centric Managerでは、「S/MIME」を使用したデータの暗号化機能を提供しています。S/MIMEを使用して、E-Mailを使 用した通信を暗号化することにより、外部の第三者が通信データを傍受しても、データを解析することが困難となり、情報漏洩の脅威 が大幅に軽減します。 - 18 - 事前準備 S/MIMEを使用して、E-Mailで送信する監視イベント情報を暗号化するためには、事前に送信側システムおよび受信側システムでS/ MIMEの設定を行う必要があります。S/MIMEを使用してイベント監視を行う方法や、S/MIMEの設定方法の詳細については、 “Systemwalker Centric Manager インターネット適用ガイド DMZ編”を参照してください。 配信コンテンツの傍受による情報漏洩を防止する Systemwalker Centric Managerが提供するソリューション Systemwalker Centric Managerでは、「HTTPS通信」を使用した資源配付機能を提供しています。HTTPS通信を使用して配付データ を暗号化することにより、インターネットで構築されたネットワーク上でも安全に資源を配付できます。 事前準備 HTTPS通信で資源配付を行うためには、事前にSSLの設定を行う必要があります。SSLの設定方法の詳細については、“Systemwalker Centric Manager インターネット適用ガイド DMZ編”を参照してください。 - 19 - 第4章 Systemwalker Centric Manager自身のセキュリティを強 化するには 運用管理クライアントまたは運用管理サーバの[Systemwalkerコンソール]を使用した操作に対するセキュリティを高めるための対策を 説明します。 セキュリティを高めるためには以下の方法があります。 ・ 悪意ある操作を防ぐ ・ 偶発的な誤操作を防ぐ ・ [Systemwalkerコンソール]の操作を制御する 4.1 悪意ある操作を防ぐ [Systemwalkerコンソール]から操作を行うには、Systemwalker Centric ManagerにログインするユーザIDが必要です。[Systemwalkerコ ンソール]からの操作に対するセキュリティを高めるためには、ユーザIDを正しく管理し、ユーザ情報の漏洩を防止する必要があります。 また、悪意ある操作を防ぐために、業務を行う各サーバだけでなく運用管理クライアントをインストールしたWindowsクライアント機も、 外部からの侵入による脅威がない安全な場所に設置する必要があります。 Systemwalker Centric Managerでは悪意ある操作を防ぐために、[Systemwalkerコンソール]にログインできる利用者(ユーザ)を複数登 録でき、ユーザごとに適切な権限を設定できます。すべての操作が行える管理者権限のユーザIDは管理者だけが使用し、一般操作 者には操作を制限したユーザIDを使用することで、一般操作者のユーザ情報が漏洩した場合でも、システムやユーザ業務への影響 を最小限に抑えることができます。 [Systemwalkerコンソール]から操作できる権限の設定については、“[Systemwalkerコンソール]の操作を制御する”を参照してください。 4.2 偶発的な誤操作を防ぐ 正しい利用者でも偶発的な誤操作によってシステムを破壊する危険性があります。偶発的な誤操作を防ぐ手段として、利用者ごとに 操作できる機能を制限することが有効です。これにより[Systemwalkerコンソール]から一般操作者が誤った操作を行っても、操作の権 限がない場合は実行できません。 [Systemwalkerコンソール]から操作できる権限の設定については、“[Systemwalkerコンソール]の操作を制御する”を参照してください。 4.3 [Systemwalkerコンソール]の操作を制御する [Systemwalkerコンソール]からの操作を制御する方法 [Systemwalkerコンソール]からの操作を制御するには、以下の2つの方法があります。使用目的にあった方法を選択して運用してくだ さい。 ・ ロールによる基本的な制御方法 ロール(共通の役割(権限)を持つ利用者で構成するグループ)単位で制御します。 ・ 利用者ごとにSystemwalker Centric Managerの操作を細かく制御する方法 [Systemwalkerコンソール]を利用するユーザーIDごとに、[Systemwalkerコンソール]で操作できる機能を制御します。コンソール操 作制御機能といいます。 各機能は、OSおよびSystemwalker Centric Managerのエディションによって提供されている場合とされていない場合があります。詳細 は以下の表を参照してください。 機能 Windows SE EE Solaris SE EE Linux GEE SE EE GEE ロールによる制御 ○ ○ ○ ○ ○ ○ ○ ○ コンソール操作制御 - ○ - ○ ○ - ○ ○ - 20 - ○:機能提供あり -:機能提供なし ロールによる基本的な制御方法 Systemwalker Centric Managerであらかじめ定義しているロール(参照、操作、管理)にユーザを参加させることで、Systemwalkerが提 供する標準的なユーザの権限設定を簡単に行えます。 ロールを使用する場合の注意点 ロールに登録するユーザは、あらかじめ運用管理サーバ機のOSのユーザとして登録する必要があります。一般操作者用のユーザID を作成するときは、運用管理サーバ機のOSの管理者(UNIXならroot、WindowsならAdministratorsグループに所属するユーザID)以 外のユーザIDを使用してください。サーバ機のOSの管理者として登録されているユーザは、Systemwalker Centric Managerでも管理 者のロール(DmAdmin)の権限があり、すべての操作が行えます。ロールの詳細については、“Systemwalker Centric Manager 解説 書”の“セキュリティ対策”を参照してください。 利用者ごとにSystemwalker Centric Managerの操作を細かく制御する方法 ロールによる制御よりも、権限をきめ細かく制御する場合に使用します。 また、SMARTACCESSと連携することにより、ICカードなどの認証デバイスを使用してセキュリティを高めることができます。 SystemwalkerコンソールのユーザーIDごとに、操作可能とするオブジェクトを分けたい場合 使用者が利用できるサーバ機だけを表示した論理マップを使用し、一般使用者には監視ツリーの変更ができない権限を設定すること で、使用者が利用できない他のサーバ機については、参照もできないようにします。 ・ A管理者:部門Aに対して操作はできるが、部門Bに対して操作はできない。 ・ B管理者:部門Bに対して操作はできるが、部門Aに対して操作はできない。 ユーザごとに、操作可能とするオブジェクトを分けたい場合 1台の運用管理サーバを操作する場合 - 21 - 例えば、以下のように運用管理クライアントが1台だけの場合、A部門の管理者は、[Systemwalkerコンソール]を起動したままの状態で 他の部門のサーバに対して[Systemwalkerコンソール]から操作できないようにします。 ・ A管理者:部門Aに対する操作はできるが、部門Bに対する操作はできない。 ・ B管理者:部門Bに対する操作はできるが、部門Aに対する操作はできない。 複数の運用管理サーバを操作する場合 複数の運用管理サーバを監視するために、1台の運用管理クライアントで複数のSystemwalkerコンソールの画面を表示します。 Systemwalkerコンソールで操作を行うときにはユーザーIDの入力が必要です。 複数の運用管理サーバを操作する場合のユーザーIDは、以下のどちらかを使用します。 ・ SystemwalkerコンソールごとのユーザーIDを使用する ・ Systemwalkerコンソールで共通のユーザーIDを使用する SystemwalkerコンソールごとのユーザーIDを使用する運用 Systemwalkerコンソールごとに使用するユーザーIDを分けて操作の保護を行う運用です。 例えば、管理者は、運用管理サーバAのSystemwalkerコンソールで操作を行う場合、ユーザーID “ida”を入力して操作を行い、運用 管理サーバBのSystemwalkerコンソールで操作を行う場合、ユーザーID “idb”を入力して操作を行います。 - 22 - Systemwalkerコンソールで共通のユーザーIDを使用する運用 Systemwalkerコンソールで共通のユーザーIDを使用して、操作の保護を行う運用です。 例えば、管理者は、運用管理サーバA、および運用管理サーバBのSystemwalkerコンソールの操作も、同じユーザーID “ida”を使用 します。同じユーザーIDを使用することにより、業務サーバAを操作するときに、経由する運用管理サーバを意識せずに操作を行えま す。 - 23 - [Systemwalkerコンソール]のメニューごとに権限を設定する場合、および[Systemwalkerコンソール]からの操作について、細かな権 限設定を行う場合 例えば、リモートコマンド機能において、一般利用者はUNIXのファイル一覧コマンド“ls -l”だけを投入可能とし、その他のコマンドは すべて投入不可にすることができます。このように、一般利用者が投入できるコマンドを制限し、不正な操作や誤った操作によるシステ ム破壊を防止できます。 コンソール操作制御を使用する場合の注意点 ・ コンソール操作制御に登録するユーザIDはあらかじめロールに登録をしておく必要があります。コンソール操作制御で権限の設 定を行っても、登録したロールの権限以上の操作はできません。 ・ コンソール操作制御の定義には、許可するメニューおよび操作を定義してください。定義方法によっては、すべてを許可し特別な メニューおよび操作だけを許可しないような設定もできますが、新たに利用者や対象サーバを追加した場合に、不用意に操作が できてしまうなどの問題が発生し、セキュリティが弱くなる可能性があります。 ・ コンソール操作制御を使用する場合、導入時にユーザのロールの設定、および、[Systemwalkerコンソール]のメニュー抑止を行う ことで、よりセキュリティを高めた安全な監視を行うことができます。詳細は、“[Systemwalkerコンソール]のアクセス権の考え方”を 参照してください。 なお、Systemwalker Centric Managerから出力された監査ログにより、システムのセキュリティを点検する場合は、“システムのセキュリ ティを点検するには”を参照してください。 - 24 - 第5章 サーバとクライアントのセキュリティを強化するには Systemwalker Centric Managerを使用してサーバ、およびクライアントのセキュリティを高めるための対策について説明します。 セキュリティを高めるためには以下の方法があります。 ・ サーバに対する不正操作を防ぐ ・ セキュリティの構成を設計する 5.1 サーバに対する不正操作を防ぐ システム上に存在する各種サーバのセキュリティを強化するためには、ネットワークに設置したファイアウォールなどにより、遠隔地から の操作を防御するのと同時に、実際にサーバの前で行う操作をどのようにして防ぐか、また、発生した問題をどのようにして検知し、今 後のサーバ運用に生かすかを検討する必要があります。 一般にセキュリティに対する脅威は常に増大していくことから、セキュリティに対する対策を検討する際は、PDCA(Plan-Do-Check-Act) をどのように効率的に回していくかを念頭に置いた対策を検討してください。 サーバを利用する際の問題点 UNIXサーバでは、一般的な操作のほとんどがOSに標準添付されるシェルからコマンドを入力して行われます。特に、UNIXサーバや OS、およびSystemwalkerを含むミドルウェアのインストールや設定変更などの操作には、システム管理者権限であるrootユーザの特権 を利用したコマンド実行が必要不可欠です。 Windowsサーバの場合でも、UNIXサーバと同じように、複数の管理者によりOSだけでなくさまざまなミドルウェアや業務アプリケーショ ンの管理が行われることが一般的です。 このような環境において、OSやミドルウェア、アプリケーションの種類ごとに、それぞれに精通した複数の管理者が存在する場合、それ ぞれの管理者はみな同じシステム管理者(root/Administrator)のパスワードを知っている必要があります。 このような運用方法は、非常に危険な状態であることを認識しなければなりません。 Systemwalker Centric Managerが提供するソリューション Systemwalker Centric Managerでは、Windows/Linuxサーバを利用する際の上記の問題を解決するために、サーバアクセス制御機能 を提供しています。 Systemwalker Centric Managerでは、Windows/Linux上で行う操作に対して、いつ、誰が、どこから操作を実施し、どういったユーザ ID(rootなど)を利用したかを正確に記録し、必要に応じて操作を追跡(点検)、抑止する「サーバアクセス制御」機能を提供しています。 この機能は、rootなどの管理者権限に対しても有効です。 Windows/Linuxシステムでは、「サーバアクセス制御」機能に含まれる「監査ログ出力」機能、「アクセス制御」機能、および「安全なシス テム保守支援」機能により、これまでの運用に大きく手を入れることなく、システムのセキュリティを高めることが可能です。 - 25 - また、Windowsサーバに対する不正操作を防ぐために、「サーバアクセス制御」機能を利用する以外に、Systemwalkerファミリの Systemwalker Desktop Keeperを提供しています。 Systemwalker Desktop Keeperでは、Windowsのサーバやクライアントの不正操作を禁止し、ファイルの持ち出しを禁止することができ ます。 Systemwalker Centric Managerでは、Systemwalker Desktop Keeperと連携して、Windowsサーバの操作違反の監視や、操作履歴を監 査ログとして収集するための機能を提供しています。 Systemwalker Desktop Keeperとの連携方法については、Systemwalker技術情報ホームページの“Systemwalker Centric Manager 連 携ガイド Systemwalker Desktop Keeper編”を参照してください。 OS標準のアクセス制御機能との関係 OSが標準で提供しているアクセス制御機能は、任意アクセス制御機能(Discretionary Access Control、DAC)と呼ばれていますが、サー バアクセス制御で提供している強制アクセス制御機能とDACの関係は、以下のとおりです。 Windows/Linuxの場合 DACでアクセス許可されている資源に対してのみ、サーバアクセス制御の強制アクセス制御が行われます。DACでアクセス拒否と判 定された場合、強制アクセス制御のアクセス判定は行われず、監査ログも出力されません。 DACでアクセス許可の場合 DACでアクセス拒否の場合 強制アクセス制御で許可の場合 アクセス:可 監査ログ:許可ログが出力されま す アクセス:不可 監査ログ:出力されません 強制アクセス制御で拒否の場合 アクセス:不可 監査ログ:拒否ログが出力されま す アクセス:不可 監査ログ:出力されません サーバアクセス制御を利用する場合の運用 サーバへのアクセスを制御する場合の利用者権限、および運用イメージを説明します。 利用者権限 本機能を利用する際に必要となる利用者権限について説明します。 ・ システム管理者 システムの状態を監視し、問題がある場合は保守内容の決定などの監督をします。保守作業者に作業指示などを行います。セ キュリティ管理者が作成したセキュリティポリシーを配付する権限を持ちます。システム管理者は、セキュリティ管理者/セキュリティ 監査者が持つ権限を代行します。 ・ セキュリティ管理者 サーバ上で行う保守作業の内容を確認し、許可または拒否を決定します。監査ログ出力、監査ログ管理、サーバアクセス制御機 能の設定の変更、システム保守承認を行う権限を持ちます。 ・ セキュリティ監査者 セキュリティ管理者が許可した作業内容と、実際に行われた作業内容を監査ログから確認します。その結果、不要な作業を許可し ていないか、または許可された作業以外の操作をしていないかを確認します。システム保守承認状況の確認、録画データの再生 を行う権限を持ちます。 ・ 保守作業者 システム管理者の監督のもと、実際のサーバ上で作業を行います。 ・ 一般利用者 Webなどのシステム上で動作するサービスを利用して、間接的にシステム上の情報を参照/操作します。 - 26 - サーバアクセス制御機能の運用イメージ サーバのセキュリティを強化し、適正に運用されていることを保証するために、以下のサイクルを繰り返します。これによりセキュリティの 対策を見直せます。 1. ポリシーの作成 セキュリティ管理者が、サーバアクセス制御のポリシーを作成します。 ただし、設定によってはOSやアプリケーションの動作を阻害することがあるため、実運用への適用時には影響範囲を十分に考 慮する必要があります。 このため最初は[試行モード]を使用してください。[試行モード]では、実際にはアクセス制御は行われず、アクセス制御を実際に 行った場合の結果がアクセス監査ログに出力されるだけです。 また、不正なアクセスを即座に確認するために[監視画面通知]の設定もできます。[監視画面通知]の設定では、不正なアクセス が発生したときに[Systemwalker コンソール]にメッセージを通知できます。 2. ポリシーの配付 システム管理者(DmAdmin権限を持つユーザ)(注)は、セキュリティ管理者が作成したポリシーの内容を確認し、管理対象サー バにサーバアクセス制御のポリシーを配付します。 3. 運用 管理対象サーバの保守作業者は、サーバアクセス制御機能で許可されている範囲で管理対象サーバを運用します。 →監査ログが出力されます。 - 27 - 4. 監査ログの分析 セキュリティ監査者は、運用管理クライアントで監査ログを分析し、セキュリティ管理者およびシステム管理者の作業を点検します。 5. 改善案の立案 セキュリティ管理者およびセキュリティ監査者は、監査ログの分析結果に基づきサーバアクセス制御の設定を見直します。 見直し内容の決定後、手順1に戻りポリシーを作成してください。 注)サーバアクセス制御の機能説明で“システム管理者”と記述している場合は、DmAdmin権限を持つユーザを表しています。 安全なシステム保守支援機能の運用イメージ 安全なシステム保守支援機能を使用し、適正に保守されていることを保証するために、以下のサイクルで保守作業を行います。 1. 事前準備 システム管理者に指示された保守作業者(またはシステム管理者)は、保守作業の作業内容を明確にし、作業手順書を作成しま す。 2. 保守作業の申請 保守作業者(またはシステム管理者)は、作業手順に記載されている内容を実施するために、セキュリティ管理者に保守作業を 申請します。 3. 保守作業の承認 セキュリティ管理者は、保守作業者(またはシステム管理者)が実施する保守作業の内容を確認し、保守作業の開始時間/終了 時間などを[Systemwalkerコンソール]で登録します。 →登録した保守作業について、承認番号が発行されます。 4. 承認番号の通知 セキュリティ管理者は、保守作業者(またはシステム管理者)に承認番号を通知します。 - 28 - 5. 保守作業の実施 保守作業者は、セキュリティ管理者から通知された承認番号を用いて、作業を行うサーバ上で、サーバアクセス制御が提供する システム保守開始/終了コマンドにより保守作業を行います。 なお、保守作業中の操作内容は、監査ログ、および録画データとしてすべて記録することが可能です。 6. 保守作業の点検 セキュリティ監査者は、アクセス監査ログ、操作の録画データなどを使用し、保守作業を点検します。 5.2 セキュリティの構成を設計する セキュリティ確保に対する以下の機能の設計方法、注意事項について説明します。 サーバアクセス制御機能を使用するために必要な、運用の見直し項目について説明します。 設計時の前提条件 環境 他のアクセス制御製品との共存はできません。 ファイルシステム ファイルアクセス制御機能を利用する場合に、アクセス制御設定が行えるファイルシステムは以下のファイルシステムタイプです。 Windowsの場合 ・ FATファイルシステム、FAT32ファイルシステム、NTFSファイルシステム (Windows標準ファイルシステム) Linuxの場合 ・ ext3ファイルシステム (Red Hat Enterprise Linux標準ファイルシステム) ・ PRIMECLUSTER GFSファイルシステム (PRIMECLUSTER用高性能ファイルシステム) ・ nfsファイルシステム (ネットワークファイルシステム) ・ iso9660ファイルシステム (CD-ROMなどで利用されているファイルシステム) ・ sysfsファイルシステム (/sysディレクトリなどで利用されるファイルシステム) ・ tmpfsファイルシステム (/dev/shmなどで利用されているファイルシステム) ・ devptsファイルシステム (/dev/ptsなどで利用されているファイルシステム) ・ procファイルシステム (/procなどで利用されているファイルシステム) ・ binfmt_miscファイルシステム (/proc/sys/fs/binfmt_miscなどで利用されているファイルシステム) 利用者権限の見直し システムのセキュリティを向上するには、監査ログ/アクセス制御設定を検討する前に、システムの利用者に関する各種権限を見直して ください。以下では、サーバアクセス制御機能を利用する際の一般的な利用者権限について説明します。 利用者のアクセス権限を検討する サーバアクセス制御機能を使用する利用者のアクセス権限について説明します。 なお、以下の各利用者は、サーバアクセス制御機能を運用する上で異なる役割を持っています。各利用者は、機能を利用する上で 兼任をすることが可能ですが、セキュリティを強化し、内部統制を確実なものにするためには、利用者ごとに異なるユーザを割り当てる ことを推奨します。 運用時の各利用者の役割については、“サーバアクセス制御を利用する場合の運用”を参照してください。 - 29 - システム管理者 システムが機能的に正しく動作しているかを監視、管理する利用者です。サーバ上のハードウェアやソフトウェア(OSやミドルウェア、 業務アプリケーションなど)に異常が発生した場合、その修復や調査を取り仕切るユーザです。このユーザは、通常はOSの管理ア カウント(Linuxシステムでは一般的にroot、WindowsではAdministratorsグループに所属するユーザ)を持つ場合が多く、システム の修復や保守作業にはこれらの管理アカウントを利用して作業が行われています。 また、システムの規模や提供する機能により、システム管理者をより細分化し、データベース管理者、Web管理者などに役割を分 割している場合があります。本書では、これらの管理者を区別する必要がない場合には、総称し、「システム管理者」として記載しま す。 なお、システム管理者は、運用管理サーバまたは運用管理クライアントにおいて、Systemwalker Centric ManagerのDmAdminの ロールに所属させます。 セキュリティ管理者 システムがセキュリティ上正しく運用されるように設定を行う利用者です。セキュリティを考える際、必要以上の権限がシステム管理 者や一般の利用者に与えないことを職務とします。システム管理者やセキュリティ監査者からの報告に基づき、安全な運用を行う ように検討/設定をします。このためセキュリティ管理者自身の権限は、システム管理者やセキュリティ監査者とは分けておく必要が あります。また、セキュリティ管理者自身の行動を統制するために、セキュリティ管理者を複数名任命する、またはシステム管理者、 セキュリティ監査者との相互牽制を行う体制をとるなど、セキュリティ管理者自身の抑制を考えた組織作りが必要です。 なお、セキュリティ管理者は、運用管理サーバまたは運用管理クライアントにおいて、Systemwalker Centric ManagerのDmAdmin、 DmOperation、またはDmReferenceのロールに所属させます。ただし、利用者ごとに異なる権限で運用する場合は、DmOperation、 またはDmReferenceのロールに所属させます。 セキュリティ監査者 セキュリティ管理者が実施した設定に対して、悪意ある操作や攻撃、および誤操作が行われていないかを監査する利用者です。 一般的に、コンピュータシステムのセキュリティを監査する場合は、アクセス監査ログへのアクセス、集計したレポートへのアクセス、 検索画面によるレコード検索、システム保守承認状況の確認、運用管理サーバ上の録画データの再生を行い、問題がないかを確 認します。アクセス監査ログに必要十分な情報が出力されているか調査も行います。 なお、セキュリティ監査者は、運用管理サーバまたは運用管理クライアントにおいて、Systemwalker Centric ManagerのDmAdmin、 DmOperation、またはDmReferenceのロールに所属させます。ただし、利用者ごとに異なる権限で運用する場合には、DmOperation、 またはDmReferenceのロールに所属させます。 一般利用者 システム管理者などの管理者からの依頼により、実際にシステムの設定を変更するオペレータ、また、Webなどのシステム上で動 作するサービスを利用して間接的にシステム上の情報を参照/操作するユーザなど、システムを利用する管理者以外のユーザす べてを指します。必要な権限以上の操作が行われていないかなど、セキュリティ管理者、セキュリティ監査者により常に管理/監査 されるユーザです。 OS上のユーザを整理する 既存のシステム運用で利用しているOS上のユーザを整理する必要があります。具体的には以下のユーザ設定に注意してください。 管理者アカウント 管理者アカウント(rootユーザ、Administratorsグループに所属するユーザ)でサーバの操作を制御することが可能ですが、アクセス 制御の設定によっては強力な権限を持つユーザです。このため、管理者アカウントのパスワードについては、少数のシステム管理 者にのみ利用可能とすることや、定期的にパスワード変更を行うなどの施策を徹底してください。 管理者アカウントに昇格して実施していた作業は、サーバアクセス制御機能の導入後、セキュリティ管理者に承認を受けて実施し ます。セキュリティ管理者から承認を受けた後、作業者は管理者権限が必要な作業を実施してください。 一般ユーザアカウント 一般ユーザのアカウントは、誰が操作を行っているかを一意に判別する重要な情報です。複数人で同一のユーザIDを利用してい る場合は、操作者を特定しにくくなります。安全な運用を行うためには、利用者一人ひとりに一意となるユーザIDを割り振りしてくだ さい。 保護資産の見直し サーバアクセス制御を利用する上で必要となる保護資産と脅威の基本的な考え方について説明します。 - 30 - 保護資産と脅威の概要 スタンダードモードでファイルアクセスを検討する場合、またはカスタムモードを利用する場合は、保護すべき対象(保護資産)を決定し、 誰(何)から、どのような脅威に対して保護を行うかを決定してください。 以下に、保護資産に対する代表的な脅威の例、および防御手段を説明します。 保護資産 ファイル/ディレ クトリ プロセス ネットワーク 代表的な脅威と発生原因の例 防御手段 情報漏洩 必要以外の利用者がファイルを参 照することにより発生する 読み込みの制御 証拠隠滅 システムやアクセスログを削除する ことにより発生 書き込み、削除、作成、変名、 属性変更の制御 改ざん 対象のファイルの内容が書き換え られることにより発生 書き込み、削除、作成、変名 の制御 システム停止 システムやサービスの停止コマン ドを起動することにより発生 起動の制御 システム停止 動作中のプロセスを強制終了する ことにより発生 強制終了の制御 不正侵入 許可された以外のネットワークから の進入などにより発生 ネットワーク接続の制御 以下に、保護資産、および発生しうる脅威について、それぞれ説明をします。 保護する資産を検討する 保護すべき資産を決定します。 ・ 監査、およびアクセス制御すべきファイル/ディレクトリはあるか? ・ 監査、およびアクセス制御すべきアクション(プロセス)はあるか?(コンソールからのログイン/権限昇格/その他) ・ 監査、およびアクセス制御すべきネットワーク接続はあるか?(ネットワーク経由のログイン/ネットワークファイル転送/その他) すでにセキュリティ製品を導入している場合は、既存の設定と照らし合わせて検討してください。セキュリティ製品を導入していない場合、 上記を明確にできない場合でも、サーバへのアクセス状況を把握することが可能です。 保護資産に対する脅威を想定する 保護すべき資産がある程度明確にすることができた場合は、次に、どのような脅威から守りたいかを具体的にします。保護資産が抱え る脅威と合わせて明確にすることをお勧めします。以下に、一般的な脅威について説明します。 ・ 保護資産がファイルやディレクトリである場合の脅威の例 - 情報漏洩 情報漏洩の中心となるのがこのファイルやディレクトリとなります。特に顧客 情報や従業員情報などを含む場合は、参照できる ユーザを限定することが重要となります。 - 改ざん 改ざんを契機としたシステムトラブルには、プログラムの動作をつかさどる定義ファイルなどが改ざんされた場合に発生しうるシ ステム停止や、顧客情報などが改ざんされることによる社会的トラブルなど、多くのトラブルの原因となります。これらの脅威は、 対象となるファイルの書き込みや削除を抑止することで無効化することが可能です。 ・ 保護資産がプロセスである場合の脅威の例 - プロセス起動によるシステム停止 ファイル改ざんなどによるシステム停止よりもより直接的な手法、すなわちシステム停止コマンドを実行するなどにより発生する 脅威です。この脅威は、悪意ある利用者以外にも、正規の利用者による作業ミスによっても発生する問題です。システムやサー ビスの停止コマンドを実行抑止することで未然に防ぐことが可能です。 - 31 - - プロセスの強制終了によるサービス停止 停止コマンドを実行しなくても、対象となるサービスを構成するプロセスを強制終了させることで、簡単にWebサービスなどを停 止させることができます。守りたいプロセスが明確になっていれば、強制終了に対する防御を行うことが可能です。 ・ 保護資産がネットワークの場合の脅威の例 - ネットワークからの不正侵入 サーバへの進入経路のうち、最も一般的であり注意する必要のあるものとしてネットワークからの侵入が考えられます。ネット ワーク経由での不要なログインを拒否することにより、脅威を低減することが可能です。 防御手段を検討する それぞれの保護資産に対して、以下の設定を行うことで、脅威から保護資産を守ります。それぞれの防御手段が持つ特徴を理解する ことで、より強固なシステムを構築できます。 ・ ファイル/ディレクトリに対する監査/防御手段 - 読み込みの監査/防御 主に情報漏洩を防ぐ中心的な設定です。特定のファイルへの読み込みを防御することで、ファイルやディレクトリに格納されて いる情報が漏洩することを防ぐことができるようになります。ただし、プログラムなどの定義ファイルへ読み込みの防御設定を行 う場合、プログラムが動作しないなどの問題が発生する場合があります。 - 書き込みの監査/防御 主にファイルの改ざんを防ぐ中心的な設定です。特定のファイルへの書き込みを防御することで、ファイルやディレクトリに格 納されている情報が改ざんされることを防ぐことができます。システムなどのログファイル(シスログなど)へ書き込みの防御を行 うと、ログが残らなくなるなどの問題が発生するため、注意が必要です。 なお、ファイルの改ざんなどを防御するために、書き込みの防御を設定する場合は、合わせて削除/作成/変名などの設定も検 討してください。 - 削除の監査/防御 システム上重要な定義ファイルなどが削除されることを防ぎます。これにより、システムやサービスの停止といった脅威に対抗 できます。また、ファイルの改ざんなどが行われる手段としても、ファイル削除を利用することが可能な場合があります。改ざん を抑止したい場合は、書き込みの防御と合わせて削除も防御設定に追加してください。 - 作成の監査/防御 悪意ある操作者によるファイルの改ざんなどは、単にファイルを書き換える(書き込み)だけでなく、ファイルを削除した後、新た なファイルを作成することでも可能です。書き込みや削除の防御を行う際は、作成の抑止を行って問題ないと判断できた場合 のみ、作成の防御も設定してください。 - 変名の監査/防御 削除/作成と同じく、ファイルの操作に対し、書き込みと同じような制御を行うことが可能となります。 - 属性変更の監査/防御 所有者やファイルのパーミッション(アクセス権)を変更する操作を抑止できます。サーバアクセス制御を利用している限り、属 性変更などによる脅威は大幅に削減することが可能ですが、書き込み、削除などの抑止を行う際には合わせて設定しておくと よりセキュリティ強度を高くすることが可能です。 ・ プロセスに対する監査/防御手段 - 起動の監査/防御 システム停止コマンドなど、通常は起動してはならないコマンドに対して設定することが可能です。設定は、コマンドが格納さ れているディレクトリを含むフルパスで指定します。なお、シンボリックリンクが作成されたコマンドの場合は、シンボリックリンク の先にあるファイルに対して制御設定を行ってください。 - 強制終了の監査/防御 すでに動作済みのプロセスに対して、強制終了を防御します。これにより不用意なプロセスの終了を防ぐことが可能です。 - 32 - ・ ネットワークに対する監査/防御手段 - ネットワーク接続の監査/防御 本来アクセスが不要な、またはアクセスされるべきではないネットワークからのログインを監査/防御するための設定が可能です。 アクセス制御の設定項目を検討する 設定のモードを決定する サーバアクセス制御の設定には、2つのモードがあります。モードを決定し、セキュリティを強化する場合の設計方針を決定します。 ・ スタンダードモード 一般的なサーバへのアクセス経路を監査することが可能です。多くの設定を必要とせずに監査運用を開始することができます。ま た、スタンダードモードで設定できる監査項目は、そのままカスタムモードのアクセス制御設定へ展開することも可能です。 なお、スタンダードモードでも、ファイルおよびレジストリの監査/アクセス制御設定だけはカスタムモードと同じ設定が可能です。 ・ カスタムモード スタンダードモードで設定可能な監査/アクセス制御設定の他、制御対象を設定して個別のプロセスの監査/アクセス制御設定を行 うことができます。スタンダードモードに比べより詳細な設定を行うことが可能です。ファイルとレジストリの監査/アクセス制御設定は、 スタンダードモードとカスタムモードで同じ設定となります。 以下に、スタンダードモードとカスタムモードの関係を示します。 運用開始時に、スタンダードモード、またはカスタムモードのどちらのモードを使用するかについては、以下の流れ図を参照して検討 してください。 - 33 - アクセス制御設定 各保護資産に対して「ログ出力のみ」の設定を中心にサーバアクセス制御機能を利用した結果、アクセス違反や不要と思われる操作 を検出した場合、スタンダードモード、カスタムモードともにアクセス制御設定を追加していくことが可能です。アクセス制御設定は、シ ステム管理者(rootユーザ、Administratorsグループに所属するユーザ)に対しても有効な設定を行うことが可能ですが、反面、システム への影響がないかを、十分に検証する必要があります。 サーバアクセス制御機能では、アクセス制御機能のシステムへの影響を確認するために、「試行モード」を提供しています。 「サーバアクセス制御」画面でアクセス制御設定を追加する際、設定画面にある「試行モード」をチェックすることで、追加/変更するア クセス制御設定がどのようにシステムへ影響を与えるかを、監査ログから確認できます。アクセス制御設定を追加/変更する際は、「試 行モード」を利用し、システムが正常に動作するかを確認してください。 なお、試行モードを表す監査ログの出力内容などについては、“Systemwalker Centric Managerリファレンスマニュアル”の“アクセス監 査ログファイル”を参照してください。 アクセス制御設定の例 Webサーバへのアクセス制御を検討する場合の設定例を示します。 要件 ・ 一般的なWebサーバに対して、Webコンテンツ、Webサーバ(プログラムと定義ファイル)の改ざん、およびWebサーバの起動停止 を監査/制御したい ・ Webサーバは、OS上の“httpd”ユーザにより管理されており、Webコンテンツの編集は“httpd”ユーザ以外は(システム管理者であっ ても)拒否したい ・ Webサーバ(httpdプロセス)の強制終了を防御したい 設定例 サーバアクセス制御の設定を以下のとおり行います。 制御種別 保護対象 ファイル Webコンテンツ格納ディ レクトリ(/var/www/など) 設定内容 対象 読 込 書 込 作 成 削 除 変 名 (注) 属 性 変 更 httpd(ユーザ) - ○ ○ ○ ○ ○ 上記以外 - × × × × × - 34 - 制御種別 保護対象 Webサーバプログラム/定 義ファイル(/etc/httpd/、/ usr/sbin/httpdなど) プロセス Webサーバプログラム(/ usr/sbin/httpdなど) 設定内容 全ユーザ - × 対象 起 動 強 制 終 了 全ユーザ - × × × × × 注)ファイルの変名を行う場合、変名先のファイルまたはディレクトリには、書き込み権、作成権、削除権が必要です。 アクセス制御設定時の注意事項 プロセスのアクセス制御 プロセスのアクセス制御設定が行われている場合、および保守支援機能によりシステム保守作業を行っている場合に出力されるコマ ンド実行のアクセス監査ログには、Shellが提供しているビルトインコマンドのログは出力されません。Shellのビルトインコマンドとは、以 下のようなコマンドを指します。 ・ cdコマンド ・ execコマンド シェルスクリプト プロセスアクセス制御をシェルスクリプトに対して行う場合は、プロセスアクセス制御対象のシェルスクリプトに読み込み権限が必要です。 ハードリンク ファイルやディレクトリに対するハードリンクを作成することは、アクセス制御設定をかいくぐるための悪意ある操作に利用されやすいこ とから、読み込みや書き込みなど何らかの拒否設定が行われたファイルは、ハードリンクの作成も自動的に拒否されます。 シンボリックリンク シンボリックリンクファイルに対しては、OSの特性上読み込みのファイルアクセス制御のみが有効となります。このため、シンボリックリン クファイルに対しては、読み込み以外のアクセス制御設定は無視されます。 このような場合は、シンボリックリンク先のファイルを確認した後、シンボリックリンク先のファイルへアクセス制御設定を追加してください。 ネットワークアクセス制御 ネットワークのアクセス制御設定で、「ログ出力のみ」または「許可」設定が行われているポートへ、同じクライアントから続けてアクセス が行われた場合、ログの冗長性を抑止するために監査ログ出力されないことがあります。ネットワークのアクセス制御で「ログ出力のみ」 または「許可」設定を行った場合に出力される監査ログは、接続元の判断にだけ利用してください。 - 35 - 第6章 システムのセキュリティを点検するには 6.1 監査ログを管理する 監査ログを確認することによって、悪意ある操作が行われていないかを判断できます。監査ログから、漏洩したユーザIDや不正に使用 された端末名を確認できるため、その後の対策を実施できます。また、監査ログを参照することで、過去の操作履歴を振り返り、誤った 操作などを確認できます。 ログ情報の点検を行う 望むべきセキュリティ機能を実装したシステムにおいても、その運用が正しく行われているかどうかについては、常に目を光らせていな ければなりません。セキュリティに対する防御機能は常に新しい技術や機能が提供されますが、悪意ある第三者は常に最新のセキュ リティ技術をかいくぐれると考えるべきです。 これらの悪意ある最新の技術に対抗することは、非常に困難なことですが、システムの状況を常に点検することで、対策を立てやすく することができます。 Systemwalker Centric Managerが提供するソリューション Systemwalker Centric Managerでは、システムの状況を監査ログとして運用管理サーバに収集し、保管することを目的とした「監査ログ 管理」機能を提供しています。この機能を使用することで、システムの基本的なログ(シスログ、イベントログなど)から、Systemwalker Centric Manager自身を利用した操作内容を出力した監査ログまで、幅広く収集できます。 監査ログの重要性を十分理解した上で、監査ログ管理機能によりログの効率的な点検を実施してください。 監査ログの収集 監査ログは以下のように収集されます。 ・ 部門管理サーバおよび運用管理クライアントの監査ログは、運用管理サーバに収集されます。 ・ 各業務サーバの監査ログは、その業務サーバを管理する部門管理サーバを経由して、運用管理サーバに収集されます。 - 36 - 運用設計する場合の検討事項 監査ログ管理機能を使用する際に検討すべき点は以下のとおりです。 ・ 収集するログの種類 監査ログとして収集するログファイルには、多くのファイルが存在します。Systemwalker Centric Managerで標準的に収集可能なシ ステムのログやSystemwalker Centric Manager自身の監査ログだけでなく、業務アプリケーションが出力するログファイルなども監 査ログとして収集することを検討してください。 ・ 収集するタイミング 一般的な監査ログは、出力されたサーバ上に長い間放置することは、監査ログの改ざんや情報漏洩につながることがあります。業 務負荷が少なくなる深夜などを利用し、少なくとも1日1回は収集するように運用を検討してください。 ・ 収集した監査ログの保全 運用管理サーバに収集した監査ログでも、そのまま放置しておくことは危険であることに変わりはありません。特に多数のサーバか ら監査ログを収集する場合は、バックアップの運用の検討、二次媒体装置(WORM: Write Once Read Many、一度だけ書き込むこ とができ、消去/変更のできない記憶メディア)を利用するなど、改ざんに対する対策を常に心がけるようにしてください。 不正な操作や誤った操作の検出 不正な操作や誤った操作を検出するために、必ず監査ログの設定を行い、[Systemwalkerコンソール]から実施した操作内容が監査ロ グに格納されるようにしてください。監査ログを設定することにより、[Systemwalkerコンソール]から行われた操作は監査ログとして常に 記録されます。問題が発生してなくても、監査ログから過去の操作履歴を振り返ることにより、思わぬ問題や改善点を見つけることがで きます。 コンソール操作制御機能を使用しているときは、[Systemwalkerコンソール]上で行われた操作の権限チェックの結果も監査ログとして 記録されます。 Systemwalker Desktop Keeperと連携する Systemwalker Desktop Keeperの操作ログを運用管理サーバで管理できます。 Systemwalker Desktop Keeperと連携し、Systemwalker Desktop Keeperの操作ログを運用管理サーバに収集する手順については、 Systemwalker技術情報ホームページの“Systemwalker Centric Manager 連携ガイド Systemwalker Desktop Keeper編”を参照してくだ さい。 監査ログ収集・分析を導入するための流れ 監査ログ収集・分析を導入する作業の流れを説明します。 ログを管理するサーバ、ログを収集するサーバを選定します システム構成:クラスタシステム、二重化システム、全体監視 ログを管理するサーバ:運用管理サーバ ログを中継するサーバ:中継サーバ(運用管理サーバ) ログを収集するサーバ:被管理サーバ(運用管理サーバ、部門管理サーバ、業務サーバ) 収集するログの種類・ログの容量を選定します 収集したログの格納先を選定します ログの格納先:運用管理サーバ、中継サーバ、二次媒体(ストレージ)装置 収集するログの経路を選定します - 37 - 収集した監査ログの活用を考慮します 監査ログの改ざん確認・分析 収集した監査ログの保全を考慮します 監査ログの圧縮保存・二次媒体(ストレージ)装置への退避、退避するタイミングを選定しま す 収集するタイミングを選定します 監査ログ管理のログ収集定義を行います 監査ログ分析の定義を行います 監査ログ収集/分析の運用を開始します ログを管理するサーバ、ログを収集するサーバを選定します ログを管理するサーバ、ログを収集するサーバを選定します。 ポイント システム構成 Systemwalker Centric Managerを導入する場合、実際のネットワーク環境やシステムを管理する組織構造を考慮してシステムの構成を 検討する必要があります。 運用管理サーバはどこに設置したらよいのか、部門管理サーバは設置する必要があるのか、また、設置するとしたら、どこに設置し、ど の範囲までを管理するのかなどを検討していきます。 詳細は、“Systemwalker Centric Manager 導入手引書”の“システム構成”を参照してください。 また、システム構成として、クラスタシステム、また、運用管理サーバのシステム構成として二重化システム、全体監視システム構成が必 要か否かを検討します。 クラスタシステムについては、“Systemwalker Centric Manager クラスタ適用ガイド”を参照してください。 二重化システムについては、“Systemwalker Centric Manager 運用管理サーバ二重化ガイド”を参照してください。 全体監視システムについては、“Systemwalker Centric Manager 全体監視適用ガイド”を参照してください。 ログを管理/収集するサーバを選定 監査ログの収集とは、被管理サーバ(運用管理サーバ、部門管理サーバ、業務サーバ)上に存在するログを運用管理サーバか中継 サーバ(部門管理サーバ)経由で運用管理サーバに収集します。 監査ログの分析とは、運用管理サーバに収集した監査ログを利用して検索/分析を行います。 - 38 - 監査ログを収集/分析するには、以下のサーバが必要です。 ・ ログを管理するサーバ:運用管理サーバ ・ ログを収集するサーバ:被管理サーバ(注1) (運用管理サーバ、部門管理サーバ、業務サーバ) ・ ログを中継するサーバ:中継サーバ(運用管理サーバ) 注1:被管理サーバには、運用管理クライアントも含まれますが、収集可能なログは、[Systemwalkerコンソール]の監査ログのみとなりま す。 収集するログの種類・ログの容量を選定します 運用管理サーバに収集する被管理サーバ上のログの種類・ログ量を選定します。 ポイント ログの種類 収集するログの種類は、どの監査ログを用いて監査を行うか、監査するために格納しておくべき監査ログは何かの観点で選定します。 収集できるログファイルの種類については、“収集・管理できるログファイルの種類”を参照してください。 また、”収集・管理できるログファイルの種類”に記載されていないテキストログファイルについては、“監査ログ管理の収集規約”に従っ た形式であれば、収集可能です。 なお、収集するログについて、ログ収集定義に必要な以下の点を確認しておきます。 ・ ログファイルは、テキストログファイルかバイナリログファイルか ・ ログファイルは、単一で生成されるか複数で生成されるか ・ 複数で生成される場合、ファイル名の昇順に依存して生成されるか降順で生成されるか ・ ログファイルが生成されるパスはどこか ・ ログファイルの日付と時間の形式は、監査ログ管理が標準で用意した形式と合っているか、標準で用意した形式がない場合は、 必要に応じてログファイルの日付と時間の形式にあった日付書式定義ファイルを用意します。 詳細は、“監査ログ管理の収集規約”を参照してください。 ログの容量 収集するログの1日当たりの容量を確認します。 ログの容量に応じて、監査ログ管理に必要な資源を準備・確認します。監査ログ管理に必要な資源については、“Systemwalker Centric Manager 導入手引書”の“監査ログ管理に必要な資源”の被管理サーバ側を参照してください。 収集したログの格納先を選定します 収集したログを格納・管理する格納先を選定します。 ポイント 格納先は、運用管理サーバ・中継サーバ(部門管理サーバ)上で選定します。格納先には、十分なディスク容量が必要です。 また、運用管理サーバに必要な監査ログ管理の資源については、“Systemwalker Centric Manager 導入手引書”の”監査ログ管理に 必要な資源”の運用管理サーバ側を参照してください。 また、収集した監査ログの保全を考慮する場合、バックアップの運用の検討、二次媒体装置(WORM: Write Once Read Many、一度だ け書き込むことができ、消去/変更のできない記憶メディア)を利用することを考慮します。 収集するログの経路を選定します 選定したログを管理/収集するサーバからどの経路でログ収集を行うかを選定します。 - 39 - ポイント 選定する際に、以下の点を考慮します。 ・ ログの量 ・ サーバ/ネットワーク性能など ・ 運用中にログ収集可能か否か これらの点を考慮し、中継サーバの設置を検討します。 また、中継サーバを設定した際、運用管理サーバへ収集するログや中継サーバへの収集にとどめるログを検討し、運用管理サーバへ の負荷をできるだけ少なくします。 運用管理サーバへ収集するか中継サーバへの収集にとどめるかは、以下の点を考慮します。 ・ ログ分析の問い合わせファイルを使用したログの集計を行うか否か ・ 運用管理サーバ内(部門管理サーバ間)または部門管理サーバ内での監査ログを用いた証跡とするのか 収集した監査ログの活用を考慮します 収集した監査ログを確認することによって、悪意ある操作が行われていないかを判断できます。監査ログから、漏洩したユーザIDや不 正に使用された端末名を確認できるため、その後の対策を実施できます。また、監査ログを参照することで、過去の操作履歴を振り返 り、誤った操作などを確認できます。 また、監査ログを不正に書き換えられていないかを確認することができます。 監査ログ分析を利用すると、さらに以下のことが可能となります。詳細は、“監査ログを分析する”を参照してください。 ・ さまざまな収集した監査ログのフォーマットを統一(正規化)し、検索・集計することができます。 ・ 問い合わせファイルを使用してログの集計結果からルールに則った運用であるかを確認できます。 ・ GUIを利用した特定操作の検索・調査ができます。 ・ 問題箇所の点検や運用状況の分析ができます。また、分析結果をレポートとして作成することができます。 ポイント 監査ログ分析における問い合わせファイルを利用した集計や分析結果レポート機能を利用する場合、以下のソフトウェアが必要にな ります。 ・ Interstage Navigator Server 詳細は、“Systemwalker Centric Manager 導入手引書”の“監査ログ分析に必要な資源”、“監査ログ分析機能を利用する場合の環境 設定”と“Systemwalker Centric Manager 解説書”の“関連ソフトウェア” を参照してください。 監査ログ分析に必要な資源についても“Systemwalker Centric Manager 導入手引書”の“監査ログ分析に必要な資源”を参照してくだ さい。 収集した監査ログの保全を考慮します 運用管理サーバや中継サーバ上の格納先ばかりを利用しているとディスクが枯渇することが考えられます。その際、定期的に監査証 跡に不要となった監査ログを二次媒体装置へ退避させることを考えます。 また、運用管理サーバに収集した監査ログは、そのまま放置しておくことは危険であるため、二次媒体装置でもWORM(Write Once Read Many、一度だけ書き込むことができ、消去/変更のできない記憶メディア)を利用することを考慮します。 収集した監査ログは圧縮することもできます。 - 40 - 収集するタイミングを選定します 収集するスケジュールを考えます。二次媒体装置へ収集した監査ログを退避させる場合は、退避するスケジュールも考えます。 ポイント ・ 中継サーバを導入する場合、業務サーバから中継サーバへのログ収集と中継サーバから運用管理サーバへのログ収集のスケ ジュールを考えます。この場合、中継サーバから運用管理サーバへのログ収集は、業務サーバから中継サーバへのログ収集が完 了した後に実施するようにスケジュールします。 ・ 二次媒体装置へ収集した監査ログを退避する場合は、監査証跡に不要となった監査ログを定期的に退避するようにスケジュール します。不要となる期間は監査証跡の運用期間に依存します。また、圧縮した後に退避する場合は、圧縮完了後に退避するようス ケジュールします。 監査ログ管理のログ収集定義を行います 監査ログ管理のログ収集定義を行います。 ログ収集定義を行う方法は、以下の方法があります。詳細については、“監査ログ管理の設定例”や“監査ログを収集・保管するための 設定”を参照してください。 ・ コマンドの入力ファイルに記載して設定する ・ コマンドを使用して設定する ・ ポリシーを使用して設定する ポイント ・ 監査ログのログ収集定義で使用/関連するコマンドは、以下のとおりです。詳細については、“リファレンスマニュアル”を参照して ください。 - コマンドの入力ファイルに記載して設定する mpatmdef(ログ収集一括定義コマンド) - コマンドを使用して設定する mpatmaccdef(共有リソース接続ユーザ設定コマンド) mpatmlogapdef(ログ収集設定コマンド) mpatmlogdef(ログ収集情報定義コマンド) mpatmsvrtypedef(サーバ種別設定コマンド) mpatmtrsdef(ファイル転送情報定義コマンド) - ポリシーを使用して設定する mpatmpset(監査ログ管理ポリシー情報移入コマンド) - 二次媒体装置へ収集した監査ログを退避する mpatmmediadef(収集ログ二次媒体複写先設定コマンド) 監査ログ管理のログ収集定義を行った後、実際のログ収集や二次媒体装置へ退避などのコマンドを確認します。Systemwalker Operation Managerなどでスケジュールに合わせて定期的に実施することにより、運用サイクルに合わせた実施が可能となります。 詳細については、“監査ログを収集する”、“監査ログを管理する”、“監査ログを評価する”、“監査ログを退避する”を参照してくだ さい。 ・ 監査ログ管理の運用で使用/関連するコマンドは、以下のとおりです。詳細については、“リファレンスマニュアル”を参照してくだ さい。 - ログを収集する mpatmlog(ログ収集コマンド) - 41 - - 二次媒体装置へ退避する mpatmmediacopy (共有リソース接続アカウント設定コマンド) - 収集した監査ログを圧縮/解凍する mpatmarchive(収集したログの圧縮コマンド) mpatmextract(圧縮したログの解凍コマンド) - 収集した監査ログの改ざんチェックする mpatmchecklog(収集したログの改ざん確認コマンド) - 収集した監査ログを削除する mpatmdellog(収集したログの削除コマンド) - 収集したログ管理情報を削除する mpatmdelap(ログ情報削除コマンド) クラスタシステムの共有ディスク上のログを収集する場合には、前述した監査ログ管理のログ収集定義の前に、ログ収集定義を行 う必要があります。詳細については、“Systemwalker Centric Manager クラスタ適用ガイド Windows編”、“Systemwalker Centric Manager クラスタ適用ガイド UNIX編”の“監査ログ管理機能を使用する場合”を参照してください。 ・ クラスタシステムの共有ディスク上のログを収集する場合に使用する監査ログ管理の定義/関係するコマンドは、以下のとおりです。 詳細については、“リファレンスマニュアル”を参照してください。 - 共有ディスク上のログを収集するための設定/設定解除 mpatmcsset(共有ディスク上のログ収集設定コマンド) mpatmcsunset(共有ディスク上のログ収集設定解除コマンド) - 共有ディスク上のログ収集情報の退避/復元 mpatmcsbk(共有ディスク上のログ収集情報退避コマンド) mpatmcsrs(共有ディスク上のログ収集情報復元コマンド) 中継サーバを設定する場合の詳細について、“中継サーバを利用するための設定”を参照してください。 監査ログ分析の定義を行います 監査ログ分析を利用するための定義を行います。詳細については、“監査ログを分析する作業の流れ”を参照してください。 ポイント ・ 監査ログ分析の定義で使用/関連するコマンドは、以下のとおりです。詳細については、“リファレンスマニュアル”を参照してくだ さい。 - 監査ログ分析の正規化ログ格納先を設定する mpatacnvtdef(正規化ログ格納先定義コマンド) - 監査ログ分析の正規化ルールの登録(更新)、削除を行う mpatarulectl(正規化ルール管理コマンド) 監査ログ分析の定義を行った後、実際の正規化処理やログの集計/レポート作成を行うコマンドを確認します。Systemwalker Operation Managerなどでスケジュールに合わせて定期的に実施することにより、運用サイクルに合わせた実施が可能となります。 ・ 監査ログ分析の運用で使用/関連するコマンドは、以下のとおりです。詳細については、“リファレンスマニュアル”を参照してくだ さい。 - 監査ログを正規化する mpatalogcnvt(監査ログ正規化コマンド) - 42 - - 集計レポートを作成する mpatareportput(集計レポート出力コマンド) - 集計レポートにコメントを追加する mpatareportcomment(集計レポートコメント追加コマンド) 監査ログ収集/分析の運用を開始します 監査ログ収集/分析を開始した後は、正しく収集/正規化されているかを特に注意します。詳細については、“監査ログ管理の注意 事項”を参照してください。 6.2 監査ログを分析する システムが運用ルールに従って問題なく運用されていることを確認・証明するためには、システム運用全体の詳細な分析が必要です。 システム全体の運用状態を確認するためには、システム上に存在する監査ログを収集・分析する必要があります。 監査ログを分析することにより、システム運用の正当性を証明することができ、また、問題発生時の原因究明やその後の対策を実施で きます。 監査ログを分析する際の問題点 監査ログを分析するには、さまざまなフォーマットの監査ログを調査・分析する必要があります。 監査ログはさまざまなフォーマットがあるため、監査ログを調査するには非常に手間がかかります。 Systemwalker Centric Managerが提供するソリューション Systemwalker Centric Managerでは、監査ログを分析するために、以下の機能を提供しています。 - 43 - ・ 収集した監査ログのフォーマットを統一(正規化)し、検索・集計します。 ・ ログの集計結果からルールに則った運用であるかを把握します。 テンプレートを使用(Interstage Navigator連携)することで、ログの集計結果を簡単に確認できます。集計結果から運用ルールに違 反した操作を割り出すことができます。 - 44 - ・ 特定操作の検索・調査ができます。 集計結果から判別した違反操作などに対して、ログを検索することができます。 ・ 問題箇所の点検や運用状況の分析ができます。また、分析結果をレポートとして作成することができます。 - 運用状況の点検 - 運用ルールに則った運用で問題ないことを確認できます。 - 運用ルールに違反した操作があったときには、何があったかを確認できます。 - 45 - - 報告書として活用 システムに対する不正な行為の有無など運用状況を点検結果として報告し、監査に活用できます。 運用形態 監査ログ分析機能を使用する場合の運用形態について説明します。 - 46 - 監査ログ分析機能は、Systemwalker Centric Manager の運用管理サーバおよび運用管理クライアントにインストールします。監査ログ の集計・分析は、運用管理サーバで行います。検索・集計の対象とする監査ログは、監査ログ管理機能により運用管理サーバに収集 された監査ログです。 Systemwalker Centric Managerで提供するテンプレートの中で、以下について監査ログをどう活用すればよいかを、運用面から説明し ます。 ・ root権限での操作を点検する ・ Systemwalkerコンソールでの操作を点検する ・ サーバでの操作を点検する ・ サーバの自動運転運用を点検する それぞれの運用に沿った具体的な監査ログの集計・検索方法については、“セキュリティを強化するにはどのような運用をしたらよい か”および“セキュリティを強化するためのSystemwalkerの設定”で説明します。機能の説明や設定手順の詳細は、“監査ログを管理す る”で説明します。 6.2.1 root権限での操作を点検する 業務サーバや部門管理サーバがLinuxやSolarisの場合、悪意あるユーザによって、システム管理者の権限であるroot権限が不正に利 用され、システム運用が被害を受けることは、あってはなりません。被害の有無の確認や被害があった場合の原因究明のために、root 権限を利用した不当な操作が行われていないかを点検する必要があります。root権限の利用がわかる監査ログを集計・分析し、毎日 確認することが必要です。 ここでは、システムに対してroot権限を使用した操作を監査ログから見つけ出し、操作内容を点検する方法を説明します。 運用イメージ 運用形態の運用イメージを以下に示します。 - 47 - システム構成 業務システムはSolarisまたは、Linuxで構成されています。業務システムごとに部門管理サーバが設置され、配下の業務サーバの監 視や、業務サーバの監査ログを収集するときの中継を行っています。 業務サーバはサーバ管理者が管理/監視し、部門責任者が業務システム全体を管理/監視しています。 運用上のルール 以下のルールを決めて運用しています。 ・ 各業務サーバ、部門管理サーバでは、rootでの直接ログインを禁止します。 ・ サーバ管理者が使用する、root権限の使用を許可されているユーザIDは、業務サーバごとに異なります。 問題点と問題を解決する運用例 現状の問題点 所定の時間外にroot権限を使用した操作が行われたり、不当な利用者がroot権限を行使すると、システムにとって重大な問題が発 生する恐れがあります。これを防ぐために、rootでのログイン禁止やパスワードへの有効期限の設定をしています。 しかし、実際に不当利用者によるroot権限の行使が完全にされていないことの確認は行われておらず、現在の対策の十分性は評 価できていません。評価するためには手作業で監査ログの内容を参照し、内容を分類/分析する必要があるため、膨大な工数を 必要とします。 問題を解決する運用例 上記の問題を解決するためには、夜間に自動で集計できるようにスケジュール運用ができ、また、集計条件を毎回入力しなくても よい運用が実現されなければなりません。集計条件が定義されているファイルを利用して夜間に処理を行い、翌朝には、昨日のシ ステム運用の状態が一目でわかるという運用が求められます。 Systemwalkerでは、このような運用を実現する手段として、各監査ログの分析目的に応じた条件を設定でき、集計処理を行える機 能を提供しています。従って、チェックに必要な作業はセキュリティ管理者による分析結果の確認(件数の確認)だけとなり、必要な 工数とチェックミスの発生は、限りなく少なくなります。 - 48 - 6.2.2 Systemwalkerコンソールでの操作を点検する 悪意あるユーザによって、Systemwalkerコンソールが不当に操作され、システム運用が被害を受けることは、あってはなりません。被害 の有無の確認や被害があった場合の原因究明のために、運用規則に違反した操作が行われていないか、使用を許可されていない ユーザが利用しようとしていないかを点検する必要があります。Systemwalkerコンソールでの操作がわかる監査ログを集計・分析し、毎 日確認することが必要です。 ここでは、Systemwalkerコンソールを使用した操作を監査ログから見つけ出し、操作内容を点検する方法を説明します。 運用イメージ 運用形態の運用イメージを以下に示します。 システム構成 業務システムはDBシステムとWebシステムの2つで構成されています。業務システムごとに部門管理サーバが設置され、配下の業務 サーバの監視や、業務サーバの監査ログを収集するときの中継を行っています。 業務サーバはサーバ管理者が管理/監視しており、部門責任者が業務システム全体を管理/監視しています。 問題点と問題を解決する運用例 現状の問題点 Systemwalkerコンソールでは、Systemwalker Centric Managerのコンソール操作制御機能を利用して、画面からの操作内容につい て、いつ、誰が、どこ(どのクライアント)から、どのような操作・変更を行ったかを、履歴として残しています。ところが、不当利用者に よる操作、運用外の不正操作、操作ミスが実行されていないことの確認は、現状、行われていません。また、複数のクライアントの監 査ログを毎日目視で点検するには限界があり、監査ログによる分析がほとんど行われていません。 - 49 - 問題を解決する運用例 上記の問題を解決するためには、夜間に自動で集計できるようにスケジュール運用ができ、また、集計条件を毎回入力しなくても よい運用が実現されなければなりません。集計条件が定義されているファイルを利用して夜間に処理を行い、翌朝には、昨日のシ ステム運用の状態が一目でわかるという運用が求められます。 Systemwalkerでは、このような運用を実現する手段として、各監査ログの分析目的に応じた条件を設定でき、集計処理を行える機 能を提供しています。従って、チェックに必要な作業はセキュリティ管理者による分析結果の確認(件数の確認)だけとなり、必要な 工数とチェックミスの発生は、限りなく少なくなります。 6.2.3 サーバでの操作を点検する 悪意あるユーザによって、サーバが不正に利用され、システム運用が被害を受けることは、あってはなりません。被害の有無の確認や 被害があった場合の原因究明のために、サーバ操作のポリシーが改ざんされていないか、ポリシーどおりに運用されているかを点検 する必要があります。内容がわかる監査ログを集計・分析し、毎日確認することが必要です。 ここでは、サーバに対する操作を監査ログから見つけ出し、操作内容を点検する方法を説明します。 運用イメージ 運用形態の運用イメージを以下に示します。 システム構成 業務システムはDBシステムとWebシステムの2つで構成されています。業務システムごとに部門管理サーバが設置され、配下の業務 サーバの監視や、業務サーバの監査ログを収集するときの中継を行っています。 業務サーバはサーバ管理者が管理/監視しており、部門責任者が業務システム全体を管理/監視しています。 - 50 - 問題点と問題を解決する運用例 現状の問題点 Systemwalker Centric Managerでは、サーバアクセス制御を利用して一般ユーザが利用可能なサーバ資産の制御を行っています。 しかし、Webサーバ、アプリケーションサーバ、DBサーバなど、用途が異なる複数のサーバから構成されるシステム環境で、想定し たとおりの運用が行われているかどうかについては定かではありません。また、サーバアクセス制御は監査ログを出力しますが、複 数のサーバの監査ログを毎日目視で点検するには限界があり、監査ログによる分析はほとんど行われていません。 問題を解決する運用例 上記の問題を解決するためには、夜間に自動で集計できるようにスケジュール運用ができ、また、集計条件を毎回入力しなくても よい運用が実現されなければなりません。集計条件が定義されているファイルを利用して夜間に処理を行い、翌朝には、昨日のシ ステム運用の状態が一目でわかるという運用が求められます。 Systemwalkerでは、このような運用を実現する手段として、各監査ログの分析目的に応じた条件を設定でき、集計処理を行える機 能を提供しています。従って、チェックに必要な作業はセキュリティ管理者による分析結果の確認(件数の確認)だけとなり、必要な 工数とチェックミスの発生は、限りなく少なくなります。 6.2.4 サーバの自動運転運用を点検する 悪意あるユーザによって、Systemwalker Operation Managerの運用が不当に操作され、システム運用が被害を受けることは、あっては なりません。被害の有無の確認や被害があった場合の原因究明のために、運用規則に違反した操作が行われていないか、使用を許 可されていないユーザが利用しようとしていないかを点検する必要があります。Systemwalker Operation Managerに対する操作がわか る監査ログを集計・分析し、毎日確認することが必要です。 ここでは、Systemwalker Operation Managerを使用した運用に対して実行された操作を監査ログから見つけ出し、操作内容を点検する 方法を説明します。 運用イメージ 運用形態の運用イメージを以下に示します。 - 51 - システム構成 業務システムはDBシステムとWebシステムの2つで構成されています。 各業務サーバにはSystemwalker Operation Managerのサーバがインストールされています。業務システムごとに部門管理サーバが設 置され、配下の業務サーバの監視や、業務サーバの監査ログを収集するときの中継を行っています。 業務サーバはサーバ管理者が管理/監視し、部門責任者が業務システム全体を管理/監視しています。 問題点と問題を解決する運用例 現状の問題点 Systemwalker Operation Managerを利用して自動運転をしている管理者にとって、Systemwalker Operation Managerの運用に関す る定義情報の不正な変更は、業務に支障が起きてしまい重大な問題です。 このような問題を早期に検出するため、自動運転のスケジュールの変更や操作を監査ログとして収集し、運用時間外で不正な操 作が行われていないかなどを確認する必要があります。 しかし、新規ユーザなど、点検を行うユーザが監査ログの分析/報告に不慣れである場合、どのように監査ログ分析を始めたらよい か明らかになっていません。 問題を解決する運用例 上記の問題を解決するためには、夜間に自動で集計できるようにスケジュール運用ができ、また、集計条件を毎回入力しなくても よい運用が実現されなければなりません。集計条件が定義されているファイルを利用して夜間に処理を行い、翌朝には、昨日のシ ステム運用の状態が一目でわかるという運用が求められます。 Systemwalkerでは、このような運用を実現する手段として、各監査ログの分析目的に応じた条件を設定でき、集計処理を行える機 能を提供しています。従って、チェックに必要な作業はセキュリティ管理者による分析結果の確認(件数の確認)だけとなり、必要な 工数とチェックミスの発生は、限りなく少なくなります。 - 52 - 6.3 監査ログ管理の構成を設計する 監査ログ管理機能は、収集対象となる各サーバ(業務サーバ、部門管理サーバ)と運用管理クライアント上にあるログファイルを、運用 管理サーバに収集し、一元管理する機能です。 ここでは、監査ログ管理機能の構成を設計するために必要な以下の項目について説明します。 ・ 構成例 ・ ログ収集対象期間 ・ ログファイルの管理方法 ・ ログファイルの転送方法 ・ 必要な設計項目 構成例 監査ログ管理機能を使用した場合の構成例を以下に示します。 運用管理サーバでのログ収集の例 運用管理サーバでログ収集を行う場合の設定方法については、“監査ログ管理の設定例”を参照してください。 全体監視サーバでのログ収集の例 - 53 - 運用管理サーバ上のログ収集について 運用管理サーバ上にあるログファイルを、他の運用管理サーバ(全体監視サーバ)へ収集する場合は、中継機能を利用します。 運用管理サーバ上に存在するログファイルは、その運用管理サーバ自身か、全体監視サーバで収集を行ってください。収集対象の 運用管理サーバを中継サーバにすることで、他の運用管理サーバ(全体監視サーバ)へ収集することができます。 ログ収集対象期間 監査ログ管理機能では、収集実施日から最大7日前までデータをさかのぼって収集します。 同じ日に複数回収集を行った場合は、前回収集したデータから当日分の差分データを収集します。 例)5/8にログ収集を実施した場合 5/1の0:00から5/8のログ収集を実施した時刻までのデータを収集します。 ログファイルの管理方法 収集対象となるログファイル内のログレコードを、ログレコードの日付単位に分割して管理します。 例)2006年の5月8日にログ収集を実施した場合 以下のようにデータを分割して管理します。 - 54 - ログファイルの転送方法 ログファイルの転送方法は、設定により変更が可能です。 転送方法を変更することにより、ログファイルの収集によるネットワーク占有を抑えることができます。 以下の項目を指定して、ログファイルの転送方法を変更します。 ・ 分割転送サイズ 分割転送サイズを指定することにより、1回のファイル転送サイズを指定できます 例) 収集対象のログファイルのサイズが130MB、分割転送サイズを70MBと指定している場合は、130MBのファイルを70MB、60MBに 分割して転送します。 ・ 転送間隔 転送間隔を指定することにより、収集対象のログファイルを連続で転送するのではなく、一定の間隔をおいて転送することができま す。 - 55 - 例) 30MBのログファイルが3個で、分割転送サイズを60MB、転送間隔を5秒と指定した場合は、2つのログファイル(合計60MB)の転送 を行った後、5秒間隔をおいてから、残りのログファイル(30MB)を転送します。 必要な設計項目 監査ログ管理機能を使用する場合は、以下の設計を行います。 ・ ハードウェア構成(中継サーバの使用の有無)、ネットワーク構成の設計 ・ 資源の見積もり ・ 収集するログファイルの決定 ・ 運用の設計(収集スケジュール、バックアップなど) ・ ログファイルの転送方法 収集するログファイルの種類や、設定・運用方法などの詳細については、“監査ログを管理する”を参照してください。 監査ログ管理機能を使用する場合は、以下のような構成や制限を実施するなどして、セキュリティについて考慮してください。また、中 継サーバについても同様の考慮をしてください。 ・ 運用管理サーバは、管理者以外は立ち入れない場所に設置する ・ 運用管理サーバへアクセスできるサーバを、パーソナルファイアウォール、ルータなどで制限する ・ 運用管理サーバを使用する利用者を制限する - 56 - 第3部 セキュリティを強化するための Systemwalkerの設定 第3部では、セキュリティを強化するための各機能について、設定手順を説明します。 第7章 セキュリティポリシーを設定する..............................................................................................................58 第8章 [Systemwalkerコンソール]の操作を制限する.........................................................................................77 第9章 Systemwalker Centric Managerの監査ログを出力する.........................................................................99 第10章 監査ログを管理する...........................................................................................................................112 第11章 監査ログを分析する...........................................................................................................................186 第12章 サーバへのアクセスを制御する..........................................................................................................321 - 57 - 第7章 セキュリティポリシーを設定する システムのセキュリティを強化するには、Systemwalker Centric Managerをインストールした後、設定が必要です。設定する方法には、 ファイルやコマンドを使用して配付する方法、セキュリティポリシーを作成して配付する方法があります。ここでは、セキュリティポリシー として設定する項目、および設定概要について説明します。ファイルやコマンドを使用した設定およびポリシー設定の詳細について は、“[Systemwalkerコンソール]の操作を制限する”、“Systemwalker Centric Managerの監査ログを出力する”、および“サーバへのア クセスを制御する”を参照してください。 セキュリティポリシーとは 運用管理サーバ上から、管理対象サーバと、これらに対する監査ログ出力および、サーバアクセス制御のポリシーを設定/管理するポ リシーをセキュリティポリシーといいます。 セキュリティポリシーでは、以下のポリシーを設定できます。 ・ 管理対象サーバのセキュリティ管理者/セキュリティ監査者の設定 管理対象サーバのセキュリティ管理者/セキュリティ監査者を設定します。 ・ 監査ログ出力 サーバアクセス制御の監査ログの出力設定を行います。 ・ サーバアクセス制御 コンソールログインやファイルアクセス等、一般的なサーバへのアクセス経路を監査/制御します。また、個別のネットワークポートや プロセスといった制御対象に対するサーバへのアクセス経路を監査/制御します。 7.1 セキュリティポリシーを設定する手順 セキュリティポリシー設定の流れは以下のとおりです。 1.事前準備を行う 2.[セキュリティポリシー]を作成する 3.ポリシーグループを作成する セキュリティポリシーを配付するために、ポリシーグループを作成します。手順は“ポリシーグループを作成 する”を参照してください。 4.ポリシーを配付する セキュリティポリシーを配付します。配付方法は“ポリシーを配付する”を参照してください。 5.配付状況を確認する セキュリティポリシーの配付状況を確認します。確認方法は“ポリシーの配付状況を確認する”を参照してく ださい。 セキュリティポリシー セキュリティポリシーには、以下の2種類のモードがあります。 - 58 - ・ スタンダードモード 配付先のサーバ(ノード)を設定するだけで、[監査ログ出力]、 および[サーバアクセス制御]に関するセキュリティポリシーを初期値 のままで運用できるモードです。 初期値を変更することも可能です。 ・ カスタムモード センタ固有の環境や用件に合わせて、[サーバアクセス制御]のセキュリティポリシーを個別に設定を行うモードです。 [監査ログ出力]については、スタンダードモードとの差異はありません。 スタンダードモードとカスタムモードで使用できるセキュリティポリシーの項目は、以下のとおりです。 セキュリティポリシーの項目 ロール設定 (注1) スタンダード モード カスタムモー ド セキュリティ管理者設定 ○ ○ セキュリティ監査者設定 (注2) ○ ○ 監査ログ出力 (注 1) 出力定義 ○ ○ サーバアクセス制 御 (注1) アクセス制御 コンソールログイン ○ ○ ネットワークログイン(注3) ○ ○ ネットワーク接続(Linuxのみ) ○ ○ suコマンドの実行(Linuxのみ) ○ - レジストリ(Windowsのみ) ○ ○ ファイル ○ ○ プロセス - ○ ○ ○ 録画設定(Linuxのみ) (注2) ○: 設定する -: 設定対象外 注1) Windows(R) 2000ではサポートしていません。 Windows(R) 2000のサーバを配付対象に設定した場合、[セキュリティポリシー[管理]]画面の[配付状況]タブにおいて、[配付対象 外]と表示されます。 注2) V13.3.0ではサポートしていません。 - 59 - V13.3.0のLinuxのサーバを配付対象に設定した場合、[セキュリティポリシー[管理]]画面の[配付状況]タブにおいて、[配付対象 外]と表示されます。 注3) V13.3.0ではサポートしていません。 [ネットワークログイン]を保護対象種別とする[アクセス制御]ポリシーをV13.3.0のLinuxのサーバに配付した場合、アクセス制御の対 象となる[ネットワークログイン]の操作を行っても、アクセス制御の機能は動作しません。 ポリシーグループ セキュリティポリシーは、センタ個々の環境や要件に合わせて設定できます。セキュリティポリシーと対象サーバを関係付け、同じ目的 のポリシーとしてグループ化したものをポリシーグループと呼びます。 ポリシーグループでは、以下のポリシー管理ができます。 ・ 同じようなセキュリティ内容としたいノードを一括してポリシー定義/配付が可能です。 ・ ポリシーの配付状況をポリシーグループ単位で確認できます。 また、運用時にセキュリティポリシーの変更が必要となった場合は、該当するセキュリティポリシーだけを変更してポリシーを配付するこ とができます。そのため、運用の変更が簡単に対応できます。 以下に、ポリシーグループの考え方を示します。 ポリシーグループAの“Webサーバのポリシー”では、以下のセキュリティポリシーをグルーピングし、サーバ1、2にポリシーを配付します。 [ロール設定] ・ セキュリティ管理者設定 ・ セキュリティ監査者設定 [監査ログ出力] ・ サーバアクセス制御のアクセス監査ログ [サーバアクセス制御] ・ Webサーバ上のアクセス制御 - 60 - 事前準備を行う 必要な事前準備について説明します。 ポリシー定義/配付のための事前準備を行う セキュリティポリシーを定義/配付する前に、以下の設定が完了していることを確認します。完了していない場合は、“Systemwalker Centric Manager 使用手引書 監視機能編”の”事前準備を行う”を参照して設定してください。 ・ [Systemwalkerコンソール]を使用するための設定 ・ Systemwalkerの利用者権限を定義する ・ セキュリティポリシーを設定するノードを登録する セキュリティ管理者/セキュリティ監査者を設定する 運用管理サーバのセキュリティ管理者/セキュリティ監査者を設定します。設定の方法については、“セキュリティ管理者/監査者を設定 する”を参照してください。 セキュリティポリシーを作成する [セキュリティポリシー]を作成する手順について説明します。 1. セキュリティ管理者で[Systemwalkerコンソール]を起動します。 [スタート]メニューから[プログラム]-[Systemwalker Centric Manager]-[Systemwalkerコンソール]を選択します。 2. システム管理者、セキュリティ管理者が同一の場合は、[機能選択]で[編集]を選択します。 →[Systemwalkerコンソール[編集]]画面が表示されます。 システム管理者、セキュリティ管理者が異なる場合は、[機能選択]で[監視]を選択します。 →[Systemwalkerコンソール[監視]]画面が表示されます。 - 61 - 3. [ポリシー]メニューから[セキュリティ]-[セキュリティポリシー]を選択します。 →[セキュリティポリシー[管理]]画面が表示されます。 セキュリティポリシーのカスタムモードを使用する場合、[オプション]メニューの[カスタムモード表示]を“ON”にします。 4. [セキュリティポリシー[管理]]画面で、以下のセキュリティポリシーを設定します。 - ロール設定 - セキュリティ管理者設定 - セキュリティ監査者設定 - 監査ログ出力 - 出力定義 - サーバアクセス制御 - アクセス制御 - 録画設定 7.2 セキュリティ管理者/監査者を設定する Systemwalker Centric Managerのインストール直後には、運用管理サーバのセキュリティ管理者、セキュリティ監査者は設定されていま せん。セキュリティ管理者およびセキュリティ監査者はシステム管理者と兼任となっています。セキュリティポリシーを作成する場合、セ キュリティ管理者の設定が必要です。 セキュリティ管理者およびセキュリティ監査者を設定する手順を説明します。 - 62 - セキュリティ管理者(運用管理サーバ) 運用管理サーバのセキュリティ管理者を設定します。 セキュリティ管理者を設定するには、“セキュリティの構成を設計する”の“セキュリティ管理者”に従い、ユーザをロールに追加してくだ さい。ロールの追加方法については、“Systemwalker Centric Manager 使用手引書 監視機能編”の“Systemwalkerの利用者権限を定 義する”を参照してください。 セキュリティ管理者が設定されていない場合は、UNIX版の運用管理サーバではroot、Windows版の運用管理サーバではAdministrators グループに所属するユーザが行ってください。 セキュリティ管理者が設定されている場合は、セキュリティ管理者が行ってください。 1. [Systemwalkerコンソール]を起動します。 root/Administratorsグループに所属するユーザが実施する場合は、[機能選択]で[編集]を選択します。セキュリティ管理者が実 施する場合は、[機能選択]で[監視]を選択します。 2. [Systemwalkerコンソール]の[ポリシー]メニューから[セキュリティ]-[利用者のアクセス権設定]を選択します。 →[ロール一覧]ダイアログボックスが表示されます。[ロール一覧]には、登録されている[ロール名]および[説明]が表示されます。 3. ロール名“SecurityAdmin”を選択し、[プロパティ]ボタンをクリックします。 →[ロール情報]ダイアログボックスが表示されます。[アクセス権設定一覧]に、現在設定されているセキュリティ管理者が表示さ れます。 - 63 - 4. セキュリティ管理者を追加するため、[ロール情報]ダイアログボックスの[ユーザーID一覧]から追加するユーザーIDを選択し、[追 加]ボタンをクリックします。 →追加されたユーザーIDを含め、現在設定されているセキュリティ管理者の一覧が[アクセス権設定一覧]に表示されます。 セキュリティ管理者の追加が完了した後、[ロール情報]ダイアログボックスの[OK]ボタンをクリックします。 5. [ロール一覧]ダイアログボックスで[閉じる]ボタンをクリックします。 6. [Systemwalkerコンソール]を終了します。 システム管理者とセキュリティ管理者が別々の場合、セキュリティ管理者は Systemwalker コンソールの[監視]モードから操作を 行います。初期設定では非表示にしているメニューのため、手順7.から手順9.のメニュー表示設定を行う必要があります。これら の設定は、root/Administratorsグループに所属するユーザで実行してください。 7. セキュリティ管理者のメニュー表示設定をファイルに出力します。 実行例を以下に示します。-rオプションには、セキュリティ管理者を加えたロールを指定します。 例) MpBcmMenuSetup -out -r DmReference -f c:\tmp\DmReferenceMenu.dat - 64 - 8. セキュリティ管理者に対してメニュー表示する項目を編集します。 手順7.で出力されたファイルを編集します。編集例を以下に示します。例に示す「POLICY」に関する4行について先頭に「#」を 記述してください。 例) [HIDE_MENUID] #表示するメニューID (中略) #POLICY #ポリシー(P) (中略) #POLICY_SECURITY #セキュリティ(S) #POLICY_SECURITY_POLICY #セキュリティポリシー(S)... #POLICY_ACCESS_CTRL #利用者のアクセス権設定(C)... 9. セキュリティ管理者のメニュー表示設定の反映を行います。 実行例を以下に示します。-uオプションには追加したセキュリティ管理者を指定します。-fオプションには、手順8.で編集したファ イルを指定します。 例) MpBcmMenuSetup -in -u SecAdminUser -f c:\tmp\DmReferenceMenu.dat MpBcmMenuSetup([Systemwalkerコンソール]のメニュー表示設定コマンド)の詳細については、“Systemwalker Centric Manager リファ レンスマニュアル”を参照してください。 注意 Windows版で監査ログ管理と監査ログ分析の機能/コマンドを使用する場合は、Administratorsグループに所属しているユーザーをセ キュリティ管理者に設定する必要があります。 セキュリティ監査者(運用管理サーバ) セキュリティ管理者が、運用管理サーバのセキュリティ監査者を設定します。 セキュリティ監査者の設定については、“セキュリティの構成を設計する”の“セキュリティ監査者”に従い、ユーザをロールに追加してく ださい。ロールの追加方法については、“Systemwalker Centric Manager 使用手引書 監視機能編”の“Systemwalkerの利用者権限を 定義する”を参照してください。 1. [Systemwalkerコンソール]を起動します。 システム管理者、セキュリティ管理者が同一の場合は、[機能選択]で[編集]を選択します。システム管理者、セキュリティ管理者 が異なる場合は、[機能選択]で[監視]を選択します。 2. [Systemwalkerコンソール]の[ポリシー]メニューから[セキュリティ]-[利用者のアクセス権設定]を選択します。 →[ロール一覧]ダイアログボックスが表示されます。[ロール一覧]には、登録されている[ロール名]および[説明]が表示されます。 3. ロール名“SecurityAuditor”を選択し、[プロパティ]ボタンをクリックします。 →[ロール情報]ダイアログボックスが表示されます。[アクセス権設定一覧]に、現在設定されているセキュリティ監査者が表示さ れます。 4. セキュリティ監査者を追加するため、[ロール情報]ダイアログボックスの[ユーザ一覧]から追加するユーザーIDを選択し、[追加] ボタンをクリックします。 →追加されたユーザーIDを含め、現在設定されているセキュリティ監査者の一覧が[アクセス権設定一覧]に表示されます。 5. セキュリティ監査者の追加が完了した後、[ロール情報]ダイアログボックスの[OK]ボタンをクリックします。 [ロール一覧]ダイアログボックスで[閉じる]ボタンをクリックします。 - 65 - 6. [Systemwalkerコンソール]を終了します。 システム管理者とセキュリティ監査者が別々の場合、セキュリティ監査者は Systemwalker コンソールの[監視]モードから操作を 行います。初期設定では非表示にしているメニューのため、手順7.から手順9.のメニュー表示設定を行う必要があります。これら の設定は、root/Administratorsグループに所属するユーザで実行してください。 7. セキュリティ監査者のメニュー表示設定をファイルに出力します。 実行例を以下に示します。-rオプションには、セキュリティ監査者を加えたロールを指定します。 例) MpBcmMenuSetup -out -r DmReference -f c:\tmp\DmReferenceMenu.dat 8. セキュリティ監査者に対してメニュー表示する項目を編集します。 手順7.で出力されたファイルを編集します。編集例を以下に示します。例に示す「POLICY」に関する4行について先頭に「#」を 記述してください。 例) [HIDE_MENUID] #表示するメニューID (中略) #POLICY #ポリシー(P) (中略) #POLICY_SECURITY #セキュリティ(S) #POLICY_SECURITY_POLICY #セキュリティポリシー(S)... #POLICY_ACCESS_CTRL #利用者のアクセス権設定(C)... 9. セキュリティ監査者のメニュー表示設定の反映を行います。 実行例を以下に示します。-uオプションには追加したセキュリティ監査者を指定します。-fオプションには、手順8.で編集したファ イルを指定します。 例) MpBcmMenuSetup -in -u SecAdminUser -f c:\tmp\DmReferenceMenu.dat MpBcmMenuSetup([Systemwalkerコンソール]のメニュー表示設定コマンド)の詳細については、“Systemwalker Centric Manager リファ レンスマニュアル”を参照してください。 セキュリティ管理者(管理対象サーバ) 管理対象サーバにサーバアクセス制御機能がインストールされている場合、管理対象サーバのセキュリティ管理者/監査者を設定する ことができます。 インストールされていない場合は、システム管理者がセキュリティ管理者/監査者の役割を兼任します。 運用管理サーバのセキュリティ管理者が、管理対象サーバのセキュリティ管理者/監査者のポリシーを作成し、管理対象サーバに配付 して設定します。 - 66 - 1. [Systemwalkerコンソール]の[ポリシー]メニューから[セキュリティ]-[セキュリティポリシー]を選択します。 →[セキュリティポリシー]画面が表示されます。 2. [設定対象ツリー]から、[セキュリティポリシー]-[ポリシー]-[ロール設定]-[セキュリティ管理者設定]を選択します。 3. [操作]メニューの[新規作成]を選択します。 →[セキュリティポリシー[ポリシーの作成]]画面が表示されます。 - 67 - 4. [プラットフォーム]を選択し、[ポリシー名]、[コメント]を入力し、[OK]ボタンをクリックします。 →[セキュリティ管理者設定]画面が表示されます。 5. [ユーザ一覧からの追加]ボタンをクリックします。 →[ユーザ一覧]画面が表示されます。 [ホスト名]をプルダウンメニューから選択するか、または入力します。 [ユーザ]には、[ホスト名]に指定したサーバに存在するユーザが表示されます。 6. セキュリティ管理者に設定するユーザを選択し、[OK]ボタンをクリックします。 7. [OK]ボタンをクリックします。 管理対象サーバへポリシーを配付した後、管理対象サーバのセキュリティ管理者の設定が有効となります。 - 68 - 注意 Windows版で監査ログ管理と監査ログ分析の機能/コマンドを使用する場合は、Administratorsグループに所属しているユーザーをセ キュリティ管理者に設定する必要があります。 セキュリティ監査者(管理対象サーバ) 1. [Systemwalkerコンソール]の[ポリシー]メニューから[セキュリティ]-[セキュリティポリシー]を選択します。 →[セキュリティポリシー]画面が表示されます。 2. [設定対象ツリー]から、[セキュリティポリシー]-[ポリシー]-[ロール設定]-[セキュリティ監査者設定]を選択します。 3. [操作]メニューの[新規作成]を選択します。 →[セキュリティポリシー[ポリシーの作成]]画面が表示されます。 4. [プラットフォーム]を選択し、[ポリシー名]、[コメント]を入力し、[OK]ボタンをクリックします →[セキュリティ監査者設定]画面が表示されます。 5. [ユーザ一覧からの追加]ボタンをクリックします。 →[ユーザ一覧]画面が表示されます。 [ホスト名]をプルダウンメニューから選択するか、または入力します。 [ユーザ]には、[ホスト名]に指定したサーバに存在するユーザが表示されます。 6. セキュリティ監査者に設定するユーザを選択し、[OK]ボタンをクリックします。 7. [OK]ボタンをクリックします。 管理対象サーバへポリシーを配付した後、管理対象サーバのセキュリティ監査者が有効となります。 7.3 セキュリティポリシーを設定する セキュリティポリシーは、運用形態に応じて以下の設定を行います。 ・ 全ノードを初期設定で運用する場合 ・ サーバごとにポリシーを設定して運用する場合 ・ バージョンアップしてポリシーを再設定する場合 - 69 - 全ノードを初期設定で運用する場合 Systemwalker Centric Manager をインストールするだけで、すぐに運用を開始したい場合に使用します。専用のセキュリティ管理者/監 査者をおかず、監査ログ出力、アクセス制御、録画設定などを初期設定のままで運用します。 手順 1. [Systemwalkerコンソール]から[ポリシー]メニューの[セキュリティ]-[セキュリティポリシー]を選択し、セキュリティポリシー[管理]画 面を起動します。 - 70 - 2. [設定対象]ツリーで[ポリシーグループ]フォルダを選択し、[新規作成]ボタンをクリックします。 →[セキュリティポリシー[ポリシーグループの登録]]画面が起動します。 3. [監査ログ出力]、[サーバアクセス制御]の各ポリシーについて、配付先のノードのプラットフォームに対応した初期設定を選択し ます。 - 71 - 4. [配付先]タブを選択し、[追加]ボタンをクリックします。 5. セキュリティポリシー[配付先の追加]画面で、ノードまたはフォルダ(複数選択可)を選択して[追加]ボタンをクリックします。ポリ シーを配付するサーバの設定が完了したら[OK]ボタンをクリックします。 6. [セキュリティポリシー[ポリシーグループの登録]]画面で[OK]ボタンをクリックし、[セキュリティポリシー[設定内容の確認]]画面で 確認をした後、[はい]ボタンをクリックして、ポリシーグループを追加します。 - 72 - 7. [セキュリティポリシー[管理]]画面で、[全て配付]ボタンをクリックし、ポリシーを配付します。 →[セキュリティポリシー[配付結果]]画面が表示され、ポリシー配付が完了します。 サーバごとにポリシーを設定して運用する場合 サーバごとに個別のポリシーを設定したい場合に使用します。各ノードの構成情報を調査/分類し、計画的にポリシーグループを作成 します。 手順 1. 管理対象のノードの構成情報を調査/分類します。 論理ツリー(ノード管理ツリー、業務管理ツリー)を作成します。構成情報ごとにフォルダを作成し、ノードを分類します。 2. [Systemwalkerコンソール]から[ポリシー]メニューの[セキュリティ]-[セキュリティポリシー]を選択し、セキュリティポリシー[管理]画 面を起動します。 3. [オプション]メニューの[カスタムモード表示]を選択し、カスタムモードに変更します。 4. カスタマイズが必要な種類のポリシーを事前に作成します。 5. [設定対象]ツリーで[ポリシーグループ]フォルダを選択し、[新規作成]ボタンをクリックして、[セキュリティポリシー[ポリシーグルー プの登録]]画面を起動します。 6. 4. で作成したセキュリティポリシーを選択します。 7. [配付先]タブを選択し、[追加]ボタンをクリックして、セキュリティポリシー[配付先の追加]画面を表示します。 8. 1. で作成した論理ツリーから、フォルダ(複数選択可)を選択して[追加]ボタンをクリックします。追加が完了したら[OK]ボタンをク リックします。 - 73 - 9. [セキュリティポリシー[ポリシーグループの登録]]画面で[OK]ボタンをクリックし、ポリシーグループを追加します。 10. 類似のポリシーグループを作成する場合は、8. で追加したポリシーグループを複写し、設定が異なるポリシーだけを変更します。 11. 4. ~ 9. の作業を繰り返します。 12. すべてのポリシーグループを作成した後、[セキュリティポリシー[管理]]画面で、[全て配付]ボタンをクリックし、ポリシーを配付し ます。 →[セキュリティポリシー[配付結果]]画面が表示され、ポリシー配付が完了します。 バージョンアップしてポリシーを再設定する場合 Systemwalker Centric Manager V13.3.0で作成したサーバアクセス制御のポリシーは、サーバアクセス制御の“アクセス制御”ポリシー、 監査ログ出力の”出力定義”ポリシーの“アクセス監査ログ”の設定として引き続き使用することができます。ただし、ポリシーの割り当て 情報(サーバとポリシーの情報の関連付け)は引き継がれません。ポリシーグループを作成し、サーバアクセス制御のポリシーの配付 先サーバを再設定する必要があります。ポリシーグループの作成については、“ポリシーグループを作成する”を参照してください。 7.4 ポリシーグループを作成する 設定したセキュリティポリシーを配付するために、ポリシーグループを作成します。 1. セキュリティ管理者で[Systemwalkerコンソール]を起動します。 システム管理者、セキュリティ管理者が同一の場合は、[機能選択]で[編集]を選択します。システム管理者、セキュリティ管理者 が異なる場合は、[機能選択]で[監視]を選択します。 2. [Systemwalkerコンソール]画面の[ポリシー]メニューから[セキュリティ]-[セキュリティポリシー]を選択します。 →[セキュリティポリシー[管理]]画面が表示されます。 - 74 - 3. ポリシーグループを作成する [設定対象]ツリーで、セキュリティポリシーグループを選択し、右クリックして[新規作成]をクリックします。 →[セキュリティポリシー[ポリシーグループの登録]]画面が表示されます。 4. ポリシーグループを設定する ポリシーグループ名および各種ポリシーを設定します。 5. 配付先ノードを設定する a. ポリシー内容の設定が完了したら[配付先]タブをクリックします。 b. [配付先]タブで[追加]ボタンをクリックします。 c. [セキュリティポリシー[配付先の追加]]画面で配付先ノードを選択し、[OK]ボタンをクリックします。 6. [OK]ボタンをクリックし、ポリシーグループを登録する 7. ポリシーグループの設定内容を確認する 設定内容が正しいことを確認し、[はい]ボタンをクリックします。 →セキュリティポリシー[管理]画面にポリシーグループが登録されます。 7.5 ポリシーを配付する 作成したポリシーグループをサーバに配付して、セキュリティポリシーを反映します。 1. [Systemwalkerコンソール]を更新権(DmAdmin)ユーザで起動し、[ポリシー]-[セキュリティ]-[セキュリティポリシー]メニューを選択 して、[セキュリティポリシー[管理]]画面を起動します。 2. [全て配付]ボタンをクリックするか、ポリシーグループを選択して[配付]ボタンをクリックし、[セキュリティポリシー[配付の確認]]画 面を表示します。 3. ポリシーの設定をしてよいかの確認画面が表示されるので、[はい]ボタンをクリックし、ポリシーを配付します。 4. ポリシーの配付がすべて正常に完了すると、セキュリティポリシー[配付結果]画面が表示されます。 - 75 - 7.6 ポリシーの配付状況を確認する 設定したセキュリティポリシーが管理対象サーバへ配付されたことを、[セキュリティポリシー[管理]]画面で確認します。 1. [Systemwalkerコンソール]を更新権(DmAdmin)をもつユーザで起動し、[ポリシー]-[セキュリティ]-[セキュリティポリシー]メニュー を選択して、[セキュリティポリシー[管理]]画面を起動します。 2. [配付状況]のタブをクリックして、ポリシーグループの配付状況一覧を表示します。 - 76 - 第8章 [Systemwalkerコンソール]の操作を制限する [Systemwalkerコンソール]での操作を制限する場合の設定手順について説明します。 8.1 [Systemwalkerコンソール]のアクセス権の考え方 Systemwalker Centric Managerは、セキュリティのため、画面のアクセス権やツリーへのアクセス権をユーザごとに定義することができま す。ここでは、以下の構成でアクセス権の定義方法を説明します。 ・ [Systemwalkerコンソール]のアクセス権 ・ セキュリティを高めた監視を行う場合の設定 [Systemwalkerコンソール]のアクセス権 Systemwalker Centric Managerの各機能を利用するために必要な権限を、利用者ごとに設定することができます。Systemwalker Centric Managerは、ロールという単位で各機能の利用権限を定義しています。ロールとは、共通の役割(権限)を持つ利用者から構成されるグ ループのことです。Systemwalker Centric Managerをインストールすると、以下のロールが登録されます。 表8.1 機能の使用を許可するためにユーザを所属させるロール ロール名 説明 使用機能 DmAdmin 監視機能の管理系ロール DmOperation 監視機能の操作系ロール DmReference 監視機能の参照系ロール OrmOperation(注) 返答機能の操作系ロール 返答操作のコマンド SecurityAdmin セキュリティ管理者 SecurityAuditor セキュリティ監査者 [Systemwalkerコンソール]、 サーバアクセス制御、監査 ログ分析を使用するには 同時にDmReference、 DmOperationまたは DmAdminロールに所属し ている必要があります。 [Systemwalkerコンソール] 注)Solaris版、Linux版で登録されます。 管理者は、ユーザを上記のロールに適宜所属させてください。所属させるロールの種類により、ユーザが使用できる機能と利用権限 が決まります。ロールと利用可能な機能の関係は、以下のとおりです。 ・ [Systemwalkerコンソール]の監視機能を使用するために必要な権限については、“Systemwalker Centric Manager 使用手引書 監 視機能編”の“[Systemwalkerコンソール]のメニュー項目”を参照してください。 ・ [Systemwalkerコンソール]の編集機能を使用するためには、DmAdminロールに所属している必要があります。 ・ [システム監視設定]ダイアログボックスを起動するためには、DmAdminロールに所属している必要があります。[システム監視設 定]ダイアログボックスについては、“Systemwalker Centric Manager 使用手引書 監視機能編”の“イベント監視の条件を設定する” の“サーバに直接接続して環境定義を行う場合”を参照してください。 ・ DmAdminは、DmOperation、DmReference、OrmOperationの権限を含んでいます。 ・ DmOperationは、DmReference、OrmOperationの権限を含んでいます。 ・ 返答操作のコマンドの詳細は、“Systemwalker Centric Manager リファレンスマニュアル”の“返答メッセージ用コマンドの概要【UNIX 版】”を参照してください。 “機能の使用を許可するためにユーザを所属させるロール”に記載したロールに所属していない一般のユーザは、Systemwalker Centric Managerの機能を使用できません。[Systemwalkerコンソール]を起動するユーザを、“機能の使用を許可するためにユーザを所属させ るロール”に記載したロールに所属させるか、Administratorsグループに所属させてください。 [Systemwalkerコンソール]を起動するユーザについては、“Systemwalker Centric Manager 使用手引書 監視機能編”の“Systemwalker の利用者権限を定義する”を参照してください。 - 77 - 【UNIXの場合】 スーパーユーザは、セキュリティ情報の設定(ロールへの所属、ツリーに対するアクセス権の設定)の実施にかかわらず、アクセス制御 の対象外として常に更新権を持つユーザとして扱われます。 【Windows(R)の場合】 Administratorsグループに所属するユーザは、セキュリティ情報の設定(ロールへの所属、ツリーに対するアクセス権の設定)の実施に かかわらず、アクセス制御の対象外として常に更新権を持つユーザとして扱われます。 注意 運用管理クライアントから以下の運用管理サーバへ接続する場合の注意事項 ・ Windows Server 2003 STD ・ Windows Server 2003 DTC ・ Windows Server 2003 EE ・ Windows Server 2008 STD ・ Windows Server 2008 DTC ・ Windows Server 2008 EE ・ Windows Server 2008 for Itanium-Based Systems ・ Windows Server 2008 Foundation ・ Windows Server 2008 R2 OSのセキュリティポリシーで、「アカウントの空のパスワードの使用をコンソールログオンのみに制限する」を「有効」としていた場合、パ スワードが空のアカウントは、Systemwalker Centric Managerのユーザ認証でエラーとなります。 運用管理クライアントがインストールされたWindows端末にログオンする場合 運用管理クライアントがWindows(R) XP、Windows Vista、またはWindows 7の場合は、運用管理クライアントのDmAdmin、DmOperation、 DmReference、またはAdministratorsのどれかのグループに所属するローカルユーザでWindows端末にログオンする必要があります。 ただし、Windows VistaまたはWindows 7で、ユーザアカウント制御(UAC)が有効になっている場合には、DmAdmin、DmOperation、ま たはDmReferenceのどれかのグループに所属するローカルユーザでWindows端末にログオンする必要があります。 運用時には、DmReferenceグループに所属するローカルユーザでWindows端末にログオンすることを推奨します。 セキュリティを高めた監視を行う場合の設定 以下の運用を検討されている場合、セキュリティをより高めた監視を行うことを推奨します。 1. 監視ツリーごとにオペレータを分けて監視を行う場合 2. 同一の監視ツリーを複数のオペレータが監視するが、オペレータごとに作業、または監視対象が異なる場合 3. オペレータごとに使用できる[Systemwalkerコンソール]のメニューを限定したい場合 4. オペレータごとに監視するノードなどのオブジェクトを限定したい場合 セキュリティをより高めた監視を行うには、以下の設定を行ってください。 ・ ユーザ権限の設定 ・ メニュー抑止の設定 ユーザ権限の設定 管理者、オペレータ、および資源配付の管理者(資源配付のオペレータを含む)のユーザ名をそれぞれ決定してください。各ユーザ の役割は、以下のとおりです。 - 78 - ・ 管理者 Systemwalker Centric Managerのすべての資源に対し、更新、操作、参照できる特権ユーザ。導入時の初期設定や構成情報/ポリ シーの変更などを行うユーザ。 ・ オペレータ 通常の監視操作を行い、特定の資源に対しての操作、参照が行えるユーザ。更新権は付与されていないが、監視時にリモートコ マンドの発行やイベントの対処などを行うユーザ。 ・ 資源配付の管理者(資源配付のオペレータを含む) 資源配付機能を利用するユーザ。 なお、資源配付の操作は、コンソール操作制御の対象ではないため、[Systemwalkerコンソール]からは使用せず、スタートメニュー から使用してください。 管理者およびオペレータに対して、それぞれ以下の設定を行ってください。 ・ 管理者 【付与するロールおよび権限】 - DmAdmin - DistributionAdmin ・ オペレータ 【付与するロールおよび権限】 - DmOperation または、DmReference 操作、参照ユーザの場合は、「DmOperation」、参照ユーザの場合は、「DmReference」を付与してください。 メニュー抑止の設定 以下のメニューについて、上記「ユーザ権限の設定」の「オペレータ」が実行できないようにするため、DmAdminロールに所属するユー ザのみが実行できるようコンソール操作制御機能で設定してください。定義方法は、“コンソール操作制御機能で認証する”を参照し てください。 [オブジェクト]メニュー ・ ノード情報をCSV形式で保存 [イベント]メニュー ・ 監視イベントログをCSV形式で保存 [操作]メニュー ・ IP NetMGR-構成情報検索 ・ ブレードサーバ管理画面-指定ノード ・ 性能情報の出力 ・ 利用者管理 ・ ノード中心マップ型の表示 ・ ペアノード経路マップ型の表示 ・ バッチ業務 ・ IP NetMGR-構成情報 ・ ブレードサーバ管理画面-全ノード ・ ユーザ登録メニュー(注) ・ 連携製品の起動 注)操作メニュー登録画面または、「mpaplreg(監視画面のメニュー項目登録コマンド)」から登録したメニューです。 - 79 - 上記のメニューは、表示している監視ツリーに含まれないオブジェクトについて参照/操作/更新が可能です。監視ツリーに含まれない オブジェクトを参照/操作/更新させない運用をするために、本設定を行う必要があります。 インベントリ情報を参照する機能を使用する場合 以下の画面および機能においてインベントリ情報を参照するには、コンソール操作制御機能が運用中でない場合に使用してください。 ・ [インベントリ情報で検索]画面 ・ [ソフトウェア修正管理]画面からインベントリ情報を表示する 8.2 コンソール操作制御機能で認証する コンソール操作制御機能で認証する場合の設定方法・運用方法について説明します。 注意 コンソール操作制御機能の注意事項 所属するロールにより制限されている操作については、コンソール操作制御機能の設定を行っても利用することはできません。 コンソール操作制御の認証方式 コンソール操作制御では、以下の方式で認証できます。 ・ ログインIDでの操作の保護 ・ 操作ごとの保護 ログインIDでの操作の保護 システム管理者やオペレータごとに運用管理クライアント用の端末が割り当てられており、各担当者にSystemwalkerにログインするID を割り当てる場合や、操作する資源ごとに専用の運用管理クライアントが存在し、運用管理クライアントごとにログインするIDを割り当て る場合など、[Systemwalkerコンソール]にログインするユーザごとに操作の制限を行う場合に使用します。 ログインIDでの操作の保護をする場合、以下の手順で設定してください。 1. マネージャの環境設定 2. 操作制御マネージャ起動条件記述ファイルの作成 操作制御マネージャ起動条件記述ファイルの定義例 3. ファイルの変換 操作ごとの保護 操作ごとの保護では、[Systemwalkerコンソール]で操作を行うときに操作を行う人のID(ユーザ名)の入力が必要です。コンソール操作 制御では、入力されたユーザ名に対して選択した操作が実行可能かの判定を行います。 運用管理クライアントをオペレータやシステム管理者が共同で使用するなど、[Systemwalkerコンソール]は常時起動した状態で運用し、 操作を行うユーザごとに操作を制限する場合に使用します。また、複数の運用管理サーバを監視するために、1台の運用管理クライア ントで[Systemwalkerコンソール]の画面を複数表示できます。 操作ごとの保護をする場合、以下の手順で設定してください。 1. マネージャの環境設定 2. 操作制御マネージャ起動条件記述ファイルの作成 3. ファイルの変換 4. 操作制御マネージャ起動条件記述ファイルの定義例 - 80 - 5. 操作を行う担当者のユーザ名をシステムに登録する 6. 運用管理クライアントの環境設定 7. 操作ごとの保護を使用する場合の操作 8.2.1 マネージャの環境設定 コンソール操作制御機能で認証を行う運用を開始/停止する 運用の開始/停止は、運用管理サーバ上で操作制御マネージャ起動条件記述ファイルを編集することで行います。 運用を開始する前に、監査ログを出力する設定を行ってください。コンソール操作制御機能の操作を判定した結果は監査ログに出力 します。 なお、監査ログ出力の設定方法は、“Systemwalkerコンソール/コンソール操作制御の監査ログ”を参照してください。 以下に手順を示します。 1. 操作を行う担当者のユーザ名をシステムのユーザアカウントとして登録する 操作を行う担当者のユーザ名をシステムのユーザアカウントとして登録し、Systemwalker Centric Manager のロール(DmAdmin/DmOperation/DmReferenceのどれか)に所属させます。 ユーザアカウントの登録については、“操作を行う担当者のユーザ名をシステムに登録する”を参照して ください。 2. 操作制御マネージャ起動条件記述ファイルの作成 ・コンソール操作制御機能を使用した運用を開始する場合、操作制御マネージャ起動条件記述ファイ ルで、コンソール操作制御機能の実施有無のcheck_consoleに“y”を指定します。 ・コンソール操作制御機能を使用した運用を停止する場合、操作制御マネージャ起動条件記述ファイ ルで、コンソール操作制御機能の実施有無のcheck_consoleに“n”を指定します。 操作制御マネージャ起動条件記述ファイルについては、“操作制御マネージャ起動条件記述ファイル の作成”を参照してください。 3. ファイルの変換 操作制御マネージャ起動条件記述ファイルを、操作制御マネージャ起動条件ファイルに変換します。 変換方法については、“ファイルの変換”を参照してください。 4. Systemwalker Centric Managerの再起動 Systemwalker Centric Manager の起動/停止方法については、“Systemwalker Centric Manager導入手 引書”を参照してください。 コンソール操作制御機能の運用状態を確認する 運用管理サーバ上で操作制御運用状態確認コマンド(idorcstatus)を実行することで、コンソール操作制御機能の運用状態を確認し ます。 以下に操作制御運用状態確認コマンドの実行例を示します。 [コンソール操作制御機能が運用中の場合] - 81 - /opt/FJSVsopct/bin/idorcstatus Operation Control is started. [コンソール操作制御機能が停止中の場合] /opt/FJSVsopct/bin/idorcstatus Operation Control is stopped. idorcstatus(操作制御運用状態表示コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照して ください。 設定した内容で認証の動作を確認する 操作制御マネージャ起動条件記述ファイルで設定した操作について動作確認します。意図した動作とならない場合は、監査ログで操 作の判定の結果を確認し、操作制御マネージャ起動条件記述ファイルの該当する個所を再編集してください。 ログインIDでの操作の保護機能では、以下の場合、操作権限の判定で使用するログインIDはOSにログインしたユーザ名になります。 ・ Windows版の運用管理サーバ ・ 運用管理クライアントの[ログイン]画面で、[ログインユーザを指定する]のチェックをOFFにした場合 運用中にユーザの追加、操作レベルの変更を行う ユーザの追加、操作レベルの変更は、運用管理サーバ上で操作制御マネージャ起動条件記述ファイルを編集することで行います。 作業の実施前には、変更対象のユーザ名で[Systemwalkerコンソール]にログインし、ユーザが使用するツリーおよび、リモートコマンド グループ定義/カスタマイズ情報などの各種定義情報を設定したあとに、コンソール操作制御機能を設定してください(該当のメニュー を使用できなくする前に必要な設定は行ってください)。 ポイント ユーザが使用するツリーおよび、リモートコマンドグループ定義/カスタマイズ情報などは、mpbcmcopyuserinfo([Systemwalkerコンソー ル]のユーザ定義情報複写コマンド)で他のユーザからコピーすることができます。mpbcmcopyuserinfo(ユーザ定義情報複写コマンド) の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 以下に手順を示します。 1. 操作制御マネージャ起動条件記述ファイルの編集 操作制御マネージャ起動条件記述ファイルでユーザ情報、操作レベルを編集します。編集する内容 については、“操作制御マネージャ起動条件記述ファイルの作成”を参照してください。 2. ファイルの変換 操作制御マネージャ起動条件記述ファイルを、操作制御マネージャ起動条件ファイルに変換します。 変換方法については、“ファイルの変換”を参照してください。 ユーザの追加/削除、操作レベルの変更および定義を間違えた場合の修正の反映は、Systemwalker Centric Managerの再起動は必 要ありません。 Systemwalker Web連携からの操作を使用できなくする Systemwalker Web連携からの操作は、コンソール操作制御の対象外です。Systemwalker Web連携からの操作を使用できなくする場 合は、下記の手順に従って、WebサーバからSystemwalker Web連携の仮想ディレクトリの設定を変更してください。 - 82 - [解除の手順] 1. Web連携機能が正しく動作することの確認 任意の端末からWeb連携のトップページおよびWeb連携の任意の機能([Systemwalker Webコンソール]など)が表示できること を確認します。 確認方法: 以下2つのURLをブラウザで参照し、「ページが見つかりません」(または、「Not Found」)の旨のメッセージが表示されないことを 確認します。 【Windowsの場合】 http://運用管理サーバのホスト名/Systemwalker/default.htm http://運用管理サーバのホスト名/MpScript/mpopagtx/f1base.exe 【UNIXの場合】 http://運用管理サーバのホスト名/Systemwalker/index.html http://運用管理サーバのホスト名/MpScript/mpopagtx/f1base 2. Webサーバからの仮想ディレクトリ設定の解除 【Windowsの場合】 Webサーバから、以下の仮想ディレクトリを削除します。 /Systemwalker/CentricMGR/ /Systemwalker/ /MpScript/ /MpWalker/ ※:存在しない場合もあります。 【UNIXの場合】 Webサーバから以下の仮想ディレクトリの定義をコメントアウト(行頭に“#”を記述)します。 ScriptAlias /MpScript/ Alias /Systemwalker/CentricMGR/ Alias /SystemWalker/CentricMGR/ Alias /Systemwalker/ Alias /SystemWalker/ "/opt/systemwalker/inet/scripts/" "/opt/FJSVfsjvc/java/classes/" "/opt/FJSVfsjvc/java/classes/" "/opt/systemwalker/inet/wwwroot/" "/opt/systemwalker/inet/wwwroot/" 3. Webサーバの再起動 Webサーバを再起動します。 4. 仮想ディレクトリ設定解除の確認 正しく仮想ディレクトリの設定が解除できたか確認するため、「1.」で表示したページ、および機能が使用できなくなっていること を確認します。 確認方法: 以下の2つのURLをブラウザで参照し、「ページが見つかりません」(または、「Not Found」)の旨のメッセージが表示されることを 確認します。 【Windowsの場合】 http://運用管理サーバのホスト名/Systemwalker/default.htm http://運用管理サーバのホスト名/MpScript/mpopagtx/f1base.exe 【UNIXの場合】 - 83 - http://運用管理サーバのホスト名/Systemwalker/index.html http://運用管理サーバのホスト名/MpScript/mpopagtx/f1base 8.2.2 操作制御マネージャ起動条件記述ファイルの作成 操作制御マネージャ起動条件記述ファイルは、コンソール操作制御機能を使用するための定義ファイルです。操作制御マネージャ起 動条件記述ファイルには、ユーザと操作のそれぞれにレベルを設定します。コンソール操作制御機能で、ユーザと操作のレベルを比 較し、ユーザレベルが大きいときに操作可能となります。 [操作の可否判定] ユーザの操作可能レベル(ユー ザレベル) < 操作不可 ≧ 操作可能 操作のレベル情報で指定された操作 のレベル(操作レベル) 操作制御マネージャ起動条件記述ファイルの詳細については、“Systemwalker Centric Managerリファレンスマニュアル”の“操作制御 マネージャ起動条件記述ファイル”を参照してください。 ポイント 運用管理サーバに、操作制御マネージャ起動条件記述ファイルのサンプルが格納されています。任意のディレクトリへコピーし、シス テムの運用方法に合わせて“操作レベル”、“ログインID”をカスタマイズすることで操作制御マネージャ起動条件記述ファイルを作成 することができます。 以下に格納場所を示します。 【Solaris版/Linux版の場合】 /opt/FJSVfwgui/sample/opct/menuid.txt 【Windows版の場合】 Systemwalkerインストールディレクトリ\mpwalker.dm\mpbcmgui\server\sample\opct\menuid.txt 8.2.3 ファイルの変換 操作制御マネージャ起動条件記述ファイルからマネージャ起動条件ファイルを作成する手順を以下に示します。 1. 操作制御マネージャ起動条件記述ファイルを変換します。 以下のコマンドをAdministrator権限で実行します。 【Linux版/Solaris版の場合】 /opt/FJSVsopct/bin/idorcmanager 操作制御マネージャ起動条件記述ファイル 【Windows版の場合】 Systemwalkerインストールディレクトリ\mpwalker.dm\MpOrCtrl\bin\idorcmanager 操作制御 マネージャ起動条件記述ファイル - 操作制御マネージャ起動条件記述ファイル: 操作制御マネージャ起動条件記述ファイルをフルパス名で指定します。 - 84 - 省略値のあるレコードに誤りがある場合、パスワード入力前に処理継続を問い合わせるメッセージが出力されます。ここで処理 継続を指定した場合、誤りがあるレコードには省略値が設定されます。 出力メッセージの詳細は、“Systemwalker Centric Manager リファレンスマニュアル”の“idorcmanager(操作制御マネージャ起動 条件ファイル作成コマンド)”を参照してください。 idorcmanagerコマンドを実行すると、Linux版/Solaris版の場合は、パスワード入力のプロンプトが表示されるので、rootのパスワー ドを入力します。Windows版の場合は、ユーザーIDとパスワード入力のプロンプトが表示されるので、スタートアップアカウントの ユーザーIDとパスワードを入力します。 操作制御マネージャ起動条件記述ファイルの適用は以下のようになります。 - 運用を開始/停止する場合は、Systemwalker Centric Managerの再起動が必要です。 - ユーザの追加/削除、操作レベルの変更および定義を間違えた場合の修正の反映は“-n”を指定すれば、即座に適用でき ます。 - “-n”を指定しなければ、設定内容は、Systemwalker Centric Managerの次回起動時に適用されます。 idorcmanager(操作制御マネージャ起動条件ファイル作成コマンド)の詳細については、“Systemwalker Centric Managerリファレ ンスマニュアル”を参照してください。 8.2.4 操作制御マネージャ起動条件記述ファイルの定義例 操作制御マネージャ起動条件記述ファイルの定義例を示します。 定義例では、以下の環境を想定しています。 ・ 1つの運用管理サーバにAセンターとBセンターの業務サーバが接続しています。 ・ Aセンターの管理者のログインIDは、centa003、centa005です。 ・ Bセンターの管理者のログインIDは、jkl00001、jkl00021です。 ・ 担当外のサーバに対しては、利用者権限で使用します。 ・ すべてのログインIDは、[Systemwalkerコンソール]の操作権のあるユーザです。 ファイル記述方法の詳細 想定に合わせた操作制御マネージャ起動条件記述ファイルの記述方法を説明します。 - 85 - 以下に記述例を示します。 1. 操作判定情報を設定します。 コンソール操作制御機能の実施有 無 使用する y 使用しない n check_console y コンソール操作制御機能 を使用する 未登録操作のレベル(判定を行う 操作が登録されていない操作の操 作レベル) level 127 管理者権限 操作制御マネージャ起動条件記述ファイルでは、以下の定義になります。 check_console=y #コンソール操作制御機能の実施有無 level=127 #未登録操作のレベル 2. ユーザグループを登録します。 操作権限を設定したいユーザのグループ分けを行います。 ユーザグループは操作制御マネージャ起動条件記述ファイル内だけで有効であり、ACLマネージャのロールや、セキュリティ管 理者、セキュリティ監査者の設定と関係しません。 - 86 - グループが行う操作 ユーザグループ名 Aセンターの管理 CenterA ログインID centa003 centa005 Bセンターの管理 CenterB jkl00001 jkl00021 操作制御マネージャ起動条件記述ファイルでは、以下の定義になります。 !UserID CenterA centa003 centa005 CenterB jkl00001 jkl00021 !UserID-End 3. 操作のレベルを登録します。 操作を行うために必要な権限のレベルを決めます。 - 各メニューに対する操作レベルの設定例 操作レベル 更新権が必要なメニュー 50 操作権が必要なメニュー 10 参照権が必要なメニュー 5 メニューの詳細は、“Systemwalker Centric Manager 使用手引書 監視機能編”の“[Systemwalkerコンソール]のメニュー項目”を 参照してください。操作制御マネージャ起動条件記述ファイルに設定する「操作名」は“Systemwalker Centric Manager リファレ ンスマニュアル”の“操作制御マネージャ起動条件記述ファイル”を参照してください。 操作 操作レベ ル 製品名 opmgr 判定を行う操作 “command ls -l” [リモートコマンド]で、 ls -l 右記のコマンドを投 kill 入 1 50 “command kill” 監視イベントの状態変更 10 action リモートコマンド検索(全ノード) 10 rcmdserchall メッセージ検索(指定ノード) 10 msgserchsel [リモートコマンド]画面の起動 「リモートコマンド」を投入する ためには、[リモートコマンド]画 面の起動が必要 1 "CONSOLE TOOLS_REMOTECOMMAND" [監視イベントの状態変更]画面 の起動 「監視イベントの状態変更」を 行うには[監視イベントの状態変 更]画面の起動が必要 5 "CONSOLE EVENT_UPDATEEVENT" [リモートコマンド検索]画面の起 動 「リモートコマンド検索(全ノー 5 "CONSOLE TOOLS_A_SERCHRCMD" - 87 - 操作 操作レベ ル 製品名 判定を行う操作 ド)」を行うには[リモートコマンド 検索]画面の起動が必要 [メッセージ検索]画面の起動 「メッセージ検索(指定ノード)」 を行うには[メッセージ検索]画面 の起動が必要 5 "CONSOLE TOOLS_SERCHMSGLOG" 製品名:opmgr は予約語であり、[Systemwalkerコンソール]の操作に対する判定を行うことを表します。 操作制御マネージャ起動条件記述ファイルは、以下の定義となります。 !OperationEx opmgr 1,"command ls -l" 50,"command kill" 10,action 10,rcmdserchall 10,msgserchsel 1,"CONSOLE TOOLS_REMOTECOMMAND" 5,"CONSOLE EVENT_UPDATEEVENT" 5,"CONSOLE TOOLS_A_SERCHRCMD" 5,"CONSOLE TOOLS_SERCHMSGLOG" 1,"CONSOLE FILE_SELECTTREE" !OperationEx-End 4. 条件グループを登録します。 製品名に対して実行可能なレベルを決めたグループ(条件グループ)を決めます。 定義するグルー 条件グルー プの権限 プ名 実行できる権限 製品名 ユーザレベル 管理者権限 Special 製品名opmgrに対して、 127レベルまで実行可能 利用者権限 User 製品名opmgrに対して、 15レベルまで実行可能 15 一時利用者 Guest 製品名opmgrに対して、5 レベルまで実行可能 5 opmgr 操作制御マネージャ起動条件記述ファイルは、以下の定義となります。 !Condition Guest opmgr,5 User opmgr,15 Special opmgr,127 !Condition-End 5. グループへの条件設定を設定します。 操作対象に対して、ユーザグループと条件グループを関連付けます。 - 88 - 127 ユーザグ ループ CenterA CenterB 操作対象名 権限 (操作する対 象) 設定する条 件グループ 操作できる権限 hostA 管理者 権限 Special ユーザグループ(CenterA)は、hostAに 対して条件グループ(Special)で設定し た権限(管理者権限)まで行える。 hostB 利用者 権限 User ユーザグループ(CenterA)は、hostBに 対して条件グループ(User)で設定した 権限(利用者権限)まで行える。 “” 利用者 権限 User ユーザグループ(CenterA)は、操作対 象名の判定を行わない操作(注)に対 して条件グループ(User)で設定した権 限(利用者権限)まで行える。 * 一時利 用者 Guest ユーザグループ(CenterA)は、hostA、 hostB以外に対して条件グループ (Guest)で設定した権限(一時利用者) まで行える。 hostA 利用者 権限 User ユーザグループ(CenterB)は、hostAに 対して条件グループ(User)で設定した 権限(利用者権限)まで行える。 hostB 管理者 権限 Special ユーザグループ(CenterB)は、hostBに 対して条件グループ(Special)で設定し た権限(管理者権限)まで行える。 “” 利用者 権限 User ユーザグループ(CenterB)は、操作対 象名の判定を行わない操作(注)に対 して条件グループ(User)で設定した権 限(利用者権限)まで行える。 * 一時利 用者 Guest ユーザグループ(CenterB)は、hostA、 hostB以外に対して条件グループ (Guest)で設定した権限(一時利用者) まで行える。 注:“3.操作のレベルを登録します。”に登録されている操作で、[操作対象名]に[objectEx=""]が指定される操作。操作対象名に ついては、“Systemwalker Centric Manager リファレンスマニュアル”の“操作制御マネージャ起動条件記述ファイル”を参照して ください。 操作制御マネージャ起動条件記述ファイルは、以下の定義となります。 !! CenterA objectEx=hostA condition=Special objectEx=hostB,”” condition=User objectEx=* condition=Guest CenterB objectEx=hostA,”” condition=User objectEx=hostB condition=Special objectEx=* condition=Guest !! - 89 - すべての定義を行った操作制御マネージャ起動条件記述ファイルを以下に示します。 check_console=y level=127 !UserID CenterA centa003 centa005 CenterB jkl00001 jkl00021 !UserID-End #コンソール操作制御機能の実施有無 #未登録操作のレベル #(1) !OperationEx opmgr #(4) 1,"command ls -l" 50,"command kill" 10,action 10,rcmdserchall 10,msgserchsel 1,"CONSOLE TOOLS_REMOTECOMMAND" 5,"CONSOLE EVENT_UPDATEEVENT" 5,"CONSOLE TOOLS_A_SERCHRCMD" 5,"CONSOLE TOOLS_SERCHMSGLOG" 1,"CONSOLE FILE_SELECTTREE" !OperationEx-End !Condition Guest opmgr,5 User opmgr,15 Special opmgr,127 !Condition-End !! CenterA objectEx=hostA condition=Special objectEx=hostB,"" condition=User objectEx=* condition=Guest CenterB objectEx=hostA,"" condition=User objectEx=hostB condition=Special objectEx=* condition=Guest !! #(5) #(3) #(2) #(6) #(6) - (1)ログインIDがcenta003の利用者は、Aセンターに属します。 - (2)操作対象名がhostBに対してAセンターのcenta003は、User条件グループの権限を持っています。 - (3)User条件グループの権限は、製品名(opmgr)に対して15のレベルの操作が許可されています。 - (4)centa003は、hostBに対して、レベル1のリモートコマンド“ls -l”は実行できますが、レベル50のリモートコマンド“kill”は、 実行できません。 - 90 - - (5)「監視ツリーの選択」は、ユーザを追加したときにツリーの切り替えが行えなくなるのを防ぐため、低いレベルを指定します。 監視ツリーの選択を許可しない場合は高いレベルを設定します。 - (6)操作対象名が存在しない操作を指定するときは""を設定します。 上記の定義の例では、“3.操作のレベルを登録します。”に登録されている操作の中で、[操作対象名]に[objectEx=""]が指 定される操作です。 操作対象名については、“Systemwalker Centric Manager リファレンスマニュアル”の“操作制御マネージャ起動条件記述 ファイル”を参照してください。 8.2.5 操作を行う担当者のユーザ名をシステムに登録する 「操作ごとの保護」機能を使用する場合、操作する担当者のユーザ名は、以下の条件を満たす必要があります。 ・ [Systemwalkerコンソール]を接続する運用管理サーバのユーザとして登録されている。かつ ・ Systemwalker Centric Managerの、以下のどれかのロールに所属している。かつ、 - DmAdmin - DmOperation - DmReference ・ [Systemwalkerコンソール]にログインしているユーザが所属しているロール以上の権限を持つロールに所属している。 ロールの登録 [Systemwalkerコンソール]でメニューを選択したあとに表示される[コンソール操作制御 [操作の判定]]ダイアログボックスに入力する ユーザ名が所属するロールの権限は、[Systemwalkerコンソール]にログインしたユーザが所属するロールの権限より高い必要がありま す。 例えば、[Systemwalkerコンソール]にログインしたユーザが所属するロールが“DmOperation”で、[コンソール操作制御 [操作の判定]] ダイアログボックスに入力したユーザ名が所属するロールが“DmReference”の場合、操作制御マネージャ起動条件ファイルに操作可 能と定義されている操作に対しても操作の権限がないと判定します。 [Systemwalkerコンソール]から表示される画面 [Systemwalkerコンソール]からメニューを選択して表示される画面の操作は、[Systemwalkerコンソール]にログインしたユーザが所属す るロールの権限の範囲で操作可能です。 例えば、[Systemwalkerコンソール]にログインしたユーザが“DmOperation”に属している場合、[Systemwalkerコンソール]で画面を表 示するメニューを選択したあとに表示される[コンソール操作制御 [操作の判定]]ダイアログボックスに“DmAdmin”に所属するユーザ 名を入力しても、表示される画面では“DmOperation”の権限の範囲内でだけ操作可能です。 [Systemwalkerコンソール]にログインするユーザの権限と組み合わせた運用 権限が異なる作業(オペレータ業務/システム管理業務、等)を1台の運用管理クライアントで行う場合は、[Systemwalkerコンソール]に ログインするユーザの権限(ログインIDが所属するロールの権限)により[Systemwalkerコンソール]で操作できる機能を制限し、制限し た機能内で“操作ごとの保護”機能を使用して、担当者ごとに操作できる範囲を制限します。運用管理クライアントで行う作業を変更す る場合は、作業の権限にあったロールに所属するログインIDで[Systemwalkerコンソール]に再ログインします。 例として、1台の運用管理クライアントを、通常業務(複数のオペレータの業務)から管理業務に変更する場合について説明しています。 通常業務(オペレータ業務): 1. 通常業務はオペレータ権限(DmOperation)での操作だけであるため[Systemwalkerコンソール]にはDmOperationロールに所属 するユーザでログインします。 2. 各オペレータが[Systemwalkerコンソール]を使用するときは、[コンソール操作制御 [操作の判定]]ダイアログボックスに作業を行 うオペレータのユーザ名を入力します。これによりオペレータごとに操作できる範囲を限定することができます。 管理業務への切り替え: - 91 - 1. 管理業務に切り替える([Systemwalkerコンソール]での更新権(DmAdmin)が必要な作業を行う)場合、[Systemwalkerコンソール] を終了し、再度、DmAdminロールに所属したユーザで[Systemwalkerコンソール]にログインします。 管理者が[Systemwalkerコンソール]を使用するときは、[コンソール操作制御 [操作の判定]]ダイアログボックスに作業を行う管理者の ユーザ名を入力します。これにより管理者ごとに操作できる範囲を限定することができます。 管理業務で使用する場合、ユーザ名/パスワードを毎回入力するように設定し、操作を行うごとに操作の判定を行うことを推奨します。 これにより、管理者不在時の第三者による端末の不正使用を防ぎます。 8.2.6 運用管理クライアントの環境設定 運用管理クライアントの設定について説明します。 1. 操作制御エージェント起動条件記述ファイルを作成し、操作制御エージェント起動条件ファイルを作成する。(任意) - 複数のSystemwalkerコンソールを表示し、共通のユーザ名を使用しない場合 common_user=n(ユーザ名の保存方法)とintervalパラメタ(ユーザ名が有効な時間)を指定した操作制御エージェント起動条 件記述ファイルを作成する - 複数のSystemwalkerコンソールを表示し、共通のユーザ名を使用する場合 common_user=y(ユーザ名の保存方法)とintervalパラメタ(ユーザ名が有効な時間)を指定した操作制御エージェント起動条 件記述ファイルを作成する 2. Systemwalker Centric Managerを再起動する 操作制御エージェント起動条件記述ファイルの作成については、“Systemwalker Centric Managerリファレンスマニュアル”の“操作制 御エージェント起動条件記述ファイル”を参照してください。 運用管理クライアントでSMARTACCESSと連携する場合の設定については、“SMARTACCESSと連携する”を参照してください。 - 92 - 8.2.7 操作ごとの保護を使用する場合の操作 操作ごとの保護を使用する場合について操作手順を説明します。 [Systemwalkerコンソール]での操作手順 1. [Systemwalkerコンソール]にログインします。 2. [Systemwalkerコンソール]のメニューより「リモートコマンド」等の操作を選択します。 操作できるのは、手順1.でログインしたユーザが所属するロールの権限内で操作できるメニューだけです。 →[コンソール操作制御 [操作の判定]]ダイアログボックスが表示されます。 3. [ユーザーID]と[パスワード]を入力し、[ログイン]ボタンをクリックします。 操作制御エージェント起動条件記述ファイルのintervalパラメタに0以上を設定し、かつ、最後に[Systemwalkerコンソール]の操 作の判定が必要な操作を行ってから経過した時間がinterval秒以内、または、[コンソール操作制御 [状態表示]]アイコンの[ユー ザーIDを無効にする]を選択するまでの間は、[コンソール操作制御 [操作の判定]]ダイアログボックスは表示されません。 また、[コンソール操作制御 [操作の判定]]ダイアログボックスが表示されている状態で、[Systemwalkerコンソール]から操作の判 定が必要な操作を行った場合、最初に表示している[コンソール操作制御[操作の判定]]ダイアログボックスを閉じるかを確認す るメッセージが表示されます。 4. 選択した操作に対して入力した[ユーザーID]が操作可能な場合、手順2.で選択した操作が実行されます。 入力した[ユーザーID]、および[パスワード]が以下の場合、選択した操作は操作不可となります。 - [ユーザーID]、または[パスワード]の形式が正しくない - [ユーザーID]がシステムに登録されていない - [パスワード]が正しくない - [ユーザーID]がロール(DmAdmin/DmOperation/DmReferenceのどれか)に所属していない - [ユーザーID]に選択した操作を行う権限がない - 93 - ポイント コ ン ソ ー ル 操 作 制 御 に お い て [ ユ ー ザ ー ID] が 入 力 済 み な ど の 情 報 は 、 Windows の タ ス ク ト レ イ に 表 示 さ れ て い る [コンソール操作制御 [状態表示]]アイコンで確認することができます。また、[コンソール操作制御 [状態表示]]アイコンにマウスカーソ ルを位置づけることにより、状態がバルーンヘルプで表示されます。 8.3 SMARTACCESSと連携する SMARTACCESSと連携し、Systemwalkerコンソールにログインする場合の設定方法・運用方法について説明します。 SMARTACCESSとの連携 運用管理クライアントに富士通のソフトウェア製品であるSMARTACCESSを導入することにより、ICカード(Felica方式)や指紋認証など の認証デバイスを使用してセキュリティを強化できます。 ユーザ名(ログインID)/パスワードのシステムへの登録、および認証デバイスへの登録は管理者が行います。操作を行う担当者は管理 者が登録した認証デバイスだけで操作するため、ユーザ名/パスワードを知る必要がなくなります。そのため、システムを操作するため のユーザ名(ログインID)やパスワードが漏洩する可能性が低くなります。認証デバイスを使用するため、なりすましを防止できます。 SMARTACCESSがサーバOSに対応していないため、運用管理サーバ上ではSMARTACCESSを使用できません。運用管理サーバ ではユーザ名、パスワードを操作者が知る運用になります。運用管理サーバは管理者だけが使用する運用をお勧めします。 SMARTACCESSの連携は、SMARTACCESSのアプリケーションログオン機能を使用して行います。アプリケーションログオン機能に より、認証デバイスに登録されているユーザ名(ログインID)/パスワードが、ユーザ名(ログインID)/パスワードを入力するダイアログボッ クスに自動で入力されます。 手順 運用管理クライアントでSMARTACCESSと連携する場合の設定手順について説明します。 以下に手順を示します。 1. 認証デバイスの設定およびSMARTACCESSをインストールする 認証デバイスの設定およびSMARTACCESSをインストールします。インストール手順については、 各製品のマニュアルを参照してください。 2. SMARTACCESSのアプリケーションログオン機能にSystemwalkerコンソールのログイン画面 を登録する 登録手順については、“SMARTACCESSを使用する場合の設定手順”を参照してください。 3. SMARTACCESSのツールを使用して、認証デバイスにユーザ名およびパスワードを登録する 登録手順については、“認証デバイスへのユーザ名およびパスワードの登録”を参照してください。 4. SystemwalkerコンソールのSMARTACCESS設定を有効にする Systemwalkerコンソールの画面設定の管理者用定義ファイルで設定を行います。 Systemwalkerコンソールの画面設定の管理者用定義ファイルについては、“Systemwalker Centric Managerリファレンスマニュアル”の“Systemwalkerコンソールの画面設定の管理者用定義ファイ ル”を参照してください。 - 94 - SMARTACCESSを使用する場合の設定手順 運用管理クライアントに富士通ソフトウェア製品であるSMARTACCESSをインストールおよび設定することにより、スマートカードや指 紋認証等を使用してセキュリティを強化することができます。 アプリケーションログオン機能への登録 SystemwalkerコンソールとSMARTACCESSとの連携は、SMARTACCESSのアプリケーションログオン機能にSystemwalkerコンソール のログイン画面を登録することで可能となります。登録処理は、すべての運用管理クライアントで行ってください。 アプリケーションログオン機能の設定は、以下の手順で行います。 1. SMARTACCESSのインストールと認証デバイスを設定します。 SMARTACCESSのインストールおよび認証デバイスの設定については、各製品のマニュアルを参照しください。 2. SMARTACCESSにSystemwalkerコンソールのログイン画面を登録します。 SMARTACCESSのアプリケーションログオン機能にSystemwalkerコンソールのログイン画面を登録する手順については、 SMARTACCESSのマニュアルを参照してください。 登録内容 SMARTACCESSのアプリケーションログオン機能に登録する内容について説明します。 ・ [パスワード入力画面登録ツール]画面 パスワード入力画面のタイプとして“ダイアログ形式のパスワード入力画面”を選択してください。 ・ Systemwalkerコンソールのログイン画面の表示 アプリケーションログオン機能に登録するために、Systemwalkerコンソールのログイン画面を表示します。[スタート]メニューから[プ ログラム]-[Systemwalker Centric Manager]-[Systemwalkerコンソール]を選択し、表示します。 - 95 - ・ Systemwalkerコンソールのログイン画面の登録 アプリケーションログオン機能の登録では、登録するダイアログボックスのパスワード入力域などのフィールドを登録する必要があ ります。Systemwalkerコンソールのログイン画面を登録する場合、以下のフィールドを登録してください。アプリケーションログオン 機能の登録処理ではその他のフィールドについて指定する処理がありますが、特に指定する必要はありません。 (1)「表題の指定」で関連付けるフィールド (2)「ユーザーID入力フィールドの指定」で関連付けるフィールド (3)「パスワード入力フィールドの指定」で関連付けるフィールド (4)「OKボタンの指定」で関連付けるフィールド (5)「キャンセルボタンの指定」で関連付けるフィールド (6)「その他の入力フィールドの指定」で関連付けるフィールド 注意 SMARTACCESSの設定を行う場合の注意事項 ・ アプリケーションログオン機能への登録処理は、Administrators権限を持つユーザで行ってください。 ・ アプリケーションログオン機能の登録処理を行う場合、Systemwalker Centric Managerの画面をすべて閉じてください。 SMARTACCESSの設定の推奨値 Systemwalkerコンソールのログイン画面とSMARTACCESSの連携を行う場合、SMARTACCESSの設定を以下にすることを推奨します。 設定項目 シングルサインオン 値 しない 備考 “シングルサインオン”を“しない”にすることに より、操作を行うごとに認証デバイスからユー ザ名を読み込みます。本設定により、認証デ - 96 - 設定項目 値 備考 バイスを変えた場合でも即時に新しい認証デ バイスの情報で動作します。 操作保護 する “操作保護”を“する”に設定することにより、 SMARTACCESSが表示する[PIN入力]ダイア ログボックスで[キャンセル]ボタンを押した場合、 Systemwalkerコンソールのログイン画面も同時 に閉じることができます。 Windowsログオン する “カードのポーリング動作”、“カードリーダ/ラ イタ抜き取り時の動作”を設定するために必要 です。 カードのポーリング動作 する “カードのポーリング動作”および“カードリー ダ/ライタ抜き取り時の動作”に“コンピュータ をロックする”を設定することにより、認証装置 からカードを抜いた場合(担当者が離席する 場合など)に、他の人が操作できないようにで きます。 動作 コンピュータをロックす る カードリーダ/ライタ抜き取り 時の動作 動作 する コンピュータをロックす る 認証デバイスへのユーザ名およびパスワードの登録 認証デバイスにSystemwalkerコンソールのログイン画面に入力する[ユーザーID]および[パスワード]を登録する必要があります。登録 方法については、SMARTACCESSのマニュアルを参照してください。 端末の保護機能について ICカード(Felica対応)またはスマートカードを使用する場合、認証装置からカードを抜いた場合にコンピュータをロックすることができま す。詳細についてはSMARTACCESSのマニュアルを参照してください。 8.4 コンソール操作制御機能の注意事項 コンソール操作制御機能の注意事項について説明します。 ・ 操作権限の設定は、フォルダ単位で行うことはできません。操作権限 の設定は、ノードのオブジェクト単位で行います。ただし、以 下のフォルダだけ設定が可能です。 - インベントリ情報の収集やフォルダプロパティなどフォルダを選択して実行するもの - グローバルサーバ(Global Enterprise Editionだけ) ・ 以下のオブジェクトは、操作権限の設定を行うことはできません。対象オブジェクトが実行されるノードに対し操作権限の設定を行っ てください。 - アプリケーション ・ SMARTACCESSを使用する場合 - 運用管理サーバで起動する[Systemwalkerコンソール]では、SMARTACCESSとの連携はできません。 - SMARTACCESSと連携する場合、ターミナルサーバやリモートデスクトップは使用できません。 - SMARTACCESSと連携する場合、LiveHelpを使用して操作することはできません。 - Windows 2000でSMARTACCESSとリモート操作クライアントを利用する場合、SMARTACCESS カードを抜き取ることによって OSを強制ログオフする設定で SMARTACCESSを運用するときには、リモート操作クライアントの起動方式を[サービスとして起 動]ではなく、[通常アプリケーションとして起動]に設定してください。 - 97 - ・ [Systemwalkerコンソール]での操作を終了する場合 ユーザーIDで操作の保護を行っている場合に、担当者が離席するなど作業を終了するときは、他の人が操作できないようにする ため、以下の操作を行ってください。 - ユーザーIDが入力されている状態の場合、[コンソール操作制御 [状態表示]]アイコンで「ユーザ名を無効にする」操作を行っ てください。 - [Systemwalkerコンソール]から起動した子画面はすべて閉じてください。 - 98 - 第9章 Systemwalker Centric Managerの監査ログを出力する Systemwalker Centric Managerの、以下の機能の監査ログについて説明します。 ・ Systemwalkerコンソール/コンソール操作制御の監査ログ ・ サーバアクセス制御の監査ログ ・ リモート操作の監査ログ ・ ACLマネージャの監査ログ ・ システム監視の監査ログ ・ 自動運用支援の監査ログ 9.1 Systemwalkerコンソール/コンソール操作制御の監査ログ [Systemwalkerコンソール]の監査ログを出力する設定を説明します。 Systemwalkerコンソール/コンソール操作制御では、以下の監査ログを出力しています。 ・ クライアントから、ACL認証および操作の判定の要求があった場合 クライアントからの判定要求に対する結果を、監査ログに採取します。 - ユーザのACL認証に失敗した場合、ユーザ名/結果(失敗のみ)/理由を出力する。 - 操作の判定を実施した場合、ユーザ名/操作対象名/操作名/結果(成功または失敗)を出力する。 ・ コンソール操作制御のGUIから操作を行った場合 コンソール操作制御の画面に対し、ユーザによる明示的な操作を行った場合、操作内容/結果の監査ログを採取します。操作の処 理で失敗はないため、結果は成功のみとなります。 設定手順 1. 監査ログ出力設定を行います。 運用管理サーバおよび運用管理クライアントで、mpsetlogsend_swgui(Systemwalkerコンソール監査ログ収集設定コマンド)を実 行します。 【Windowsの場合】 Systemwalkerインストールディレクトリ\MpWalker.DM\bin\mpsetlogsend_swgui -y -f <変更 先ファイル名> -k {<保存日数>|unlimit} 【UNIXの場合】 /usr/bin/mpsetlogsend_swgui -y -f <変更先ファイル名> -k {<保存日数>|unlimit} 運用管理クライアント上でmpsetlogsend_swguiコマンドを実行するとき、監査ログ出力先として存在しないディレクトリを指定した 場合は、everyone full controlのアクセス権で出力先ディレクトリが作成されます。運用管理サーバで出力先ディレクトリを変更す る場合、存在しないディレクトリにのみ変更できます。 mpsetlogsend_swguiコマンドの詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 2. Systemwalker Centric Managerの再起動をします。 mpsetlogsend_swguiのオプションに-f、-kまたは-dを指定し、設定を反映させるためにSystemwalker Centric Managerの再起動を します。 運用管理クライアントで-f、-kまたは-dオプションを指定した場合は、[Systemwalkerコンソール]を再起動します。 mpsetlogsend_swguiのオプションで、-yまたは-nだけを指定し、収集設定だけを変更する場合は再起動する必要はありません。 次回監査ログ収集を行うときに自動的に設定が反映されます。 - 99 - Systemwalker Centric Managerの停止 【UNIXの場合】 /opt/systemwalker/bin/pcentricmgr -a 【Windowsの場合】 pcentricmgr /a Systemwalker Operation Managerと共存する環境では、上記のコマンドで、Systemwalker Operation Managerも停止します。 Systemwalker Centric Managerの起動 【UNIXの場合】 /opt/systemwalker/bin/scentricmgr 【Windowsの場合】 scentricmgr Systemwalker Operation Managerと共存する環境で、Systemwalker Operation Managerも再起動する場合は、以下のコマンドに よりSystemwalker Operation Managerを起動してください。 【UNIXの場合】 /opt/systemwalker/bin/soperationmgr 【Windowsの場合】 soperationmgr なお、soperationmgrコマンドの詳細については、Systemwalker Operation Managerのマニュアルを参照してください。 3. 収集対象のサーバを限定します。 監査ログを収集できるサーバを限定します。 設定方法については、“収集対象のサーバを限定する”を参照してください。 4. 監査ログ管理機能の設定を行います。 運用管理サーバで、監査ログ管理機能を使用するための設定“格納ディレクトリの設定”が行われていない場合、以下のコマン ドを実行します。 【Windowsの場合】 Systemwalkerインストールディレクトリ\mpwalker.dm\bin\mpatmtrsdef REP -S <格納ディレ クトリ> 【UNIXの場合】 /opt/systemwalker/bin/mpatmtrsdef REP -S <格納ディレクトリ> mpatmtrsdefコマンドについては、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 5. 監査ログ収集を実施します。 運用管理サーバから以下のコマンドにより監査ログ収集を実行します。 【Windowsの場合】 Systemwalkerインストールディレクトリ\mpwalker.dm\bin\mpatmlog -H <対象サーバ名> - 100 - 【UNIXの場合】 /opt/systemwalker/bin/mpatmlog -H <対象サーバ名> 収集のためのコマンドの詳細、注意事項、およびスケジューリングなどの運用方法については、“監査ログを収集する”を参照し てください。 設定を変更する手順 監査ログの出力先変更、および収集設定の変更を行う手順について説明します。 監査ログの出力先を変更する場合 監査ログの出力先の変更と、監査ログ管理による収集タイミングを時系列に沿って示すと、以下のとおりになります。 出力先の変更と収集とを適切なタイミングで実施しないと、監査ログとして必要な情報が監査ログ管理機能により収集できない時間帯 が発生します。 監査ログの出力先を変更する場合は、以下の手順を実施します。なお、Systemwalkerコンソール監査ログ設定コマンドのオプション に-dを指定し実行したあと、出力を再開する場合も本手順を実行してください。 1. 出力先を変更するサーバ、またはクライアント上で以下のコマンドを実行します。 mpsetlogsend_swgui -f <変更先ファイル名> -k {<保存日数>|unlimit} なお、上記コマンドを実行する際、オプションの-yや-nを合わせて指定すると、収集設定も変更されます。この場合、出力先変更 前に保存されていた情報の収集が行われなくなるため、本手順では-yまたは-nオプションは指定しないでください。 なお、変更前の情報を収集しなくてもよい場合は、-yまたは-nオプションを同時に指定してもかまいません。 運用管理クライアント、またはクライアント上でmpsetlogsend_swguiコマンドを実行するとき、監査ログ出力先として存在しないディ レクトリを指定した場合は、everyone full controlのアクセス権で出力先ディレクトリが作成されます。運用管理サーバ、部門管理 サーバ、および業務サーバで、出力先ディレクトリを変更する場合、存在しないディレクトリにのみ変更できます。 mpsetlogsend_swguiコマンドの詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 2. 出力先設定変更を反映します。 監査ログの出力先を変更したあと、設定を反映させるために、変更したサーバ/クライアント上でSystemwalker Centric Managerを 再起動します。 なお、運用管理サーバ(Windowsの場合だけ)、または運用管理クライアント上で[Systemwalkerコンソール]を起動している場合は、 [Systemwalkerコンソール]も再起動します。再起動の方法については、“Systemwalker Centric Managerリファレンスマニュアル” を参照してください。 3. 収集設定を変更したサーバまたはクライアントに対して、運用管理サーバから監査ログ収集を実行します。 監査ログ出力先を変更する前の情報をすべて運用管理サーバに収集するために、運用管理サーバから以下のコマンドにより監 査ログ収集を実行します。 【Windowsの場合】 Systemwalkerインストールディレクトリ\mpwalker.dm\bin\mpatmlog -H <対象サーバ名> 【UNIXの場合】 /opt/systemwalker/bin/mpatmlog -H <対象サーバ名> - 101 - mpatmlogコマンドの使用方法については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 また、運用管理サーバへ収集が完了したあと、設定変更前の監査ログ出力先に保存されている監査ログが不要な場合は、削除 してください。 4. Systemwalkerコンソール監査ログ設定コマンドにより、監査ログの収集設定を更新します。 以下のコマンドを実行し、収集先の設定を更新します。操作は設定を変更したサーバまたはクライアント上で実施します。 mpsetlogsend_swgui {-y|-n} ログ出力先を変更後、監査ログ収集を取りやめる場合は、mpsetlogsend_swguiコマンドのオプションに-nを指定してください。また、 ログの収集先を変更し、ログ収集を続ける場合、または新たに収集する場合は-yオプションを指定します。 収集設定を変更する場合 ログ収集を中止する場合、または再開する場合は、以下の手順を実施します。 ・ 監査ログ設定を更新します。 以下のコマンドを実行し、収集先の設定を更新します。操作は設定を変更したサーバ、またはクライアント上で行います。 mpsetlogsend_swgui {-y|-n} 監査ログ収集を取りやめる場合は、mpsetlogsend_swguiコマンドのオプションに-nを指定してください。また、収集を行っていない 状態から収集するように設定を変更する場合は、-yオプションを指定します。 9.2 サーバアクセス制御の監査ログ サーバアクセス制御では、以下の監査ログを出力します。 ・ アクセス監査ログ ・ 操作の録画データ ・ Systemwalkerコンソール監査ログ システムごとに出力されるログ サーバアクセス制御機能を使用することで出力されるログをシステムごとに分類すると以下のとおりです。 - 102 - ログの使用目的と出力契機 サーバアクセス制御機能を使用することで出力されるログをまとめると以下のとおりです。 ログ名 使用目的 ログファイル名 出力契機 アクセス 監査ログ セキュリティ監査者が、シ ステムが正常に稼働して いることを確認する。 swsvac_auditY YMMDD.log ・サーバアクセス制御で定義 した操作が実行されたとき ・管理対象サーバでポリシー が適用されたとき ・サーバアクセス制御設 定に該当する操作として、 どのような操作が行われ ているか ・システム保守承認コマンド 実行時 ・システム保守開始/終了コマ ンド実行時 ・サーバアクセス制御機 能に関連したコマンドの 実行状況 ・セキュリティ管理者/セキュリ ティ監査者の変更が実行さ れたとき 出力場所 管理対象サーバ: Linuxの場合: /var/ opt/FJSVsvac/ audit/ (初期値) 監査方法 運用管理クライアン トで、セキュリティ監 査者が、監査ログ 分析機能を利用し て実施する Windowsの場合: Systemwalkerインス トールディレクトリ \mpwalker.dm \mpsvac\var\audit \ (初期値) ・操作の録画コマンド実行時 ・録画した操作の再生コマン ド実行時 操作の録 画データ セキュリティ監査者が、 サーバアクセス制御機能 を使用した保守作業時 の操作内容を確認する 日時(年月日時 分秒ミリ秒)_ホ スト名_ユーザ_ 実効ユーザ_プ ロセスID.rec システム保守開始/終了コマ ンドで、保守作業を開始した ときに録画が開始されます。 保守作業の終了時に録画は 終了します。 - 103 - 管理対象サーバ: Linuxの場合: /var/ opt/FJSVsvac/ record/ (初期値) 管理対象サーバで、 サーバアクセス制 御のセキュリティ監 査者が、サーバア ログ名 使用目的 ログファイル名 出力契機 出力場所 監査方法 クセス制御機能を 利用して実施する Systemw alkerコン ソール監 査ログ システム管理者が、 mp_cmgr_audit Systemwalker Centric YYMMDD.log Managerの使用状況(予 定にない操作が行われ ていないか)を確認したり、 操作内容の事後監査を する 運用管理クライアント操作時 運用管理クライアント: Systemwalkerインス トールディレクトリ \mpwalker.dm \Mpcmtool\audit \ (初期値) 運用管理クライアント操作実 行時 運用管理サーバ: Windowsの場合: Systemwalkerインス トールディレクトリ \mpwalker.dm \Mpcmtool\audit \ (初期値) 運用管理クライアン トで、システム管理 者が、監査ログ分 析機能を利用して 実施する 運用管理クライアン トで、システム管理 者が、監査ログ分 析機能を利用して 実施する Solaris/Linuxの場 合: /var/opt/ FJSVftlc/audit/ (初期 値) ・管理対象サーバでポリシー が適用されたとき ・システム保守承認コマンド 実行時 ・システム保守開始/終了コマ ンド実行時 ・セキュリティ管理者/セキュリ ティ監査者の変更が実行さ れたとき システム ログ/イベ ントログ システム管理者に対して 早期に状況を伝達する OSの設定による ・サーバアクセス制御で定義 (システムログに出力する)し た操作を実行したとき 管理対象サーバ: Linuxの場合: /var/ opt/FJSVsvac/var/ audit/ (初期値) 運用管理クライアン トで、システム管理 者が、監査ログ分 析機能を利用して 実施する Windowsの場合: Systemwalkerインス トールディレクトリ \mpwalker.dm \mpsvac\var/audit\ (初期値) 管理対象サーバ: - OSの設定で指定した パス ・サーバアクセス制御機能の 開始/終了時、およびシステ ム要因(ログ出力領域の不足 など)でアクセス制御の設定 どおりの動作を実施できない とき 設定手順 アクセス監査ログ サーバアクセス制御のポリシーをサーバに適用したときに、管理対象サーバでアクセス監査ログを出力するための設定が行われます。 設定手順については、“ポリシーを作成・配付する”を参照してください。 注意 アクセス監査ログは直接参照することはできません。 アクセス監査ログの参照手順については、“監査ログを管理する”を参照してください。 - 104 - 操作の録画データ 安全なシステム保守支援機能で操作の録画データを出力する設定は、“保守作業を承認する”を参照してください。 操作の録画データについては、“監査ログを管理する”を参照し、録画データをバイナリファイルとして収集してください。 Systemwalkerコンソール監査ログ Systemwalkerコンソール監査ログは、mpsetlogsend_swgui(Systemwalkerコンソール監査ログ収集設定コマンド)で現在の設定状況を 確認し、監査ログ管理機能を用いて収集してください。 mpsetlogsend_swgui(Systemwalkerコンソール監査ログ収集設定コマンド)については、“Systemwalker Centric Managerリファレンスマ ニュアル”を参照してください。 9.3 リモート操作の監査ログ [リモート操作クライアント]、[リモート操作エキスパート]、または[リモート操作モニタ]プログラムを利用中に発生するセッションイベントを 監査ログとして出力できます。ExpertおよびClientどちらもデフォルトでは、監査ログに出力されません。mpsetlogsend_swgui(Systemwalker コンソール監査ログ収集設定コマンド)で現在の設定状況を確認し、監査ログの出力を設定する必要があります。 mpsetlogsend_swgui(Systemwalkerコンソール監査ログ収集設定コマンド)については、“Systemwalker Centric Manager リファレンスマ ニュアル”を参照してください。 監査ログ出力機能とは別にLive Help独自のセッションジャーナル機能があります。セッションジャーナル機能を利用する場合は、別途 設定が必要になります。なお、ジャーナルログファイルは、1日ごとに異なるファイルへ出力する仕様で、ファイルの保持日数を設定す ることができます。 LiveHelp接続認証の詳細については、“Systemwalker Centric Manager 使用手引書 リモート操作機能編 ユーザーズガイド”を参照し てください。 9.4 ACLマネージャの監査ログ Systemwalker ACLマネージャの監査機能について Systemwalker ACL マネージャでは、以下の操作を実行した場合に、監査情報をファイルに出力するよう設定することができます。また、 出力する監査情報については、成否や操作種別による採取条件の指定も可能です。 [監査情報を出力する操作] 操作 [Systemwalkerコンソール]の起 動(運用管理クライアントではロ グイン) 監査対象 認証 (Login) 種別 種別詳細 参照 - 結果 成功 失敗 業務監視監視機能、業務監視 編集機能 (Target) [Systemwalkerコンソール]での ツリー一覧の表示 基本ツリー、論理ツリー (Target) 参照 [Systemwalkerコンソール]での ツリーの作成 基本ツリー、論理ツリー (Target) 更新 [Systemwalkerコンソール]での ツリーの削除 基本ツリー、論理ツリー (Target) 更新 [Systemwalkerコンソール]での ツリー名の変更 基本ツリー、論理ツリー (Target) 更新 [Systemwalkerコンソール]での ツリーのアクセス権の変更 基本ツリー、論理ツリー (Target) 更新 - 105 - アクセス権情報取 得 (Get Access) 成功 一覧情報取得 (List) 成功 作成 (Create) 成功 削除 (Remove) 成功 変更 (Modify) 成功 アクセス権設定 (Set Access) 成功 失敗 失敗 失敗 失敗 失敗 操作 監査対象 種別 種別詳細 結果 失敗 [システム監視設定]画面からの ログイン 認証 (Login) 参照 成功 失敗 システム監視機能 (Target) [利用者のアクセス権設定]画面 からのログイン - 認証 (Login) 参照 アクセス権情報取 得 (Get Access) 成功 - 成功 失敗 失敗 システム監視機能、資源配付 機能 (Target) [利用者のアクセス権設定]画面 からのロールに所属するユーザ の変更 ロール 更新 [資源配付]画面の起動、資源 配付コマンドの実行(一部のみ) 認証 (Login) アクセス権チェッ ク アクセス 許可 (Check Access) アクセス 拒否 変更 (Modify) 成功 失敗 参照 - 成功 失敗 資源配付機能 (Target) アクセス権情報取 得 (Get Access) 成功 失敗 [監査情報、監査操作についての情報共通の出力項目] その他共通項目 内容 事象の日付/時刻 曜日 月 日 時間 年 の形式 事象の操作ユーザ名 Windows(R)の場合 ホスト名:ドメイン名:ユーザ名 の形式 Solarisの場合 ホスト名::ユーザ名 の形式 仮想資源名 (認証時は除く) 操作対象となった仮想資源名 コメント チェックしたアクセス権の種別や、変更前の所有者名、ロールに追 加/削除したユーザ名等 [Systemwalker ACLマネージャの監査操作についての情報] 操作 mpsetauditコマンド 監査対象 監査対象の変更 種別 内容 更新 変更のあった監 査環境情報 成功 実行された操作 情報 成功 (-fオプション)の実施 mpauditenvコマンドの実行 ・ Systemwalker ACLマネー 更新 ジャの監査ログファイル出 力先の変更 ・ Systemwalker ACLマネー ジャの監査ログファイルサ イズの変更 ・ Systemwalker ACLマネー ジャの監査ログファイルの クリア - 106 - 結果 失敗 失敗 操作 監査対象 種別 内容 結果 ・ Systemwalker ACLマネー ジャの監査ログファイルの 削除 その他共通項目 内容 事象の日付/時刻 曜日 月 日 時間 年 の形式 事象の操作ユーザ名 Windows(R)の場合 ドメイン名\ユーザ名 の形式 Solarisの場合 ユーザ名 ACLマネージャの監査機能を有効にする 以下の監査コマンドを使用することにより、ACLマネージャの監査機能を有効にできます。これらの監査コマンドは、以下のサーバ上 で動作します。 ・ 運用管理サーバ ・ 部門管理サーバ ・ 業務サーバ 監査コマンド コマンド名 実行権限 機能 mpsetaudit 管理者のみ 監査機能の有効/無効を設定します。 mpauditenv (注) 監査機能の動作環境の設定を変更します。 mplstaudit 監査機能の動作環境の設定状況を表示します。 注) Windows(R)では、Administratorsグループに所属しているユーザ、UNIXでは、root権限をもつユーザのみ実行可能となります。そ れぞれのコマンドは、起動時にコマンドの実行ユーザをチェックしています。管理者(Windows(R)ではAdministratorsグループに所属 しているユーザ、UNIXではroot権限をもつユーザ)でない場合、コマンドは異常終了し、処理は行われません。 監査ログファイル Systemwalker Centric Managerでの認証、[Systemwalkerコンソール]、[システム監視設定]、[資源配付]、[利用者のアクセス権設定]画 面の起動・表示、ロールに所属するメンバの変更に対する操作の監査情報をログファイルに出力します。Systemwalker ACLマネージャ の監査ログファイルのサイズが一定の値に達した場合、Systemwalker ACLマネージャの監査ログファイルのバックアップがとられ、イ ベントログ(UNIX版の場合はシスログ)に、バックアップファイル名が通知されます。 監査ログのバックアップファイルの数は10で、mpfwsec_audit_log.xxxxxxxx.csv(xは英数字)という名前で作成されます。xxxxxxxxには 00000001~0000000aが使用され、mpfwsec_audit_log.0000000a.csvの次は、mpfwsec_audit_log.00000001.csvとなります。 Systemwalker ACLマネージャの監査ログファイルのサイズ、および出力先は、mpauditenvコマンドにより変更できます。 監査環境設定情報のログ出力 ACLマネージャの監査ログ環境を変更した場合に、その監査ログを出力します。監査環境設定情報のログについても、ファイルのサイ ズが一定の値に達した場合に、バックアップがとられ、イベントログ(UNIX版の場合はシスログ)に、バックアップファイル名が通知され ます。 監査環境設定情報のログは、mpfwsec_audit_sys.xxxxxxxx.csv(xは英数字)という名前で作成されます。バックアップファイルの数は10 です。xxxxxxxxには00000001~0000000aが使用され、mpfwsec_audit_sys.0000000a.csvの次は、mpfwsec_audit_sys.00000001.csvと なります。 監査コマンド、監査ログファイルのアクセス権 ACLマネージャの監査コマンド、監査ログファイルには、それぞれインストール時に以下に示すアクセス権を設定しています。 - 107 - 【Windows(R)の場合】 ※1: Administrators フルコントロール SYSTEM フルコントロール CREATOR OWNER フルコントロール Everyone(注) 読み取り DmAdmin フルコントロール DmOperation 変更 DmReference 変更 DistributionAdmin フルコントロール DistributionOperation 変更 DistributionReference 変更 注)以下のWindows OSの場合は、Users ・ Windows Server 2003 STD/Windows Server 2003 DTC/Windows Server 2003 EE ・ Windows Server 2008 STD/Windows Server 2008 DTC/Windows Server 2008 EE/Windows Server 2008 for Itanium-Based Systems/ Windows Server 2008 Foundation/Windows Server 2008 R2 ・ Windows(R) XP ※2: Administrators フルコントロール SYSTEM フルコントロール CREATOR OWNER フルコントロール - 108 - 【UNIXの場合】 9.5 システム監視の監査ログ システム監視の監査ログは、トレースファイル形式で出力されます。 監査ログの形式 監査ログは、以下のトレースファイルにサイクリックに出力されます。 ・ SEC_sagt#1.trc ・ SEC_sagt#2.trc トレースファイルは以下のディレクトリ配下に格納されます。 /var/opt/FJSVftlc/trc/ 監査ログを見る 以下のコマンドを使用して、監査ログを見ることができます。 /opt/FJSVftlc/bin/mpprttrc mpprttrc(監査ログ/操作ログファイル表示コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照 してください。 監査ログの情報 事象 [通信環 境定義] ・ [通信環境定義詳細]-[ログファイル定義]タブ ([メッセージログ]/[コマンドログ][格納ディレク トリ]を除く) ・ [通信環境定義詳細]-[接続]タブ 種別 参照 更新 事象の結 対応するソースファ 果 イル名 成功 Opacnf_broS 失敗 Opacnf_broF 成功 OpacnfL_modS 失敗 OpacnfL_modF 成功 Opacnf2_broS 失敗 Opacnf2_broF ・ [通信環境定義詳細]-[動作設定]タブ ・ [通信環境定義詳細]-[自ホスト名]タブ 参照 - 109 - 事象 種別 事象の結 対応するソースファ 果 イル名 ・ [通信環境定義詳細]-[ログファイル定義]タブ ([メッセージログ]/[コマンドログ][格納ディレク トリ]のみ) [メッセージ送信先システム] 更新 参照 更新 [イベント 監視の条 件定義] [メール連携環境設定] 参照 更新 [監視ログファイル設定] 参照 更新 その他共通項目 成功 Opacnf2_modS 失敗 Opacnf2_modF 成功 Sndsys_broS 失敗 Sndsys_broF 成功 Sndsys_modS 失敗 Sndsys_modF 成功 CmailL_broS 失敗 CmailL_broF 成功 CmailL_modS 失敗 CmailL_modF 成功 FmonL_broS 失敗 FmonL_broF 成功 FmonL_modF 失敗 FmonL_modS 内容 事象の日付/時刻 トレースの時刻を参照 事象のサブジェクト識別名【コンポ名】 システム監視 利用者名 root 9.6 自動運用支援の監査ログ 自動運用支援の監査ログは、トレースファイル形式で出力されます。 監査ログの形式 監査ログは、以下のトレースファイルにサイクリックに出力されます。 ・ SEC_fwaos#1.trc ・ SEC_fwaos#2.trc トレースファイルは以下のディレクトリ配下に格納されます。 /var/opt/FJSVftlc/trc/ 監査ログを見る 以下のコマンドを使用して、監査ログを見ることができます。 /opt/FJSVftlc/bin/mpprttrc mpprttrc(監査ログ/操作ログファイル表示コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照 してください。 監査ログの情報 - 110 - 事象 定義種別 [イベント 監視の条 件定義] ポリシー定義 設定 事象の結果 対応するソースファイ ル名 ポリシー設定が成功 dsv:rvevnt01 poin1コマンドによるポリシー移入が成功 poin1:cp:out 監視ポリシーのテンプレート設定 stt:sett01 ローカル定義での設定が成功 dsv:rvevnt0 ポリシー配付(即時適用)による設定が成功 ローカル定義 設定 [アクショ ン環境設 定] ポリシー定義 設定 ローカル定義 設定 その他の 定義 ローカル定義 設定 [Windows(R)] dsv:policy04 [Solaris] dsv:policy02 poin2コマンドによる設定が成功 poin2:cmd aoseadefコマンドによる設定が成功 aosdef:out 「監視対象に追加」による定義変更 dsv:actadd01 「監視対象から除外」による定義変更 dsv:msgchg02 ポリシー設定が成功 dsv:actenv01 poin1コマンドによるポリシー移入が成功 poin1:cp:out ローカル定義での設定が成功 dsv:actenv01 ポリシー配付(即時適用)による設定が成功 dsv:policy02 poin2コマンドによる設定が成功 poin2:cmd mpaosemnyコマンドによる類似イベント抑止、大 量イベント抑止定義の変更が成功 mny:mny01 mpaosemexコマンドによる類似イベント抑止、大 量イベント抑止対象外設定の変更が成功 mex:mex01 - 111 - 第10章 監査ログを管理する 監査ログ管理機能を使用して、Systemwalker Centric Managerの各サーバ上にあるログを運用管理サーバ上に収集し、一元的に管理 する方法を説明します。収集したログから、各サーバの運用状況の把握、点検が可能となります。 10.1 収集・管理できるログファイルの種類 監査ログ管理機能で収集するログファイルの種類を説明します。監査ログ管理機能は、OSや製品が出力するテキストログで、日時の 形式が一定のものについて収集可能です。また、バイナリデータのログ収集も可能です。 代表的なログファイルを以下に示します。以下のファイルのほか、収集規約に従った形式であれば、収集可能です。収集規約につい ては、“監査ログ管理の収集規約”を参照してください。 代表的なログファイルの一覧 監査ログ管理機能が収集可能なファイルの例を以下に示します。 ・ Windows イベントログ 以下のイベントログの収集が可能です。 - アプリケーション - セキュリティ - システム - DNS Server - Directory Service - ファイル複製サービス - DFS レプリケーション - ハードウェア イベント - 転送された イベント - Hyper-V Server イベントログ ・ UNIX OSのログ - シスログ - /var/adm/loginlog・・・・・Solarisのみ - suログ(/var/adm/sulog)・・・Solaris、HP-UX、AIXのみ ・ GSシステムのログ - アクセス(RACF)ログ - 業務(AIM)ログ ・ Windows Internet Information Service(IIS) ログ - NCSA 共通ログ ファイル形式 - Microsoft IIS ログ ファイル形式 - W3C拡張形式 ・ Apache - アクセスログ NCSA形式(初期形式) - エラーログ - 112 - ・ Systemwalker Centric Managerのログ - opacmdrev(リモートコマンド検索コマンド)で出力したテキストログ - [Systemwalkerコンソール]の監査ログ - サーバアクセス制御の監査ログ ・ Systemwalker Desktop Keeperのバックアップコマンドによるクライアント操作ログ ・ ETERNUS NR1000F seriesイベントログ ・ テキストログ - 監査ログ管理機能の収集規約に合致しているものについて収集可能です。 ・ バイナリファイルのログ - バイナリファイルのログ収集は、V13.2.0以降の運用管理サーバ、被管理サーバまたは中継サーバが必要です。 ・ Systemwalker Operation Manager操作ログ 注意 Windows イベントログ収集、およびWindows Internet Information Service(IIS) ログについての注意事項 ・ Windows イベントログ収集時の注意事項 - イベントログ収集の際、以下の状態になっているイベントログメッセージは「なし」として収集します。 イベントログのメッセージテキストの取得に失敗した場合 例:イベントログを出力したアプリケーションがアンインストールなどで収集対象のシステムに存在しない、またはシステムの状 態によりメッセージが取得できない状態になっている。 - イベントログ(セキュリティ)について セキュリティ監査ポリシーの設定により、イベントログ(セキュリティ)のイベントログ出力量はかなりの量となり、システム監視やシ ステムにも影響を与える恐れがあります。 運用を含め、適切にセキュリティ監査ポリシーを設定し、ログ出力量の絞り込みをしてください。 - カスタムイベントログについて ログ収集定義を行うことで、以下のイベントログを収集することができます。 - Internet Explorer - Key Management Service - Media Center - Virtual Server - アプリケーションのインストール、またはユーザ作成のアプリケーションの追加により、追加されたイベントログ ログ収集定義については、“カスタムイベントログを収集するための設定”を参照してください。 ・ Windows Internet Information Service(IIS) ログについて W3C拡張形式のログを収集する際の注意事項を以下に示します。 - 収集を行うために 拡張プロパティの設定(※)で“日付”の追加出力指定が必要となります。“日付”の出力設定を追加しないと収集できません。 ※「拡張プロパティの設定」については、OSのヘルプを参照してください。 - 時間表示について W3C拡張形式の時間は、GMT時間表示となっています(IISの仕様となっているため変更不可)。ほかのログファイルと比較し た場合、ローカル時間分ずれた時間の表示となります。 null文字を含むログを収集する場合の注意事項 - 113 - null文字を含むログを収集する場合は、テキストログではなく、バイナリログとして収集してください。 10.2 監査ログ管理でログを収集するために 監査ログ管理機能の収集規約について説明します。 監査ログ管理の収集規約 監査ログ管理機能が対応している日付と時間の対応形式を以下に示します。 対応形式 監査ログ管理機能が対応している日付形式、時間形式を以下の表に示します。以下の表の日付、時間を組み合わせることで、監査ロ グ管理機能による収集が可能となります。以下の表に書かれていない形式はテキストログファイルとして収集はできません。そのため、 バイナリファイルとして収集してください。 ユーザがカスタマイズした形式については、“ユーザがカスタマイズした日付、時間に指定できる形式”を参照してください。 対応している日付形式 本機能での日付 名称 説明 例 補足 YYYY:西暦年(~2038) YY:西暦年下2桁(~38) MM:月2桁(01~12) DD:日2桁(01~31) MON:月3文字(“Jan”~“Dec”) 文字 は英語の先頭3文字 TIMEFMT1:時間(下記時間形式を 参照) DATEFMT1 YYYY/MM/DD 本機能のエクスポート形式 IISのIIS形式 DATEFMT2 YYYY-MM-DD IISのW3C拡張形式 DATEFMT3 MM/DD/YYYY - DATEFMT4 DD/MON/YYYY IIS、ApacheのNCSA形式 DATEFMT5 DD-MON-YYYY ORACLEのLISTENERロ グ形式 DATEFMT6 MON DD TIMEFMT1 YYYY Apacheのエラーログ形式 DATEFMT7 MON DD TIMEFMT1 UNIX シスログ形式 DATEFMT8 YYYYMMDD - DATEFMT9 YY/MM/DD - DATEFMT10 MM/DD UNIX suコマンドログ形式 DATEFMT11 DD MON YYYY - DATEFMT12 MM/DD/YY - DATEFMT99 ユーザがカスタマイズした形式 対応している時間形式 本機能での日付名称 説明 TIMEFMT1 HH:MM:SS TIMEFMT2 HH:MM:SS.sss TIMEFMT3 HHMMSS TIMEFMT4 HH:MM TIMEFMT99 ユーザがカスタマイズした形式 補足 HH:時(0~23)または(00~23) MM:分(00~59) SS:秒(00~59) sss:ミリ秒(000~999) - 114 - 日付書式定義ファイルについて 監査ログ管理機能が収集の際に使用する「日付書式定義ファイル」を説明します。 監査ログ管理機能は、「日付書式定義ファイル」と収集対象のログファイルとを対応させ収集を行っています。監査ログ管理機能がサ ンプルとして用意している、「日付書式定義ファイル」を以下の表に示します。 日付書式定義ファイルの場所 Windows Systemwalkerインストールディレクトリ\MPWALKER.DM\mpatm\fmt UNIX /etc/opt/FJSVmpatm/fmt 日付書式定義ファイル ファイル名 説明 mpatmevt.fmt 本機能のエクスポート形式(イベントログ用) mpatmdtk.fmt 本機能のエクスポート形式(Systemwalker Desktop Keeperログ用) mpatmiisw3c.fmt IISのW3C拡張形式 mpatmiis.fmt IISのIIS形式 mpatmncsa.fmt IIS、ApacheのNCSA形式 mpatmoralistener.fmt ORACLEのLISTENERログ形式 mpatmapaerr.fmt Apacheのエラーログ形式 mpatmunixsyslog.fmt UNIXのシステムログ形式 mpatmcmgrrev.fmt opacmdrev(Systemwalker Centric Managerの検索コマンド)の出力形式 mpatmsolarissu.fmt Solaris suログ形式 mpatmsolarisloginlog.fmt Solaris loginlog(/var/adm/loginlog)形式 mpatmcmgroplog.fmt [Systemwalkerコンソール]の監査ログ、またはSystemwalker Centric Managerのサーバアクセス制御の監査ログ形式 mpatmsavelog.fmt 格納ディレクトリ配下のテキストログ形式 mpatmgsracflog.fmt GSシステムのアクセス(RACF)ログ mpatmgsaimlog.fmt GSシステムの業務(AIM)ログ 日付書式定義ファイルの内容 [FORMAT] TOKEN_WORD= DATE_FORMAT=DATEFMT99 DATE_TOKEN_POSIT= DATE_WORD_POSIT= TIME_FORMAT=TIMEFMT99 TIME_TOKEN_POSIT= TIME_WORD_POSIT= [USR_FMT1] USR_FORMAT=%yyyy% USR_TOKEN_POSIT=0 USR_WORD_POSIT=0 [USR_FMT2] USR_FORMAT=%MM% USR_TOKEN_POSIT=1 USR_WORD_POSIT=0 [USR_FMT3] USR_FORMAT=%DD% - 115 - USR_TOKEN_POSIT=4 USR_WORD_POSIT=0 ・・・ 日付書式定義ファイルで指定する情報 説明 セクション/キー FORMAT 日付書式セクション TOKEN_WORD ログレコード内のデータ種を区別するためのトークン区別文字TAB、BLANK、 COMMA、BRACKETのどれかを指定します。 ※TAB:タブ、BLANK:空白、COMMA:カンマ(“,”)、BRACKET:括弧(“[]”) DATE_FORMAT 日付形式を指定します。 DATEFMT1~DATEFMT12のどれかを指定します。 ユーザが指定した日付形式を指定する場合は、DATEFMT99を指定します。 DATE_TOKEN_P OSIT トークン文字で区切られたトークンのうち、どのトークンに日付情報が含まれているか を指定します。 ※位置は0以上の数字を指定します。 ※トークン文字がログレコードの先頭にあり、かつ先頭のトークンの直後に日付情報 がある場合は、1を指定します。Apacheのエラーログ形式を参考にしてください。 DATE_WORD_PO SIT 日付が存在するトークン内の何文字目から日付データが始まるかを指定します。 ※検索位置は0以上の数字を指定します。 TIME_FORMAT 時間形式を指定します。 TIMEFMT1~TIMEFMT4のどれかを指定します。 ユーザが指定した時間形式を指定する場合は、TIMEFMT99を指定します。 TIME_TOKEN_PO SIT トークン文字で区切られたトークンのうち、どのトークンに時間情報が含まれているか を指定します。 ※位置は0以上の数字を指定します。 ※トークン文字がログレコードの先頭にあり、かつ先頭のトークンの直後に時間情報 がある場合は、1を指定します。Apacheのエラーログ形式を参考にしてください。 TIME_WORD_PO SIT 時間が存在するトークン内の何文字目から日付データが始まるかを指定します。 ※検索位置は0以上の数字を指定します。 USR_FMTn ユーザ指定形式セクション ※[USR_FMT1]~[USR_FMT7]まで指定できます。 USR_FORMAT ユーザ指定の形式を指定します。 DATEFMT99、またはTIMEFMT99を指定した場合だけ有効です。 ※最大80文字まで設定できます。 例)%yyyy%、%YYYY%/%MM%/%DD%,%hour%、%a%:%hh%:%min%:%sec%、 %UNIX% USR_TOKEN_PO SIT トークン文字で区切られたトークンのうち、どのトークンにUSR_FORMATで指定した 情報が含まれているかを指定します。 DATEFMT99もしくは、TIMEFMT99を指定した場合のみ有効です。 ※位置は0以上の数字を指定します。 USR_WORD_POS IT USR_FORMAT_POSITで指定したトークンの、何文字目から日付データが始まるか を指定します。途中でトークン文字を含む場合でも指定できます。 DATEFMT99、またはTIMEFMT99を指定した場合だけ有効です。 ※検索位置は0以上の数字を指定します。 ユーザがカスタマイズした日付、時間に指定できる形式は、次のとおりです。内容に応じた指定を行います。指定方法については、“サ ンプル例2”を参照してください。 ユーザがカスタマイズした日付、時間に指定できる形式 - 116 - 形式 西暦年 月 日 時間 時 分 秒 内容 形式 備考 1970~2038 %yyyy% 00~99 %yy% 01~12 %mm% 1~12 %MM% Jan~Dec %mon% January~December %MON% 01~31 %dd% 1~31 %DD% “am”、“pm” %a% “AM”、“PM” %A% 01~12 %hh% ※12時間単位 1~12 %HH% ※12時間単位(先頭に0なし) 00~23 %hour% ※24時間単位 0~23 %HOUR% ※24時間単位(先頭に0なし) 00~59 %min% 0~59 %MIN% 00~59 %sec% 0~59 %SEC% 1970/1/1からの通算秒 %UNIX% 先頭に0なし 先頭に0なし 先頭に0なし 注意事項 ・ USR_FORMATには、年月日時分秒を重複して指定することはできません。 ・ DATEFMT99を指定した場合、DATE_TOKEN_POSITとDATE_WORD_POSITを無視します。 ・ TIMEFMT99を指定した場合、TIME_TOKEN_POSITとTIME_WORD_POSITを無視します。 ・ 日付形式(DATEFMT1~DATEFMT12)とTIMEFMT99、時間形式(TIMEFMT1~TIMEFMT4)とDATEFMT99を組み合わせて 指定することも可能です。ただし、年月日時分秒を重複して指定することはできません。 ・ %UNIX%を指定する場合は、DATE_FORMATにDATEFMT99、TIME_FORMATにTIMEFMT99を指定してください。 初回ログ収集の結果を確認する 指定した形式が正しく指定できていると判断できる条件は、以下のとおりです。 ・ ログデータが日付ごとのファイルに、正しい日付で分割されている場合 指定した形式が正しく指定できていないと判断できる条件は、以下のとおりです。 ・ ログデータが複数の日数に存在するにもかかわらず、収集された日付ファイルが、収集当日のログファイルのみしか存在しない場 合 ・ ログデータが複数の日数に存在するにもかかわらず、日付ごとに分割されてはいるが、ファイル名の日付とデータが一致しない場 合 ・ ログデータが複数の日数が存在するにもかかわらず、「mpatm: 情報: 124」メッセージ(収集対象のログがありませんでした。)が出 力された場合 誤って異なる日付形式を指定してログ収集を行った場合も、監査ログ管理はログファイル情報を格納します。そのため、正しい形式に 修正し、再度ログ収集を行っても一度読み込んだログファイル情報が格納されているため、日付形式が誤っているときに読み込んだロ グデータは収集されません。その際は、形式を修正したログ識別名に対してmpatmdelap(ログ情報削除コマンド)を実施し、ログの管理 - 117 - 情報を削除してからログ収集してください。mpatmdelap(ログ情報削除コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 テキストログを収集する 監査ログ管理機能では、テキストログ中にあるログレコード内の日時をキーに、データの抽出/収集を行います。日付・時間を出力して いるデータは、ログレコード内に複数存在している可能性もあります。 そのため、日付・時間データがログレコード内のどの位置に存在しているかを収集処理内で認識させ、監査ログ管理機能で対応して いる日付・時間形式であれば収集可能となります。監査ログ管理機能は、日付・時間データの位置を「日付書式定義ファイル」という形 で持っています。 複数ファイルを収集する 監査ログ管理機能は、ワイルドカード(*、?)の指定により、複数生成されているログファイルの収集も可能です。 収集可能なログファイルの例を以下に示します。 ・ サイクリック運用しているもの (例) C:\AppLog\log_* ・ カレントのログファイルが固定でローテーションにより番号が増えていくもの (例) C:\AppLog\messages* C:\AppLog\Applog* ・ 日によってファイルが作成されるもの (例) C:\AppLog\log_* - 118 - 収集対象かどうか確認する ログを収集する際に確認すべき点を以下に示します。 - 119 - サンプル例1 収集対象のログファイルのログレコードと、日付書式定義ファイルの定義例を以下に示します。新たに「日付書式定義ファイル」を作成 する場合は、下記例を参考に作成してください。ファイル名、ファイルの拡張子、ファイル作成場所に関しては任意ですが、テキストファ イルで作成する必要があります。 以下の場合、正常にログ収集が行われない場合があります。サンプル例、日付書式定義ファイルの指定する内容を確認の上、作成し てください。 ・ ログレコード内の日時の書式が、監査ログ管理機能が対応している日付形式/時間形式と異なる場合 ・ ログレコード内の日時の書式と、「日付書式定義ファイル」の書式が異なる場合 サンプルで使用している用語を説明します。 用語 説明 時間トークン ログレコード内のトークン文字で区切られた時間データを含むトークン 日付トークン ログレコード内のトークン文字で区切られた日付データを含むトークン 時間検索位置 ログレコード内の時間トークンの先頭から時間データが記述されるまでの文字数 日付検索位置 ログレコード内の日付トークンの先頭から日付データが記述されるまでの文字数 ・ (例) 本機能のエクスポート形式(イベントログから抽出したテキスト形式のログファイルの場合) - ファイル名:mpatmevt.fmt 指定する情報 指定値 トークン区別文字 COMMA 日付フォーマット DATEFMT1 日付トークン位置 0 トークン内の日付検索位置 0 時間フォーマット TIMEFMT1 時間トークン位置 0 トークン内の時間検索位置 11 ・ (例) IISのW3C形式 - 120 - - ファイル名:mpatmiisw3c.fmt 指定する情報 指定値 トークン区別文字 BLANK 日付フォーマット DATEFMT2 日付トークン位置 0 トークン内の日付検索位置 0 時間フォーマット TIMEFMT1 時間トークン位置 1 トークン内の時間検索位置 0 ・ (例) IISのIIS形式 - ファイル名:mpatmiis.fmt 指定する情報 指定値 トークン区別文字 COMMA 日付フォーマット DATEFMT1 日付トークン位置 2 トークン内の日付検索位置 1 時間フォーマット TIMEFMT1 時間トークン位置 3 トークン内の時間検索位置 1 ・ (例) IIS、ApacheのNCSA形式 - ファイル名:mpatmncsa.fmt 指定する情報 指定値 トークン区別文字 BRACKET 日付フォーマット DATEFMT4 - 121 - 指定する情報 指定値 日付トークン位置 1 トークン内の日付検索位置 0 時間フォーマット TIMEFMT1 時間トークン位置 1 トークン内の時間検索位置 12 ・ (例) Apacheのエラーログ形式 - ファイル名:mpatmapaerr.fmt 指定する情報 指定値 トークン区別文字 BRACKET 日付フォーマット DATEFMT6 日付トークン位置 1 トークン内の日付検索位置 4 時間フォーマット TIMEFMT1 時間トークン位置 1 トークン内の時間検索位置 11 ・ (例) UNIXシスログ形式 - ファイル名:mpatmunixsyslog.fmt 指定する情報 指定値 トークン区別文字 COMMA 日付フォーマット DATEFMT7 日付トークン位置 0 トークン内の日付検索位置 0 - 122 - 指定する情報 指定値 時間フォーマット TIMEFMT1 時間トークン位置 0 トークン内の時間検索位置 7 ・ (例) Systemwalker Desktop Keeperバックアップコマンドにより出力されたログの形式 - ファイル名:mpatmdtk.fmt 指定する情報 指定値 トークン区別文字 COMMA 日付フォーマット DATEFMT1 日付トークン位置 1 トークン内の日付検索位置 1 時間フォーマット TIMEFMT1 時間トークン位置 1 トークン内の時間検索位置 12 ・ (例) ORACLE LISTENERログ形式 - ファイル名:mpatmoralistener.fmt 指定する情報 指定値 トークン区別文字 BLANK 日付フォーマット DATEFMT5 日付トークン位置 0 トークン内の日付検索位置 0 時間フォーマット TIMEFMT1 時間トークン位置 1 トークン内の時間検索位置 0 - 123 - ・ (例) SUログ形式 - ファイル名:mpatmsolarissu.fmt 指定する情報 指定値 トークン区別文字 BLANK 日付フォーマット DATEFMT10 日付トークン位置 1 トークン内の日付検索位置 0 時間フォーマット TIMEFMT4 時間トークン位置 2 トークン内の時間検索位置 0 ・ (例) /var/adm/loginlog の形式 - ファイル名:mpatmsolarisloginlog.fmt 指定する情報 指定値 トークン区別文字 BLANK 日付フォーマット DATEFMT6 日付トークン位置 1 トークン内の日付検索位置 0 時間フォーマット TIMEFMT1 時間トークン位置 1 トークン内の時間検索位置 7 - 124 - サンプル例2 監査ログ管理が標準提供している日付形式、時間形式以外について、ユーザがカスタマイズした形式を指定する場合、日付書式 定義ファイル内の“DATE_FORMAT=DATEFMT99”や“TIME_FORMAT=TIMEFMT99”を指定します。この場合、USR_FMTセ クション(USR_FORMAT/USR_TOKEN_POSIT/USR_WORD_POSIT)を追記し、ユーザがカスタマイズした形式を記述します。 日付書式定義ファイル設定例は、以下のとおりです。 ・ 月と年の間の文字が、月により変更するログの場合。(日月+年+時分秒+DATA) - 日付書式定義ファイル [日付形式] カ ス タ マ イ ズ 指 定 し ま す (DATE_FORMAT=DATEFMT99) 。 「 日 - 月 」 は 先 頭 の TOKEN の 先 頭 か ら 始 ま っ て い る の で、 USR_TOKEN_POSIT=0/ USR_WORD_POSIT=0 を 設 定 し ま す 。 「 年 」 は 先 頭 の TOKEN か ら 8 文 字 目 か ら 始 ま る た め、 USR_TOKEN_POSIT=0/ USR_WORD_POSIT=8を設定します。先頭のTOKENからの文字数を設定することで、月と年の間 の文字数が変更されるログに対応できます。 - [時間形式] 時間形式TIMEFMT1と一致するため、TIME_FORMATに指定します。先頭のTOKENから13文字目から始まるため、 TIME_TOKEN_POSIT=0/TIME_WORD_POSIT=13を設定します。先頭のTOKENからの文字数を設定することで、月と年の 間の文字数が変更されるログに対応できます。 [FORMAT] TOKEN_WORD=BLANK DATE_FORMAT=DATEFMT99 DATE_TOKEN_POSIT= DATE_WORD_POSIT= TIME_FORMAT=TIMEFMT1 TIME_TOKEN_POSIT=0 TIME_WORD_POSIT=13 [USR_FMT1] USR_FORMAT=%dd%-%MM% USR_TOKEN_POSIT=0 USR_WORD_POSIT=0 [USR_FMT2] USR_FORMAT=%yyyy% USR_TOKEN_POSIT=0 USR_WORD_POSIT=8 - 125 - ・ 年月と日が分けられているログの場合。(年月+DATA+日+DATA+時分秒) - 日付書式定義ファイル [FORMAT] TOKEN_WORD=COMMA DATE_FORMAT=DATEFMT99 DATE_TOKEN_POSIT= DATE_WORD_POSIT= TIME_FORMAT=TIMEFMT1 TIME_TOKEN_POSIT=3 TIME_WORD_POSIT=0 [USR_FMT1] USR_FORMAT=%yy%/%mm% USR_TOKEN_POSIT=0 USR_WORD_POSIT=0 [USR_FMT2] USR_FORMAT=%dd% USR_TOKEN_POSIT=2 USR_WORD_POSIT=0 ・ 1970/1/1からの通算秒を出力しているログの場合。(通算秒+DATA) 1157084161 data… - 日付書式定義ファイル [FORMAT] TOKEN_WORD=BLANK DATE_FORMAT=DATEFMT99 DATE_TOKEN_POSIT= DATE_WORD_POSIT= TIME_FORMAT=TIMEFMT99 TIME_TOKEN_POSIT= TIME_WORD_POSIT= [USR_FMT1] USR_FORMAT=%UNIX% - 126 - USR_TOKEN_POSIT=0 USR_WORD_POSIT=0 ・ トークン区別文字がBRACKETを使用しているログの場合 BRACKETの“[”と“]”で1つずつと数えます。 - 日付書式定義ファイル [FORMAT] TOKEN_WORD=BRACKET DATE_FORMAT=DATEFMT99 DATE_TOKEN_POSIT= DATE_WORD_POSIT= TIME_FORMAT=TIMEFMT99 TIME_TOKEN_POSIT= TIME_WORD_POSIT= [USR_FMT1] USR_FORMAT=%yyyy% USR_TOKEN_POSIT=1 USR_WORD_POSIT=0 [USR_FMT2] USR_FORMAT=%mm% USR_TOKEN_POSIT=1 USR_WORD_POSIT=6 [USR_FMT3] USR_FORMAT=%dd% USR_TOKEN_POSIT=1 USR_WORD_POSIT=10 [USR_FMT4] USR_FORMAT=%hour% USR_TOKEN_POSIT=3 USR_WORD_POSIT=0 [USR_FMT5] USR_FORMAT=%min% USR_TOKEN_POSIT=3 USR_WORD_POSIT=4 [USR_FMT6] USR_FORMAT=%sec% USR_TOKEN_POSIT=3 USR_WORD_POSIT=8 10.3 監査ログ管理の設定例 監査ログ管理機能を使用した設定例について説明します。 - 127 - 構成 ・ 運用管理サーバの保管ディレクトリ:C:\AuditLogdir ・ 被管理サーバの転送のための転送用ディレクトリ:Systemwalker Centric Managerインストール時の初期値を変更せず使用 設定 被管理サーバ側の設定 1. 収集対象ログファイルを登録します。 被管理サーバ(ホスト名:GyomuServer)上で、収集対象ログファイルの登録を行います。 設定方法として、mpatmdef(ログ収集一括定義コマンド)の入力ファイルに記載する方法と、mpatmlogapdef(ログ収集設定コマ ンド)のパラメタに指定する方法、およびmpatmpset(監査ログ管理ポリシー情報移入コマンド)でポリシーを使用して設定する方 法があります。 - mpatmdef(ログ収集一括定義コマンド)の入力ファイルに記載する場合 上記の構成でmpatmdef(ログ収集一括定義コマンド)の入力ファイルへの記載は以下のとおりです。 TRANSDEF, LOGDEF, APDEF, ADD,Applilog,YES,NO,ASC,”c:\Gyoumu1\Job*.log”,”C:\Systemwalker \Mpwalker.dm\MpAtm\fmt\mpatmunixsyslog.fmt”,,,, - mpatmlogapdef(ログ収集設定コマンド)のパラメタに指定する場合 上記の構成でmpatmtrsdef(ファイル転送情報定義コマンド)に指定するパラメタは以下のとおりです。 mpatmlogapdef ADD -A Applilog -E YES -M ASC -L ”C:\Gyoumu1\Job*.log” -F C: \Systemwalker\Mpwalker.dm\MpAtm\fmt\mpatmunixsyslog.fmt - mpatmpset(監査ログ管理ポリシー情報移入コマンド)でポリシーを使用する場合 運用管理サーバから本コマンドを実行し、ポリシーを適用して設定します。ポリシー設定については、“ポリシーを使用して 設定する”を参照してください。 運用管理サーバ上で収集対象ログファイルの設定を行う場合、以下のサービス/デーモンが起動されている必要があります。 - Windows:“Systemwalker ACL Manager”サービス - UNIX:“MpFwsec”デーモン 2. 収集対象サーバを設定します。 設定方法として、テキストエディタにより編集する方法と、ポリシーを使用して設定する方法があります。詳細については、“収集 対象のサーバを限定する”を参照してください。 - 128 - 運用管理サーバ側の設定 運用管理サーバ上では以下の設定を行います。 1. 格納ディレクトリの設定 設定方法として、mpatmdef(ログ収集一括定義コマンド)の入力ファイルに記載する方法と、mpatmlogapdef(ログ収集設定コマ ンド)のパラメタに指定する方法、およびmpatmpset(監査ログ管理ポリシー情報移入コマンド)でポリシーを使用して設定する方 法があります。 - mpatmdef(ログ収集一括定義コマンド)の入力ファイルに記載する場合 上記の構成でmpatmdef(ログ収集一括定義コマンド)の入力ファイルへの記載は以下のとおりです。 TRANSDEF, REP,C:\AuditLogdir,, LOGDEF, APDEF, - mpatmtrsdef(ファイル転送情報定義コマンド)のパラメタに指定する場合 上記の構成でmpatmtrsdef(ファイル転送情報定義コマンド)に指定するパラメタは以下のとおりです。 mpatmtrsdef REP -S C:\AuditLogdir - mpatmpset(監査ログ管理ポリシー情報移入コマンド)でポリシーを使用する場合 運用管理サーバから本コマンドを実行し、ポリシーを適用して設定します。ポリシー設定については、“ポリシーを使用して 設定する”を参照してください。 格納ディレクトリを設定した場合、以下のユーザだけに限定するように格納ディレクトリのアクセス権を変更します。 - Windows: Administrators権限、およびSYSTEM権限 - UNIX : root権限 また、UNIX環境でNFSマウントしたネットワーク上のパスを格納ディレクトリに指定する場合は、事前に問題なくパスにアクセスで きることを確認してください。ファイルサーバのダウンなどが原因でパスが利用できない場合、NFSタイムアウトが発生するまで処 理が終了しません。 格納ディレクトリの設定を行う場合、以下のサービス/デーモンが起動されている必要があります。 - Windows:“Systemwalker ACL Manager”サービス - UNIX:“MpFwsec”デーモン 2. 収集するためのスケジュールの設定 ツール(タスクスケジューラなど)を使用し、運用に合わせた時間でmpatmlog(ログ収集コマンド)をスケジュール設定します。 中継サーバ側の設定 中継サーバを設定する場合は以下の設定を行います。 全体監視サーバで監査ログを管理し、運用管理サーバ上で中継サーバの設定を行う場合は、以下のサービス/デーモンが起動されて いる必要があります。 ・ Windows:“Systemwalker ACL Manager”サービス ・ UNIX:“MpFwsec”デーモン 1. 中継サーバを設定します。 mpatmsvrtypedef(サーバ種別設定コマンド)を使用して設定してください。 mpatmsvrtypedef REP -R - 129 - 2. 格納ディレクトリを設定します。 中継サーバは、運用管理サーバと被管理サーバを兼用します。運用管理サーバと同様に格納ディレクトリを設定してください。 3. 収集対象ログファイルを登録します。 中継サーバ上のログを収集したい場合は、被管理サーバと同様に収集対象ログファイルを登録してください。 4. 被管理サーバから収集したログを運用管理サーバに転送するための定義を行います。 mpatmlogapdef(ログ収集設定コマンド)を使用して設定してください。 mpatmlogapdef(ログ収集設定コマンド)に指定するログ識別名には、被管理サーバと同一のログ識別名を設定する必要はありま せん。任意のログ識別名を指定してください。 また、収集対象ログファイル名の文字コードには、監査ログ管理で収集したログファイル名に付加されている文字コードを指定し ます。収集したログファイル名については、“監査ログの一覧を参照する”を参照してください。 収集対象ログファイル名の指定方法 収集対象ログファイル名は、以下のように指定します。 - 被管理サーバの、すべてのテキストログファイルを収集する場合 mpatmlogapdef ADD -A ログ識別名 -M ASC -L "格納ディレクトリ\被管理サー バ名_*_文字コード_*.log" 被管理サーバから収集したテキストログを運用管理サーバに転送する場合、日付書式定義ファイルの指定は省略可能 です。ただし、省略する場合、事前にmpatmsvrtypedef(サーバ種別設定コマンド)で中継サーバの設定を行っておく必要 があります。 日付書式定義ファイルの指定を省略した場合は、"mpatmsavelog.fmt"が設定されています。 なお、日付書式定義ファイルの指定を省略した場合は、テキストログファイルとしてログ収集します。 - 被管理サーバの、すべてのバイナリログファイルを収集する場合 mpatmlogapdef ADD -A ログ識別名 -M ASC -L "格納ディレクトリ\被管理サー バ名_*_B_*.log" -F BIN バイナリログファイルの場合は、日付書式定義ファイルに“BIN”を指定します。 - 被管理サーバの、指定したログ識別子がファイル名に含まれるテキストログファイルを収集する場合 mpatmlogapdef ADD -A ログ識別名 -M ASC -L "格納ディレクトリ\被管理サー バ名_ログ識別名_文字コード_*.log" - 被管理サーバの、指定したログ識別子がファイル名に含まれるバイナリログファイルを収集する場合 mpatmlogapdef ADD -A ログ識別名 -M ASC -L "格納ディレクトリ\被管理サー バ名_ログ識別名_B_*.log" -F BIN mpatmlogapdef(ログ収集設定コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照し てください。 設定時には、以下の点に注意してください。 - ログ識別名は、任意の名前を指定してください。被管理サーバ名とログ識別名と組み合わせた名前を用いると管理がし やすくなります。 中継したログには、ログファイル名にログ識別名を付加しません。そのため、運用管理サーバには被管理サーバから収 集したファイル名のまま収集します。 - 収集対象ログファイルがバイナリログファイルで、mpatmlogapdefコマンドに“ADD”、または“REP”を指定した場合は、“F BIN”を必ず指定してください。 - 以下の場合、mpatmlog(ログ収集コマンド)を実行すると、「mpatm: エラー: 990」を出力してエラー終了します。 【収集対象ログファイル名の文字コード指定を省略した場合】 - 130 - 収集対象ログファイル名の文字コード指定を省略すると、収集対象ログファイルにテキストログファイルとバイナリログファ イルが混在してログ収集される可能性があります。 例:収集対象ログファイル名に“格納ディレクトリ\被管理サーバ名_ログ識別名_*.log”のように指定した場合 【収集対象ログファイル名の文字コードと異なる日付書式定義ファイル名を指定した場合】 収集対象ログファイル名の文字コードと異なる日付書式定義ファイル名を指定すると、誤った文字コードでログ収集します。 例1:テキストログファイルを収集するのに日付書式定義ファイルに“BIN”を指定した場合 例2:バイナリログファイルを収集するのに日付書式定義ファイルに“mpatmsavelog.fmt”を指定した場合 例3:日付書式定義ファイルの指定を省略した場合 - ファイル名の長さが6バイト以上のバイナリログファイルをテキストログファイルとして収集した場合、以下の例のようにログ ファイル名が不当な状態でログ収集が正常終了する場合があります。 例) 中継サーバ上の格納ディレクトリ内のログファイル:svr_id_B_20070514_wtmp01_0001.log 運用管理サーバ上に収集されるログファイル名:svr_id_B__0001.log 5. 収集対象サーバを設定します。 被管理サーバと同様に、収集するサーバを設定してください。 6. 収集するためのスケジュールを設定します。 運用管理サーバと同様に、ツール(タスクスケジューラ等)を使用し、運用に合わせた時間でmpatmlog(ログ収集コマンド)をスケ ジュール設定してください。 ただし、中継サーバからの収集をツール(タスクスケジューラ等)で設定した場合は、運用管理サーバからの収集のスケジュールを、 中継サーバの収集が完了した後に行うように設定してください。 収集状況 監査ログ管理機能は、ログが出力された順序に従って収集します。 ログの日付が翌日になったことを検出した時点で収集ファイル(格納)の日付を更新します。 監査ログ管理機能による収集状況は、以下のとおりです。 - 131 - ・ 日付順に格納されるログファイルの収集 ・ 日付が混在するログファイルの収集 - 処理中の日付より過去の日付のログは、収集対象期間内の日付の場合、処理中の日付の収集ファイルに格納します。 - 132 - ・ 日付のないログが格納されるログファイルの収集 - 日付のないログを検出したときに、処理中の日付が明確になっている場合は、その処理中の日付の収集ファイルに格納します。 - 日付のないログを検出した時に、処理中の日付が明確になっていない場合は、日付が明確になった時点で、その日付の収集 ファイルに格納します。 - 日付のないログしか存在しない場合は、ログ収集を実施した日付の収集ファイルに格納します。 また、日付書式定義ファイルの形式とログ形式が一致しない場合も同様です。 ・ 日付が収集日よりも未来のログが格納されるログファイルの収集 - 未来日付のログを検出したときに、処理中の日付が明確になっている場合は、その処理中の日付の収集ファイルに格納します。 - 133 - - 未来日付のログを検出したときに、処理中の日付が明確になっていない場合は、日付が明確になった時点で、その日付の収 集ファイルに格納します。 - 未来日付のログしか存在しない場合は、ログ収集を実施した日付の収集ファイルに格納します。 監査ログ管理の収集について ・ 収集対象のログを複数回転送される場合(上記の場合、2006/05/07のデータが複数回転送されている)は、運用管理サーバ側で、 2006/05/07のログデータとしてまとめて管理します。 ・ 収集を行う間隔は、ログを出力する製品・機能の以下の内容を考慮して決めてください。 - 出力するログ出力数 - ログを出力する製品の運用状況 - ネットワーク容量 10.4 監査ログ管理のしくみ 監査ログ管理機能で収集を行うしくみについて説明します。 テキストファイルを収集する場合の監査ログ管理のしくみ 収集のしかた 収集対象のログファイル内のログレコードから、ログレコードの日付から日付単位にファイルを作成し管理します。 初回収集 - 134 - 上記の初回収集の場合、2006/5/1から2006/5/8まで収集し、格納ディレクトリには、2006/5/1のデータから2006/5/8(当日)までのログデー タを格納します。 テスト運用から本運用前に収集したログファイルは、運用に従いCD-R/DVD-Rなどの別媒体にバックアップし、バックアップした後の データは削除するなどしてください。 時間外データ、日時データがないデータについて 時間外データ(時系列にならんでいないデータ)、ログレコード内の日時データ(形式が一致する日付と時間が付加されているデータ) がないデータについて、監査ログ管理機能の扱いについて説明します。 初回収集 初回の収集において、日時データの確認ができるログレコードの前にある日時データがないデータは、収集当日のデータに含めて収 集します。日時データの場合、収集対象外日付のものは収集対象外とします。 2回目以降の収集 - 135 - 前回収集したログレコードの次に時間外データがある場合は、以下のようになります。 ・ ログレコードの日付が収集対象外の場合は、収集対象外 ・ ログレコードの日付が現在処理している日付より古く、収集対象内の日付の場合は、現在処理している日付ファイルに追加 また、日時データがないデータは、収集当日のデータに含めて収集します。 ファイル名に設定する“サーバ名”について 監査ログ管理機能では、収集したログファイルの名前に、サーバ名(Systemwalker Centric Managerで指定する自ホスト名)を付け、対 象ログ(ログ識別名)、日付ごとのファイルとして管理しています。 サーバ名に以下の文字がある場合、別名に変更をしてください。 ・ “\”(0x5C)、“/”(0x2F)、“:”(0x3A)、“,”(0x2C)、“;”(0x3B)、“*”(0x2A)、“?”(0x3F)、“"”(0x22)、“<”(0x3C)、“>”(0x3E)、“|”(0x7C) の文字があるサーバ ・ サーバ名の先頭、または最後の文字に“-”(0x2D)があるサーバ また、自ホスト名に“_”(0x5F)、“ ”(0x20)を設定している場合は、“-”(ハイフン 0x2D)に置き換えて収集を行います。 バイナリファイルを収集する場合の監査ログ管理のしくみ 収集のしかた バイナリデータは、ログレコードの時間情報を識別することができません。そのため、テキストファイルと異なり、日付単位に分割した管 理ができません。代わりにファイルの最終更新日付で日付単位にファイルを作成し管理します。 監査ログ管理では、バイナリファイルは以下のことを想定しています。 ・ Lotus Notes/DominoのDBログ(約300MB) ・ 暗号化されたログファイル ・ 日付データがないテキストログファイル ・ /var/adm/wtmpx 初回収集 バイナリファイルの収集は、テキストファイルの収集と異なり差分収集せず、ファイル単位で収集します。そのため、複数ファイルの場合、 ログ収集のデータ量が多くなることが予想されます。監査ログ管理を使用した収集を行う場合、初回のログ収集は7日までさかのぼった 収集対象期間内のログをすべて収集します。そのため、膨大なログデータの収集によるネットワーク負荷を抑えるために、分割転送お よび転送間隔を指定してください。また、複数ログファイルの収集で、初回の収集は収集対象ファイルリスト内で最新ファイルだけを収 集することを選択することも可能です。 - 136 - 以下の図は、収集期間内の最新ファイルの選択処理について説明しています。 2回目以降の収集 バイナリファイルの収集では、差分収集しないため、運用管理サーバに収集するとディスク容量をテキストファイルよりも費やします。そ のため、バイナリログファイルが累積型のログで、同日に複数回ログ収集を行った場合、最新のログファイルだけ保管することもできます。 収集対象 初回収集時は、以下の条件で収集します。 ・ 単一ファイルの場合 指定したファイルの最終更新日付が収集期間内であれば収集します。 ・ 複数ファイルの場合 指定した複数ファイルのうち、最終更新日付が収集期間内であれば収集します。ただし、収集対象のファイルの総容量が大容量 でネットワーク負荷をかけたくない場合は、収集期間内の最終更新日付が、最新のファイルのみを収集することも選択可能です。 ・ 2回目以降は、ファイルの最終更新日付が収集期間内で前回収集時より新しいファイルをすべて収集します。 ・ 2回目以降は、差分収集を行わず、別ファイルとして収集します。ただし、同一日にログ収集を複数回実行した場合のみ、上書き ファイルとして保存できることも選択可能です。 収集したファイル名 収集ファイルは、以下のファイル名形式で作成します。 被管理サーバ名_ログ識別名_文字コード_YYYYMMDD_収集対象ファイル名_通番.log ・ YYYYMMDD:収集対象ファイルの最終更新日付 - 137 - ・ 文字コード:“B” バイナリファイルの“B”を付加します ・ 収集対象ファイル名:収集ファイル名 拡張子も付加しますが、その際、“.”(0x2E)は“-”(ハイフン 0x2D)に置き換えます。また、以 下の文字についても“-”(ハイフン 0x2D)に置き換えます。 “_”(0x5F)、“ ”(0x20)、“\”(0x5C)、“/”(0x2F)、“:”(0x3A)、“,”(0x2C)、“;”(0x3B)、 “*”(0x2A)、“?”(0x3F)、“"”(0x22)、“<”(0x3C)、“>”(0x3E)、“|”(0x7C) ・ 通番:同一日にログ収集を複数回実行した場合の収集回数(0001~9999)です。上書きするを選択した場合、通番は“0001”固定 となります。通番が“9999”を超えた場合は、「mpatm: エラー: 672」が出力され、該当ログ識別名のログ収集は失敗します。 収集する時の転送設定 テキストファイルの転送と同様に、以下の設定が可能です。 ・ 分割転送サイズ ・ 転送間隔 10.5 監査ログを収集・保管するための設定 監査ログ管理機能を使用して、各サーバ(運用管理サーバ/部門管理サーバ/業務サーバ)と運用管理クライアント上にあるログを収 集・保管するための設定について説明します。 サーバ(運用管理サーバ/部門管理サーバ/業務サーバ) 設定方法には、以下の3つがあります。 ・ コマンドの入力ファイルに記載して設定する 監査ログ管理機能の導入時に使用します。 - 138 - ・ コマンドを使用して設定する 運用中に監査ログ管理機能の設定を変更する場合に、リモートコマンドなどを使用して運用管理サーバ上から実施して使用します。 ・ ポリシーを使用して設定する 以下の場合に使用します。 - 監査ログ管理機能を導入する場合 - 監査ログ分析機能を使用してログ分析を行う場合 - ポリシーに従ったログ収集を行う場合 - 収集対象マシンが多い場合 また、必要に応じて以下の設定を行います。 ・ 収集対象のログの定義 ・ 収集対象のサーバを限定する(必須) ・ 収集したログファイルを二次媒体装置へ複写するための設定 ・ 中継サーバを利用するための設定 ・ カスタムイベントログを収集するための設定 なお、運用管理サーバ上で監査ログを収集・保管するための設定を行う場合、以下のサービス/デーモンが起動されている必要があり ます。 ・ Windows:“Systemwalker ACL Manager”サービス ・ UNIX:“MpFwsec”デーモン 運用管理クライアント 運用管理クライアントで、デフォルトで定義されている収集できるログは、以下のログです。 ・ Windows イベントログ - アプリケーション - セキュリティ - システム ・ Systemwalkerコンソールの監査ログ 設定は、mpsetlogsend_swgui(Systemwalkerコンソール監査ログ収集設定コマンド)で行います。詳細については、“Systemwalkerコン ソール/コンソール操作制御の監査ログ”を参照してください。 Systemwalkerコンソールの監査ログ以外の設定方法には、以下の2つがあります。 ・ コマンドの入力ファイルに記載して設定する ・ コマンドを使用して設定する また、以下の設定を行います。 ・ 収集対象のサーバを限定する 10.5.1 コマンドの入力ファイルに記載して設定する ログ収集するための情報をコマンドの入力ファイルに記載して、設定する方法について説明します。この方法は、監査ログ管理機能の 導入時に使用してください。 1. コマンドの入力ファイルを編集する 設定場所:運用管理サーバ、被管理サーバ、中継サーバ - 139 - 2. 編集した定義ファイルを適用する 設定場所:運用管理サーバ、被管理サーバ、中継サーバ コマンドの入力ファイルを編集する 入力ファイルのサンプルの格納先 設定用の入力ファイルは、サンプル(監査ログ管理設定サンプルファイル)として提供します。サンプルファイルをコピーし、コピーした ファイルを環境に応じて修正した上で、編集したファイルを入力ファイルとして使用してください。 Windows Systemwalkerインストールディレクトリ\MPWALKER.DM\MpAtm\sample\mpatmdef.dat UNIX /etc/opt/FJSVmpatm/sample/mpatmdef.dat 監査ログ管理設定サンプルファイル(mpatmdef.dat)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参 照してください。 入力ファイルを編集する 監査ログ管理設定サンプルファイルをコピーし、コピーしたファイルを環境に応じて修正した上で、編集したファイルで設定を行います。 設定する内容について以下に示します。 1. 格納ディレクトリの設定 格納ディレクトリの設定は、運用管理サーバ・中継サーバに設定します。被管理サーバから収集したログを、運用管理サーバ・ 中継サーバ上に格納する場所を設定します。Systemwalker Centric Managerインストール時は格納ディレクトリの設定はされて いません。 また、格納ディレクトリのディスク容量に対してディスク使用量をしきい値として指定することもできます。しきい値を設定するとロ グ収集コマンド実行時に、ログを転送する前に空き容量不足を検出できるため、無駄なログ転送がなくなります。また、格納ディ レクトリのディスク容量不足を未然に検知することができます。 注意 格納ディレクトリを設定する際の注意事項 - 格納ディレクトリを変更する場合、変更前の格納ディレクトリを削除する前に実行してください。削除して実行した場合、「mpatm: エラー: 691」が出力され、失敗します。この場合、変更前の格納ディレクトリを作成した上で再実行してください。 - ディレクトリ名について 格納ディレクトリ名は、監査ログ管理機能で収集したファイル名に使用します。そのため、長いファイル名や深い階層を指定 しないでください。 (例) D:\Auditlog, /Auditlog など - アクセス権設定について 格納ディレクトリを設定した場合、以下のユーザだけに限定するように格納ディレクトリのアクセス権を変更します。 - Windows :Administrators権限、およびSYSTEM権限 - UNIX : root権限 - Windows x64の場合、格納ディレクトリには“Windowsディレクトリ\system32”配下を指定しないでください。 - 格納ディレクトリにSystemwalker Centric Managerのインストールディレクトリ配下を指定した場合、Systemwalker Centric Managerをアンインストールすると収集したログファイルも削除されます。格納ディレクトリに Systemwalker Centric Managerの インストールディレクトリ配下を指定しないことをお勧めします。 - 140 - - UNIX環境でNFSマウントしたネットワーク上のパスを格納ディレクトリに指定する場合は、事前に問題なくパスにアクセスで きることを確認してください。ファイルサーバのダウンなどが原因でパスが利用できない場合、NFSタイムアウトが発生するま で処理が終了しません。 2. 転送のための転送用ディレクトリの変更 Systemwalker Centric Managerインストール時は、以下のディレクトリが設定されています。 Windows Systemwalkerインストールディレクトリ\MPWALKER.DM\MpAtm\sendlog UNIX /var/opt/FJSVmpatm/sendlog Systemwalker Centric Managerのインストールされているディスクのディスク空き容量に余裕がない場合、転送の際の転送用ディ レクトリを変更してください。 注意 転送用ディレクトリを変更する場合の注意事項 - アクセス権設定について 転送用ディレクトリを設定した場合、以下のユーザだけに限定するように転送用ディレクトリのアクセス権を変更します。 - Windows:Administrators権限、およびSYSTEM権限 - UNIX : root権限 - Windows x64の場合、転送用ディレクトリは、“Windowsディレクトリ\system32”配下を指定しないでください。 3. 分割転送サイズ、転送間隔の変更 ログファイルを収集するときの多重度、転送するときの分割転送サイズ、転送間隔および圧縮転送を設定します。Systemwalker Centric Managerインストール時は、以下の値が設定されています。 分割転送サイズ 60 (MB) 転送間隔 5 (秒) ログ収集多重度 1 圧縮転送 圧縮転送しない 4. 収集するログファイルの設定 収集するログファイルを設定します。 設定例 ・ 運用管理サーバに設定する入力ファイルの例 - 格納ディレクトリ: D:\AuditLog - 収集したいログファイル名: IIS 共通ログファイル形式 - 格納先ディレクトリ:C:\WINNT\system32\LogFiles\W3SVC1\*.log - ワイルドカード指定時の昇順/降順設定: ASC (昇順) 上記例の場合、入力ファイルは、以下のようになります。 TRANSDEF, REP,D:\AuditLog,, LOGDEF, APDEF, REP,IISNCSALog,YES,NO,ASC,”C:\WINNT\system32\LogFiles\W3SVC1\*.log”,,,,, - 141 - ・ 被管理サーバ(部門管理サーバ、業務サーバ)に設定する入力ファイルの例 - 分割転送サイズ: 50 (MB) - 転送間隔: 3 (秒) - 収集したいログファイル名: Apacheアクセスログ - 格納先ディレクトリ: C:\Apache\Logs\Aaccess.* - ワイルドカード指定時の昇順/降順設定: ASC (昇順) 上記例の場合、入力ファイルは、以下のようになります。 TRANSDEF LOGDEF, REP,,50,3,1,NO, APDEF, REP,ApacheAccessLog,YES,NO,ASC,”C:\Apache\Logs\Aaccess.*”,,,,, 監査ログ管理設定サンプルファイル(mpatmdef.dat)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参 照してください。 収集するログの定義 収集するログファイルの定義、または、Systemwalker Centric Managerのリモートコマンド検索ログ、Systemwalker Desktop Keeperのバッ クアップコマンドによるクライアント操作ログの収集定義については、“収集対象のログの定義”を参照してください。 編集した定義ファイルを適用する 「運用管理サーバ」、「被管理サーバ」、「中継サーバ」へ編集した入力ファイルを、FTPなどを使用して配置します。それぞれのサーバ 上で以下のコマンドを実行します。 mpatmdef -F 配置した入力ファイル名 →「配置した入力ファイル」の記述内容が設定されます。 mpatmdef (ログ収集一括定義コマンド)の詳細については、“Systemwalker Centric Manager マニュアル”を参照してください。 設定例 ・ 業務サーバ上で、入力ファイル(c:\GyoumuFile.dat)を配置し、mpatmdef(ログ収集一括定義コマンド)を実施します。 mpatmdef -F c:\GyoumuFile.dat 10.5.2 コマンドを使用して設定する 各定義コマンドを使用して設定する方法を説明します。この方法は、運用中に監査ログ管理機能の設定を変更する場合に、リモートコ マンドなどを使用して運用管理サーバ上から実施します。 1. 格納ディレクトリを変更する 設定場所:運用管理サーバ、中継サーバ 2. 転送のための転送用ディレクトリを変更する 設定場所:運用管理サーバ、被管理サーバ、中継サーバ - 142 - 3. ログファイルを収集する時の多重度、分割転送サイズ、転送間隔および圧縮転送を 変更する 設定場所:被管理サーバ、中継サーバ 4. 収集するログファイルを更新する 設定場所:運用管理サーバ、被管理サーバ、中継サーバ 格納ディレクトリを変更する 以下のコマンドを実行して、格納ディレクトリを変更します。 mpatmtrsdef REP -S 格納ディレクトリ →「格納ディレクトリ」に指定したディレクトリをログ格納先として変更します。 また、mpatmtrsdef(ファイル転送情報定義コマンド)にオプション(-V)を指定すると格納ディレクトリのディスク容量に対してディスク使用 量をしきい値として指定することができます。しきい値を設定するとログ収集コマンド実行時、ログを転送する前に、空き容量不足を検 出できるため無駄なログ転送がなくなります。また、格納ディレクトリのディスク容量不足を未然に検知することができます。 mpatmtrsdef(ファイル転送情報定義コマンド)、mpatmlog(ログ収集コマンド)の詳細については、“Systemwalker Centric Manager リ ファレンスマニュアル”を参照してください。 注意 格納ディレクトリを変更する際の注意事項 ・ 格納ディレクトリを変更する場合、変更前の格納ディレクトリを削除する前に実行してください。削除して実行した場合、「mpatm: エ ラー: 691」が出力され、失敗します。この場合、変更前の格納ディレクトリを作成した上で再実行してください。 ・ 格納ディレクトリには、多くの被管理サーバのログを格納するため、ディスク容量に余裕のあるパーティション、ドライブ上を格納ディ レクトリに設定してください。格納ディレクトリの見積もりについては、“Systemwalker Centric Manager 導入手引書”で、“運用管理 サーバの環境構築”の“監査ログ管理に必要な資源”を参照してください。 ・ ディレクトリ名について 格納ディレクトリ名は、監査ログ管理機能で収集したファイル名に使用します。そのため、長いファイル名や深い階層を指定しない でください。 (例) D:\Auditlog, /Auditlog など ・ アクセス権設定について 格納ディレクトリを設定した場合、以下のユーザだけに限定するように格納ディレクトリのアクセス権を変更します。 Windows:Administrators権限、およびSYSTEM権限 UNIX : root権限 ・ Windows x64の場合、格納ディレクトリには“Windowsディレクトリ\system32”配下を指定しないでください。 ・ 格納ディレクトリに Systemwalker Centric Managerのインストールディレクトリ配下を指定した場合、Systemwalker Centric Manager をアンインストールすると収集したログファイルも削除されます。格納ディレクトリに Systemwalker Centric Managerのインストール ディレクトリ配下を指定しないことをお勧めします。 ・ 中継サーバを使用し、被管理サーバから収集したログを運用管理サーバに収集する設定を行っている場合に、格納ディレクトリを 変更すると被管理サーバから収集したログを運用管理サーバに収集できなくなります。そのため、格納ディレクトリを変更する場合 は、被管理サーバから収集したログを運用管理サーバに収集するための収集対象ログファイルの設定も変更してください。 ・ UNIX環境でNFSマウントしたネットワーク上のパスを格納ディレクトリに指定する場合は、事前に問題なくパスにアクセスできること を確認してください。ファイルサーバのダウンなどが原因でパスが利用できない場合、NFSタイムアウトが発生するまで処理が終了 しません。 - 143 - 転送のための転送用ディレクトリを変更する Systemwalker Centric Managerインストール時は、以下のディレクトリが設定されています。 Windows Systemwalkerインストールディレクトリ\MPWALKER.DM\MpAtm\sendlog UNIX /var/opt/FJSVmpatm/sendlog Systemwalker Centric Managerのインストールされているディスクのディスク空き容量に余裕がない場合、以下のコマンドを実行し、転 送の際の転送用ディレクトリを変更してください。 mpatmlogdef REP -T 転送用ディレクトリ →「転送用ディレクトリ」に指定したディレクトリを一時格納先にします。 注意 転送用ディレクトリを変更する場合の注意事項 ・ アクセス権設定について 転送用ディレクトリを設定した場合、以下のユーザだけに限定するように転送用ディレクトリのアクセス権を変更します。 - Windows:Administrators権限、およびSYSTEM権限 - UNIX : root権限 ・ Windows x64の場合、転送用ディレクトリには“Windowsディレクトリ\system32”配下を指定しないでください。 ログファイルを収集する時の多重度、分割転送サイズ、転送間隔および圧縮転送を変更する ログファイルを収集するときの多重度、分割転送サイズ、転送間隔および圧縮転送を設定します。Systemwalker Centric Managerイン ストール時は、以下の値が設定されています。 分割転送サイズ 60 (MB) 転送間隔 5 (秒) ログ収集多重度 1 圧縮転送 圧縮転送しない 1. ログファイルを収集するときの多重度、分割転送サイズ、転送間隔および圧縮転送を変更する場合は、以下のコマンドを実行し ます。 mpatmlogdef REP -S 分割転送サイズ -I 転送間隔 -P ログ収集多重度 -C YES →「ログ収集多重度、分割転送サイズ、転送間隔、圧縮転送」が指定した値に変更されます。 多重度とは、被管理サーバでログ収集を行う際に、ログ収集処理を同時に実行するログ識別名の数です。多重度数を設定することで ログ収集を効率的に実行することが可能です。 mpatmlogdef(ログ収集情報定義コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してくだ さい。 収集するログファイルを更新する 収集するログファイルを更新します。 1. 収集するログファイルの内容を確認する 以下のコマンドを実行し、収集するログファイルの一覧を確認します。 mpatmlogapdef DISP - 144 - 2. 収集定義しているログファイルの収集を中断する 以下のコマンドを実行し、収集するログファイルの収集を中断します。 mpatmlogapdef REP -A 収集対象のログファイルのログ識別名 -E NO 3. 収集対象のログファイルを追加/登録する 以下のコマンドを実行し、収集するログファイルを追加します。 mpatmlogapdef ADD -A ログ識別名A -E YES -L ログファイル -F 日付書式定義ファイル名 日付書式定義ファイルのフルパスの代わりに“BIN”を指定した場合、バイナリファイルのログ収集となります。 →「ログ識別名A」がログ収集の対象として定義されます。 4. 収集を中断したログファイルの収集を再開する 以下のコマンドを実行し、ログファイルの収集を再開します。 mpatmlogapdef REP -A 収集対象のログファイルのログ識別名 -E YES 収集するログの定義 収集するログファイルの定義、または、Systemwalker Centric Managerのリモートコマンド検索ログ、Systemwalker Desktop Keeperのバッ クアップコマンドによるクライアント操作ログの収集定義については、“収集対象のログの定義”を参照してください。 mpatmlogapdef(ログ収集設定コマンド)の詳細、ログ識別名の予約語については、“Systemwalker Centric Manager リファレンスマニュ アル”を参照してください。 10.5.3 ポリシーを使用して設定する ポリシーを使用して設定する方法を説明します。監査ログ管理機能の導入時に使用します。監査ログ分析機能を使用してログ分析を 行いたい場合、ポリシーに従ったログ収集を行う場合や収集対象マシンが多い場合に使用します。特に監査ログ分析機能を使用して ログ分析を行いたい場合、必ずポリシーを使用した設定を行ってください。 1. ポリシーを設計する 2. 監視ツリーを作成する(必要に応じて) 設定場所:[Systemwalkerコンソール] 3. ポリシーを作成する 設定場所:運用管理サーバ 4. 中継サーバを設定する(必要に応じて) 設定場所:[Systemwalkerコンソール](リモートコマンド使用) 5. ポリシーを登録する 設定場所:運用管理サーバ - 145 - 6. ポリシーを配付する 設定場所:[Systemwalkerコンソール] 7. 中継サーバ上の被管理サーバのログ収集を定義する(必要に応じて) 設定場所:[Systemwalkerコンソール](リモートコマンド使用)、 または運用管理サーバ ポリシーを設計する ポリシーを使用したログ収集の設定を行うには、現在のシステム内のどのサーバ上のログを収集するか、どのような経路でログを収集するか などを検討します。 以下に考慮する観点を説明します。 ・ 収集対象のサーバを選定 Systemwalker Centric Managerで構成するシステム内のどのサーバからログを収集するかを選定します。この場合、サーバ内で出 力するログ(システムのログやアプリケーションのログ)から収集する必要があるサーバを選定します。 ・ 収集対象のログを選定 Systemwalker Centric Managerで構成するシステム内の各サーバから収集するログを選定します。 Windows システム Solaris イベントログ シスログ アプリケーションログ loginlog システムログ suログ Linux シスログ HP-UX、AIX シスログ suログ セキュリティログ DNSサーバログ ファイルリプリケーショ ン複製サービスログ ディレクトリサービスロ グ - 146 - Windows Solaris Linux HP-UX、AIX DFSリプリケーションロ グ ハードウェアイベントロ グ Forwardedイベント WEB IIS(収集形式) Apache(アクセスログ、エラーログ) Apache(アクセスログ、 エラーログ) Systemwalker Centric Manager リモートコマンド検索コマンド サーバ操作 制御の監査 ログ(注) [Systemwalkerコンソール]の監査ログ サーバ操作制御の監査ログ(注) サーバアクセス制御の監査ログ アプリケーション 任意 任意 任意 任意 注) 旧バージョンのシステムで収集されたサーバ操作制御の監査ログ アプリケーションログについては、収集するログ形式も検討します。 ログ形式が、既存の日付書式定義ファイルに一致しない場合は、日付書式定義ファイルを新規に作成してください。 ・ ログ収集を行うサーバの選定 運用管理サーバだけで収集を行うのか、中継サーバを設置するかを検討します。中継サーバの検討は、特に収集処理に費やす 時間を意識した収集を行いたい場合などに設置すると有効です。 ・ ログ収集を行うサーバの限定 収集対象のサーバから、ログ収集を行うサーバを限定するか検討します。 ログ収集を行うサーバを限定すると、ログ収集を許可したサーバ以外のサーバからログを収集することができなくなるため、セキュ リティが向上します。詳細については、“収集対象のサーバを限定する”を参照してください。 ・ 格納ディレクトリの選定(運用管理サーバまたは中継サーバの設定) 運用管理サーバまたは中継サーバの格納ディレクトリ(被管理サーバから収集したログファイルを保管するディレクトリ)を選定しま す。ポリシーを配付するサーバにディレクトリが存在しない場合は、ポリシー適用時に作成します。 格納ディレクトリを設定した場合、以下のユーザだけに限定するように格納ディレクトリのアクセス権を変更します。 - Windows:Administrators権限、およびSYSTEM権限 - UNIX : root権限 ・ 転送用ディレクトリの選定 被管理サーバの転送用ディレクトリ(収集したログを運用管理サーバに転送するためのディレクトリ)を選定します。ポリシーを配付 するサーバにディレクトリが存在しない場合は、ポリシー適用時に作成します。 転送用ディレクトリを設定した場合、以下のユーザだけに限定するように転送用ディレクトリのアクセス権を変更します。 - Windows:Administrators権限、およびSYSTEM権限 - UNIX : root権限 ・ ログの転送についての検討 分割転送するデータサイズ、転送間隔および転送ファイルの圧縮について検討します。デフォルトでは、データサイズ:60 MB、転 送間隔:5 秒、非圧縮です。 ・ ログの収集についての検討 被管理サーバでログ収集を行う際に、ログ収集処理を同時に実行するログ識別名の数(多重度)について検討します。デフォルト では、多重度:1です。 - 147 - ・ ポリシーを配付するサーバで、ポリシーを共通にできる範囲を選定 運用管理サーバ、中継サーバおよび被管理サーバにおいて、収集するログや転送用ディレクトリ、格納ディレクトリの設定する値 により、共通範囲を選定します。 監視ツリーを作成する 複数のノードに対して同じポリシーを設定する場合は、運用管理クライアントまたは運用管理サーバ(Windowsのみ)から[Systemwalker コンソール]を起動し、監視ツリーを作成します。 ノードを指定してポリシーを設定する場合や、すべてのノードに同じポリシーを設定する場合は、監視ツリーを設定する必要はありませ ん。 複数のノードに対して異なるポリシーを設定する場合は、監視ツリーにポリシーの種類分のフォルダを作成します。作成したフォルダ 配下に同じポリシーを設定するノードを追加することにより、ポリシーを効率的に配付することができます。 例えば、“ポリシーを設計する”の構成の場合は、[Systemwalkerコンソール]の監視ツリーを以下のように作成すると効率的にポリシー を配付することができます。 ポリシーを作成する “ポリシーを設計する”で設計したポリシー値に沿って、運用管理サーバの任意のディレクトリ配下に監査ログ管理ポリシーファイル(以 降は、ポリシーファイルと表現)を作成します。ポリシーファイルは、ポリシーの種類やOSごとに作成します。mpatmdef.dat(監査ログ管 理設定サンプルファイル)を流用すると簡単に作成することができます。ポリシーファイルのAPDEFセクションで、収集実行の設定が “YES”(収集する)となっているもの、または監査ログ管理ポリシーファイル中の必須項目を記載している定義についてポリシー登録を 行います。監査ログ管理ポリシーファイルと監査ログ管理設定サンプルファイルの詳細については、“Systemwalker Centric Manager リ ファレンスマニュアル”を参照してください。 ・ ポリシーファイル名には拡張子(.csv)を付けてください。(例:mpatmpolicy.csv)。 拡張子(.csv)がないファイルは、ポリシーファイルとして認識しません。拡張子以外は特に制限はありません。 ・ 同じディレクトリ配下に複数のポリシーファイルを作成しないでください。 ポリシーファイルが複数ある場合は、ファイル名の昇順で1番最初のポリシーファイルを使用します。異なるポリシーファイルを複数 作成する場合は、ディレクトリを分けて作成してください。 - 148 - ・ V13.3.0以降のWindows版 運用管理サーバからV13.2.0 Windows版やV13.2.0以降のUNIX版に対してポリシーを作成する際に、 mpatmdef.dat(監査ログ管理設定サンプルファイル)を流用する場合は、以下の点に注意してください。 V13.3.0以降のWindows版 mpatmdef.datには、収集対象ログファイルの文字コードを指定する項目が追加されています。文字コー ドの指定は、V13.2.0 Windows版やV13.2.0以降のUNIX版に指定すると無視されます。そのため、V13.2.0 Windows版やV13.2.0 以降のUNIX版のポリシーに使用する場合は、文字コードの項目を削除した上で使用してください。 ・ Solaris版またはLinux版の運用管理サーバからWindows上のJIS2004で出力するログ設定を行う場合、以下の点に注意してくださ い。 Solaris版またはLinux版のmpatmdef.datには、収集対象ログファイルの文字コードを指定する項目はありません。そのため、Windows 上のJIS2004で出力するログ設定を行う場合は、文字コードの項目を追加した上で使用してください。 [日付書式定義ファイルの作成] ポリシーファイルに記述した日付書式定義ファイルをポリシー配付する場合は、ポリシーファイルと同じディレクトリ配下にポリシー配付 する日付書式定義ファイルを作成します。 ポリシーファイルに記述していない日付書式定義ファイルを、ポリシーファイルと同じディレクトリ配下に作成しても、その日付書式定義 ファイルはポリシー配付しません。 ポリシーファイルに、日付書式定義ファイルをフルパス名で記述した場合は、ポリシーを配付するサーバの該当ディレクトリ配下に日付 書式定義ファイルを格納します。 ディレクトリを省略し、ファイル名だけを記述した場合は、ポリシーを配付するサーバの以下のディレクトリ配下に日付書式定義ファイル を格納します。 ・ Windows:Systemwalker Centric Managerのインストールディレクトリ\mpwalker.dm\mpatm\fmt ・ UNIX:/etc/opt/FJSVmpatm/fmt すでに日付書式定義ファイルが存在する場合は、ポリシー配付した日付書式定義ファイルを上書きします。 ポリシーを配付したサーバに、すでに日付書式定義ファイルがある場合は、ポリシーを配付する必要がないため、日付書式定義ファイ ルを作成する必要はありません。 例えば、デフォルトで提供しているイベントログ、シスログ、IISのログやSystemwalker Centric Managerのリモートコマンド検索コマンドな どの日付書式定義ファイルは、Systemwalker Centric Managerをインストールしたときに、日付書式定義ファイルをインストールしている ため、作成する必要はありません。 ポリシー配付する日付書式定義ファイルのファイル名は、パスも含めて80文字以内になるようにしてください。 また、ファイル名には日本語を含めないでください。(使用できないファイル名の例:日本語.fmt) 日付書式定義ファイルについては、“日付書式定義ファイルについて”を参照してください。 [mpatmconnect.ini(接続可能一覧ファイル)の作成] 被管理サーバからログ収集するサーバを限定する場合は、mpatmconnect.ini(接続可能一覧ファイル)を運用管理サーバの任意のディ レクトリ配下に作成します。mpatmconnect.ini(接続可能一覧ファイル)はポリシーファイルの有無にかかわらずポリシー配付します。 ポリシーファイルと一緒にポリシー配付する場合は、ポリシーファイルと同じディレクトリ配下にmpatmconnect.ini(接続可能一覧ファイ ル)を作成してください。 ポ リ シ ー を 配 付 し た サ ー バ に す で に mpatmconnect.ini( 接 続 可 能 一 覧 フ ァ イ ル ) が 存 在 す る 場 合 は 、 ポ リ シ ー 配 付 し た mpatmconnect.ini(接続可能一覧ファイル)を上書きします。 ログ収集できるサーバを限定しない場合は、mpatmconnect.ini(接続可能一覧ファイル)を作成する必要はありません。 mpatmconnect.ini(接続可能一覧ファイル)については、“収集対象のサーバを限定する”を参照してください。 中継サーバを設定する ポリシーを設定する前に、中継サーバの選定を行います。中継サーバの選定後、中継サーバを設定する必要がある場合は、以下の 手順で中継サーバの設定を行います。 1. 運用管理クライアント、または運用管理サーバ(Windowsのみ)から[Systemwalkerコンソール]を起動します。 2. [Systemwalkerコンソール]で中継サーバとする部門管理サーバまたは業務サーバに対して、リモートコマンドによるコマンド投入 により、中継サーバの設定を行います。中継サーバの設定は、mpatmsvrtypedef(サーバ種別設定コマンド)を実行します。 - 149 - mpatmsvrtypedef REP -R 中継サーバ上の格納ディレクトリや被管理サーバから収集した格納ディレクトリ配下のログ収集の設定については、“中継サー バ上の被管理サーバのログ収集を定義する”を参照してください。 ポリシーを登録する ポリシーを配付する前に、ポリシーの登録をします。 ポリシーの登録方法は、以下の2つの方法があります。 ・ 作成(編集)したポリシーファイルを使用してポリシー登録する ・ 移出したポリシーまたはローカル定義をポリシー登録する 作成(編集)したポリシーファイルを使用してポリシー登録する ポリシーの登録は、運用管理サーバでmpatmpset(監査ログ管理ポリシー情報移入コマンド)を実行して行います。 mpatmpset {-N ノード名|-I IPアドレス|-F フォルダ名 } -D ディレクトリ名 mpatmpset(監査ログ管理ポリシー情報移入コマンド)では、実行結果を監査ログに出力します。監査ログについては、“Systemwalker Centric Managerの監査ログを出力する”を参照してください。 mpatmpset(監査ログ管理ポリシー情報移入コマンド)については、“Systemwalker Centric Manager リファレンスマニュアル”を参照して ください。 以下のマシン構成を例に、ケースごとに実行するmpatmpset(監査ログ管理ポリシー情報移入コマンド)の実行例を記述します。 ノ ー ド を 指 定 し て ポ リ シ ー を 登 録 す る 場 合 は 、 デ ィ レ ク ト リ ( 例 : c: \ policy) 配 下 に ポ リ シ ー フ ァ イ ル 、 日 付 書 式 定 義 フ ァ イ ル、 mpatmconnect.ini(接続可能一覧ファイル)を作成し、以下のコマンドを実行します。 mpatmpset -N 業務サーバ1 -D c:\policy ノードの表示名が重複している場合は、ノード名ではなくIPアドレスを指定します。 mpatmpset -I 192.168.0.1 -D c:\policy 1回のコマンド実行で共通のポリシーを各ノードに登録することもできます。 その場合、フォルダの表示名を指定してmpatmpset(監査ログ管理ポリシー情報移入コマンド)を実行します。 ノードの表示名、フォルダの表示名については、[Systemwalkerコンソール]上で確認してください。 - 150 - フォルダ配下のすべてのノードに対し、共通の定義を設定できない場合は、[Systemwalkerコンソール]上でポリシー登録用の監視ツ リーを新規に作成します。 作成した監視ツリーに、ポリシーの種別ごとにフォルダを作成し、登録するポリシーに該当するノードを追加してください。 部門管理サーバ3、部門管理サーバ4、部門管理サーバ5に同じポリシーを適用する場合、[Systemwalkerコンソール]の監視ツリーに フォルダを作成し、そのフォルダ配下に部門管理サーバ3、部門管理サーバ4、部門管理サーバ5を追加します。 ディレクトリ(例:c:\policy)配下にポリシーファイル、日付書式定義ファイル、mpatmconnect.ini(接続可能一覧ファイル)を作成し、以下 のコマンドを実行します。 mpatmpset -F 監査ログ管理 -D c:\policy 監視ツリーを作成しない場合は、mpatmpset(監査ログ管理ポリシー情報移入コマンド)をノード数分実行します。このとき、以下のように バッチファイルを作成すると、1回の操作でポリシーを登録することができます。mpatmpset(監査ログ管理ポリシー情報移入コマンド)の 詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 バッチファイルの記述例: mpatmpset -N gyoumu1 -D c:\policy_a mpatmpset -N gyoumu2 -D c:\policy_a mpatmpset -N gyoumu3 -D c:\policy_a mpatmpset -N gyoumu4 -D c:\policy_b mpatmpset -N gyoumu5 -D c:\policy_c 移出したポリシーまたはローカル定義をポリシー登録する mppolcollect(ポリシー情報移出コマンド)で移出した監査ログ管理のポリシーを登録することもできます。 監査ログ管理のポリシー情報の移出からポリシー登録するまでの手順は以下のとおりです。 1. mppolcollect(ポリシー情報移出コマンド)を実行します。 各ノードから共通化したい監査ログ管理の設定をしたノードを選定し、mppolcollect(ポリシー情報移出コマンド)を実行します。 mppolcollect(ポリシー情報移出コマンド)では、監査ログ管理のポリシー情報として以下のファイル(以降は、監査ログ管理ポリ シー情報ファイルと表現)を生成します。 生成したこれらのファイルを編集しないでください。 - P_mpatm_policy.csv - P_mpatm_format.ini - P_mpatm_conn.ini ※mppolcollect(ポリシー情報移出コマンド)を"-A"または"-n"オプションを指定して実行した場合は、ノードに設定したポリシーを 移出します。 "-A"または"-n"オプションを指定せずに実行した場合は、ローカル定義を移出します。 "-A"または"-n"オプションは運用管理サーバで実行する場合のみ指定できます。 mppolcollect(ポリシー情報移出コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照し てください。 - 151 - 2. 監査ログ管理のポリシー情報を運用管理サーバに転送します。 運用管理サーバ以外でmppolcollect(ポリシー情報移出コマンド)を実行した場合に、監査ログ管理ポリシー情報ファイルを運用 管理サーバに転送します。 転送先のディレクトリは任意です。 運用管理サーバでmppolcollect(ポリシー情報移出コマンド)を実行した場合は、監査ログ管理ポリシー情報ファイルを転送する 必要はありません。 3. 監査ログ管理のポリシー情報をポリシー登録可能なファイル形式に変換します。 運用管理サーバで、mpatmpconv(監査ログ管理ポリシー情報変換コマンド)を実行します。 mpatmpconv(監査ログ管理ポリシー情報変換コマンド)では、以下のファイルを生成します。 - 監査ログ管理ポリシーファイル 監査ログ管理ポリシーファイルの詳細は“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 - 日付書式定義ファイル 日付書式定義ファイルの詳細は“日付書式定義ファイルについて”を参照してください。 - mpatmconnect.ini(接続可能一覧ファイル) mpatmconnect.ini(接続可能一覧ファイル)の詳細は“収集対象のサーバを限定する”を参照してください。 mpatmpconv(監査ログ管理ポリシー情報変換コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュア ル”を参照してください。 mpatmpconv(監査ログ管理ポリシー情報変換コマンド)で指定する移出ディレクトリ名には、監査ログ管理ポリシー情報ファイル が格納されているディレクトリ名をフルパスで指定します。 mppolcollect(ポリシー情報移出コマンド)は"-A"オプション、または”-n”オプションの指定により監査ログ管理ポリシー情報ファイ ルの出力先が以下のように変わるため注意してください。 - ["-A"オプション、または”-n”オプション指定あり] コマンド例:mppolcollect -A -o c:\policy "-o"オプションで指定したディレクトリ配下にIPアドレスと同じ名称のディレクトリを作成します。 作成したIPアドレスと同じ名称のディレクトリ配下に監査ログ管理ポリシー情報ファイルを出力します。 - ["-A"オプション、および”-n”オプション指定なし] コマンド例:mppolcollect -o c:\policy "-o"オプションで指定したディレクトリ配下に監査ログ管理ポリシー情報ファイルを出力します。 4. ポリシー登録するファイルの内容を修正します。 mpatmpconv(監査ログ管理ポリシー情報変換コマンド)で作成されたファイルの内容を確認してください。 設定内容を変更する場合は、テキストエディタを使用して、変更するパラメタ値のみ更新します。 移出したノードの設定を、そのままポリシー登録する場合は更新は不要です。 5. ポリシーを登録します。 運用管理サーバでmpatmpset(監査ログ管理ポリシー移入コマンド)を実行します。 ポリシー登録後、ポリシー配付を行うことにより、ポリシーが指定したノードに適用されます。ポリシー登録、ポリシー配付につい ては、“ポリシーを登録する”および“ポリシーを配付する”を参照してください。 ポリシーを配付する 全体監視(Systemwalkerプロトコル)運用している場合、全体監視サーバから、自部門のノードへのポリシー配付はできません。 [Systemwalkerコンソール]を起動する [Systemwalkerコンソール]を起動します。 - 152 - [Systemwalkerコンソール]の起動については、“Systemwalker Centric Manager 使用手引書 監視機能編”の“設定の各手順”を参照 してください。 ポリシー配付画面を起動する ポリシー配付画面は、以下の2とおりの方法で起動することができます。 ・ [Systemwalkerコンソール]の[ポリシー]メニューから起動する 1. [Systemwalkerコンソール]の[ポリシー]メニューから、[セキュリティ]-[ポリシーの配付]を選択します。 →[ポリシーの配付]画面が表示されます。 ・ [ポリシーの配付状況]画面の[配付]メニューから起動する 1. [Systemwalkerコンソール]の[ポリシー]メニューから、[セキュリティ]-[ポリシーの配付状況]を選択します。 →[ポリシーの配付状況]画面が表示されます。 2. [配付]メニューの[全て]、または[選択したコンポーネントのみ]を選択します。 配付待ち、および配付に失敗したすべてのポリシーを配付する場合は、[全て]を選択します。 [ポリシーの配付状況]画面左側のツリー、または画面右側のリストから選択した特定のコンポーネントの配付待ち、および配 付に失敗したポリシーを配付する場合は、[選択したコンポーネントのみ]を選択します。 →[ポリシーの配付]画面が表示されます。 ポリシーを配付する 1. [ポリシーの配付]画面で[OK]ボタンをクリックすると、配付が開始します。 2. ポリシーの配付をキャンセルする場合は、[キャンセル]ボタンをクリックします。 ポリシーの配付のキャンセルは数十秒かかる場合があります。複数のポリシーを配付しているときに[キャンセル]ボタンがクリック された場合、すでに配付が完了したポリシーはキャンセルされません。 3. ポリシーの配付状況の詳細を表示する場合は、[詳細]ボタンをクリックします。 注意 ポリシー配付中に[ポリシーの配付状況]ダイアログボックスを強制的に終了しないでください。強制終了すると、ポリシー配付を実行す るプロセスが滞留し、以降のポリシー配付ができなくなる場合があります。 ポリシーの配付状況を確認する ・ ポリシーの配付に成功した場合 配付終了のメッセージを表示し、[ポリシーの配付]画面が自動的に終了します。ポリシーの配付結果は[ポリシーの配付状況]画面 で確認します。 - 153 - ・ ポリシーの配付に失敗した場合 エラーダイアログボックスが表示されます。エラーダイアログボックスのボタンをクリックし、[ポリシーの配付状況]画面を表示してく ださい。 1. [ポリシーの配付状況]画面を起動します。 [Systemwalkerコンソール]の[ポリシー]メニューから、[監視]-[ポリシーの配付状況]を選択します。ポリシーを配付する前から[ポ リシーの配付状況]画面を起動している場合は、[ポリシーの配付状況]画面の[リフレッシュ]メニューを選択し、画面の情報を更 新してください。 2. 配付の成功を確認します。 [ポリシーの配付状況]画面の左側ツリーで、[配付済み(配付成功)]を展開し、配付したコンポーネントを選択します。画面右側の リストに配付したポリシーの情報が表示さると配付成功です。 3. 配付の失敗を確認します。 [ポリシーの配付状況]画面の左側ツリーで、[配付失敗]を展開し、配付したコンポーネントを選択します。画面右側のリストに、配 付したポリシーの情報が表示された場合は配付が失敗しています。右側のリストの[配付結果]に表示されているエラーコードを 参照し、配付が失敗した原因を特定して対処を行ってください。 [配付結果]に表示されているエラーコードの詳細については、[ポリシーの配付状況]画面の“Systemwalker Centric Manager オ ンラインヘルプ”、または“Systemwalker Centric Manager メッセージ説明書”の“[ポリシーの配付状況]画面に表示されるエラー コード一覧”を参照してください。 注意 ・ 配付が完了したポリシーを取り消すことはできません。ポリシー配付前の状態に戻す可能性がある場合は配付前のポリシーの設 定状況を確認しておいてください。 ・ Systemwalker Centric Managerインストールディレクトリ配下に、作業用ファイルを格納しないでください。格納した場合は、配付エ ラー(アクセスエラー)となり、ポリシー配付に失敗する場合があります。 中継サーバ上の被管理サーバのログ収集を定義する 中継サーバを設定した場合は、中継サーバ上の被管理サーバのログ収集定義を行います。 - 154 - 中継サーバでは被管理サーバから収集したログを中継サーバ上の格納ディレクトリに保管しています。そのログを運用管理サーバに 収集するように中継サーバに定義を行います。本設定は通常中継サーバごとに管理する被管理サーバが異なるため、個別に設定す る必要があります。本設定については、“中継サーバを利用するための設定”を参照してください。 注意事項 ・ 監査ログ管理のポリシーを配付する場合、ポリシーを設定する運用管理サーバとポリシーを配付するサーバには、V13.2.0以降の Systemwalker Centric Managerが必要です。 ポリシーを配付するサーバがV13.2.0以前の場合はポリシーを配付しません。 ・ HP-UX、AIXの場合、syslogへの日本語出力をサポートしていない環境があります。 - HP-UX版 - AIX版(SJIS環境) 上記環境の被管理サーバに対し監査ログ管理のポリシー配付を行った場合、[Systemwalkerコンソール]の[ポリシーの配付状況] 画面の[アプリケーションメッセージ]欄に出力する監査ログ管理のメッセージ(mpatmで始まるもの)は英語で出力します。 ・ mpbcmpolmode (監視ポリシー管理形式の変更コマンド)で、監視ポリシーの管理形式を切り替えた場合、ポリシーの再登録後、ポ リシーを再配付してください。 監視ポリシーの管理形式を切り替える手順については、“Systemwalker Centric Manager 導入手引書”の“ポリシー設定について” を参照してください。 10.5.4 収集対象のログの定義 ここでは、以下の説明を行います。 ・ 収集するログファイルの定義 ・ Systemwalker Centric Managerのリモートコマンド検索ログの定義 ・ Systemwalker Desktop Keeperのバックアップコマンドによるクライアント操作ログの収集定義 ・ ETERNUS NR1000F seriesイベントログを収集するための設定 ・ JIS2004に対応したログの定義 収集するログファイルの定義 ログ識別名 Systemwalker Centric Managerインストール時には、以下のログファイルがあらかじめ登録されており、以下のログファイルの収集を行 う場合は、新規登録は不要です。また、新たにログ収集を行う場合、すでに登録済みのログ識別名の割り当ては行わないでください。 ただし、運用管理クライアントは、一覧と異なり、イベントログ(アプリケーション、セキュリティ、システム、Systemwalkerコンソールの監査 ログ)が登録されています。Systemwalkerコンソールの監査ログを収集する場合は、ログ収集の有無が"しない"になっているため、 mpsetlogsend_swgui(Systemwalkerコンソール監査ログ収集設定コマンド)で設定してから行ってください。 ログファイル ログ識別名 ログ 収集 の有 無 イベントログ アプリケーション EventLogApplication す る セキュリティ EventLogSecurity す る システム EventLogSystem す る - 155 - ログファイル ログ識別名 ログ 収集 の有 無 DNS Server EventLogDNSServer す る Directory Service EventLogDirectoryService す る ファイル複製サービス EventLogFileRepService す る DFSレプリケーション EventLogDFSReplication す る ハードウェア イベント EventLogHardwareEvents す る 転送された イベント EventLogForwardedEvents す る Microsoft-Windows-Hyper-V-Config-Admin EventLogHVCfgAdmin す る Microsoft-Windows-Hyper-V-Config-Operational EventLogHVCfgOpe す る Microsoft-Windows-Hyper-V-High-Availability-Admin EventLogHVHAAdmin す る Microsoft-Windows-Hyper-V-Hypervisor-Admin EventLogHVHyAdmin す る Microsoft-Windows-Hyper-V-Hypervisor-Operational EventLogHVHyOpe す る Microsoft-Windows-Hyper-V-Image-Management-Service-Admin EventLogHVIMSAdmin す る Microsoft-Windows-Hyper-V-Image-Management-Service-Operational EventLogHVIMSOpe す る Microsoft-Windows-Hyper-V-Integration-Admin EventLogHVIntAdmin す る Microsoft-Windows-Hyper-V-Network-Admin EventLogHVNetAdmin す る Microsoft-Windows-Hyper-V-Network-Operational EventLogHVNetOpe す る Microsoft-Windows-Hyper-V-SynthNic-Admin EventLogHVSNAdmin す る Microsoft-Windows-Hyper-V-SynthStor-Admin EventLogHVSSAdmin す る Microsoft-Windows-Hyper-V-SynthStor-Operational EventLogHVSSOpe す る Microsoft-Windows-Hyper-V-VMMS-Admin EventLogHVVMMSAdmin す る Microsoft-Windows-Hyper-V-Worker-Admin EventLogHVWAdmin す る UNIXシステムログ - 156 - ログファイル ログ識別名 ログ 収集 の有 無 Solarisシステムログ SolarisSyslog す る Linuxシステムログ LinuxSyslog す る Solaris suログ SolarisSuLog す る Solarisログインログ SolarisLoginLog す る HP-UXシステムログ HPUXSyslog す る HP-UX suログ HPUXSuLog す る AIXシステムログ AIXSyslog す る AIX suログ AIXSuLog す る CMGRCmdRevLog し な い NCSA 共通ログファイル形式 IISNCSALog し な い Microsoft IIS ログファイル形式 IISLog し な い W3C拡張形式 IISW3CLog し な い アクセスログ NCSA 形式 ApacheAccessLog し な い エラーログ ApacheErrorLog し な い OracleListenerLog し な い Systemwalker Centric Manager リモートコマンド検索コマンド結果のログ IISログ Apacheログ ORACLE LISTENER ログ 予約語 監査ログ管理機能は、以下のキーワードを監査ログ管理機能のログ識別に関する予約語としています。 ・ DTK ・ EventLog - 157 - ・ MpAtm ・ CMGRCmdRevLog ・ CMGROpLog ・ CMGRSvacLog ・ CMGRSVOpLog ・ NREventLog ・ OMGRLog ・ GS ・ IS ・ SYM 予約語は、次のログファイルを収集する場合に使用します。 予約語 ログファイル DTK Systemwalker Desktop Keeperのログファイル(注1) EventLog イベントログ※1 CMGRCmdRevLog Systemwalker Centric Manager リモートコマンド検索コマンド結果のログ CMGROpLog [Systemwalkerコンソール]の監査ログ CMGRSvacLog サーバアクセス制御の監査ログ CMGRSVOpLog サーバ操作制御の監査ログ(注3) NREventLog ETERNUS NR1000F seriesイベントログ OMGRLog Systemwalker Operation Managerの操作ログ GSRACF GSシステムのアクセス(RACF)ログ(注2) GSAIM GSシステムの業務(AIM)ログ (注2) 注1)ログ識別名は、予約語とログファイルを識別する文字列を組み合わせて指定します。 例: ・ DTKの印刷操作ログの場合 DTKPrintLog (予約語 "DTK"、識別文字列 "PrintLog" ) ・ DTKのファイル操作ログの場合 DTKFileOpLog (予約語 "DTK"、識別文字列 "FileOpLog" ) 注2)ログ識別名は、予約語とGSシステムを識別する文字列を組み合わせて指定します。 例: ・ GSシステムのアクセス(RACF)ログの場合 GSRACFOsaka (予約語 "GSRACF"、識別文字列 "Osaka" ) ・ GSシステムの業務(AIM)ログの場合 GSAIMOsaka (予約語 "GSAIM"、識別文字列 "Osaka" ) 注3) 旧バージョンのシステムで収集されたサーバ操作制御の監査ログ Systemwalker Centric Managerのリモートコマンド検索ログの定義 監査ログ管理機能は、テキストログ収集時にSystemwalker Centric Managerのリモート検索コマンドを実行し、テキストログに変換したロ グを収集することができます。設定方法について以下に示します。 - 158 - リモートコマンドログを収集する場合(リモートコマンド検索コマンド) システム監視機能が設定済みのサーバ上で、opacmdrev(リモートコマンド検索コマンド)を実行することで、リモートコマンドログを収集 することができます。リモートコマンド検索コマンドは、運用管理サーバ上で実行した場合、リモートコマンド実行先にかかわらずリモー トコマンドを実行したログ履歴一覧が取得できます。 リモートコマンドログを収集したいサーバ上で、以下のコマンドを実行し収集対象に定義します。 設定例:運用管理サーバ上で以下のコマンドを実行し、「opacmdrev」を定義します。 【Windows版】 mpatmlogapdef REP -A CMGRCmdRevLog -E YES -X YES -L "収集ファイル名" -O "opacmdrev.exe" 【UNIX版】 mpatmlogapdef REP -A CMGRCmdRevLog -E YES -X YES -L "収集ファイル名" -O "opacmdrev" ※-Lオプションに指定するログファイル名については、一時ファイルとなります。そのため、そのファイルにはログは蓄積されません。 →ログ収集実行の前に実行するコマンドにopacmdrev(リモートコマンド検索コマンド)が設定されます。 mpatmlogapdef(ログ収集設定コマンド)、opacmdrev(リモートコマンド検索コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 複数のサーバから、Systemwalker Centric Managerリモートコマンド検索コマンドのログを収集する場合は、ログ収集の前にリモートコ マンドが実行されるようスケジュール登録してください。 Systemwalker Desktop Keeperのバックアップコマンドによるクライアント操作ログの収集定義 Systemwalker Desktop Keeperのバックアップコマンドによるクライアント操作ログの収集については、Systemwalker技術情報ホームペー ジの“Systemwalker Centric Manager 連携ガイド Systemwalker Desktop Keeper編”を参照してください。 ETERNUS NR1000F seriesイベントログを収集するための設定 ETERNUS NR1000F series装置をWindows版の被管理サーバや運用管理サーバにファイル共有することにより、ETERNUS NR1000F seriesが出力するイベントログファイルを収集することができます。 この場合、ETERNUS NR1000F series側では、被管理サーバにて監査ログ管理がアクセス可能なユーザIDとパスワードが事前に登録 されている必要があります。 監査ログ管理がアクセス可能なユーザIDとパスワードは、収集対象のETERNUS NR1000F seriesすべて同じものを登録してください。 ETERNUS NR1000F seriesが出力するイベントログファイルの出力パターンは以下のとおりです。 - 159 - 出力パターン 説明 単一ファイル 固定ファイル名で出力します。 例:adtlog.evt ETERNUS NR1000F seriesのデフォルトは単一ファイルで上記名称となります。 複数ファイル (数字付加) 固定ファイル名に数字が付加されます。新しいファイルから順番に番号が付加 されます。最新のファイルには番号は付加されません。 例:(古い順) adtlog2.evt adtlog1.evt adtlog.evt 複数ファイル (タイムスタンプ付加) 固定ファイル名にタイムスタンプ(YYYYMMDDHHMMSS)が付加されます。 例:(古い順) adtlog20060621000000.evt adtlog20060622000000.evt adtlog20060623000000.evt ※複数ファイルの最大数は1~999の範囲で指定が可能です。 設計 通常のテキストログ収集の設計に加え、以下のことを設計します。 ・ どのWindowsの被管理サーバに対してファイル共有をさせるか ・ ETERNUS NR1000F series側の機器名の確認 ・ ファイル共有をUNC名で行う場合の接続情報(サーバ名、IPアドレス、共有名、ユーザID、パスワード)の確認 ・ ETERNUS NR1000F series側で登録する監査ログ管理がアクセス可能なユーザIDとパスワードか 設定手順 監査ログ管理でETERNUS NR1000F seriesが出力するイベントログファイルを収集する場合、以下の手順で行います。 1. 被管理サーバでmpatmaccdef(共有リソース接続ユーザ設定コマンド)を実行し、共有リソースにアクセスするためのユーザIDとパ スワードの設定を行います。パスワードはユーザIDを入力後に入力します。 例)接続ユーザを設定する場合 mpatmaccdef REP -U audituser Enter password :****** Re-Enter password:****** mpatmaccdef(共有リソース接続ユーザ設定コマンド)については、“Systemwalker Centric Managerリファレンスマニュアル”を参 照してください。 2. 被管理サーバで、mpatmlogapdef(ログ収集設定コマンド)を実行し、ETERNUS NR1000F seriesが出力するイベントログファイル を収集する定義を行います。ETERNUS NR1000F seriesが複数台存在する場合は、ログ識別名を区別して定義を行う必要があ ります。 mpatmlogapdef(ログ収集設定コマンド)については、“Systemwalker Centric Manager リファレンスマニュアル”の“mpatmlogapdef (ログ収集設定コマンド)”を参照してください。 以下に例を示します。例中では、ETERNUS NR1000F seriesの機器名を“Fileserver1”としています。 イベントログファイルが単一ファイルの場合 単一ファイル名としてファイルのフルパス名を指定してください。 例) mpatmlogapdef ADD -A NREventLog001 -L \\192.168.0.2\etc\log\adtlog.evt -N Fileserver1 - 160 - イベントログファイルが複数ファイル(数字付加)の場合 複数ログファイルであることの -M パラメタに数字付加なので降順(“DESC”)を指定します。 収集対象ログファイル名には、ETERNUS NR1000F seriesが出力するイベントログファイルが複数のため、数字付加部分をワイ ルドカードに置き換えて指定します。 例) mpatmlogapdef ADD -A NREventLog001 -M DESC -L \\192.168.0.2\etc\log\adtlog*.evt -N Fileserver1 イベントログファイルが複数ファイル(タイムスタンプ付加)の場合 複数ログファイルであることの -M パラメタにタイムスタンプ付加なので昇順(“ASC”)を指定します。 ETERNUS NR1000F seriesが出力するイベントログファイルが複数のため、収集対象ログファイル名には、タイムスタンプ付加部 分をワイルドカードに置き換えて指定します。 例) mpatmlogapdef ADD -A NREventLog001 -M ASC -L \\192.168.0.2\etc\log\adtlog*.evt -N Fileserver1 3. 運用管理サーバ上で格納ディレクトリの設定をmpatmtrsdef(ファイル転送情報定義コマンド)で実行します。 4. 運用管理サーバ上で、被管理サーバに対してmpatmlog(ログ収集コマンド)を実行します。 ログ収集実行中に、ETERNUS NR1000F seriesのネットワーク接続が切断された場合は、ログ収集はエラーとなります。 JIS2004に対応したログの定義 通常、Windows上のログは収集する際、収集対象ログをSJISとして収集します。 下記のWindows OSで、JIS2004で出力しているログを収集する場合、以下のようにmpatmlogapdef(ログ収集設定コマンド)に“-C W”を 指定して、ログファイルを収集する定義を行います。 対象のWindows OS: ・ Windows 7 ・ Windows Vista ・ Windows Server 2008 STD/Windows Server 2008 DTC/Windows Server 2008 EE/Windows Server 2008 for Itanium-Based Systems/ Windows Server 2008 Foundation/Windows Server 2008 R2 mpatmlogapdef ADD -A Applog -L "C:\Log\Applog" -F "C:\Systemwalker\MpWalker.DM\mpatm\fmt \mpatmevt.fmt" -C W mpatmlogapdef(ログ収集設定コマンド)については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください なお、JIS2004に対応したログは、条件により正常にログ収集されない場合があります。 以下の表で、○の条件の場合、JIS2004に対応したログが正常に収集できます。 運用管理サーバ 中継サーバ ログ収集設定時の文字コード "-C W"を設定 "-C S"を設定 V13.2.0以前 × 文字コードは指定できません。SJISのログとして収集されます。 V13.3.0以降 ○ × SJISのログとして収集されます。 - 161 - 10.5.5 収集対象のサーバを限定する 運用管理サーバ-被管理サーバ(部門管理サーバ/業務サーバ)間でログ収集を行う場合、被管理サーバ上の接続可能一覧ファイ ルに、接続元運用管理サーバの情報(サーバ名、またはIPアドレス)を記述することで収集対象の運用管理サーバをチェックし、指定 した運用管理サーバ以外からの収集を抑止することができます。 インストール後のデフォルトの設定では、ログ収集できません。必ず、接続可能一覧ファイル(mpatmconnect.ini)で収集対象のサーバ を設定してください。 どこの運用管理サーバからでもログ収集を可能とする場合は、接続可能一覧ファイル(mpatmconnect.ini)を削除してください。 なお、接続可能一覧ファイル(mpatmconnect.ini)の設定は、テキストエディタによる手動での編集とポリシーによる設定方法があります。 接続可能一覧ファイルを作成する 接続元運用管理サーバの情報を記述したテキストファイル(接続可能一覧ファイル)はインストールされています。インストール直後は、 "*"が設定されており、"*"行が存在するとログ収集ができません。そのため、収集を行う前に必ず接続可能一覧ファイルを編集する必 要があります。本ファイルが存在しない場合は、収集対象の運用管理サーバのチェックは行いません。 ファイルを格納するサーバ 運用管理サーバのチェックを実施したい被管理サーバ上で設定します。 接続可能一覧ファイルの格納場所 Windows Systemwalkerインストールディレクトリ\MPWALKER.DM\MpAtm\etc\mpatmconnect.ini UNIX /etc/opt/FJSVmpatm/data/mpatmconnect.ini ファイル形式 テキスト形式で、1行1ノード名(運用管理サーバのホスト名、またはIPアドレス)を記述します。 ノード名1↓ ノード名2↓ ↓:改行 注意事項 ・ mpatmlog(ログ収集コマンド)に運用管理サーバのIPアドレス(部門管理サーバ/業務サーバから運用管理サーバへ通信が可能な 運用管理サーバのIPアドレス)を指定してログ収集を行う場合は、ノード名にログ収集コマンドに指定する運用管理サーバのIPアド レスを必ず指定してください。 ・ ノード名には、“TCP/IP”通信が可能なノード名を指定してください。 “TCP/IP”通信ができないノード名を指定した場合は、運用管理サーバのチェックはエラーとなり、ログ収集は行いません。 ・ ノード名にはホスト名、またはIPアドレスを指定してください。ホスト名を指定する場合は、128バイト以内の文字列を指定してくださ い。 ・ 収集対象の運用管理サーバ接続元のIPアドレスが、接続可能一覧ファイルに指定されていない場合は、「mpatm: エラー: 661」が 出力され、ログ収集は行いません。 ・ 接続可能一覧ファイルに記述されている"*"の行よりも前に、ログ収集を行ったサーバのノード名またはIPアドレスが登録されてい る場合は、収集可能となります。 ・ 中継サーバを利用した環境で本機能を利用する場合は、運用管理サーバではなく、中継サーバのノード名を指定してください。 10.5.6 収集したログファイルを二次媒体装置へ複写するための設定 運用管理サーバに収集したログファイルをログファイルの保全などのために、格納ディレクトリから二次媒体装置へ複写するための設 定方法を説明します。二次媒体には、以下の装置が利用できます。 - 162 - ・ ディスクアレイ装置 ETERNUS NR1000F series ・ ファイルコピー先がファイルパスとして見える装置 なお、TAPE装置への複写は、TAPE装置へ書き込みを行うソフトウェアで行ってください。 設定手順 ログ収集から二次媒体装置への複写を行うために、運用管理サーバ上で以下の操作を行います。 ・ 二次媒体複写のデフォルトの複写先ディレクトリを定義するため、mpatmmediadef(収集ログ二次媒体複写先設定コマンド)を実行 します。 mpatmmediadef REP -D 複写先ディレクトリ 複写先ディレクトリは格納ディレクトリと同じにはできません。 また、UNIX環境でNFSマウントしたネットワーク上のパスを複写先ディレクトリに指定する場合は、事前に問題なくパスにアクセス できることを確認してください。ファイルサーバのダウンなどが原因でパスが利用できない場合、NFSタイムアウトが発生するまで処 理が終了しません。 10.5.7 中継サーバを利用するための設定 監査ログ管理では、被管理サーバの台数が多く、業務停止中にすべての収集処理を完了させたい場合に中継サーバを利用します。 特に収集処理に費やす時間を意識した収集を行う場合に有効です。中継サーバ上に収集した業務サーバのログは、業務には関係 なくなるため、業務運用中のバックグラウンドで運用管理サーバにログ収集することもできます。 部門管理サーバまたは業務サーバを、ログ収集の中継サーバとして利用できます。 中継サーバを利用した場合のログ収集の設定 中継サーバを利用する場合、被管理サーバの台数が多く、遠隔地のサーバが含まれることが考えられます。監査ログ管理のログ収集 を行うためには、中継サーバを含む被管理サーバの収集設定が必要です。効率よく設定するには、被管理サーバの収集設定は運用 管理サーバからのポリシーにより行い、中継サーバの設定はリモートコマンドによるコマンド投入で行います。 監査ログ管理では、以下のようにサーバ種別を定義し、中継サーバを置くことで、階層構造のログを収集できます。 サーバ種別 説明 運用管理サーバ ログ収集対象サーバから収集したログを一括管理するサーバ(ロ グ収集対象サーバの機能も含んでおり、運用管理サーバ上にあ るログ収集もできます) 被管理サーバ ログ収集対象となるサーバ (部門管理サーバ/業務サーバ/運 用管理クライアント) 中継サーバ (運用管理サーバ/部門管理サー バ/業務サーバ)(注) ログ収集対象サーバから収集したログを一時的に管理するサーバ (運用管理サーバと被管理サーバの機能を含んでいます) 運用管理サーバから中継サーバ上のログを収集することで、運用 管理サーバ上でログを一括管理します。 注) 運用管理サーバを中継サーバとして利用できるのは、全体監視サーバ運用を行った場合だけです。 中継サーバにできるサーバは、V13.2.0以降の運用管理サーバ、部門管理サーバ、または業務サーバです。 運用管理サーバ上の設定 通常の運用管理サーバと同様に運用管理サーバ側の設定を行います。 運用管理サーバ側の設定については、“監査ログ管理の設定例”を参照してください。 - 163 - 中継サーバ上の設定 中継サーバとする部門管理サーバ/業務サーバのサーバ環境に応じて、以下の設定方法があります。 ・ 中継サーバの設定を直接設定する場合 設定方法については、“中継サーバ側の設定”を参照してください。 ・ 中継サーバの設定を直接設定できない場合 以下の手順で設定します。 1. 中継サーバとする部門管理サーバ、業務サーバに対して[Systemwalkerコンソール]からリモートコマンドを利用して中継サー バの設定を行います。 リモートコマンドで以下のコマンドを実行してください。 - 中継サーバの設定 mpatmsvrtypedef REP -R mpatmsvrtypedef(サーバ種別設定コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュア ル”を参照してください。 - 格納ディレクトリの設定 mpatmtrsdef REP -S 格納ディレクトリ mpatmtrsdef(ファイル転送情報定義コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュア ル”を参照してください。 - 被管理サーバから収集したログを運用管理サーバに転送するための定義 mpatmlogapdef ADD -A ログ識別名 -M ASC -L 収集対象ロ グファイル名 mpatmlogapdefコマンドに指定するログ識別名には、被管理サーバと同一のログ識別名を設定する必要はありません。 任意のログ識別名を指定してください。 また、収集対象ログファイル名の文字コードには、監査ログ管理で収集したログファイル名に付加されている文字コード を指定します。収集したログファイル名については、“監査ログの一覧を参照する”を参照してください。 収集対象ログファイル名の設定方法や注意事項については、“収集対象ログファイル名の指定方法”を参照してください。 2. 収集対象サーバの設定を行います。 収集対象サーバの設定については、“収集対象のサーバを限定する”を参照してください。収集対象のサーバは、運用管 理サーバを指定してください。 被管理サーバ上への設定 設定するサーバ環境に応じて、以下の設定方法があります。 ・ 被管理サーバの設定を直接設定する場合 設定方法については、“被管理サーバ側の設定”を参照してください。 ・ 被管理サーバの設定台数が多くまとめて設定したい場合や直接設定できない場合 以下の設定方法があります。 - Systemwalkerのポリシー機能を利用した収集設定を行います。 ポリシー機能を利用した収集設定については、“ポリシーを使用して設定する”を参照してください。 - Systemwalkerのリモートコマンドを利用した収集設定を行います。 [Systemwalkerコンソール]からリモートコマンドを利用して、設定対象のサーバに対して監査ログ管理の設定コマンドを実行し ます。 - 164 - 収集対象サーバの設定については、“収集対象のサーバを限定する”を参照してください。収集対象のサーバは、中継サーバを指定 してください。 ログ収集の実行 ログ収集は、以下の方法があります。 各サーバ上で収集コマンドを実行 1. 被管理サーバのログを中継サーバ上に収集します。 中継サーバ上で、mpatmlog(ログ収集コマンド)を実行します。 mpatmlog(ログ収集コマンド)については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 mpatmlog -H 被管理サーバ 2. 中継サーバ上に収集した被管理サーバのログと中継サーバ自身のログを運用管理サーバ上に収集します。 運用管理サーバ上で、mpatmlog(ログ収集コマンド)を実行します。 mpatmlog -H 中継サーバ Systemwalker Operation Manager等のスケジューラ機能を持った製品でログ収集する場合は、中継サーバ上の収集の後に、運 用管理サーバ上の収集が開始する設定にしてください。 例: 中継サーバ上で22:00にログ収集を実行し、23:00までに完了する場合は、23:00以降に運用管理サーバ上でログ収集を実行す るように設定します。 運用管理サーバ上で収集コマンドを実行 運用管理サーバ上に中継サーバおよび被管理サーバのログを収集する場合、運用管理サーバ上で以下の手順を行います。 1. 中継サーバ上からの被管理サーバのログ収集をリモートコマンドで実行します。被管理サーバごとに実行します。 mpatmlog -H 被管理サーバ 被管理サーバ名は、[Systemwalkerコンソール]上で確認します。 2. 中継サーバ上に収集した被管理サーバのログと中継サーバ自身のログを運用管理サーバ上に収集します。 mpatmlog -H 中継サーバ Systemwalker Operation Manager等のスケジューラ機能を持った製品でスケジュールしてログ収集する場合は、中継サーバ上 の収集の後に、運用管理サーバ上の収集が開始する設定にしてください。 また、リモートコマンドをスケジュールする場合、リモートコマンドを直接スケジュールすることはできません。そのため、リモートコ マンドを使用したコマンドを作成してください。 コマンドの作成には、“Systemwalker Centric Manager API・スクリプトガイド”の“リモートコマンドのAPIを使用したサンプルプログ ラム”を参照してください。 中継サーバ上のログの削除 運用管理サーバ上に収集した被管理サーバのログを中継サーバ上の格納ディレクトリから削除する場合は、以下の手順で行うことに より、収集→二次媒体退避→削除の一連の操作として実施することができます。 1. 中継サーバに収集した被管理サーバのファイル名から削除したい日付だけを対象とした削除するスクリプトを作成します。 中継サーバの格納ディレクトリに収集したファイル名は、以下の形式です。日付フィールドを可変として作成します。 被管理サーバ名_ログ識別名_文字コード_YYYYMMDD.log - 165 - 2. 削除する場合は、収集したログファイルを二次媒体へ退避し、不要になったことを確認した上で実施する必要があります。その ため、収集→二次媒体退避の操作後に削除するスケジュールを組み込むことで、一連の操作として実施できます。 ただし、収集や二次媒体退避が失敗した場合に実施してしまうと必要なログを削除してしまう可能性があります。そのため、収集 や二次媒体退避が成功した場合だけ実施してください。 注意事項 ・ 中継サーバから運用管理サーバに対してログ収集を実行するとエラーになります。 ・ 格納ディレクトリ上のログファイルは、複数の運用管理サーバから収集される可能性があるため、運用管理サーバへ収集しても削 除しません。そのため、不要になった時点で削除する必要があります。 ログを削除する場合は、収集したログファイルを二次媒体へ退避し、不要になったことを確認した上で削除してください。 ・ 格納ディレクトリを変更する場合は、収集対象ログファイルに格納ディレクトリ配下を指定したログファイル名も変更する必要があり ます。 ・ ポリシーを利用して収集対象サーバの設定を行う場合、運用管理サーバから最下位層のサーバに対しては、最下位層が所属す るサーバを設定するようにしてください。中継サーバには、中継サーバが所属するサーバを設定してください。収集対象サーバの 設定については、“収集対象のサーバを限定する”を参照してください。 ・ 被管理サーバから収集したログも、収集期間内に運用管理サーバからログ収集を実施してください。収集期間外になったログは、 収集対象外となります。 10.5.8 カスタムイベントログを収集するための設定 Systemwalker Centric Managerの監査ログ管理機能でカスタム イベントログを収集する設定方法を説明します。 カスタム イベントログ名を確認する カスタム イベントログの一覧を出力し、確認します。 監査ログの収集を設定する 収集したいカスタム イベントログのログ収集を設定します。 カスタム イベントログ名を確認する カスタム イベントログの収集を行いたいサーバ上で、カスタム イベントログ名を確認します。 1. [スタート]-[アクセサリ]-[コマンドプロンプト]を右クリックし、[管理者として実行]を選択します。 →[管理者: コマンドプロンプト]が表示されます。 2. コマンドプロンプトで以下のコマンドを実行します。 wevtutil.exe el - 166 - 3. 実行結果一覧から監査ログ収集するカスタム イベントログ名を確認します。 カスタム イベントログ名は、1行に表示されるすべての文字列が該当します。 4. 監視対象とするカスタム イベントログの種類が収集できるかを確認します。 以下のコマンドを実行した結果、typeが“Admin”、または“Operational”と表示されるものが、収集可能なカスタム イベントログです。 wevtutil.exe gl カスタムイベントログ名 例) “Microsoft-Windows-Application-Experience/Program-Inventory”を指定した場合の例です。 - 167 - typeに“Operational”と表示されたため、収集可能なカスタム イベントログであることを確認できます。 監査ログの収集を設定する 収集するカスタム イベントログをログ収集するための設定を行います。ログ収集の設定は、収集対象サーバで行います。 1. 以下のファイルをテキストエディタで開きます。 Systemwalkerインストールディレクトリ\MPWALKER.DM\mpatm\etc\mpatm_eventlog.def 2. 収集するカスタム イベントログのログ識別名とカスタム イベントログ名を以下の形式で追加します。 ログ識別名<タブ>カスタムイベントログ名 ログ識別名: “EventLog”で始まる文字列を、ASCII(80文字以内)で指定します。 半角英数字、および“-”(ハイフン)以外の文字列を指定しないでください。 カスタムイベントログ名: “カスタム イベントログ名を確認する”で確認した、カスタム イベントログ名から追加するものを定義します。 【条件】 - 文字コードは、Shift-JISで定義します。 - 1行1イベントログで定義します。 - 各項目区切り文字は必ずタブを使用します。半角空白は利用できません。 - 本定義ファイルは削除しないでください。 - 既存の定義は変更しないでください。OSのイベントログ収集ができなくなります。 - 168 - - 本定義は、バージョンアップ、バックアップ・リストアの対象とはなっていません。バージョンアップ、バックアップ・リストア時に は再設定してください。 例) “Microsoft-Windows-Application-Experience/Program-Inventory”のカスタム イベントログを定義する場合 mpatm_eventlog.defファイル EventLogApplication Application EventLogSystem System … EventLogHVWAdmin Microsoft-Windows-Hyper-V-Worker-Admin NREventLog Security EventLogMWAEPI Microsoft-Windows-Application-Experience/Program-Inventory 3. mpatmlogapdef(ログ収集設定コマンド)により、ログ収集の定義を行います。 mpatmlogapdef(ログ収集設定コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照して ください。 例) “Microsoft-Windows-Application-Experience/Program-Inventory”のカスタム イベントログを定義する場合 mpatmlogapdef ADD -A EventLogMWAEPI -L “Systemwalkerインストールディレクトリ \MPWALKER.DM\mpatm\EventLog\EventLogMWAEPI” 【条件】 - ログ識別名は、手順2で追加した文字列を指定してください。 - ログファイル名は、イベントログを出力する任意の一時ファイル名を指定してください。 ただし、一時ファイル名のパスは存在する必要があります。 - 日付書式定義ファイル名は、ログ識別名に“EventLog”で始まる文字列を指定することにより、“mpatmevt.fmt”がデフォルト 定義されます。 10.6 監査ログを収集する ログファイルを収集・管理する手順を説明します。 監査ログを収集する 監査ログを収集する手順を説明します。 以下のコマンドを実行し、指定したサーバ(部門管理サーバ、業務サーバ、運用管理サーバ、運用管理クライアント)に対してログの収 集を行います。 mpatmlog -H サーバ名 [部門管理サーバ/業務サーバ/運用管理クライアントから運用管理サーバへ通 信が可能な運用管理サーバのIPアドレス] 特定のログ識別名だけを収集したい場合は、mpatmlog(ログ収集コマンド)のオプション(-A)でログ識別名を指定します。 →指定したサーバに対してログを収集します。 mpatmlog(ログ収集コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 収集を行う際の注意事項 ログ収集を確実に行うためには、運用管理サーバ、および指定したサーバ(部門管理サーバ、業務サーバ、運用管理クライアント)の 双方とも、互いのホスト名の名前解決がされていることを確認してください。 部門管理サーバ/業務サーバ/運用管理クライアントから運用管理サーバへ通信が可能な運用管理サーバのIPアドレスの指定につい て - 169 - 以下の条件の場合に指定する必要があります。 ・ 運用管理サーバがインストールされているシステムが複数のIPアドレスを持っており、被管理サーバ(部門管理サーバ、業務サーバ、 運用管理クライアント)から運用管理サーバとの通信を行っているIPアドレスを特定したい場合 NAT構成でログを収集する場合は、“Systemwalker Centric Manager NAT適用ガイド”を参照してください。 構成例を以下に示します。 ログの収集結果を確認する ログ収集の結果は、イベントログやsyslogに以下のメッセージが出力されます。 [Systemwalkerコンソール]を使用することで、ログ収集の結果を知ることができます。 状況 メッセージ ログ収集が正常終了 (情報)mpatm: 情報: 121: ログ収集は成功しました。サーバ名= xxx。 収集対象のログがない (情報)mpatm: 情報: 124: 収集対象のログがありませんでした。サー バ名=xxx。 収集処理に一部失敗した場合 (警告)mpatm: 情報: 122: ログ収集は一部成功しました。サーバ名 =xxx。 ログ収集に失敗した場合 (エラー)mpatm: 情報: 123: ログ収集は失敗しました。サーバ名= xxx。 ログ収集の正常終了も監視したい場合、Systemwalker Centric Managerのイベント監視の条件定義を使用し、監査ログ管理機能のメッ セージを監視対象にしてください。 収集処理に失敗した場合、詳細情報は以下のように知ることができます。 ・ イベントログやsyslogへの出力 [Systemwalkerコンソール]を使用することで、どの被管理サーバのログの収集中でエラーが発生したか確認することができます。 ・ 標準エラー出力としての出力 mpatmlog(ログ収集コマンド)の実行結果は、標準出力/標準エラー出力として出力します。mpatmlog(ログ収集コマンド)を実行す る際、出力ファイルをリダイレクト指定することにより、実行結果を確認することができます。 注意 ログの収集結果についての注意事項 - 170 - ・ UNIXシステムの場合、/etc/syslog.conf の指定(user.infoの出力抑止)によっては、「ログ収集が正常終了(mpatm: 情報: 121)」が出 力されない場合があります。 ・ UNIX環境でNFSマウントしたネットワーク上のパスを格納ディレクトリに指定した場合は、事前に問題なくパスにアクセスできること を確認してください。ファイルサーバのダウンなどが原因でパスが利用できない場合、NFSタイムアウトが発生するまで処理が終了 しません。 ・ HP-UX、AIX版の場合、syslogへの日本語出力をサポートしていない環境があります。 - HP-UX版 - AIX版 (SJIS環境) 上記環境の場合、mpatmlog(ログ収集コマンド)のsyslogへの出力、コマンドの実行結果のメッセージは英語で出力します。 指定した形式が正しいかは、初回ログ収集の結果で確認します。 指定した形式が正しく指定できていると判断できる条件は、以下のとおりです。 ・ ログデータが日付ごとのファイルに、正しい日付で分割されている場合 指定した形式が正しく指定できていないと判断できる条件は、以下のとおりです。 ・ ログデータが複数の日数に存在するにもかかわらず、収集された日付ファイルが、収集当日のログファイルのみしか存在しない場 合 ・ ログデータが複数の日数に存在するにもかかわらず、日付ごとに分割されてはいるが、ファイル名の日付とデータが一致しない場 合 ・ ログデータが複数の日数が存在するにもかかわらず、「mpatm: 情報: 124」メッセージ(収集対象のログがありませんでした。)が出 力された場合 誤って異なる日付形式を指定してログ収集を行った場合も、監査ログ管理はログファイル情報を格納します。そのため、正しい形式に 修正し、再度ログ収集を行っても一度読み込んだログファイル情報が格納されているため、日付形式が誤っているときに読み込んだロ グデータは収集されません。その際は、形式を修正したログ識別名に対してmpatmdelap(ログ情報削除コマンド)を実施し、ログの管理 情報を削除してからログ収集してください。mpatmdelap(ログ情報削除コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 定期的にログを収集する OSのスケジュール機能、Systemwalker Operation Managerなどのジョブ管理製品を使用することにより、定期的なログの採取が可能と なります。 OSのスケジュール機能についてはOSのヘルプを、またSystemwalker Operation Managerによる設定方法については、Systemwalker Operation Managerのマニュアルを参照してください。 注意 定期的にログを収集する場合の注意事項 ・ 実行するユーザについて 実行するユーザは、Administratorsグループ(Windows)/システム管理者(スーパーユーザ)(UNIX)に属しているユーザで設定/登 録してください。 ・ ログ収集コマンドの実行および、スケジュール機能登録時の注意事項 - ログ収集の実施により、一時的にネットワークや特定のサーバ(運用管理サーバ)に負荷が集中するため、以下の時間帯での 実施をしてください。 業務が稼働していない時間帯(例:夜間) - 転送量の軽減のため、収集1回あたりのログデータ量、回線の太さを考慮しスケジュール登録をしてください。 - 171 - 収集中にログが改ざんされていないかを確認できます 収集する監査ログの改ざんチェックを行う場合は、mpatmlog(ログ収集コマンド)の“-U YES”を指定して実行します。 監査ログの改ざんチェックを行う場合は、“監査ログの改ざんを検出する”を参照してください。 収集の際に監査ログを圧縮保管する場合は、mpatmlog(ログ収集コマンド)の“-C YES”を指定して実行します。 mpatmlog(ログ収集コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 収集したログを圧縮して保管することができます 収集の際に監査ログを圧縮保管する場合は、“監査ログを圧縮する”を参照してください。 mpatmlog(ログ収集コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 10.7 監査ログを管理する 監査ログの一覧を参照する 収集したログファイルの管理について説明します。 ログ収集コマンドで収集したログファイルは、設定時に指定した格納ディレクトリに格納/保存します。収集したログファイルは、以下の 名前で保存します。 テキストログの場合 サーバ名_ログ識別名_文字コード_YYYYMMDD.log ・ サーバ名: 収集対象のサーバ名 ・ ログ識別名:収集するログファイルの識別子 ・ 文字コード:収集対象サーバのOSの文字コード - S:SJIS - E:EUC - U:UTF-8 - W:JIS2004 - C:英語(SJIS/EUC/UTF-8/JIS2004以外の文字コード) ・ 日付:収集対象のログのうち、YYYYMMDDのもの バイナリログの場合 サーバ名_ログ識別名_文字コード_YYYYMMDD_収集対象ファイル名_通番.log ・ YYYYMMDD:収集対象ファイルの最終更新日付 ・ 文字コード:“B” ・ 収集対象ファイル名:収集ファイル名 拡張子も付加しますが、その際、“.”(0x2E)は“-”(ハイフン 0x2D)に置き換えます。 ・ 通番:同一日にログ収集を複数回実行した場合の収集回数(0001~9999) 上書きするを選択した場合、通番は“0001”固定となります。 テキストログとバイナリログ共に、中継サーバを経由した被管理サーバのログファイル名のサーバ名、ログ識別名、文字コードおよび日 付は、運用管理サーバ上でも被管理サーバ名で使用された名前です。 - 172 - 注意 格納したログファイルに関する注意事項 ・ テキストログの場合、収集対象のログファイルは日付ごとにまとめられます。この場合、収集したログファイルが2GBを超えた場合は、 2GBごとに分割して保存します。収集したログファイルは、以下の名前で保存します。 サーバ名_ログ識別名_文字コード_YYYYMMDD_NN.log NN:通番 01~99 ・ 監査ログ管理機能では、収集対象のログの文字コード変換はしていません。(※監査証跡の観点から、形式を変えないで収集対 象のログを収集しています。) ・ 格納ディレクトリ配下の収集ログは、管理者権限のあるユーザ以外はアクセスできません。 監査ログを圧縮する 運用管理サーバ上の格納ディレクトリが存在するローカルディスクの容量を効率的に使用するために、収集した監査ログを圧縮して保 管します。 監査ログの圧縮は、mpatmlog(ログ収集コマンド)を使用し、格納ディレクトリに収集した監査ログが圧縮機能の対象となります。 なお、圧縮した監査ログは監査ログ分析機能やテキストビューアなどで利用することができません。監査ログを利用する場合は、事前 に圧縮した監査ログから監査ログを復元してください。 ETERNUS AS500アーカイブストレージに監査ログを格納する場合は、データの圧縮処理を装置内で行うため、本機能で圧縮する必 要はありません。 監査ログの圧縮方法 監査ログを圧縮する場合は、mpatmarchive(収集したログの圧縮コマンド) のオプション(-L)を指定して実行します。 圧縮ログは対象ファイルが存在するディレクトリに作成されます。 mpatmarchive(収集したログの圧縮コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 ・ 圧縮ログのファイル名 監査ログを圧縮すると、収集したログファイルのファイル名の拡張子を“log”から“loga”に変換します。監査ログを圧縮して収集す る場合は、オプション(-C YES)を指定してmpatmlog(ログ収集コマンド)を実行します。 【テキストファイルの場合】 - 173 - サーバ名_ログ識別名_文字コード_YYYYMMDD.loga - サーバ名:収集対象のサーバ名 - ログ識別名:収集するログファイルの識別子 - YYYYMMDD:収集対象ファイルの最終更新日付 - 文字コード:収集対象サーバのOSの文字コード 【バイナリファイルの場合】 被管理サーバ名_ログ識別名_文字コード_YYYYMMDD_収集対象ファイル名_通番.loga - サーバ名:収集対象のサーバ名 - ログ識別名:収集するログファイルの識別子 - YYYYMMDD:収集対象ファイルの最終更新日付 - 文字コード:収集対象サーバのOSの文字コード - 収集対象ファイル名:収集前のバイナリファイルのファイル名 - 通番:同一日にログ収集を複数回実行した場合の収集回数(0001~9999) 運用の手順 1. 被管理サーバでmpatmlogapdef(ログ収集設定コマンド)を実行し、監査ログを収集する設定を行います。 例) 監査ログを収集するための設定 mpatmlogapdef ADD -A textlog -L C:\logs\access.log -F C:\Systemwalker\MPWALKER.DM \mpatm\fmt\mpatmncsa.fmt 2. 運用管理サーバで格納ディレクトリの設定をmpatmtrsdef(ファイル転送情報定義コマンド)で行います。 例) 格納ディレクトリの設定 mpatmtrsdef REP -S C:\savelog 3. 運用管理サーバで被管理サーバに対してmpatmlog(ログ収集コマンド)を実行します。 例) 監査ログの収集 mpatmlog -H 被管理サーバ 運用を自動化する場合は、上記のコマンドをOS標準のタスクスケジューラやバッチ処理に追加してください。 4. 格納ディレクトリの監査ログを監査ログ分析で利用(正規化、分析など)します。 5. 運用管理サーバでmpatmarchive(収集したログの圧縮コマンド)を実行します。格納ディレクトリ内の前日分のログを圧縮します。 例) 監査ログの圧縮 mpatmarchive 運用を自動化する場合は、上記のコマンドをOS標準のタスクスケジューラやバッチ処理に追加してください。 6. 運用管理サーバで、mpatmmediacopy(収集ログ二次媒体複写コマンド)を実行します。 オプション(-K LOGA)を指定し、圧縮ログを二次媒体へ複写します。 例) 二次媒体装置に監査ログを複写 mpatmmediacopy -K LOGA - 174 - mpatmmediacopyコマンドで、運用管理サーバ上に格納/管理したログファイルを二次媒体装置へ複写します。前日までの監査 ログが複写の対象となります。 7. 運用管理サーバ上で、mpatmdellog(収集したログの削除コマンド)を実行します。 オプション-Fと-Tを指定し、格納ディレクトリ配下の1ヶ月(31日)以前の監査ログおよび圧縮ログを削除します。 例) 監査ログを削除するためのコマンド (対象:62日前から31日前までの監査ログ) mpatmdellog -F 62 -T 31 -Q NO ジョブスケジューラやバッチファイルに登録して自動実行する場合は、上記のとおり“-Q NO”を指定し、削除実行時の再確認を 省略してください。 監査ログの解凍方法 圧縮ログを解凍する場合は、mpatmextract(圧縮したログの解凍コマンド) のオプション(-L)を指定して実行します。 圧縮ログのファイル名に記載された、サーバ名、ログ識別名、収集日付を元に必要とする監査ログを選び、圧縮ログを解凍します。 mpatmextract(圧縮したログの解凍コマンド)の詳細は、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 運用の手順 1. 二次媒体から対象となる圧縮ログを任意のディレクトリ(C:\temp)に取り出します。圧縮ログのファイル名から該当する期間中の圧 縮ログを判断します。 2. オプション-Lで任意のディレクトリを指定し、mpatmextract(圧縮したログの解凍コマンド)を実行します。 mpatmextract -B 20070601 -E 20070630 -L C:\temp 注意事項 ・ ETERNUS 1000FシリーズのWORM機能を利用した装置、もしくは読み取り専用の装置に保管した圧縮ログはローカルディスク上 に解凍してください。 ・ 監査ログの収集中に圧縮および解凍を行う運用を避けてください。スケジュール登録による自動運用においては、監査ログの収 集と圧縮の実行間隔を十分あけてください。 監査ログをバックアップする 収集したログファイルのバックアップについて説明します。 ログファイルを収集し続けると、格納ディレクトリのディスク容量不足を招く恐れがあります。格納ディレクトリは、収集当日、前日のログ のみとし、ほかのログはCD-R/DVD-R/ストレージ装置などの追記不可の媒体にバックアップし、バックアップ後のファイルは削除をする 運用を推奨します。収集したログファイルのバックアップには、OSのバックアップ機能やバックアップ製品を使用してください。 または、収集ログ二次媒体複写コマンドにてバックアップを行ってください。二次媒体への複写については、“監査ログを退避する”を 参照してください。 10.8 監査ログを評価する 監査ログ管理機能を使用して、運用管理サーバ上にログを収集することで、ログの一元管理が容易になります。収集したログから、各 サーバの運用状況の把握、監査が可能となります。 また、問題事象が発生したときの、調査の早期取り掛かりも可能となります。 ここでは、収集した監査ログが改ざんされていないことを確認する方法を説明します。 監査ログの改ざんを検出する ログ収集コマンドで集めた監査ログに、加えられた変更が存在しないことを確認するために監査ログの改ざんをチェックし、不正な監査 ログの混入を未然に防ぐことができます。以下の場所で、監査ログに行われた改ざんを検出できます。 - 175 - 転送中の監査ログ 被管理サーバから転送された監査ログが正しいことをmpatmlog(ログ収集コマンド)のオプション(-U YES)を指定することで確認できます。 運用管理サーバまたは中継サーバに転送中の監査ログが対象です。 転送中に改ざん検出する場合、V13.3.0以降の運用管理サーバ・中継サーバ・被管理サーバが必要です。 また、HTTPS通信により信号を暗号化し、監査ログの盗聴や第三者の傍受を防ぎます。旧バージョンの被管理サーバから監査ログを 収集する場合は、HTTPS通信で監査ログの収集を行い、転送中の監査ログを保護してください。 HTTPS通信による収集を行う際には、“Systemwalker Centric Manager インターネット適用ガイド DMZ編”の“監査ログを管理するため の設定”を参照してください。 保管中の監査ログ 格納ディレクトリに保管した監査ログ/圧縮ログは、以下のコマンドの実行を契機に改ざんが確認されます。 ・ mpatmlog(ログ収集コマンド)の実行中 - 既存のログファイルにログデータを追加する前 テキストファイルを2回目以降に収集する場合、ログデータを追加する対象のログファイルに対して改ざんの確認が行われます。 前回収集した直後の状態から行われた変更が、改ざんとして検出されます。 ・ mpatmarchive(収集したログの圧縮コマンド)の実行中 - 監査ログを圧縮する前 格納ディレクトリ配下の監査ログを圧縮する場合、圧縮対象のログファイルに対して改ざんの確認が行われます。収集した直 後の状態、または解凍した直後の状態から行われた変更が改ざんとして検出されます。 - 既存の圧縮ログにログデータを追加する前 格納ディレクトリ配下の監査ログを圧縮する場合、ログデータを追加する対象の圧縮ログに対して改ざんの確認が行われます。 前回圧縮した直後の状態から行われた変更が、改ざんとして検出されます。 監査ログの圧縮については、“監査ログを圧縮する”を参照してください。 - 176 - ・ mpatmextract(圧縮したログの解凍コマンド)の実行中 - 監査ログを解凍する前 格納ディレクトリ配下の圧縮ログを解凍する場合、解凍対象の圧縮ログに対して改ざんの確認が行われます。圧縮した直後の 状態から行われた変更が改ざんとして検出されます。 ・ mpatmchecklog(収集したログの改ざん確認コマンド)を実行したとき 指定した監査ログまたは圧縮ログに対し、以下のコマンドを実行した後からの変更が改ざんとして検出されます。 - mpatmlog(ログ収集コマンド) - mpatmarchive(収集したログの圧縮コマンド) - mpatmextract(圧縮したログの解凍コマンド) なお、格納ディレクトリ内の改ざんを検出する場合は、V13.0.0以降の旧バージョンの被管理サーバと接続した場合でも利用できま す。 退避中の監査ログ mpatmmediacopy(収集ログ二次媒体複写コマンド)のオプション(-U YES)を指定すると退避後の監査ログが改ざんされていないことを 確認した上で、監査ログを二次媒体装置に退避します。 ・ 二次媒体装置に退避中の監査ログまたは圧縮ログが対象です。 ・ mpatmmediacopyは、運用管理サーバ・中継サーバで実行します。 二次媒体装置に複写中に監査ログの改ざんを検出できます。 注意 監査ログの改ざんを検出する場合の注意事項 ・ 監査ログを改ざん前の状態に戻すことはできません。 ・ 収集した直後の監査ログの内容から何らかの変更が生じた場合、改ざんを受けたと判断し、不正ログとして扱います。 例えば、以下の行為により、監査ログは不正と判断されます。 - 運用者がテキストエディタを用いて、不要なログレコードを削除する - 不正ログディレクトリに退避された監査ログを、正常な監査ログに追加する - 既存の監査ログと同じファイル名を付けて、別の監査ログに置き換える - 運用者が正常な監査ログの文字コードを変換して保存する - 運用者が監査ログを上書き保存する 改ざん検出後の対処 改ざんがあった場合の対処を説明します。 転送中の監査ログ mpatmlog(ログ収集コマンド)で改ざんを検出した場合、監査ログの収集が中断されます。改ざんが検出された場合、改ざん防止の対 策を実施した上で、再度ログ収集を行ってください。再実行したログ収集では、前回の続きでログデータが収集されます。 - 177 - 保管中の監査ログ 改ざんが検出された場合、該当する監査ログが格納ディレクトリ配下の“invalidlog”ディレクトリに移動され、改ざん確認の対象外となり ます。 改ざんが検出されたログファイルにはログレコードが追加されません。 監査ログから改ざんが検出された場合は、以下の手順で再収集してください。 ・ ログの再収集 mpatmchecklog(収集したログの改ざん確認コマンド)で改ざんを検出した場合、改ざんを検出した監査ログを以下の手順で再収集 します。 1. ログの読み込み情報の初期化 改ざんが検出されたログファイル名から初期化対象の被管理サーバ名とログ識別名を確認します。 改ざんされた日付のログを再収集するために、被管理サーバ上でログ情報を初期化します。 被管理サーバ上でmpatmdelap(ログ情報削除コマンド)を実行してください。 2. 過去7日間の監査ログの退避 改ざんが検出されたログファイル名から退避対象のサーバ名とログ識別名を確認します。 - 178 - 再 収 集 に よ る ロ グ デ ー タ の 重 複 を 防 ぐ た め 、 前 日 か ら 過 去 7 日 間 の 監 査 ロ グ を 二 次 媒 体 に 退 避 し て い な け れ ば、 mpatmmediacopy(収集ログ二次媒体複写コマンド)を実行してください。当日の監査ログは再収集により、取得できます。 3. 監査ログの削除 改ざんが検出されたログファイル名から削除対象のサーバ名とログ識別名を確認します。 再収集によるログデータの重複を防ぐため、当日から過去7日間の監査ログを削除します。 mpatmdellog(収集したログの削除コマンド)を実行してください。 4. 監査ログの再収集 改ざんが検出されたログファイル名から収集対象のサーバ名とログ識別名を確認します。 改ざんされた監査ログを復旧するため、再度ログ収集を実施します。 mpatmlog(ログ収集コマンド)を実行してください。 以下の場合は、改ざんが検出された監査ログを再収集できません。二次媒体に退避した監査ログをお使いください。 ・ 当日から7日前より以前の監査ログが改ざんを受けた場合 ・ 収集元のアプリケーションやシステムからログが消失した場合 例) ログレコードが削除された場合 例) ログの保管期間が8日間未満の場合 例) 循環ログ方式でログが生成されて、過去のログレコードが上書きされた場合 なお、改ざんされたログファイルを正規化していた場合は、改ざんを検出したログファイル名からサーバ名とログ識別名、日付を確認し、 対象の正規化ログを削除した上で、再度正規化してください。 退避中の監査ログ mpatmmediacopy(収集ログ二次媒体複写コマンド)で改ざんを検出した場合、改ざんされた監査ログは、複写先ディレクトリ上から削除 され、mpatmmediacopy(収集ログ二次媒体複写コマンド)はエラー終了します。 ただし、ETERNUS 1000FシリーズのWORM機能を利用している、または読み取り専用の装置が二次媒体装置の場合は、削除されま せん。 改ざん検出後は、監査ログの内容が変更された原因を取り除いた上で、再度二次媒体装置に退避してください。 使用方法 1. 監査ログの収集、および退避の設定を行います。 1. 被管理サーバでmpatmlogapdef(ログ収集設定コマンド)を実行し、収集ログファイルを登録します。 例) 監査ログを収集するための設定 - 179 - mpatmlogapdef ADD -A textlog -L C:\logs\access.log -F C:\Systemwalkerインス トールディレクトリ\MPWALKER.DM\mpatm\fmt\mpatmncsa.fmt 2. 運用管理サーバ上で格納ディレクトリの設定をmpatmtrsdef(ファイル転送情報定義コマンド)で行います。 例) 格納ディレクトリの設定 mpatmtrsdef REP -S C:\savelog 3. 運用管理サーバ上で二次媒体の複写先ディレクトリの設定をmpatmmediadef(二次媒体複写先設定コマンド)で行います。 例) 複写先ディレクトリの設定 mpatmmediadef REP -D Z:\logs 4. 運用管理サーバ上で正規化ログ格納先ディレクトリの設定をmpatacnvtdef(正規化ログ格納先定義コマンド)で行います。 例) 正規化ログ格納先ディレクトリの設定 mpatacnvtdef -N C:\csvs 2. 運用管理サーバ上で、被管理サーバに対してmpatmlog(ログ収集コマンド)を実行します。 例)監査ログの収集 mpatmlog -H 被管理サーバ -U YES mpatmlog(ログ収集コマンド)を使用すると転送中における改ざん検出処理が自動的に行われます。 3. 運用管理サーバで監査ログを正規化します。mpatalogcnvt(監査ログ正規化コマンド)を実行する際には、-Xオプションの値に YESを指定してください。正規化の手順については、“監査ログを正規化する”を参照してください。 例) 監査ログ正規化コマンド mpatalogcnvt -X YES 4. 正規化ログの集計レポートを作成する前に、正規化ログが改ざんされていないことを、mpatmchecklog(収集したログの改ざん確 認コマンド)を実行します。 正規化ログの集計レポートを作成する前に、正規化ログが改ざんされていないことを、mpatmchecklog(収集したログの改ざん確 認コマンド)を実行します。 mpatmchecklog -K CSV 5. 正規化ログの集計レポートを作成します。集計レポートは、mpatareportput(集計レポート出力コマンド)を実行します。 例1)正規化ログに対して改ざん確認を行うためのコマンド (対象:前日の正規化ログまたは圧縮ログ)。 mpatareportput -O CSV -F SolarisSyslog.rne C:\report\SolarisSyslog 6. 正規化/集計レポート作成処理を終えた監査ログを圧縮する場合は、運用管理サーバでmpatmarchive(収集したログの圧縮コマ ンド)を実行します。 例)監査ログを収集するための設定 (対象:前日の監査ログ) mpatmarchive 7. 監査ログを二次媒体に退避して、長期保管を行います。 1. 運用管理サーバ上で、mpatmchecklog(収集したログの改ざん確認コマンド)を実行します。 例) 監査ログに対して改ざん確認を行うためのコマンド (対象:前日の監査ログまたは圧縮ログ) - 180 - mpatmchecklog 2. 運用管理サーバ上で、mpatmmediacopy(収集ログ二次媒体複写コマンド)を実行します。 例) 監査ログを二次媒体に複写するためのコマンド (対象:前日の監査ログおよび圧縮ログ) mpatmmediacopy mpatmmediacopy -K ARC 3. 運用管理サーバ上で、mpatmmediacopy(収集ログ二次媒体複写コマンド)を実行します。 例) 正規化ログを二次媒体に複写するためのコマンド (対象:前日の正規化ログ) mpatmmediacopy -D Z:\CSV -K CSV 8. 運用管理サーバ上で、mpatmdellog(収集したログの削除コマンド)を実行します。 オプション-Fと-Tを指定し、格納ディレクトリ配下の1ヶ月(31日)以前の監査ログ、および圧縮ログを削除します。 例) 監査ログを削除するためのコマンド (対象:62日前から31日前までの監査ログ) mpatmdellog -F 62 -T 31 -Q NO ジョブスケジューラやバッチファイルに登録して自動実行する場合は、上記のとおり“-Q NO”を指定し、削除実行時の再確認を 省略してください。 9. 必要に応じて、運用管理サーバ上で、不要となった正規化ログを削除するために、mpatmdellog(収集したログの削除コマンド) を実行します。オプション-Fと-Tを指定し、正規化ログ格納先ディレクトリ配下の1ヶ月(31日)以前の正規化ログおよび圧縮ログを 削除します。 例) 正規化ログを削除するためのコマンド (対象:62日前から31日前までの監査ログ) mpatmdellog -F 62 -T 31 -Q NO -K CSV ジョブスケジューラやバッチファイルに登録して自動実行する場合は、例のとおり“-Q NO”を指定し、削除実行時の再確認を省 略してください。 削除実行は、ログ収集と同様に1日1回実施することを想定しています。 各コマンドの詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 10.9 監査ログを退避する 収集したログファイルを二次媒体装置へ退避(複写)する方法を説明します。 監査ログを退避(複写)する 以下に収集したログファイルを二次媒体装置へ退避(複写)する手順を示します。 1. 収集したログを二次媒体装置へ複写します。 mpatmmediacopy 二次媒体装置への複写時にしきい値に応じた容量不足が発生した場合、複写処理はエラー終了します。また、ログファイルの 属性を書き込み不可属性にすることで、改ざんの防止が可能となります。 二次媒体装置への複写の異常時は、OSのシステムログ(イベントログ/syslog)に失敗した旨を出力します。 退避ファイルごとの結果は、コマンドから出力されたメッセージより、エラー原因を取り除きます。 複写失敗したログは、複写失敗したメッセージ中のファイル名に含まれる日付から判断し、二次媒体装置へ複写失敗したログを、 mpatmmediacopyコマンドの日付(-B)指定で再複写します。 - 181 - 各コマンドの詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 ポイント 収集および二次媒体への複写は、毎日実施し、収集は常に最新ログまでを運用管理サーバへ、複写は常に収集したログの前日分を 二次媒体に複写する運用とすることをお勧めします。 収集および二次媒体への複写を毎日実施することにより、二次媒体へ退避するログデータ量を1日分だけにできデータ量を抑えること ができます。また、格納ディレクトリ内のログデータについて、前日までのログを二次媒体へ退避したことを明確にできます。 注意 監査ログを退避(複写)する場合の注意事項 ・ ログ収集と二次媒体への退避の手順は、それぞれOSのスケジュール機能、Systemwalker Operation Managerなどのジョブ管理製 品を用いて、定期的に動作させる運用を行ってください。 また、監査ログ管理によるログ収集、二次媒体装置への実行のスケジュール登録は、同じ時間に設定しないようにしてください。 ・ UNIX環境でNFSマウントしたネットワーク上のパスを複写先ディレクトリに指定した場合は、事前に問題なくパスにアクセスできるこ とを確認してください。ファイルサーバのダウンなどが原因でパスが利用できない場合、NFSタイムアウトが発生するまで処理が終 了しません。 ・ HP-UX、AIX版の場合、syslogへの日本語出力をサポートしていない環境があります。 - HP-UX版 - AIX版 (SJIS環境) 上記環境の場合、mpatmmediacopy(収集ログ二次媒体複写コマンド)のsyslogへの出力、コマンドの実行結果のメッセージは英語 で出力します。 複写先のディレクトリに同名のファイルが存在する場合 複写先のディレクトリに同名のファイルが存在する場合、以下のように扱います。 ファイルサイズが同じ場合は、複写を実行しません。「複写先上に既に同一サイズのファイルが存在します。」メッセージが出力されます。 ファイルサイズが異なる場合は、別名で保存されます。以下に例を説明します。 ・ [テキストログの場合] ファイル名が“Server_LogName_Code_Date_XX.log”の場合 Server:サーバ名 LogName:ログ識別名 Code:文字コード Date:日付(YYYYMMDD形式) XX:分割通番(2GB以上で分割されていない場合は存在しません) NNN:通番(001~999) ※999を超える通番になった場合、その旨をメッセージ通知し、ファイルコピーは失敗します。 ・ [バイナリログの場合] ファイル名が“Server_LogName_Code_Date_File_XX.log”の場合 Server:サーバ名 LogName:ログ識別名 Code:文字コード - 182 - Date:日付(YYYYMMDD形式) File:バイナリファイルの元ファイル名(拡張子前の“.”は“_”に置き換え) XX:分割通番(2GB以上で分割されていない場合は存在しません) NNN:通番(001~999) ※999を超える通番になった場合、その旨をメッセージ通知し、ファイルコピーは失敗します。 注意事項 ・ mpatmmediacopyコマンドは、監査ログ管理格納ディレクトリが未設定の場合、エラーとなります。 ・ サーバまたはログ識別名単位に退避先を分別したい場合は、各々の複写先を指定したコマンドを実行してください。 例)サーバ hostAのログ識別名 AP1は、“E:\hostA\AP1”、サーバ hostAのログ識別名 AP2は、“E:\hostA\AP2”へ退避する場合 mpatmmediadef REP -D E:\hostA mpatmlog -H hostA mpatmmediacopy -H hostA -A AP1 -D E:\hostA\AP1 mpatmmediacopy -H hostA -A AP2 -D E:\hostA\AP2 ・・・デフォルトの退避先 “E:\hostA” を設定 ・・・hostAのログ収集を実施 ・・・hostAのAP1をE:\hostA\AP1に退避 ・・・hostAのAP2をE:\hostA\AP2に退避 10.10 監査ログ管理の注意事項 監査ログ管理を行う場合の注意事項について説明します ・ Solaris 10のシステムでZone機能を使用している場合 Solaris 10のシステムでZone機能を使用している場合、以下のように異なるZoneのログ収集はできません。同じZone内のログファイ ルの収集を行ってください。 - Global Zoneの場合、Non-global Zone内にあるログファイル - Non-global Zoneの場合、Global Zone内にあるログファイル - Non-global Zoneの場合、異なるNon-global Zoneのログファイル ・ 運用に関する注意事項 監査ログ管理機能によるログ収集の運用中、システム時間の日付を1年先など先へ進めたり、過去に戻す操作を行わないでくださ い。そのような操作を行った場合、ログの収集が正常に行われないことがあるため、システム時間変更中でのログの収集は、実施 しないでください。実施した場合、以下の対応をしてください。 - システム時間の変更を行った際に出力されたログは、削除してください。 - 複数ファイルからログ収集を行っている場合、1)の対応により、システム時間の変更を行った際に出力されたログが存在したロ グファイルの更新日時が、現在運用中のログファイルより新しくなる場合があります。その場合、運用中のログファイルの更新 日時を最新になるようにしてください。 ・ 収集処理に関する注意事項 監査ログ管理機能は、運用管理サーバへ確実に転送された時点で、被管理サーバ側の転送用ディレクトリ内にある、収集対象の ログファイルを削除します。この時点で「監査ログ管理の収集は成功した」という判断をしています。 - 183 - 運用管理サーバへの転送に失敗した場合は、収集対象のログファイルは削除せず、次回収集依頼時に当日のデータが存在する 場合は、再度、前回収集済みデータに追加して、運用管理サーバへ転送します。 また、以下の場合は、運用管理サーバ上に同じログレコードが複数格納される場合があります。 - 運用管理サーバへ確実に転送はできたが、被管理サーバ側で削除処理に失敗したとき この場合、前回収集時に“収集は失敗した”という旨のメッセージを出力しています。 ・ 指定した形式が正しいかは、初回ログ収集の結果で確認します。 指定した形式が正しく指定できていると判断できる条件は、以下のとおりです。 - ログデータが日付ごとのファイルに、正しい日付で分割されている場合 指定した形式が正しく指定できていないと判断できる条件は、以下のとおりです。 - ログデータが複数の日数に存在するにもかかわらず、収集された日付ファイルが、収集当日のログファイルのみしか存在しな い場合 - ログデータが複数の日数に存在するにもかかわらず、日付ごとに分割されてはいるが、ファイル名の日付とデータが一致しな い場合 - ログデータが複数の日数が存在するにもかかわらず、「mpatm: 情報: 124」メッセージ(収集対象のログがありませんでした。) が出力された場合 誤って異なる日付形式を指定してログ収集を行った場合も、監査ログ管理はログファイル情報を格納します。そのため、正しい形 式に修正し、再度ログ収集を行っても一度読み込んだログファイル情報が格納されているため、日付形式が誤っているときに読み 込んだログデータは収集されません。その際は、形式を修正したログ識別名に対してmpatmdelap(ログ情報削除コマンド)を実施し、 ログの管理情報を削除してからログ収集してください。mpatmdelap(ログ情報削除コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 ・ バイナリファイルを収集する場合 - 収集したファイル名には、収集対象ファイル名を含みます。そのため、被管理サーバ上で収集対象ファイル名が同じで、パス が異なる場合のログ収集に関しては、ログ識別名で区別するようにしてください。 - テキストログファイルをバイナリファイルとして収集し、運用管理サーバで参照する場合、被管理サーバ側の文字コードに合わ せて参照してください。 ・ 中継サーバとして使用する場合の注意事項【HP-UX版、AIX版】 HP-UX、AIX版は、syslogへの日本語出力をサポートしていない環境があります。 - HP-UX版 - AIX版(SJIS環境) 上記環境を監査ログ管理のログ収集において、中継サーバとして使用する場合の注意事項は以下のとおりです。 - コマンド実行結果のメッセージ出力 mpatmlog(ログ収集コマンド)は、コマンドの実行結果をsyslogへ出力しています。また、収集中にエラーが発生した場合は、コ マンドの実行結果と同時にsyslogへエラーメッセージを出力しています。 上記環境の場合、syslogへ出力するメッセージは英語となります。 また、コマンドの実行結果のメッセージも英語で出力します。 - 日本語(マルチバイト文字)を含むファイルの収集・定義について 上記環境で日本語(マルチバイト文字)が含まれている場合、コマンド実行結果のメッセージ内で文字化けが発生します。 日本語(マルチバイト文字)を含む定義(格納ディレクトリ設定など)は行わないようにしてください。 また、収集対象のログファイル中に日本語(マルチバイト文字)が含まれている場合、あらかじめ日本語(マルチバイト文字)以 外の名前に変名し、監査ログ収集設定の定義を行ってください。 - 被管理サーバに他OS(Windows/Solaris/Linux)が含まれる場合 被管理サーバに他OS(Windows/Solaris/Linux)が含まれる場合、以下のようになります。 - 被管理サーバ側でエラーが発生した場合、コマンド実行結果のメッセージ中で文字化けが発生します。 - 184 - - 収集対象のログファイル中に日本語(マルチバイト文字)が含まれている場合、上記“日本語(マルチバイト文字)を含むファ イルの収集・定義について”の対処を行ってください。 - 185 - 第11章 監査ログを分析する 監査ログを分析するときに使用する各機能を、分析作業の流れに沿って説明します。 11.1 監査ログを分析する作業の流れ 監査ログを分析する作業の流れを説明します。 1.監査ログを正規化する システムで出力されるさまざまな監査ログファイルは、それぞれ、ログテキストの形式が異 なっています。このため、形式の異なる監査ログファイルを、統一された共通の形式に変換 (正規化)してから、分析します。 2.問い合わせファイルを作成する 集計するときの問い合わせ条件(集計項目)や、表のレイアウトを設定するために、運用管理 クライアント上で問い合わせファイルを作成し、運用管理サーバに登録します。 3.正規化ログが改ざんされていないかを確認する 分析した監査ログ(正規化ログ)が改ざんされていないことを確認します。 改ざんされていないことを確認した後に、分析した監査ログ(正規化ログ)を集計・検索に活用 します。 4.監査ログを集計する 収集された膨大な量の監査ログに対して、サーバへの不正アクセス件数や時間帯別のア クセス件数など、監査ログの分析目的に沿った情報を集計項目として集計します。問い合 わせファイルを実行して集計します。 5.監査ログを検索する 監査ログに対して、分析目的となる特定の情報を、検索条件にしたがって絞り込んで表示 します。[監査ログ分析]画面の[監査ログ分析-検索]画面で実施します。 6.点検結果を出力する 監査ログを分析した結果を点検結果として報告するため、レポートに出力します。 - 186 - 7.正規化ログを保管する 分析した監査ログ(正規化ログ)を二次媒体に退避し、長期保管を行う。 8.正規化ログを削除する 二次媒体に退避した後、ローカルディスク上から監査ログ(正規化ログ)を削除します。 11.1.1 監査ログを正規化する 監査ログの正規化とは 監査ログを分析する場合、分析目的に応じて検索条件を設定し、検索結果を分析・評価します。このとき、分析対象のプラットフォーム や監査ログの種別を意識することなく、同じ手順で分析を実施できることが必要です。 しかし、システムで出力されるさまざまな監査ログファイルは、それぞれ、ログテキストの形式が異なっています。このため、形式の異な る監査ログファイルを、統一された共通の形式に変換してから、分析する必要があります。 形式の異なる監査ログファイルを、統一された共通の形式に変換することを、監査ログを正規化するといいます。監査ログの正規化は、 mpatalogcnvt(監査ログ正規化コマンド)を使用して行います。mpatalogcnvt(監査ログ正規化コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 正規化した監査ログの改ざんを防止する 正規化された監査ログ(正規化ログ)の改ざんを防止するためには、-XオプションにYESを指定して、mpatalogcnvt(監査ログ正規化コ マンド)を実行します。-XオプションにYESを指定して作成した正規化ログのみが改ざん確認の対象となります。 mpatalogcnvt(監査ログ正規化コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 事前準備 監査ログを収集する 監査ログを収集していない場合は、監査ログを収集してください。 監査ログの収集方法については、“監査ログを収集する”を参照願います。 監査ログのディレクトリを定義する 分析に使用する監査ログを格納するディレクトリを作成します。 mpatacnvtdef(正規化ログ格納先定義コマンド)で、正規化ディレクトリとして定義します。正規化された監査ログはこのディレクトリに格 納されます。 【定義例】 [Windowsの場合] c:\mpata\cnvtlogを作成し、正規化ログ格納ディレクトリとして定義します。 mkdir C:\mpata\cnvtlog C:\Systemwalker\MPWALKER.DM\bin\mpatacnvtdef -N C:\mpata\cnvtlog [UNIXの場合] /mpata/cnvtlogを作成し、正規化ログ格納ディレクトリとして定義します。 mkdir /mpata/cnvtlog /opt/systemwalker/bin/mpatacnvtdef -N /mpata/cnvtlog - 187 - 正規化ルール定義ファイルをカスタマイズする システムで出力されるさまざまな監査ログファイルは、それぞれ、ログテキストの形式が異なっています。監査ログを正規化するには、 監査ログの各値を共通形式のどの項目名として置き換えるかを指定しなければなりません。この変換規則を、正規化ルール定義ファ イルで指定します。 製品に添付されている正規化ルール定義ファイルは、運用に応じて変換規則を変更して使用します。正規ルール定義ファイルはini ファイル形式です。内容を変更する場合は、テキストエディタを使用します。 定義ファイルの詳細は、“Systemwalker Centric Managerリファレンスマニュアル”で“正規化ルール定義ファイル”を参照してください。 なお、IISログ(W3C拡張形式)の場合、正規化ルール定義ファイルでコメントアウトされているIIS 5.0またはIIS 6.0の定義を有効にして ください。 バイナリログファイルに対応する 監査ログファイルがバイナリログファイルの場合、直接正規化することはできません。バイナリログファイルをテキストログファイルに変換 してから、正規化してください。 運用管理サーバでテキストログファイルに変換する場合 以下に手順を示します。 1. バイナリログファイルを収集します。 mpatmlog( ロ グ 収 集 コ マ ン ド ) を 使 用 し て 、 バ イ ナ リ ロ グ フ ァ イ ル を 運 用 管 理 サ ー バ 上 の 格 納 デ ィ レ ク ト リ に 格 納 し ま す。 mpatmlog(ログ収集コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 2. 運用管理サーバ上で、バイナリログファイルをテキストログファイルに変換します。 適切なコマンド、またはツールを使用して、バイナリログファイルをテキストログファイルに変換し、一時ディレクトリに格納します。 このとき、以下の条件をすべて満たすことが必要です。 - ログレコード中に、監査ログ管理の収集規約にしたがった形式で日時が出力されていなければなりません。 - テキストログファイル名は、監査ログ管理の収集規約に沿っていなければなりません。 - テキストログファイルは、日付(収集実行日)、サーバ名、ログ識別名が正しくなければなりません。 監査ログ管理の収集規約については、“監査ログ管理でログを収集するために”を参照してください。 【テキストログファイル名の例】 [Windowsの場合] - 188 - C:\Windows\Temp\server1_BinLog_S_20061221.log [UNIXの場合] /var/tmp/server1_BinLog_S_20061221.log 3. 日付書式定義ファイルを準備します。 運用管理サーバ上の以下のディレクトリ配下に、テキストログファイルのログ識別名および日時出力書式に対応した、日付書式 定義ファイルを配置します。 [Windowsの場合] Systemwalkerインストールディレクトリ\MPWALKER.DM\MpAtm\Analysis\サーバ名\ログ識別名\ [UNIXの場合] /etc/opt/FJSVmpatm/Analysis/サーバ名/ログ識別名/ 4. テキストログファイルを正規化します。 mpatalogcnvt(監査ログ正規化コマンド)で“-L 一時ディレクトリ名”オプションを指定して、一時ディレクトリ上にあるテキストログファ イルを正規化ログファイルに変換し、正規化ディレクトリに格納します。mpatalogcnvt(監査ログ正規化コマンド)の詳細は、 “Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 【テキストログファイルの正規化例】 [Windowsの場合] Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatalogcnvt -H server1 -A BinLog -L C:\Windows\Temp\ -F 1 -T 1 [UNIXの場合] /opt/systemwalker/bin/mpatalogcnvt -H server1 -A BinLog -L /var/tmp -F 1 -T 1 5. テキストログファイルを削除します。 正規化後、不要になったテキストログファイルを削除します。 業務サーバでテキストログファイルに変換する場合 運用管理サーバにテキスト変換コマンドを用意できない場合、業務サーバでバイナリログファイルをテキストログファイルに変換し、テ キストログファイルを運用管理サーバへ収集します。 以下に手順を示します。 - 189 - 1. 運用管理サーバ上で、バイナリログファイルをテキストログファイルに変換します。 適切なコマンド、またはツールを使用して、バイナリログファイルをテキストログファイルに変換し、一時ディレクトリ上に格納します。 このとき、以下の条件をすべて満たすことが必要です。 - ログレコード中に、監査ログ管理の収集規約にしたがった形式で日時が出力されていなければなりません。 - テキストログファイル名は、監査ログ管理の収集規約に沿っていなければなりません。 - テキストログファイルは、日付(収集実行日)、サーバ名、ログ識別名が正しくなければなりません。 監査ログ管理の収集規約については、“監査ログ管理でログを収集するために”を参照してください。 【テキストログファイル名の例】 [Windowsの場合] C:\Windows\Temp\server1_BinLog_s_20061221.log [UNIXの場合] /var/tmp/server1_BinLog_s_20061221.log 2. テキストログファイルを収集します。 mpatmlog(ログ収集コマンド)を使用して、テキストログファイルを運用管理サーバ上の格納ディレクトリに格納します。 3. テキストログファイルを削除します。 収集後、不要になったテキストログファイルを削除します。 4. テキストログファイルを正規化します。 mpatalogcnvt(監査ログ正規化コマンド)を使用して、テキストログファイルを正規化ログファイルに変換し、正規化ディレクトリに格 納します。 ユーザ独自のログを分析するための準備をする 監査ログがユーザ独自ログの場合、システム管理者は、運用管理サーバ上で正規化ルール定義ファイルを作成し、運用管理サーバ に登録してください。 以下に手順を示します。 - 190 - 1. 正規化ルール定義ディレクトリで、他のログ識別名の正規化ルール定義ファイルを、ユーザ独自ログの正規化ルール定義ファイ ル用にコピーします。 [正規化ルール定義ファイルの格納場所が“Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\etc\rule”、コピー 元の正規化ルール定義ファイルが“mpatarule_ApacheErrorLog.ini”である場合] cd Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\etc\rule copy mpatarule_ApacheErrorLog.ini mpatarule_XXXXX.ini XXXXX:ユーザ独自ログのログ識別名を表します。 [ 正 規 化 ル ー ル 定 義 フ ァ イ ル の 格 納 場 所 が “ /etc/opt/FJSVmpata/etc/rule ” 、 コ ピ ー 元 の 正 規 化 ル ー ル 定 義 フ ァ イ ル が “mpatarule_ApacheErrorLog.ini”である場合] cd /etc/opt/FJSVmpata/etc/rule cp mpatarule_ApacheErrorLog.ini mpatarule_XXXXX.ini 2. コピーした正規化ルール定義ファイルをユーザ独自ログの正規化に適合するよう、テキストエディタで編集します。 3. mpatarulectl(正規化ルール管理コマンド)で、ユーザ独自ログの正規化ルール定義ファイルを、運用管理サーバに登録します。 mpatarulectl(正規化ルール管理コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照し てください。 なお、ユーザ独自ログの分析が不要になった場合は、以下の手順で正規化ルールの登録情報を削除してください。 1. 運用管理サーバ上の問い合わせファイルにおいて、条件にユーザ独自ログのログ種別を指定している場合は、そのログ種別を 削除してください。 2. [監査ログ分析-検索]画面において、現在設定中の検索条件、または保存済みの検索条件に、ユーザ独自ログのログ種別を 指定している場合は、そのログ種別を削除してください。 3. mpatarulectl(正規化ルール管理コマンド)で、ユーザ独自ログの正規化ルールの登録情報を、運用管理サーバ上で削除してく ださい。 mpatarulectl(正規化ルール管理コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照し てください。 DTKログを分析するための準備をする 監査ログがSystemwalker Desktop Keeperクライアント操作ログ(以下DTKログ)の場合、システム管理者は運用管理サーバ上で正規化 ルール定義ファイルを作成し、運用管理サーバに登録してください。 以下に手順を示します。 1. 正規化ルール定義ディレクトリで、ログ識別名が“DTK”の正規化ルール定義ファイルを、DTKログの正規化ルール定義ファイ ル用にコピーします。 [正規化ルール定義ファイルの格納場所が“Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\etc\rule”、コピー 元の正規化ルール定義ファイルが“mpatarule_DTK.ini”である場合] cd Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\etc\rule copy mpatarule_DTK.ini mpatarule_DTKXXXXX.ini DTKXXXXX:DTKログのログ識別名を表します。 [ 正 規 化 ル ー ル 定 義 フ ァ イ ル の 格 納 場 所 が “ /etc/opt/FJSVmpata/etc/rule ” 、 コ ピ ー 元 の 正 規 化 ル ー ル 定 義 フ ァ イ ル が “mpatarule_DTK.ini”である場合] cd /etc/opt/FJSVmpata/etc/rule cp mpatarule_DTK.ini mpatarule_DTKXXXXX.ini 2. コピーした正規化ルール定義ファイルをDTKログの正規化に適合するように、テキストエディタで編集します。 3. mpatarulectl(正規化ルール管理コマンド)で、DTKログの正規化ルール定義ファイルを、運用管理サーバに登録します。 mpatarulectl(正規化ルール管理コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照し てください。 - 191 - なお、DTKログの分析が不要になった場合は、以下の手順で正規化ルールの登録情報を削除してください。 1. 運用管理サーバ上の問い合わせファイルにおいて、条件にDTKログのログ種別を指定している場合は、そのログ種別を削除し てください。 2. [監査ログ分析-検索]画面において、現在設定中の検索条件、または保存済みの検索条件に、DTKログのログ種別を指定し ている場合は、そのログ種別を削除してください。 3. mpatarulectl(正規化ルール管理コマンド)で、DTKログの正規化ルールの登録情報を、運用管理サーバ上で削除してください。 mpatarulectl(正規化ルール管理コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照し てください。 正規化の手順 正規化するためには、mpatalogcnvt(監査ログ正規化コマンド)を実行します。 本コマンドは、監査ログ管理機能の格納ディレクトリ上に格納された監査ログファイルを正規化し、正規化ログファイルとして、正規化 ディレクトリに格納します。 正規化ディレクトリは、運用管理サーバのローカルディスク上に作成してください。検索/集計時に必要な全正規化ログファイルを格納 できる容量を確保してください。 一般的な運用では、監査ログ管理のmpatmlog(ログ収集コマンド)を記述したバッチファイルまたはシェルスクリプトに本コマンドを記述 し、スケジューラに登録します。 監査ログ正規化コマンドの処理時間の目安としては、10KBの監査ログファイルが10ファイル(合計100KB)で8秒程度です。 ただし、処理時間はマシン性能により異なりますので、スケジュールの際には対象とする監査ログの量と実機での測定を行った上で処 理時間を見積もってください。 正規化は、基本的に1つの監査ログファイルが、1つの正規化ログファイルに変換されます。ただし、以下の場合は、複数の正規化ログ ファイルに分割して変換されます。 ・ 監査ログファイルがSystemwalker Desktop Keeperクライアント操作ログの場合(Systemwalker Desktop Keeperクライアントごとに正 規化ログファイルが分割されます。) ・ 1つの正規化ログファイルのサイズが、2Gバイトを超過した場合 ・ 監査ログファイルの正規化がすでに実行されており、かつ前回の実行時から差分がある場合(差分を正規化し、前回とは別のファ イルに格納します。) 正規化されたログ項目 各種監査ログファイルは、以下の監査ログ項目を持つ正規化ログファイル(CSV形式)に変換されます。 - 192 - 以下の監査ログ項目は、検索機能および集計機能利用時に、条件指定で選択したり、結果表示項目として指定することが可能です。 項番 項目名 値の形式(説明) 1 日時 YYYY/MM/DD△HH:mm:SS 2 日付 MM/DD(ローカル日付) 3 時刻 HH:mm:SS(ローカル時刻) 4 時間帯 HH(ローカル時刻)(注1) 5 曜日 日 月 火 水 木 金 土 6 操作場所 操作を行ったホスト名など(運用管理クライアント名など) 7 操作IPアドレス 操作を行ったホストのIPアドレス 8 実行ホスト 要求された操作を実際に実行するホスト名(運用管理サーバ名など)(注 2) 9 実行IPアドレス 要求された操作を実際に実行するホストのIPアドレス 10 操作者 操作を行ったユーザ名 11 操作対象 操作対象となるノードやアプリケーションなどを表す名称(業務サーバ名 など) 12 操作種別 操作した内容を分類するための種別 13 操作内容 何を行ったかの内容(実行したコマンド行やメッセージテキスト) 14 実行結果 成功 失敗 操作の開始 キャンセル 15 コンポーネント 操作対象のコンポーネント名 16 追加情報 操作エラーの詳細情報、操作を追跡するためのID(セッションID相当)、 影響範囲など 17 深刻度 不明 情報 警告 軽微なエラー エラー 重大なエラー 致命的なエラー 18 ログテキスト 元の監査ログテキスト 19 ログ種別 EventLogApplication EventLogSecurity EventLogSystem EventLogDNSServer EventLogDirectoryService EventLogFileRepService EventLogDFSReplication EventLogHardwareEvents EventLogForwardedEvents EventLogHVCfgAdmin EventLogHVCfgOpe - 193 - 項番 項目名 値の形式(説明) EventLogHVHAAdmin EventLogHVHyAdmin EventLogHVHyOpe EventLogHVIMSAdmin EventLogHVIMSOpe EventLogHVIntAdmin EventLogHVNetAdmin EventLogHVNetOpe EventLogHVSNAdmin EventLogHVSSAdmin EventLogHVSSOpe EventLogHVVMMSAdmin EventLogHVWAdmin SolarisSyslog SolarisSuLog SolarisLoginLog LinuxSyslog HPUXSyslog HPUXSuLog AIXSyslog AIXSuLog IISNCSALog IISLog IISW3CLog ApacheAccessLog ApacheErrorLog CMGRCmdRevLog DTK CMGROpLog CMGRSvacLog CMGRSVOpLog NREventLog OMGRLog (注3) 20 拡張種別1 21 拡張値1 22 拡張種別2 23 拡張値2 24 拡張種別3 25 拡張値3 26 拡張種別4 27 拡張値4 28 拡張種別5 29 拡張値5 30 拡張種別6 31 拡張値6 32 拡張種別7 33 拡張値7 34 拡張種別8 35 拡張値8 ログ種別ごとに一意で固有の項目を「拡張項目」として格納します(最大 20項目)。 「拡張種別x」に項目の種別を格納し、「拡張値x」に項目の値を格納しま す(x=1~20)。 (例)項目が「送信バイト数」の場合 拡張種別1:送信バイト数 拡張値1 :300 - 194 - 項番 項目名 36 拡張種別9 37 拡張値9 38 拡張種別10 39 拡張値10 40 拡張種別11 41 拡張値11 42 拡張種別12 43 拡張値12 44 拡張種別13 45 拡張値13 46 拡張種別14 47 拡張値14 48 拡張種別15 49 拡張値15 50 拡張種別16 51 拡張値16 52 拡張種別17 53 拡張値17 54 拡張種別18 55 拡張値18 56 拡張種別19 57 拡張値19 58 拡張種別20 59 拡張値20 値の形式(説明) 注1) 本項目は集計機能で時間帯ごとの表示(1時台、2時台・・・)を行う際に使用するデータです。日時や時刻のHHと同じ値であるため、 検索機能では条件や結果一覧で表示されません。 注2) Systemwalker Desktop Keeperクライアントの場合、“Systemwalker Desktop Keeperサーバ名+クライアントのコンピュータ名”の形式 です。 注3) 項目として設定される値と、それぞれに対応するログ種別は以下のとおりです。 項目の値 ログ種別 EventLogApplication Windowsイベントログのアプリケーションログ EventLogSecurity Windowsイベントログのセキュリティログ EventLogSystem Windowsイベントログのシステムログ EventLogDNSServer WindowsイベントログのDNS Serverログ EventLogDirectoryService WindowsイベントログのDirectory Serviceログ EventLogFileRepService Windowsイベントログのファイル複製サービスログ - 195 - 項目の値 ログ種別 EventLogDFSReplication WindowsイベントログのDFSレプリケーションログ EventLogHardwareEvents Windowsイベントログのハードウェアイベントログ EventLogForwardedEvents Windowsイベントログの転送されたイベントログ EventLogHVCfgAdmin Microsoft-Windows-Hyper-V-Config-Admin EventLogHVCfgOpe Microsoft-Windows-Hyper-V-Config-Operational EventLogHVHAAdmin Microsoft-Windows-Hyper-V-High-Availability-Admin EventLogHVHyAdmin Microsoft-Windows-Hyper-V-Hypervisor-Admin EventLogHVHyOpe Microsoft-Windows-Hyper-V-Hypervisor-Operational EventLogHVIMSAdmin Microsoft-Windows-Hyper-V-Image-Management-Service-Admin EventLogHVIMSOpe Microsoft-Windows-Hyper-V-Image-Management-Service-Operational EventLogHVIntAdmin Microsoft-Windows-Hyper-V-Integration-Admin EventLogHVNetAdmin Microsoft-Windows-Hyper-V-Network-Admin EventLogHVNetOpe Microsoft-Windows-Hyper-V-Network-Operational EventLogHVSNAdmin Microsoft-Windows-Hyper-V-SynthNic-Admin EventLogHVSSAdmin Microsoft-Windows-Hyper-V-SynthStor-Admin EventLogHVSSOpe Microsoft-Windows-Hyper-V-SynthStor-Operational EventLogHVVMMSAdmin Microsoft-Windows-Hyper-V-VMMS-Admin EventLogHVWAdmin Microsoft-Windows-Hyper-V-Worker-Admin SolarisSyslog Solarisシステムログ SolarisSuLog Solaris suログ SolarisLoginLog Solarisログインログ LinuxSyslog Linuxシステムログ HPUXSyslog HP-UXシステムログ HPUXSuLog HP-UX suログ AIXSyslog AIXシステムログ AIXSuLog AIX suログ IISNCSALog IISのNCSA 共通ログファイル形式 IISLog IISのMicrosoft IIS ログファイル形式 IISW3CLog IISのW3C拡張形式 ApacheAccessLog Apacheのアクセスログ NCSA 形式 ApacheErrorLog Apacheのエラーログ NREventLog ETERNUS NR1000F seriesイベントログ DTK Systemwalker Desktop Keeper バックアップコマンドにより出力されたログ CMGRCmdRevLog Systemwalker Centric Managerのリモートコマンド検索ログ CMGROpLog Systemwalker Centric Managerの[Systemwalkerコンソール]の監査ログ CMGRSvacLog サーバアクセス制御の監査ログ CMGRSVOpLog Systemwalker Centric Managerのサーバ操作制御の監査ログ(注) OMGRLog Systemwalker Operation Managerの操作ログ 注) 旧バージョンのシステムで収集された監査ログ - 196 - 正規化ログの管理 通常、正規化ディレクトリには定期的に分析する予定のある正規化ログを格納し、不要になり次第、圧縮または削除してください。 監査ログや正規化ログを退避する場合は、監査ログ管理のmpatmmediacopy(収集ログ二次媒体複写コマンド)を使用して退避します。 正規化ログを圧縮/解凍する場合は、mpatmarchive(収集したログの圧縮コマンド)/mpatmextract(圧縮したログの解凍コマンド)を使 用します。詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 すでに正規化ログを削除してしまった過去の監査ログに対して突発的な調査が必要になった場合は、必要なログをmpatalogcnvt(監 査ログ正規化コマンド)で正規化して分析してください。 ネットワーク上のディスクを正規化ディレクトリとして使用することも可能です。 ポリシーを使用せずに収集定義を行った監査ログを分析する場合 監査ログを収集する場合、収集定義はポリシーを使用して行います。詳細は、“ポリシーを使用して設定する”を参照してください。 しかし、収集定義をコマンドで行った場合、分析前に以下の手順で正規化を実施する必要があります。また、業務サーバからユーザ 独自ログの収集を行っている場合、日付書式定義ファイルも転送する必要があります。 1. ユーザ独自ログ用の日付書式定義ファイルを格納する。 [Windowsの場合] 業務サーバからユーザ独自ログの収集を行っている場合、業務サーバ上にあるユーザ独自ログ用の日付書式定義ファイル (*.fmt)を、監査ログ分析が導入された運用管理サーバの、Systemwalkerインストールディレクトリ\MPWALKER.DM\MpAtm \Analysis\サーバ名\ログ識別名 配下に、FTPコマンドで転送し、格納してください。 [UNIXの場合] 業務サーバからユーザ独自ログの収集を行っている場合、業務サーバ上にあるユーザ独自ログ用の日付書式定義ファイル (*.fmt)を、監査ログ分析が導入された運用管理サーバの、/etc/opt/FJSVmpatm/Analysis/サーバ名/ログ識別名 配下に、FTPコ マンドで転送し、格納してください。 WindowsとUNIXのどちらの場合においても、日付書式定義ファイルを変更する場合は、古い日付書式定義ファイルを所定の ディレクトリから別ディレクトリに移動するか削除し、新しい日付書式定義ファイルのみを格納してください。 2. 監査ログファイルを正規化する。 mpatalogcnvt(監査ログ正規化コマンド)を使用して、格納ディレクトリ配下に転送した監査ログファイルを、正規化ディレクトリ配下 に正規化してください。 以下は、すべての監査ログを正規化する例です。 [Windowsの場合] Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatalogcnvt [UNIXの場合] /opt/systemwalker/bin/mpatalogcnvt 11.1.2 問い合わせファイルを作成する 集計するときの問い合わせ条件(集計項目)や、表のレイアウトを設定するために、問い合わせファイルを作成します。 運用管理クライアント上で作成し、運用管理サーバに登録します。 問い合わせファイルを作成する 問い合わせファイルの作成について、以下の2とおりの方法を説明します。 ・ 導入時にインストールされた問い合わせサンプルファイルをカスタマイズする ・ 問い合わせファイルを新規作成する 作成した問い合わせファイルはそれを使用する他の運用管理クライアントや運用管理サーバへコピーしてください。 - 197 - 導入時にインストールされた問い合わせサンプルファイルをカスタマイズする 監査ログ分析機能をインストールしたとき、問い合わせサンプルファイルは、運用管理クライアントに格納されます。この問い合わせサ ンプルファイルをカスタマイズし、運用管理クライアントに保存します。 1. 問い合わせサンプルファイルを、任意のディレクトリにコピーします。 問い合わせサンプルファイルのインストール先は“Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\sample\total” です。 2. [スタート]メニューから[プログラム]-[Interstage Navigator Client]-[Navigator クライアント]を選択します。 →[Navigator クライアント]が起動されます。 3. [Navigator クライアント]から[ファイル]メニューの[開く]を選択します。 →[開く]ダイアログボックスが表示されます。 [開く]ダイアログボックスで、手順1.で任意のディレクトリにコピーしたカスタマイズ用の問い合わせファイルを選択します。 →[サーバに接続]画面が表示されます。 - 198 - 4. [サーバに接続]画面において、Interstage Navigator Serverに接続するためのユーザ名とパスワード、Interstage Navigator Server がインストールされた運用管理サーバのサーバ名を入力し、[OK]ボタンをクリックします。 →以下の確認メッセージが表示されます。 5. 問い合わせファイルをカスタマイズするので、[いいえ]ボタンをクリックします。 →[レイアウトの指定]画面が表示されます。 - 199 - 6. 集計内容をカスタマイズし、[OK]ボタンをクリックします。 →以下の確認メッセージが表示されます。 7. [いいえ]ボタンをクリックします。 注意 ボタンの選択についての注意事項 ここでは、集計処理を実行しません。誤って[はい]ボタンをクリックした場合、集計が実行されてしまいます。 →集計結果画面が表示されます。 手順7.で[いいえ]を選択しているため、実データは表示されません。 - 200 - 8. [Navigatorクライアント]画面の[ファイル]メニューから[上書き保存]を選択します。 →問い合わせファイルが、運用管理クライアント上に保存されます。 9. [ファイル]メニューから[終了]を選択し、Navigatorクライアントを終了します。 問い合わせファイルを新規作成する 新規作成した問い合わせファイルは、運用管理クライアント上に保存します。問い合わせファイルを新規に作成する手順を説明します。 1. [スタート]メニューから[プログラム]-[Interstage Navigator Client]-[Navigator クライアント]を選択します。 →[Navigator クライアント]が起動されます。 - 201 - 2. [Navigator クライアント]から[ファイル]メニューの[新規作成]-[問い合わせ表]を選択します。 →[サーバに接続]画面が表示されます。 3. [サーバに接続]画面において、Interstage Navigator Serverに接続するためのユーザ名とパスワード、Interstage Navigator Server がインストールされた運用管理サーバのサーバ名を入力し、[OK]ボタンをクリックします。 →[Navigator クライアント]画面が表示されます。 4. [ファイル]メニューから[新規作成]-[問い合わせ表]を選択します。 - 202 - →[レイアウトの指定]画面が表示されます。 5. 集計内容を作成後、[OK]ボタンをクリックします。 →以下の確認メッセージが表示されます。 6. [いいえ]ボタンをクリックします。 注意 ボタンの選択についての注意事項 ここでは、集計処理を実行しません。誤って[はい]ボタンをクリックした場合、集計が実行されてしまいます。 - 203 - →集計結果画面が表示されます。 手順6.で[いいえ]を選択しているため、実データは表示されません。 7. [ファイル]メニューから[名前を付けて保存]を選択し、問い合わせファイルを保存します。 保存するディレクトリは、作業用ディレクトリを指定します。問い合わせファイル名は集計レポート出力コマンドで使用するため、 ASCII文字210文字以内またはシフトJIS文字105文字以内で指定してください。 →問い合わせファイルが、運用管理クライアント上に保存されます。 8. [ファイル]メニューから[終了]を選択し、[Navigator クライアント]画面を終了します。 11.1.3 正規化ログが改ざんされていないかを確認する 正規化ログの改ざん確認とは 分析に使用する正規化ログが改ざんされていないことを確認します。 改ざんされていないことを確認した後に、正規化ログを集計・検索に活用します。 正規化ログの改ざん確認を行う手順 正規化ログの改ざん確認するには、mpatmchecklog(収集ログの改ざん確認コマンド)を実行します。mpatmchecklog(収集ログの改ざん 確認コマンド)は、集計・検索に活用するための正規化ログに対して行います。 mpatmchecklog(収集ログの改ざん確認コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照 してください。 - 204 - 例) 正規化ディレクトリ内の日付:20090515の正規化ログの改ざん確認を行います。 mpatmchecklog -B 20090515 -K CSV 改ざん検出後の対処 正規化ログに対して改ざんを検出した場合、集計・検索に活用できません。 改ざんを検出した正規化ログは正規化ログが格納されているディレクトリ配下の“invalidlog”ディレクトリに移動されます。 正規化ログから改ざんが検出された場合は、以下の手順で該当する日付の監査ログを再度正規化してください。 1. 改ざんが検出された日付の正規化ログを削除します。 改ざんが検出された正規化ログファイル名から削除対象のサーバ名、ログ識別名と日付を確認します。 改ざんが確認された日付の監査ログを再正規化するために、運用管理サーバ上で正規化ログを削除します。 運用管理サーバ上でmpatmdellog(収集したログの削除コマンド)に“-K CSV”を指定し、実行してください。 mpatmdellog(収集したログの削除コマンド)で削除される正規化ログは、“-L”オプションで指定したディレクトリ、または、正規化 ディレクトリ(“-L”オプションを省略した場合)内の正規化ログ、および、そのディレクトリ配下の“invalidlog”ディレクトリ内の通番を 含めた正規化ログです。 例) 正規化ディレクトリ内のサーバ:server、ログ識別名:ap、日付:20090515の正規化ログを削除します。 - 205 - mpatmdellog -H server -A ap -B 20090515 -K CSV 2. 改ざんが検出された日付の監査ログを再度正規化します。 改ざんが確認されたサーバ名、ログ識別名および“-B”オプションで該当日付を指定して、mpatalogcnvt(監査ログ正規化コマン ド)で再度正規化ログを作成します。 例) サーバ:server、ログ識別名:ap、日付:20090515の正規化ログを再作成します。 mpatalogcnvt -H server -A ap -B 20090515 -X YES 11.1.4 監査ログを集計する 収集された膨大な量の監査ログに対して、サーバへの不正アクセス件数や時間帯別のアクセス件数など、監査ログの分析目的に沿っ た情報を集計項目として集計する機能です。 Interstage Navigator Serverと連携することにより、正規化ログの集計処理をGUIまたはコマンドで実施し、表形式(CSV形式またはHTML 形式)の集計結果を取得します。分析に必要な集計項目は、問い合わせファイルに設定し、運用管理サーバに登録してあるため、ど の運用管理クライアントで集計を実行しても同じ集計結果を得ることができます。 実行手順 問い合わせファイルを実行することにより、集計が行われます。 集計する正規化ログが圧縮されている場合は、事前にmpatmextract(圧縮したログの解凍コマンド)で解凍します。 問い合わせファイルを実行する 1. [スタート]メニューから[プログラム]-[Interstage Navigator Client]-[Navigator クライアント]を選択します。 →[Navigator クライアント]が起動されます。 2. [Navigator クライアント]から[ファイル]メニューの[開く]を選択します。 →[開く]ダイアログボックスが表示されます。 [開く]ダイアログボックスで、問い合わせファイルを選択します。 - 206 - →[サーバに接続]画面が表示されます。 3. [サーバに接続]画面において、Interstage Navigator Serverに接続するためのユーザ名とパスワード、Interstage Navigator Server がインストールされた運用管理サーバのサーバ名を入力し、[OK]ボタンをクリックします。 →以下の確認メッセージが表示されます。 4. [はい]ボタンをクリックします。 →集計処理が実施されます。 →集計が終了したら、問い合わせ完了メッセージが表示されます。 - 207 - 5. [OK]ボタンをクリックします。 →集計結果がダウンロードされます。 →読み込み完了メッセージが表示されます。 6. [OK]ボタンをクリックします。 →集計が表示されます。 問い合わせファイルに設定した集計項目や、表のレイアウトどおりに集計が行われていることを確認します。 7. 集計結果を、保存します。 ポイント Navigatorクライアントのメッセージを抑止する 以下の設定を行うと、手順4.および手順5.で表示された、問い合わせ完了メッセージや読み込み完了メッセージを非表示にすることが できます。集計の完了に続いて結果がダウンロードされます。 - 208 - 1. [Navigator クライアント]画面の[ツール]メニューから[オプション]を選択し、[オプション]画面を表示します。 2. [画面]タブの[確認メッセージ]で、[少なくする]をチェックします。 3. [OK]ボタンをクリックします。 コマンドを実行する 集計は、運用管理サーバ上でコマンドを実行することによっても実施できます。集計に使用するコマンドはmpatareportput(集計レポー ト出力コマンド)です。引数として問い合わせファイルを指定します。 バッチファイルを、システムのスケジューラ機能などにスケジュール登録することにより、定期的に集計を実施することができます。 以下に、本コマンドを使用したバッチファイルの例を示します。 例:アプリケーションイベントログの集計結果をデフォルトの出力ディレクトリ(Systemwalkerインストールディレクトリ\MPWALKER.DM \mpata\var\user\report)配下に出力する場合 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportput EventLogApplication.rne EventLogApplication mpatareportput(集計レポート出力コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してくだ さい。 Interstage Navigator連携に関する注意事項 監査ログ分析機能は、Interstage NavigatorのCSVファイルの集計機能と連携することにより実現しています。Interstage Navigatorの仕 様により生じる注意事項について説明します。 文字列条件指定で使用できない記号について 監査ログの集計機能では、分析の観点・目的にしたがって対象ログレコードを特定する条件を指定します。 例) 過去3日以内のログ、発生ホスト名にhhhを含む、ログテキスト中にxxxを含むなど。 条件を指定するときに、以下の記号を含む文字列を使用することはできません。 ・ シングルクオート(') - 209 - ・ カンマ(,) ・ 半角のアンダースコア(_) ・ 全角のアンダースコア(_) ・ 半角のパーセント記号(%) ・ 全角のパーセント記号(%) 文字列末尾の空白文字の扱いについて 監査ログ分析機能は、監査ログのログテキストから分析に必要な情報項目(ユーザ名や実行結果など)を抽出し、それを分析のキーと して使用します。集計するときは、その分析のキーを使用し「実行ユーザごとに操作失敗の件数を出す」というような集計を行います。 このとき、抽出した情報の末尾の空白はデータとして扱われず無視されます。 例) 以下のデータはすべて同一データとして扱われて集計されます(△は半角空白を表します)。 ・ ABC ・ ABC△ ・ ABC△△ 80バイトを超える文字列について 分析のキーとしてログテキストから抽出する文字列の長さは、ログや抽出情報の内容により変わります。しかし、Interstage Navigatorが 分析のキーとして扱える情報の長さはShift-JISコードで80バイトまでです。80バイトを超える文字列は、80バイトで切り捨てて実行され るため、80バイトまで同じで、81バイト以降が異なるような文字列は、同一文字列として扱われます。 制御文字について ログファイル中には、TAB文字や改ページなどの制御文字が含まれている場合がありますが、Interstage Navigatorでは、制御文字を 含んだ文字列を扱うことはできません。そのため監査ログ分析機能が、Interstage Navigatorと連携して処理を実行するときは、ログファ イル中の制御文字はすべて半角空白に置き換えて実行されます。 点検レポートの書式について 監査ログ分析機能が出力する点検レポート(HTML形式)は、Interstage Navigatorの問い合わせ結果の表を元にしています。問い合わ せ結果の表は、分析のキーに使用した情報の値を縦方向・横方向に列挙して表示します。 例) リスクの高い操作を各ユーザが1日に何度実行しているかを分析する場合 条件指定によりリスクの高い操作のログを特定し、縦方向に実行ユーザ名、横方向に実行日付を表示させる 横方向に並べた情報の個数(上記の例では日数)が多い場合、表は横に長くなります。このような場合は、点検レポートの印刷を行う ときには、HTML形式を扱えるツールを使用し、書式の整形を行ってください。 使用するデータベースについて Interstage Navigatorの運用にはデータベース製品が別途必要ですが、監査ログ分析機能との連携時には、Systemwalker Centric Managerのデータベースを使用することができます。 監査ログ分析機能との連携以外の用途でInterstage Navigatorを使用する場合は、対応するSymfoware/RDBなど、別途データベース 製品を導入してください。 辞書の更新を伴う機能について 運用管理サーバがクラスタ環境の場合、辞書の更新を伴う以下の機能は使用できません。 ・ メッセージ機能 ・ 個人の管理ポイント ・ 一般利用者による集計結果の二次加工 - 210 - ドリリング機能の制限 監査ログ分析機能とInterstage Navigatorが連携するときには、Interstage Navigator のドリリング機能は使用できません。 管理ポイントについて 管理ポイントに関連した以下の操作を実施しないでください。 管理ポイントの作成 管理ポイントを以下の方法で作成しないでください。 ・ カテゴリ型のデータ項目から作成 ・ カテゴリ型(全値型)の管理ポイントから作成 ・ 管理ポイントのインポートで作成 問い合わせの実行 表の種類が集計表または明細表であり、かつ表側または表頭にデータ項目または全値型管理ポイントを配置した場合、以下を実施し ないでください。 ・ 配置したデータ項目または全値型管理ポイントから作成したカテゴリ型管理ポイントを表側または表頭に配置 ・ [表のオプション指定]画面の[表側]タブで、[実績データのない行のみ表示する]または[すべての行を表示する]を選択 ・ [表のオプション指定]画面の[表頭]タブで、[実績データのない列のみ表示する]または[すべての列を表示する]を選択 ・ [表のオプション指定]画面の[その他]タブで、[コードで分類して集計]または[「未分類」として集計]または[「その他」に含めて集 計]を選択 管理ポイントの詳細指定 表側または表頭に配置したデータ項目または全値型管理ポイントに対しデータの並べ順を変更するため、[管理ポイントの詳細指定] 画面で[データの並べ順を変更]を押下した場合、以下を実施しないでください。 ・ [カテゴリの読み込み]画面で、[全てのカテゴリを読み込む]を選択 ・ [カテゴリの読み込み]画面で、[カテゴリを検索して読み込む]かつ[サーバーから読み込む]を選択 11.1.5 監査ログを検索する 膨大な量の監査ログに対して、検索条件を設定し検索することによって、必要な情報だけを入手して監査ログを調査することができます。 検索条件は、保存できます。次回からは、保存されている検索条件を再利用すれば、条件を設定する手間が省け、簡単に監査ログの 検索を行うことができます。 保存した検索条件は、運用管理サーバに登録し管理します。複数の運用管理クライアントで検索条件を使用することができます。 実行手順 集計する正規化ログが圧縮されている場合は、事前にmpatmextract(圧縮したログの解凍コマンド)で解凍します。 検索条件を設定する 検索条件を設定する手順を説明します。 1. [スタート]メニューから[プログラム]-[Systemwalker Centric Manager]-[Systemwalkerコンソール]を選択します。 →[Systemwalkerコンソール]が起動されます。 - 211 - 2. [Systemwalkerコンソール]の[操作]メニューから[監査ログ分析]を選択します。 →[監査ログ分析]画面の[監査ログ分析-検索]画面が起動されます。 3. [監査ログ分析-検索]画面は、以下の条件をすべて満たしているユーザだけが使用できます。 - Systemwalker Centric Managerにて“DmReference”、“DmOperation”、または“DmAdmin”および“SecurityAuditor”の両方 のロールに所属している。 - コンソール操作制御機能を導入している場合、同機能の“操作制御マネージャ起動条件記述ファイル”において、本機能の 操作名“com.fujitsu.swsi.swcent.audittrail.retrieval”に対する操作が可能な権限が定義されている。 同じ運用管理サーバに接続している各[監査ログ分析]画面から起動できる[監査ログ分析-検索]画面は、合計で最大50個です。 - 212 - ロール、およびコンソール操作制御機能の詳細については、"コンソール操作制御機能で認証する"を参照してください。 監査ログ分析機能の以下の画面において、画面タイトルに“[通番:接続先運用管理サーバのホスト名:Systemwalkerコンソール にログインしたユーザーID]”が表示されます。 - 監査ログ分析-検索 - ディレクトリ参照 - 条件の追加(※) - 条件の編集(※) - 条件の追加(実行ホスト) - 条件の編集(実行ホスト) - ノード選択 - 条件の追加(日付) - 条件の編集(日付) - 条件の追加(時刻) - 条件の編集(時刻) - 検索条件の選択 - 検索条件の確認 - 検索条件の管理 - カテゴリーの選択 - カテゴリーの追加 - 検索条件保存ファイル情報の編集 - 検索条件保存ファイルの取り込み - 表示項目の設定 - 213 - - 日時調節 - CSV形式で保存 - 検索条件反映項目の選択 (※)日付、時刻、実行ホスト以外の文字検索の条件 [監査ログ分析-検索]画面は複数起動できます。複数起動した場合は、[監査ログ分析-検索][監査ログ分析-検索(2)][監査 ログ分析-検索(3)]のように、連番がつきます。複数起動していた[監査ログ分析-検索]画面をすべて終了したのち、[監査ログ 分析-検索]画面を起動した場合には、はじめから番号がふられます。 4. [正規化ログの格納場所]の[参照]ボタンをクリックします。 初期表示は、[(デフォルトの格納ディレクトリ)]です。デフォルトの格納ディレクトリとは、mpatacnvtdef(正規化ログ格納先定義コマ ンド)で定義した正規化ディレクトリを指しています。 →[ディレクトリ参照]画面が表示されます。 5. 正規化ログファイルが格納されているディレクトリを選択し、[OK]ボタンをクリックします。 →[正規化ログの格納場所]にディレクトリパス名が表示されます。 6. [検索開始日時]を設定します。 [監査ログ分析-検索]画面の起動時には、初期値として現在の時刻から10分前の時刻が設定されています。 検索開始日時を指定しない場合は、チェックボックスを“OFF”にします。 7. [検索終了日時]を設定します。 [監査ログ分析-検索]画面の起動時には、現在の時刻が設定されています。 検索終了日時を指定しない場合は、チェックボックスを“OFF”にします。 8. 検索条件を設定します。 [検索条件の設定]に表示される項目は、正規化ログの項目名です。選択する項目によって、検索条件の設定内容が異なります。 以下に、項目名と検索名の一覧を示します。 正規化ログの項目名の詳細は、“正規化されたログ項目”を参照してください。 - 214 - 項番 [検索条件の設定]に表 示される項目 検索型 検索結果一覧 での初期表示 1 日付 日付検索 - 2 時刻 時刻検索 - 3 曜日 選択検索 - 4 操作場所 文字検索 ○ 5 操作IPアドレス 文字検索 ○ 6 実行ホスト 実行ホスト 検索 ○ 7 実行IPアドレス 文字検索 ○ 8 操作者 文字検索 ○ 9 操作対象 文字検索 ○ 10 操作種別 文字検索 ○ 11 操作内容 文字検索 ○ 12 実行結果 選択検索 ○ 13 コンポーネント 文字検索 ○ 14 追加情報 文字検索 ○ 15 深刻度 選択検索 ○ 16 ログテキスト 文字検索 ○ 17 ログ種別 選択検索 ○ 18 拡張値1 文字検索 ○ 19 拡張値2 文字検索 ○ 20 拡張値3 文字検索 ○ 21 拡張値4 文字検索 ○ 22 拡張値5 文字検索 ○ 23 拡張値6 文字検索 ○ 24 拡張値7 文字検索 ○ 25 拡張値8 文字検索 ○ 26 拡張値9 文字検索 ○ 27 拡張値10 文字検索 ○ 28 拡張値11 文字検索 - 29 拡張値12 文字検索 - 30 拡張値13 文字検索 - 31 拡張値14 文字検索 - 32 拡張値15 文字検索 - 33 拡張値16 文字検索 - 34 拡張値17 文字検索 - 35 拡張値18 文字検索 - 36 拡張値19 文字検索 - 37 拡張値20 文字検索 - 備考 ノード検索を行うときに使 用します。 - 215 - ○:初期表示されます。 -:初期表示されません。 なお、各項目に設定された検索条件の内容は、[検索条件の確認]ボタンで参照することができます。 文字検索の場合 [検索条件の設定]に表示される項目において、文字検索に該当する項目を選択した場合、文字検索の条件を入力します。 a. 以下のいずれかのボタンを選択します。 - [一覧の値いずれかを含む]:「条件一覧」に設定した値を含むログ情報を検索します。一覧に値を複数設定した場合は、 OR条件で検索します。 - [一覧の値すべてを含まない]:「条件一覧」に設定した値を含まないログ情報を検索します。一覧に値を複数設定した 場合は、AND条件で検索します。 b. [追加]ボタンをクリックします。 →[条件の追加(操作IPアドレス)]画面が表示されます。 c. 以下の値を設定し、[OK]ボタンをクリックします。 - [値]:検索する値を設定します。入力可能な最大文字数は、1024文字です。任意の文字を入力できます。 - [一致の判定方法]:検索する値の判定方法を指定します。 →[条件値一覧]に値(文字検索の内容)が表示されます。 値を複数設定する場合は、b)からc)を繰り返します。 実行ホスト検索の場合 - 216 - [検索条件の設定]に表示される項目において、実行ホストに該当する項目を選択した場合、実行ホスト検索の条件を入力します。 a. 以下のいずれかのボタンを選択します。 - [一覧の値すべてを含む]:「条件一覧」に設定した値を含むログ情報を検索します。一覧に値を複数設定した場合は、 OR条件で検索します。 - [一覧の値すべてを含まない]:「条件一覧」に設定した値を含まないログ情報を検索します。一覧に値を複数設定した 場合は、AND条件で検索します。 b. [追加]ボタンをクリックします。 →[条件の追加(実行ホスト)]画面が表示されます。 c. 以下の値を設定し、[OK]ボタンをクリックします。 - [実行ホスト]:検索する値を設定します。入力可能な最大文字数は、256文字です。任意の文字を入力できます。 - [一致の判定方法]:検索する値の判定方法を指定します。 または、[参照]ボタンをクリックします。 - 217 - →[ノード選択]画面が表示されます。 条件に設定するノードを選択し、[OK]ボタンをクリックします。 →[条件値一覧]に値(実行ホスト検索の内容)が表示されます。 値を複数設定する場合は、b)からc)を繰り返します。 選択検索の場合 [検索条件の設定]に表示される項目において、選択検索に該当する項目を選択した場合、選択検索の条件を入力します。 [候補一覧]から条件となる値を選択し、[選択一覧]へ追加します。[候補一覧]の値は複数選択できます。値を複数設定した場合 は、OR条件で検索されます。 なお、項目として[ログ種別]を選択した場合、ユーザ独自ログおよびDTKログについては、[候補一覧]にログ識別名がすべて小 文字で表示されます。 例1) - 218 - ログ識別名が“XXXXX”であるユーザ独自ログの場合、[候補一覧]に“xxxxx”と表示されます。 例2) ログ識別名が“DTKXXXXX”であるDTKログの場合、[候補一覧]に“dtkxxxxx”と表示されます。 日付検索の場合 - 219 - [検索条件の設定]に表示される項目において、日付検索に該当する項目を選択した場合、日付検索の条件を入力します。 a. [追加]ボタンをクリックします。 →[条件の追加(日付)]画面が表示されます。 b. 以下の値を設定し[OK]ボタンをクリックします。 - [月日指定]:ラジオボタンを選択すると、開始月日、終了月日が使用可能になります。開始日付、終了日付はグレー 表示されます。 - [日付指定]:ラジオボタンを選択すると、開始日付、終了日付が使用可能になります。開始月日、終了月日はグレー 表示されます。 開始日付>終了日付の値を指定した場合、月またぎの範囲で指定されることになります。 以下の場合、2006/10/25~2006/11/5までに含まれるログ情報が対象となります。 検索開始日時:2006/10/1 00:00:00 検索終了日時:2006/11/30 00:00:00 開始日付:25 終了日付:5 →[条件値一覧]に値(日付検索の内容)が表示されます。 条件を複数設定する場合は、a)からb)を繰り返します。入力できる条件の数は、最大100件です。入力した条件はOR条件で検 索されます。 時刻検索の場合 - 220 - [検索条件の設定]に表示される項目において、時刻検索に該当する項目を選択した場合、時刻検索の条件を入力します。 a. [追加]ボタンをクリックします。 →[条件の追加(時刻)]画面が表示されます。 b. 以下の値を設定し[OK]ボタンをクリックします。 - [開始時刻]:検索する時刻範囲の開始時刻を設定します。[終了時刻]より大きな値を指定することができます。 - [終了時刻]:検索する時刻範囲の終了時刻を設定します。[開始時刻]より大きな値を指定することができます。 開始時刻>終了時刻の値を指定した場合、日またぎの範囲で指定されることになります。 以下の場合、2006/10/1~2006/10/2までの23:00:00から02:00:00に含まれるログ情報が対象となります。 検索開始日時:2006/10/1 00:00:00 検索終了日時:2006/10/2 23:59:59 開始時刻:23:00:00 終了時刻:02:00:00 →[一覧]に値(時刻検索の内容)が表示されます。 日付の範囲を複数設定する場合は、a)からb)を繰り返します。 入力できる条件の数は、最大100件です。入力した条件はOR条件で検索されます。 - 221 - 9. [検索条件の保存・管理]ボタンをクリックします。 →[検索条件の管理]画面が表示されます。 10. 設定情報を確認し、以下の情報を設定します。 - [検索条件の保存名]:保存する検索条件に付ける名前を入力します。入力可能な最大文字数は64文字です。以下の文字 を除く任意の文字を入力できます。 - * (アスタリスク) - ? (疑問符) - : (コロン) - " (ダブルクォーテーション) - < (左アングルブラケット) - > (右アングルブラケット) - | (パイプ) - \(円記号) - / (スラッシュ) - [コメント]:保存する検索条件に付けるコメントを入力します。入力可能な最大文字数は、100文字です。任意の文字を入力 できます。 - 222 - - [登録先カテゴリー選択]:登録先のカテゴリーを選択します。 未選択の場合は、カテゴリーのルートに登録されます。直接入力はできません。 または、[カテゴリー参照]ボタンをクリックします。 →[カテゴリーの選択]画面が表示されます。 登録先のカテゴリーを選択します。 カテゴリーを選択する場合は、あらかじめカテゴリーを登録しておく必要があります。カテゴリーの登録については、“カテゴ リーの登録”を参照してください。 11. [保存]ボタンをクリックします。 →検索条件が運用管理クライアント上の以下のフォルダに保存されます。 Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\data\retrieval ポイント 検索条件を他の運用管理クライアントでも使用する 保存した検索条件を他の運用管理クライアントでも使用する場合は、以下の手順で検索条件ファイルを移行してください。 1. 検索条件ファイルを、使用したい運用管理クライアントへコピーします。 2. コピー先運用管理クライアント上の[監査ログ分析-検索]画面で[検索条件の管理]画面を起動します。 3. [編集]タブの[検索条件登録情報の操作]内の[取り込み]で、コピーした検索条件ファイルを取り込みます。 ポイント 検索条件のクリア 以下の操作を行うと検索条件がクリアされます。検索条件を保存する場合は、クリア操作を行う前に実施してください。 ・ [クリア]ボタンをクリックする ・ 検索条件選択にて初期値の「選択してください」を選択する ・ [検索条件の管理]画面の[編集]タブにおいて、現在選択中の検索条件を変更、または削除する - 223 - カテゴリーの登録 検索条件を登録するカテゴリーは、検索条件や用途に応じて作成できます。以下に作成手順を説明します。 1. [監査ログ分析-検索]画面で[検索条件の保存・管理]ボタンをクリックします。 →[検索条件の管理]画面が表示されます。 2. [編集]タブを選択します。 →カテゴリーのルートである[検索条件]が、[検索条件登録一覧]に表示されます。カテゴリーは、フォルダのアイコンとして表示 されます。 3. [検索条件登録一覧]の[検索条件]フォルダを選択します。 4. [カテゴリーの登録情報の操作]の[追加]ボタンをクリックします。 →[カテゴリーの追加]画面が表示されます。 - 224 - 5. 以下の値を設定し[OK]ボタンをクリックします。 - [カテゴリー名]:登録するカテゴリー名を設定します。入力可能な最大文字数は64文字です。以下の文字を除く任意の文字 を入力できます。 - * (アスタリスク) - ? (疑問符) - : (コロン) - " (ダブルクォーテーション) - < (左アングルブラケット) - > (右アングルブラケット) - | (パイプ) - \(円記号) - / (スラッシュ) - [コメント]:保存するカテゴリー情報に付けるコメントを入力します。入力可能な最大文字数は100文字です。任意の文字を入 力できます。 →登録したカテゴリーが[検索条件登録一覧]に表示されます。 検索する 保存されている検索条件を指定し、検索を行います。以下に手順を説明します。 1. [監査ログ分析]画面を起動し、[監査ログ分析-検索]画面を表示します。 - 225 - 2. [検索条件参照]ボタンをクリックします。 →[検索条件の選択]画面が表示されます。 検索条件の登録情報は、ツリー形式で表示されます。 カテゴリーは、フォルダのアイコンで表示されます。 検索条件は、ファイルのアイコンで表示されます。 3. 実行する検索条件を選択し、[OK]ボタンをクリックします。 4. [監査ログ分析-検索]画面で、[検索開始]ボタンをクリックします。 →検索が開始され、[検索結果一覧]タブが表示されます。 - 226 - 検索中に、検索条件に該当するログ情報が1000件(初期値)を超えた場合は、エラーメッセージが表示され、検索が中断されます。1001 件目以降のログ情報を表示する場合は、[次へ]ボタンをクリックします。 ポイント 検索の所要時間例 以下に所要時間の例を示します。 なお、検索の所要時間(検索開始から検索結果表示完了まで)は、正規化ログの量や検索条件の内容、ハードウェア/通信環境などの 要因によって変動します。 ・ 測定環境 - 運用管理サーバ OS Windows Server 2008 CPU Pentium 4 1.8GHz メモリ 1GB - 運用管理クライアント OS Windows XP Professional CPU Celeron 2.5GHz メモリ 512MB ・ 検索の所要時間 144秒 ・ 検索条件 正規化ログのファイル数 16個 正規化ログの合計サイズ 2048MB 検索条件数 4(検索開始日時、および検索終了日時を含む) ヒット件数 1000 検索結果を確認する 検索結果の一覧から、詳細情報を表示して確認します。 - 227 - 1. [監査ログ分析-検索]画面の[検索結果一覧]タブで、確認するログ情報を選択し、[検索結果詳細表示]ボタンをクリックします。 →[検索結果詳細]タブが表示され、対象ログの詳細情報が表示されます。 2. 検索結果を確認します。 - 228 - 3. [監査ログ分析-検索]画面の[検索結果一覧]タブで、[CSV形式で保存]ボタンをクリックします。 →[CSV形式で保存]画面が表示されます。 4. 保存方法や文字コードを選択し、[OK]ボタンをクリックします。 →ファイル保存用のダイアログボックスが表示されます。 5. ファイル名を入力してファイルを保存します。 →検索結果がCSVファイルに保存されます。 CSVファイルの保存場所のデフォルト値は、“Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\var\user\csv”で す。また、ファイル名の初期値は、“retrieval.csv”です。 注意 ディスク容量についての注意事項 大量の検索結果を出力する場合、出力先のディスク容量が不足しないように注意してください。目安として、2×検索結果の件数(KB) のディスク容量が必要になります。 出力する正規化ログの件数が10,000件を超えている場合は、10,000件ごとに複数のファイルに分割されて出力されます。正規化ログ が分割された場合、ファイル名(拡張子なし)の後ろに通し番号がつきます。 例)Abc.csvを指定して、イベントの件数が25,000件の場合 Abc.csv 1件目~10,000件目 Abc_1.csv 10,001件目~20,000件目 Abc_2.csv 20,001件目~25,000件目 [監査ログ分析-検索]画面の[検索結果一覧]タブでは他に以下の操作が可能です。操作の詳細はヘルプを参照してください。 ・ 表示項目の設定 検索結果の一覧に表示する項目の選択・順序の変更を行います。 [表示項目の設定]ボタンのクリックにより設定画面が表示されます。 ・ 日時調節 検索結果の一覧に表示する日時の値を実行ホスト単位に変更します(進める/遅らせる)。 ホスト間で時間(時計)にずれがある場合にそのずれを調整して表示させることができます。 [日時調節]ボタンのクリックにより設定画面が表示されます。 ・ 選択行を条件に反映 検索結果の一覧の中から選択した監査ログの情報を検索条件にコピーします。 - 229 - 検索された監査ログの操作者名などの値を次に行う検索の条件とする場合などに使用します。 [選択行を条件に反映]ボタンのクリックにより設定画面が表示されます。 検索画面の初期状態を変更する 検索条件として初期表示される値や、メッセージボックスの表示/非表示など、検索機能でカスタマイズ可能な情報があります。 カスタマイズ可能な情報は以下のとおりです。 ・ 検索範囲の指定(時間) ・ 検索結果一覧の最大表示件数 ・ [検索開始]/[次へ]ボタン押下後のタイムアウト時間 ・ 検索を開始する際の検索対象ログファイルのファイル数と合計サイズの表示/非表示 ・ 検索条件を削除する場合の確認メッセージボックスの表示/非表示 ・ 検索条件を読み込む際の確認メッセージボックスの表示/非表示 情報を設定する画面の表示手順を以下に説明します。 1. [監査ログ分析]画面を起動します。 2. [ウィンドウ]メニューから[設定]を選択します。 3. ツリー内のフォルダ[監査ログ分析-検索]を選択します。 →[設定]画面が表示されます。 - 230 - 4. カスタマイズする情報を設定します。 11.1.6 点検結果を出力する 監査ログを分析した結果をもとに、システムに対する不正な行為の有無など運用状況を点検結果として報告します。監査ログ分析機 能では、簡単な操作によって、レポートを作成することができます。 点検結果をレポート出力する mpatareportput(集計レポート出力コマンド)で、出力形式をHTML形式(-O HTMLオプション指定)にした場合、以下の一般的なレポー ト形式で集計結果を出力することができます。 mpatareportput(集計レポート出力コマンド)で出力したレポートには、分析結果を点検した担当者名や点検コメントは出力されません。 集計レポートに、点検した担当者名や点検コメントを追加する場合は、以下の手順が必要です。 - 231 - 1. 監査ログをmpatareportput(集計レポート出力コマンド)を利用して集計し、結果を出力します。 運用管理サーバで、mpatareportput(集計レポート出力コマンド)に問い合わせファイルを指定して実行します。集計は、スケジュー ラに登録して実行します。mpatareportput(集計レポート出力コマンド)の詳細については、“Systemwalker Centric Managerリファ レンスマニュアル”を参照してください。 以 下 に 、 問 い 合 わ せ フ ァ イ ル “ EventLogApplication.rne ” を 使 用 し て 、 ア プ リ ケ ー シ ョ ン イ ベ ン ト ロ グ の 集 計 レ ポ ー ト “EventLogApplication”をデフォルトの出力ディレクトリ“Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\var\user \report”配下に出力するバッチファイルの例を示します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportput -O HTML EventLogApplication.rne EventLogApplication 2. 集計レポートの結果が出力されたファイルをコピーします。 FTPコマンドなどを使用して、運用管理サーバに出力された集計レポート結果ファイル(上記の例の場合、Systemwalkerインス トールディレクトリ\MPWALKER.DM\mpata\var\user\report\EventLogApplication_YYYYMMDD.html)を、運用管理クライア ント上の任意のディレクトリにコピーします。本手順は必要に応じてスケジューラに登録してください。 3. 点検担当者が集計レポートの結果出力ファイルを確認します。 レポートの点検担当者は、運用管理クライアント上にコピーされた集計レポートの結果出力ファイルをWebブラウザなどで開き、 その内容を確認します。 4. 集計レポートの結果出力ファイルへ点検コメントを追加します。 運用管理クライアントで、mpatareportcomment(集計レポートコメント追加コマンド)を実行します。mpatareportcomment(集計レポー トコメント追加コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 以下に、コマンドの実行例と、コメントを追加した集計レポートの出力例を示します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportcomment -U 佐藤 C "夜間の不正なアクセスはありません。" C:\temp\EventLogApplication_20061102.html C: \temp\EventLogApplication_20061102_CHECK.html - 232 - 11.1.7 正規化ログを保管する 運用管理サーバ上の正規化ディレクトリが存在するローカルディスクや二次媒体装置のディスク容量を効率的に使用するために、 mpatalogcnvt(監査ログ正規化コマンド)で作成した正規化ログを圧縮して保管します。 なお、圧縮した正規化ログは集計機能や検索機能、テキストビューアなどで利用することができません。正規化ログを利用する場合は、 事前に圧縮した正規化ログを解凍してください。正規化ログの圧縮および解凍を、ログの検索中、集計中、または正規化中に行う運用 は避けてください。スケジュール登録による自動運用では、正規化ログの各処理の実行間隔を十分あけてください。 - 233 - ETERNUS AS500アーカイブストレージに正規化ログを格納する場合は、データの圧縮処理を装置内で行うため、本機能で圧縮する 必要はありません。 また、ETERNUS 1000FシリーズのWORM機能を利用した装置、または読み取り専用の装置に保管した圧縮ログはローカルディスク上 に解凍してください。 正規化ログの圧縮方法 正規化ログを圧縮する場合は、mpatmarchive(収集したログの圧縮コマンド) のオプション(-K、-L)を指定して実行します。 圧縮した正規化ログは、対象ファイルが存在するディレクトリに作成されます。 mpatmarchive(収集したログの圧縮コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 圧縮した正規化ログのファイル名 正規化ログを圧縮すると、正規化ログのファイル名の拡張子が“csv”から“csva”に変換されます。 サーバ名_ログ識別名_文字コード_YYYYMMDDCCC.csva サーバ名: 収集対象のサーバ名 ログ識別名: 収集するログファイルの識別子 文字コード: 収集対象サーバのOSの文字コード YYYYMMDD: 収集対象ファイルの最終更新日付 CCC: 001~999の通番(正規化ログのファイルサイズが2GBを超過している場合、または同一監査ログの差分を正規化した場合) 運用の手順 1. 運用管理サーバでmpatmarchive(収集したログの圧縮コマンド)を実行します。 例) 正規化ログを圧縮 (2ヶ月前から1ヶ月前の正規化ディレクトリ内の正規化ログを対象) mpatmarchive -F 62 -T 31 -K CSV - 234 - 運用を自動化する場合は、上記のコマンドをジョブスケジューラやOS標準のタスクスケジューラ、バッチ処理に追加してください。 2. 運用管理サーバでmpatmmediacopy (収集ログ二次媒体複写コマンド)を実行します。 オプション(-K CSVA)を指定し、圧縮した正規化ログを二次媒体へ複写します。 例) 二次媒体装置に正規化ログを複写 (3ヶ月前から6ヶ月前の正規化ディレクトリ内の正規化ログを対象) mpatmmediacopy -F 186 -T 93 -K CSVA 運用を自動化する場合は、上記のコマンドをジョブスケジューラやOS標準のタスクスケジューラ、バッチ処理に追加してください。 3. 二次媒体装置に複写した正規化ログを削除します。OS標準のファイル削除コマンドを使用してください。 運用を自動化する場合は、ファイル削除コマンドをジョブスケジューラやOS標準のタスクスケジューラ、バッチ処理に追加してく ださい。 正規化ログの解凍方法 圧縮した正規化ログを解凍する場合は、mpatmextract(圧縮したログの解凍コマンド) のオプション(-K、-L)を指定して実行します。 圧縮した正規化ログのファイル名に記載された、サーバ名、ログ識別名、収集日付を元に解凍する正規化ログを選び、圧縮した正規 化ログを解凍します。 mpatmextract(圧縮したログの解凍コマンド)の詳細は、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 運用の手順 二次媒体から対象となる圧縮した正規化ログを任意のディレクトリ(C:\temp)に取り出します。圧縮した正規化ログのファイル名から該 当する期間の圧縮した正規化ログを判断します。 運用管理サーバでmpatmextract(圧縮したログの解凍コマンド)を実行します。オプション(-L)で任意のディレクトリを指定します。 例) 任意のディレクトリ(C:\temp)に取り出した2010年4月1日から2010年4月30日の正規化ログを解凍 mpatmextract -B 20100401 -E 20100430 -L C:\temp -K CSVA 11.1.8 正規化ログを削除する 正規化ログファイルを保管した後は、ローカルディスクを効率的に使用するため、ログの集計、検索で使用しなくなった正規化ログを ローカルディスク上から削除することができます。 正規化ログを削除する場合は、運用管理サーバ上でmpatmdellog(収集したログの削除コマンド)に“-K CSV”を指定し、実行してくだ さい。 mpatmdellog(収集したログの削除コマンド)で削除される正規化ログは、“-L”オプションで指定したディレクトリ、または、正規化ディレク トリ(“-L”オプションを省略した場合)内の正規化ログ、および、そのディレクトリ配下の“invalidlog”ディレクトリ内の通番を含めた正規化 ログです。 mpatmdellog(収集したログの削除コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してく ださい。 例) 正規化ディレクトリ内のサーバ:server、ログ識別名:ap、日付:20080515の正規化ログを削除します。 mpatmdellog -H server -A ap -B 20080515 -K CSV - 235 - 注意 正規化ログを削除する場合 ・ 以下の場合は、正規化ログの削除は、行わないでください。 - 監査ログの検索を行っている場合 - 監査ログの集計を行っている場合 - 監査ログの正規化を行っている場合 - 正規化ログの改ざんチェックを行っている場合 ・ スケジュール登録による自動運用では、正規化ログの各処理の実行間隔を十分あけてください。 ・ mpatmdellog(収集したログの削除コマンド)で指定した正規化ログを削除した後に、再度、mpatalogcnvt(監査ログ正規化コマンド) を実行した場合、差分ではなく、正規化ログの再作成になります。 例) 正規化ディレクトリ内のサーバ:server、ログ識別名:ap、3ヶ月前から6ヶ月前の正規化ログを削除します。 mpatmdellog -H server -A ap -F 186 -T 93 -K CSV 11.2 Systemwalker Centric Managerの監査ログを分析する 11.2.1 root権限での操作を点検するには SolarisおよびLinuxのシステムにおいて、不当にroot権限を使用していないかを分析するためには、分析対象の監査ログを運用管理 サーバに収集し、分析用に変換(正規化)する必要があります。また、分析するための集計項目や集計結果を表示する表のレイアウト を定義する必要があります。 この章では、監査ログを収集し正規化するための設定と、監査ログを分析するための設定について説明します。 Linux版を使用している場合 アクセス監査ログを使用するとroot権限での操作内容を詳細に点検できます。アクセス監査ログの点検については、“サーバの操作を 点検するには”を参照してください。 11.2.1.1 監査ログを収集し正規化する Solaris、Linux、HP-UX、およびAIXのシステムにおいて、不当にroot権限を使用していないかを分析するために必要な監査ログは、 部門管理サーバや業務サーバで採取します。部門管理サーバや、業務サーバにある監査ログを運用管理サーバに収集するための 設定は、以下の順で行います。 1. 採取する監査ログを定義する 2. 接続可能一覧ファイルを作成する - 236 - 3. 監査ログの格納先を定義する 4. スケジューラに監査ログを収集し正規化するコマンドを登録する 採取する監査ログを定義する 部門管理サーバ、業務サーバにおいて以下のログを採取するよう定義します。 ・ UNIXシステムログ(Solaris) ・ UNIXシステムログ(Linux) ・ HP-UXシステムログ ・ AIXシステムログ ・ Solaris suログ ・ HP-UX suログ ・ AIX suログ 【Solarisの場合】 採取する監査ログのログ識別名は、SolarisSuLogです。 /opt/systemwalker/bin/mpatmlogapdef REP -A SolarisSuLog -E YES 【Linuxの場合】 採取する監査ログのログ識別名は、LinuxSyslogです。 /opt/systemwalker/bin/mpatmlogapdef REP -A LinuxSyslog -E YES 【HP-UXの場合】 採取する監査ログのログ識別名は、HPUXSuLogです。 /opt/systemwalker/bin/mpatmlogapdef REP -A HPUXSuLog -E YES 【AIXの場合】 採取する監査ログのログ識別名は、AIXSuLogです。 /opt/systemwalker/bin/mpatmlogapdef REP -A AIXSuLog -E YES mpatmlogapdef(ログ収集設定コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 接続可能一覧ファイルを作成する 運用管理サーバ-被管理サーバ(部門管理サーバ/業務サーバ)間でログ収集を行う場合、被管理サーバ上の接続可能一覧ファイ ルに、接続元運用管理サーバの情報(サーバ名、またはIPアドレス)を記述することで収集対象の運用管理サーバをチェックし、指定 した運用管理サーバ以外からの収集を抑止することができます。 接続可能一覧ファイルについての詳細は、“収集対象のサーバを限定する”を参照してください。 監査ログの格納先を定義する 運用管理サーバにおいて、部門管理サーバ、業務サーバから収集した監査ログを格納するディレクトリを定義します。 例として、C:\mpatm\rootlogに格納します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatmtrsdef REP -S C:\mpatm\rootlog mpatmtrsdef(ファイル転送情報定義コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 - 237 - スケジューラに監査ログを収集し正規化するコマンドを登録する システムに対する不当な操作をできるだけ早く発見するため、監査ログの収集、正規化は毎日実施する必要があります。監査ログの収 集・正規化によるサーバへの負荷を減らし、通常業務に支障をきたさないように、作業は夜間に行うことが必要です。そのためには、運 用管理サーバにおいて、OSに標準で提供されている「タスク」などのスケジューラ機能に、監査ログ収集と正規化を実行するスケジュー ルを登録し、自動で作業できるようにする必要があります。 以下に、スケジューラに登録するコマンドを示します。 1. 監査ログを収集するコマンド 部門管理サーバ、業務サーバから監査ログを収集するようにコマンドを登録します。 例として、部門管理サーバのサーバ名がserver1である場合のコマンドを以下に示します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatmlog -H server1 2. 収集した監査ログを正規化するコマンド 【部門管理サーバ、業務サーバがSolarisの場合】 正規化する監査ログのログ識別名は、SolarisSuLogです。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatalogcnvt -H server1 -A SolarisSuLog -L C:\mpatm\rootlog 【部門管理サーバ、業務サーバがLinuxの場合】 正規化する監査ログのログ識別名は、LinuxSyslogです。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatalogcnvt -H server1 -A LinuxSyslog -L C:\mpatm\rootlog 【業務サーバがHP-UXの場合】 正規化する監査ログのログ識別名は、HPUXSuLogです。 Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\bin\mpatalogcnvt -H server1 -A HPUXSuLog -L C:\mpatm\rootlog 【業務サーバがAIXの場合】 正規化する監査ログのログ識別名は、AIXSuLogです。 Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\bin\mpatalogcnvt -H server1 -A AIXSuLog -L C:\mpatm\rootlog 例として、Solarisの業務サーバ(ホスト名がgyoumu1)と、Linuxの業務サーバ(ホスト名がgyoumu2)から監査ログを収集し正規化する場 合に、登録するコマンドを以下に示します。なお、収集した監査ログの格納先は、mpatmtrsdef(ファイル転送情報定義コマンド)を使用 してC:\mpatm\rootlogに設定済みであるとします。 C:\Systemwalker\MPWALKER.DM\bin\mpatmlog -H gyoumu1 C:\Systemwalker\MPWALKER.DM\bin\mpatmlog -H gyoumu2 C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H gyoumu1 -A SolarisSuLog -L C:\mpatm \rootlog C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H gyoumu2 -A LinuxSyslog -L C:\mpatm \rootlog mpatmlog(ログ収集コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 mpatalogcnvt(監査ログ正規化コマンド) はオプション指定により正規化対象とする監査ログを種別やホスト・出力日などで絞り込んだり、 正規化をテスト実行させることができます。mpatalogcnvt(監査ログ正規化コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 - 238 - 11.2.1.2 問い合わせサンプルファイルを編集する 監査ログを分析するには、監査ログを集計するときの問い合わせ条件(集計項目)や、集計結果を表示する表のレイアウトの設定条件 を、問い合わせファイルに定義する必要があります。 セキュリティ管理者は、root権限の不正な使用を分析する場合の固有情報(実行ホスト、操作者、root権限での操作が不当な時間帯) を設定するため、標準提供されている“root権限不当使用分析問い合わせサンプルファイル”をカスタマイズします。 監査ログ分析のための設定は、以下の順で行います。 1. root権限不当使用分析問い合わせサンプルファイルを編集する 2. root権限不当使用分析問い合わせサンプルファイルの動作確認をする 3. スケジューラに集計を実行するコマンドを登録する 注意 ユーザIDについての注意事項 Solaris suログではsu操作を行ったユーザIDと新ユーザIDの区切りにハイフンが使用されています。そのため、ハイフン(-)を含んだユー ザIDは使用しないでください。 root権限不当使用分析問い合わせサンプルファイルを編集する 問い合わせサンプルファイルは、監査ログ分析機能をインストールしたときに、運用管理クライアントに格納されます。この問い合わせ サンプルファイルをコピーしてカスタマイズします。問い合わせファイルの編集は、Interstage Navigatorで行います。 サンプルファイルをコピーする 問い合わせサンプルファイルを、任意のディレクトリにコピーします。 問い合わせサンプルファイルのインストール先は“Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\sample\total”で す。“root権限不当使用分析問い合わせサンプルファイル”のファイル名は“rootAuthorityUse.rne”です。 コピー先がc:\tempの場合の例を以下に示します。 copy c:\Systemwalker\MPWALKER.DM\mpata\sample\total\rootAuthorityUse.rne c:\temp 問い合わせファイルの編集する項目 “root権限不当使用分析問い合わせサンプルファイル”には、初期値として以下の条件が登録されています。 ・ 期間対象が開始日から終了日までである。かつ、 ・ ログ種別が、以下のどれかである。かつ、 - Solaris suログ - Linuxシステムログ - HP-UX suログ - AIX suログである。 ・ 追加情報がrootである。かつ、 ・ 以下の条件のどれかに一致する。 - 時刻が、8時0分0秒より前である、または23時0分0秒以降である。 - 操作者がUSER1ではない、かつ、実行ホストがHOST1またはHOST2である。 - 操作者がUSER2ではない、かつ、実行ホストがHOST3またはHOST4である。 これらの条件のうち、時刻はroot権限の使用が許可されていない時間帯になるように、必要に応じて設定値を変更してください。 - 239 - 操作者と実行ホスト(太字部分)は運用に合わせて必ずカスタマイズする必要があります。操作者と実行ホストには、root権限の使用が 許可されているシステム管理者のアカウント名と、その管理者の管理対象ホスト名を登録します。サンプルファイルには操作者と実行 ホストの組み合わせが2組登録されていますので、実際の運用で使用している管理者アカウントの数により、以下の手順で条件の変更、 追加、または削除を行ってください。 登録する管理者アカウントが1つの場合 1. サンプルファイルに登録されている操作者と実行ホストの組み合わせのうちの1つを、実際の管理者アカウント名・管理ホスト名 に変更します。 変更方法については、“条件の変更方法”を参照してください。 2. 変更を行わなかった組み合わせを削除します。 削除方法については、“条件の削除方法”を参照してください。 登録する管理者アカウントが2つの場合 ・ サンプルファイルに登録されている2組の操作者と実行ホストの組み合わせのそれぞれについて、実際の管理者アカウント名・管 理ホスト名に変更します。 変更方法については、“条件の変更方法”を参照してください。 登録する管理者アカウントが3つ以上の場合 1. サンプルファイルに登録されている2組の操作者と実行ホストの組み合わせのそれぞれについて、実際の管理者アカウント名・ 管理ホスト名に変更します。 変更方法については“条件の変更方法”を参照してください。 2. 操作者と実行ホストの組み合わせ条件を新たに追加します。 追加方法については、“条件の追加方法”を参照してください。 編集画面を起動する 問い合わせファイルの編集は、Interstage Navigatorのクライアント画面で行います。Interstage Navigatorのクライアント画面の起動方法 を説明します。 1. [スタート]メニューから[プログラム]-[Interstage Navigator Client]-[Navigator クライアント]を選択します。 →[Navigator クライアント]が起動されます。 - 240 - 2. [Navigator クライアント]から[ファイル]メニューの[開く]を選択します。 →[開く]ダイアログボックスが表示されます。 [開く]ダイアログボックスで、任意のディレクトリにコピーしたカスタマイズ用“root権限不当使用分析問い合わせファイル”を選択 します。 →[サーバに接続]画面が表示されます。 3. [サーバに接続]画面において、Interstage Navigator Serverに接続するためのユーザ名とパスワード、Interstage Navigator Server がインストールされた運用管理サーバのサーバ名を入力し、[OK]ボタンをクリックします。 →確認メッセージが表示されます。 4. 問い合わせファイルをカスタマイズするので、[いいえ]ボタンをクリックします。 注意 ボタンの選択についての注意事項 [はい]ボタンをクリックすると、問い合わせファイルをカスタマイズできずに集計処理が実行されてしまいます。 - 241 - →[レイアウトの指定]画面が表示されます。 問い合わせファイルを編集する “root権限不当使用分析問い合わせファイル”に定義されている操作者、および実行ホストの変更方法を説明します。 ・ 条件の変更方法 ・ 条件の削除方法 ・ 条件の追加方法 条件の変更方法 条件に設定されている内容を変更する方法を説明します。 - 242 - 1. [レイアウトの指定]画面で、[条件のAND/OR編集]画面表示の起動ボタンをクリックします。 →[条件のAND/OR編集]画面が表示されます。 2. [条件のAND/OR編集]画面で、[操作者: NOT (USER1)]を選択し、[項目の詳細]ボタンをクリックします。 →[条件の指定]画面が表示されます。 - 243 - 3. [一致キー]に実際の管理者のアカウント名を入れ、[OK]ボタンをクリックします。 4. [実行ホスト: HOST2, HOST1]を選択し、[項目の詳細]ボタンをクリックします。 →[条件の指定]画面が表示されます。 - 244 - 5. [一致キー]に実際の管理対象であるホスト名を入力し、[OK]ボタンをクリックします。管理対象のホストが複数ある場合は、ホスト 名をカンマで区切って入力します。 6. 操作者、および実行ホストが正しく変更されていることを確認し、[OK]ボタンをクリックします。 条件の削除方法 条件を削除する方法を説明します。 - 245 - 1. [レイアウトの指定]の画面において、[条件]で不要な[操作者]を選択し、[削除]ボタンをクリックします。 注意 削除対象についての注意事項 [条件]の欄には登録されている条件の項目名([操作者]など)だけが横一列に並んで表示されます。そのため、本サンプルの[操 作者]のように、同じ項目に対して複数個の条件が設定されている場合、同じ項目名が複数表示されていますので、選択の際に 削除対象を間違えないように、注意してください。 →削除確認の画面が表示されます。 2. [OK]ボタンをクリックします。 →操作者が削除されます。 3. [条件]の欄で選択して削除した[操作者]の右側にある[実行ホスト]も同様の手順で削除します。 - 246 - 4. [条件のAND/OR編集]画面において、必要のない条件が削除されていることを確認します。 条件の追加方法 操作者と実行ホスト条件の追加を行う場合、単に条件項目を追加するだけではなく、追加した条件項目をサンプルに設定されてい る他の操作者と実行ホストの組み合わせと同じ論理構造にする必要があります。 ここでは、以下の手順について説明します。 - 項目を追加する - 論理構造を設定する 【項目を追加する】 以下の手順で、操作者と実行ホストの条件項目を追加します。 - 247 - 1. [レイアウトの指定]の画面において、[データ項目]の[操作者]を右クリックして表示されるポップアップメニューから[追加]を選択 します。さらに表示されるポップアップメニューから[条件]をクリックします。 →[条件の指定]画面が表示されます。 - 248 - 2. [一致キー]に新たに追加する管理者名を入れ、[一致しないデータが対象]にチェックを付けます。 3. [OK]ボタンをクリックします。 4. [実行ホスト]についても同様に、[レイアウトの指定]の画面において、[データ項目]の[実行ホスト]を右クリックして表示されるポッ プアップメニューから[追加]を選択します。さらに表示されるポップアップメニューから[条件]をクリックします。 - 249 - 5. [条件の指定]画面において、[一致キー]に管理対象であるホスト名を入力します。管理対象のホストが複数ある場合、ホスト名を カンマで区切って入力します。 6. [OK]ボタンをクリックします。 【論理構造を設定する】 [条件のAND/OR編集]画面において、追加した項目の条件をサンプルに設定されている条件と同じ論理構造にします。 1. [レイアウトの指定]画面で、[条件のAND/OR編集]画面表示の起動ボタンをクリックします。 →[条件のAND/OR編集]画面が表示されます。 - 250 - 2. 追加した操作者と実行ホストの条件を、2つで1組の条件にするために、操作者の条件を[レベル上げ]によって階層化します。手 順は以下のとおりです。 - 追加した[操作者: NOT (管理者名)]を選択し、[レベル上げ]ボタンをクリックします。 →選択した[操作者]の条件が階層化されます。 3. 作成した階層内に実行ホストの条件を入れます。手順は以下のとおりです。 1. 追加した[実行ホスト]の条件を選択し、[上に移動]ボタンをクリックします。 →選択した[実行ホスト]の条件が、直上の階層内の[操作者]の条件の上に移動します。 4. 追加した操作者・実行ホストの条件を既存の操作者・実行ホストの条件が配置されている階層内に入れます。手順は以下のとお りです。 1. [時刻]の条件の下にある、[OR((操作者 AND 実行ホスト) AND (操作者 AND 実行ホスト))]のツリーを開きます。 - 251 - 2. 追加した[AND(実行ホスト AND 操作者)]を選択した後、[上に移動]ボタンをクリックします。 →選択した[実行ホスト AND 操作者]の条件が、すぐ上の階層内の[操作者 AND 実行ホスト]の条件の上(2つある既存の 条件の間)に移動します。 5. 追加した操作者と実行ホストの条件は他の操作者と実行ホストの条件とAND条件の関係になっているため、他の条件と同じよう にOR条件にします。手順は以下のとおりです。 1. 追加/移動した[AND(実行ホスト AND 操作者)]を選択した後、[AND/OR]ボタンをクリックします。 →[OR(実行ホスト AND 操作者)]の状態に変わります。 ここまでの操作で、必要な条件の追加ができました。しかし、この状態では[条件の一覧]内の表示内容と、問い合わせファイルに設定 されている条件が以下のように異なり、確認がしにくくなっています。 ・ 追加した条件が一番下ではなく、下から2番目の位置にある。 ・ 追加した条件は[実行ホスト AND 操作者]と表示されており、問い合わせファイルに設定されている条件とは[操作者]と[実行ホス ト]の表示順が逆になっている。 そこで、追加した条件を一番下に移動し、[操作者]と[実行ホスト]の表示順を[操作者 AND 実行ホスト]とする方法を説明します。 1. 追加した[AND(実行ホスト AND 操作者)]を選択し、[下に移動]ボタンをクリックします。 - 252 - 2. 追加した[操作者: NOT(管理者名)]を選択し、[上に移動]ボタンをクリックします。 →選択した条件がそれぞれボタンどおり移動します。 3. 追加した条件の内容が正しいこと、および論理構造が問い合わせファイルに設定されていた条件と同じであることを確認し、[OK] ボタンをクリックします。 さらに[操作者]、[実行ホスト]を追加する場合は、手順1から同様の操作を行います。 問い合わせファイルを保存する 1. [レイアウトの指定]画面で[OK]ボタンをクリックします。 →[Navigator クライアント]画面が表示されます。 2. ここでは集計処理を実施しないので、[いいえ]ボタンをクリックします。 注意 ボタンの選択についての注意事項 誤って[はい]ボタンをクリックした場合、集計が実行されてしまいます。 - 253 - →[Navigator クライアント]画面が表示されます。 3. [ファイル]メニューから[名前を付けて保存]を選択し、ファイルを保存します。 →“root権限不当使用分析問い合わせサンプルファイル”が、運用管理クライアント上のファイルとして作成されます。 例として、以下の場所に保存します。 - フォルダ名: C:\temp - ファイル名: SuLogCheck.rne 注意 問い合わせファイル名についての注意事項 問い合わせファイル名は集計レポート出力コマンドで使用するため、ASCII文字210文字以内またはシフトJIS文字105文字 以内で指定してください。 4. [ファイル]メニューから[終了]を選択します。 root権限不当使用分析問い合わせサンプルファイルの動作確認をする 動作確認をするために、編集したサンプルファイルを使用して実際に集計した結果と、監査ログの内容を比較します。 サンプルファイルで集計する 以下の手順で、編集したサンプルファイルを使用して、実際に集計します。 - 254 - 1. [スタート]メニューから[プログラム]-[Interstage Navigator Client]-[Navigator クライアント]を選択します。 →[Navigator クライアント]が起動されます。 2. [Navigator クライアント]から[ファイル]メニューの[開く]を選択します。 →[開く]ダイアログボックスが表示されます。 [開く]ダイアログボックスで、“root権限不当使用分析問い合わせサンプルファイルを編集する”で編集した問い合わせファイル を選択します。 →[サーバに接続]画面が表示されます。 - 255 - 3. [サーバに接続]画面において、Interstage Navigator Serverに接続するためのユーザ名とパスワード、Interstage Navigator Server がインストールされた運用管理サーバのサーバ名を入力し、[OK]ボタンをクリックします。 →確認メッセージが表示されます。 4. [はい]ボタンをクリックします。 →以下の画面が表示されます。 5. [OK]ボタンをクリックします。 →以下の画面が表示されます。 - 256 - 6. [OK]ボタンをクリックします。 →集計結果が表示されます。 監査ログから抽出した監査ログの件数と比較する 監査ログから以下の手順で監査ログを抽出し、サンプルファイルを使用して集計した結果と比較します。 1. Solarisのsuログ、Linuxのsyslog、HP-UXのsuログ、およびAIXのsuログから、指定した時間帯以外の監査ログを抽出します。 2. Solarisのsuログ、Linuxのsyslog、HP-UXのsuログ、およびAIXのsuログについて、変更先ユーザIDがrootの監査ログを抽出します。 3. 手順2の抽出結果からさらに、操作者がそのシステムの管理者アカウント以外の監査ログを抽出します。 4. 手順1と手順3で抽出した監査ログが、root権限を不当に使用したときの監査ログとなるため、その監査ログの件数を数えます。 5. 手順4で数えたroot権限不当使用ログの件数を集計結果と比較し、同じ件数であることを確認します。 →確認した結果に問題がなければ、“root権限不当使用分析問い合わせサンプルファイル”(root権限不当使用チェック)が正し く設定されており、運用で使用できることが証明されました。 11.2.1.3 スケジューラに集計を実行するコマンドを登録する システムに対する不当な操作は、できるだけ早く発見しなければなりません。そのためには、監査ログの集計を毎日実施し、分析する 必要があります。また、監査ログの収集・集計・分析作業によるサーバへの負荷を減らし、通常業務に支障をきたさないように、作業は 夜間に行うことが必要です。 そのためには、運用管理サーバにおいて、OSに標準で提供されている「タスク」などのスケジューラ機能に、集計を実行するスケジュー ルを登録し、自動で作業できるようにする必要があります。 以下に、集計実行コマンドをスケジューラに登録する手順を示します。 1. 運用管理クライアント上に保存した問い合わせファイルを運用管理サーバ上の下記ディレクトリへコピーします。 Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\data\total - 257 - 2. 運用管理サーバ上の任意のスケジューラ機能にmpatareportput(集計レポート出力コマンド)を、以下のように登録します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportput SuLogCheck.rne SuLogCheck →“root権限不当使用分析問い合わせサンプルファイル”による集計が、毎日実行されるようにスケジュールを設定します。 mpatareportput( 集 計 レ ポ ー ト 出 力 コ マ ン ド ) は オ プ シ ョ ン 指 定 に よ り 出 力 形 式 や 出 力 フ ァ イ ル 名 を 変 更 す る こ と が で き ま す。 mpatareportput(集計レポート出力コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してくだ さい。 運用 夜間のうちに集計されCSV形式に出力された結果をもとに、前日のシステム運用の様子を分析します。分析の結果、システム運用に 問題があると判断された場合は、追跡調査を実施したり、管理者や責任者に報告するなどして、少しでも早く運用ルールに沿ったシス テム運用に戻します。また、結果は点検資料としてレポートに出力し、保管しておきます。 分析するときの集計方法や、検索方法の詳細は、“監査ログを検索する”を参照してください。 11.2.1.4 監査ログを分析する手順 監査ログを分析する手順について説明します。 1. mpatareportput(集計レポート出力コマンド)で運用管理サーバ上に保存された集計レポート結果ファイルを、クライアントへコピー しExcelで開きます。mpatareportput(集計レポート出力コマンド)の詳細は、“Systemwalker Centric Managerリファレンスマニュア ル”を参照してください。 運用管理サーバ上での集計レポート結果ファイルの格納先は、以下のとおりです。 Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\var\user\report \SuLogCheck_YYYYMMDD_01.csv ※YYYYMMDDは、分析を実行した年月日を示します。 2. 不当なユーザによるroot権限の使用の有無を、出力ファイルの内容から判断します。 - 分析結果が見出し行だけの場合:不当な使用はありません。 - 分析結果に集計件数が記載された行がある場合:不当な使用があります。 不当なユーザによるroot権限の使用がある場合、ユーザ名、時刻、ホスト名を確認します。 - 該当セルの行の左端からユーザ名と実行時間を確認します。(例では、ユーザ名は“user01”、実行時間“2006/9/12 20:23”です。) 11.2.1.5 追跡調査を行う 監査ログを分析した結果を元に、追跡調査を行います。以下に作業の手順を説明します。 1. [スタート]メニューから[プログラム]-[Systemwalker Centric Manager]-[Systemwalkerコンソール]を選択します。 →[Systemwalkerコンソール]が起動されます。 - 258 - 2. [Systemwalkerコンソール]の[操作]メニューから[監査ログ分析]を選択します。 →[監査ログ分析]画面の[監査ログ分析-検索]画面が起動されます。 [監査ログ分析-検索]画面は、以下の条件をすべて満たしているユーザだけが使用できます。 - Systemwalker Centric Managerにて“DmReference”、“DmOperation”または“DmAdmin”および“SecurityAuditor”の両方の ロールに所属している。 - コンソール操作制御機能を導入している場合、同機能の“操作制御マネージャ起動条件記述ファイル”において、本機能の 操作名“com.fujitsu.swsi.swcent.audittrail.retrieval”に対する操作が可能な権限が定義されている。 同じ運用管理サーバに接続している各[監査ログ分析]画面から起動できる[監査ログ分析-検索]画面は、合計で最大32個です。 ロール、およびコンソール操作制御機能の詳細については、“コンソール操作制御機能で認証する”を参照してください。 3. [検索開始日時]を不当にsuコマンドが実行された時刻に設定します。 4. [検索条件の設定]から[実行ホスト]を選択し、[追加]ボタンをクリックします。 5. [条件の追加(実行ホスト)]画面で[参照]ボタンをクリックします。 - 259 - 6. [ノード選択]画面で、不当操作が行われたノードを選択します。 7. [OK]ボタンをクリックします。 8. [検索条件の設定]から[ログ種別]を選択し、[追加]ボタンをクリックします。 9. [条件の追加]画面で[ログ種別]に“SolarisSuLog”を設定します。 10. [検索開始]ボタンをクリックします。 →[監査ログ分析-検索]画面の[検索結果一覧]タブが選択されます。 11. 関連する痕跡(異常やシステム設定の変更メッセージなど)がないか確認します。 - 260 - 11.2.1.6 レポートを作成する 詳細な調査結果を部門責任者に通知します。部門責任者は、問題の有無を確認し対処します。以下に作業の手順を説明します。 1. 実行ホストの部門責任者へ、分析結果ファイルを添付し原因調査の依頼メールを出します。 2. 部門責任者は、セキュリティ管理者からの調査依頼メールに添付された分析結果をもとに、該当するユーザ名、時刻、ホスト名 を確認します。 - 該当セルの行の左端からユーザ名と実行時間を確認します。(例では、ユーザ名は“user01”、実行時間は“2006/9/12 20:23”です。) 3. 当日の業務内容の確認、該当者からの事情の確認などにより原因を調査し、結果をセキュリティ管理者へ通知します。 4. セキュリティ管理者は、サーバ管理者の変更が行われる月初めに、必ずrootのパスワード変更がされるように、各システムのパス ワード有効期限を1ヶ月とする対策を検討・実施します。 レポートを作成する mpatareportput(集計レポート出力コマンド)で、出力形式をHTML形式(-O HTMLオプション指定)にした場合、以下の一般的なレポー ト形式で集計結果を出力することができます。mpatareportput(集計レポート出力コマンド)の詳細は、“Systemwalker Centric Managerリ ファレンスマニュアル”を参照してください。 - 261 - mpatareportput(集計レポート出力コマンド)で出力したレポートには、分析結果を点検した担当者名や点検コメントは出力されません。 集計レポートに、点検した担当者名や点検コメントを追加する場合は、以下の手順が必要です。 - 262 - 1. 監査ログをmpatareportput(集計レポート出力コマンド)を利用して集計し、結果を出力します。 運用管理サーバで、mpatareportput(集計レポート出力コマンド)に問い合わせファイルを指定して実行します。集計は、OSに標 準で提供されている「タスク」などのスケジューラに登録して実行します。mpatareportput(集計レポート出力コマンド)の詳細につ いては、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 以下に、問い合わせファイル“rootAuthorityUse.rne”を使用して、root権限不当使用分析の集計レポート“rootAuthorityUse”を デフォルトの出力ディレクトリ“Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\var\user\report”配下に出力す るバッチファイルの例を示します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportput -O HTML rootAuthorityUse.rne rootAuthorityUse 2. 集計レポートの結果が出力されたファイルをコピーします。 FTPコマンドなどを使用して、運用管理サーバに出力された集計レポート結果ファイル(上記の例の場合、Systemwalkerインス トールディレクトリ\MPWALKER.DM\mpata\var\user\report\rootAuthorityUse_YYYYMMDD.html)を、運用管理クライアント 上の任意のディレクトリにコピーします。本手順は必要に応じてスケジューラに登録してください。 3. 点検担当者が集計レポートの結果出力ファイルを確認します。 レポートの点検担当者は、運用管理クライアント上にコピーされた集計レポートの結果出力ファイルをWebブラウザなどで開き、 その内容を確認します。 4. 集計レポートの結果出力ファイルへ点検コメントを追加します。 運用管理クライアントで、mpatareportcomment(集計レポートコメント追加コマンド)を実行します。mpatareportcomment(集計レポー トコメント追加コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 以下に、コマンドの実行例と、コメントを追加した集計レポートの出力例を示します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportcomment -U 佐藤 -C "該当者は前サーバ管理者であり、担当変更後もrootのパスワード変更がなされていなかったため、 今後の対策が必要です。" C:\temp\rootAuthorityUse_20060913.html C:\temp \rootAuthorityUse_20060913_CHECK.html - 263 - 11.2.2 Systemwalkerコンソールの操作を点検するには Systemwalkerコンソールで行った操作の内容を分析するためには、分析対象の監査ログを運用管理サーバに収集し、分析用に変換 (正規化)する必要があります。また、分析するための集計項目や集計結果を表示する表のレイアウトを定義する必要があります。 この章では、監査ログを収集し正規化するための設定と、監査ログを分析するための設定について説明します。 11.2.2.1 監査ログを収集し正規化する Systemwalkerコンソールで行った操作の内容を分析するために必要な監査ログは、運用管理サーバおよび運用管理クライアントで採 取します。運用管理サーバおよび運用管理クライアントにある監査ログを運用管理サーバに収集するための設定は、以下の順で行い ます。 1. 採取する監査ログを定義する - 264 - 2. 接続可能一覧ファイルを作成する 3. 監査ログの格納先を定義する 4. スケジューラに監査ログを収集し正規化するコマンドを登録する 採取する監査ログを定義する 運用管理サーバおよび運用管理クライアントにおいて、Systemwalkerコンソールの監査ログを採取するよう定義します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpsetlogsend_swgui -y mpsetlogsend_swgui(Systemwalkerコンソール監査ログ収集設定コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマ ニュアル”を参照してください。 接続可能一覧ファイルを作成する 運用管理サーバ-被管理サーバ(部門管理サーバ/業務サーバ)間でログ収集を行う場合、被管理サーバ上の接続可能一覧ファイ ルに、接続元運用管理サーバの情報(サーバ名、またはIPアドレス)を記述することで収集対象の運用管理サーバをチェックし、指定 した運用管理サーバ以外からの収集を抑止することができます。 接続可能一覧ファイルについての詳細は、“収集対象のサーバを限定する”を参照してください。 監査ログの格納先を定義する 運用管理サーバにおいて、運用管理サーバおよび運用管理クライアントから収集した監査ログを格納するディレクトリを定義します。 例として、C:\mpatm\cmgrlogに格納します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatmtrsdef REP -S C:\mpatm\cmgrlog mpatmtrsdef(ファイル転送情報定義コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 スケジューラに監査ログを収集し正規化するコマンドを登録する システムに対する不当な操作をできるだけ早く発見するため、監査ログの収集、正規化は毎日実施する必要があります。監査ログの収 集・正規化によるサーバへの負荷を減らし、通常業務に支障をきたさないように、作業は夜間に行うことが必要です。そのためには、運 用管理サーバにおいて、OSに標準で提供されている「タスク」などのスケジューラ機能に、ログ収集と正規化を実行するスケジュール を登録し、自動で作業できるようにする必要があります。 以下に、スケジューラに登録するコマンドを示します。 1. 監査ログを収集するコマンド 運用管理クライアントから監査ログを収集するコマンドを登録します。運用管理サーバ上にある監査ログも運用管理クライアント から収集した監査ログと同じ場所に格納します。 例として、運用管理サーバのサーバ名がserver1、運用管理クライアントのサーバ名がserver2である場合のコマンドを以下に示し ます。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatmlog -H server1 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatmlog -H server2 2. 収集した監査ログを正規化するコマンド 正規化する監査ログのログ識別名は、CMGROpLogです。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatalogcnvt -H server1 -A CMGROpLog -L C:\mpatm\cmgrlog 例として、運用管理サーバ(ホスト名がServer1)と、運用管理クライアント(ホスト名がClient1)から監査ログを収集し正規化する場合に、 登録するコマンドを以下に示します。なお、収集した監査ログの格納先は、mpatmtrsdef(ファイル転送情報定義コマンド)を使用してC: \mpatm\cmgrlogに設定済みであるとします。 - 265 - C:\Systemwalker\MPWALKER.DM\bin\mpatmlog -H Server1 C:\Systemwalker\MPWALKER.DM\bin\mpatmlog -H Client1 C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H Server1 -A CMGROpLog -L C: \mpatm\cmgrlog C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H Client1 -A CMGROpLog -L C:\mpatm \cmgrlog mpatmlog(ログ収集コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 mpatalogcnvt(監査ログ正規化コマンド) はオプション指定により正規化対象とする監査ログを種別やホスト・出力日などで絞り込んだり、 正規化をテスト実行させることができます。mpatalogcnvt(監査ログ正規化コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 11.2.2.2 問い合わせサンプルファイルを編集する 監査ログを分析するには、監査ログを集計するときの問い合わせ条件(集計項目)や、集計結果を表示する表のレイアウトの設定条件 を、問い合わせファイルに定義する必要があります。 セキュリティ管理者は、Systemwalkerコンソールの監査ログを分析する場合の固有情報(認証の成功/失敗、許可されていないユーザ からの接続、リモートコマンドの実行、ポリシー操作の有無)を設定するため、標準提供されているSystemwalkerコンソールの各監査ロ グの分析問い合わせサンプルファイルをカスタマイズします。 Systemwalkerコンソールの監査ログ分析では、以下の種類の問い合わせファイルを使用します。 ・ Systemwalkerコンソールログイン点検分析(1日/1週間/1ヶ月)問い合わせサンプルファイル ・ Systemwalkerコンソール想定外接続分析(1日/1週間/1ヶ月)問い合わせサンプルファイル ・ Systemwalkerコンソール影響操作分析(1日/1週間/1ヶ月)問い合わせサンプルファイル 以降の説明では、これらの問い合わせファイルを、まとめて“Systemwalkerコンソールのログ分析問い合わせサンプルファイル”と呼ん でいます。 監査ログ分析のための設定は、以下の順で行います。 1. Systemwalkerコンソールのログ分析問い合わせサンプルファイルを編集する 2. Systemwalkerコンソールのログ分析問い合わせサンプルファイルの動作確認をする 3. スケジューラに集計を実行するコマンドを登録する Systemwalkerコンソールのログ分析問い合わせサンプルファイルを編集する 問い合わせサンプルファイルは、監査ログ分析機能をインストールしたときに、運用管理クライアントに格納されます。この問い合わせ サンプルファイルをコピーしてカスタマイズします。 1. 問い合わせサンプルファイルを、任意のディレクトリにコピーします。 問い合わせサンプルファイルのインストール先は“Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\sample\total” です。“Systemwalkerコンソールのログ分析問い合わせサンプルファイル”のファイル名は以下のとおりです。 問い合わせサンプルファイル ファイル名 Systemwalkerコンソールログインを点検分析 する(1日) CMGR_ConsoleLogin_1Day.rne Systemwalkerコンソールログインを点検分析 する(1週間) CMGR_ConsoleLogin_1Week.rne Systemwalkerコンソールログインを点検分析 する(1ヶ月) CMGR_ConsoleLogin_1Month.rne Systemwalkerコンソール想定外接続を分析す る(1日) CMGR_IllegalConnection_1Day.rne Systemwalkerコンソール想定外接続を分析す る(1週間) CMGR_IllegalConnection_1Week.rne - 266 - 問い合わせサンプルファイル ファイル名 Systemwalkerコンソール想定外接続を分析す る(1ヶ月) CMGR_IllegalConnection_1Month.rne Systemwalkerコンソール影響操作を分析する (1日) CMGR_ImportantOperation_1Day.rne Systemwalkerコンソール影響操作を分析する (1週間) CMGR_ImportantOperation_1Week.rne Systemwalkerコンソール影響操作を分析する (1ヶ月) CMGR_ImportantOperation_1Month.rn e Systemwalkerコンソールログイン点検分析(1ヶ月)問い合わせサンプルファイルをc:\tempにコピーする場合の例を以下に示しま す。 copy c:\Systemwalker\MPWALKER.DM\mpata\sample\total \CMGR_ConsoleLogin_1Month.rne c:\temp 2. [スタート]メニューから[プログラム]-[Interstage Navigator Client]-[Navigator クライアント]を選択します。 →[Navigator クライアント]が起動されます。 3. [Navigator クライアント]から[ファイル]メニューの[開く]を選択します。 →[開く]ダイアログボックスが表示されます。 [開く]ダイアログボックスで、手順1.で任意のディレクトリにコピーした“Systemwalkerコンソールのログ分析問い合わせファイル” を選択します。 - 267 - →[サーバに接続]画面が表示されます。 4. [サーバに接続]画面において、Interstage Navigator Serverに接続するためのユーザ名とパスワード、Interstage Navigator Server がインストールされた運用管理サーバのサーバ名を入力し、[OK]ボタンをクリックします。 →確認メッセージが表示されます。 5. 問い合わせファイルをカスタマイズするので、[いいえ]ボタンをクリックします。 注意 ボタンの選択についての注意事項 [はい]ボタンをクリックすると、問い合わせファイルをカスタマイズできずに集計処理が実行されてしまいます。 - 268 - →[レイアウトの指定]画面が表示されます。 6. [条件]欄に、問い合わせファイルの条件となる固有情報を設定します。固有情報は、各“Systemwalkerコンソールのログ分析問 い合わせファイル”によって異なります。各問い合わせファイルに登録されている条件と編集する項目は、“Systemwalkerコンソー ルのログ分析問い合わせサンプルファイルに登録されている条件”を参照してください。 固有情報を編集するときは、[条件]欄の該当項目を選択し、編集画面で内容を書き換えます。 - 269 - 固有情報を複数設定する場合は、[データ項目]から該当項目を追加します。 a. 項目の追加を行った場合、[条件のAND/OR編集]画面の起動ボタンをクリックします。 →[条件のAND/OR編集]画面が表示されます。 b. 追加した固有情報を、既存の固有情報と同様の条件構造に設定します。 7. 設定した条件内容を一覧表示で確認します。 - 270 - →[条件]画面が表示されます。 8. 設定した情報に問題がない場合は、[閉じる]ボタンをクリックし、[レイアウトの指定]画面で[OK]ボタンをクリックします。 →[Navigator クライアント]画面が表示されます。 9. ここでは集計処理を実施しないので、[いいえ]ボタンをクリックします。 注意 ボタンの選択についての注意事項 [はい]ボタンをクリックすると、問い合わせファイルをカスタマイズできずに集計処理が実行されてしまいます。 - 271 - →[Navigator クライアント]画面が表示されます。 10. [ファイル]メニューから[名前を付けて保存]を選択し、ファイルを保存します。 →“Systemwalkerコンソールのログ分析問い合わせファイル”が、運用管理クライアント上のファイルとして作成されます。 例として、以下の場所に保存します。 - フォルダ名: C:\temp - ファイル名: SysconCheck.rne 注意 問い合わせファイル名についての注意事項 問い合わせファイル名は集計レポート出力コマンドで使用するため、ASCII文字210文字以内またはシフトJIS文字105文字 以内で指定してください。 11. [ファイル]メニューから[終了]を選択します。 Systemwalkerコンソールのログ分析問い合わせサンプルファイルに登録されている条件 それぞれの問い合わせファイルに登録されている条件と、編集が必要な項目は以下のとおりです。 Systemwalkerコンソールログイン点検分析(1日/1週間/1ヶ月)問い合わせサンプルファイル “Systemwalkerコンソールログイン点検分析(1日/1週間/1ヶ月)問い合わせサンプルファイル”には、初期値として以下の条件が登録さ れています。 ・ 期間対象が開始日から終了日までである。かつ、 ・ ログ種別が、Systemwalkerコンソール監査ログ である。かつ、 ・ 操作内容が、“ログインしました”または“ログインに失敗しました”を含む。 これらの条件は変更する必要はありません。 Systemwalkerコンソール想定外接続分析(1日/1週間/1ヶ月)問い合わせサンプルファイル “Systemwalkerコンソール想定外接続分析(1日/1週間/1ヶ月)問い合わせサンプルファイル”には、初期値として以下の条件が登録さ れています。 ・ 期間対象が開始日から終了日までである。かつ、 - 272 - ・ ログ種別が、Systemwalkerコンソール監査ログである。かつ、 ・ 以下のa)またはb)の条件のどちらかに一致する。 a. 操作者がUSER1である。かつ、以下の条件のどれかに一致する。 - 操作場所がCLIENT1でない。かつ、操作場所がCLIENT2でない。 - 時刻がTIME1~TIME2でない。 - 操作内容がOPERATION1でない。かつ、操作内容がOPERATION2でない。 b. 操作者がUSER2である。かつ、以下の条件のどれかに一致する。 - 操作場所がCLIENT3でない。かつ、操作場所がCLIENT4でない。 - 時刻がTIME3~TIME4でない。 - 操作内容がOPERATION3でない。かつ、操作内容がOPERATION4でない。 これらの条件のうち、操作者、操作場所、時刻、操作内容の値(太字部分)は運用に合わせて必ずカスタマイズする必要があります。 操作者にはオペレータのユーザIDを登録し、そのオペレータごとに利用を許可されている操作場所・時間の範囲・操作内容の値をそ れぞれ設定します。 オペレータの人数や、許可されている操作場所や操作内容の個数に応じて、条件の追加、変更、削除を行ってください。 Systemwalkerコンソール影響操作分析(1日/1週間/1ヶ月)問い合わせサンプルファイル “Systemwalkerコンソール影響操作分析(1日/1週間/1ヶ月)問い合わせサンプルファイル”には、初期値として以下の条件が登録され ています。 ・ 期間対象が開始日から終了日までである。かつ、 ・ ログ種別が、Systemwalkerコンソール監査ログである。かつ、 ・ 操作内容に以下の文字列のうちのどれかを含んでいる。 - “リモートコマンドを実行します” - “[ポリシーの配付]メニューを選択しました” - “[ポリシーの配付]を実行します” - “配付します” これらの条件のうち、操作内容には点検対象とする影響度の大きい操作を検出するキーワードを設定します。必要に応じて、操作内 容の条件を追加、変更、削除してください。 標準で設定されているキーワードの他に、影響度の高い操作を検出するキーワードとしては以下があります。 ・ 監視ツリーの削除 ・ 監視ツリーの切り替え ・ オブジェクトの追加・削除 各条件の詳細は、“Systemwalker Centric Managerリファレンスマニュアル”で“Systemwalkerコンソールログイン点検分析(1日/1週間/ 1ヶ月)問い合わせサンプルファイル”、“Systemwalkerコンソール想定外接続分析(1日/1週間/1ヶ月)問い合わせサンプルファイル”、 “Systemwalkerコンソール影響操作分析(1日/1週間/1ヶ月)問い合わせサンプルファイル”を参照してください。 Systemwalkerコンソールのログ分析問い合わせサンプルファイルの動作確認をする 動作確認をするために、編集したサンプルファイルを使用して実際に集計した結果と、監査ログの内容を比較します。 サンプルファイルで集計する 以下の手順で、編集したサンプルファイルを使用して、実際に集計します。 - 273 - 1. [スタート]メニューから[プログラム]-[Interstage Navigator Client]-[Navigator クライアント]を選択します。 →[Navigator クライアント]が起動されます。 2. [Navigator クライアント]から[ファイル]メニューの[開く]を選択します。 →[開く]ダイアログボックスが表示されます。 [開く]ダイアログボックスで、“Systemwalkerコンソールのログ分析問い合わせサンプルファイルを編集する”で編集した問い合わ せファイルを選択します。 →[サーバに接続]画面が表示されます。 - 274 - 3. [サーバに接続]画面において、Interstage Navigator Serverに接続するためのユーザ名とパスワード、Interstage Navigator Server がインストールされた運用管理サーバのサーバ名を入力し、[OK]ボタンをクリックします。 →確認メッセージが表示されます。 4. [はい]ボタンをクリックします。 →以下の画面が表示されます。 5. [OK]ボタンをクリックします。 →以下の画面が表示されます。 - 275 - 6. [OK]ボタンをクリックします。 →集計結果が表示されます。 監査ログから抽出したログの件数と比較する 監査ログから以下の手順で監査ログを抽出し、サンプルファイルを使用して集計した結果と比較します。“Systemwalkerコンソールのロ グ分析問い合わせサンプルファイル”のサンプルファイルごとに抽出・比較手順を以下に説明します。 Systemwalkerコンソールログイン点検分析(1日/1週間/1ヶ月)問い合わせサンプルファイル “Systemwalkerコンソールログイン点検分析(1日/1週間/1ヶ月)問い合わせサンプルファイル”の内容は編集していないため、抽出・比 較作業は不要です。 Systemwalkerコンソール想定外接続分析(1日/1週間/1ヶ月)問い合わせサンプルファイル 1. Systemwalkerコンソール監査ログから、操作者(CSV形式の4項目目)が、サンプルファイルで定義したオペレータである監査ログ を抽出します。 2. 手順1の抽出結果からさらに、操作場所(2項目目)が定義したクライアント名以外の監査ログを抽出します。 3. 手順1の抽出結果からさらに、日時(1項目目)が定義した時間帯以外の監査ログを抽出します。 4. 手順1の抽出結果からさらに、操作内容(7項目目)が定義した操作内容以外の監査ログを抽出します。 5. 手順2~手順4で抽出した監査ログの件数を数えます。 6. 手順1~手順5の作業を、サンプルファイルで定義したオペレータの数だけ繰り返します。 7. サンプルファイルで定義したすべてのオペレータについて、抽出した監査ログの件数を数えます。 8. 手順7で数えた監査ログの件数が想定外に接続された監査ログの件数です。この監査ログの件数と集計結果と比較し、同じ件 数であることを確認します。 Systemwalkerコンソール影響操作分析(1日/1週間/1ヶ月)問い合わせサンプルファイル 1. Systemwalkerコンソール監査ログから、操作内容(CSV形式の7項目目)に、点検対象とする影響度の大きい操作に定義した文 字列が含まれている監査ログを抽出します。 2. 手順1で抽出した監査ログの件数を数えます。 3. 手順2で数えた監査ログの件数が、影響度の大きい操作の監査ログの件数です。この件数を集計結果と比較し、同じ件数であ ることを確認します。 - 276 - →サンプルファイルごとに確認した結果に問題がなければ、“Systemwalkerコンソールのログ分析問い合わせサンプルファイル” (Systemwalkerコンソールログインチェック)が正しく設定されており、運用で使用できることが証明されました。 11.2.2.3 スケジューラに集計を実行するコマンドを登録する システムに対する不当な操作は、できるだけ早く発見しなければなりません。そのためには、監査ログの集計を毎日実施し、分析する 必要があります。また、監査ログの収集・集計・分析作業によるサーバへの負荷を減らし、通常業務に支障をきたさないように、作業は 夜間に行うことが必要です。 そのためには、運用管理サーバにおいて、OSに標準で提供されている「タスク」などのスケジューラ機能に、集計を実行するスケジュー ルを登録し、自動で作業できるようにする必要があります。 以下に、集計実行コマンドをスケジューラに登録する手順を示します。 1. 運用管理クライアント上に保存した問い合わせファイルを運用管理サーバ上の下記ディレクトリへコピーします。 Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\data\total 2. 運用管理サーバ上の任意のスケジューラ機能にmpatareportput(集計レポート出力コマンド)を、以下のように登録します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportput SysconCheck.rne SysconCheck →“Systemwalkerコンソールのログ分析問い合わせサンプルファイル”による集計が、毎日実行されるようにスケジュールされます。 mpatareportput( 集 計 レ ポ ー ト 出 力 コ マ ン ド ) は オ プ シ ョ ン 指 定 に よ り 出 力 形 式 や 出 力 フ ァ イ ル 名 を 変 更 す る こ と が で き ま す。 mpatareportput(集計レポート出力コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してくだ さい。 運用 夜間のうちに集計されCSV形式に出力された結果をもとに、前日のシステム運用の様子を分析します。分析の結果、システム運用に 問題があると判断された場合は、追跡調査を実施したり、管理者や責任者に報告するなどして、少しでも早く運用ルールに沿ったシス テム運用に戻します。また、結果は点検資料としてレポートに出力し、保管しておきます。 分析するときの集計方法や、検索方法の詳細は、“監査ログを集計する”および“監査ログを検索する”を参照してください。 11.2.2.4 監査ログを分析する手順 以下の観点で監査ログを分析します。 ・ 悪意のあるユーザを分析する ・ 運用ルール以外の操作を分析する ・ システムへの影響度が大きい操作を分析する 悪意のあるユーザを分析する Systemwalkerコンソールの操作状況を、出力ファイルの内容から判断します。 認証失敗ログ件数の集中しているセルを確認します。 - 277 - 9時台(9:00~9:59)に、user2が認証に5回失敗していることがわかります。 出力されたCSVファイルを元に、以下の観点で分析結果を評価します。 ・ 認証失敗件数が集中している時間帯を特定します。 ・ 認証失敗件数が集中している時間帯が運用上妥当かどうかを確認します。 時間帯が運用上妥当でない場合は、不正ログインが行われた可能性があります。管理者による詳細な調査を行います。 運用ルール以外の操作を分析する 運用管理サーバに対して、許可されていない運用管理クライアント(client01)からの接続がないか確認します。 出力されたCSVファイルを元に、以下の観点で分析結果を評価します。 ・ 運用ルールに違反している項目(接続を許可されている運用管理クライアント以外からの接続)を特定します。 ・ 違反行為の理由が妥当であるか確認します。 運用上妥当でない場合は、想定外の接続が行われた可能性があるため、管理者による詳細調査を行います。 システムへの影響度が大きい操作を分析する リモートコマンド、およびポリシー操作ログの時間帯と件数を確認します。 - 278 - 例では、12時台(12:00~12:59)と13時台(13:00~13:59)に、user1がシステムに対する影響度の大きい操作であるポリシー設定を実行 しています。 システムへの影響度が大きい操作としては、以下の項目も考えられます。 ・ 監視ツリーの削除 ・ 監視ツリーの切り替え ・ オブジェクトの追加・削除 出力されたCSVファイルを元に、以下の観点で分析結果を評価します。 ・ システムへの影響度が大きい操作が集中している時間帯を特定します。 ・ 時間帯が運用上妥当かどうかを確認します。 運用上妥当でない場合は、通常運用外の操作が行われた可能性があるため、管理者による詳細調査を行います。 11.2.2.5 レポートを作成する 詳細な調査結果を部門責任者へ通知します。部門責任者は、問題の有無を確認し対処します。また、点検結果はレポートの形式に 出力します。 レポートを作成する mpatareportput(集計レポート出力コマンド)で、出力形式をHTML形式(-O HTMLオプション指定)にした場合、以下の一般的なレポー ト形式で集計結果を出力することができます。mpatareportput(集計レポート出力コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 - 279 - mpatareportput(集計レポート出力コマンド)で出力したレポートには、分析結果を点検した担当者名や点検コメントは出力されません。 集計レポートに、点検した担当者名や点検コメントを追加する場合は、以下の手順が必要です。 - 280 - 1. 監査ログをmpatareportput(集計レポート出力コマンド)を利用して集計し、結果を出力します。 運用管理サーバで、mpatareportput(集計レポート出力コマンド)に問い合わせファイルを指定して実行します。集計は、OSに標 準で提供されている「タスク」などのスケジューラに登録して実行します。mpatareportput(集計レポート出力コマンド)の詳細につ いては、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 以下に、問い合わせファイル“CMGR_ConsoleLogin_1Month.rne”を使用して、Systemwalkerコンソールログイン点検分析(1ヶ 月)の集計レポート“CMGR_ConsoleLogin_1Month”をデフォルトの出力ディレクトリ“Systemwalkerインストールディレクトリ \MPWALKER.DM\mpata\var\user\report”配下に出力するバッチファイルの例を示します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportput -O HTML CMGR_ConsoleLogin_1Month.rne CMGR_ConsoleLogin_1Month 2. 集計レポートの結果が出力されたファイルをコピーします。 FTPコマンドなどを使用して、運用管理サーバに出力された集計レポート結果ファイル(上記の例の場合、Systemwalkerインス トールディレクトリ\MPWALKER.DM\mpata\var\user\report\CMGR_ConsoleLogin_1Month_YYYYMMDD.html)を、運用管 理クライアント上の任意のディレクトリにコピーします。本手順は必要に応じてスケジューラに登録してください。 3. 点検担当者が集計レポートの結果出力ファイルを確認します。 レポートの点検担当者は、運用管理クライアント上にコピーされた集計レポートの結果出力ファイルをWebブラウザなどで開き、 その内容を確認します。 4. 集計レポートの結果出力ファイルへ点検コメントを追加します。 運用管理クライアントで、mpatareportcomment(集計レポートコメント追加コマンド)を実行します。mpatareportcomment(集計レポー トコメント追加コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 以下に、コマンドの実行例と、コメントを追加した集計レポートの出力例を示します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportcomment -U 佐藤 C "5回のログイン失敗はパスワード忘却によるものであり、問題ありません。" C:\temp \CMGR_ConsoleLogin_1Month_20061004.html C:\temp \CMGR_ConsoleLogin_1Month_20061004_CHECK.html - 281 - 11.2.3 サーバの操作を点検するには サーバ操作が正しく行われているかを分析するためには、分析対象の監査ログを運用管理サーバに収集し、分析用に変換(正規化) する必要があります。また、分析するための集計項目や集計結果を表示する表のレイアウトを定義する必要があります。 この章では、監査ログを収集し正規化するための設定と、監査ログを分析するための設定について説明します。 - 282 - 11.2.3.1 監査ログを収集し正規化する サーバ操作が正しく行われているかを分析するために必要な監査ログは、部門管理サーバや業務サーバで採取します。部門管理 サーバや、業務サーバにある監査ログを運用管理サーバに収集するための設定は、以下の順で行います。 1. 採取する監査ログを定義する 2. 接続可能一覧ファイルを作成する 3. 監査ログの格納先を定義する 4. スケジューラに監査ログを収集し正規化するコマンドを登録する 採取する監査ログを定義する 運用管理サーバおよび運用管理クライアントでSystemwalkerコンソールの監査ログを採取するよう定義します。 【Windowsの場合】 ・ 運用管理サーバおよび運用管理クライアント Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpsetlogsend_swgui -y 【UNIXの場合】 ・ 運用管理サーバ /usr/bin/mpsetlogsend_swgui -y mpsetlogsend_swgui(Systemwalkerコンソール監査ログ収集設定コマンド)の詳細は、“Systemwalker Centric Manager リファレンス マニュアル”を参照してください。 接続可能一覧ファイルを作成する 運用管理サーバ-被管理サーバ(部門管理サーバ/業務サーバ)間でログ収集を行う場合、被管理サーバ上の接続可能一覧ファイ ルに、接続元運用管理サーバの情報(サーバ名、またはIPアドレス)を記述することで収集対象の運用管理サーバをチェックし、指定 した運用管理サーバ以外からの収集を抑止することができます。 接続可能一覧ファイルについての詳細は、“収集対象のサーバを限定する”を参照してください。 監査ログの格納先を定義する 運用管理サーバにおいて、運用管理サーバ、部門管理サーバ、業務サーバおよび運用管理クライアントから収集した監査ログを格納 するディレクトリを定義します。 例として、C:\mpatm\cmgrsvlogに格納します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatmtrsdef REP -S C:\mpatm \cmgrsvlog mpatmtrsdef(ファイル転送情報定義コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 スケジューラに監査ログを収集し正規化するコマンドを登録する システムに対する不当な操作をできるだけ早く発見するため、監査ログの収集、正規化は毎日実施する必要があります。監査ログの収 集・正規化によるサーバへの負荷を減らし、通常業務に支障をきたさないように、作業は夜間に行うことが必要です。そのためには、運 用管理サーバにおいて、OSに標準で提供されている「タスク」などのスケジューラ機能に、監査ログ収集と正規化を実行するスケジュー ルを登録し、自動で作業できるようにする必要があります。 以下に、スケジューラに登録するコマンドを示します。 1. 監査ログを収集するコマンド 運用管理サーバ、部門管理サーバ、業務サーバおよび運用管理クライアントから監査ログを収集するようにコマンドを登録します。 例として、部門管理サーバのサーバ名がserver1である場合のコマンドを以下に示します。 - 283 - Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatmlog -H server1 監査ログを収集する対象のすべてのサーバに対し、コマンドを実行してください。 2. 収集した監査ログを正規化するコマンド 正規化する監査ログのログ識別名は、CMGROpLogおよびCMGRSVOpLogです。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatalogcnvt -H server1 -A CMGROpLog -L C:\mpatm\cmgrsvlog Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatalogcnvt -H server1 -A CMGRSVOpLog -L C:\mpatm\cmgrsvlog 例として、運用管理サーバ(ホスト名がServer1)、運用管理クライアント(ホスト名がClient1)、およびSolarisの業務サーバ(ホスト名が gyoumu1)から監査ログを収集し正規化する場合に、登録するコマンドを以下に示します。なお、収集した監査ログの格納先は、 mpatmtrsdef(ファイル転送情報定義コマンド)を使用してC:\mpatm\cmgrsvlogに設定済みであるとします。 C:\Systemwalker\MPWALKER.DM\bin\mpatmlog -H Server1 C:\Systemwalker\MPWALKER.DM\bin\mpatmlog -H Client1 C:\Systemwalker\MPWALKER.DM\bin\mpatmlog -H gyoumu1 C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H Server1 -A CMGROpLog -L C:\mpatm \cmgrsvlog C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H Server1 -A CMGRSVOpLog -L C:\mpatm \cmgrsvlog C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H Client1 -A CMGROpLog -L C:\mpatm \cmgrsvlog C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H gyoumu1 -A CMGRSVOpLog -L C:\mpatm \cmgrsvlog mpatmlog(ログ収集コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 mpatalogcnvt(監査ログ正規化コマンド) はオプション指定により正規化対象とする監査ログを種別やホスト・出力日などで絞り込んだり、 正規化をテスト実行させることができます。mpatalogcnvt(監査ログ正規化コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 11.2.3.2 問い合わせサンプルファイルを編集する 監査ログを分析するには、監査ログを集計するときの問い合わせ条件(集計項目)や、集計結果を表示する表のレイアウトの設定条件 を、問い合わせファイルに定義する必要があります。 セキュリティ管理者は、サーバ操作の監査ログを分析する場合の固有情報(実行ホスト、操作者、日時、録画異常や認証失敗などの異 常内容)を設定するため、標準提供されているサーバ操作の各監査ログの分析問い合わせサンプルファイルをカスタマイズします。 サーバ操作の監査ログ分析では、サーバ不正操作分析問い合わせサンプルファイルを使用します。 監査ログ分析のための設定は、以下の順で行います。 1. サーバ不正操作分析問い合わせサンプルファイルを編集する 2. スケジューラに集計を実行するコマンドを登録する サーバ不正操作分析問い合わせサンプルファイルを編集する 問い合わせサンプルファイルは、監査ログ分析機能をインストールしたときに、運用管理クライアントに格納されます。この問い合わせ サンプルファイルをコピーしてカスタマイズします。 1. 問い合わせサンプルファイルを、任意のディレクトリにコピーします。 問い合わせサンプルファイルのインストール先は“Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\sample\total” です。“サーバ不正操作分析問い合わせサンプルファイル”のファイル名は以下のとおりです。 - 284 - 分析する内容 ファイル名 サーバのアクセス制御作業を分析する (1日) CMGR_SVAccessCTLOperation_1Day.rne サーバのアクセス制御作業を分析する (1週間) CMGR_SVAccessCTLOperation_1Week.rne サーバのアクセス制御作業を分析する (1ヶ月) CMGR_SVAccessCTLOperation_1Month.rne サーバのアクセス分析する(1日) CMGR_ServerAccess_1Day.rne サーバのアクセス分析する(1週間) CMGR_ServerAccess_1Week.rne サーバのアクセス分析する(1ヶ月) CMGR_ServerAccess_1Month.rne サーバの不正アクセスを分析する(1 日) CMGR_ServerIllegalAccess_1Day.rne サーバの不正アクセスを分析する(1週 間) CMGR_ServerIllegalAccess_1Week.rne サーバの不正アクセスを分析する(1ヶ 月) CMGR_ServerIllegalAccess_1Month.rne “サーバのアクセス分析する(1日)”をc:\tempにコピーする場合の例を以下に示します。 copy c:\Systemwalker\MPWALKER.DM\mpata\sample\total \CMGR_ServerAccess_1Day.rne c:\temp 2. [スタート]メニューから[プログラム]-[Interstage Navigator Client]-[Navigator クライアント]を選択します。 →[Navigator クライアント]が起動されます。 3. [Navigator クライアント]から[ファイル]メニューの[開く]を選択します。 →[開く]ダイアログボックスが表示されます。 [開く]ダイアログボックスで、手順1.で任意のディレクトリコピーしたカスタマイズ用“サーバ操作のログ分析問い合わせファイル” を選択します。 - 285 - →[サーバに接続]画面が表示されます。 4. [サーバに接続]画面において、Interstage Navigator Serverに接続するためのユーザ名とパスワード、Interstage Navigator Server がインストールされた運用管理サーバのサーバ名を入力し、[OK]ボタンをクリックします。 →確認メッセージが表示されます。 5. 問い合わせファイルをカスタマイズするので、[いいえ]ボタンをクリックします。 注意 ボタンの選択についての注意事項 [はい]ボタンをクリックすると、問い合わせファイルをカスタマイズできずに集計処理が実行されてしまいます。 - 286 - →[レイアウトの指定]画面が表示されます。 6. [条件]欄に、問い合わせファイルの条件となる固有情報を設定します。固有情報は、各サーバ操作のログ分析問い合わせファ イルによって異なります。各問い合わせファイルに登録されている条件と編集する項目は、“サーバ不正操作分析問い合わせサ ンプルファイルに登録されている条件”を参照してください。 初期状態ですでに固有情報が入力されている場合、固有情報を編集するときは、[条件]欄の該当項目を選択し、編集画面で 内容を書き換えます。 - 287 - 固有情報を複数設定する場合は、[データ項目]から該当項目を追加します。 a. 項目の追加を行った場合、[条件のAND/OR編集]画面の起動ボタンをクリックします。 →[条件のAND/OR編集]画面が表示されます。 b. 追加した固有情報を、既存の固有情報と同様の条件構造に設定します。 7. 設定した条件内容を一覧表示で確認します。 - 288 - →[条件]画面が表示されます。 8. 設定した情報に問題がない場合は、[閉じる]ボタンをクリックし、[レイアウトの指定]画面で[OK]ボタンをクリックします。 →[Navigator クライアント]画面が表示されます。 - 289 - 9. ここでは集計処理を実施しないので、[いいえ]ボタンをクリックします。(誤って[はい]ボタンをクリックした場合、集計が実行されて しまいます。) →[Navigator クライアント]画面が表示されます。 10. [ファイル]メニューから[名前を付けて保存]を選択し、ファイルを保存します。 →“サーバ操作のログ分析問い合わせファイル”が、運用管理クライアント上のファイルとして作成されます。 例として、以下の場所に保存します。 - フォルダ名: C:\temp - ファイル名: ServerCheck.rne 注意 問い合わせファイル名についての注意事項 問い合わせファイル名は集計レポート出力コマンドで使用するため、ASCII文字210文字以内またはシフトJIS文字105文字 以内で指定してください。 11. [ファイル]メニューから[終了]を選択します。 サーバ不正操作分析問い合わせサンプルファイルに登録されている条件 それぞれの問い合わせファイルに登録されている条件と、編集が必要な項目は以下のとおりです。 サーバアクセス制御作業分析問い合わせサンプルファイル “サーバアクセス制御作業分析(1日/1週間/1ヶ月)問い合わせサンプルファイル”には、初期値として以下の条件が登録されています。 ・ 期間対象が開始日から終了日までである。かつ、 ・ ログ種別(ログファイル)がサーバアクセス制御ログである。かつ、 ・ 実行結果が成功または失敗である。 これらの条件のうち、「期間対象」は必要に応じて設定値を変更してください。 サーバアクセス制御アクセス分析問い合わせサンプルファイル - 290 - “サーバアクセス制御アクセス分析(1日/1週間/1ヶ月)問い合わせサンプルファイル”には、初期値として以下の条件が登録されています。 ・ 期間対象が開始日から終了日までである。かつ、 ・ ログ種別(ログファイル)がサーバアクセス制御ログである。かつ、 ・ 拡張値4に以下のどれかが含まれている。 - ログ取得 - 許可 - 拒否 これらの条件のうち、「期間対象」は必要に応じて設定値を変更してください。 サーバアクセス制御不正アクセス分析問い合わせサンプルファイル “サーバアクセス制御不正アクセス分析(1日/1週間/1ヶ月)問い合わせサンプルファイル”には、初期値として以下の条件が登録されて います。 ・ 期間対象が開始日から終了日までである。かつ、 ・ ログ種別(ログファイル)がサーバアクセス制御ログである。かつ、 ・ 拡張値4が拒否である。 これらの条件のうち、「期間対象」は必要に応じて設定値を変更してください。 各条件の詳細は、“Systemwalker Centric Managerリファレンスマニュアル”で“サーバアクセス制御作業分析(1日/1週間/1ヶ月)問い合 わせサンプルファイル”、“サーバアクセス分析(1日/1週間/1ヶ月)問い合わせサンプルファイル”、“サーバ不正アクセス分析(1日/1週 間/1ヶ月)問い合わせサンプルファイル”を参照してください。 ポイント 「期間対象」以外を変更していない場合は、問い合わせサンプルファイルの動作確認をする必要はありません。 11.2.3.3 スケジューラに集計を実行するコマンドを登録する システムに対する不当な操作は、できるだけ早く発見しなければなりません。そのためには、監査ログの集計を毎日実施し、分析する 必要があります。また、監査ログの収集・集計・分析作業によるサーバへの負荷を減らし、通常業務に支障をきたさないように、作業は 夜間に行うことが必要です。 そのためには、運用管理サーバにおいて、OSに標準で提供されている「タスク」などのスケジューラ機能に、集計を実行するスケジュー ルを登録し、自動で作業できるようにする必要があります。 以下に、集計実行コマンドをスケジューラに登録する手順を示します。 1. 運用管理クライアント上に保存した問い合わせファイルを運用管理サーバ上の下記ディレクトリへコピーします。 Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\data\total 2. 運用管理サーバ上の任意のスケジューラ機能にmpatareportput(集計レポート出力コマンド)を、以下のように登録します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportput SvcntlPolicy.rne svcntl_policy →“サーバ不正操作分析問い合わせサンプルファイル”による集計が、毎日実行されるようにスケジュールされます。 mpatareportput( 集 計 レ ポ ー ト 出 力 コ マ ン ド ) は オ プ シ ョ ン 指 定 に よ り 出 力 形 式 や 出 力 フ ァ イ ル 名 を 変 更 す る こ と が で き ま す。 mpatareportput(集計レポート出力コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してくだ さい。 - 291 - 運用 サーバ操作の監査ログを分析する場合、まず、ポリシーが改ざんされていないことを確認します。ポリシーに沿った操作が行われてい ても、そのポリシー自体が改ざんされていたり、不当だったりした場合、規則に則ったシステム運用が根底から覆されてしまいます。 ポリシーが妥当だと判断された場合は、そのポリシーに沿って、サーバ操作が正しく行われているかを確認します。以下の観点で、分 析します。 ・ システム異常に起因したサーバ操作の停止はないか ・ サーバに対する悪意のある操作はないか ・ 不正なアクセスを繰り返した形跡はないか 分析結果によっては、特定のユーザや操作を追跡調査する必要もあります。 分析するときの集計方法や、検索方法の詳細は、“監査ログを集計する”および“監査ログを検索する”を参照してください。 11.2.3.4 監査ログを分析する手順 以下の観点で監査ログを分析します。 ・ サーバへのアクセス状況を確認し、サーバアクセス制御のポリシー設定の妥当性を確認する ・ サーバに対し、許可されていないユーザによる不正なアクセスが行われていないか ・ サーバアクセス制御に対し、不正な操作が行われていないか ・ サーバ操作が正しく行われているか サーバへのアクセス状況を確認し、サーバアクセス制御のポリシー設定の妥当性を確認する 集計レポート結果から、ポリシー設定の妥当性を評価します。 ・ 本来、拒否すべき操作が許可されていないか - [実行結果]が[許可]となっている操作について、拒否すべき操作はないか ・ 本来、許可すべき操作が拒否されていないか - [実行結果]が[拒否]となっている操作について、許可すべき操作はないか それぞれの操作について「検索」機能を利用して、問題発生時刻、操作内容、操作対象の特定を行う場合は、以下の操作をします。 1. [監査ログ分析]画面を起動し、[監査ログ分析-検索]画面を起動します。 2. [検索範囲の設定]で、以下の設定をします。 - [検索開始日時]:集計結果から特定の件数以上の監査ログが存在する日付の0時0分0秒 - [検索終了日時]:集計結果から特定の件数以上の監査ログが存在する日付の23時59分59秒 3. [検索条件の設定]で、以下の項目を選択します。 - [ログ種別]:CMGRSvacLog - 292 - - [操作種別]:「コンソールログイン」、「ネットワーク」、「ファイル/ディレクトリハードリンク」、「ファイル/ディレクトリ作成操作」、 「ファイル/ディレクトリ削除操作」、「ファイル/ディレクトリ書き込み操作」、「ファイル/ディレクトリ属性変更操作」、「ファイル/ディ レクトリ読み取り操作」、「ファイル/ディレクトリ変名操作」、「プロセス起動」、「プロセス強制停止」、「レジストリ読み取り操作」 「レジストリ書き込み操作」「レジストリ作成操作」「レジストリ削除操作」 - [操作者]:集計結果から1件以上のアクセスの監査ログが存在する操作者名 - [実行ホスト]:集計結果から1件以上のアクセスの監査ログが存在する実行ホスト名 4. [検索開始]ボタンをクリックします。 5. 検索結果から、操作日の詳細情報を確認します。 6. 確認結果をセキュリティ管理者へ通知します。 試行モードを利用している場合 試行モードで出力されたアクセス監査ログを抽出し、セキュリティ管理者に抽出結果を通知する場合は、以下の操作をします。 1. [監査ログ分析]画面を起動し、[監査ログ分析-検索]画面を起動します。 2. [検索範囲の設定]で、以下の設定をします。 - [検索開始日時]、[検索終了日時]:分析対象の期間 3. [検索条件の設定]で、以下の項目を選択します。 - [ログ種別]:CMGRSvacLog - [拡張値3]:試行モード有効 4. [検索開始]ボタンをクリックします。 5. [検索結果一覧]で、[CSV形式で保存]を指定し、検索結果を任意のファイルに保存します。 6. 保存したファイルをセキュリティ管理者に通知します。 サーバに対し、許可されていないユーザによる不正なアクセスが行われていないか 集計レポート結果から、不正なアクセス状況を確認します。 ・ 分析結果に集計件数が記載された行がない場合:サーバへの不正なアクセスはありません。 ・ 分析結果に集計件数が記載された行がある場合:サーバへの不正アクセスの可能性があります。 不当なユーザがサーバへアクセスした可能性がある場合、集計時間、実行ホスト名、ユーザ名、操作種別を確認します。 それぞれの操作者について「検索」機能を利用して、問題発生時刻の特定と操作内容、操作対象の特定を行います。「検索」機能は 以下のように操作します。 1. [監査ログ分析]画面を起動し、[監査ログ分析-検索]画面を起動します。 2. [検索範囲の設定]で、以下の設定をします。 - [検索開始日時]:集計結果から特定の件数以上の監査ログが存在する日付の0時0分0秒 - [検索終了日時]:集計結果から特定の件数以上の監査ログが存在する日付の23時59分59秒 - 293 - 3. [検索条件の設定]で、以下の項目を選択します。 - [ログ種別]:CMGRSvacLog - [操作種別]:「コンソールログイン」、「ネットワーク」、「ファイル/ディレクトリハードリンク」、「ファイル/ディレクトリ作成操作」、 「ファイル/ディレクトリ削除操作」、「ファイル/ディレクトリ書き込み操作」、「ファイル/ディレクトリ属性変更操作」、「ファイル/ディ レクトリ読み取り操作」、「ファイル/ディレクトリ変名操作」、「プロセス起動」、「プロセス強制停止」 - [拡張値4]:「拒否」 - [操作者]:集計結果から1件以上の不正なアクセスの監査ログが存在する操作者名 - [実行ホスト]:集計結果から1件以上の不正なアクセスの監査ログが存在する実行ホスト名 4. [検索開始]ボタンをクリックします。 5. 検索結果から、該当操作日の詳細情報を確認します。 6. 確認結果をセキュリティ管理者へ通知します。 サーバアクセス制御に対し、不正な操作が行われていないか 出力されたCSVファイルを元に、以下の観点で分析結果を評価します。 ・ 操作が行われた日付を特定します。 集計内容の数字に着目します。0以外の値が存在している日にサーバアクセス制御に対する操作が行われています。 ・ 操作が行われた日付が妥当かどうかを確認します。 該当する日付にサーバアクセス制御に対する操作を行っていない場合は、「検索」機能を使用して追跡調査を行う必要があります。 不当なユーザによるサーバへのアクセスの可能性がある場合、集計時間、実行ホスト名、ユーザ名、操作種別を確認します。 不当なユーザによるアクセスの可能性がある操作について「検索」機能を利用して、問題発生時刻の特定と操作内容、操作対象の特 定を行います。「検索」機能は以下のように操作します。 1. [監査ログ分析]画面を起動し、[監査ログ分析-検索]画面を起動します。 2. [検索範囲の設定]で、以下の設定をします。 - [検索開始日時]:集計結果から該当する操作の日付の0時0分0秒 - [検索終了日時]:集計結果から該当する操作の日付の23時59分59秒 3. [検索条件の設定]で、以下の項目を選択します。 - [ログ種別]:CMGRSvacLogおよびCMGROpLog - 294 - - [操作者]:集計結果から1件以上の不正なアクセスの監査ログが存在する操作者名 - [実行ホスト]:集計結果から1件以上の不正なアクセスの監査ログが存在する実行ホスト名 - [操作種別]:「システム保守開始コマンド」、「システム保守終了コマンド」、「システム保守承認コマンド」、「システム保守承認 状況表示コマンド」、「ポリシー適用(アクセス制御設定)」、「swsvacpolin」、「swsvacpolout」、サーバアクセス制御設定時の画 面タイトル名 4. [検索開始]ボタンをクリックします。 5. 検索結果から、該当操作日の詳細情報を確認します。 6. 確認結果をセキュリティ管理者へ通知します。 サーバ操作が正しく行われているか サーバ操作状況を、出力ファイルの内容から判断します。 システム異常に起因したサーバ操作の停止はないか サーバ操作に対する運用が正しく行われているかを、システム異常の観点から分析します。集計結果から、まず、[録画異常]と[監査ロ グ異常]に着目します。録画データや監査ログの出力失敗は、点検を行えなくなる恐れがあるため、注目が必要な項目です。システム に対するDoS(サービス拒否)攻撃やBruteForce(パスワード奪取のための総当たり)攻撃などが行われた場合に異常を示す場合があり ます。 システム異常を疑い、システムログやアプリケーションログなどを日付、発生元サーバをキーに検索を行います。 1. [監査ログ分析]画面を起動し、[監査ログ分析-検索]画面を起動します。 2. [検索条件の設定]で、以下の項目を選択します。 - [実行ホスト]:検索対象のホスト名 - [ログ種別]:SolarisSyslog 3. [検索開始]ボタンをクリックします。 4. [検索条件の保存・管理]ボタンをクリックし、検索条件を保存します。 5. 検索結果から、問題箇所を特定します。 6. 分析対象日以降、現在までに問題が解消されているかどうかを、部門責任者に確認します。 サーバに対する悪意のある操作はないか システムに異常が発見された場合は、その原因がシステムへのセキュリティ攻撃であるかどうかを分析します。 集計結果の該当日のデータで、[実行権限のない操作]と[認証失敗]に着目します。特定の件数以上の監査ログが存在すると認めら れた場合、それぞれで検索を実施し、問題発生時刻の特定と操作者の特定を行います。 1. [監査ログ分析]画面を起動し、[監査ログ分析-集計]画面を起動します。 - 295 - 2. [検索範囲の設定]で、以下の設定をします。 - [検索開始日時]:集計結果から特定の件数以上の監査ログが存在する日付の0時0分0秒 - [検索終了日時]:集計結果から特定の件数以上の監査ログが存在する日付の23時59分0秒 3. [検索条件の設定]で、以下の項目を選択します。 - [ログ種別]:CMGRSVOpLog - [実行結果]:「失敗」を指定します。 - [拡張値1]:「実行権限のない操作」または「認証失敗」(集計結果から特定の件数以上の監査ログが存在する異常内容) - [検索開始]ボタンをクリックします。 4. 検索結果から、該当操作日の詳細情報を確認します。 5. 同一人物による、繰り返し認証の失敗を確認した場合、または、実行権限のない操作を行っていることを確認した場合は、確認 結果を部門責任者へ通知します。 部門責任者は、該当ユーザへの聞き取りを実施し、必要に応じて以下の対処を行います。 ・ 悪意ある第三者からの操作である場合、パスワードの変更などを実施し、問題を未然に防ぎます。 ・ 該当ユーザ自身の操作である場合は、操作内容と操作理由を確認します。利用権限の剥奪、または、必要な操作であったことが 認められればサーバアクセス制御のポリシー変更をセキュリティ管理者へ依頼します。 ・ 部門責任者は、セキュリティ管理者からの情報に基づき、必要に応じて録画データの再生を行うことによって、詳細な操作内容を 確認します。 不正なアクセスを繰り返した形跡はないか システムに異常が発見されなかった場合でも、[実行権限のない操作]や[認証失敗]の項目が多いときは、システムに対する不正がな いか分析する必要があります。なぜなら、[実行権限のない操作]や[認証失敗]の項目が多いときは、パスワードクラックなどの不正アク セスの恐れがあるからです。 以下に該当する場合、検索を実施し調査します。 ・ 操作が行われるはずのない日時に操作異常が報告されている場合 ・ 操作が行われる日でも、特出した(100件程度以上)集計結果がでている場合 検索結果において以下の項目に着目し、該当操作日の詳細情報を確認します。 ・ [日時] ・ [操作ホスト] ・ [操作者] ・ [操作種別] ・ [操作内容] ・ [実行結果] ・ [追加情報] 分析結果から特定のユーザや操作を追跡調査する 前日までの分析結果から、特定ユーザや、特定操作に[実行権限のない操作]または[認証失敗]が集中していることがわかった場合は、 成功の点検結果も含めて操作の追跡を実施します。 この分析を行うためには、サンプルファイルのカスタマイズが必要です。 以下に手順を示します。 1. サーバ不正操作分析問い合わせサンプルファイルを開きます。 →[レイアウトの指定]画面が表示されます。 - 296 - 2. [データ]領域、[操作者]を選択し、右クリックで表示されるメニューから、[詳細指定]を選択します。 →[データ項目の詳細指定]画面が表示されます。 3. [条件設定]ボタンをクリックします。 →[条件の指定]画面が表示されます。 4. 以下の項目を入力し、[OK]ボタンをクリックします。 - [指定]、[NULL値を除くすべて]、[NULL値のみ]、[指定しない]のうち、[指定]をチェックします。 - [一致指定]をチェックします。 - [一致指定]タブから、[一致キー]に対象のユーザ名、[検索方法]に[一致するデータ]を指定します。 作成した問い合わせファイルは運用管理サーバへコピーし、対象ユーザの追跡調査用の問い合わせファイルとして定期的に集 計を実行します。 集計手順は以下のとおりです。 5. mpatareportput(集計レポート出力コマンド)の引数として[サーバ不正操作分析問い合わせサンプルファイル]を指定して実行し、 集計結果を取得します。 mpatareportput(集計レポート出力コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照し てください。 11.2.3.5 追跡調査を行う ポリシーの不正改変が行われた可能性がある場合は、詳細を調査する必要があります。 以下に手順を示します。 1. [監査ログ分析]画面を起動し、[監査ログ分析-検索]画面を示します。 2. [検索範囲の設定]で、以下のように設定します。 - [検索開始日時]:集計結果からポリシーの不正改変が行われた可能性がある日付の0時0分0秒を指定します。 - [検索終了日時]:集計結果からポリシーの不正改変が行われた可能性がある日付の23時59分0秒を指定します。 3. [検索条件の設定]で、以下の項目を選択します。 - [ログ種別]:CMGRSVOpLogを指定します。 - 297 - - [操作種別]:以下のうち、ポリシーの不正改変が行われた可能性のある操作種別を指定します。 - [ユーザ情報取得] - [ユーザ情報設定] - [ポリシー移出] - [ポリシー移入] 4. [検索開始]ボタンをクリックします。 5. 検索結果の以下の項目に着目し、該当操作日の詳細情報を確認します。 - [日時] - [操作ホスト] - [操作者] - [操作種別] - [追加情報] - [実行結果] 11.2.3.6 レポートを作成する 詳細な調査結果を部門責任者へ通知します。部門責任者は、問題の有無を確認し対処します。また、点検結果はレポートの形式に 出力します。 レポートを作成する mpatareportput(集計レポート出力コマンド)で、出力形式をHTML形式(-O HTMLオプション指定)にした場合、以下の一般的なレポー ト形式で集計結果を出力することができます。mpatareportput(集計レポート出力コマンド)の詳細は、“Systemwalker Centric Managerリ ファレンスマニュアル”を参照してください。 - 298 - mpatareportput(集計レポート出力コマンド)で出力したレポートには、分析結果を点検した担当者名や点検コメントは出力されません。 集計レポートに、点検した担当者名や点検コメントを追加する場合は、以下の手順が必要です。 - 299 - 1. 監査ログをmpatareportput(集計レポート出力コマンド)を利用して集計し、結果を出力します。 運用管理サーバで、mpatareportput(集計レポート出力コマンド)に問い合わせファイルを指定して実行します。集計は、OSに標 準で提供されている「タスク」などのスケジューラに登録して実行します。mpatareportput(集計レポート出力コマンド)の詳細につ いては、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 以 下 に 、 問 い 合 わ せ フ ァ イ ル “ CMGR_SVCTLOperation.rne ” を 使 用 し て 、 UNIX サ ー バ 不 正 操 作 分 析 の 集 計 レ ポ ー ト “CMGR_SVCTLOperation”をデフォルトの出力ディレクトリ“Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\var \user\report”配下に出力するバッチファイルの例を示します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\var\user\report \mpatareportput -O HTML CMGR_SVCTLOperation.rne CMGR_SVCTLOperation 2. 集計レポートの結果が出力されたファイルをコピーします。 FTPコマンドなどを使用して、運用管理サーバに出力された集計レポート結果ファイル(上記の例の場合、Systemwalkerインス トールディレクトリ\MPWALKER.DM\mpata\var\user\report\CMGR_SVCTLOperation_YYYYMMDD.html)を、運用管理クラ イアント上の任意のディレクトリにコピーします。本手順は必要に応じてスケジューラに登録してください。 3. 点検担当者が集計レポートの結果出力ファイルを確認します。 レポートの点検担当者は、運用管理クライアント上にコピーされた集計レポートの結果出力ファイルをWebブラウザなどで開き、 その内容を確認します。 4. 集計レポートの結果出力ファイルへ点検コメントを追加します。 運用管理クライアントで、mpatareportcomment(集計レポートコメント追加コマンド)を実行します。mpatareportcomment(集計レポー トコメント追加コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 以下に、コマンドの実行例と、コメントを追加した集計レポートの出力例を示します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportcomment -U 佐藤 C "異常操作は監査ログ出力確認のためであり、問題ありません。" C:\temp \CMGR_SVCTLOperation_20061001.html C:\temp \CMGR_SVCTLOperation_20061101_CHECK.html - 300 - 11.3 Systemwalker Operation Managerの監査ログを分析する 11.3.1 サーバの自動運転運用を点検するには Systemwalker Operation Managerの運用が正しく行われているかを分析するためには、分析対象の監査ログを運用管理サーバに収 集し、分析用に変換(正規化)する必要があります。また、分析するための集計項目や集計結果を表示する表のレイアウトを定義する必 要があります。 この章では、監査ログを収集し正規化するための設定と、監査ログを分析するための設定について説明します。 - 301 - 11.3.2 監査ログを収集し正規化する サーバ操作が正しく行われているかを分析するために必要な監査ログは、Systemwalker Operation Managerのサーバがインストールさ れている運用管理サーバ、部門管理サーバ、または業務サーバで採取します。それぞれのサーバにある監査ログを運用管理サーバ に収集するための設定は、以下の順で行います。 1. 採取する監査ログを定義する 2. 接続可能一覧ファイルを作成する 3. 監査ログの格納先を定義する 4. スケジューラに監査ログを収集し正規化するコマンドを登録する 採取する監査ログを定義する 運用管理サーバ、部門管理サーバ、業務サーバにおいて、Systemwalker Operation Manageの監査ログを収集するよう定義します。収 集する監査ログのログ識別名は、OMGRLogです。 【Windowsの場合】 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatmlogapdef REP -A OMGRLog E YES 【SolarisまたはLinuxの場合】 /opt/systemwalker/bin/mpatmlogapdef REP -A OMGRLog -E YES mpatmlogapdef(ログ収集設定コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 接続可能一覧ファイルを作成する 運用管理サーバ-被管理サーバ(部門管理サーバ/業務サーバ)間でログ収集を行う場合、被管理サーバ上の接続可能一覧ファイ ルに、接続元運用管理サーバの情報(サーバ名、またはIPアドレス)を記述することで収集対象の運用管理サーバをチェックし、指定 した運用管理サーバ以外からの収集を抑止することができます。 接続可能一覧ファイルについての詳細は、“収集対象のサーバを限定する”を参照してください。 監査ログの格納先を定義する 運用管理サーバにおいて、運用管理サーバ、部門管理サーバ、業務サーバから収集した監査ログを格納するディレクトリを定義します。 例として、C:\mpatm\omgrlogに格納します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatmtrsdef REP -S C:\mpatm \omgrlog mpatmtrsdef(ファイル転送情報定義コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 スケジューラに監査ログを収集し正規化するコマンドを登録する システムに対する不当な操作をできるだけ早く発見するため、監査ログの収集、正規化は毎日実施する必要があります。監査ログの収 集・正規化によるサーバへの負荷を減らし、通常業務に支障をきたさないように、作業は夜間に行うことが必要です。そのためには、運 用管理サーバにおいて、OSに標準で提供されている「タスク」などのスケジューラ機能に、監査ログ収集と正規化を実行するスケジュー ルを登録し、自動で作業できるようにする必要があります。 以下に、スケジューラに登録するコマンドを示します。 1. 監査ログを収集するコマンド 運用管理サーバ、部門管理サーバ、業務サーバおよび運用管理クライアントから監査ログを収集するようにコマンドを登録します。 例として、部門管理サーバのサーバ名がserver1である場合のコマンドを以下に示します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatmlog -H server1 - 302 - 監査ログを収集する対象のすべてのサーバに対し、コマンドを実行してください。 2. 収集した監査ログを正規化するコマンド 正規化する監査ログのログ識別名は、OMGRLogです。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatalogcnvt -H server1 A OMGRLog -L C:\mpatm\omgrlog 例として、3台の業務サーバ(ホスト名がgyoumu1、gyoumu2およびgyoumu3)から監査ログを収集し正規化する場合に、登録するコマン ドを以下に示します。なお、収集した監査ログの格納先は、mpatmtrsdef(ファイル転送情報定義コマンド)を使用してC:\mpatm\omgrlog に設定済みであるとします。 C:\Systemwalker\MPWALKER.DM\bin\mpatmlog -H gyoumu1 C:\Systemwalker\MPWALKER.DM\bin\mpatmlog -H gyoumu2 C:\Systemwalker\MPWALKER.DM\bin\mpatmlog -H gyoumu3 C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H gyoumu1 -A OMGRLog -L C:\mpatm \omgrsvlog C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H gyoumu2 -A OMGRLog -L C:\mpatm \omgrsvlog C:\Systemwalker\MPWALKER.DM\bin\mpatalogcnvt -H gyoumu3 -A OMGRLog -L C:\mpatm \omgrsvlog mpatmlog(ログ収集コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 mpatalogcnvt(監査ログ正規化コマンド) はオプション指定により正規化対象とする監査ログを種別やホスト・出力日などで絞り込んだり、 正規化をテスト実行させることができます。mpatalogcnvt(監査ログ正規化コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 11.3.3 問い合わせサンプルファイルを編集する 監査ログを分析するには、監査ログを集計するときの問い合わせ条件(集計項目)や、集計結果を表示する表のレイアウトの設定条件 を、問い合わせファイルに定義する必要があります。 セキュリティ管理者は、Systemwalker Operation Managerを用いた運用に対する不正な操作を分析する場合の固有情報(操作の時間帯、 操作種別、実行結果、操作者)を設定するため、標準提供されている“Systemwalker Operation Manager運用の定義情報変更・操作分 析問い合わせサンプルファイル”をカスタマイズします。 監査ログ分析のための設定は、以下の順で行います。 1. Systemwalker Operation Manager運用の定義情報変更・操作分析問い合わせサンプルファイルを編集する 2. スケジューラに集計を実行するコマンドを登録する Systemwalker Operation Manager運用の定義情報変更・操作分析問い合わせサンプルファイルを編集する 問い合わせサンプルファイルは、監査ログ分析機能をインストールしたときに、運用管理クライアントに格納されます。この問い合わせ サンプルファイルをコピーしてカスタマイズします。 1. 問い合わせサンプルファイルを、任意のディレクトリにコピーします。 問い合わせサンプルファイルのインストール先は“Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\sample\total” です。“Systemwalker Operation Manager運用の定義情報変更・操作分析問い合わせサンプルファイル”のファイル名は “OMGR_DefinitionChange.rne”です。 コピー先がc:\tempの場合の例を以下に示します。 copy c:\Systemwalker\MPWALKER.DM\mpata\sample\total \OMGR_DefinitionChange.rne c:\temp - 303 - 2. [スタート]メニューから[プログラム]-[Interstage Navigator Client]-[Navigator クライアント]を選択します。 →[Navigator クライアント]が起動されます。 3. [Navigator クライアント]から[ファイル]メニューの[開く]を選択します。 →[開く]ダイアログボックスが表示されます。 [開く]ダイアログボックスで、手順1.で任意のディレクトリにコピーしたカスタマイズ用“Systemwalker Operation Manager運用の定 義情報変更・操作分析問い合わせファイル”を選択します。 →[サーバに接続]画面が表示されます。 - 304 - 4. [サーバに接続]画面において、Interstage Navigator Serverに接続するためのユーザ名とパスワード、Interstage Navigator Server がインストールされた運用管理サーバのサーバ名を入力し、[OK]ボタンをクリックします。 →確認メッセージが表示されます。 5. 問い合わせファイルをカスタマイズするので、[いいえ]ボタンをクリックします。 注意 ボタンの選択についての注意事項 [はい]ボタンをクリックすると、問い合わせファイルをカスタマイズできずに集計処理が実行されてしまいます。 - 305 - →[レイアウトの指定]画面が表示されます。 6. [条件]欄に、問い合わせファイルの条件となる、固有情報を設定します。 “Systemwalker Operation Manager運用の定義情報変更・操作分析問い合わせサンプルファイル”には、初期値として以下の条 件が登録されています。 - 期間対象が開始日から終了日までである。かつ、 - ログ種別が、Systemwalker Operation Managerの監査ログ である。かつ、 - 拡張値11が以下のどれかである。 - ログイン成功 - ログイン失敗 - 変更・操作 これらの条件のうち、「期間対象」は必要に応じて設定値を変更してください。 固有情報の詳細は、“Systemwalker Centric Managerリファレンスマニュアル”で“Systemwalker Operation Manager運用の定義 情報変更・操作分析問い合わせサンプルファイル”を参照してください。 - 306 - 固有情報を編集するときは、[条件]欄の該当項目を選択し、編集画面で内容を書き換えます。 固有情報を複数設定する場合は、[データ項目]から該当項目を追加します。 a. 項目の追加を行った場合、[条件のAND/OR編集]画面の起動ボタンをクリックします。 →[条件のAND/OR編集]画面が表示されます。 b. 追加した固有情報を、既存の固有情報と同様の条件構造に設定します。 - 307 - 7. 設定した条件内容を一覧表示で確認します。 →[条件]画面が表示されます。 8. 設定した情報に問題がない場合は、[閉じる]ボタンをクリックし、[レイアウトの指定]画面で[OK]ボタンをクリックします。 →[Navigator クライアント]画面が表示されます。 9. ここでは集計処理を実施しないので、[いいえ]ボタンをクリックします。 注意 ボタンの選択についての注意事項 [はい]ボタンをクリックすると、問い合わせファイルをカスタマイズできずに集計処理が実行されてしまいます。 - 308 - →[Navigator クライアント]画面が表示されます。 10. [ファイル]メニューから[名前を付けて保存]を選択し、ファイルを保存します。 →“Systemwalker Operation Manager運用の定義情報変更・操作分析問い合わせファイル”が、運用管理クライアント上のファイ ルとして作成されます。 例として、以下の場所に保存します。 - フォルダ名: C:\temp - ファイル名: OpeLogCheck.rne 注意 問い合わせファイル名についての注意事項 問い合わせファイル名は集計レポート出力コマンドで使用するため、ASCII文字210文字以内またはシフトJIS文字105文字 以内で指定してください。 11. [ファイル]メニューから[終了]を選択します。 ポイント 「期間対象」以外を変更していない場合は、問い合わせサンプルファイルの動作確認をする必要はありません。 11.3.4 スケジューラに集計を実行するコマンドを登録する システムに対する不当な操作は、できるだけ早く発見しなければなりません。そのためには、監査ログの集計を毎日実施し、分析する 必要があります。また、監査ログの収集・集計・分析作業によるサーバへの負荷を減らし、通常業務に支障をきたさないように、作業は 夜間に行うことが必要です。 そのためには、運用管理サーバにおいて、OSに標準で提供されている「タスク」などのスケジューラ機能に、集計を実行するスケジュー ルを登録し、自動で作業できるようにする必要があります。 以下に、集計実行コマンドをスケジューラに登録する手順を示します。 1. 運用管理クライアント上に保存した問い合わせファイルを運用管理サーバ上の下記ディレクトリへコピーします。 Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\data\total 2. 運用管理サーバ上の任意のスケジューラ機能にmpatareportput(集計レポート出力コマンド)を、以下のように登録します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportput OpeLogCheck.rne OpeLogCheck - 309 - →“Systemwalker Operation Manager運用の定義情報変更・操作分析問い合わせサンプルファイル”による集計が、毎日実行さ れるようにスケジュールされます。 mpatareportput( 集 計 レ ポ ー ト 出 力 コ マ ン ド ) は オ プ シ ョ ン 指 定 に よ り 出 力 形 式 や 出 力 フ ァ イ ル 名 を 変 更 す る こ と が で き ま す。 mpatareportput(集計レポート出力コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してくだ さい。 運用 夜間のうちに集計されCSV形式に出力された結果をもとに、前日のシステム運用の様子を分析します。分析の結果、システム運用に 問題があると判断された場合は、追跡調査を実施したり、管理者や責任者に報告するなどして、少しでも早く運用ルールに沿ったシス テム運用に戻します。また、結果は点検資料としてレポートに出力し、保管しておきます。 分析するときの集計方法や、検索方法の詳細は、“監査ログを集計する”および“監査ログを検索する”を参照してください。 以下の3種類の運用例を説明します。 ・ 不正ユーザのログインを分析する ・ 業務時間外での不正な定義変更・操作を分析する ・ ユーザの役割の範囲外となる操作を分析する 11.3.5 監査ログを分析する手順 Systemwalker Operation Managerに対する操作状況を、出力ファイルの内容から判断します。 認証失敗ログ件数の集中しているセルを確認します。 例は、11/1 の夜間(運用が行われていない時間帯)にUser2によりSystemwalker Operation Managerサーバへのログイン、および運用の 定義情報の変更・操作が行われていることを想定した出力例です。 集計結果の数字に着目し、0以外のセルを以下の観点で確認します。 不正ユーザのログインを分析する 1. 登録していないユーザ、または登録を削除したユーザがログインしていないか確認します。 2. 分析結果を評価します。 業務時間外での不正な定義変更・操作を分析する 1. 運用が行われていない時間帯(0:00-05:59)にログインの成功や失敗がないか確認します。 2. 分析結果を評価します。 夜間(0:00-05:59)に監査ログが書き込まれている場合は、不正なアクセスや、変更・操作が行われた可能性があるため、詳細な 調査を行います。 ユーザの役割の範囲外となる操作を分析する 1. 許可されていない変更・操作が行われていないか確認します。 - 310 - 2. 分析結果を評価します。 ユーザごとに、変更・操作の内容(ジョブの停止回数、再起動回数、強制終了回数など)を具体的に確認します。 11.3.6 追跡調査を行う 許可されていない操作が行われた可能性がある場合は、監査ログ分析の検索機能を使用して追跡調査を行います。 以下に手順を説明します。 1. [スタート]メニューから[プログラム]-[Systemwalker Centric Manager]-[Systemwalkerコンソール]を選択します。 →[Systemwalkerコンソール]が起動されます。 2. [Systemwalkerコンソール]の[操作]メニューから[監査ログ分析]を選択します。 →[監査ログ分析]画面の[監査ログ分析-検索]画面が表示されます。 3. [検索範囲の設定]を設定します。 4. [検索条件の設定]で、[実行ホスト]、[実行ユーザ]を選択します。 5. [検索開始]ボタンをクリックします。 6. 検索結果から、問題箇所を特定します。 7. [検索条件の保存・管理]ボタンをクリックし、検索条件を保存します。 8. 該当ログをもとに、部門責任者へ確認を行います。 11.3.7 レポートを作成する 詳細調査の結果を部門責任者へ通知します。部門責任者は、問題の有無を確認し対処します。また、点検結果はレポートの形式に 出力します。 レポートを作成する mpatareportput(集計レポート出力コマンド)で、出力形式をHTML形式(-O HTMLオプション指定)にした場合、以下の一般的なレポー ト形式で集計結果を出力することができます。mpatareportput(集計レポート出力コマンド)の詳細は、“Systemwalker Centric Managerリ ファレンスマニュアル”を参照してください。 - 311 - mpatareportput(集計レポート出力コマンド)で出力したレポートには、分析結果を点検した担当者名や点検コメントは出力されません。 集計レポートに、点検した担当者名や点検コメントを追加する場合は、以下の手順が必要です。 - 312 - 1. 監査ログをmpatareportput(集計レポート出力コマンド)を利用して集計し、結果を出力します。 運用管理サーバで、mpatareportput(集計レポート出力コマンド)に問い合わせファイルを指定して実行します。集計は、OSに標 準で提供されている「タスク」などのスケジューラに登録して実行します。mpatareportput(集計レポート出力コマンド)の詳細につ いては、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 以下に、問い合わせファイル“OMGR_DefinitionChange.rne”を使用して、Systemwalker Operation Manager運用の定義情報変 更 の 集 計 レ ポ ー ト “ OMGR_DefinitionChange ” を デ フ ォ ル ト の 出 力 デ ィ レ ク ト リ “ Systemwalker イ ン ス ト ー ル デ ィ レ ク ト リ \MPWALKER.DM\mpata\var\user\report”配下に出力するバッチファイルの例を示します。 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportput -O HTML OMGR_DefinitionChange.rne OMGR_DefinitionChange 2. 集計レポートの結果が出力されたファイルをコピーします。 FTPコマンドなどを使用して、運用管理サーバに出力された集計レポート結果ファイル(上記の例の場合、Systemwalkerインス トールディレクトリ\MPWALKER.DM\mpata\var\user\report\OMGR_DefinitionChange_YYYYMMDD.html)を、運用管理クラ イアント上の任意のディレクトリにコピーします。本手順は必要に応じてスケジューラに登録してください。 3. 点検担当者が集計レポートの結果出力ファイルを確認します。 レポートの点検担当者は、運用管理クライアント上にコピーされた集計レポートの結果出力ファイルをWebブラウザなどで開き、 その内容を確認します。 4. 集計レポートの結果出力ファイルへ点検コメントを追加します。 運用管理クライアントで、mpatareportcomment(集計レポートコメント追加コマンド)を実行します。mpatareportcomment(集計レポー トコメント追加コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。 以下に、コマンドの実行例と、コメントを追加した集計レポートの出力例を示します。 【正常の場合】 Systemwalkerインストールディレクトリ\MPWALKER.DM\bin\mpatareportcomment -U 佐藤 -C "夜間の不正なアクセスはありません。" C:\temp\OMGR_DefinitionChange_20061102.html C:\temp\OMGR_DefinitionChange_20061102_CHECK.html - 313 - 11.4 カスタム イベントログを分析する Systemwalker Centric Managerの監査ログ分析機能でカスタムイベントログを分析する手順を説明します。 なお、“カスタムイベントログを収集するための設定”で収集したカスタム イベントログを分析します。 監査ログの分析を設定する 分析したいカスタム イベントログのログ分析を設定します。 監査ログを分析する - 314 - カスタム イベントログを分析します。 Systemwalker Centric Managerの監査ログ分析機能でカスタム イベントログを分析する設定方法を説明します。 監査ログの分析を設定する カスタム イベントログをログ分析するための設定を行います。ログ分析の設定は、運用管理サーバ、および運用管理クライアントで行 います。 1. 運用管理サーバ上で、正規化ルール定義ファイルをコピーし、mpatarulectl(正規化ルール管理コマンド)を利用して登録します。 mpatarulectl(正規化ルール管理コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照し てください。 例) “Microsoft-Windows-Application-Experience/Program-Inventory”のカスタム イベントログを分析する場合 【Windows】 cd Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\etc\rule copy mpatarule_EventLogApplication.ini mpatarule_EventLogMWAEPI.ini mpatarulectl -A mpatarule_EventLogMWAEPI.ini 【Solaris/Linux】 cd /etc/opt/FJSVmpata/etc/rule cp mpatarule_EventLogApplication.ini mpatarule_EventLogMWAEPI.ini /opt/systemwalker/bin/mpatarulectl -A mpatarule_EventLogMWAEPI.ini ログ識別名は、“監査ログの収集を設定する”の手順2で追加した文字列を指定してください。 2. 運用管理サーバ上の以下の問い合わせサンプルファイルを、運用管理クライアント上の任意のディレクトリにバイナリファイルと してコピーします。 【Windows】 運用管理サーバ上のファイル格納ディレクトリ サンプルファイル名 Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata \sample\total DayOfWeek.RNE EachTimeSlot.RNE ExecutionHost.RNE LogType.RNE severity.RNE 【Solaris/Linux】 運用管理サーバ上のファイル格納ディレクトリ サンプルファイル名 /etc/opt/FJSVmpata/sample/total DayOfWeek.RNE EachTimeSlot.RNE ExecutionHost.RNE LogType.RNE severity.RNE 3. 運用管理クライアント上で、コピーした各問い合わせサンプルファイルをInterstage Navigatorクライアントで開き、条件の[ログ種 別]にログ識別名を追加し、保存します。 条件の追加方法の詳細については、“問い合わせサンプルファイルを作成する”を参照してください。 - 315 - 4. 運用管理クライアント上で保存した各問い合わせサンプルファイルを、運用管理サーバの以下のディレクトリにコピーします。 【Windows】 Systemwalkerインストールディレクトリ\MPWALKER.DM\mpata\data\total 【Solaris/Linux】 /etc/opt/FJSVmpata/data/total 監査ログを分析する 監査ログを運用管理サーバで分析します。 なお、[監査ログ分析-検索]画面で追加したカスタム イベントログの監査ログを検索する場合、[検索条件の設定]の[ログ種別]の[候 補一覧]に、ログ識別名がすべて小文字で表示されます。 例) ログ識別名が“EventLogMWAEPI”の場合、[検索条件の設定]の[ログ種別]の[候補一覧]に“eventlogmwaepi”と表示されます。 11.5 [監査ログ分析]画面のメニュー項目 [ファイル]メニュー メニュー項目名 [機能を実行する] 備考 [ランチャー]において、実行できる機能のフォ ルダが選択されている場合のみ有効 [終了] [表示]メニュー メニュー項目名 備考 [監査ログ分析-検索] [ランチャーの表示] [機能情報の表示] [通知履歴の表示] [ウィンドウ]メニュー - 316 - メニュー項目名 備考 複数のプラグインが表示されている場合のみ 有効 このメニューを選択すると、[機能の一覧]画面 が表示されます。 [切り替え] [全て閉じる] [設定] [ヘルプ]メニュー メニュー項目名 備考 [ヘルプ目次] [バージョン情報] [ランチャー] 項目名 権限 備考 [構成管理] - ノード単一選択時に操作可能 [ping] - ノード単一選択時に操作可能 [arp] - ノード単一選択時に操作可能 [telnet] - ノード単一選択時に操作可能 [ftp] - ノード単一選択時に操作可能 [traceroute(サブネット)] - サブネットフォルダ選択時およびノード単一選 択時に操作可能 [traceroute(ノード)] - ノード単一選択時に操作可能 [リモート操作] - ノード単一選択時に操作可能 リモート操作がインストールされている場合の み [ソフトウェア修正管理] - 資源配付がインストールされている場合のみ [インベントリ情報の表示] - 資源配付がインストールされている場合のみ [性能情報の出力] 更新 操作 [資源配付の操作] - 資源配付がインストールされている場合のみ [ランチャー]から運用管理サーバ二重化システムを構成している主系サーバ/従系サーバで使用できる機能 名称 権限 主系 従系 その他 構成管理 - ○ ○ ping - ○ ○ ノード単一選択時に操作可能 arp - ○ ○ ノード単一選択時に操作可能 telnet - ○ ○ ノード単一選択時に操作可能 ftp - ○ ○ ノード単一選択時に操作可能 traceroute(サブネット) - ○ ○ サブネットフォルダ・ノード単一選択時に操 作可能 traceroute(ノード) - ○ ○ ノード単一選択時に操作可能 telnet(管理サーバ) - ○ ○ - 317 - 名称 権限 主系 従系 その他 リモートデスクトップ - ○ ○ リモートデスクトップ(管理サーバ) - ○ ○ リモート操作(管理サーバ) - ○ ○ リモート操作 - ○ ○ ノード単一選択時に操作可能 ソフトウェア修正管理 - ○ × 資源配付インストール時 インベントリ情報の表示 - ○ × 資源配付をインストールしている環境で、 ノードを単一選択した場合に操作できます。 性能情報の出力 更新 ○ ○ ○ × 操作 資源配付の操作 - 資源配付インストール時 上記の機能に加え、以下の機能をランチャーに追加し、実行することができます。 ・ 富士通の各ミドルウェアから随時提供されるプラグイン プラグインはSystemwalker技術情報ホームページから入手することができます。 ・ Systemwalkerコンソールの[操作]メニューに追加した機能 操作メニューに登録する手順については、“Systemwalker Centric Manager使用手引書 監視機能編”を参照してください。 ・ Systemwalkerコンソールのクラスタプロパティ画面で登録したクラスタコンソール [ランチャー]から全体監視環境の各運用形態で使用できる機能 名称 権限 シングル サイト型 マルチサイト型 その他 System Syste インター walker mwalk ネット標 プロトコ erプロト 準プロト コル ル コル 構成管理 ○ ○ ○ ping - ○ ○ × ノード単一選択時に操作可能 arp - ○ ○ × ノード単一選択時に操作可能 telnet - ○ ○ × ノード単一選択時に操作可能 ftp - ○ ○ × ノード単一選択時に操作可能 traceroute(サブネット) - ○ ○ × サブネットフォルダ・ノード単 一選択時に操作可能 traceroute(ノード) - ○ ○ × ノード単一選択時に操作可能 telnet(管理サーバ) - × × ○ リモートデスクトップ - ○ ○ × リモートデスクトップ(管理 サーバ) - × × ○ リモート操作(管理サー バ) - ○ ○ × リモート操作 - ○ ○ × ノード単一選択時に操作可能 ソフトウェア修正管理 - ○ ○ ○ 資源配付インストール時 インベントリ情報の表示 - ○ ○ ○ 資源配付インストール時 性能情報の出力 更新 × × × - 318 - 名称 権限 シングル サイト型 マルチサイト型 その他 System Syste インター walker mwalk ネット標 プロトコ erプロト 準プロト コル ル コル 操作 資源配付の操作 - × × × 資源配付インストール時 上記の機能に加え、以下の機能を[ランチャー]に追加し、実行することができます。 ・ 富士通の各ミドルウェアから随時提供されるプラグイン プラグインはSystemwalker技術情報ホームページから入手することができます。 ・ [Systemwalkerコンソール]の[操作]メニューに追加した機能 [操作]メニューに登録する手順については、“Systemwalker Centric Manager使用手引書 監視機能編”を参照してください。 ・ [Systemwalkerコンソール]の[クラスタプロパティ]画面で登録した[クラスタコンソール] 注意 VM運用について 管理OSに異常が発生した場合、同一物理サーバ内のゲストOSにも影響があるため、高信頼な環境を実現することができません。この ため、同一物理サーバ内の2台の運用管理サーバで全体監視環境(全体監視サーバ-被監視運用管理サーバ)を作成しないでください。 VM運用で使用できる機能の詳細については、“Systemwalker Centric Manager PRIMERGY/PRIMEQUEST運用管理ガイド”の、“機 能概要”を参照してください。 11.6 [監査ログ分析]画面をカスタマイズする [監査ログ分析]画面のカスタマイズについて説明します。 [監査ログ分析]画面の設定を変更する [監査ログ分析]画面でカスタマイズ可能な項目があるプラグインの機能名が表示されます。ツリーに表示しているフォルダ(各プラグイ ンの機能名)を選択すると、右側の領域に各プラグインのカスタマイズ可能な項目が表示され、設定することができます。 [監査ログ分析]画面の[基本設定]では以下の設定をカスタマイズできます。 フォルダ名 [基本設定] カスタマイズできる項目 初期値 [画面の終了状態を保存す る] ON [終了時に確認メッセージを 表示する] ON [ランチャーカスタマイズ設 定] 表示項目の順序 現在の[ランチャー]に表示されている 順番で表示されます。 [通知履歴] [一覧の最大表示メッセージ 数] 100 備考)1~1000の間で設定できます。 - 319 - 1. [監査ログ分析]画面の[ウィンドウ]-[設定]メニューを選択します。 →[基本設定]画面が表示されます。 2. ツリーでカスタマイズする機能名を選択し、設定を変更します。 - 320 - 第12章 サーバへのアクセスを制御する 12.1 サーバアクセス制御機能を設定する作業の流れ サーバアクセス制御機能を設定する作業の流れを説明します。 サーバ資産に対する操作を制御する作業の流れを説明します。 1.セキュリティ管理者/監査者を設定する セキュリティ管理者/監査者については、“セキュリティ管理者/監査者”を参照してください。 2.監査ログ、録画記録の出力先/保存日数を設定する 監査ログの出力設定については、“監査ログの出力設定”を参照してください。 3.スタンダードモードでポリシーを作成する スタンダードモードについては、“アクセス制御”を参照してください。 4.ポリシーを配付する 5.監査ログを収集する 事前に、“監査ログ管理の設定例”の“運用管理サーバ側の設定”を参照し、格納ディレクト リの設定を行ってください。また、必要に応じて“収集対象のサーバを限定する”に記述され ている設定を実施してください。 6.監査ログの正規化/集計を自動化する “Systemwalker Centric Managerの監査ログを分析する”を参照してください。 7.ログ集計表を適用・カスタマイズする 作業手順については、“問い合わせファイルを作成する”および“問い合わせサンプルファ イルを編集する”を参照してください。 8.カスタムモードでポリシーを作成する カスタムモードについては、“アクセス制御”を参照してください。 セキュリティ管理者/監査者 各管理者/監査者の設定については、“セキュリティ管理者/監査者を設定する”を参照してください。 - 321 - 運用管理サーバのセキュリティ管理者の設定 Systemwalker Centric Managerをインストールした直後には、運用管理サーバのセキュリティ管理者は設定されていません。セキュリティ ポリシーを作成する場合、セキュリティ管理者の設定が必要です。 設定は、運用管理クライアントの[Systemwalkerコンソール]を使用し、サーバアクセス制御のポリシーを作成する前に行ってください。 登録されたセキュリティ管理者は、以下の設定を行うことができます。 ・ 運用管理サーバのセキュリティ監査者の設定 ・ 管理対象サーバのセキュリティ管理者/セキュリティ監査者の設定 ・ アクセス監査ログ出力およびアクセス制御の設定 ・ セキュリティポリシーの作成/編集/削除 ・ 監査ログ管理の設定 ・ 監査ログ出力の設定 ・ セキュリティを維持したままシステム保守を行う場合の承認 運用管理サーバのセキュリティ監査者の設定 Systemwalker Centric Managerをインストールした直後には、運用管理サーバのセキュリティ監査者は設定されていません。 設定は、運用管理サーバのセキュリティ管理者が、運用管理クライアントで[Systemwalkerコンソール]からセキュリティ監査者を設定し ます。 登録されたセキュリティ監査者は、運用管理サーバでセキュリティポリシー設定内容の参照ができます。また、アクセス監査ログの監査 を行うことができます。 管理対象サーバのセキュリティ管理者の設定 運用管理サーバのセキュリティ管理者が、運用管理クライアントで[Systemwalkerコンソール]から管理対象サーバのセキュリティ管理者 を設定します。設定は、システム管理者が当該設定をポリシーとして配付/適用することで有効になります。 登録されたセキュリティ管理者は、当該の管理対象サーバで以下のシステム保守コマンドを実行できます。 ・ システム保守承認コマンド ・ システム保守終了コマンド ・ システム保守承認状況表示コマンド 管理対象サーバのセキュリティ監査者の設定 運用管理サーバのセキュリティ管理者が、運用管理クライアントで[Systemwalkerコンソール]から管理対象サーバのセキュリティ監査者 を設定します。設定は、システム管理者が当該設定をポリシーとして配付/適用することで有効になります。 登録されたセキュリティ監査者は、当該の管理対象サーバで、録画した操作の再生コマンドを実行できます。 監査ログの出力設定 アクセス監査ログ ・ 監査ログの出力先 ・ 監査ログの保存日数 操作の録画データ ・ サーバアクセス制御機能の[録画設定]画面の設定【Linux版】 Systemwalkerコンソール監査ログ ・ 監査ログの出力先 ・ 監査ログの保存日数 - 322 - アクセス制御 スタンダードモード・カスタムモード サーバアクセス制御では、以下の2種類の設定方法があります。スタンダードモードは配付先のサーバ(ノード)を設定するだけで運 用できるモードです。 - スタンダードモード - ファイル - suコマンドの実行【Linux版】 - レジストリ【Windows版】 - ネットワーク接続【Linux版】 - コンソールログイン - ネットワークログイン - カスタムモード - ファイル - プロセス - レジストリ【Windows版】 - ネットワーク接続【Linux版】 - コンソールログイン - ネットワークログイン カスタムモードは、監査の対象やアクセス制御の対象がプロセスや、ポートなどの単位で詳細に把握できている場合に使用します。 一般ルール・優先ルール サーバアクセス制御では、以下の2種類のルールがあります。 ・ 一般ルール アクセスの許可/拒否を設定する場合、以下を検討し決定したことを一般ルールと呼びます。 - アクセスの許可を基本とする - アクセスの拒否を基本とする ・ 優先ルール 一般ルールに対して、例外の制御(許可/拒否)の設定を行います。これを優先ルールと呼びます。 なお、優先ルールは、一般ルールで制御対象とした動作のみ設定できます。 ・ 一般ルール・優先ルールの設定 1 一般ルール 優先ルール アクセスを許 可することを 基本とした場 合 アクセスを拒 否するユー ザ/グループ/ 端末を設定 説明 業務処理への影響を軽減できますが、セキュリティ強度は、 「アクセスを拒否することを基本とした場合」よりも低くなりま す。 社外からのアクセスのみを拒否したり、特定の利用者のみ アクセスを拒否するといった、一部のユーザ/グループ/端 末に対して、利用を限定する場合などに使用します。 [試行モード]を利用して業務への影響がないことを確認し た後にアクセス制御を行ってください。 2 アクセスを拒 否することを アクセスを許 可するユー セキュリティ強度を高くできますが、業務処理への悪影響 が考えられます。 - 323 - 一般ルール 優先ルール 説明 基本とした場 合 ザ/グループ/ 端末を設定 [試行モード]を利用して業務への影響がないことを確認し た後にアクセス制御を行ってください。 スタンダードモード・カスタムモード、優先ルール・一般ルールの関係 以下にアクセス制御の設定について、スタンダードモード・カスタムモードのポリシーと、優先ルール・一般ルールの関係を示します。 - 324 - アクセス制御の設定 - 325 - ・ スタンダードモード 保護対象 ファイル ルール 一般ルール、優先ルールの順に設定します。 レジストリ【Windows版】 コンソールログイン ネットワーク接続【Linux 版】 優先ルールのみ設定します。 優先ルールの設定のみを行えば、自動的に一般ルールの設定が行 われます。(注) suコマンドの実行【Linux 版】 ネットワークログイン 注)例:ユーザAにコンソールログインの「許可」設定(優先ルール)を設定した場合、ユーザA以外にはコンソールログインの「拒否」 設定(一般ルール)が自動的に適用されます。 ・ カスタムモード 保護対象 ファイル ルール 一般ルール、優先ルールの順に設定します。 プロセス レジストリ【Windows版】 ネットワーク接続【Linux 版】 コンソールログイン ネットワークログイン アクセス制御の対象となる操作の一覧は以下のとおりです。 モード 保護対象種別 OS Linuxの場合 スタン ダード モード コンソールログイ ン/ログオン Windowsの場合 ・コンソールからのログイン ・ログオン画面からのログオン ・ログアウト ・ユーザ切替からのログオン認証 (Windows2008のみ) ・ログアウト カスタム モード suコマンドの実行 suコマンドの実行 - ネットワーク接続 telnet、ssh、ftp接続 × ネットワークログイ ン telnet、ssh、ftpによるログイン(注1) リモートデスクトップ接続によるログ オン プロセス起動 コマンド、スクリプトの実行 exeファイルの実行 プロセス終了 kill(コマンド/API)によるプロセスの 強制停止(SIGKILL送信) タスクマネージャ等によるプロセス の強制停止 コンソールログイ ン/ログオン ・コンソールからのログイン ・ログオン画面からのログオン ・ログアウト ・ユーザ切替からのログオン認証 (Windows2008のみ) ・ログアウト ネットワークログイ ン telnet、ssh、ftpによるログイン(注1) - 326 - リモートデスクトップ接続によるログ オン モード 保護対象種別 OS Linuxの場合 ファイル読み込み Windowsの場合 ファイルの場合: 読み込み操作 ディレクトリ場合: ファイル一覧取得操作 ファイル書き込み ファイルの場合: 書き込み操作 ディレクトリの場合: 配下のファイル作成操作 ファイル作成 ファイル/ディレクトリの作成処理 ファイル削除 ファイル/ディレクトリの削除処理 ファイル変名 ファイル/ディレクトリの変名処理。 ただし、別のディスク(ドライブ)への変名処理の場合、変名元の「ファイル 削除」と変名先の「ファイル作成」処理として扱う。 ファイル属性変更 ファイル/ディレクトリの属性変更(所 有権、パーミッション) ファイル/ディレクトリの属性変更(ア クセス許可(ACL)、読み取り専用、 隠しファイル、アーカイブ属性、イン デックス属性、圧縮属性、暗号化属 性) ネットワーク IPアドレス、ポート指定のTCP/UDP 接続 × レジストリ読み込み - ・レジストリキーのサブキー一覧、値 一覧取得処理。 ・レジストリ値の参照処理。 レジストリ書き込み - ・レジストリ値の設定、作成、削除、 変名。 ・サブキーの作成・削除・変名 レジストリ作成 - ・レジストリキーの作成。 ・レジストリキーの変名(変名先が制 御対象の場合) レジストリ削除 - ・レジストリキーの削除。 ・レジストリキーの変名(変名元が制 御対象の場合) 注1) ネットワークログインでサポートするサービスは以下です。 ・ telnetによるログインの場合、intelnet.dサービス ・ sshによるログインの場合、sshdサービス ・ ftpによるログインの場合、vsftpdサービス 試行モード [試行モード]は、アクセス制御の設定に基づき、サーバへのアクセスの許可・拒否の判定を実施して判定結果をアクセス監査ログに出 力するモードです。実際にアクセスが拒否されることはありません。 このため、アクセス制御を[試行モード]で実行することで、アクセス制御の設定を変更したときの業務への影響を確認できます。 監視画面通知 [監視画面通知]は、アクセス制御設定のルールに該当する操作が行われたときに[Systemwalkerコンソール]にメッセージを通知します。 監視機能と連動することで、即座に不正なアクセスを確認できます。 [Systemwalkerコンソール]に通知されるメッセージを以下に示します。 ・ アクセスを許可していない制御対象にアクセスした場合 - 327 - FJSVsvac: WARNING: 00001 : A control target that is not allowed to be accessed has been accessed. ・ アクセスを許可している制御対象にアクセスした場合 FJSVsvac: WARNING: 00002 : A control target has been accessed. コマンドのエラーメッセージ サーバアクセス制御により、強制アクセス制御を行った結果、通常正常に終了するはずのコマンドがアクセス制御機能により必要な権 限を得ることができずに異常終了することがあります。このような場合は、実行したコマンドにより以下のようなエラーメッセージが表示さ れる場合があります。 例:ls(1)コマンドによりアクセス拒否されたディレクトリを参照した場合 ls: <アクセス先ディレクトリ>: 許可がありません 例:コンソールログインが拒否されている場合にX Window Systemの画面からログインを行った場合 あなたのセッションは 10秒以上続きませんでした。 もしあなた自身がログアウトしていない場合、イ ンストールに問題があるか、ディスクの空き容量が足りないかもしれません。フェイルセーフなセッ ションからログインし、この問題を解決できるかどうか確認してください。 12.2 ポリシーを作成・配付する 12.2.1 監査ログ、録画記録の出力先/保存日数を設定する 監査ログおよび録画記録を出力するために、以下の設定を行います。 ・ 監査ログを出力する ・ 録画記録を収集する【Linux版】 ・ 設定した定義を反映する(ポリシー配付) 監査ログを出力する 各種監査ログを出力するために、監査ログの出力先および保存期間を設定します。 1. [Systemwalkerコンソール]を起動します。 システム管理者、セキュリティ管理者が同一の場合は、[機能選択]で[編集]を選択します。システム管理者、セキュリティ管理者 が異なる場合は、[機能選択]で[監視]を選択します。 - 328 - 2. [ポリシー]メニューの[セキュリティ]-[セキュリティポリシー]を選択します。 →[セキュリティポリシー[管理]]画面が表示されます。 3. [セキュリティポリシー[管理]]画面のツリーで[監査ログ出力]-[出力定義]を選択します。 4. [操作]メニューの[新規作成]を選択します。または、[出力定義]配下にある[初期設定]の中から該当するプラットフォームのポリ シーを選択し、[操作]メニューの[複写]を選択します。 →[セキュリティポリシー[ポリシーの作成]]画面が表示されます。 5. [ポリシー名]の入力域に任意のポリシー名を入力します。 - 329 - 6. [OK]ボタンをクリックします。 →[監査ログ出力[出力定義]]画面が表示されます。 7. 出力定義の内容を各入力域に記述します。 [ログ出力先] - 監査ログの出力先を、ドライブ名("C:"など)、またはルートディレクトリ("/")からのフルパスで入力します。 - または、[参照]ボタンをクリックすると、[ファイル一覧]画面が表示されます。 [ファイル一覧]画面の[接続先ホスト名]コンボボックス、または、直接入力でサーバを指定し、ディレクトリを選択して[OK] ボタンをクリックします。 - 330 - 注意 [ファイル一覧]画面で[接続先ホスト名]を直接入力する場合は、[セキュリティポリシー[ポリシーの作成]]画面で指定したプラッ トフォームと同じプラットフォームのサーバを指定してください。 [ログ保存期間] 監査ログを保存する日数を入力します。 8. [OK]ボタンをクリックします。 →[セキュリティポリシー[管理]]画面のツリーの[監査ログ出力]-[出力定義]のノードの配下に作成したポリシーのノードが追加さ れます。 録画記録を収集する【Linux版】 システム保守支援機能を使用して実施した作業内容を録画し、管理対象サーバにおいて、監査を行うことができます。 運用管理サーバのセキュリティ管理者は、以下の手順で録画記録を出力するための設定をします。 1. [Systemwalkerコンソール]を起動します。 システム管理者、セキュリティ管理者が同一の場合は、[機能選択]で[編集]を選択します。システム管理者、セキュリティ管理者 が異なる場合は、[機能選択]で[監視]を選択します。 2. [Systemwalkerコンソール]画面の[ポリシー]メニューから[セキュリティ]を選択します。 →[セキュリティポリシー[管理]]画面が表示されます。 3. [セキュリティポリシー[管理]]画面の[設定対象]ツリーから、[セキュリティポリシー]-[ポリシー]-[サーバアクセス制御]-[録画設定] を選択し、[操作]メニューの[新規作成]を選択します。または、[録画設定]配下にある[初期設定]の中から該当するプラットフォー ムのポリシーを選択し、[操作]メニューの[複写]を選択します。 →[セキュリティポリシー[ポリシーの作成]]画面が表示されます。 4. [ポリシー名]、[コメント]を入力し、[OK]ボタンをクリックします。 →[録画設定]画面が表示されます。 録画記録の出力先を運用中(管理対象サーバへのポリシー配付/適用後)に変更した場合、すでに出力されている録画記録は、 運用管理サーバから収集されなくなると同時に、アクセス制御の保護対象からもはずれます。 録画記録の出力先を変更する場合は、ポリシー配付/適用を行う前に運用管理サーバから録画記録を収集し、その後にポリシー を適用してください。不要になった録画記録は速やかに削除してください。 - 331 - 5. [録画設定]画面で、以下の項目を設定します。 - [出力先] - [保存期間] - [ファイル容量] - [録画することができなくなった時点で処理を強制終了する]チェックボックス 6. [OK]ボタンをクリックします。 →管理対象サーバにポリシーを配付したときに、管理対象サーバの録画記録の設定が行われます。 設定した定義を反映する(ポリシーの配付) 作成したセキュリティポリシーを対象サーバに配付して、監査ログ収集の環境定義が各ノードに反映されます。 12.2.2 スタンダードモードでポリシーを作成する サーバアクセス制御のポリシーは、設定によってはOSやアプリケーションの動作を阻害することがあるため、実運用への適用時には影 響範囲を十分に考慮する必要があります。 このため最初は[試行モード]を使用してください。なお、ポリシーを設定する際、初期設定では[試行モード]になっています。 実際にサーバアクセス制御を行う際には、[試行モード]を解除してからポリシー設定を行ってください。 ポリシーを作成する 1. [Systemwalkerコンソール]を起動します。 システム管理者、セキュリティ管理者が同一の場合は、[機能選択]で[編集]を選択します。システム管理者、セキュリティ管理者 が異なる場合は、[機能選択]で[監視]を選択します。 - 332 - 2. [Systemwalkerコンソール]画面の[ポリシー]メニューから[セキュリティ]を選択します。 →[セキュリティポリシー[管理]]画面が表示されます。 3. [設定対象]ツリーから[セキュリティポリシー]-[ポリシー]-[サーバアクセス制御]-[アクセス制御]を選択し、[操作]メニューの[新規 作成]を選択します。または、[アクセス制御]配下にある[初期設定]の中から該当するプラットフォームのポリシーを選択し、[操 作]メニューの[複写]を選択します。 →[セキュリティポリシー[ポリシーの作成]]画面が表示されます。 4. [ポリシー名]、[コメント]を入力し、[OK]ボタンをクリックします。 →[サーバアクセス制御]画面が表示されます。 - 333 - 【Linux版】 - 334 - 【Windows版】 ※ 上記の画面例は、各設定を行った場合のものです。 一般ルールを追加する 1. [サーバアクセス制御]画面の[新規作成]ボタンをクリックします。 →[ルールの追加(スタンダードモード)]画面が表示されます。 2. 以下の保護対象の中から1つを選択し、[OK]ボタンをクリックします。 - [ファイル] - [レジストリ]【Windows版】 - 335 - - [コンソールログイン] - [ネットワークログイン] - [ネットワーク接続]【Linux版】 - [suコマンドの実行]【Linux版】 →選択した保護対象に応じた、[一般ルールの編集(スタンダードモード)]画面が表示されます。 [ファイル]を選択した場合 [一般ルールの編集]画面で、ファイルアクセスに関する一般ルールを設定します。 1. [保護対象]入力域にアクセス制御を行うファイル、またはディレクトリを設定します。 - ファイル、またはディレクトリをフルパスで入力します。 - 336 - - もしくは、[参照]ボタンをクリックすると、[ファイル一覧]画面が表示されます。 [ファイル一覧]画面の[接続先ホスト名]コンボボックス、または直接入力でサーバを指定し、ファイル/ディレクトリを選択して [OK]ボタンをクリックします。 ドライブまたはディレクトリを指定した場合、その配下のファイル/ディレクトリもアクセス制御の対象となります。 アスタリスク(“*”)を前方一致、または後方一致を表す記号として利用することが可能です。なお、アスタリスクを複数使用するこ とはできません。 注意 [ファイル一覧]画面で[接続先ホスト名]を直接入力する場合は、[セキュリティポリシー[ポリシーの作成]]画面で指定したプラット フォームと同じプラットフォームのサーバを指定してください。 2. [一般ルールの編集(スタンダードモード)]画面で、[ルール内容]を設定します。 a. [読み込み]、[書き込み]、[作成]、[削除]、[名前変更]、および[属性変更]チェックボックスからログを出力する操作を選択 します。 b. ログを出力する操作に対し、[ログ出力のみ]、[許可]、または[拒否]からアクセス制御の動作を選択します。 c. 設定したアクセス制御の動作を試行モードで使用する場合は、[試行モード]チェックボックスを有効にします。 d. アクセス制御設定のルールに該当する操作が行われたときに、[Systemwalkerコンソール]にメッセージを通知する場合は、 [監視画面通知]チェックボックスを有効にします。 3. 必要に応じて、[コメント]を入力し、[OK]ボタンをクリックします。 →ファイルアクセスに関する一般ルールの設定が完了しました。 [レジストリ]を選択した場合【Windows版】 [一般ルールの編集]画面で、レジストリに関する一般ルールを設定します。 - 337 - 1. [保護対象]入力域にアクセス制御を行うレジストリキーを設定します。 - レジストリキーをフルパスで入力します。 - もしくは、[参照]ボタンをクリックすると、[レジストリ一覧]画面が表示されます。 [レジストリ一覧]画面の[接続先ホスト名]コンボボックスでサーバを指定し、[OK]ボタンをクリックします。 指定したレジストリキーのサブキーもアクセス制御の対象となります。 - 338 - 注意 "HKEY_LOCAL_MACHINE\"、"HKEY_USERS\"などのルートキーに拒否のアクセス制御を行った場合、指定したルートキー 以下の情報が必要なOS、ミドルウェア、アプリケーションの機能が正常に動作しなくなる恐れがあります。 拒否のアクセス制御を行う対象を、システムが正常に動作する範囲に設定してください。 システムが正常に動作する範囲が不明な場合は、[試行モード]を使用して、システムが正常に動作する範囲を確認してください。 2. [一般ルールの編集(スタンダードモード)]画面で、[ルール内容]を設定します。 a. [読み込み]、[書き込み]、[作成]、および[削除]チェックボックスからログを出力する操作を選択します。 b. ログを出力する操作に対し、[ログ出力のみ]、[許可]、または[拒否]からアクセス制御の動作を選択します。 c. 設定したアクセス制御の動作を試行モードで使用する場合は、[試行モード]チェックボックスを有効にします。 d. アクセス制御設定のルールに該当する操作が行われたときに、[Systemwalkerコンソール]にメッセージを通知する場合は、 [監視画面通知]チェックボックスを有効にします。 3. 必要に応じて、[コメント]を入力し、[OK]ボタンをクリックします。 →レジストリに関する一般ルールの設定が完了しました。 [コンソールログイン]、[ネットワークログイン]、[suコマンドの実行]を選択した場合 [ルールの編集(スタンダードモード)]画面で、[コンソールログイン]、[ネットワークログイン]、または[suコマンドの実行]に関する一般ルー ルを設定します。 1. [コンソールログイン]、[ネットワークログイン]、または[suコマンドの実行]に対する保護対象の[操作内容]を選択します。 a. ログを出力する操作に対して、[ログ出力のみ]、[許可]、または[拒否]からアクセス制御の操作内容を選択します。 - 339 - b. 操作に対するアクセスを[許可]、または[拒否]するユーザを指定する場合、[ユーザ一覧からの追加]ボタンをクリックします。 →[ユーザ一覧]画面が表示されます [ユーザ一覧]画面の[ホスト名]コンボボックスには、ポリシーが適用されているサーバと適用されていないサーバが表示さ れます。[ユーザ]には、[ホスト名]で選択したサーバ上に存在するユーザの一覧が表示されます。 ユーザを選択し、[OK]ボタンをクリックします。 c. アクセスを[許可]、または[拒否]するグループを指定する場合、[グループ一覧からの追加]ボタンをクリックします。 →[グループ一覧]画面が表示されます。 - 340 - [グループ一覧]画面の[ホスト名]コンボボックスには、ポリシーが適用されているサーバと適用されていないサーバが表示 されます。[グループ]には、[ホスト名]で選択したサーバ上に存在するグループの一覧が表示されます。 グループを選択し、[OK]ボタンをクリックします。 d. 設定したアクセス制御の動作を試行モードで使用する場合は、[試行モード]チェックボックスを有効にします。 e. アクセス制御設定のルールに該当する操作が行われたときに[Systemwalkerコンソール]にメッセージを通知する場合は、 [監視画面通知]チェックボックスを有効にします。 2. 必要に応じて、[コメント]を入力し、[OK]ボタンをクリックします。 →[コンソールログイン]、[ネットワークログイン]、または[suコマンドの実行]に関する一般ルールの設定が完了しました。 [ネットワーク接続]を選択した場合 [一般ルールの編集]画面で、[ネットワーク接続]に関する一般ルールを設定します。 1. [ネットワーク接続]に対する[操作内容]を選択します。 a. ログを出力する操作に対して、[ログ出力のみ]、[許可]または[拒否]からアクセス制御の操作内容を選択します。 b. 操作に対するアクセスを[許可]、または[拒否]する場合、該当するサブネット情報もしくはIPアドレスを指定します。 c. 設定したアクセス制御の動作を試行モードで使用する場合は、[試行モード]チェックボックスを有効にします。 d. アクセス制御設定のルールに該当する操作が行われたときに[Systemwalkerコンソール]にメッセージを通知する場合は、 [監視画面通知]チェックボックスを有効にします。 - 341 - 2. [OK]ボタンをクリックします。 →[ネットワーク接続]に関する一般ルールの設定が完了しました。 優先ルール(ファイル)を追加する ファイルに対するアクセス制御において、一般ルールより優先するアクセス制御のルールを設定することができます。優先ルールで ユーザ名、またはグループ名を指定することで詳細なアクセス制御を行います。 1. [サーバアクセス制御]画面で優先ルールを追加する保護対象種別がファイルのルールを1つ選択します。 - 342 - 2. [サーバアクセス制御]画面の[優先ルールの追加]ボタンをクリックします。 →[優先ルールの編集]画面が表示されます。 3. [ユーザ]、[グループ]、および[操作内容]を設定します。 - [ユーザ一覧からの追加]ボタンをクリックし、ファイルへのアクセスを許可/拒否するユーザを追加します。 - [グループ一覧からの追加]ボタンをクリックし、ファイルへのアクセスを許可/拒否するグループを追加します。 - ログを出力する操作を、[読み込み]、[書き込み]、[作成]、[削除]、[名前変更]、および[属性変更]の[許可]、または[拒否]オ プションボタンから選択します。 4. [OK]ボタンをクリックします。 →ファイルに対する優先ルールが追加されます。 優先ルール(レジストリ)を追加する【Windows版】 レジストリに対するアクセス制御において、一般ルールより優先するアクセス制御のルールを設定することができます。 1. [サーバアクセス制御]画面で優先ルールを追加する保護対象種別がレジストリのルールを1つ選択します。 - 343 - 2. [サーバアクセス制御]画面の[優先ルールの追加]ボタンをクリックします。 →[優先ルールの編集]画面が表示されます。 3. [ユーザ/グループ]、および[操作内容]を設定します。 - [ユーザ一覧からの追加]ボタンをクリックし、レジストリへのアクセスを許可/拒否するユーザを追加します。 - [グループ一覧からの追加]ボタンをクリックし、レジストリへのアクセスを許可/拒否するグループを追加します。 - ログを出力する操作を、[読み込み]、[書き込み]、[作成]、[削除]、[名前変更]、および[属性変更]の[許可]、または[拒否]オ プションボタンから選択します。 4. [OK]ボタンをクリックします。 →レジストリに対する優先ルールが追加されます。 12.2.3 ポリシーを配付する サーバアクセス制御の設定を、セキュリティポリシーとして管理対象サーバへ配付することで、アクセス監査ログが自動的に保護(アク セス制御)されるようになります。 ポリシーが配付される前の状態では、アクセス監査ログは保護されません。 ポリシーを配付するには、管理対象サーバに対して以下の設定を行います。 1. セキュリティ管理者がポリシーグループを作成する。 2. システム管理者がポリシーを配付する。 それぞれの設定手順については、“ポリシーグループを作成する”、および“ポリシーを配付する”を参照してください。 - 344 - サーバアクセス制御の設定が管理対象サーバに配付された後は、以下のファイルが自動的に保護(強制アクセス制御)されます。 ・ アクセス監査ログ(初期設定では、Linux版は/var/opt/FJSVsvac/audit以下のファイル、Windows版はSystemwalkerインストールディ レクトリ\MPWALKER.DM\mpsvac\var\audit) ・ サーバアクセス制御定義ファイル(Linux版は/etc/opt/FJSVsvac以下のファイル/ディレクトリ、Windows版はSystemwalkerインストー ルディレクトリ\MPWALKER.DM\mpsvac\etc以下のファイル/ディレクトリ) これらのファイル、またはディレクトリへアクセスされた場合、アクセス監査ログにアクセス違反であることが出力されます。出力される監 査ログについては、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 ポイント ・ [監査ログ出力]の出力先を変更したポリシーグループを配付する場合、[セキュリティ管理者]、[セキュリティ監査者]、[アクセス制 御]、[録画設定]のポリシー更新のログ内容が、[監査ログ出力]の変更前の出力先、変更後の出力先に分散する場合があります。 ログ内容の分散を防ぐためには、[監査ログ出力]のみを変更したポリシーグループを配付した後、他のポリシーを変更したポリシー グループを配付してください。 また、ポリシーグループを一度も配付していない場合、[監査ログ出力]の出力先と保存日数は初期設定として動作します。 ・ ポリシーの配付対象のサーバがWindows Server 2003の場合、かつ、そのサーバがそれまでに一度もポリシーグループが配付さ れていない環境の場合、[コンソールログイン]のアクセス制御・監査ログ出力するためにはシステムの再起動が必要です。[コンソー ルログイン]を制御する場合は、システムの再起動をしてください。 ・ 部門管理サーバ、および業務サーバが、x64プラットフォームに32bit版をインストールした環境の場合、これらのサーバへのポリ シー配付はサポートしていません。配付を行った場合は、「適用エラー」となります。 12.2.4 スタンダードモードをカスタムモードに変更する スタンダードモードで作成したルールをカスタムモードに変更する手順を説明します。なお、カスタムモードに変更したスタンダードモー ドのルールを、スタンダードモードに戻すことはできません。 セキュリティ管理者が、スタンダードモードからカスタムモードへルールを変更できます。 - 345 - 1. [サーバアクセス制御]画面の保護対象種別から、カスタムモードに変更したいスタンダードモードのルールを選択します。 2. [カスタムモードへの展開]ボタンをクリックします。 →カスタムモードへ展開するかどうかを確認するメッセージが表示されます。 3. [はい]ボタンをクリックすると、スタンダードモードのルールがカスタムモードに変更されます。 スタンダードモードで作成したルールをカスタムモードへ変更した場合、カスタムモードでは[スタンダードモード(スタンダードモードで の制御対象名)]と表示され、背景がピンク色になります。 以下にスタンダードモードのルールをカスタムモードに変更した場合に、設定される内容を示します。 スタンダードモード カスタムモード 保護対象種別 保護対象種別 保護対象種別 コンソールログイ ン スタンダードモー ド(コンソールログ イン) コンソールログイ ン - 設定内容は一般ルールと 優先ルールに分割されま す。 ネットワークログ イン スタンダードモー ド(ネットワークログ イン) ネットワークログ イン リモートデスクトッ プ接続 なお、[許可]または[拒否] の設定がされていない場合、 優先ルールは作成されま せん。 [カスタムモードへの変更]を行った場合 保護対象 (注1) TELNET (注2) SSH (注2) FTP (注2) ネットワーク接続 スタンダードモー ド(ネットワーク接 続) ネットワーク接続 20_21_TCP 22_22_TCP 23_23_TCP - 346 - 備考 スタンダードモード カスタムモード 保護対象種別 保護対象種別 suコマンドの実行 スタンダードモー ド(suコマンドの実 行) [カスタムモードへの変更]を行った場合 保護対象種別 プロセス 保護対象 備考 /bin/su 注1) Windowsポリシーの場合 注2) Linuxポリシーの場合 一般ルールと優先ルールについては、“アクセス制御”を参照してください。 12.2.5 カスタムモードでポリシーを作成する ファイル/プロセス/レジストリ/ネットワーク接続/コンソールログイン/ネットワークログイン単位に、詳細にアクセス制御を設定します。 カスタムモードで設定する項目については、“スタンダードモード・カスタムモード”を参照してください。 ポリシーの作成は、セキュリティ管理者が行います。 サーバアクセス制御のポリシーは、設定によってはOSやアプリケーションの動作を阻害することがあるため、実運用への適用時には影 響範囲を十分に考慮する必要があります。 このため最初は[試行モード]を使用してください。なお、ポリシーを設定する際、初期設定では[試行モード]になっています。 実際にサーバアクセス制御を行う際には、[試行モード]を解除してからポリシー設定を行ってください。 ポリシーを作成する 1. [Systemwalkerコンソール]を起動します。 システム管理者、セキュリティ管理者が同一の場合は、[機能選択]で[編集]を選択します。システム管理者、セキュリティ管理者 が異なる場合は、[機能選択]で[監視]を選択します。 - 347 - 2. [Systemwalkerコンソール]画面の[ポリシー]メニューから[セキュリティ]を選択します。 →[セキュリティポリシー[管理]]画面が表示されます。 3. [セキュリティポリシー[管理]]画面の[オプション]メニューで[カスタムモード表示]を選択します。 4. [設定対象]ツリーから[セキュリティポリシー]-[ポリシー]-[サーバアクセス制御]-[アクセス制御]を選択し、[操作]メニューの[新規 作成]を選択します。または、[アクセス制御]配下にある[初期設定]の中から該当するプラットフォームのポリシーを選択し、[操 作]メニューの[複写]を選択します。 →[セキュリティポリシー[ポリシーの作成]]画面が表示されます。 - 348 - 5. [ポリシー名]、[コメント]を入力し、[OK]ボタンをクリックします。 →[サーバアクセス制御]画面が表示されます。 一般ルールを追加する 1. [サーバアクセス制御]画面の[新規作成]ボタンをクリックします。 →[ルールの追加(カスタムモード)]画面が表示されます。 2. 以下の保護対象の中から1つを選択し、[OK]ボタンをクリックします。 - [ファイル] - [プロセス] - 349 - - [レジストリ] 【Windows版】 - [ネットワーク接続] 【Linux版】 - [コンソールログイン] - [ネットワークログイン] 3. [一般ルールの編集]画面で[ルール内容]および[コメント]を設定し、[OK]ボタンをクリックします。 4. 設定手順は“スタンダードモードでポリシーを作成する”の“一般ルールを追加する”を参照してください。 優先ルールを追加する カスタムモードで設定した一般ルールより優先するアクセス制御のルールを設定するときに、優先ルールを追加します。 - 350 - 1. [サーバアクセス制御]画面の[保護対象種別]一覧から、優先ルールを追加したい保護対象種別を選択し、[優先ルールの追 加]ボタンをクリックします。 - [ファイル] - [プロセス] - [レジストリ] - [ネットワーク接続] - [コンソールログイン] - [ネットワークログイン] - 351 - →選択したルールの種別に応じて、[優先ルールの編集]画面が表示されます。 2. [優先ルールの編集]画面で各項目を設定し、[OK]ボタンをクリックします。 12.2.6 ポリシーを編集する すでに作成したセキュリティポリシーのルールを変更したり、複写して流用したり、削除することができます。また、優先ルールの順序を 変更することができます。 一般ルール/優先ルールを変更する すでに作成済みの一般ルール、優先ルールを変更することができます。変更対象のルールがすでに1つ以上のサーバに割り当てら れている場合は、再度配付を行うと、割り当てられているすべてのサーバのルールが変更されます。 1. [サーバアクセス制御]画面の[保護対象種別]一覧から編集したいルールを選択します。 2. [変更]ボタンをクリックします。 →[ルールの編集(スタンダードモード)]、[一般ルールの編集]または[優先ルールの編集]画面が表示されます。 3. 各ルールの編集画面で項目を変更し、[OK]ボタンをクリックします。 一般ルール/優先ルールを複写する すでに作成済みのルールをもとに、新しいルールを作成することができます。以下の保護対象種別について、作成済みのルールを複 写することができます。 - 352 - 保護対象種別 ルール種別 複写の可否 スタンダードモード(コンソールログイン) - × スタンダードモード(ネットワークログイン) - × スタンダードモード(ネットワーク接続) - × スタンダードモード(suコマンドの実行) - × ファイル 一般ルール ○ 優先ルール ×(注1) 一般ルール ○ 優先ルール ×(注1) 一般ルール ○ 優先ルール ×(注1) 一般ルール ○ 優先ルール ×(注1) 一般ルール ×(注2) プロセス レジストリ ネットワーク接続 コンソールログイン 優先ルール ネットワークログイン 一般ルール ×(注2) 優先ルール ○: 複写できます ×: 複写できません -: ルール種別はありません 注1) 優先ルールを選択して複写することはできません。一般ルールに対する優先ルールが存在する場合、一般ルールを複写したと きに優先ルールも一緒に複写されます。 注2) コンソールログイン/ネットワークログインは保護対象が固定されているため、複写の対象外です。 - 353 - 1. [サーバアクセス制御]画面の[保護対象種別]一覧から複写したいルールを選択します。 2. [複写]ボタンをクリックします。 →[一般ルールの編集]画面が表示されます。 - 354 - 保護対象種別が[ファイル]の場合 [保護対象]には何も表示されていません。 [ルール内容]および[コメント]はコピー元の設定が引き継がれ表示されます。 保護対象種別が[プロセス]の場合 - 355 - [保護対象]には何も表示されていません。 [ルール内容]および[コメント]はコピー元の設定が引き継がれ表示されます。 保護対象種別が[レジストリ]の場合 [保護対象]には何も表示されていません。 [ルール内容]および[コメント]はコピー元の設定が引き継がれ表示されます。 保護対象種別が[ネットワーク接続]の場合 [保護対象]の[ポート]には何も表示されていません。プロトコルは、初期値(“TCP”)です。 - 356 - [操作内容]はコピー元の設定が引き継がれます。 3. [保護対象]および[ルール内容]を編集し、[OK]ボタンをクリックします。 →新しい一般ルールが追加されます。複写元の一般ルールと保護対象が同一の優先ルールも複写されます。 一般ルール/優先ルールを削除する すでに作成済みの一般ルールおよび優先ルールを削除することができます。 なお、削除対象のルールを持つポリシーがすでに1つ以上のポリシーグループに登録されている場合、そのポリシーグループの全配 付先サーバのアクセス制御ルールが削除対象となります(再度配付するとルールが削除されたポリシーが適用されます)。 一度に複数のルールを削除することができます。同一の保護対象に対して一般ルールと優先ルールが存在する場合、優先ルールを 選択して[削除]を行うと、選択した優先ルールのみ削除されます。一般ルールを選択して[削除]を行うと、一般ルールと保護対象が同 一の優先ルールもすべて削除されます。 1. [サーバアクセス制御]画面の[保護対象種別]一覧から削除するルールを選択します。 2. [削除]ボタンをクリックします。 →[ルールを削除します。よろしいですか?]という確認ダイアログが表示されます。 3. ルールが削除する場合は、[はい]ボタンをクリックします。ルールが削除しない場合は、[いいえ]ボタンをクリックします。 優先ルールの優先度を変更する【Windows版】 任意の保護対象に対する優先ルールの優先度を変更することができます。なお、優先度の変更は、Windowsのポリシーに対してのみ 行うことができます。 同じ保護対象の優先ルールは、[サーバアクセス制御]画面の[保護対象種別]一覧の上位に表示されている優先ルールの方が優先 度が高くなります。 1. [サーバアクセス制御]画面の保護対象種別から優先度を変更したい、優先ルールを選択します。 - 357 - 2. [優先度を上げる]または[優先度を下げる]ボタンをクリックします。 →選択した優先度の順序が1つ前または1つ後ろの優先ルールと入れ替わります。 一般ルールより下への移動および、保護対象をまたいでの移動はできません。 12.2.7 配付済みのポリシーを削除する 配付済みのポリシーを削除する手順を以下に示します。管理対象ノードのポリシーを削除します。 セキュリティポリシーの削除 1. [Systemwalkerコンソール]画面の[ポリシー]メニューから[セキュリティ]-[セキュリティポリシー]を選択します。 →[セキュリティポリシー[管理]]画面が表示されます。 2. [設定対象]ツリーにおいて、削除対象のノードが配付先となっているポリシーグループを選択し、[操作]メニューの[更新]を選択 します。 →[セキュリティポリシー[ポリシーグループの登録]]画面が表示されます。 3. [配付先]タブの[配付先一覧]リストにおいて、削除対象のノードを選択し、[削除]ボタンをクリックします。 4. [OK]ボタンをクリックし、[セキュリティポリシー[ポリシーグループの登録]]画面を終了します。 5. [セキュリティポリシー[管理]]画面の[操作]からメニュー[配付]を選択し、更新したポリシーグループを配付します。 →ポリシー配付が成功すると、ポリシーグループの配付先からノードが削除されます。 - 358 - 12.3 システム運用時の作業 12.3.1 不正アクセスを監視する サーバアクセス制御の[アクセス制御]ポリシーで設定した事象が発生した場合、[Systemwalker コンソール]にメッセージが通知される よう設定することができます。 [Systemwalker コンソール]にメッセージを通知するには、サーバアクセス制御の[アクセス制御]ポリシーの[ルールの編集]画面で[監視 画面通知]チェックボックスをチェックしてください。 システム管理者は、メッセージ内容から問題の有無を調査し、問題がある場合は、セキュリティ管理者にアクセス制御設定の見直しを 依頼します。 12.3.2 サーバへのアクセス状況を点検する セキュリティ監査者が、運用管理サーバに収集されたアクセス監査ログを点検します。セキュリティ監査者は、許可すべきアクセスのみ が実行されているか、拒否しているアクセスが実行されていないかを調査し、問題の有無を確認します。また、セキュリティ監査者は、 点検するための情報が十分そろっているかを確認します。 サーバアクセス制御機能を利用した場合に取得できる監査資料には、「アクセス監査ログ」と「操作の録画データ」の2種類があります。 以下、それぞれの特徴をまとめます。 監査資料の種 類 特徴 利用契機 アクセス監査 ログ サーバアクセス制御の設 定により指定された操作 が、1行1アクセスとして出 力されます。 サーバアクセス制御の機 能を利用する場合に、定 期的に利用する監査資 料です。通常は本アクセ ス監査ログにより問題の 有無を判断することがで きます。 操作の録画 データ サーバアクセス制御の機 能のうち、「システム保守 開始」コマンドを用いた保 守作業を行う際のコン ソール上のキー入力情報 を保存/再生することがで きます。 保守作業を実施する際に、 操作時に行われたファイ ル編集などを監査する場 合に利用します。 それぞれの監査情報の利用方法を以下に説明します。 サーバへのアクセスの点検 [アクセス監査ログ] 監査ログ分析機能により、サーバのアクセス状況の点検、およびアクセス制御の点検を行います。点検の結果は、セキュリティ監査者が、 点検レポートに出力して電子メールなどを利用してセキュリティ管理者に通知します。 問題がある場合は、点検レポートのコメントに問題内容を具体的に記載してセキュリティ管理者に送付します。 [試行モード]を実施している場合は、セキュリティ監査者は、監査ログ分析機能の[検索]機能で[試行モード]のログのみを抽出し、CSV ファイルに出力して、セキュリティ管理者へ送付します。 監査ログ分析機能で、以下を分析します。 ・ サーバへのアクセス状況を確認し、サーバアクセス制御のポリシー設定の妥当性を確認する ・ サーバに対し、許可されていないユーザによる不正なアクセスが行われていないか ・ サーバアクセス制御の設定に対し、不正な操作が行われていないか 監査ログを分析する手順については、“サーバの操作を点検するには”を参照してください。 - 359 - システム保守作業の詳細な点検 [操作の録画データ]【Linux版】 操作の録画データには、安全なシステム保守支援機能を使用して実施した作業内容が録画されています。 操作の録画データは運用管理クライアントの[Systemwalker コンソール]からは点検できません。セキュリティ監査者は、管理対象サー バでswplay(録画した操作の再生コマンド)を使用し、システム保守作業の詳細な点検を行います。 swplay(録画した操作の再生コマンド)の詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。 12.3.3 不正アクセスに対して改善策を立案する 監査ログを点検した結果、問題が検出された場合、セキュリティ管理者、セキュリティ監査者が協議し、問題を解決するための改善策 を立案します。検出した問題や、システムの状況に応じてさまざまな改善策を立案することが可能ですが、以下に改善策の立案までの 検討例を示します。 対策の具体的な例について以下に説明します。 ・ システムや環境の変化に備える アクセス監査ログから問題が検出されない場合でも、システムの変更や、利用者の追加などによりサーバアクセス制御機能の設定 内容を変更する必要があるかもしれません。必要に応じて設定内容を見直してください。 ・ 事情聴取やユーザ指導により問題に対処する 問題が検出され、原因となったユーザやクライアントIPアドレスがアクセス監査ログから判明した場合、利用者に対して作業内容を 問い合わせ、問題の有無を確認することも重要な対処のひとつです。事情聴取の結果、不要な作業が行われていた場合は、運 用指導、不要なユーザ情報の削除などを行うことで問題に対処することができます。 ・ アクセス制御設定を追加し、問題を無効化する アクセス監査ログの監査結果から問題が明らかになり、聴取するまでもなく違反操作であることが明確な場合は、ユーザ情報の削 除などを行うほか、アクセス制御設定を見直すことでより安全なシステムとすることが可能です。なお、アクセス制御設定の変更に 対して、システムの影響を事前に測定する場合は、[試行モード]を利用することで影響範囲を把握することができます。 問題に対して、セキュリティ管理者またはセキュリティ監査者は、問題となった事象の原因を調査します。調査の結果、アクセス制御の 設定に変更が必要な場合、変更の内容をセキュリティ管理者とセキュリティ監査者で協議して決定します。 アクセス制御を変更する場合は、[試行モード]を使用し、アクセス制御を変更した場合の影響を確認できます。 - 360 - 12.4 セキュリティを維持したままシステムを保守する システム保守を行う際は、セキュリティが強化されている環境において、セキュリティ強度を落とすことなく、安全に作業を実施する必要 があります。 サーバアクセス制御機能を利用して、以下の流れで、安全にシステム保守を実施し、結果を点検することができます。 保守作業の承認 安全なシステム保守支援機能でシステムを保守する手順を説明します。 1. 事前準備 システム管理者に指示されたオペレータまたはシステム管理者は、実施する保守作業を明 確にします。通常は、システムの試験環境を用いて保守作業を試行し、作業手順書を作成 します。 2. 作業内容の申請 作業者は、作業手順に記載されている内容を、本運用環境に対して実施するために、セ キュリティ管理者に保守作業を申請します。 サーバへアクセスする OSのユーザ、利用者氏名、および作業時間(開始日時、終了日時) などをセキュリティ管理者に申請します。 3. 保守作業を承認する セキュリティ管理者は、作業手順書を確認し、作業の承認を行い、作業申請者に承認番号 を発行します。 承認番号は、いつ、誰が、どこで行う作業を、誰が承認したかを一意に判別できるユニーク なIDです。承認番号で、どの利用者が、どの管理対象サーバで、どの期間内に、どの特権 を利用して作業するかを一意に特定します。 4. 保守作業を実施する 【Linux版】 作業者は、システム保守作業を実施する際にシステム保守開始コマンドに承認番号を入力 すると、セキュリティ管理者に許可された条件のもとで作業が実施できます。 【Windows版】 作業者は、OSにログインする際に、[保守作業を実施する]を選択し、承認番号を入力すると、 セキュリティ管理者に許可された条件のもとで作業が実施できます。 5. 保守作業の承認状況を確認/承認番号を強制的に回収する セキュリティ管理者は、不要な承認番号が管理対象サーバ上に残っていないか確認し、不 要な承認番号を回収します。 6. 保守作業を点検する - 361 - セキュリティ監査者は、保守作業で出力されたアクセス監査ログを使用し、保守作業を点検 します。 12.4.1 保守作業を承認する 保守作業の承認は、セキュリティ管理者が行います。 1. [Systemwalkerコンソール[監視]]の[操作]メニューから、[サーバアクセス制御]-[保守作業の承認]を選択します。 →[保守作業の承認]画面が表示されます。 - 362 - 2. [追加]ボタンをクリックし、[作業者]を設定します。 →[保守作業ユーザの追加]画面が表示されます。 3. [保守作業ユーザの追加]画面で以下の項目を設定し、[OK]ボタンをクリックします。 - [ホスト名] 保守作業を行うサーバ名を指定します。 - [ユーザ名] 保守作業を行う際に使用するログインユーザを指定します。 - [担当者氏名] 担当者氏名を指定します。保守作業承認情報のメモとして使用してください。 4. [保守作業の承認]画面で以下の項目を設定し、[OK]ボタンをクリックします。 - [作業日時] 保守作業を行う日時を指定します。 - [録画をする]【Linuxサーバのみ】 保守作業の開始時から終了時までの録画を行います。 指定しない場合は、録画しません。対象サーバがWindowsのときは無視されます。 - [作業内容] 作業目的や作業内容を記述するコメントを記入します。 - [特権を指定する] 作業を行う際に特権の指定が必要な場合は、必要な特権を指定します。 【Linuxの場合】 特権としてユーザ名を指定します。指定がない場合、“root”が指定されたものとして動作します。 【Windowsの場合】 特権としてグループ名を指定します。指定がない場合、“Administrators”が指定されたものとして動作します。 - 363 - - [多重度を許可する]【Linuxサーバのみ】 1つの承認番号で、同一のユーザが同時に使用できる端末の数(多重度)を指定します。 初期値は1、最大値は10です。対象サーバがWindowsのときは無視されます。 →[承認番号一覧]画面が表示されます。 5. 保守作業の承認状況を確認し、[閉じる]ボタンをクリックします。 12.4.2 保守作業を実施する 保守作業の開始/終了 作業者は、申請した作業手順を元にクライアント端末からサーバへアクセスします。以下の操作は保守作業の作業者が行います。 Linuxサーバの場合 1. 保守作業を開始します。 承認番号を使用して、swsvacoperate(システム保守開始/終了コマンド)を実行してください。 swsvacoperate BEGIN -n server_20080515_001 →セキュリティ管理者に承認された特権を使用できるようになります。 swsvacoperate(システム保守開始/終了コマンド)については、“Systemwalker Centric Managerリファレンスマニュアル”を参照し てください。 2. 保守作業を実施します。 なお、保守作業中に終了日時を過ぎた場合でも、exitコマンドを実行するまでは特権を利用して作業を行うことができます。 3. 保守作業を終了します。 exitコマンドを実行してください。 - 364 - なお、exitコマンドを実行した後でも、承認番号の有効期限まで、または手順4で承認番号を回収するまでは、再度保守作業を 実施できます。 4. 承認番号を回収します。 保守作業を完全に終了させる場合は、swsvacoperate(システム保守開始/終了コマンド)を実行してください。 swsvacoperate END -n server_20080515_001 →保守作業は完全に終了します。これ以降、指定した承認番号での保守作業は実施できなくなります。 swsvacoperate(システム保守開始/終了コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を 参照してください。 Windowsサーバの場合 1. 保守作業を開始します。 1. 作業者が、保守作業期間にログオンすると、[承認番号入力]画面が表示されます。 - 別セッションで同一ユーザが保守作業中の場合 [承認番号入力]画面は表示されず、“同一ユーザが保守作業中のため、ログオンできません”とメッセージが表示され、 ログオン処理がキャンセルされます。 - コンピュータのロックを解除する場合 [承認番号入力]画面は表示されず、通常のログオン処理が行われます。保守作業を行う場合は、ログオフした後に再 度ログオン処理を実行してください。 2. 保守作業を行う場合は[保守作業を行う]を選択し、保守承認番号を入力した後、[OK]ボタンをクリックします。 3. 同一ユーザがログオンしておらず、承認番号が正しい場合、作業者は保守作業を行うための権限を得た状態でログオン されます。 別セッションで同一ユーザが通常作業中(保守作業中ではない)の場合には、別セッションの同一ユーザを強制的にログ オフさせるかどうかを選択することができます。 2. 保守作業を実施します。 保守作業中に終了日時を過ぎた場合でも、ログオフするまでは特権を利用して作業を行うことができます。 3. 保守作業を終了します。 - ログオフしてください。 ログオフした後でも、承認番号の有効期限内で、かつ承認番号を回収するまでは、再度保守作業を実施できます。 - 保 守 作 業 を 完 全 に 終 了 さ せ た い 場 合 、 ロ グ オ フ し た 後 、 再 度 通 常 権 限 で ロ グ オ ン し て く だ さ い 。 ロ グ オ ン し た 後、 swsvacoperate(システム保守開始/終了コマンド)を実行してください。 swsvacoperate END -n server_20080515_001 - 365 - →保守作業は完全に終了します。これ以降、指定した承認番号での保守作業は実施できなくなります。 swsvacoperate(システム保守開始/終了コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュア ル”を参照してください。 保守支援機能実行時の監査ログ 保守支援機能によりシステム保守作業を行っている場合に出力されるログは以下のとおりです。 Linuxサーバの場合 ・ ファイル/ディレクトリへのアクセスログ サーバアクセス制御のアクセス制御ポリシーに設定したものだけが出力されます。 ・ プロセス起動時のログ ・ システム保守開始コマンドの実行ログ Windowsサーバの場合 ・ ファイル/ディレクトリ/レジストリへのアクセスログ サーバアクセス制御のアクセス制御ポリシーに設定したものだけが出力されます。 12.4.3 保守作業の承認状況を確認/承認番号を強制的に回収する 保守作業の承認結果を確認する、および承認済みの承認番号を強制的に回収する方法について説明します。 この作業は、セキュリティ管理者が行います。 管理対象サーバで保守作業の承認状況を確認/承認番号を強制的に回収する セキュリティ管理者は、不要な承認番号が管理対象サーバ上に残留していないか確認します。 1. swsvacapprovalview(システム保守承認状況表示コマンド)を実行します。 swsvacapprovalview APPROVAL NUMBER USER ID Effective time Expiration time Num Operator Comment ==================================================================================== server_20080515_001 user1 20080601090000 20080601180000 2 担当1 OS パッチ適用 server_20080515_002 user2 20080610160000 20080610180000 1 DB メンテナンス server_20080515_001 user3 20080615090000 UNLIMIT 1 担当2 swsvacapprovalview(システム保守承認状況表示コマンド)については、“Systemwalker Centric Managerリファレンスマニュアル” を参照してください。 2. 不要な特権が利用できる状況になっている場合、強制的に承認番号を回収します。 [Systemwalkerコンソール]で承認番号を回収する場合は、“[Systemwalkerコンソール]画面で保守作業の承認状況を確認/承認 番号を強制的に回収する”を参照してください。 swsvacoperate(システム保守開始/終了コマンド)で承認番号を回収する場合は、“Systemwalker Centric Managerリファレンスマ ニュアル”を参照してください。 - 366 - [Systemwalkerコンソール]画面で保守作業の承認状況を確認/承認番号を強制的に回収する 1. [Systemwalkerコンソール]の[操作]メニューから、[サーバアクセス制御]-[保守承認状況の表示/回収]を選択します。 →[サーバの選択]画面が表示されます。 2. 保守作業の表示/回収を行うサーバを選択し、[OK]ボタンをクリックします。 →[保守承認状況]画面が表示されます。 3. 保守承認状況を確認し、不要となった承認番号を回収します。 承認番号を回収する場合は、回収する保守作業を選択し、[回収]ボタンをクリックします。 4. [閉じる]ボタンをクリックします。 - 367 - 注意 ・ V13.3.0/V13.3.1のサーバを選択した場合、[保守承認状況]画面の[利用状況]は、参照できません。作業中かどうかにかかわらず、 "------"と表示されます。 ・ 現在保守作業に利用している承認番号を対象に回収処理を行った場合、回収処理が異常終了します。保守作業が完了した後、 再度実行してください。 12.4.4 保守作業を点検する セキュリティ監査者は、保守作業が申請どおりに行われたかを点検します。保守作業の点検は、収集したアクセス監査ログに対して承 認番号で検索して行います。 承認番号を検索キーに使用することで、保守作業時に不要な操作が行われていないか点検をすばやく実施できます。 なお、保守作業時に、アクセス監査ログに出力されるログは以下のとおりです。 ・ ファイル/ディレクトリへのアクセスログ サーバアクセス制御のアクセス制御ポリシーに設定したものだけが出力されます。 ・ プロセス起動時のログ 【Windowsサーバの場合】 サーバアクセス制御のアクセス制御ポリシーに設定したものだけが出力されます。 【Linuxサーバの場合】 実行したコマンドがデーモンなどになった場合(端末上から制御できないコマンドとなった場合)に出力されます。 ・ システム保守開始コマンドの実行ログ 監査ログの分析方法については、“サーバの操作を点検するには”を参照してください。 - 368 -
© Copyright 2024 Paperzz