イベントサービスを使用するために,監査ログ収集対象サーバで監査ログ専用イベントサーバを設定します。
この作業は,監査ログ収集対象サーバのOSがWindowsとUNIXのどちらの場合でも必要です。ただし,「(2) 監査ログ専用イベントサーバを登録する」は,監査ログ収集対象サーバのOSがWindowsの場合にだけ必要となります。OSがUNIXの場合は実施する必要はありません。
監査ログ専用イベントサーバの設定内容について,次に説明します。
(1) 監査ログ専用イベントサーバ用のフォルダを作成する
監査ログ専用イベントサーバの定義ファイルやイベントデータベースなどを格納するフォルダをローカルディスク上に作成します。なお,フォルダ名は任意です。
この作業は,監査ログ収集対象サーバのOSがWindowsとUNIXのどちらの場合でも必要です。
以降,ここで作成したフォルダのことをWindowsの場合は「監査ログ専用フォルダ」,UNIXの場合は「監査ログ専用ディレクトリ」と呼びます。
監査ログ専用フォルダの作成例について次に説明します。
作成例を次に示します。
作成例は,Windowsの場合のものです。UNIXの場合は,監査ログ専用ディレクトリとして「/shdhd/jp1netmadm/event」などを設定してください。
(2) 監査ログ専用イベントサーバを登録する
監査ログ専用イベントサーバを登録します。
この作業は,監査ログ収集対象サーバのOSがWindowsの場合にだけ必要です。OSがUNIXの場合は実施する必要はありません。
次に示すコマンドを実行してください。
jevregsvc△-r△監査ログ専用イベントサーバ名 |
監査ログ専用イベントサーバ名は,監査ログ収集対象サーバのホスト名のあとに「-adm」を付けて設定してください。監査ログ収集対象サーバのホスト名が「host01」の場合,監査ログ専用イベントサーバ名は「host01-adm」になります。なお,監査ログ専用イベントサーバ名の大文字と小文字は区別されます。
jevregsvcコマンドの詳細については,マニュアル「JP1/Base 運用ガイド」を参照してください。
(a) 登録した監査ログ専用イベントサーバの確認方法
監査ログ専用イベントサーバが正しく登録されていることを確認する手順を次に示します。
(3) イベントサービスの設定ファイルをコピーする
イベントサービスの設定ファイル(モデルファイル)を「(1) 監査ログ専用イベントサーバ用のフォルダを作成する」で作成した監査ログ専用フォルダにコピーします。
この作業は,監査ログ収集対象サーバのOSがWindowsとUNIXのどちらの場合でも必要です。
コピーするモデルファイルは次に示す二つです。
これらのモデルファイルを,次の表に示す格納先フォルダから「(1) 監査ログ専用イベントサーバ用のフォルダを作成する」で作成した監査ログ専用フォルダへコピーします。
表5-1 モデルファイルの格納先フォルダ
項番 | OSの種類 | 格納先フォルダ |
---|---|---|
1 | Windows | JP1/Baseインストール先フォルダ¥conf¥event¥servers¥default |
2 | UNIX | /etc/opt/jp1base/conf/event/servers/default |
なお,コピー元のファイルには,ファイル名の末尾にモデルファイルであることを示す「.model」が付いています。コピー先ではこの拡張子を削除し,ファイル名を「conf」または「forward」に変更してください。
(4) イベントサービスのイベントサーバ設定ファイル(confファイル)を編集する
イベントサービスのイベントサーバ設定ファイル(confファイル)を編集します。
この作業は,監査ログ収集対象サーバのOSがWindowsとUNIXのどちらの場合でも,必要です。
「(3) イベントサービスの設定ファイルをコピーする」で監査ログ専用フォルダへコピーした設定ファイルのうち,confファイルを編集して,イベントサービスの動作環境を設定します。
confファイルのファイルパスや設定内容について次の表に示します。
表5-2 イベントサービスのconfファイル
項番 | OSの種類 (監査ログ収集対象サーバ) | ファイルパス | 設定内容 |
---|---|---|---|
1 | Windows | 監査ログ専用フォルダ¥conf | portsパラメーターでは,次に示す内容を定義します。
|
2 | UNIX | 監査ログ専用ディレクトリ/conf |
イベントサービスのconfファイルの設定例について次に説明します。
設定例の条件を次の表に示します。
表5-3 設定例での条件(イベントサービスのconfファイル)
項番 | 項目 | この例での値 |
---|---|---|
1 | 監査ログ収集対象サーバのIPアドレス | 172.16.1.10 |
2 | 監査ログ専用イベントサーバの転送用ポート番号※ | 24101 |
3 | 監査ログ専用イベントサーバのAPI用ポート番号※ | 24102 |
4 | 監査ログ管理サーバのイベントサーバ名 | audithost |
5 | 監査ログ管理サーバのIPアドレス | 172.16.1.100 |
設定例を次に示します。
#portsパラメーターのデフォルトの記述を変更する。 |
(5) イベントサービスの転送設定ファイル(forwardファイル)を編集する
イベントサービスの転送設定ファイル(forwardファイル)を編集します。
この作業は,監査ログ収集対象サーバのOSがWindowsとUNIXのどちらの場合でも,必要です。
「(3) イベントサービスの設定ファイルをコピーする」で監査ログ専用フォルダへコピーした設定ファイルのうち,forwardファイルを編集して,イベントサービスのイベントの転送設定をします。
forwardファイルを編集することによって,監査ログ管理サーバに,イベントデータベースの切り替えの発生を知らせるJP1イベントが転送されるようになります。
なお,監査ログ管理サーバでは,このJP1イベントを受信したときに,収集対象となる監査ログを監査ログ管理データベースに収集します。
イベントサービスのforwardファイルのファイルパスや設定内容について次の表に示します。
表5-4 イベントサービスのforwardファイル
項番 | OSの種類 (監査ログ収集対象サーバ) | ファイルパス | 設定内容 |
---|---|---|---|
1 | Windows | 監査ログ専用フォルダ¥forward | パラメーターには,次に示す内容を定義します。
|
2 | UNIX | 監査ログ専用ディレクトリ/forward |
forwardファイルの設定例について次に説明します。
設定例の条件を次の表に示します。
表5-5 設定例での条件(イベントサービスのforwardファイル)
項番 | 項目 | この例での値 |
---|---|---|
1 | 監査ログ管理サーバのイベントサーバ名 | audithost |
2 | イベントデータベースの切り替えの発生を知らせるイベントID | 00003D00 |
設定例を次に示します。
to△audithost↓ |
(6) JP1/Baseの動作環境設定ファイルを編集する
次に示すJP1/Baseの動作環境設定ファイルを編集します。
この作業は,監査ログ収集対象サーバのOSがWindowsとUNIXのどちらの場合でも,必要です。
(a) イベントサーバインデックスファイル(indexファイル)を編集する
イベントサーバインデックスファイル(indexファイル)を編集します。
indexファイルのファイルパスや設定内容について次の表に示します。なお,indexファイルは,「JP1/Base Event 監査ログ専用イベントサーバ名」のイベントサービスが停止されているかどうかを確認してから編集してください。稼働中に設定を変更すると,イベントサービスの開始や停止ができなくなります。
表5-6 JP1/Baseのindexファイル
項番 | OSの種類 (監査ログ収集対象サーバ) | ファイルパス | 設定内容 |
---|---|---|---|
1 | Windows | JP1/Baseインストール先フォルダ¥conf¥event¥index | serverパラメーターを追加して,イベントサービスを定義します。 |
2 | UNIX | /etc/opt/jp1base/conf/event/index |
indexファイルの設定例について次に説明します。
設定例での条件を次の表に示します。
表5-7 設定例での条件(収集対象サーバ上のJP1/Baseのindexファイル)
項番 | 項目 | この例での値 |
---|---|---|
1 | 監査ログ専用イベントサーバ名※1 | host01-adm |
2 | 専用イベントサーバ用のフォルダ※2 | E:¥jp1netmadm¥event※3 |
設定例を次に示します。
server△host01-adm△E:¥jp1netmadm¥event↓ |
(b) API設定ファイル(apiファイル)を編集する
API設定ファイル(apiファイル)を編集します。
apiファイルのファイルパスや設定内容について次の表に示します。
表5-8 JP1/Baseのapiファイル
項番 | OSの種類 (監査ログ収集対象サーバ) | ファイルパス | 設定内容 |
---|---|---|---|
1 | Windows | JP1/Baseインストール先フォルダ¥conf¥event¥api | serverパラメーターを追加して,監査ログ専用イベントサーバのIPアドレスとAPI用ポート番号を定義します。 |
2 | UNIX | /etc/opt/jp1base/conf/event/api |
apiファイルの設定例について次に説明します。
設定例での条件を次の表に示します。
表5-9 設定例での条件(収集対象サーバ上のJP1/Baseのapiファイル)
項番 | 項目 | この例での値 |
---|---|---|
1 | 監査ログ専用イベントサーバ名※1 | host01-adm |
2 | 監査ログ専用イベントサーバのIPアドレス | 172.16.1.10 |
3 | 監査ログ専用イベントサーバのAPI用ポート番号※2 | 24102 |
設定例を次に示します。
server△host01-adm△keep-alive△172.16.1.10△24102↓ |
(7) イベントサービスを自動的に起動する
監査ログ収集対象サーバで出力された監査ログを監査ログ専用イベントサーバに蓄積するために,イベントサービスを起動させておく必要があります。
イベントサービスをOS起動時に自動的に起動するように設定します。
この作業は,監査ログ収集対象サーバのOSがWindowsとUNIXのどちらの場合でも,必要です。ただし,OSによって設定方法が異なります。OSがWindowsとUNIXの場合について,それぞれ説明します。
(a) Windowsの場合
JP1/Baseの起動順序定義ファイル(JP1/Baseのインストール先フォルダ¥conf¥boot¥Jp1svprm.dat)をテキストエディタで開いて記述を編集します。JP1/Baseのインストール先フォルダについては,マニュアル「JP1/Base 運用ガイド」を参照してください。
設定例を次に示します。
#イベントログトラップ機能を定義する記述より前に記述を追加し,先に起動されるように設定する。 |
監査ログ専用イベントサーバ名は,監査ログ収集対象サーバのホスト名のあとに「-adm」を付けて設定してください。
なお,デフォルトで自動起動する設定になっていて,かつ監査ログ収集対象サーバとしてインストールされていない製品については,不要なサービスとしてコメント化してください。
イベントサービスは手動でも起動できます。必ずイベントサービスの起動後に,イベントログトラップ機能を起動してください。イベントログトラップ機能を起動する方法については「5.4.3(5) イベントログトラップ機能を自動的に起動する」を参照してください。
イベントサービスを手動で開始する方法を次に示します。
開始する場合と同様の方法でイベントサービスを停止できます。
(b) UNIXの場合
自動起動用のスクリプトを作成し,作成したスクリプトにリンクの設定をすることで自動起動を設定します。
OSごとのスクリプトの格納先および作成例を次に示します。OSごとのリンクの設定方法については,マニュアル「JP1/Base 運用ガイド」を参照してください。
#!/bin/sh↓ |
#!/bin/sh↓ |
#△mkitab△-i△jp1base△"jp1netmadm:2:wait:/opt/jp1base/bin/jevstart△監査ログ専用イベントサーバ名"↓ |
test△-x△/opt/jp1base/bin/jevstop△&&△/opt/jp1base/bin/jevstop△監査ログ専用イベントサーバ名↓ |
#!/bin/sh↓ |
監査ログ専用イベントサーバ名は,監査ログ収集対象サーバのホスト名のあとに「-adm」を付けて設定してください。
イベントサービスは手動でも起動や停止ができます。
次に示すコマンドを実行して起動します。
jevstart△監査ログ専用イベントサーバ名 |
次に示すコマンドを実行して停止します。
jevstop△監査ログ専用イベントサーバ名 |
なお,監査ログ専用イベントサーバ名の大文字と小文字は区別されます。
jevstartコマンドの詳細については,マニュアル「JP1/Base 運用ガイド」を参照してください。