4.5 システム構成の検討
監査証跡管理システムに設置するサーバの種類と台数,および各サーバで使用するプログラムを確認しておきます。
監査証跡管理システムを構成する各サーバの設置に関する条件を次の表に示します。この条件を参考に,設置するサーバの種類と台数を確認してください。
|
サーバの種類 |
説明 |
設置に関する条件 |
|---|---|---|
|
監査ログ管理サーバ |
指定された監査ログを収集するサーバです。 |
通常,一つのシステムに1台以上設置します。 クラスタ環境の場合は,実行系サーバ,および待機系サーバをそれぞれ1台ずつ設置します。 |
|
監査ログ収集対象サーバ |
収集対象の監査ログが出力されるサーバです。 |
収集対象に応じて,1台以上設置します。 |
|
監査ログ閲覧サーバ |
監査ログ管理サーバからバックアップした監査ログのデータを閲覧するためのサーバです。 |
設置は任意です。※ |
- 注※
-
監査ログ閲覧サーバの運用例については「4.4.2 収集した監査ログの取り扱い方法」を参照してください。
各サーバに必要なプログラム,およびシステム構成例については「3. システム構成」を参照してください。
- 監査ログ管理サーバの注意事項
-
監査ログ管理サーバ1台の監査ログ収集性能は,1日当たり2,000万件程度※が上限となります。これを超えるようなログ収集が続くと,未収集の監査ログが増加し,監査ログが収集できなくなります。監査ログ数が収集の上限を超える場合は,監査ログ管理サーバを複数台設置して,1台の監査ログ管理サーバで収集するログ件数を減らしてください。なお,収集対象プログラムの追加や収集対象サーバの追加といったシステム変更をする場合には,収集性能を超えないか検証してください。
- 注※
-
サービスが24時間動作して収集した場合の件数です。監査ログのサイズやシステムのスペック,ネットワークなどによって件数は異なります。
また,監査ログ管理データベースの容量がいっぱいになると,データベースのメンテナンス,監査ログの検索に時間がかかり,監査証跡管理システムの運用に支障を来すおそれがあります。参考として,データベースのメンテナンス,監査ログの検索性能を次に示します。次に示す時間よりも短い時間で完了したい場合,監査が完了した監査ログを,バックアップとして媒体などに保存したあとに監査ログ管理サーバから削除することで,監査ログ管理データベースの負荷を軽減してください。また,監査ログ閲覧サーバを構築して,監査ログを閲覧することを推奨します。監査ログ閲覧サーバは,バックアップした過去の監査ログを参照するためのサーバとして使用し,日々の確認には監査ログ閲覧サーバを使用しないで監査ログ管理サーバを使用します。監査ログ閲覧サーバを構築することによって,監査ログの収集・監査専用のサーバと監査が完了した監査ログを閲覧する閲覧専用のサーバに分けて,監査ログを管理できます。
表4‒5 データベースのメンテナンスおよび監査ログの検索性能 大項目
小項目
時間
備考
データベースのメンテナンス
データベースのバックアップ
約2時間
- [測定環境]
-
機種:HA8000/TS20(AM1)
CPU:Intel(R) Xeon(R) CPU E5-2470 0 @2.30GHz 2.30GHz (2プロセッサ)
HDD:2TB(RAID5)
実装メモリ(RAM):128GB
OS:Windows Server 2012 R2 Datacenter
- [データベース情報]
-
サイズ:LL
監査ログ件数:109,500,000件
データ領域使用率:69%
インデクス領域使用率:29%
- [監査ログ情報]
-
監査ログ収集対象サーバの数:150台
サーバ1台1日当たりの監査ログ件数:400件/台
プログラム数:100
プログラム当たりの監査ログ件数:1,095,000件
データベースのリストア
約7.5時間
データベースのCSVバックアップ
約2時間
データベースのCSVリストア
約25時間
データベースの再編成
約28時間
データベースの使用状況確認
約1分
監査ログのバックアップ(1日)
約30秒
監査ログのバックアップ(1か月)
約40分
監査ログのバックアップ(全件)
約24.5時間
監査ログの移動
約1.5時間
監査ログのインポート(バルクモード)(1日)※
約1.5分
監査ログのインポート(バルクモード)(1か月)※
約36.5分
監査ログのインポート(バルクモード)(全件)※
約34時間
監査ログのインポート(マイナーモード)(1日)※
約4.5分
監査ログのインポート(マイナーモード)(1か月)※
約2.5時間
データ削除(バルクモード)(1件)
約30.5時間
データ削除(バルクモード)(全件)
約14秒
データ削除(マイナーモード)(1日)
約20.5分
データ削除(マイナーモード)(1か月)
約4時間
監査ログの検索
検索条件なし
約16時間
検索条件 日付範囲(1か月)
約6.5分
検索条件 プログラム名だけ
約29分
検索条件 日付範囲(1か月)+プログラム名
約21.5分
検索条件 日付範囲(1か月)+プログラム名+事象結果
約20分
- 注※
-
インポート時のデータベース内のデータ件数は0件
データベースのメンテナンスや監査ログのバックアップなどの運用でJP1/Audit Management - Managerのサービスを停止する場合は,ログ件数などを検討して,サービスを停止するまでに定時収集が終了するように運用してください。監査ログ数が収集の上限を超える状況,かつJP1/Audit Management - Managerのサービスが停止しているときに,イベントデータベースの切り替えが発生すると,監査ログが収集できない状態になるおそれがあります。
JP1/Audit Management - Managerのサービス停止中に監査ログを退避する設定をしている場合,サービスの再起動後の収集で退避した監査ログを格納します。そのため,退避したデータの件数分,収集件数が通常時よりも多くなります。サービスの再起動後の収集では,ログ件数に注意してください。