12.8.4 監査証跡機能とJP1/Auditを連携する際の運用方法
JP1/Auditと連携する場合の運用方法を次に示します。運用方法には,adbconvertaudittrailfileコマンドによる監査証跡の変換タイミングによって,次の2つがあります。
-
運用方法1
監査証跡ファイルが切り替わったタイミングでadbconvertaudittrailfileコマンドを実行して,監査証跡を変換する運用方法です。
詳細については,「(1) 運用方法1(監査証跡ファイルが切り替わったタイミングで変換する運用)」を参照してください。
-
運用方法2
定期的なタイミングでadbconvertaudittrailfileコマンドを実行して,監査証跡を変換する運用方法です。
定期的に変換を行う場合,変換対象の監査証跡ファイルの数だけ,adbconvertaudittrailfileコマンドを実行する必要があります。
詳細については,「(2) 運用方法2(定期的なタイミングで変換する運用)」を参照してください。
なお,一度に複数の監査証跡ファイルを変換すると,統一フォーマット用監査証跡ファイルの切り替えによって,収集途中の監査証跡が消失するおそれがあります。この場合,JP1/Auditが一部の監査証跡を収集できないことがあります。そのため,運用方法2よりも,運用方法1を採用することを推奨します。
(1) 運用方法1(監査証跡ファイルが切り替わったタイミングで変換する運用)
監査証跡ファイルが切り替わったタイミングで監査証跡を変換する方法を,次に示します。
この運用方法では,現用の監査証跡ファイルの切り替え時に出力されるメッセージを監視して,監査証跡ファイルが切り替わるたびにadbconvertaudittrailfileコマンドを実行する必要があります。対象メッセージの出力時に,adbconvertaudittrailfileコマンドを自動で実行するジョブを作成して,運用することを推奨します。
なお,HADBサーバを終了したときに切り替わった監査証跡ファイルは,次にHADBサーバを開始するまでは変換できません。そのため,adbconvertaudittrailfileコマンドを実行する前に,HADBサーバが稼働中であることを確認する必要があります。
手順
-
メッセージを監視する
サーバメッセージログファイル($ADBDIR/spool/adbmessageXX.log※)を確認して,監査証跡ファイルの切り替え時に出力されるKFAA81401-Iメッセージ,およびKFAA81402-Iメッセージを監視してください。このとき,切り替わった監査証跡ファイルのファイルパスを取得してください。
- 注※
-
XXは通番であり,01〜04のどれかになります。
-
監査証跡ファイルを,監査証跡の出力先ディレクトリから監査証跡の保存先ディレクトリに移動する
手順1.で取得した監査証跡ファイルのファイルパスを基に,対象の監査証跡ファイルを移動してください。
-
adbls -d srvコマンドを実行する
HADBサーバが稼働中であることを確認します。出力項目STATUSに出力されるHADBサーバの状態が,次のどれかであることを確認してください。
-
ACTIVE:稼働中(通常モード)
-
QUIESCE:稼働中(静止モード)
-
OFFLINE:稼働中(オフラインモード)
-
MAINTNCE:稼働中(メンテナンスモード)
もし,HADBサーバが稼働中でない場合は,HADBサーバの開始を待ってください(HADBサーバの開始を待つように,自動で実行するジョブを作成してください)。HADB管理者や別のジョブによって,HADBサーバが開始したあとで,次の手順に進んでください。
- 重要
-
adbconvertaudittrailfileコマンドを自動で実行するジョブに,HADBサーバを開始する処理を組み込んでしまうと,HADBサーバが終了できなくなります。そのため,HADBサーバが稼働中ではない場合は,adbconvertaudittrailfileコマンドを自動で実行するジョブとは別の方法で,HADBサーバを開始するようにしてください。
-
-
adbconvertaudittrailfileコマンドを実行する
手順2.で移動した監査証跡ファイルを,adbconvertaudittrailfileコマンドで変換してください。
- メモ
-
adbconvertaudittrailfileコマンドを自動で実行するジョブとは別に,定期的に現用の監査証跡ファイルを切り替えることを推奨します。現用の監査証跡ファイルの切り替えは,adbaudittrail --swapコマンドで行ってください。定期的にadbaudittrail --swapコマンドを実行することで,ジョブによって監査証跡の変換が行われるようにしてください。
(2) 運用方法2(定期的なタイミングで変換する運用)
定期的なタイミングで監査証跡を変換する運用方法を,次に示します。
この運用方法では,監査証跡の出力先ディレクトリに格納されているすべての監査証跡ファイルが,adbconvertaudittrailfileコマンドの実行対象です。1日1回,週に1回など,定期的にadbconvertaudittrailfileコマンドを実行するバッチプログラムを作成して,そのバッチプログラムを実行することを推奨します。
手順
-
adbls -d srvコマンドを実行する
HADBサーバが稼働中であることを確認します。出力項目STATUSに出力されるHADBサーバの状態が,次のどれかであることを確認してください。
-
ACTIVE:稼働中(通常モード)
-
QUIESCE:稼働中(静止モード)
-
OFFLINE:稼働中(オフラインモード)
-
MAINTNCE:稼働中(メンテナンスモード)
もし,HADBサーバが稼働中でない場合は,HADBサーバを開始してください。そのあとで,次の手順に進んでください。
-
-
移動が必要な監査証跡ファイルの一覧を作成する
OSのfindコマンドで,監査証跡の出力先ディレクトリに存在する監査証跡ファイルを検索して,移動が必要な監査証跡ファイルの一覧(/home/adbmanager/tmp/auditfilelist.txt)を作成します。なお,次のコマンドでは,現用の監査証跡ファイルは検索対象外となっています。
コマンドの実行例
find /mnt/audittrail/outputarea/audit \ -name "adbaud-????????-??????-???*.aud" \ > /home/adbmanager/tmp/auditfilelist.txt -
移動が必要な監査証跡ファイルをコピーする
移動が必要な監査証跡ファイルの一覧(/home/adbmanager/tmp/auditfilelist.txt)に存在する全ファイルを,OSのcpコマンドで,監査証跡の出力先ディレクトリから監査証跡の保存先ディレクトリにコピーします。
while read filename ; do cp ${filename} /mnt/audittrail/shorttimesavearea/audit_bak done < /home/adbmanager/tmp/auditfilelist.txt -
コピーが完了した監査証跡ファイルを削除する
監査証跡ファイルのコピーが完了したら,OSのrmコマンドで,コピー元の監査証跡ファイルを監査証跡の出力先ディレクトリから削除します。
while read filename ; do rm ${filename} done < /home/adbmanager/tmp/auditfilelist.txt -
adbconvertaudittrailfileコマンドを実行する
手順2.で作成した移動が必要な監査証跡ファイルの一覧(/home/adbmanager/tmp/auditfilelist.txt)を基に,移動した監査証跡ファイルすべてをadbconvertaudittrailfileコマンドで変換してください。
なお,一度に複数の監査証跡ファイルを変換すると,統一フォーマット用監査証跡ファイルの切り替えによって,収集途中の監査証跡が消失するおそれがあります。この場合,JP1/Auditが一部の監査証跡を収集できないことがあります。
-
移動が必要な監査証跡ファイルの一覧を削除する
OSのrmコマンドで,手順2.で作成した移動が必要な監査証跡ファイルの一覧(/home/adbmanager/tmp/auditfilelist.txt)を削除します。
rm /home/adbmanager/tmp/auditfilelist.txt