12.8.1 監査証跡機能とJP1/Auditを連携する際の概要
ここでは,監査証跡機能とJP1/Auditを連携する際の概要として,次の3点について説明します。
-
システム構成例
-
サーバ構成と前提ソフトウェア
-
adbconvertaudittrailfileコマンドを実行する際の注意事項
(1) システム構成例
ここでは,監査証跡機能とJP1/Auditを連携する場合のシステム構成について説明します。
監査証跡機能とJP1/Auditを連携する場合のシステム構成例を,次の図に示します。
|
|
![[図データ]](GRAPHICS/F0000878.GIF)
- [説明]
-
図に示すシステム構成例では,2種類のサーバ(監査ログ管理サーバと監査ログ収集対象サーバ)で構成されています。
監査ログ管理サーバでは,監査ログ収集対象サーバ上のJP1/Baseのイベントデータベースから監査証跡を収集して,一元管理します。
監査ログ収集対象サーバでは,監査ログ収集対象サーバ上のHADBサーバが監査証跡を出力して,adbconvertaudittrailfileコマンドで変換します。そして,変換後の監査証跡を収集して,監査ログ収集対象サーバ上のJP1/Baseのイベントデータベースに蓄積します。
- メモ
-
監査を行うユーザは,Webブラウザ上から監査ログ管理サーバにアクセスして,監査を実施できます。
(2) サーバ構成と前提ソフトウェア
ここでは,監査証跡機能とJP1/Auditを連携する場合のサーバ構成と,前提ソフトウェアについて説明します。
- ■サーバ構成
-
「(1) システム構成例」で説明しているとおり,監査証跡機能とJP1/Auditを連携する場合は,次の2種類のサーバが必要です。
-
監査ログ管理サーバ
JP1/AuditおよびJP1/Baseが稼働するサーバマシンです。監査ログ収集対象サーバから監査証跡を収集して,一元管理します。
-
監査ログ収集対象サーバ
HADBサーバおよびJP1/Baseが稼働するサーバマシンです。adbconvertaudittrailfileコマンドで変換されたHADBサーバの監査証跡を収集して,JP1/Baseのイベントデータベースに蓄積します。
- 重要
-
HADBサーバとJP1/Auditでは,前提OSが異なります。そのため,HADBサーバが稼働するサーバマシンに,JP1/Auditをインストールすることはできません。
監査ログ管理サーバの前提OSについては,マニュアルJP1/Audit 構築・運用ガイドを参照してください。
-
- ■前提ソフトウェア
-
監査証跡機能とJP1/Auditを連携する場合の前提ソフトウェアを,次の表に示します。
表12‒4 監査証跡機能とJP1/Auditを連携する場合の前提ソフトウェア 導入対象のサーバ
前提ソフトウェア
監査ログ管理サーバ
-
HADBサーバのOSがRHEL 7の場合
JP1/Audit Management - Manager 11-00以降
JP1/Base 11-10以降
-
HADBサーバのOSがRHEL 8の場合
JP1/Audit Management - Manager 11-00-04以降
JP1/Base 12-10以降
-
HADBサーバのOSがRHEL 9の場合
監査証跡機能とJP1/Auditの連携はできません。
監査ログ収集対象サーバ
-
HADBサーバのOSがRHEL 7の場合
JP1/Base 11-10以降
-
HADBサーバのOSがRHEL 8の場合
JP1/Base 12-10-02以降
-
HADBサーバのOSがRHEL 9の場合
監査証跡機能とJP1/Auditの連携はできません。
-
(3) adbconvertaudittrailfileコマンドを実行する際の注意事項
adbconvertaudittrailfileコマンドを実行する際の注意事項を次に示します。
-
adbconvertaudittrailfileコマンドは,JP1/Auditで監査ログを監視しているときに実行してください。監査ログの監視を停止しているときに,adbconvertaudittrailfileコマンドを実行しても,変換された監査証跡はJP1/Auditに収集されません。監査ログの監視については,マニュアルJP1/Audit 構築・運用ガイドを参照してください。
-
adbconvertaudittrailfileコマンドは,HADBサーバが稼働中のときだけ実行できます。adbconvertaudittrailfileコマンドの実行中に,ほかのユーザがHADBサーバを利用することを避けたいときは,HADBサーバの稼働モードをメンテナンスモードに変更してください。そのあとで,adbconvertaudittrailfileコマンドを実行してください。メンテナンスモードについては,「10.2.3 HADBサーバの稼働モード」を参照してください。
-
adbconvertaudittrailfileコマンドは,現用の監査証跡ファイルに対しては実行できません。現用の監査証跡ファイル内の監査証跡を変換したい場合は,事前にadbaudittrail --swapコマンドで,現用の監査証跡ファイルの切り替えを行ってください。そのあとで,リネームされた監査証跡ファイルに対して,adbconvertaudittrailfileコマンドを実行してください。現用の監査証跡ファイルの切り替えについては,「12.4.2 現用の監査証跡ファイルの切り替え」を参照してください。
- メモ
-
-
adbconvertaudittrailfileコマンドについては,マニュアルHADB コマンドリファレンスのadbconvertaudittrailfile(監査証跡ファイルの変換)を参照してください。
-
adbaudittrailコマンドについては,HADB コマンドリファレンスのadbaudittrail(監査証跡機能の管理)を参照してください。
-