12.8.3 監査証跡機能とJP1/Auditを連携する際の環境設定
ここでは,監査証跡機能とJP1/Auditを連携する際の環境設定について説明します。
監査証跡機能とJP1/Auditを連携する場合,HADBサーバとJP1/Auditの両方で環境設定が必要です。
- 〈この項の構成〉
(1) HADBサーバの環境設定
HADBサーバの環境設定としては,統一フォーマット用監査証跡の出力先ディレクトリを準備する必要があります。
統一フォーマット用監査証跡の出力先ディレクトリを作成する際の注意点を,次に示します。
-
4ギガバイト以上の空き容量があるディスクに,統一フォーマット用監査証跡の出力先ディレクトリを作成してください。統一フォーマット用監査証跡の出力先ディレクトリには,次のファイルが格納されます。
-
統一フォーマット用監査証跡ファイル(adbcommonauditXX.log)
adbconvertaudittrailfileコマンドで変換された監査証跡が出力されるファイルです。最大で4つのファイルが格納されます。ファイル名のXXは通番であり,01~04のどれかになります。
4つの統一フォーマット用監査証跡ファイルの合計サイズは,最大で2ギガバイトです。ただし,統一フォーマット用監査証跡ファイルの切り替えを行う際に,古いデータが一時的に残るおそれがあります。そのため,4ギガバイト以上の空き容量があるディスクを準備してください。
-
統一フォーマット用監査証跡管理ファイル(.adbcommonaudit)
統一フォーマット用監査証跡ファイル群を管理するファイルです。1つのファイルだけ格納されます。
- メモ
-
統一フォーマット用監査証跡ファイルの切り替えについては,マニュアルHADB コマンドリファレンスのadbconvertaudittrailfile(監査証跡ファイルの変換)を参照してください。
-
-
統一フォーマット用監査証跡の出力先ディレクトリのフルパスの長さは,末尾の「/」を含めて239バイト以内にしてください。フルパスの長さが240バイト以上ある場合,JP1/Auditが正しく設定できません。
-
HADB管理者がアクセスできるように,統一フォーマット用監査証跡の出力先ディレクトリには,読み取り権限,書き込み権限および実行権限を付与してください。
-
運用テストを行うなどで,1つのサーバマシンで複数のHADBサーバを動作させる場合,それぞれの環境で,専用の統一フォーマット用監査証跡の出力先ディレクトリを準備してください。1つの統一フォーマット用監査証跡の出力先ディレクトリを,複数のHADBサーバで共有しないでください。
(2) JP1/Auditの環境設定
JP1/Auditでは,HADBサーバは標準サポート外のプログラムとして扱われます。そのため,次の環境設定が必要になります。
-
JP1/Baseのイベントサービスの設定
「(a) JP1/Baseのイベントサービスの設定」を参照してください。
-
正規化ルールファイルの定義
「(b) 正規化ルールファイルの定義」を参照してください。
-
動作定義ファイルの作成
「(c) 動作定義ファイルの作成」を参照してください。
-
製品定義ファイルの作成
「(d) 製品定義ファイルの作成」を参照してください。
-
監査ログ標準レポート定義ファイルの編集
「(e) 監査ログ標準レポート定義ファイルの編集」を参照してください。
-
監査ログの収集対象の設定
「(f) 監査ログの収集対象の設定」を参照してください。
各環境設定の詳細手順については,マニュアルJP1/Audit 構築・運用ガイドを参照してください。または,マニュアルJP1/Base 運用ガイドを参照してください。
(a) JP1/Baseのイベントサービスの設定
JP1/Baseのイベントサービスの設定を行う必要があります。HADBサーバが出力する監査証跡の件数を踏まえて,監査ログ専用イベントデータベースのサイズを適切に指定してください。
なお,1回のadbconvertaudittrailfileコマンドで変換する監査証跡の件数を見積もることができない場合は,監査ログ専用イベントデータベースには最大サイズを指定してください。
(b) 正規化ルールファイルの定義
正規化ルールファイルについては,新規に定義する必要はありません。
adbconvertaudittrailfileコマンドで統一フォーマット用監査証跡ファイルに出力する監査証跡は,日立オープンミドルウェア製品の統一フォーマット形式に従っています。そのため,JP1/Auditが標準で提供する統一フォーマット用の正規化ルールファイル(admrglrule_CALFHM.conf)を使用できます。
(c) 動作定義ファイルの作成
JP1/Auditの連携で使用する動作定義ファイルを作成する必要があります。作成手順を次に示します。
手順
-
動作定義ファイルのサンプルファイルをコピーする
サーバディレクトリ下の$ADBDIR/sample/jp1auditディレクトリに格納されているサンプルファイル(admjevlog_HADB.conf)をコピーしてください。そして,JP1/Audit Management - Managerのインストール先フォルダ\conf\logdefに,サンプルファイル(admjevlog_HADB.conf)を格納してください。
-
動作定義ファイルのサンプルファイルの設定内容を確認する
サンプルファイルの設定内容を変更する必要はありません。次の設定内容かどうかを確認してください。
設定内容
retry-times=60 retry-interval=10 FILETYPE=SEQ2 ACTDEF =<Information>1000 "^CALFHM"
なお,運用テストを行うなどで,1つのサーバマシンで複数のHADBサーバを動作させる場合,動作定義ファイルはそれぞれの環境に作成する必要があります。その場合,動作定義ファイルのファイル名を「admjevlog_HADB_任意の文字列.conf」にリネームして,ほかのファイル名と重複させないでください。また,「任意の文字列」は,「(d) 製品定義ファイルの作成」で説明している製品定義ファイルと一致させてください。
(d) 製品定義ファイルの作成
JP1/Auditの連携で使用する製品定義ファイルを作成する必要があります。作成手順を次に示します。
手順
-
製品定義ファイルのサンプルファイルをコピーする
サーバディレクトリ下の$ADBDIR/sample/jp1auditディレクトリに格納されているサンプルファイル(HADB.conf)をコピーしてください。そして,JP1/Audit Management - Managerのインストール先フォルダ\conf\productに,サンプルファイル(HADB.conf)を格納してください。
-
製品定義ファイルのサンプルファイルの設定内容を確認する
サンプルファイルの設定内容を変更する必要はありません。次の設定内容かどうかを確認してください。
設定内容
AuditLogNum=4 AuditLogName=adbcommonaudit01.log AuditLogName=adbcommonaudit02.log AuditLogName=adbcommonaudit03.log AuditLogName=adbcommonaudit04.log RegularPattern=admrglrule_CALFHM.conf ReadOnly=1
なお,運用テストを行うなどで,1つのサーバマシンで複数のHADBサーバを動作させる場合,製品定義ファイルはそれぞれの環境に作成する必要があります。その場合,製品定義ファイルのファイル名を「HADB_任意の文字列.conf」にリネームし,ほかのファイル名と重複させないでください。また,「任意の文字列」は,「(c) 動作定義ファイルの作成」で説明している動作定義ファイルと一致させてください。
(e) 監査ログ標準レポート定義ファイルの編集
監査ログ標準レポート定義ファイルの編集を行う必要があります。編集手順を次に示します。
- 重要
-
通常,JP1/Auditが正規化ルールファイルを使用して収集した監査証跡については,監査ログレポート定義ファイルを使用します。しかし,HADBサーバは,日立オープンミドルウェア製品の統一フォーマット形式を採用しています。そのため,監査ログレポート定義ファイルではなく,監査ログ標準レポート定義ファイルを使用できます。
- 手順
-
JP1/Audit Management - Managerの仮想ディレクトリ\conf下に格納されている監査ログ標準レポート定義ファイル(admAnalysis.ini)に,次に示す内容を追記してください。
記述内容
[HADB] TYPE=Common
なお,記述行の最後には,必ず改行を記述してください。
(f) 監査ログの収集対象の設定
監査ログの収集対象の設定を行う必要があります。JP1/Auditの監査ログ収集マネージャを使用して,HADBサーバを収集対象として設定してください。設定方法の詳細については,マニュアルJP1/Audit 構築・運用ガイドを参照してください。
HADBサーバを収集対象に設定する場合に,[収集対象の設定]ダイアログに設定する値を次に示します。
項番 |
項目 |
設定値 |
---|---|---|
1 |
サーバ |
HADBサーバのホスト名を指定してください。 |
2 |
プログラム |
プルダウンメニューから,製品定義ファイル名と一致するものを選択してください。 例えば,製品定義ファイルのファイル名が「HADB.conf」の場合は,[HADB]を選択してください。 なお,「_」は「/」に置き換えられて表示されます。 |
3 |
ログフォルダ |
「(1) HADBサーバの環境設定」で準備した,統一フォーマット用監査証跡の出力先ディレクトリをフルパスで指定してください。 |
4 |
コメント |
任意のコメントを入力してください。 |
5 |
OS起動時に監査ログの監視を開始する |
設定は不要です。 |
- 重要
-
統一フォーマット用監査証跡ファイル内の監査証跡をJP1/Auditが収集するためには,JP1/Auditが監査ログの監視を開始している必要があります。JP1/Auditの環境設定が終わったら,必ず監査ログの監視を開始してください。また,OS起動時に監査ログの監視を開始するように,OSを設定することを推奨します。