5.4.5 UNIXシステムログの変換設定をする

監査ログ収集対象サーバで出力されたUNIXシステムログを監査ログとして収集したい場合,UNIXシステムログを変換するのに必要な設定をします。

この作業は,UNIXシステムログをJP1/NETM/Audit - Managerの監査ログとして収集しない場合は不要です。

<この項の構成>
(1) UNIXのログファイルの変換コマンドをコピーする
(2) 情報を出力するためのシステムログファイルを作成する
(3) UNIXのログファイルの変換コマンドをcronデーモンへ登録する
(4) UNIXシステムログを収集する場合の注意事項

(1) UNIXのログファイルの変換コマンドをコピーする

UNIXのログファイルを変換するのに必要なコマンドファイルを,監査ログ管理サーバから監査ログ収集対象サーバへコピーします。FTPを使用する場合はバイナリモードで転送してください。

監査ログ管理サーバでのそれぞれのファイルの格納先フォルダは,コピー先となる監査ログ収集対象サーバのOSごとに異なります。監査ログ管理サーバ上のコピー元のファイルと,監査ログ収集対象サーバ上でのコピー先を次の表に示します。

表5-17 コピー元のファイルとコピー先(ログファイルトラップ機能)

項番OSの種類
(監査ログ収集対象サーバ)
コピー元ファイルの格納先フォルダ
(監査ログ管理サーバ)
コピー元ファイル
(監査ログ管理サーバ)
コピー先のディレクトリ
(監査ログ収集対象サーバ)
1HP-UX 11i (PA-RISC)JP1/NETM/Audit - Managerのインストール先フォルダ¥tools¥hpux¥v1admuxlogcol/opt/jp1netmaudit/manager/bin
2HP-UX 11i V2 (PA-RISC)以降JP1/NETM/Audit - Managerのインストール先フォルダ¥tools¥hpux¥v2
3HP-UX (IPF)JP1/NETM/Audit - Managerのインストール先フォルダ¥tools¥hpux¥ipf
4SolarisJP1/NETM/Audit - Managerのインストール先フォルダ¥tools¥solaris
5AIXJP1/NETM/Audit - Managerのインストール先フォルダ¥tools¥aix
6LinuxJP1/NETM/Audit - Managerのインストール先フォルダ¥tools¥linux
7Linux (IPF)JP1/NETM/Audit - Managerのインストール先フォルダ¥tools¥linux¥ipf
注※
コピーしたファイル名は変更しないでください。

なお,対象となる変換コマンドの所有者,グループ,およびパーミッションを適切な値に設定しておく必要があります。対象となる変換コマンドの所有者,グループ,およびパーミッションの設定値を次の表に示します。

表5-18 所有者,グループ,およびパーミッションの設定値(UNIXのログファイルの変換コマンド)

変換コマンド所有者グループパーミッション
/opt/jp1netmaudit/manager/bin/admuxlogcolrootsys500
注※
OSの種類がAIXの場合は,「system」と設定してください。

(2) 情報を出力するためのシステムログファイルを作成する

UNIXシステムログを収集するには,ログイン,ログアウト,またはユーザ権限変更などの収集対象を格納するためのシステムログファイルが必要です。収集対象を格納するシステムログファイルが存在するかどうかを確認し,存在しない場合はログファイルを作成してください。なお,ユーザ権限変更を格納するためのシステムログファイルが存在する場合は,必要に応じて,ファイルをバックアップ後,ファイルを再作成してください。

システムログファイルの作成方法の詳細については,各OSのマニュアルを参照してください。

OSが出力する収集情報およびシステムログのファイル名を次の表に示します。

表5-19 OSが出力する収集情報およびファイル名

項番収集情報ファイル名
1ログイン,ログアウト
  • HP-UX 11i (PA-RISC)の場合
    /var/adm/wtmp
  • HP-UX 11i V2(PA-RISC)以降またはHP-UX (IPF)の場合
    /var/adm/wtmps
  • AIXの場合
    /var/adm/wtmp
  • Solarisの場合
    /var/adm/wtmpx
  • Linuxの場合
    /var/log/wtmp
2ログイン失敗
  • HP-UX 11i (PA-RISC)の場合
    /var/adm/btmp
  • HP-UX 11i V2 (PA-RISC)以降,HP-UX (IPF)の場合
    /var/adm/btmps
  • AIXの場合
    /etc/security/failedlogin
  • Solarisの場合
    /var/adm/loginlog
  • Linuxの場合
    /var/log/btmp
3ユーザ権限の変更
  • HP-UXの場合
    /var/adm/sulog
  • AIXの場合
    /var/adm/sulog
  • Solarisの場合
    /var/adm/sulog
注※
OSの種類がLinuxの場合は,ユーザ権限の変更情報は収集できません。

(3) UNIXのログファイルの変換コマンドをcronデーモンへ登録する

UNIXシステムログを定期的にデータ変換したり収集したりするために,UNIXのログファイルの変換コマンドをcronデーモンへ登録します。crontabへの登録は,rootユーザで実施してください。

なお,UNIXのログファイルの変換コマンドを実行する周期は,監査ログ管理サーバで監査ログを収集する周期を考慮し,設定してください。

cronデーモンへの登録例
ログイン,ログアウト情報を毎日20時に変換したい場合の登録例を次に示します。

0△20△*△*△*△/opt/jp1netmaudit/manager/bin/admuxlogcol△-t△login

cronデーモンへの登録の詳細は,各OSのマニュアルを参照してください。

(4) UNIXシステムログを収集する場合の注意事項

UNIXシステムログを監査ログとして収集する場合の注意事項を次に示します。