3.7.1 監査ログ機能の環境設定
(1) 定義の作成
監査ログを出力するには,次に示す定義を指定します。
-
ログサービス定義のlog_audit_outオペランドにYを指定
-
ログサービス定義のlog_audit_messageオペランドに監査ログを取得する項目のメッセージIDを指定
作成したログサービス定義は,システム環境定義($DCDIR/conf/env)の環境変数DCCONFPATHで指定したディレクトリに格納してください。システム環境定義に環境変数DCCONFPATHが指定されていない場合は,$DCDIR/confをシステム定義格納ディレクトリと仮定します。
なお,ログサービス定義の詳細については,マニュアル「OpenTP1 システム定義」を参照してください。
(2) 実行環境の作成
ログサービス定義を作成したあと,dcsetupコマンドまたはdcauditsetupコマンドを実行すると,監査ログ機能に必要なディレクトリおよびファイルが作成されます。作成されるディレクトリおよびファイル名を次の表に示します。
|
ファイルおよびディレクトリ |
ユーザID |
グループID |
アクセス権 |
内容 |
|---|---|---|---|---|
|
$DCDIR/auditlog※ |
OpenTP1管理者のユーザID |
OpenTP1管理者のグループID |
0777 |
監査ログファイルを格納するディレクトリ |
|
$DCDIR/auditlog/audit.log※ |
OpenTP1管理者のユーザID |
OpenTP1管理者のグループID |
0666 |
監査ログファイル |
- 注※
-
ログサービス定義のlog_audit_pathオペランドの指定を省略した場合のディレクトリです。log_audit_pathオペランドを指定した場合,指定したディレクトリが作成され,作成されたディレクトリ下にファイルが作成されます。
なお,作成されるディレクトリは最下層だけです。上位のディレクトリは事前に準備しておく必要があります。また,最下層のディレクトリも事前に準備する場合は,上記の表に示す権限になるように作成してください。
ログサービス定義で監査ログの出力を指定していない場合,これらのディレクトリやファイルは作成されません。dcsetupコマンドを実行したあとで,新たに監査ログを出力するように定義を追加したり監査ログについての定義を変更したりする場合は,dcauditsetupコマンドを使用して,再度,環境設定を行ってください。具体的には,次に示す手順で行ってください。
-
OpenTP1を停止します。
-
定義を変更します。
-
dcauditsetupコマンドを実行します(スーパユーザ権限で実行してください)。
-
dcresetコマンドを実行します。
-
OpenTP1を起動します。
システム環境定義のDCCONFPATHオペランドを変更した場合,変更後のDCCONFPATHに格納されたログサービス定義の設定を有効にする必要があります。この場合も同様の方法で変更を行ってください。
(3) 監査ログの取得項目の指定方法
監査ログを取得する項目は,ログサービス定義またはユーザサービス定義のlog_audit_messageオペランドで指定します。
監査ログを取得する項目のメッセージIDと定義の対応については,マニュアル「OpenTP1 システム定義」を参照してください。
なお,ログサービス定義のlog_audit_messageオペランドの指定値を変更した場合は,dcauditsetupコマンドを実行して,定義の変更を反映させる必要があります。
(4) 監査ログの取得項目の例
監査ログは大量に取得すると性能劣化を招くため,必要な項目だけを取得するようにしてください。推奨する監査ログの取得項目を次に示します。
-
OpenTP1の開始,終了などに関する監査ログ(KFCA33400-I〜KFCA33404-E)
-
コマンド実行に関する監査ログ(KFCA33419-I)
-
ユーザサーバで任意に取得した監査ログ(KFCA34000-x〜KFCA34999-x)※
ユーザサーバで監査ログを取得する場合は,まず動作履歴を残したいユーザサーバを絞り込んでください。ユーザサーバプログラムを修正できない場合は,サービス関数の実行開始(KFCA33412-I),または実行完了(KFCA33413-I)のどちらかの監査ログを取得することで,ユーザサーバプログラムへのアクセス記録を管理できます。
- 注※
-
KFCA34000-x〜KFCA34999-xは,UAPで任意の監査ログを取得する場合に,監査ログに対して割り当てられるメッセージIDです。xにはdc_log_audit_print関数で指定したメッセージの種類(E,WまたはI)が入ります。
推奨する監査ログの取得項目について,ログサービス定義およびユーザサービス定義に指定した例を,次に示します。
- ログサービス定義のlog_audit_messageオペランドの指定
set log_audit_message=33400,33401,33402,33403,33404,33419
- 監査ログを出力するユーザサーバのユーザサービス定義
set log_audit_message=34000
(5) 監査ログの取得についての注意事項
監査ログを大量に取得すると性能劣化を招きます。取得対象には,監査に必要な項目だけを選択して,指定してください。事前に性能評価を実施してから使用することをお勧めします。