5.4.3 JP1/Baseのイベントログトラップ機能を設定する

Windowsイベントログに出力されるログをJP1/NETM/Audit - Managerの監査ログとして収集したい場合に,イベントログトラップ機能を設定します。

Windowsイベントログに出力されるログを次に示します。

これらのログをJP1/NETM/Audit - Managerの監査ログとして収集しない場合,この作業は不要です。

<この項の構成>
(1) JP1/NETM/Audit - Managerの監査ログとして出力するための設定
(2) JP1/Baseの動作定義ファイル(ntevent.conf)を編集する
(3) イベントログトラップ機能のイベントサーバ設定ファイル(confファイル)を編集する
(4) イベントログトラップ機能の転送設定ファイル(forwardファイル)を編集する
(5) イベントログトラップ機能を自動的に起動する

(1) JP1/NETM/Audit - Managerの監査ログとして出力するための設定

Windowsイベントログに出力されるログをJP1/NETM/Audit - Managerの監査ログとして出力するための設定をします。

(a) Windowsの監査ポリシーを設定する

Windowsイベントログ(セキュリティに関する情報)をJP1/NETM/Audit - Managerの監査ログとして出力するために,Windowsの監査ポリシーを設定します。

Windowsイベントログ(セキュリティに関する情報)をJP1/NETM/Audit - Managerの監査ログとして収集しない場合,この作業は不要です。

コントロールパネルの「管理ツール」から「ローカルセキュリティポリシー」,「ドメインセキュリティポリシー」,または「ドメインコントローラセキュリティポリシー」を開いて,「ローカルポリシー」下の「監査ポリシー」の設定を変更してください。

ここでは,ログオン イベントおよびアカウント管理のイベントを出力するための設定方法を説明します。

「監査ポリシー」で「ログオン イベントの監査」および「アカウント管理の監査」を設定することで,ログオン イベントおよびアカウント管理のイベントを出力できます。それぞれの設定内容を次に示します。

このほかのWindowsイベントログ(セキュリティに関する情報)の監査ポリシーを設定する方法については,Windowsのマニュアルを参照してください。

(b) Oracleのパラメーターファイル(init.ora)を編集する

OracleのログをJP1/NETM/Audit - Managerの監査ログとして出力するために,Oracleのパラメーターファイル(init.ora)を編集します。

OracleのログをJP1/NETM/Audit - Managerの監査ログとして収集しない場合,この作業は不要です。

なお,パラメーターファイルの「audit_trail」には「OS」を設定してください。「OS」を設定すると,監視されたレコードがシステム単位でイベントビューアに書き込まれ,イベントログとして出力されます。

設定例を次に示します。

Oracleのパラメーターファイル(init.ora)の設定例

##init.ora######################
##標準監査を有効にし,OSファイル(イベントビューア)に出力させる
audit_trail=OS
##DBA監査の有効化
audit_sys_operations=TRUE
###############################

パラメーターファイルの編集方法の詳細は,Oracleのマニュアルを参照してください。

(2) JP1/Baseの動作定義ファイル(ntevent.conf)を編集する

動作定義ファイル(ntevent.conf)で,イベントログトラップ機能の動作環境を設定します。

この作業は,Windowsイベントログに出力されるログをJP1/NETM/Audit - Managerの監査ログとして収集したい場合に必要です。

Windowsイベントログに出力されるログについての定義を,次に示すファイルへ追加します。

動作定義ファイル(ntevent.conf)の定義内容は,収集対象となるプログラムによって異なります。定義内容については,プログラムごとに次に示す個所を参照してください。

(a) Windowsイベントログを収集する場合の定義内容(動作定義ファイル(ntevent.conf))

Windowsイベントログ(セキュリティに関する情報)を収集する場合に,動作定義ファイル(ntevent.conf)で定義する内容について説明します。

この作業は,Windowsイベントログ(セキュリティに関する情報)をJP1/NETM/Audit - Managerの監査ログとして収集したい場合に必要です。

JP1/NETM/Audit - Managerで標準サポートしているWindowsイベントログ(セキュリティに関する情報)のイベントIDを次に示します。

ログオン イベントのWindowsイベントログ(セキュリティに関する情報)
  • Windows Server 2003またはWindows XPの場合
    標準サポートしているイベントIDは「528~540」です。
  • Windows Server 2008の場合
    標準サポートしているイベントIDは「4624~4625」および「4634」です。
アカウント管理のWindowsイベントログ(セキュリティに関する情報)
  • Windows Server 2003またはWindows XPの場合
    標準サポートしているイベントIDは「624」,「626~639」,「641~642」,および「644」です。
  • Windows Server 2008の場合
    標準サポートしているイベントIDは「4720」,「4722~4735」,「4737~4738」,「4740」,および「4744~4763」です。

ここに示すWindowsイベントログ(セキュリティに関する情報)以外のイベントIDは,JP1/NETM/Audit - Managerでは標準サポート外となります。標準サポート外のイベントIDについては,Windowsのマニュアルを参照してください。

Windowsイベントログ(セキュリティに関する情報)を収集する場合の動作定義ファイル(ntevent.conf)の設定例について次に説明します。

設定例の条件を次に示します。

設定例での条件(Windowsイベントログ(セキュリティに関する情報)を収集する場合の動作定義ファイル(ntevent.conf))
次に示すイベントIDのイベントログを取得します。
  • 「528~529」
  • 「538」
  • 「540」

設定例を次に示します。

Windowsイベントログ(セキュリティに関する情報)を収集する場合の動作定義ファイル(ntevent.conf)の設定例
動作定義ファイル(ntevent.conf)を次のように編集します。
デフォルトで記述されている行の下に,次に示す記述を新しく追加してください。

filter "Security"
id '^528$' '^529$' '^538$' '^540$'
end-filter

動作定義ファイル(ntevent.conf)の詳細については,マニュアル「JP1/Base 運用ガイド」を参照してください。

(b) Oracleのログを収集する場合の定義内容(動作定義ファイル(ntevent.conf))

Oracleのログを収集する場合に,動作定義ファイル(ntevent.conf)で定義する内容について説明します。

この作業は,OracleのログをJP1/NETM/Audit - Managerの監査ログとして収集したい場合に必要です。

JP1/NETM/Audit - Managerで収集できるOracleのログのイベントIDを次に示します。

Oracleのログ
収集できるイベントIDは「34」です。

Oracleのログを収集する場合の動作定義ファイル(ntevent.conf)の設定例について次に説明します。

設定例の条件を次に示します。

設定例での条件(Oracleのログを収集する場合の動作定義ファイル(ntevent.conf))
イベントID「34」のイベントログを取得します。

設定例を次に示します。

Oracleのログを収集する場合の動作定義ファイル(ntevent.conf)の設定例
動作定義ファイル(ntevent.conf)を次のように編集します。
デフォルトで記述されている行の下に,次に示す記述を新しく追加してください。

filter "Application"
id '^34$'
source !'^Oracle¥.+asm$'
source '^Oracle'
end-filter

JP1/Baseの動作定義ファイル(ntevent.conf)の詳細は,マニュアル「JP1/Base 運用ガイド」を参照してください。

(c) Hitachi Storage Command Suiteのログを収集する場合の定義内容(動作定義ファイル(ntevent.conf))

Hitachi Storage Command Suite(Windowsの場合)のログを収集する場合に,動作定義ファイル(ntevent.conf)で定義する内容について説明します。

この作業は,Hitachi Storage Command Suite(Windowsの場合)のログをJP1/NETM/Audit - Managerの監査ログとして収集したい場合に必要です。

JP1/NETM/Audit - Managerで収集できるHitachi Storage Command Suite(Windowsの場合)のログのイベントIDを次に示します。

Hitachi Storage Command Suite(Windowsの場合)のログ
収集できるイベントIDは「1」です。

Hitachi Storage Command Suite(Windowsの場合)のログを収集する場合の動作定義ファイル(ntevent.conf)の設定例について次に説明します。

設定例の条件を次に示します。

設定例での条件(Hitachi Storage Command Suiteのログを収集する場合の動作定義ファイル(ntevent.conf))
  • イベントID「1」で,メッセージに「CELFSS」を含むイベントログを取得します。
  • イベントソース名はHBase Storage Mgmt Logです。

設定例を次に示します。

Hitachi Storage Command Suite(Windowsの場合)のログを収集する場合の動作定義ファイル(ntevent.conf)の設定例
動作定義ファイル(ntevent.conf)を次のように編集します。
デフォルトで記述されている行の下に,次に示す記述を新しく追加してください。

filter "Application"
id '^1$'
source '^HBase Storage Mgmt Log$'
message 'CELFSS'
end-filter

JP1/Baseの動作定義ファイル(ntevent.conf)の詳細は,マニュアル「JP1/Base 運用ガイド」を参照してください。

(3) イベントログトラップ機能のイベントサーバ設定ファイル(confファイル)を編集する

イベントログトラップ機能のイベントサーバ設定ファイル(confファイル)を編集します。

この作業は,Windowsイベントログに出力されるログをJP1/NETM/Audit - Managerの監査ログとして収集したい場合に必要です。

次に示すファイルを編集して,イベントログトラップ機能の動作環境を設定します。

イベントログトラップ機能のconfファイルの設定例について次に説明します。

設定例の条件を次の表に示します。

表5-12 設定例での条件(イベントログトラップ機能のconfファイル)

項番項目この例での値
1監査ログ専用イベントサーバ名Host01-adm
2監査ログ専用イベントサーバのIPアドレス172.16.1.10
3監査ログ専用イベントサーバの転送用ポート番号24101
注※
ポート番号は監査ログ収集対象サーバで未使用の番号を指定してください。

設定例を次に示します。

イベントログトラップ機能のconfファイルの設定例
confファイルを次のように編集します。
remote-serverパラメーターは,デフォルトで記述されている行の下に,次に示す記述を新しく追加してください。

remote-server Host01-adm close 172.16.1.10 24101

(4) イベントログトラップ機能の転送設定ファイル(forwardファイル)を編集する

イベントログトラップ機能の転送設定ファイル(forwardファイル)を編集します。

この作業は,Windowsイベントログに出力されるログをJP1/NETM/Audit - Managerの監査ログとして収集したい場合に必要です。

監査ログ収集対象サーバのイベントサーバで収集したイベントログが監査ログ専用イベントサーバに転送させるための設定を,次に示すファイルへ追加します。

forwardファイルの定義内容は,収集対象となるプログラムによって異なります。さらに,Windowsイベントログに出力される複数のプログラムのログを収集する場合もforwardファイルの定義内容が異なります。定義内容については,プログラムごとに次に示す個所を参照してください。

(a) Windowsイベントログを収集する場合の定義内容(転送設定ファイル(forwardファイル))

Windowsイベントログ(セキュリティに関する情報)を収集する場合に,forwardファイルで定義する内容について説明します。

この作業は,Windowsイベントログ(セキュリティに関する情報)だけをJP1/NETM/Audit - Managerの監査ログとして収集したい場合に必要です。Windowsイベントログに出力されるほかのログも収集したい場合は「(d) Windowsイベントログに出力される複数のプログラムのログを収集する場合の定義内容(転送設定ファイル(forwardファイル))」を参照してください。

JP1/NETM/Audit - Managerで標準サポートしているWindowsイベントログ(セキュリティに関する情報)のイベントIDを次に示します。

ログオン イベントのWindowsイベントログ(セキュリティに関する情報)
  • Windows Server 2003またはWindows XPの場合
    標準サポートしているイベントIDは「528~540」です。
  • Windows Server 2008の場合
    標準サポートしているイベントIDは「4624~4625」および「4634」です。
アカウント管理のWindowsイベントログ(セキュリティに関する情報)
  • Windows Server 2003またはWindows XPの場合
    標準サポートしているイベントIDは「624」,「626~639」,「641~642」,および「644」です。
  • Windows Server 2008の場合
    標準サポートしているイベントIDは「4720」,「4722~4735」,「4737~4738」,「4740」,および「4744~4763」です。

ここに示すWindowsイベントログ(セキュリティに関する情報)以外のイベントIDは,JP1/NETM/Audit - Managerでは標準サポート外となります。標準サポート外のイベントIDについては,Windowsのマニュアルを参照してください。

Windowsイベントログ(セキュリティに関する情報)を収集する場合のforwardファイルの設定例について次に説明します。

設定例の条件を次の表に示します。

表5-13 設定例での条件(Windowsイベントログ(セキュリティに関する情報)を収集する場合のforwardファイル)

項番項目この例での値
(Windows Server 2003またはWindows XPの場合)
この例での値
(Windows Server 2008の場合)
1監査ログ専用イベントサーバ名Host01-adm
2転送するイベントログ次に示すイベントIDのイベントログ
「528~529」,「531~540」
次に示すイベントIDのイベントログ
「4624~4625」,「4634」

設定例を次に示します。

forwardファイルの設定例(Windowsイベントログ(セキュリティに関する情報)を収集する場合)
forwardファイルを編集します。デフォルトで記述されている行の下に,次に示す記述を新しく追加してください。
  • Windows Server 2003またはWindows XPの場合

    to Host01-adm
    E.PRODUCT_NAME IN /HITACHI/JP1/NTEVENT_LOGTRAP/Security
    E.A5 RANGE 528 540
    E.A5 NOTIN 530
    end-to

  • Windows Server 2008の場合

    to host01-adm
    E.PRODUCT_NAME IN /HITACHI/JP1/NTEVENT_LOGTRAP/Microsoft-Windows-Security-Auditing
    E.A5 IN 4624 4625 4634
    OR
    E.PRODUCT_NAME IN /HITACHI/JP1/NTEVENT_LOGTRAP/Microsoft%20Windows%20security%20auditing.
    E.A5 IN 4624 4625 4634
    end-to

(b) Oracleのログを収集する場合の定義内容(転送設定ファイル(forwardファイル))

Oracleのログを収集する場合に,forwardファイルで定義する内容について説明します。

この作業は,OracleのログだけをJP1/NETM/Audit - Managerの監査ログとして収集したい場合に必要です。Windowsイベントログに出力されるほかのログも収集したい場合は「(d) Windowsイベントログに出力される複数のプログラムのログを収集する場合の定義内容(転送設定ファイル(forwardファイル))」を参照してください。

JP1/NETM/Audit - Managerで収集できるOracleのログのイベントIDを次に示します。

Oracleのログ
収集できるイベントIDは「34」です。

Oracleのログを収集する場合のforwardファイルの設定例について次に説明します。

設定例の条件を次の表に示します。

表5-14 設定例での条件(Oracleのログを収集する場合のforwardファイル)

項番項目この例での値
1監査ログ専用イベントサーバ名Host01-adm
2転送するイベントログ次に示すイベントIDのイベントログ
「34」

設定例を次に示します。

forwardファイルの設定例(Oracleのログを収集する場合)
forwardファイルを次のように編集します。
デフォルトで記述されている行の下に,次に示す記述を新しく追加してください。

to Host01-adm
E.PRODUCT_NAME BEGIN /HITACHI/JP1/NTEVENT_LOGTRAP/Oracle
E.A5 IN 34
end-to

(c) Hitachi Storage Command Suiteのログを収集する場合の定義内容(転送設定ファイル(forwardファイル))

Hitachi Storage Command Suite(Windowsの場合)のログを収集する場合に,forwardファイルで定義する内容について説明します。

この作業は,Hitachi Storage Command Suite(Windowsの場合)のログだけをJP1/NETM/Audit - Managerの監査ログとして収集したい場合に必要です。Windowsイベントログに出力されるほかのログも収集したい場合は「(d) Windowsイベントログに出力される複数のプログラムのログを収集する場合の定義内容(転送設定ファイル(forwardファイル))」を参照してください。

JP1/NETM/Audit - Managerで収集できるHitachi Storage Command Suite(Windowsの場合)のログのイベントIDを次に示します。

Hitachi Storage Command Suite(Windowsの場合)のログ
収集できるイベントIDは「1」です。

Hitachi Storage Command Suite(Windowsの場合)のログを収集する場合のforwardファイルの設定例について次に説明します。

設定例の条件を次の表に示します。

表5-15 設定例での条件(Hitachi Storage Command Suite(Windowsの場合)のログを収集する場合のforwardファイル)

項番項目この例での値
1監査ログ専用イベントサーバ名Host01-adm
2転送するイベントログ次に示すイベントIDのイベントログ
「1」

設定例を次に示します。

forwardファイルの設定例(Hitachi Storage Command Suite(Windowsの場合)のログを収集する場合)
forwardファイルを次のように編集します。
デフォルトで記述されている行の下に,次に示す記述を新しく追加してください。

to Host01-adm
E.PRODUCT_NAME IN /HITACHI/JP1/NTEVENT_LOGTRAP/HBase%20Storage%20Mgmt%20Log
E.A5 IN 1
end-to

(d) Windowsイベントログに出力される複数のプログラムのログを収集する場合の定義内容(転送設定ファイル(forwardファイル))

Windowsイベントログに出力される複数のプログラムのログを収集したい場合に,forwardファイルで定義する内容について説明します。

ここでは,Windowsイベントログ(セキュリティに関する情報)とOracleのログの両方を監査ログとして収集する場合の設定例を示します。

Windowsイベントログにログが出力されるプログラムを,複数設定するときの詳細については,マニュアル「JP1/Base 運用ガイド」を参照してください。

JP1/NETM/Audit - Managerで収集できるログのイベントIDについては,プログラムごとに次に示す個所を参照してください。

設定例の条件を次の表に示します。

表5-16 設定例での条件(Windowsイベントログ(セキュリティに関する情報)およびOracleのログを収集する場合のforwardファイル)

項番項目この例での値
1監査ログ専用イベントサーバ名Host01-adm
2転送するイベントログ(Windowsイベントログ(セキュリティに関する情報))次に示すイベントIDのイベントログ
「528~529」,「531~540」
3転送するイベントログ(Oracleのログ)次に示すイベントIDのイベントログ
「34」

設定例を次に示します。

forwardファイルの設定例(Windowsイベントログ(セキュリティに関する情報)およびOracleのログを収集する場合)
forwardファイルを次のように編集します。
デフォルトで記述されている行の下に,次に示す記述を新しく追加してください。

to Host01-adm
E.PRODUCT_NAME IN /HITACHI/JP1/NTEVENT_LOGTRAP/Security
E.A5 RANGE 528 540
E.A5 NOTIN 530
OR
E.PRODUCT_NAME BEGIN /HITACHI/JP1/NTEVENT_LOGTRAP/Oracle
E.A5 IN 34
end-to

(5) イベントログトラップ機能を自動的に起動する

Windowsイベントログに出力されるログをJP1/NETM/Audit - Managerの監査ログとして出力するために,イベントログトラップ機能を起動させておく必要があります。

JP1/Baseのイベントログトラップ機能がOS起動時に自動的に起動するように設定します。

イベントサービスの起動後にイベントログトラップ機能が起動するように,JP1/Baseの起動順序定義ファイルJP1/Baseのインストール先フォルダ¥conf¥boot¥Jp1svprm.dat)を編集します。「5.4.2(4) イベントサービスを自動的に起動する」で編集した起動順序定義ファイルをテキストエディタで開いて記述を編集します。

設定例を次に示します。

起動順序定義ファイルの設定例
起動順序定義ファイルに次の記述を追加します。デフォルトの記述は残したまま,新しい記述を追加してください。

#イベントサービスを定義する記述よりあとに記述を追加し,イベントサービスが先に起動されるように設定する。
[Jp1BaseEventlogTrap]
Name=JP1/BaseEventlogTrap
ServiceName=JP1_Base_EventlogTrap

起動順序定義ファイルの設定内容については,マニュアル「JP1/Base 運用ガイド」を参照してください。

イベントログトラップ機能を自動的に起動する設定にしたあと,OSを再起動し,イベントサービスおよびイベントログトラップ機能が自動的に起動されるかどうかを確認してください。確認方法はWindowsとUNIXで異なります。それぞれの確認方法を次に示します。

Windowsの場合
コントロールパネルの「管理ツール」から「サービス」を開いて,イベントサービスおよびイベントログトラップ機能が起動されているかどうかを確認してください。または,jevstatコマンドを実行して確認してください。ただし,jevstatコマンドを実行することで確認できるのは,イベントサービスの起動だけです。イベントログトラップ機能の起動は確認できません。
UNIXの場合
jevstatコマンドを実行して確認してください。ただし,jevstatコマンドを実行することで確認できるのは,イベントサービスの起動だけです。イベントログトラップ機能の起動は確認できません。jevstatコマンドの詳細は,マニュアル「JP1/Base 運用ガイド」を参照してください。

なお,イベントサービスおよびイベントログトラップ機能が起動されても,収集対象の監視は開始されません。収集対象の監視は,[監査ログ収集マネージャ]ウィンドウで監視を開始するための設定をした時点から開始されます。

イベントログトラップ機能は手動でも起動できます。必ずイベントサービスを起動後に,イベントログトラップ機能を起動してください。イベントサービスを起動する方法については「5.4.2(4) イベントサービスを自動的に起動する」を参照してください。

イベントログトラップ機能を手動で開始する方法を次に示します。

  1. コントロールパネルの「管理ツール」から「サービス」を開く。
  2. JP1/Base EventlogTrap」を選択し,プロパティで[開始]ボタンをクリックする。

開始する場合と同様の方法でイベントログトラップ機能を停止できます。