5.4.3 JP1/Baseのイベントログトラップ機能を設定する
Windowsイベントログに出力されるログをJP1/Audit Management - Managerの監査ログとして収集したい場合に,イベントログトラップ機能を設定します。
Windowsイベントログに出力されるログを次に示します。
-
Windowsイベントログ(セキュリティに関する情報)
-
Oracleのログ
-
Hitachi Storage Command Suiteのログ(Windowsの場合)
これらのログをJP1/Audit Management - Managerの監査ログとして収集しない場合,この作業は不要です。
- 〈この項の構成〉
(1) JP1/Audit Management - Managerの監査ログとして出力するための設定
Windowsイベントログに出力されるログをJP1/Audit Management - Managerの監査ログとして出力するための設定をします。
(a) Windowsの監査ポリシーを設定する
Windowsイベントログ(セキュリティに関する情報)をJP1/Audit Management - Managerの監査ログとして出力するために,Windowsの監査ポリシーを設定します。
Windowsイベントログ(セキュリティに関する情報)をJP1/Audit Management - Managerの監査ログとして収集しない場合,この作業は不要です。
コントロールパネルの「管理ツール」から「ローカルセキュリティポリシー」,「ドメインセキュリティポリシー」,または「ドメインコントローラセキュリティポリシー」を開いて,「ローカルポリシー」下の「監査ポリシー」の設定を変更してください。
ここでは,ログオン イベントおよびアカウント管理のイベントを出力するための設定方法を説明します。
「監査ポリシー」で「ログオン イベントの監査」および「アカウント管理の監査」を設定することで,ログオン イベントおよびアカウント管理のイベントを出力できます。それぞれの設定内容を次に示します。
-
「ログオン イベントの監査」
ログオン イベントを出力するために設定します。「ログオン イベントの監査」を開いて,監査する条件を設定してください。成功,失敗,またはそれらの両方を監査するよう設定できます。
-
「アカウント管理の監査」
アカウント管理のイベントを出力するために設定します。「アカウント管理の監査」を開いて,監査する条件を設定してください。成功,失敗,またはそれらの両方を監査するよう設定できます。
このほかのWindowsイベントログ(セキュリティに関する情報)の監査ポリシーを設定する方法については,Windowsのマニュアルを参照してください。
(b) Oracleのパラメーターファイル(init.ora)を編集する
OracleのログをJP1/Audit Management - Managerの監査ログとして出力するために,Oracleのパラメーターファイル(init.ora)を編集します。
OracleのログをJP1/Audit Management - Managerの監査ログとして収集しない場合,この作業は不要です。
なお,パラメーターファイルの「audit_trail」には「OS」を設定してください。「OS」を設定すると,監視されたレコードがシステム単位でイベントビューアに書き込まれ,イベントログとして出力されます。
設定例を次に示します。
Oracleのパラメーターファイル(init.ora)の設定例
##init.ora###################### ##標準監査を有効にし,OSファイル(イベントビューア)に出力させる audit_trail=OS ##DBA監査の有効化 audit_sys_operations=TRUE ###############################
パラメーターファイルの編集方法の詳細は,Oracleのマニュアルを参照してください。
(2) JP1/Baseの動作定義ファイル(ntevent.conf)を編集する
動作定義ファイル(ntevent.conf)で,イベントログトラップ機能の動作環境を設定します。
この作業は,Windowsイベントログに出力されるログをJP1/Audit Management - Managerの監査ログとして収集したい場合に必要です。
Windowsイベントログに出力されるログについての定義を,次に示すファイルへ追加します。
-
JP1/Baseのインストール先フォルダ\conf\event\ntevent.conf
動作定義ファイル(ntevent.conf)の定義内容は,収集対象となるプログラムによって異なります。定義内容については,プログラムごとに次に示す個所を参照してください。
-
Windowsイベントログ(セキュリティに関する情報)を収集する場合
「(a) Windowsイベントログを収集する場合の定義内容(動作定義ファイル(ntevent.conf))」を参照してください。
-
Oracleのログを収集する場合
「(b) Oracleのログを収集する場合の定義内容(動作定義ファイル(ntevent.conf))」を参照してください。
-
Hitachi Storage Command Suite(Windowsの場合)のログを収集する場合
「(c) Hitachi Storage Command Suiteのログを収集する場合の定義内容(動作定義ファイル(ntevent.conf))」を参照してください。
(a) Windowsイベントログを収集する場合の定義内容(動作定義ファイル(ntevent.conf))
Windowsイベントログ(セキュリティに関する情報)を収集する場合に,動作定義ファイル(ntevent.conf)で定義する内容について説明します。
この作業は,Windowsイベントログ(セキュリティに関する情報)をJP1/Audit Management - Managerの監査ログとして収集したい場合に必要です。
JP1/Audit Management - Managerで標準サポートしているWindowsイベントログ(セキュリティに関する情報)のイベントIDを次に示します。
- ログオン イベントのWindowsイベントログ(セキュリティに関する情報)
-
-
Windows Server 2003またはWindows XPの場合
標準サポートしているイベントIDは「528〜540」です。
-
Windows Server 2012またはWindows Server 2008の場合
標準サポートしているイベントIDは「4624〜4625」および「4634」です。
-
- アカウント管理のWindowsイベントログ(セキュリティに関する情報)
-
-
Windows Server 2003またはWindows XPの場合
標準サポートしているイベントIDは「624」,「626〜639」,「641〜642」,および「644」です。
-
Windows Server 2012またはWindows Server 2008の場合
標準サポートしているイベントIDは「4720」,「4722〜4735」,「4737〜4738」,「4740」,および「4744〜4763」です。
-
ここに示すWindowsイベントログ(セキュリティに関する情報)以外のイベントIDは,JP1/Audit Management - Managerでは標準サポート外となります。標準サポート外のイベントIDについては,Windowsのマニュアルを参照してください。
Windowsイベントログ(セキュリティに関する情報)を収集する場合の動作定義ファイル(ntevent.conf)の設定例について次に説明します。
設定例の条件を次に示します。
- 設定例の条件(Windowsイベントログ(セキュリティに関する情報)を収集する場合の動作定義ファイル(ntevent.conf))
-
次に示すイベントIDのイベントログを取得します。
-
「528〜529」
-
「538」
-
「540」
-
設定例を次に示します。
- Windowsイベントログ(セキュリティに関する情報)を収集する場合の動作定義ファイル(ntevent.conf)の設定例
-
動作定義ファイル(ntevent.conf)を次のように編集します。
デフォルトで記述されている行の下に,次に示す記述を新しく追加してください。
filter "Security" id '^528$' '^529$' '^538$' '^540$' end-filter
動作定義ファイル(ntevent.conf)の詳細については,マニュアル「JP1/Base 運用ガイド」を参照してください。
(b) Oracleのログを収集する場合の定義内容(動作定義ファイル(ntevent.conf))
Oracleのログを収集する場合に,動作定義ファイル(ntevent.conf)で定義する内容について説明します。
この作業は,OracleのログをJP1/Audit Management - Managerの監査ログとして収集したい場合に必要です。
JP1/Audit Management - Managerで収集できるOracleのログのイベントIDを次に示します。
- Oracleのログ
-
収集できるイベントIDは「34」です。
Oracleのログを収集する場合の動作定義ファイル(ntevent.conf)の設定例について次に説明します。
設定例の条件を次に示します。
- 設定例の条件(Oracleのログを収集する場合の動作定義ファイル(ntevent.conf))
-
イベントID「34」のイベントログを取得します。
設定例を次に示します。
- Oracleのログを収集する場合の動作定義ファイル(ntevent.conf)の設定例
-
動作定義ファイル(ntevent.conf)を次のように編集します。
デフォルトで記述されている行の下に,次に示す記述を新しく追加してください。
filter "Application" id '^34$' source !'^Oracle\.+asm$' source '^Oracle' end-filter
JP1/Baseの動作定義ファイル(ntevent.conf)の詳細は,マニュアル「JP1/Base 運用ガイド」を参照してください。
(c) Hitachi Storage Command Suiteのログを収集する場合の定義内容(動作定義ファイル(ntevent.conf))
Hitachi Storage Command Suite(Windowsの場合)のログを収集する場合に,動作定義ファイル(ntevent.conf)で定義する内容について説明します。
この作業は,Hitachi Storage Command Suite(Windowsの場合)のログをJP1/Audit Management - Managerの監査ログとして収集したい場合に必要です。
JP1/Audit Management - Managerで収集できるHitachi Storage Command Suite(Windowsの場合)のログのイベントIDを次に示します。
- Hitachi Storage Command Suite(Windowsの場合)のログ
-
収集できるイベントIDは「1」です。
Hitachi Storage Command Suite(Windowsの場合)のログを収集する場合の動作定義ファイル(ntevent.conf)の設定例について次に説明します。
設定例の条件を次に示します。
- 設定例の条件(Hitachi Storage Command Suiteのログを収集する場合の動作定義ファイル(ntevent.conf))
-
-
イベントID「1」で,メッセージに「CELFSS」を含むイベントログを取得します。
-
イベントソース名はHBase Storage Mgmt Logです。
-
設定例を次に示します。
- Hitachi Storage Command Suite(Windowsの場合)のログを収集する場合の動作定義ファイル(ntevent.conf)の設定例
-
動作定義ファイル(ntevent.conf)を次のように編集します。
デフォルトで記述されている行の下に,次に示す記述を新しく追加してください。
filter "Application" id '^1$' source '^HBase Storage Mgmt Log$' message 'CELFSS' end-filter
JP1/Baseの動作定義ファイル(ntevent.conf)の詳細は,マニュアル「JP1/Base 運用ガイド」を参照してください。
(3) イベントログトラップ機能のイベントサーバ設定ファイル(confファイル)を編集する
イベントログトラップ機能のイベントサーバ設定ファイル(confファイル)を編集します。
この作業は,Windowsイベントログに出力されるログをJP1/Audit Management - Managerの監査ログとして収集したい場合に必要です。
次に示すファイルを編集して,イベントログトラップ機能の動作環境を設定します。
-
JP1/Baseのインストール先フォルダ\conf\event\servers\default\conf
イベントログトラップ機能のconfファイルの設定例について次に説明します。
設定例の条件を次の表に示します。
|
項番 |
項目 |
この例での値 |
|---|---|---|
|
1 |
監査ログ専用イベントサーバ名 |
Host01-adm |
|
2 |
監査ログ専用イベントサーバのIPアドレス |
172.16.1.10 |
|
3 |
監査ログ専用イベントサーバの転送用ポート番号※ |
24101 |
- 注※
-
ポート番号は監査ログ収集対象サーバで未使用の番号を指定してください。
設定例を次に示します。
- イベントログトラップ機能のconfファイルの設定例
-
confファイルを次のように編集します。
remote-serverパラメーターは,デフォルトで記述されている行の下に,次に示す記述を新しく追加してください。
remote-server Host01-adm close 172.16.1.10 24101
なお,IPv6アドレスで通信する場合は,remote-serverパラメーターの監査ログ専用イベントサーバのIPアドレスに<jp1hosts2>を設定します。
IPv6アドレスで通信する場合の設定例の条件を次の表に示します。
|
項番 |
項目 |
この例での値 |
|---|---|---|
|
1 |
監査ログ専用イベントサーバ名 |
Host01-adm |
|
2 |
監査ログ専用イベントサーバのIPアドレス |
2001:db8::a |
|
3 |
監査ログ専用イベントサーバの転送用ポート番号※ |
24101 |
- 注※
-
ポート番号は監査ログ収集対象サーバで未使用の番号を指定してください。
設定例を次に示します。
- イベントログトラップ機能のconfファイルの設定例(IPv6アドレスで通信する場合)
-
confファイルを次のように編集します。
remote-serverパラメーターは,デフォルトで記述されている行の下に,次に示す記述を新しく追加してください。
remote-server Host01-adm close <jp1hosts2> 24101
(4) イベントログトラップ機能の転送設定ファイル(forwardファイル)を編集する
イベントログトラップ機能の転送設定ファイル(forwardファイル)を編集します。
この作業は,Windowsイベントログに出力されるログをJP1/Audit Management - Managerの監査ログとして収集したい場合に必要です。
監査ログ収集対象サーバのイベントサーバで収集したイベントログが監査ログ専用イベントサーバに転送させるための設定を,次に示すファイルへ追加します。
-
JP1/Baseのインストール先フォルダ\conf\event\servers\default\forward
forwardファイルの定義内容は,収集対象となるプログラムによって異なります。さらに,Windowsイベントログに出力される複数のプログラムのログを収集する場合もforwardファイルの定義内容が異なります。定義内容については,プログラムごとに次に示す個所を参照してください。
-
Windowsイベントログ(セキュリティに関する情報)だけを収集する場合
「(a) Windowsイベントログを収集する場合の定義内容(転送設定ファイル(forwardファイル))」を参照してください。
-
Oracleのログだけを収集する場合
「(b) Oracleのログを収集する場合の定義内容(転送設定ファイル(forwardファイル))」を参照してください。
-
Hitachi Storage Command Suite(Windowsの場合)のログだけを収集する場合
「(c) Hitachi Storage Command Suiteのログを収集する場合の定義内容(転送設定ファイル(forwardファイル))」を参照してください。
-
Windowsイベントログに出力される複数のプログラムのログを収集する場合
「(d) Windowsイベントログに出力される複数のプログラムのログを収集する場合の定義内容(転送設定ファイル(forwardファイル))」を参照してください。
(a) Windowsイベントログを収集する場合の定義内容(転送設定ファイル(forwardファイル))
Windowsイベントログ(セキュリティに関する情報)を収集する場合に,forwardファイルで定義する内容について説明します。
この作業は,Windowsイベントログ(セキュリティに関する情報)だけをJP1/Audit Management - Managerの監査ログとして収集したい場合に必要です。Windowsイベントログに出力されるほかのログも収集したい場合は「(d) Windowsイベントログに出力される複数のプログラムのログを収集する場合の定義内容(転送設定ファイル(forwardファイル))」を参照してください。
JP1/Audit Management - Managerで標準サポートしているWindowsイベントログ(セキュリティに関する情報)のイベントIDを次に示します。
- ログオン イベントのWindowsイベントログ(セキュリティに関する情報)
-
-
Windows Server 2003またはWindows XPの場合
標準サポートしているイベントIDは「528〜540」です。
-
Windows Server 2012またはWindows Server 2008の場合
標準サポートしているイベントIDは「4624〜4625」および「4634」です。
-
- アカウント管理のWindowsイベントログ(セキュリティに関する情報)
-
-
Windows Server 2003またはWindows XPの場合
標準サポートしているイベントIDは「624」,「626〜639」,「641〜642」,および「644」です。
-
Windows Server 2012またはWindows Server 2008の場合
標準サポートしているイベントIDは「4720」,「4722〜4735」,「4737〜4738」,「4740」,および「4744〜4763」です。
-
ここに示すWindowsイベントログ(セキュリティに関する情報)以外のイベントIDは,JP1/Audit Management - Managerでは標準サポート外となります。標準サポート外のイベントIDについては,Windowsのマニュアルを参照してください。
Windowsイベントログ(セキュリティに関する情報)を収集する場合のforwardファイルの設定例について次に説明します。
設定例の条件を次の表に示します。
|
項番 |
項目 |
この例での値 (Windows Server 2003またはWindows XPの場合) |
この例での値 (Windows Server 2012またはWindows Server 2008の場合) |
|---|---|---|---|
|
1 |
監査ログ専用イベントサーバ名 |
Host01-adm |
|
|
2 |
転送するイベントログ |
次に示すイベントIDのイベントログ 「528〜529」,「531〜540」 |
次に示すイベントIDのイベントログ 「4624〜4625」,「4634」 |
設定例を次に示します。
- forwardファイルの設定例(Windowsイベントログ(セキュリティに関する情報)を収集する場合)
-
forwardファイルを編集します。デフォルトで記述されている行の下に,次に示す記述を新しく追加してください。
- Windows Server 2003またはWindows XPの場合
to Host01-adm E.PRODUCT_NAME IN /HITACHI/JP1/NTEVENT_LOGTRAP/Security E.A5 RANGE 528 540 E.A5 NOTIN 530 end-to
- Windows Server 2012またはWindows Server 2008の場合
to host01-adm E.PRODUCT_NAME IN /HITACHI/JP1/NTEVENT_LOGTRAP/Microsoft-Windows-Security-Auditing E.A5 IN 4624 4625 4634 OR E.PRODUCT_NAME IN /HITACHI/JP1/NTEVENT_LOGTRAP/Microsoft%20Windows%20security%20auditing. E.A5 IN 4624 4625 4634 end-to
(b) Oracleのログを収集する場合の定義内容(転送設定ファイル(forwardファイル))
Oracleのログを収集する場合に,forwardファイルで定義する内容について説明します。
この作業は,OracleのログだけをJP1/Audit Management - Managerの監査ログとして収集したい場合に必要です。Windowsイベントログに出力されるほかのログも収集したい場合は「(d) Windowsイベントログに出力される複数のプログラムのログを収集する場合の定義内容(転送設定ファイル(forwardファイル))」を参照してください。
JP1/Audit Management - Managerで収集できるOracleのログのイベントIDを次に示します。
- Oracleのログ
-
収集できるイベントIDは「34」です。
Oracleのログを収集する場合のforwardファイルの設定例について次に説明します。
設定例の条件を次の表に示します。
|
項番 |
項目 |
この例での値 |
|---|---|---|
|
1 |
監査ログ専用イベントサーバ名 |
Host01-adm |
|
2 |
転送するイベントログ |
次に示すイベントIDのイベントログ 「34」 |
設定例を次に示します。
- forwardファイルの設定例(Oracleのログを収集する場合)
-
forwardファイルを次のように編集します。
デフォルトで記述されている行の下に,次に示す記述を新しく追加してください。
to Host01-adm E.PRODUCT_NAME BEGIN /HITACHI/JP1/NTEVENT_LOGTRAP/Oracle E.A5 IN 34 end-to
(c) Hitachi Storage Command Suiteのログを収集する場合の定義内容(転送設定ファイル(forwardファイル))
Hitachi Storage Command Suite(Windowsの場合)のログを収集する場合に,forwardファイルで定義する内容について説明します。
この作業は,Hitachi Storage Command Suite(Windowsの場合)のログだけをJP1/Audit Management - Managerの監査ログとして収集したい場合に必要です。Windowsイベントログに出力されるほかのログも収集したい場合は「(d) Windowsイベントログに出力される複数のプログラムのログを収集する場合の定義内容(転送設定ファイル(forwardファイル))」を参照してください。
JP1/Audit Management - Managerで収集できるHitachi Storage Command Suite(Windowsの場合)のログのイベントIDを次に示します。
- Hitachi Storage Command Suite(Windowsの場合)のログ
-
収集できるイベントIDは「1」です。
Hitachi Storage Command Suite(Windowsの場合)のログを収集する場合のforwardファイルの設定例について次に説明します。
設定例の条件を次の表に示します。
|
項番 |
項目 |
この例での値 |
|---|---|---|
|
1 |
監査ログ専用イベントサーバ名 |
Host01-adm |
|
2 |
転送するイベントログ |
次に示すイベントIDのイベントログ 「1」 |
設定例を次に示します。
- forwardファイルの設定例(Hitachi Storage Command Suite(Windowsの場合)のログを収集する場合)
-
forwardファイルを次のように編集します。
デフォルトで記述されている行の下に,次に示す記述を新しく追加してください。
to Host01-adm E.PRODUCT_NAME IN /HITACHI/JP1/NTEVENT_LOGTRAP/HBase%20Storage%20Mgmt%20Log E.A5 IN 1 end-to
(d) Windowsイベントログに出力される複数のプログラムのログを収集する場合の定義内容(転送設定ファイル(forwardファイル))
Windowsイベントログに出力される複数のプログラムのログを収集したい場合に,forwardファイルで定義する内容について説明します。
ここでは,Windowsイベントログ(セキュリティに関する情報)とOracleのログの両方を監査ログとして収集する場合の設定例を示します。
Windowsイベントログにログが出力されるプログラムを,複数設定するときの詳細については,マニュアル「JP1/Base 運用ガイド」を参照してください。
JP1/Audit Management - Managerで収集できるログのイベントIDについては,プログラムごとに次に示す個所を参照してください。
-
Windowsイベントログ(セキュリティに関する情報)のイベントID
「(a) Windowsイベントログを収集する場合の定義内容(転送設定ファイル(forwardファイル))」を参照してください。
-
OracleのログのイベントID
「(b) Oracleのログを収集する場合の定義内容(転送設定ファイル(forwardファイル))」を参照してください。
-
Hitachi Storage Command Suite(Windowsの場合)のイベントID
「(c) Hitachi Storage Command Suiteのログを収集する場合の定義内容(転送設定ファイル(forwardファイル))」を参照してください。
設定例の条件を次の表に示します。
|
項番 |
項目 |
この例での値 |
|---|---|---|
|
1 |
監査ログ専用イベントサーバ名 |
Host01-adm |
|
2 |
転送するイベントログ(Windowsイベントログ(セキュリティに関する情報)) |
次に示すイベントIDのイベントログ 「528〜529」,「531〜540」 |
|
3 |
転送するイベントログ(Oracleのログ) |
次に示すイベントIDのイベントログ 「34」 |
設定例を次に示します。
- forwardファイルの設定例(Windowsイベントログ(セキュリティに関する情報)およびOracleのログを収集する場合)
-
forwardファイルを次のように編集します。
デフォルトで記述されている行の下に,次に示す記述を新しく追加してください。
to Host01-adm E.PRODUCT_NAME IN /HITACHI/JP1/NTEVENT_LOGTRAP/Security E.A5 RANGE 528 540 E.A5 NOTIN 530 OR E.PRODUCT_NAME BEGIN /HITACHI/JP1/NTEVENT_LOGTRAP/Oracle E.A5 IN 34 end-to
(5) イベントログトラップ機能を自動的に起動する
Windowsイベントログに出力されるログをJP1/Audit Management - Managerの監査ログとして出力するために,イベントログトラップ機能を起動させておく必要があります。
JP1/Baseのイベントログトラップ機能がOS起動時に自動的に起動するように設定します。
イベントサービスの起動後にイベントログトラップ機能が起動するように,JP1/Baseの起動順序定義ファイル(JP1/Baseのインストール先フォルダ\conf\boot\Jp1svprm.dat)を編集します。「5.4.2(4) イベントサービスを自動的に起動する」で編集した起動順序定義ファイルをテキストエディタで開いて記述を編集します。
設定例を次に示します。
- 起動順序定義ファイルの設定例
-
起動順序定義ファイルに次の記述を追加します。デフォルトの記述は残したまま,新しい記述を追加してください。
#イベントサービスを定義する記述よりあとに記述を追加し,イベントサービスが先に起動されるように設定する。 [Jp1BaseEventlogTrap] Name=JP1/BaseEventlogTrap ServiceName=JP1_Base_EventlogTrap
起動順序定義ファイルの設定内容については,マニュアル「JP1/Base 運用ガイド」を参照してください。
イベントログトラップ機能を自動的に起動する設定にしたあと,OSを再起動し,イベントサービスおよびイベントログトラップ機能が自動的に起動されるかどうかを確認してください。確認方法はWindowsとUNIXで異なります。それぞれの確認方法を次に示します。
- Windowsの場合
-
コントロールパネルの「管理ツール」から「サービス」を開いて,イベントサービスおよびイベントログトラップ機能が起動されているかどうかを確認してください。または,jevstatコマンドを実行して確認してください。ただし,jevstatコマンドを実行することで確認できるのは,イベントサービスの起動だけです。イベントログトラップ機能の起動は確認できません。
- UNIXの場合
-
jevstatコマンドを実行して確認してください。ただし,jevstatコマンドを実行することで確認できるのは,イベントサービスの起動だけです。イベントログトラップ機能の起動は確認できません。jevstatコマンドの詳細は,マニュアル「JP1/Base 運用ガイド」を参照してください。
なお,イベントサービスおよびイベントログトラップ機能が起動されても,収集対象の監視は開始されません。収集対象の監視は,[監査ログ収集マネージャ]ウィンドウで監視を開始するための設定をした時点から開始されます。
イベントログトラップ機能は手動でも起動できます。必ずイベントサービスを起動後に,イベントログトラップ機能を起動してください。イベントサービスを起動する方法については「5.4.2(4) イベントサービスを自動的に起動する」を参照してください。
イベントログトラップ機能を手動で開始する方法を次に示します。
開始する場合と同様の方法でイベントログトラップ機能を停止できます。