Windowsイベントログに出力されるログをJP1/NETM/Audit - Managerの監査ログとして収集したい場合に,イベントログトラップ機能を設定します。
Windowsイベントログに出力されるログを次に示します。
これらのログをJP1/NETM/Audit - Managerの監査ログとして収集しない場合,この作業は不要です。
(1) JP1/NETM/Audit - Managerの監査ログとして出力するための設定
Windowsイベントログに出力されるログをJP1/NETM/Audit - Managerの監査ログとして出力するための設定をします。
(a) Windowsの監査ポリシーを設定する
Windowsイベントログ(セキュリティに関する情報)をJP1/NETM/Audit - Managerの監査ログとして出力するために,Windowsの監査ポリシーを設定します。
Windowsイベントログ(セキュリティに関する情報)をJP1/NETM/Audit - Managerの監査ログとして収集しない場合,この作業は不要です。
コントロールパネルの「管理ツール」から「ローカルセキュリティポリシー」,「ドメインセキュリティポリシー」,または「ドメインコントローラセキュリティポリシー」を開いて,「ローカルポリシー」下の「監査ポリシー」の設定を変更してください。
「監査ポリシー」の「ログオン イベントの監査」および「アカウント管理の監査」を設定します。「ログオン イベントの監査」および「アカウント管理の監査」を設定することで,ログオン イベントおよびアカウント管理のイベントを出力できます。それぞれの設定内容を次に示します。
監査ポリシーの設定の詳細については,Windowsのマニュアルを参照してください。
(b) Oracleのパラメーターファイル(init.ora)を編集する
OracleのログをJP1/NETM/Audit - Managerの監査ログとして出力するために,Oracleのパラメーターファイル(init.ora)を編集します。
OracleのログをJP1/NETM/Audit - Managerの監査ログとして収集しない場合,この作業は不要です。
なお,パラメーターファイルの「audit_trail」には「OS」を設定してください。「OS」を設定すると,監視されたレコードがシステム単位でイベントビューアに書き込まれ,イベントログとして出力されます。
設定例を次に示します。
Oracleのパラメーターファイル(init.ora)の設定例
##init.ora###################### |
パラメーターファイルの編集方法の詳細は,Oracleのマニュアルを参照してください。
(2) JP1/Baseの動作定義ファイル(ntevent.conf)を編集する
動作定義ファイル(ntevent.conf)で,イベントログトラップ機能の動作環境を設定します。
この作業は,Windowsイベントログに出力されるログをJP1/NETM/Audit - Managerの監査ログとして収集したい場合に必要です。
Windowsイベントログに出力されるログについての定義を,次に示すファイルへ追加します。JP1/Baseのインストール先フォルダについては,マニュアル「JP1/Base 運用ガイド」を参照してください。
動作定義ファイル(ntevent.conf)の定義内容は,収集対象となるプログラムによって異なります。定義内容については,プログラムごとに次に示す個所を参照してください。
(a) Windowsイベントログを収集する場合の定義内容(動作定義ファイル(ntevent.conf))
Windowsイベントログ(セキュリティに関する情報)を収集する場合に,動作定義ファイル(ntevent.conf)で定義する内容について説明します。
この作業は,Windowsイベントログ(セキュリティに関する情報)をJP1/NETM/Audit - Managerの監査ログとして収集したい場合に必要です。
JP1/NETM/Audit - Managerで収集できるWindowsイベントログ(セキュリティに関する情報)のイベントIDを次に示します。
Windowsイベントログ(セキュリティに関する情報)を収集する場合の動作定義ファイル(ntevent.conf)の設定例について次に説明します。
設定例の条件を次に示します。
設定例を次に示します。
filter△"Security"↓ |
動作定義ファイル(ntevent.conf)の詳細については,マニュアル「JP1/Base 運用ガイド」を参照してください。
(b) Oracleのログを収集する場合の定義内容(動作定義ファイル(ntevent.conf))
Oracleのログを収集する場合に,動作定義ファイル(ntevent.conf)で定義する内容について説明します。
この作業は,OracleのログをJP1/NETM/Audit - Managerの監査ログとして収集したい場合に必要です。
JP1/NETM/Audit - Managerで収集できるOracleのログのイベントIDを次に示します。
Oracleのログを収集する場合の動作定義ファイル(ntevent.conf)の設定例について次に説明します。
設定例の条件を次に示します。
設定例を次に示します。
filter△"Application"↓ |
JP1/Baseの動作定義ファイル(ntevent.conf)の詳細は,マニュアル「JP1/Base 運用ガイド」を参照してください。
(c) Hitachi Storage Command Suiteのログを収集する場合の定義内容(動作定義ファイル(ntevent.conf))
Hitachi Storage Command Suite(Windowsの場合)のログを収集する場合に,動作定義ファイル(ntevent.conf)で定義する内容について説明します。
この作業は,Hitachi Storage Command Suite(Windowsの場合)のログをJP1/NETM/Audit - Managerの監査ログとして収集したい場合に必要です。
JP1/NETM/Audit - Managerで収集できるHitachi Storage Command Suite(Windowsの場合)のログのイベントIDを次に示します。
Hitachi Storage Command Suite(Windowsの場合)のログを収集する場合の動作定義ファイル(ntevent.conf)の設定例について次に説明します。
設定例の条件を次に示します。
設定例を次に示します。
filter△"Application"↓ |
JP1/Baseの動作定義ファイル(ntevent.conf)の詳細は,マニュアル「JP1/Base 運用ガイド」を参照してください。
(3) イベントログトラップ機能のイベントサーバ設定ファイル(confファイル)を編集する
イベントログトラップ機能のイベントサーバ設定ファイル(confファイル)を編集します。
この作業は,Windowsイベントログに出力されるログをJP1/NETM/Audit - Managerの監査ログとして収集したい場合に必要です。
次に示すファイルを編集して,イベントログトラップ機能の動作環境を設定します。JP1/Baseのインストール先フォルダについては,マニュアル「JP1/Base 運用ガイド」を参照してください。
イベントログトラップ機能のconfファイルの設定例について次に説明します。
設定例の条件を次の表に示します。
表5-12 設定例での条件(イベントログトラップ機能のconfファイル)
項番 | 項目 | この例での値 |
---|---|---|
1 | 監査ログ専用イベントサーバ名 | host01-adm |
2 | 監査ログ専用イベントサーバのIPアドレス | 172.16.1.10 |
3 | 監査ログ専用イベントサーバの転送用ポート番号※ | 24101 |
設定例を次に示します。
remote-server△host01-adm△close△172.16.1.10△24101↓ |
(4) イベントログトラップ機能の転送設定ファイル(forwardファイル)を編集する
イベントログトラップ機能の転送設定ファイル(forwardファイル)を編集します。
この作業は,Windowsイベントログに出力されるログをJP1/NETM/Audit - Managerの監査ログとして収集したい場合に必要です。
監査ログ収集対象サーバのイベントサーバで収集したイベントログが監査ログ専用イベントサーバに転送させるための設定を,次に示すファイルへ追加します。JP1/Baseのインストール先フォルダについては,マニュアル「JP1/Base 運用ガイド」を参照してください。
forwardファイルの定義内容は,収集対象となるプログラムによって異なります。さらに,Windowsイベントログに出力される複数のプログラムのログを収集する場合もforwardファイルの定義内容が異なります。定義内容については,プログラムごとに次に示す個所を参照してください。
(a) Windowsイベントログを収集する場合の定義内容(転送設定ファイル(forwardファイル))
Windowsイベントログ(セキュリティに関する情報)を収集する場合に,forwardファイルで定義する内容について説明します。
この作業は,Windowsイベントログ(セキュリティに関する情報)だけをJP1/NETM/Audit - Managerの監査ログとして収集したい場合に必要です。Windowsイベントログに出力されるほかのログも収集したい場合は「(d) Windowsイベントログに出力される複数のプログラムのログを収集する場合の定義内容(転送設定ファイル(forwardファイル))」を参照してください。
JP1/NETM/Audit - Managerで収集できるWindowsイベントログ(セキュリティに関する情報)のイベントIDを次に示します。
Windowsイベントログ(セキュリティに関する情報)を収集する場合のforwardファイルの設定例について次に説明します。
設定例の条件を次の表に示します。
表5-13 設定例での条件(Windowsイベントログ(セキュリティに関する情報)を収集する場合のforwardファイル)
項番 | 項目 | この例での値 (Windows 2000,Windows XP,またはWindows Server 2003の場合) | この例での値 (Windows Server 2008の場合) |
---|---|---|---|
1 | 監査ログ専用イベントサーバ名 | host01-adm | |
2 | 転送するイベントログ | 次に示すイベントIDのイベントログ 「528~529」,「531~540」 | 次に示すイベントIDのイベントログ 「4624~4625」,「4634」 |
設定例を次に示します。
to△host01-adm↓ |
to△host01-adm↓ |
(b) Oracleのログを収集する場合の定義内容(転送設定ファイル(forwardファイル))
Oracleのログを収集する場合に,forwardファイルで定義する内容について説明します。
この作業は,OracleのログだけをJP1/NETM/Audit - Managerの監査ログとして収集したい場合に必要です。Windowsイベントログに出力されるほかのログも収集したい場合は「(d) Windowsイベントログに出力される複数のプログラムのログを収集する場合の定義内容(転送設定ファイル(forwardファイル))」を参照してください。
JP1/NETM/Audit - Managerで収集できるOracleのログのイベントIDを次に示します。
Oracleのログを収集する場合のforwardファイルの設定例について次に説明します。
設定例の条件を次の表に示します。
表5-14 設定例での条件(Oracleのログを収集する場合のforwardファイル)
項番 | 項目 | この例での値 |
---|---|---|
1 | 監査ログ専用イベントサーバ名 | host01-adm |
2 | 転送するイベントログ | 次に示すイベントIDのイベントログ 「34」 |
設定例を次に示します。
to△host01-adm↓ |
(c) Hitachi Storage Command Suiteのログを収集する場合の定義内容(転送設定ファイル(forwardファイル))
Hitachi Storage Command Suite(Windowsの場合)のログを収集する場合に,forwardファイルで定義する内容について説明します。
この作業は,Hitachi Storage Command Suite(Windowsの場合)のログだけをJP1/NETM/Audit - Managerの監査ログとして収集したい場合に必要です。Windowsイベントログに出力されるほかのログも収集したい場合は「(d) Windowsイベントログに出力される複数のプログラムのログを収集する場合の定義内容(転送設定ファイル(forwardファイル))」を参照してください。
JP1/NETM/Audit - Managerで収集できるHitachi Storage Command Suite(Windowsの場合)のログのイベントIDを次に示します。
Hitachi Storage Command Suite(Windowsの場合)のログを収集する場合のforwardファイルの設定例について次に説明します。
設定例の条件を次の表に示します。
表5-15 設定例での条件(Hitachi Storage Command Suite(Windowsの場合)のログを収集する場合のforwardファイル)
項番 | 項目 | この例での値 |
---|---|---|
1 | 監査ログ専用イベントサーバ名 | host01-adm |
2 | 転送するイベントログ | 次に示すイベントIDのイベントログ 「1」 |
設定例を次に示します。
to△host01-adm↓ |
(d) Windowsイベントログに出力される複数のプログラムのログを収集する場合の定義内容(転送設定ファイル(forwardファイル))
Windowsイベントログに出力される複数のプログラムのログを収集したい場合に,forwardファイルで定義する内容について説明します。
ここでは,Windowsイベントログ(セキュリティに関する情報)とOracleのログの両方を監査ログとして収集する場合の設定例を示します。
Windowsイベントログにログが出力されるプログラムを,複数設定するときの詳細については,マニュアル「JP1/Base 運用ガイド」を参照してください。
JP1/NETM/Audit - Managerで収集できるログのイベントIDについては,プログラムごとに次に示す個所を参照してください。
設定例の条件を次の表に示します。
表5-16 設定例での条件(Windowsイベントログ(セキュリティに関する情報)およびOracleのログを収集する場合のforwardファイル)
項番 | 項目 | この例での値 |
---|---|---|
1 | 監査ログ専用イベントサーバ名 | host01-adm |
2 | 転送するイベントログ(Windowsイベントログ(セキュリティに関する情報)) | 次に示すイベントIDのイベントログ 「528~529」,「531~540」 |
3 | 転送するイベントログ(Oracleのログ) | 次に示すイベントIDのイベントログ 「34」 |
設定例を次に示します。
to△host01-adm↓ |
(5) イベントログトラップ機能を自動的に起動する
Windowsイベントログに出力されるログをJP1/NETM/Audit - Managerの監査ログとして出力するために,イベントログトラップ機能を起動させておく必要があります。
JP1/Baseのイベントログトラップ機能がOS起動時に自動的に起動するように設定します。
イベントサービスの起動後にイベントログトラップ機能が起動するように,JP1/Baseの起動順序定義ファイル(JP1/Baseのインストール先フォルダ¥conf¥boot¥Jp1svprm.dat)を編集します。「5.4.1(7) イベントサービスを自動的に起動する」で編集した起動順序定義ファイルをテキストエディタで開いて記述を編集します。JP1/Baseのインストール先フォルダについては,マニュアル「JP1/Base 運用ガイド」を参照してください。
設定例を次に示します。
#イベントサービスを定義する記述よりあとに記述を追加し,イベントサービスが先に起動されるように設定する。 |
起動順序定義ファイルの設定内容については,マニュアル「JP1/Base 運用ガイド」を参照してください。
イベントログトラップ機能を自動的に起動する設定にしたあと,OSを再起動し,イベントサービスおよびイベントログトラップ機能が自動的に起動されるかどうかを確認してください。確認方法はWindowsとUNIXで異なります。それぞれの確認方法を次に示します。
なお,イベントサービスおよびイベントログトラップ機能が起動されても,収集対象の監視は開始されません。収集対象の監視は,[監査ログ収集マネージャ]ウィンドウで監視を開始するための設定をした時点から開始されます。
イベントログトラップ機能は手動でも起動できます。必ずイベントサービスを起動後に,イベントログトラップ機能を起動してください。イベントサービスを起動する方法については「5.4.1(7) イベントサービスを自動的に起動する」を参照してください。
イベントログトラップ機能を手動で開始する方法を次に示します。
開始する場合と同様の方法でイベントログトラップ機能を停止できます。