監査ログを使用して監査を実施するシステムでは,監査ログをすべて保存しておくことが求められます。そのため,シフト方式によって削除される監査ログファイルをバックアップしたり,監査ログの出力に失敗した場合は,システムを停止するなどの運用を検討したりする必要があります。これらの処理は,JP1などの運用管理プログラムを使用して自動実行することをお勧めします。また,JP1/NETM/Auditを使用することで,複数のホストに分散している監査ログを自動的に収集し,一元的に監査ログを管理できます。
ここでは,JP1などの運用管理プログラムと連携して監査ログを運用する例について説明します。
監査ログの出力先ファイルが切り替わると,ファイルが切り替わったことを通知するメッセージが標準出力およびsyslogに出力されます。JP1などの運用管理プログラムを使用すると,ファイル切り替えを通知するメッセージを監視して,自動でファイルをバックアップできます。
運用管理プログラムを使用して,監査ログを自動でバックアップする流れを次の図に示します。
図3-23 監査ログを自動でバックアップする流れ
JP1などの運用管理プログラムを使用すると,監査ログの出力に失敗したことを通知するメッセージを監視して,システムを自動で停止できます。
運用管理プログラムを使用して,監査ログの出力に失敗した場合にシステムを自動で停止させる流れを次の図に示します。
図3-24 監査ログの出力に失敗した場合にシステムを自動停止させる流れ
運用管理プログラムとしてJP1/NETM/Auditを使用すると,監査ログの自動収集,および収集した監査ログを一元管理できます。一元管理をすることで,複数のサーバから収集した監査ログの検索,集計,結果の出力などが容易にできます。JP1/NETM/Auditを使用した監査ログの収集,および一元管理の例を次の図に示します。
図3-25 JP1/NETM/Auditを使用した監査ログの収集・一元管理の例
この例では,複数のOpenTP1サーバがそれぞれのディスクに出力した監査ログを監査ログ管理サーバで自動収集しています。また,監査ログ管理サーバに収集された監査ログは,監査ログ管理データベースで一元管理しています。
JP1/NETM/Auditとの連携で必要となるJP1関連製品を次に示します。
表3-29 JP1/NETM/Auditとの連携で必要となるJP1関連製品
JP1関連製品 | 機能 | 配置するサーバ |
---|---|---|
JP1/NETM/Audit | JP1/Baseと連携して,OpenTP1サーバが出力する監査ログを収集します。また,収集した監査ログを監査ログ管理サーバのデータベースで一元管理します。 | 監査ログ管理サーバ |
JP1/Base | 出力された監査ログを,JP1イベントとして送受信します。 |
|
監査ログは次に示すタイミングで自動収集されます。
OpenTP1サーバおよび監査ログ管理サーバで必要な設定について説明します。
JP1/NETM/Auditを使用した監査ログの収集および一元管理の詳細については,マニュアル「JP1/NETM/Audit」を参照してください。