1.3.6 監査ログ閲覧サーバで監査ログを閲覧する
監査ログ管理サーバとは別に,監査ログを閲覧する専用サーバを構築して,企業内のITシステムの監査ログを管理する運用例を紹介します。
収集された監査ログは,監査ログ管理サーバのデータベース(監査ログ管理データベース)に格納されます。一定量以上の監査ログが収集されると,監査ログ管理データベースの容量がいっぱいになり,監査証跡管理システムの運用に支障を来すおそれがあります。この場合,監査が完了した監査ログを,バックアップとして媒体などに保存したあとに監査ログ管理サーバから削除することで,監査ログ管理データベースの負荷を軽減できます。また,保存した監査ログのバックアップは,別に構築した監査ログ閲覧サーバにインポートして閲覧できます。
監査ログ閲覧サーバで監査ログを閲覧する運用例を次の図に示します。
|
|
![[図データ]](GRAPHICS/ZU010130.GIF)
-
監査ログの収集
監査証跡管理システムでは,企業内の業務サーバから出力された監査ログが監査ログ管理サーバに定期的に収集されます。
なお,監査ログ管理データベースの容量がしきい値(図の例では80%)を超えると,データベースの容量が不足していることを示すメッセージが出力されます。
-
監査ログのバックアップファイルの作成・保存
監査ログ管理データベースに格納されている監査ログを,コマンドを使用して監査ログ管理サーバ内にバックアップします。
なお,監査ログ管理データベースの負荷を軽減するには,バックアップを取得した監査ログを削除してください。バックアップを取得した監査ログは,媒体に保存したり,監査ログ閲覧サーバにダウンロードしたりするなどの保存方法があります。
-
必要に応じて,監査ログを監査ログ閲覧サーバで閲覧
必要に応じて,保存している監査ログのバックアップファイルを監査ログ閲覧サーバにインポートします。これで,監査ログ閲覧サーバから監査ログを閲覧できるようになります。