8.2.8 監査ログの収集と調査

uCosminexus Portal Frameworkが出力する監査ログの出力先,出力形式および出力項目の詳細について説明します。

<この項の構成>
(1) 出力先
(2) 出力形式
(3) 出力項目
(4) 監査ログの出力タイミング

(1) 出力先

デフォルトの場合の監査ログの出力先は,次のとおりです。なお,Xは1から始まる連番を表します。

出力先
{uCosminexus Portal Frameworkインストールディレクトリ}¥log¥auditX.log

監査ログの出力先は,プロパティファイル(PortalResources.properties)で設定します。設定方法の詳細は,「10.1.1(18) 監査ログの設定」を参照してください。

注意
監査ログの出力先に監査ログファイルを制御するためのコントロールファイル(拡張子が.conf)が出力されます。コントロールファイルは削除しないでください。

(2) 出力形式

監査ログは,メッセージとして出力されます。監査ログのメッセージは,次の形式で出力されます。

CALFHM 1.0,出力項目1=値1,出力項目2=値2,・・・,出力項目n=値n

先頭の「CALFHM 1.0」は,ヘッダ情報です。監査ログに,共通で出力されます。

(3) 出力項目

監査ログに出力する項目を次に示します。出力内容の詳細は,「付録F 監査ログメッセージ」を参照してください。なお,subjp:ipv4またはsubjp:ipv6のどちらかの項目が出力されます。

表8-10 監査ログ出力項目

出力項目名出力項目の意味説明
seqnum通番監査ログの通番が出力されます。
出力される値は,1から9999999999​までの整数です。
msgidメッセージIDメッセージIDが出力されます。
date日付・時刻メッセージが出力された日時が,次の形式で出力されます。
 YYYY-MM-DDThh:mm:ss.sssTZD
  • YYYY:西暦
  • MM:月
  • DD:日
  • T:日付と時間の区切り
  • hh:時
  • mm:分
  • ss:秒
  • sss:ミリ秒
  • TZD:タイムゾーン
    タイムゾーンはUTCからの時差で出力されます。出力形式を次に示します。
  • +hh:mm:UTCからhh時間mm分進んでいる
  • -hh:mm:UTCからhh時間mm分遅れている
progid発生プログラム名監査事象が発生したプログラム名が出力されます。
「CosmiPortal」が出力されます。
compid発生構成ソフトウェア名監査事象が発生したコンポーネント名が出力されます。
「CosmiPortal」が出力されます。
pid発生プロセスID監査事象が発生したプロセスのプロセスIDが出力されます。
ocp:host発生場所監査事象が発生したホストのホスト名がFQDNで出力されます。ドメイン名が取得できない場合はドメイン部を含めない形式でホスト名が出力されます。
ctgry監査事象の種別監査事象の種別が出力されます。
Authentication
ログイン,ログアウトなど,uCosminexus Portal Frameworkへの認証が実行されたことを示す事象
ConfigurationAccess
設定および構成の変更を示す事象
ContentAccess
重要情報にアクセスしたことを示す事象
result監査事象の結果監査事象の結果が出力されます。
Success
監査事象の成功を示す
Failure
監査事象の失敗を示す
subj:uidサブジェクト識別情報(アカウント情報)サブジェクト識別情報(アカウント情報)が出力されます。
監査事象を操作したユーザのユーザIDが出力されます。ログイン/ログアウトの場合は,ログインしたユーザIDが出力されます。なお,未ログインの場合は,"Anonymous"が出力されます。
subjp:ipv4サブジェクト識別情報(IPアドレス情報)サブジェクト識別情報(IPアドレス情報)が出力されます。
監査事象を操作したユーザの端末のIPアドレス(IPv4形式)が出力されます。IPアドレスの取得元はプロパティ「jp.co.hitachi.soft.portal.util.log.auditlog.clientip.source」で変更できます。設定方法の詳細は,「10.1.1(18) 監査ログの設定」を参照してください。
なお,IPv4形式とIPv6形式が混在している場合は,subjp:ipv6項目に出力されます。
subjp:ipv6サブジェクト識別情報(IPアドレス情報)サブジェクト識別情報(IPアドレス情報)が出力されます。
監査事象を操作したユーザの端末のIPアドレス(IPv6形式)が出力されます。IPアドレスの取得元はプロパティ「jp.co.hitachi.soft.portal.util.log.auditlog.clientip.source」で変更できます。設定方法の詳細は,「10.1.1(18) 監査ログの設定」を参照してください。
op動作情報監査事象となった操作の種別が出力されます。
msg自由記述監査事象の内容を示すメッセージが出力されます。

(4) 監査ログの出力タイミング

uCosminexus Portal Frameworkが出力する監査ログの出力タイミングを監査事象の種別ごとに説明します。

(a) 「Authentication」(識別・認証)

「Authentication」(識別・認証)の出力一覧を次に示します。

表8-11 識別・認証の出力一覧

出力場所出力タイミング出力メッセージID
ログインログインボタンクリック時,またはシングルサインオンによりログインした時KDPF80201-I
または
KDPF80202-W
ログアウトログアウトボタンクリック時,またはセッションタイムアウトによりログアウトした時KDPF80203-I
または
KDPF80204-W

(b) 「ConfigurationAccess」(設定情報アクセス)

「ConfigrationAccess」(設定情報アクセス)の出力一覧を次に示します。

表8-12 設定情報アクセスの出力一覧

出力場所出力タイミング出力メッセージID
運用管理ポートレットユーザ管理新規ユーザ作成画面でOKボタンをクリックした時KDPF80401-I
または
KDPF80402-W
運用管理ポートレットユーザ管理ユーザ情報変更画面でOKボタンを押した時KDPF80403-I
または
KDPF80404-W
運用管理ポートレットユーザ管理ユーザ削除画面でOKボタンを押した時KDPF80405-I
または
KDPF80406-W
運用管理ポートレットグループ管理管理者条件編集画面でOKボタンを押した時KDPF80407-I
または
KDPF80408-W
運用管理ポートレットグループ管理利用者条件編集画面でOKボタンを押した時KDPF80409-I
または
KDPF80410-W

(c) 「ContentAccess」(重要情報アクセス)

「ContentAccess」(重要情報アクセス)の出力一覧を次に示します。

表8-13 重要情報アクセスの出力一覧

出力場所出力タイミング出力メッセージID
パスワード変更画面パスワード変更画面で変更ボタンをクリックした時KDPF80801-I
または
KDPF80802-W
運用管理ポートレットユーザ管理ユーザ情報設定のパスワード変更画面でOKボタンをクリックした時KDPF80801-I
または
KDPF80802-W