5.6.4 JP1/NETM/Audit - Managerで監査ログの収集対象を設定する

監査ログ管理サーバで,監査ログの収集対象を設定します。

収集対象となるプログラムや監査ログおよびログファイルの格納先フォルダなどを設定します。

監査ログの収集対象についての設定は,[監査ログ収集マネージャ]ウィンドウから[収集対象の設定]ダイアログを表示して実施します。

ただし,JP1/NETM/Audit - Managerで標準サポート外となっているプログラムを収集対象とする場合は,事前に収集対象として設定するための準備が必要です。収集対象とするための準備内容については「5.6.2 標準サポート外のプログラムを収集対象とするための準備をする」を参照してください。

なお,ログファイルがラップアラウンド形式の場合は,収集対象のログファイル面数に合わせて設定を変更してください。

注意
収集対象サーバがクラスタ構成の場合に,物理ホストと論理ホストの両方で同じ製品を監視するときは,製品名(プログラム)を分けて定義してください。
例えば,監視対象のプログラムがJP1/Baseの場合,製品名を「JP1/Base」と「JP1/Base2」に分けて定義します。この場合に使用する製品定義ファイルと動作定義ファイルを次に示します。
物理ホスト
  • 標準提供のJP1/Base用の製品定義ファイル(JP1_Base.conf)を使用する。
  • 標準提供のJP1/Base用の動作定義ファイル(admjevlog_JP1_Base.conf)を使用する。
論理ホスト
  • JP1_Base.confをコピーして,ファイル名をJP1_Base2.confに変更して使用する。
  • admjevlog_JP1_Base.confをコピーして,ファイル名をadmjevlog_JP1_Base2.confに変更して使用する。
<この項の構成>
(1) 収集対象の設定の手順
(2) [収集対象の設定]ダイアログの設定内容

(1) 収集対象の設定の手順

  1. [スタート]ボタンをクリックして[プログラム]-[JP1_NETM_Audit]-[監査ログ収集マネージャ]を選択する。
    次の図に示す[監査ログ収集マネージャ]ウィンドウが表示されます。

    図5-17 [監査ログ収集マネージャ]ウィンドウ

    [図データ]

  2. [操作]-[収集対象]-[追加]を選択する。
    次に示す[収集対象の設定]ダイアログが表示されます。

    図5-18 [収集対象の設定]ダイアログ

    [図データ]

    なお,「[図データ]」ボタンをクリックしても,同様の操作ができます。
  3. [収集対象の設定]ダイアログで,使用する環境に合わせて値を設定する。
    設定内容については「(2) [収集対象の設定]ダイアログの設定内容」を参照してください。
  4. [OK]ボタンをクリックする。
    監査ログファイルについての設定が登録され,[監査ログ収集マネージャ]ウィンドウに反映されます。複数の収集対象を追加する場合は,手順2~手順4を繰り返してください。
  5. JP1/NETM/Audit - Managerのサービスを再起動する。
    収集対象を追加した場合,JP1/NETM/Audit - Managerのサービスを再起動する必要があります。再起動するサービスの詳細は「5.7.1 監査ログ管理サーバを開始する」を参照してください。
  6. [監査ログ収集マネージャ]ウィンドウに表示された項目から,監視を開始したい収集対象を選択し,[操作]-[監査ログの監視]-[開始]を選択する。
    選択した監査ログ収集対象に対応するログファイルトラップ機能が起動され,監査ログの監視を開始します。複数の収集対象を一度に選択して,監視を開始することもできます。
    また,収集対象サーバの起動時に,監査ログの監視を自動的に開始するよう設定することもできます。
    なお,監視の開始後に出力された監査ログが収集対象となります。
    監査ログの収集は,監査ログ収集対象サーバの監査ログ専用イベントデータベースに格納されているすべてのデータが対象になります。

(2) [収集対象の設定]ダイアログの設定内容

[収集対象の設定]ダイアログで設定する項目を次の表に示します。

表5-30 [収集対象の設定]ダイアログの設定内容

項番項目説明設定値デフォルト値必須
1サーバ監査ログ収集対象サーバのホスト名を指定します。クラスタ環境で共有ディスク上の監査ログを収集する場合は,監査ログ収集対象サーバの論理ホスト名を指定します。
設定時は次に示すことに注意してください。
  • IPアドレスでは指定できない
  • 指定したサーバ名の大文字・小文字は区別される
64バイト以内の文字列を設定します。
使用できる文字を次に示します。
  • 半角英数字
  • 「-」「_」「.」
なし
2プログラム収集対象の監査ログを出力するプログラムの名称を指定します。プルダウンメニューからプログラムの名称を選択します。※1
指定するプログラムが標準サポート外で,かつログがファイルに出力される場合,製品定義ファイル名から拡張子「.conf」が除かれ,かつ「_」が「/」に置換された名称がプログラム名として表示されます。また,ログがWindowsイベントログに出力される場合,製品定義ファイル名から拡張子「.conf」が除かれた名称がプログラム名として表示されます。
収集対象となるプログラムのログがWindowsイベントログに出力される場合またはOSがUNIXの場合は,次のように表示されます。
  • Hitachi Storage Command Suiteの場合
    「HitachiStorageCommandSuite(Windowsイベントログ)」※2
    「HitachiStorageCommandSuite(HP-UX)」※2
    「HitachiStorageCommandSuite(Solaris)」※2
    「HitachiStorageCommandSuite(AIX)」※2
    「HitachiStorageCommandSuite(Linux)」※2
  • Oracleの場合
    「Oracle(Windowsイベントログ)」※3
  • UNIXの場合
    「UNIX System Log」※4
  • Windows Server 2003またはWindows XPの場合
    「Windowsイベントログ(セキュリティ)」※5
  • Windows Server 2008の場合
    「Windows2008イベントログ(セキュリティ)」※5
なお,標準サポートしているプログラムで,実際のログファイル名と製品定義ファイルで指定されているファイル名が一致していない場合,製品定義ファイルの設定を変更する必要があります。
設定方法の詳細については「5.6.1 標準サポートしているプログラムを収集対象とするための準備をする」を参照してください。
なし
3ログフォルダ収集対象の監査ログの格納先を指定します。
「プログラム」に指定したプログラムの監査ログが出力されるフォルダをフルパスで指定します。監査ログの出力先が共有ディスク上なのかローカルディスク上なのかによって,正しい出力先を指定してください。
255バイト以内の文字列を設定します。
指定したフォルダ下に出力される監査ログファイルのフルパスが256バイト以内になるように指定してください。
使用できる文字を次に示します。
Windowsの場合
・半角英数字
・「△(半角スペース)」「!」「#」「$」「&」「(」「)」「+」「,」「-」「.」「;」「=」「@」「[」「]」「¥」「_」「`」「{」「}」「~」
UNIXの場合
・半角英数字
・「△(半角スペース)」「!」「#」「$」「&」「(」「)」「+」「,」「-」「.」「/」「;」「=」「@」「[」「]」「_」「`」「{」「}」「~」
なし
4コメントコメントを入力できます。それぞれの項目を識別するための情報などを必要に応じて記入してください。255バイト以内の文字列を設定します。なし
5OS起動時に監査ログの監視を開始する監査ログ収集対象サーバのOSが起動した時点で,収集対象の監査ログの監視を開始するかどうかを指定します。
この項目をチェックした場合,監査ログ収集対象サーバのJP1/Baseの起動順序定義ファイル(JP1/Baseのインストール先フォルダ¥conf¥boot¥Jp1svprm.dat)に,監査ログの監視を開始するログファイルトラップ機能の起動設定が追加されます。※6
ただし,ログファイルトラップ機能の起動設定を追加した時点では,監査ログの監視は開始されません。すぐに監視を開始したい場合は,手動で監査ログの監視を開始する必要があります。監査ログの監視を開始する方法については「9.3.4 監査ログの監視を開始する」を参照してください。
なお,次の場合はチェックボックスが非活性となり,OS起動時に監査ログの監視は開始されません。
  • 監査ログ収集対象サーバのOSがUNIXの場合※7
  • Windowsイベントログに出力されるログを収集対象とする場合
また,「サーバ」で監査ログ収集対象サーバの論理ホスト名を指定している場合は,この項目のチェックの有無にかかわらず,OS起動時に監査ログの監視は開始されません。※8
監査ログの監視を開始する場合は,チェックボックスにチェックします。ON
(凡例)
○:必ず設定する
△:必要に応じて設定する
注※1
プログラムによっては,収集する監査ログごとに対応するプログラムの名称が異なります。また,JP1/AJS3の場合は物理・論理ホストまたはスケジューラサービスごとにスケジューラログが出力されます。このため,それぞれのホストやスケジューラサービスを一つの収集対象として追加する必要があります。
収集する監査ログと,それに対応するプログラムの名称を次の表に示します。

表5-31 収集する監査ログと,それに対応するプログラムの名称

項番収集する監査ログ対応するプログラムの名称
1JP1/NETM/Audit - Manager(サーバ)の操作に関する監査ログ「JP1/NETM/Audit-Manager」
2JP1/NETM/Audit - Managerの監査ログ管理画面(Web)の操作に関する監査ログ「JP1/NETM/Audit-ManagerWeb」
3JP1/NETM/DMの監査ログJP1/NETM/DM Managerがインストールされている場合「JP1/NETM/DM-Manager」
JP1/NETM/DM Client(またはJP1/NETM/DM Client - Base)がインストールされている場合「JP1/NETM/DM-Client」
JP1/NETM/DM Client(またはJP1/NETM/DM Client - Base)とJP1/NETM/DM Managerが同一マシンにインストールされている場合「JP1/NETM/DM」
4JP1/AJS3の物理ホストや論理ホストの監査ログ「JP1/AJS3-host」
5JP1/AJS3のスケジューラサービスの監査ログ「JP1/AJS3-schedule01」~「JP1/AJS3-schedule20」
6Collaborationのポートレット操作に関する監査ログ,およびコマンド実行に関する監査ログ「Collaboration」
7CollaborationのWebフォルダの操作に関する監査ログ「Collaboration-FileSharing-Webdav」
注※2
Hitachi Storage Command Suiteのログを監査ログとして収集したい場合に,それぞれのOSごとに次のプログラムの名称を選択してください。
  • Windowsの場合:「HitachiStorageCommandSuite(Windowsイベントログ)」
  • HP-UXの場合:「HitachiStorageCommandSuite(HP-UX)」
  • Solarisの場合:「HitachiStorageCommandSuite(Solaris)」
  • AIXの場合:「HitachiStorageCommandSuite(AIX)」
  • Linuxの場合:「HitachiStorageCommandSuite(Linux)」
注※3
Oracleのログを監査ログとして収集したい場合に選択してください。
注※4
UNIXシステムログを監査ログとして収集したい場合に選択してください。
注※5
Windowsイベントログ(セキュリティに関する情報)を監査ログとして収集したい場合に選択してください。なお,Windows Server 2008とWindows Server 2008以外(Windows Server 2003またはWindows XP)は区別して選択してください。
注※6
起動順序定義ファイルの[Command]セクションの「ReadyCommand」キーにすでにほかの登録がある場合は設定されません。このような場合は,「ReadyCommand」キーにすでに登録されているバッチファイルに,次に示すバッチファイルを呼び出す処理を追加することで,OS起動時に監査ログの監視を自動的に開始できます。同じログが重複して収集される場合があるため,OS起動後にバッチファイルを手動で起動しないでください。
JP1/NETM/Audit - Manager 09-00以降を新規インストールした場合

システムドライブ¥Program Files¥Hitachi¥jp1netmaudit¥agent¥bin¥admlogtrap.bat

JP1/NETM/Audit - Manager 09-00より前のバージョンからバージョンアップした場合

システムドライブ¥Program Files¥Hitachi¥jp1netmaudit¥manager¥bin¥admlogtrap.bat

このバッチファイルを呼び出す際は,引数「-y」が必要です。すでに登録されているバッチファイルに追加する処理の記述例を次に示します。

call "システムドライブ¥Program Files¥Hitachi¥jp1netmaudit¥agent¥bin¥admlogtrap.bat" -y

起動順序定義ファイルについての詳細は,マニュアル「JP1/Base 運用ガイド」を参照してください。
注※7
「ログフォルダ」で指定したパスの先頭が「/」になっている場合,監査ログ収集対象サーバのOSはUNIXであると判断されます。
監査ログ収集対象サーバのOSがUNIXの場合,OS起動時に自動的に監視を開始するには,収集対象の監視を開始時,次に示すディレクトリに出力されるスクリプト(拡張子が「.sh」のファイル)を実行するように設定します。同じログが重複して収集される場合があるため,OS起動後にスクリプトを手動で起動しないでください。
JP1/NETM/Audit - Manager 09-00以降を新規インストールした場合

/opt/jp1netmaudit/agent/bin

JP1/NETM/Audit - Manager 09-00より前のバージョンからバージョンアップした場合

/opt/jp1netmaudit/manager/bin

このディレクトリには,収集対象として設定したプログラムごとにスクリプトファイルが出力されます。このスクリプトファイルをOS起動時に実行させるには,自動開始用のスクリプトファイルを作成する必要があります。自動開始用のスクリプトファイルは,JP1/Baseと監査ログ専用イベントサービスの起動後に実行されるように設定してください。設定方法の詳細は,各OSのマニュアルを参照してください。
自動開始用のスクリプトファイルを作成するときの注意事項を次に示します。
  • 監視の開始時,プログラムごとに出力されるスクリプトファイルを実行する際は,引数「-y」を指定してください。
  • プログラムごとに出力されるスクリプトファイルは,プログラムの監視を停止すると削除されます。このため,監視を停止している状態でOSを再起動すると,スクリプトファイルが存在しません。スクリプトファイルを実行する際は,スクリプトファイルが存在しているかどうかを確認してください。
注※8
「サーバ」で監査ログ収集対象サーバの論理ホスト名を指定した場合,OS起動時に自動的に監視を開始するには,JP1/Baseの起動後に,クラスタソフトに登録したリソースまたはコマンドをオンラインにするように設定します。リソースまたはコマンドの詳細については「6.8.1 監査ログ収集対象サーバを開始する(クラスタ環境)」を参照してください。

なお,OS起動時に監査ログの監視を自動的に開始するように設定しない場合,OSを再起動するたびに[監査ログ収集マネージャ]ウィンドウから手動で監査ログの監視を開始する必要があります。