5.4.2 JP1/Baseのイベントサービスを設定する

イベントサービスを使用するために,監査ログ収集対象サーバで監査ログ専用イベントサーバを設定します。

監査ログ専用イベントサーバ名は,監査ログ収集対象サーバのホスト名のあとに「-adm」を付けて設定してください。監査ログ収集対象サーバのホスト名が「Host01」の場合,監査ログ専用イベントサーバ名は「Host01-adm」になります。なお,監査ログ専用イベントサーバ名の大文字と小文字は区別されます。

この作業は,監査ログ収集対象サーバのOSがWindowsとUNIXのどちらの場合でも必要です。

監査ログ専用イベントサーバの設定内容について,次に説明します。

<この項の構成>
(1) 監査ログ専用イベントサーバの構築前に準備すること
(2) 監査ログ専用イベントサーバを構築する
(3) 監査ログ専用イベントサーバの環境情報を変更する
(4) イベントサービスを自動的に起動する

(1) 監査ログ専用イベントサーバの構築前に準備すること

監査ログ専用イベントデータベースを作成するために,次の事前準備をします。

(2) 監査ログ専用イベントサーバを構築する

admagtsetupコマンドを実行し,監査ログ専用イベントサーバを構築します。構築に必要な環境情報を次の表に示します。

表5-5 監査ログ専用イベントサーバの構築に必要な環境情報

項番対象サーバ項目
1監査ログ管理サーバホスト名
2IPアドレス
3JP1/Baseのイベントサーバの転送用ポート番号
4監査ログ収集対象サーバホスト名
5IPアドレス
6監査ログ専用フォルダ(監査ログ専用ディレクトリ)
7監査ログ専用イベントデータベースのサイズ
8監査ログ専用イベントサーバの転送用ポート番号
9監査ログ専用イベントサーバのAP用ポート番号

これらの環境情報は次のどちらかの方法で指定してください。

コマンドの引数で指定する
引数で指定する方法については「12. コマンド」の「admagtsetup(監査ログ専用イベントサーバの環境セットアップ)」を参照してください。
監査ログ収集対象サーバセットアップ定義ファイルで指定する
JP1/NETM/Audit - Managerで提供するモデルファイル(admagtsetup.conf.model)をコピーして指定します。コピー先のファイル名は任意です。
モデルファイルの格納先および監査ログ収集対象サーバセットアップ定義ファイルの設定方法については「13.9 監査ログ収集対象サーバセットアップ定義ファイル」を参照してください。

admagtsetupコマンドを実行すると,引数または監査ログ収集対象サーバセットアップ定義ファイルで指定した監査ログ専用フォルダ(監査ログ専用ディレクトリ)の配下に「jp1netmaudit¥event」(「jp1netmaudit/event」)が作成されます。このフォルダに,監査ログ専用イベントサーバ用の環境設定ファイルが作成されます。また,JP1/Baseの定義ファイルに監査ログ専用イベントデータベースの定義が追加されます。

なお,すでに構築されている監査ログ専用イベントサーバに上書きしてセットアップすることはできません。監査ログ専用イベントサーバの設定を変更する方法については「(3) 監査ログ専用イベントサーバの環境情報を変更する」を参照してください。

作成される監査ログ専用イベントサーバ用の環境設定ファイルについて,次の表に示します。

表5-6 作成される監査ログ専用イベントサーバ用の環境設定ファイル

項番OSの種類
(監査ログ収集対象サーバ)
格納先対象ファイル定義内容
1Windows監査ログ専用フォルダ¥jp1netmaudit¥eventイベントサービスのイベントサーバ設定ファイル(conf)
  • 監査ログ管理サーバのホスト名
  • 監査ログ管理サーバのIPアドレス
  • 監査ログ収集対象サーバのIPアドレス
  • JP1/Baseのイベントサーバの転送用ポート番号
  • 監査ログ専用イベントデータベースのサイズ
  • 監査ログ専用イベントサーバの転送用ポート番号
  • 監査ログ専用イベントサーバのAP用ポート番号
2イベントサービスの転送設定ファイル(forward)
  • 監査ログ管理サーバのホスト名
3UNIX監査ログ専用ディレクトリ/jp1netmaudit/eventイベントサービスのイベントサーバ設定ファイル(conf)
  • 監査ログ管理サーバのホスト名
  • 監査ログ管理サーバのIPアドレス
  • 監査ログ収集対象サーバのIPアドレス
  • JP1/Baseのイベントサーバの転送用ポート番号
  • 監査ログ専用イベントデータベースのサイズ
  • 監査ログ専用イベントサーバの転送用ポート番号
  • 監査ログ専用イベントサーバのAP用ポート番号
4イベントサービスの転送設定ファイル(forward)
  • 監査ログ管理サーバのホスト名

イベントサービスのイベントサーバ設定ファイル(conf)と転送設定ファイル(forward)の設定例について,それぞれ次に示します。

イベントサービスのイベントサーバ設定ファイル(conf)

設定例の条件を次の表に示します。

表5-7 設定例での条件(イベントサービスのイベントサーバ設定ファイル(conf))

項番項目この例での値
1監査ログ管理サーバのホスト名audithost
2監査ログ管理サーバのIPアドレス172.16.1.100
3監査ログ収集対象サーバのIPアドレス172.16.1.10
4JP1/Baseのイベントサーバの転送用ポート番号jp1imevt
5監査ログ専用イベントデータベースのサイズ10,000,000バイト
6監査ログ専用イベントサーバの転送用ポート番号24101
7監査ログ専用イベントサーバのAP用ポート番号24102

イベントサービスのイベントサーバ設定ファイル(conf)は次のように設定されます。

#portsパラメーターのデフォルトの記述が変更される。
ports 172.16.1.10 24101 24102
   :
db-size 10000000
   :
#デフォルトで記述されている行の下に,remote-serverパラメーターの記述が新しく追加される。
remote-server * close
remote-server audithost close 172.16.1.100 jp1imevt

イベントサービスの転送設定ファイル(forward)

設定例の条件を次の表に示します。

表5-8 設定例での条件(イベントサービスの転送設定ファイル(forward))

項番項目この例での値
1監査ログ管理サーバのホスト名audithost
2イベントデータベースの切り替えの発生を知らせるイベントID00003D00

イベントサービスの転送設定ファイル(forward)は次のように設定されます。デフォルトで記述されている行の下に,記述が新しく追加されます。

to audithost
B.ID IN 00003D00
B.REASON IN 1
end-to

監査ログ専用イベントデータベースの定義が追加されるJP1/Baseの定義ファイルについて,次の表に示します。

表5-9 監査ログ専用イベントデータベースの定義が追加されるJP1/Baseの定義ファイル

項番OSの種類(監査ログ収集対象サーバ)格納先対象ファイル定義内容
1WindowsJP1/Baseのインストール先フォルダ¥conf¥eventイベントサーバインデックスファイル(index)
  • 監査ログ専用フォルダ¥jp1netmaudit¥event
  • 監査ログ専用イベントサーバ名
2API設定ファイル(api)
  • 監査ログ収集対象サーバのIPアドレス
  • 監査ログ専用イベントサーバのAP用ポート番号
  • 監査ログ専用イベントサーバ名
3UNIX/etc/opt/jp1base/conf/eventイベントサーバインデックスファイル(index)
  • 監査ログ専用ディレクトリ/jp1netmaudit/event
  • 監査ログ専用イベントサーバ名
4API設定ファイル(api)
  • 監査ログ収集対象サーバのIPアドレス
  • 監査ログ専用イベントサーバのAP用ポート番号
  • 監査ログ専用イベントサーバ名

JP1/Baseのイベントサーバインデックスファイル(index)とAPI設定ファイル(api)の設定例について,それぞれ次に示します。

イベントサーバインデックスファイル(index)

設定例での条件を次の表に示します。

表5-10 設定例での条件(JP1/Baseのイベントサーバインデックスファイル(index))

項番項目この例での値
1監査ログ専用フォルダ¥jp1netmaudit¥eventE:¥audit¥jp1netmaudit¥event
2監査ログ専用イベントサーバ名host01-adm
注※
Windowsの場合の例を挙げています。UNIXの場合,この部分についてはUNIX用のパス(「/shdhd/audit/jp1netmaudit/event」など)に置き換えてください。

イベントサーバインデックスファイル(index)は次のように設定されます。デフォルトで記述されている行の下に,serverパラメーターの記述が新しく追加されます。

server host01-adm E:¥audit¥jp1netmaudit¥event

API設定ファイル(api)

設定例での条件を次の表に示します。

表5-11 設定例での条件(JP1/BaseのAPI設定ファイル(api))

項番項目この例での値
1監査ログ専用イベントサーバのIPアドレス172.16.1.10
2監査ログ専用イベントサーバのAP用ポート番号24102
3監査ログ専用イベントサーバ名host01-adm

API設定ファイル(api)は次のように設定されます。デフォルトで記述されている行の下に,server パラメーターの記述が新しく追加されます。

server host01-adm keep-alive 172.16.1.10 24102

(3) 監査ログ専用イベントサーバの環境情報を変更する

すでに構築している監査ログ専用イベントサーバの環境情報を変更する方法について説明します。

変更できる環境情報を次に示します。

監査ログ管理サーバの環境情報
  • ホスト名
  • IPアドレス
  • JP1/Baseのイベントサーバの転送用ポート番号
監査ログ収集対象サーバの環境情報
  • IPアドレス
  • 監査ログ専用フォルダ(監査ログ専用ディレクトリ)
  • 監査ログ専用イベントデータベースのサイズ
  • 監査ログ専用イベントサーバの転送用ポート番号
  • 監査ログ専用イベントサーバのAP用ポート番号

監査ログ収集対象サーバのホスト名を変更したい場合は,監査ログ専用イベントサーバを構築し直す必要があります。監査ログ専用イベントサーバを構築する方法については「(2) 監査ログ専用イベントサーバを構築する」を参照してください。

監査ログ専用イベントサーバをadmagtsetupコマンドで構築した場合と手動で構築した場合で変更する方法が異なります。それぞれについて次に説明します。

(a) admagtsetupコマンドで監査ログ専用イベントサーバを構築した場合

admagtsetupコマンドで構築した監査ログ専用イベントサーバの環境情報を変更する方法について説明します。

監査ログ専用イベントサーバの環境情報を変更する手順について説明します。

  1. 監査ログ管理サーバの監査ログ収集マネージャで監視中の収集対象の監視を停止する。
  2. 監査ログ専用イベントサーバが起動している場合は,監査ログ専用イベントサーバを停止する。
    Windowsの場合
    コントロールパネルの「管理ツール」の「サービス」を開いて監査ログ専用イベントサーバのサービスを停止させてください。
    UNIXの場合
    次に示すコマンドを実行して停止させます。

    /opt/jp1base/bin/jevstop 監査ログ専用イベントサーバ名

  3. 監査ログ専用イベントデータベースのバックアップを取得する。
    監査ログ専用イベントデータベースの設定ファイルをコピーするなど,任意の方法でバックアップを取得してください。監査ログ専用イベントデータベースの設定ファイルの格納先を次に示します。
    Windowsの場合
    監査ログ専用フォルダ¥jp1netmaudit¥event¥IMEvent*.*
    UNIXの場合
    監査ログ専用ディレクトリ/jp1netmaudit/event/IMEvent*.*
  4. admagtsetupコマンドを実行して監査ログ専用イベントサーバを削除する。
    admagtsetupコマンドで監査ログ専用イベントサーバを削除する方法については「12. コマンド」の「admagtsetup(監査ログ専用イベントサーバの環境セットアップ)」を参照してください。
  5. admagtsetupコマンドを実行して監査ログ専用イベントサーバを構築する。
    admagtsetupコマンドで監査ログ専用イベントサーバを構築する方法については「12. コマンド」の「admagtsetup(監査ログ専用イベントサーバの環境セットアップ)」を参照してください。
  6. 手順3で取得した監査ログ専用イベントデータベースの設定ファイルのバックアップを反映する。
    バックアップの反映先を次に示します。
    Windowsの場合
    監査ログ専用フォルダ¥jp1netmaudit¥event
    UNIXの場合
    監査ログ専用ディレクトリ/jp1netmaudit/event
  7. 新しく作成した監査ログ専用イベントサーバを起動する。
    Windowsの場合
    コントロールパネルの「管理ツール」の「サービス」を開いて監査ログ専用イベントサーバのサービスを開始させてください。
    UNIXの場合
    次に示すコマンドを実行して起動させます。

    /opt/jp1base/bin/jevstart 監査ログ専用イベントサーバ名

  8. 監査ログ管理サーバのAPI設定ファイル(apiファイル)を編集する。
    手順5で監査ログ収集対象サーバのIPアドレスやポート番号も変更した場合は,監査ログ管理サーバのAPI設定ファイル(apiファイル)に設定されているIPアドレスとポート番号の設定もあわせて変更してください。
  9. 監査ログ管理サーバのJP1/NETM/Audit - Managerのサービスを再起動する。
    手順8で監査ログ管理サーバのAPI設定ファイル(apiファイル)を編集した場合は,監査ログ管理サーバのJP1/NETM/Audit - Managerのサービスを再起動してください。
  10. 監査ログ管理サーバの監査ログ収集マネージャで収集対象の監視を開始する。

(b) 手動で監査ログ専用イベントサーバを構築した場合

JP1/NETM/Audit - Manager 09-00より前のバージョンで構築した監査ログ専用イベントサーバの環境情報を変更する方法について説明します。

監査ログ専用イベントサーバの環境情報を変更する手順について説明します。

  1. 監査ログ管理サーバの監査ログ収集マネージャで監視中の収集対象の監視を停止する。
  2. 監査ログ専用イベントサーバが起動している場合は,監査ログ専用イベントサーバを停止する。
    Windowsの場合
    コントロールパネルの「管理ツール」の「サービス」を開いて監査ログ専用イベントサーバのサービスを停止させてください。
    UNIXの場合
    次に示すコマンドを実行して停止させます。

    /opt/jp1base/bin/jevstop 監査ログ専用イベントサーバ名

  3. 監査ログ専用イベントサーバの設定ファイルを変更する。
    変更する設定ファイルを次に示します。
    • イベントサーバインデックスファイル(index)
    • API設定ファイル(api)
    • 監査ログ専用イベントサーバ設定ファイル(conf)
    • 監査ログ専用イベントサーバ転送設定ファイル(forward)
    イベントサーバインデックスファイル(index)とAPI設定ファイル(api)の格納先については「5.4.2(2) 監査ログ専用イベントサーバを構築する」を参照してください。また,監査ログ専用イベントサーバ設定ファイル(conf)と監査ログ専用イベントサーバ転送設定ファイル(forward)の格納先は,監査ログ専用イベントサーバの構築時に作成した任意のフォルダ(ディレクトリ)です。
    各設定ファイルの設定内容の詳細については,マニュアル「JP1/Base 運用ガイド」を参照してください。
  4. 監査ログ専用イベントサーバを起動する。
    Windowsの場合
    コントロールパネルの「管理ツール」の「サービス」を開いて監査ログ専用イベントサーバのサービスを開始させてください。
    UNIXの場合
    次に示すコマンドを実行して起動させます。

    /opt/jp1base/bin/jevstart 監査ログ専用イベントサーバ名

  5. 監査ログ管理サーバのAPI設定ファイル(apiファイル)を編集する。
    手順3で監査ログ収集対象サーバのIPアドレスやポート番号も変更した場合は,監査ログ管理サーバのAPI設定ファイル(apiファイル)に設定されているIPアドレスとポート番号の設定もあわせて変更してください。
  6. 監査ログ管理サーバのJP1/NETM/Audit - Managerのサービスを再起動する。
    手順5で監査ログ管理サーバのAPI設定ファイル(apiファイル)を編集した場合は,監査ログ管理サーバのJP1/NETM/Audit - Managerのサービスを再起動してください。
  7. 監査ログ管理サーバの監査ログ収集マネージャで収集対象の監視を開始する。

(4) イベントサービスを自動的に起動する

監査ログ収集対象サーバで出力された監査ログを監査ログ専用イベントサーバに蓄積するために,イベントサービスを起動させておく必要があります。

イベントサービスをOS起動時に自動的に起動するように設定します。

この作業は,監査ログ収集対象サーバのOSがWindowsとUNIXのどちらの場合でも,必要です。ただし,OSによって設定方法が異なります。OSがWindowsとUNIXの場合について,それぞれ説明します。

(a) Windowsの場合

JP1/Baseの起動順序定義ファイルJP1/Baseのインストール先フォルダ¥conf¥boot¥Jp1svprm.dat)をテキストエディタで開いて記述を編集します。

設定例を次に示します。

起動順序定義ファイルの設定例
起動順序定義ファイルに次の記述を追加します。デフォルトの記述は残したまま,新しい記述を追加してください。

#イベントログトラップ機能を定義する記述より前に記述を追加し,先に起動されるように設定する。
[Jp1BaseEvent_監査ログ専用イベントサーバ名]
Name=JP1/BaseEvent_監査ログ専用イベントサーバ名
ServiceName=JP1_Base_Event 監査ログ専用イベントサーバ名

監査ログ専用イベントサーバ名は,監査ログ収集対象サーバのホスト名のあとに「-adm」を付けて設定してください。

なお,デフォルトで自動起動する設定になっていて,かつ監査ログ収集対象サーバとしてインストールされていない製品については,不要なサービスとしてコメント化してください。

イベントサービスは手動でも起動できます。必ずイベントサービスの起動後に,イベントログトラップ機能を起動してください。イベントログトラップ機能を起動する方法については「5.4.3(5) イベントログトラップ機能を自動的に起動する」を参照してください。

イベントサービスを手動で開始する方法を次に示します。

  1. コントロールパネルの「管理ツール」から「サービス」を開く。
  2. 「JP1/Base Event 監査ログ専用イベントサーバ名」を選択し,プロパティで[開始]ボタンをクリックする。
  3. JP1/Base Event」を選択し,プロパティで[開始]ボタンをクリックする。

開始する場合と同様の方法でイベントサービスを停止できます。

(b) UNIXの場合

自動起動用のスクリプトを作成し,作成したスクリプトにリンクの設定をすることで自動起動を設定します。

OSごとのスクリプトの格納先および作成例を次に示します。OSごとのリンクの設定方法については,マニュアル「JP1/Base 運用ガイド」を参照してください。

監査ログ専用イベントサーバ名は,監査ログ収集対象サーバのホスト名のあとに「-adm」を付けて設定してください。

イベントサービスは手動でも起動や停止ができます。

次に示すコマンドを実行して起動します。

jevstart 監査ログ専用イベントサーバ名

次に示すコマンドを実行して停止します。

jevstop 監査ログ専用イベントサーバ名

なお,監査ログ専用イベントサーバ名の大文字と小文字は区別されます。

jevstartコマンドの詳細については,マニュアル「JP1/Base 運用ガイド」を参照してください。