![[目次]](FIGURE/CONTENT.GIF)
![[用語]](FIGURE/GLOSS.GIF)
![[索引]](FIGURE/INDEX.GIF)
![[前へ]](FIGURE/FRONT.GIF)
![[次へ]](FIGURE/AFTER.GIF)
JP1/NETM/Audit 構築・運用ガイド
イベントサービスを使用するために,監査ログ収集対象サーバで監査ログ専用イベントサーバを設定します。
監査ログ専用イベントサーバ名は,監査ログ収集対象サーバのホスト名のあとに「-adm」を付けて設定してください。監査ログ収集対象サーバのホスト名が「Host01」の場合,監査ログ専用イベントサーバ名は「Host01-adm」になります。なお,監査ログ専用イベントサーバ名の大文字と小文字は区別されます。
この作業は,監査ログ収集対象サーバのOSがWindowsとUNIXのどちらの場合でも必要です。
監査ログ専用イベントサーバの設定内容について,次に説明します。
- <この項の構成>
- (1) 監査ログ専用イベントサーバの構築前に準備すること
- (2) 監査ログ専用イベントサーバを構築する
- (3) 監査ログ専用イベントサーバの環境情報を変更する
- (4) イベントサービスを自動的に起動する
(1) 監査ログ専用イベントサーバの構築前に準備すること
監査ログ専用イベントデータベースを作成するために,次の事前準備をします。
- 監査ログ専用イベントサーバの定義ファイルやイベントデータベースなどを格納する任意のフォルダを,ローカルディスク上に作成する。
この作業は,監査ログ収集対象サーバのOSがWindowsとUNIXのどちらの場合でも必要です。
以降,ここで作成したフォルダのことをWindowsの場合は「監査ログ専用フォルダ」,UNIXの場合は「監査ログ専用ディレクトリ」と呼びます。
- 監査ログ専用イベントデータベースに割り当てるポート番号を決める。
既存のJP1/Baseとは別に,監査ログ専用イベントデータベースのポート番号を設定する必要があります。推奨するポート番号を次に示します。
ただし,監査ログ収集対象サーバで使用されている場合は,ほかのポート番号にする必要があります。
- 転送用ポート番号「24101」
- AP用ポート番号「24102」
- 監査ログ専用イベントデータベースのサイズを決める。
JP1/Baseのイベントデータベースの見積もり式を基に,監査ログ専用イベントデータベースのサイズを算出します。見積もり式を次の表に示します。
表5-4 監査ログ専用イベントデータベースのサイズの見積もり式
見積もり式(単位:バイト) ((a×(b+64)+(c×64))×d)÷2 なお,監査ログ専用イベントデータベースは,デフォルトでは10メガバイトのサイズで作成されます。
- (凡例)
- a:1日当たりに収集する監査ログの件数
- b:取得する監査ログの平均サイズ(一つのログ当たり最大1キロバイトとして計算)
- c:1日当たりに転送されるイベントの総件数(Windowsイベントログから取得する監査ログの総件数)
- d:保存する日数(収集間隔の4倍が目安。例えば[定時収集の設定]ダイアログで設定した収集スケジュールが「毎日」の場合は4日)
(2) 監査ログ専用イベントサーバを構築する
admagtsetupコマンドを実行し,監査ログ専用イベントサーバを構築します。構築に必要な環境情報を次の表に示します。
表5-5 監査ログ専用イベントサーバの構築に必要な環境情報
項番 対象サーバ 項目 1 監査ログ管理サーバ ホスト名 2 IPアドレス 3 JP1/Baseのイベントサーバの転送用ポート番号 4 監査ログ収集対象サーバ ホスト名 5 IPアドレス 6 監査ログ専用フォルダ(監査ログ専用ディレクトリ) 7 監査ログ専用イベントデータベースのサイズ 8 監査ログ専用イベントサーバの転送用ポート番号 9 監査ログ専用イベントサーバのAP用ポート番号 これらの環境情報は次のどちらかの方法で指定してください。
- コマンドの引数で指定する
- 引数で指定する方法については「12. コマンド」の「admagtsetup(監査ログ専用イベントサーバの環境セットアップ)」を参照してください。
- 監査ログ収集対象サーバセットアップ定義ファイルで指定する
- JP1/NETM/Audit - Managerで提供するモデルファイル(admagtsetup.conf.model)をコピーして指定します。コピー先のファイル名は任意です。
- モデルファイルの格納先および監査ログ収集対象サーバセットアップ定義ファイルの設定方法については「13.9 監査ログ収集対象サーバセットアップ定義ファイル」を参照してください。
admagtsetupコマンドを実行すると,引数または監査ログ収集対象サーバセットアップ定義ファイルで指定した監査ログ専用フォルダ(監査ログ専用ディレクトリ)の配下に「jp1netmaudit\event」(「jp1netmaudit/event」)が作成されます。このフォルダに,監査ログ専用イベントサーバ用の環境設定ファイルが作成されます。また,JP1/Baseの定義ファイルに監査ログ専用イベントデータベースの定義が追加されます。
なお,すでに構築されている監査ログ専用イベントサーバに上書きしてセットアップすることはできません。監査ログ専用イベントサーバの設定を変更する方法については「(3) 監査ログ専用イベントサーバの環境情報を変更する」を参照してください。
作成される監査ログ専用イベントサーバ用の環境設定ファイルについて,次の表に示します。
表5-6 作成される監査ログ専用イベントサーバ用の環境設定ファイル
項番 OSの種類
(監査ログ収集対象サーバ)格納先 対象ファイル 定義内容 1 Windows 監査ログ専用フォルダ\jp1netmaudit\event イベントサービスのイベントサーバ設定ファイル(conf)
- 監査ログ管理サーバのホスト名
- 監査ログ管理サーバのIPアドレス
- 監査ログ収集対象サーバのIPアドレス
- JP1/Baseのイベントサーバの転送用ポート番号
- 監査ログ専用イベントデータベースのサイズ
- 監査ログ専用イベントサーバの転送用ポート番号
- 監査ログ専用イベントサーバのAP用ポート番号
2 イベントサービスの転送設定ファイル(forward)
- 監査ログ管理サーバのホスト名
3 UNIX 監査ログ専用ディレクトリ/jp1netmaudit/event イベントサービスのイベントサーバ設定ファイル(conf)
- 監査ログ管理サーバのホスト名
- 監査ログ管理サーバのIPアドレス
- 監査ログ収集対象サーバのIPアドレス
- JP1/Baseのイベントサーバの転送用ポート番号
- 監査ログ専用イベントデータベースのサイズ
- 監査ログ専用イベントサーバの転送用ポート番号
- 監査ログ専用イベントサーバのAP用ポート番号
4 イベントサービスの転送設定ファイル(forward)
- 監査ログ管理サーバのホスト名
イベントサービスのイベントサーバ設定ファイル(conf)と転送設定ファイル(forward)の設定例について,それぞれ次に示します。
・イベントサービスのイベントサーバ設定ファイル(conf)
設定例の条件を次の表に示します。
表5-7 設定例での条件(イベントサービスのイベントサーバ設定ファイル(conf))
項番 項目 この例での値 1 監査ログ管理サーバのホスト名 audithost 2 監査ログ管理サーバのIPアドレス 172.16.1.100 3 監査ログ収集対象サーバのIPアドレス 172.16.1.10 4 JP1/Baseのイベントサーバの転送用ポート番号 jp1imevt 5 監査ログ専用イベントデータベースのサイズ 10,000,000バイト 6 監査ログ専用イベントサーバの転送用ポート番号 24101 7 監査ログ専用イベントサーバのAP用ポート番号 24102 イベントサービスのイベントサーバ設定ファイル(conf)は次のように設定されます。
#portsパラメーターのデフォルトの記述が変更される。 ports 172.16.1.10 24101 24102 : db-size 10000000 : #デフォルトで記述されている行の下に,remote-serverパラメーターの記述が新しく追加される。 remote-server * close remote-server audithost close 172.16.1.100 jp1imevt・イベントサービスの転送設定ファイル(forward)
設定例の条件を次の表に示します。
表5-8 設定例での条件(イベントサービスの転送設定ファイル(forward))
項番 項目 この例での値 1 監査ログ管理サーバのホスト名 audithost 2 イベントデータベースの切り替えの発生を知らせるイベントID 00003D00 イベントサービスの転送設定ファイル(forward)は次のように設定されます。デフォルトで記述されている行の下に,記述が新しく追加されます。
監査ログ専用イベントデータベースの定義が追加されるJP1/Baseの定義ファイルについて,次の表に示します。
表5-9 監査ログ専用イベントデータベースの定義が追加されるJP1/Baseの定義ファイル
項番 OSの種類(監査ログ収集対象サーバ) 格納先 対象ファイル 定義内容 1 Windows JP1/Baseのインストール先フォルダ\conf\event イベントサーバインデックスファイル(index)
- 監査ログ専用フォルダ\jp1netmaudit\event
- 監査ログ専用イベントサーバ名
2 API設定ファイル(api)
- 監査ログ収集対象サーバのIPアドレス
- 監査ログ専用イベントサーバのAP用ポート番号
- 監査ログ専用イベントサーバ名
3 UNIX /etc/opt/jp1base/conf/event イベントサーバインデックスファイル(index)
- 監査ログ専用ディレクトリ/jp1netmaudit/event
- 監査ログ専用イベントサーバ名
4 API設定ファイル(api)
- 監査ログ収集対象サーバのIPアドレス
- 監査ログ専用イベントサーバのAP用ポート番号
- 監査ログ専用イベントサーバ名
JP1/Baseのイベントサーバインデックスファイル(index)とAPI設定ファイル(api)の設定例について,それぞれ次に示します。
・イベントサーバインデックスファイル(index)
設定例での条件を次の表に示します。
表5-10 設定例での条件(JP1/Baseのイベントサーバインデックスファイル(index))
項番 項目 この例での値 1 監査ログ専用フォルダ\jp1netmaudit\event E:\audit\jp1netmaudit\event※ 2 監査ログ専用イベントサーバ名 host01-adm
- 注※
- Windowsの場合の例を挙げています。UNIXの場合,この部分についてはUNIX用のパス(「/shdhd/audit/jp1netmaudit/event」など)に置き換えてください。
イベントサーバインデックスファイル(index)は次のように設定されます。デフォルトで記述されている行の下に,serverパラメーターの記述が新しく追加されます。
・API設定ファイル(api)
設定例での条件を次の表に示します。
表5-11 設定例での条件(JP1/BaseのAPI設定ファイル(api))
項番 項目 この例での値 1 監査ログ専用イベントサーバのIPアドレス 172.16.1.10 2 監査ログ専用イベントサーバのAP用ポート番号 24102 3 監査ログ専用イベントサーバ名 host01-adm API設定ファイル(api)は次のように設定されます。デフォルトで記述されている行の下に,server パラメーターの記述が新しく追加されます。
(3) 監査ログ専用イベントサーバの環境情報を変更する
すでに構築している監査ログ専用イベントサーバの環境情報を変更する方法について説明します。
変更できる環境情報を次に示します。
- 監査ログ管理サーバの環境情報
- ホスト名
- IPアドレス
- JP1/Baseのイベントサーバの転送用ポート番号
- 監査ログ収集対象サーバの環境情報
- IPアドレス
- 監査ログ専用フォルダ(監査ログ専用ディレクトリ)
- 監査ログ専用イベントデータベースのサイズ
- 監査ログ専用イベントサーバの転送用ポート番号
- 監査ログ専用イベントサーバのAP用ポート番号
監査ログ収集対象サーバのホスト名を変更したい場合は,監査ログ専用イベントサーバを構築し直す必要があります。監査ログ専用イベントサーバを構築する方法については「(2) 監査ログ専用イベントサーバを構築する」を参照してください。
監査ログ専用イベントサーバをadmagtsetupコマンドで構築した場合と手動で構築した場合で変更する方法が異なります。それぞれについて次に説明します。
(a) admagtsetupコマンドで監査ログ専用イベントサーバを構築した場合
admagtsetupコマンドで構築した監査ログ専用イベントサーバの環境情報を変更する方法について説明します。
監査ログ専用イベントサーバの環境情報を変更する手順について説明します。
- 監査ログ管理サーバの監査ログ収集マネージャで監視中の収集対象の監視を停止する。
- 監査ログ専用イベントサーバが起動している場合は,監査ログ専用イベントサーバを停止する。
- Windowsの場合
- コントロールパネルの「管理ツール」の「サービス」を開いて監査ログ専用イベントサーバのサービスを停止させてください。
- UNIXの場合
- 次に示すコマンドを実行して停止させます。
- 監査ログ専用イベントデータベースのバックアップを取得する。
監査ログ専用イベントデータベースの設定ファイルをコピーするなど,任意の方法でバックアップを取得してください。監査ログ専用イベントデータベースの設定ファイルの格納先を次に示します。
- Windowsの場合
- 監査ログ専用フォルダ\jp1netmaudit\event\IMEvent*.*
- UNIXの場合
- 監査ログ専用ディレクトリ/jp1netmaudit/event/IMEvent*.*
- admagtsetupコマンドを実行して監査ログ専用イベントサーバを削除する。
admagtsetupコマンドで監査ログ専用イベントサーバを削除する方法については「12. コマンド」の「admagtsetup(監査ログ専用イベントサーバの環境セットアップ)」を参照してください。
- admagtsetupコマンドを実行して監査ログ専用イベントサーバを構築する。
admagtsetupコマンドで監査ログ専用イベントサーバを構築する方法については「12. コマンド」の「admagtsetup(監査ログ専用イベントサーバの環境セットアップ)」を参照してください。
- 手順3で取得した監査ログ専用イベントデータベースの設定ファイルのバックアップを反映する。
バックアップの反映先を次に示します。
- Windowsの場合
- 監査ログ専用フォルダ\jp1netmaudit\event
- UNIXの場合
- 監査ログ専用ディレクトリ/jp1netmaudit/event
- 新しく作成した監査ログ専用イベントサーバを起動する。
- Windowsの場合
- コントロールパネルの「管理ツール」の「サービス」を開いて監査ログ専用イベントサーバのサービスを開始させてください。
- UNIXの場合
- 次に示すコマンドを実行して起動させます。
- 監査ログ管理サーバのAPI設定ファイル(apiファイル)を編集する。
手順5で監査ログ収集対象サーバのIPアドレスやポート番号も変更した場合は,監査ログ管理サーバのAPI設定ファイル(apiファイル)に設定されているIPアドレスとポート番号の設定もあわせて変更してください。
- 監査ログ管理サーバのJP1/NETM/Audit - Managerのサービスを再起動する。
手順8で監査ログ管理サーバのAPI設定ファイル(apiファイル)を編集した場合は,監査ログ管理サーバのJP1/NETM/Audit - Managerのサービスを再起動してください。
- 監査ログ管理サーバの監査ログ収集マネージャで収集対象の監視を開始する。
(b) 手動で監査ログ専用イベントサーバを構築した場合
JP1/NETM/Audit - Manager 09-00より前のバージョンで構築した監査ログ専用イベントサーバの環境情報を変更する方法について説明します。
監査ログ専用イベントサーバの環境情報を変更する手順について説明します。
- 監査ログ管理サーバの監査ログ収集マネージャで監視中の収集対象の監視を停止する。
- 監査ログ専用イベントサーバが起動している場合は,監査ログ専用イベントサーバを停止する。
- Windowsの場合
- コントロールパネルの「管理ツール」の「サービス」を開いて監査ログ専用イベントサーバのサービスを停止させてください。
- UNIXの場合
- 次に示すコマンドを実行して停止させます。
- 監査ログ専用イベントサーバの設定ファイルを変更する。
変更する設定ファイルを次に示します。
イベントサーバインデックスファイル(index)とAPI設定ファイル(api)の格納先については「5.4.2(2) 監査ログ専用イベントサーバを構築する」を参照してください。また,監査ログ専用イベントサーバ設定ファイル(conf)と監査ログ専用イベントサーバ転送設定ファイル(forward)の格納先は,監査ログ専用イベントサーバの構築時に作成した任意のフォルダ(ディレクトリ)です。
- イベントサーバインデックスファイル(index)
- API設定ファイル(api)
- 監査ログ専用イベントサーバ設定ファイル(conf)
- 監査ログ専用イベントサーバ転送設定ファイル(forward)
各設定ファイルの設定内容の詳細については,マニュアル「JP1/Base 運用ガイド」を参照してください。
- 監査ログ専用イベントサーバを起動する。
- Windowsの場合
- コントロールパネルの「管理ツール」の「サービス」を開いて監査ログ専用イベントサーバのサービスを開始させてください。
- UNIXの場合
- 次に示すコマンドを実行して起動させます。
- 監査ログ管理サーバのAPI設定ファイル(apiファイル)を編集する。
手順3で監査ログ収集対象サーバのIPアドレスやポート番号も変更した場合は,監査ログ管理サーバのAPI設定ファイル(apiファイル)に設定されているIPアドレスとポート番号の設定もあわせて変更してください。
- 監査ログ管理サーバのJP1/NETM/Audit - Managerのサービスを再起動する。
手順5で監査ログ管理サーバのAPI設定ファイル(apiファイル)を編集した場合は,監査ログ管理サーバのJP1/NETM/Audit - Managerのサービスを再起動してください。
- 監査ログ管理サーバの監査ログ収集マネージャで収集対象の監視を開始する。
(4) イベントサービスを自動的に起動する
監査ログ収集対象サーバで出力された監査ログを監査ログ専用イベントサーバに蓄積するために,イベントサービスを起動させておく必要があります。
イベントサービスをOS起動時に自動的に起動するように設定します。
この作業は,監査ログ収集対象サーバのOSがWindowsとUNIXのどちらの場合でも,必要です。ただし,OSによって設定方法が異なります。OSがWindowsとUNIXの場合について,それぞれ説明します。
(a) Windowsの場合
JP1/Baseの起動順序定義ファイル(JP1/Baseのインストール先フォルダ\conf\boot\Jp1svprm.dat)をテキストエディタで開いて記述を編集します。
設定例を次に示します。
- 起動順序定義ファイルの設定例
- 起動順序定義ファイルに次の記述を追加します。デフォルトの記述は残したまま,新しい記述を追加してください。
監査ログ専用イベントサーバ名は,監査ログ収集対象サーバのホスト名のあとに「-adm」を付けて設定してください。
なお,デフォルトで自動起動する設定になっていて,かつ監査ログ収集対象サーバとしてインストールされていない製品については,不要なサービスとしてコメント化してください。
イベントサービスは手動でも起動できます。必ずイベントサービスの起動後に,イベントログトラップ機能を起動してください。イベントログトラップ機能を起動する方法については「5.4.3(5) イベントログトラップ機能を自動的に起動する」を参照してください。
イベントサービスを手動で開始する方法を次に示します。
- コントロールパネルの「管理ツール」から「サービス」を開く。
- 「JP1/Base Event 監査ログ専用イベントサーバ名」を選択し,プロパティで[開始]ボタンをクリックする。
- 「JP1/Base Event」を選択し,プロパティで[開始]ボタンをクリックする。
開始する場合と同様の方法でイベントサービスを停止できます。
(b) UNIXの場合
自動起動用のスクリプトを作成し,作成したスクリプトにリンクの設定をすることで自動起動を設定します。
OSごとのスクリプトの格納先および作成例を次に示します。OSごとのリンクの設定方法については,マニュアル「JP1/Base 運用ガイド」を参照してください。
- HP-UX
スクリプトの格納先:/sbin/init.d/jp1_service_cluster
スクリプトの作成例:
- Solaris
スクリプトの格納先:/etc/init.d/jp1_service_cluster
スクリプトの作成例:
- AIX
スクリプトの作成方法:mkitabコマンドで,/etc/inittabファイルに次に示す記述を追加します。監査ログの収集対象として設定したプログラムを起動する記述の前に追加してください。
/etc/inittabファイルに追加する記述:
また,/etc/rc.shutdownファイルをテキストエディタで開き,次に示す記述を追加します。監査ログの収集対象として設定したプログラムを停止する記述のあとに追加してください。
/etc/rc.shutdownファイルに追加する記述:
- Linux
スクリプトの格納先:/etc/rc.d/init.d/jp1_service_cluster
スクリプトの作成例:
監査ログ専用イベントサーバ名は,監査ログ収集対象サーバのホスト名のあとに「-adm」を付けて設定してください。
イベントサービスは手動でも起動や停止ができます。
次に示すコマンドを実行して起動します。
次に示すコマンドを実行して停止します。
なお,監査ログ専用イベントサーバ名の大文字と小文字は区別されます。
jevstartコマンドの詳細については,マニュアル「JP1/Base 運用ガイド」を参照してください。
All Rights Reserved. Copyright (C) 2009, 2011, Hitachi, Ltd.
All Rights Reserved. Copyright (C) 2009, 2011, Hitachi Solutions, Ltd.