2.2.1 監査ログの収集の仕組み
各業務で使用している監査ログ収集対象サーバから,監査ログ管理サーバに監査ログを収集する仕組みを次の図に示します。
図2-2 監査ログ収集の仕組み
![[図データ]](figure/zu020020.gif)
監査ログを収集する仕組みを,監査ログ管理サーバおよび監査ログ収集対象サーバに分けて説明します。
- <この項の構成>
- (1) 監査ログ管理サーバ
- (2) 監査ログ収集対象サーバ
(1) 監査ログ管理サーバ
監査ログ専用イベントサーバのイベントデータベースに格納されている監査ログを,JP1イベントとして収集し,監査ログ管理サーバのデータベース(監査ログ管理データベース)で一元管理します。
(2) 監査ログ収集対象サーバ
監査ログ収集対象プログラムからファイルに出力される監査ログ,Windowsイベントログに出力される監査ログ,およびUNIXシステムログは,自動的に監査ログ専用イベントサーバのイベントデータベースに格納されます。
- ファイルに出力される監査ログ
- ファイルに出力される監査ログは,JP1/Baseのログファイルトラップ機能によって,JP1イベントに変換され,監査ログ専用イベントサーバのイベントデータベースに格納されます。
- 監査ログ専用サーバのイベントデータベースに格納される仕組みを次の図に示します。
図2-3 監査ログ専用サーバのイベントデータベースに格納される仕組み
![[図データ]](figure/zu020180.gif)
- Windowsイベントログに出力される監査ログ
- Windowsイベントログに出力される監査ログは,JP1/Baseのイベントサーバ(物理イベントサーバ)のイベントデータベースに格納されます。
- Windowsイベントログに出力される監査ログを次に示します。
- Windowsイベントログ
- Oracleのログ
- Hitachi Storage Command Suiteのログ(Windowsの場合)
- これらのログは,JP1/Baseのイベントサーバのイベントデータベースから監査ログ専用イベントサーバへ転送が必要になります。監査ログ専用イベントサーバへの転送設定をすることで,JP1/Baseのイベントログトラップ機能によって,イベントサーバ(物理イベントサーバ)のイベントデータベースから,監査ログ専用イベントサーバのイベントデータベースに転送されます。
- このイベント転送の仕組みを次の図に示します。
図2-4 イベント転送の仕組み
![[図データ]](figure/zu020150.gif)
- UNIXシステムログ
- ユーザの操作としてログイン・ログアウトなどの事象が発生すると,UNIXシステムログに成功や失敗などの情報が出力されます。出力されたUNIXシステムログの情報は,JP1/NETM/Audit - Managerが提供するadmuxlogcolコマンドによって,監査ログの統一フォーマットに従った形式に変換されます。その後,変換されたログは,JP1/Baseのログファイルトラップ機能によって,JP1イベントに変換され,監査ログ専用イベントサーバのイベントデータベースに格納されます。
- 監査ログ専用イベントデータベースに格納されたUNIXシステムログの情報は,監査ログ収集マネージャでJP1/NETM/Audit - Managerの収集対象に設定することで,監査ログとして収集できるようになります。
- 監査ログとして収集する前に,UNIXシステムログを変換しておく必要があるため,定期的にadmuxlogcolコマンドが実行されるようにcronへ登録してください。また,admuxlogcolコマンドが実行されるタイミングは,監査ログを収集するタイミングに合わせることをお勧めします。
- UNIXシステムログが収集される仕組みを次の図に示します。
図2-5 UNIXシステムログが収集される仕組み
![[図データ]](figure/zu020170.gif)
- JP1/Baseのイベントログトラップ機能およびログファイルトラップ機能については,マニュアル「JP1/Base 運用ガイド」を参照してください。
●クラスタ環境の場合
監査ログ収集対象サーバをクラスタ環境で運用している場合も,基本的な仕組みはクラスタ環境で運用していない場合と同様ですが,さらに次のような仕組みになっています。