3.7.6 監査ログの運用例
監査ログを使用して監査を実施するシステムでは,監査ログをすべて保存しておくことが求められます。そのため,シフト方式によって削除される監査ログファイルをバックアップしたり,監査ログの出力に失敗した場合は,システムを停止するなどの運用を検討したりする必要があります。これらの処理は,JP1などの運用管理プログラムを使用して自動実行することをお勧めします。また,JP1/NETM/Auditを使用することで,複数のホストに分散している監査ログを自動的に収集し,一元的に監査ログを管理できます。
ここでは,JP1などの運用管理プログラムと連携して監査ログを運用する例について説明します。
(1) 監査ログを自動でバックアップする運用例
監査ログの出力先ファイルが切り替わると,ファイルが切り替わったことを通知するメッセージが標準出力およびsyslogに出力されます。JP1などの運用管理プログラムを使用すると,ファイル切り替えを通知するメッセージを監視して,自動でファイルをバックアップできます。
運用管理プログラムを使用して,監査ログを自動でバックアップする流れを次の図に示します。
-
監査ログの出力先が,カレントファイルからカレントファイルのバックアップファイルに切り替わります。
-
監査ログの出力先が切り替わったことを通知するメッセージ(KFCA01925-I)をOpenTP1が出力します。
-
JP1などの運用管理プログラムが通知メッセージを検知します。
-
JP1などの運用管理プログラムが古い監査ログファイルを取得します。
(2) 監査ログの出力失敗時にシステムを停止させる運用例
JP1などの運用管理プログラムを使用すると,監査ログの出力に失敗したことを通知するメッセージを監視して,システムを自動で停止できます。
運用管理プログラムを使用して,監査ログの出力に失敗した場合にシステムを自動で停止させる流れを次の図に示します。
-
障害によってOpenTP1が監査ログの出力に失敗します。
-
監査ログの出力に失敗したことを通知するエラーメッセージ(KFCA01921-E〜KFCA01924-E)をOpenTP1が出力します。
-
JP1などの運用管理プログラムがエラーメッセージを検知します。
-
JP1などの運用管理プログラムがOpenTP1を停止させます。
(3) 監査ログの自動収集および一元管理の運用例
運用管理プログラムとしてJP1/NETM/Auditを使用すると,監査ログの自動収集,および収集した監査ログを一元管理できます。一元管理をすることで,複数のサーバから収集した監査ログの検索,集計,結果の出力などが容易にできます。JP1/NETM/Auditを使用した監査ログの収集,および一元管理の例を次の図に示します。
この例では,複数のOpenTP1サーバがそれぞれのディスクに出力した監査ログを監査ログ管理サーバで自動収集しています。また,監査ログ管理サーバに収集された監査ログは,監査ログ管理データベースで一元管理しています。
JP1/NETM/Auditとの連携で必要となるJP1関連製品を次に示します。
JP1関連製品 |
機能 |
配置するサーバ |
---|---|---|
JP1/NETM/Audit |
JP1/Baseと連携して,OpenTP1サーバが出力する監査ログを収集します。また,収集した監査ログを監査ログ管理サーバのデータベースで一元管理します。 |
監査ログ管理サーバ |
JP1/Base |
出力された監査ログを,JP1イベントとして送受信します。 |
|
監査ログは次に示すタイミングで自動収集されます。
-
指定した日時に定期的に収集
-
(JP1/Baseの)イベントデータベースの切り替え時に自動収集
-
即時収集
OpenTP1サーバおよび監査ログ管理サーバで必要な設定について説明します。
- OpenTP1サーバで必要な設定
-
OpenTP1サーバの設定手順を次に示します。
-
JP1/Baseをセットアップします。
-
監査ログ管理サーバから,監査ログ収集対象のOpenTP1サーバに,JP1/Baseのアダプタコマンドのファイルとアダプタコマンドの動作に必要な定義のファイルをコピーします。
-
イベントサービスを起動します。
-
- 監査ログ管理サーバで必要な設定
-
OpenTP1はJP1/NETM/Auditを標準サポートしています。そのためJP1/NETM/AuditでOpenTP1を収集対象に設定できます。
OpenTP1ではJP1/NETM/Auditで使用する製品定義ファイルおよび動作定義ファイルを,次の場所に格納しています。
-
製品定義ファイルの格納場所
(インストールディレクトリ)/jp1_template/JP1_NETM_Audit/OpenTP1.conf
-
動作定義ファイルの格納場所
(インストールディレクトリ)/jp1_template/JP1_NETM_Audit/admjevlog_OpenTP1.conf
-
JP1/NETM/Auditを使用した監査ログの収集および一元管理の詳細については,マニュアル「JP1/NETM/Audit」を参照してください。