11.2.1 監査ログ定義ファイル
(1) 形式
J2SEのプロパティファイル形式です。
次のようにキーを指定します。
<キー名称> = <値>
- 指定方法
-
-
改行までが値になります。
-
#で始まる行はコメントとみなされます。
-
値が存在しない行を定義した場合,その行は無視されます。また,行頭や行末の空白は無視されます。
-
同じ<キー名称>を複数指定した場合,最後に指定した<キー名称>の<値>が有効になります。
-
値の後ろには,コメントなどの文字列は追加できません。追加した場合,不正な値と解釈されます。
(誤りの例) <キー名称> = <値> #<コメント>
-
記載する文字はJavaの仕様に従って,ISO 8859-1 文字エンコーディングを使用してください。
-
<キー名称>や<値>には,「\」を使用しないでください。また,<値>に指定するディレクトリの区切り文字は「/」を使用してください。
-
(2) 機能
監査ログ定義ファイルでは,監査ログ出力時のログファイルの設定,監査ログの有効無効の設定,出力を抑止するメッセージの指定など監査ログに関する設定をします。
(3) 格納先およびファイル名
- インストール時のデフォルト設定ファイルを編集する場合
-
次のファイルを編集してください。
-
Windowsの場合
<Application Serverのインストールディレクトリ>\common\conf\auditlog.properties
-
UNIXの場合
/opt/Cosminexus/common/conf/auditlog.properties
-
- 任意のファイルを指定する場合
-
格納先名は任意です。
環境変数COSMINEXUS_AUDITLOG_CONFに,監査ログ定義ファイルをフルパスで指定してください。
- 例
COSMINEXUS_AUDITLOG_CONF=D:/auditlog/auditlog.properties
(4) 設定できるキー
指定できるキーとデフォルト値を次に示します。このキーに不正な値を指定した場合,動作は保証されません。
|
キー名称 |
内容 |
デフォルト値 |
|---|---|---|
|
auditlog.enabled |
監査ログを出力するかどうかを指定します。
|
false |
|
auditlog.user |
監査ログファイルの所有者(ユーザ)を指定します。 |
<auditsetupコマンドを実行したユーザ> |
|
auditlog.group |
監査ログファイルの所有者(グループ)を指定します。 |
<auditsetupコマンドを実行したユーザのプライマリグループ> |
|
auditlog.mode |
監査ログファイルのアクセス権限を,777までの3けたの数値で指定します※1。 UNIXの場合だけ指定します。 |
666 |
|
auditlog.filtered.message.list |
出力抑止対象のメッセージIDをコンマ(,)で区切って指定します。512個まで指定できます。 |
なし |
|
auditlog.filesize |
監査ログファイルの1面当たりのファイルサイズ(単位:バイト)を,4096〜33554432で指定します。 |
1048576 |
|
auditlog.filenum |
監査ログファイルの面数を,2〜32で指定します。 |
4 |
|
auditlog.directory |
監査ログファイルの出力ディレクトリの絶対パスを指定します。 |
これらのディレクトリが存在しない場合は,新規に作成されます※2。 |
|
auditlog.raslog.message.filesize |
監査ログのメッセージログを出力するファイルの1面当たりのファイルサイズ(単位:バイト)を,4096〜16777216で指定します。 |
1048576 |
|
auditlog.raslog.message.filenum |
監査ログのメッセージログを出力するファイルの面数を,2〜64で指定します。 |
4 |
|
auditlog.raslog.message.directory |
監査ログのメッセージログを出力するファイルの出力ディレクトリを絶対パスで指定します。 |
監査ログファイルの出力ディレクトリ(auditlog.directory)の値 |
|
auditlog.raslog.exception.filesize |
監査ログの例外情報を出力するファイルの1面当たりのファイルサイズ(単位:バイト)を,4096〜16777216で指定します。 |
1048576 |
|
auditlog.raslog.exception.filenum |
監査ログの例外情報を出力するファイルの面数を,2〜64で指定します。 |
8 |
|
auditlog.raslog.exception.directory |
監査ログの例外情報を出力するファイルの出力ディレクトリを絶対パスで指定します。 |
監査ログファイルの出力ディレクトリ(auditlog.directory)の値 |
注※1 指定値はchmodコマンドで指定する数値モードに従います。ただし,実際に設定される値は,umaskに影響されます。例えば,umask=0222の場合,auditlog.modeに777を指定しても,755が設定されます。
注※2 指定したディレクトリが存在しない場合,新規に作成されるディレクトリの所有者およびアクセス権は次のように設定されます。
-
Windowsの場合
ディレクトリの所有者やアクセス権限には,上位ディレクトリの設定が引き継がれます。
-
UNIXの場合
ディレクトリの所有者は監査ログを出力したユーザとそのプライマリグループになります。アクセス権限に777が設定されます。
(5) 監査ログのアクセス権限の設定
WindowsとUNIXで,監査ログ定義ファイルの指定値と監査ログの所有者およびアクセス権限の対応が異なります。
-
Windowsの場合
監査ログ定義ファイルの指定値と監査ログファイルの所有者およびアクセス権限の対応を,次の表に示します。
表11‒2 監査ログ定義ファイルの指定値と監査ログファイルの所有者およびアクセス権限の対応(Windowsの場合) 監査ログ定義ファイル
監査ログファイル
auditlog.user
auditlog.group
所有者
アクセス権限※
−
−
上位ディレクトリの設定を引き継ぐ
Everyone:RW
Administrators:F
SYSTEM:F
<ユーザ名>
−
<ユーザ名>:RW
Administrators:F
SYSTEM:F
−
<グループ名>
<グループ名>:RW
Administrators:F
SYSTEM:F
<ユーザ名>
<グループ名>
<ユーザ名>:RW
<グループ名>:RW
Administrators:F
SYSTEM:F
(凡例) −:指定しない。
- 注※
-
Windowsのアクセス権限を,次の形式で記述します。
<ユーザ名またはグループ名>:<許可する権限>
<許可する権限>は次のとおりです。
F:フルコントロール
RW:読み取りと書き込みを許可
-
UNIXの場合
監査ログ定義ファイルの指定値と監査ログファイルの所有者およびアクセス権限の対応を,次の表に示します。
表11‒3 監査ログ定義ファイルの指定値と監査ログファイルの所有者およびアクセス権限の対応(UNIXの場合) 監査ログ定義ファイル
監査ログファイル
auditlog.user
auditlog.group
auditlog.mode※1
所有者
(ユーザ)
所有者
(グループ)
アクセス権限※2
−
−
−
root※3
rootのプライマリグループ※3
666※3
−
−
777
root※3
rootのプライマリグループ※3
777
<ユーザ名>
−
−
<ユーザ名>
<ユーザ名>のプライマリグループ※3
666※3
−
<グループ名>
777
root※3
<グループ名>
777
<ユーザ名>
<グループ名>
777
<ユーザ名>
<グループ名>
777
(凡例) −:指定しない。
- 注※1
-
「auditlog.mode」に指定する値を,「777」として説明しています。
- 注※2
-
実際に設定される値はumaskによるマスクが実行されます。例えば,umask=0222が設定されている場合,auditlog.mode=777と指定しても,755が設定されます。
- 注※3
-
デフォルト値です。
- 参考
-
auditsetupコマンドを使用しないで,監査ログファイルを出力した場合,出力ディレクトリおよびファイルのアクセス権限は,次のように設定されます。
-
Windowsの場合
ディレクトリおよびファイルの所有者やアクセス権限には,上位ディレクトリの設定が引き継がれます。
-
UNIXの場合
ディレクトリおよびファイルの所有者やアクセス権限は,次のように設定されます。
表11‒4 ディレクトリおよびファイルの所有者とアクセス権限(UNIXの場合) ディレクトリ/ファイル
ログ種別
所有者
アクセス権限
出力ディレクトリ
監査ログ
実行ユーザおよびそのプライマリグループ
777※
メッセージログ
777
例外情報
777
出力ファイル
監査ログ
666※
メッセージログ
666
例外情報
666
- 注※ umaskによるマスクが実行されます。
-
(例) umask=0022が設定されている場合,777と指定しても,755が設定されます。ただし,サーバ管理コマンドを実行したことによって監査ログファイルが作成されたときは,umaskの値として0が使用されます。
-
(6) 記述例
監査ログ定義ファイル(auditlog.properties)の記述内容を次に示します。
auditlog.enabled=true
#auditlog.user=
#auditlog.group=
#auditlog.mode=666
auditlog.filtered.message.list=KDJExxxxxx-E,KDJEyyyyyy-I
auditlog.directory=D:/auditlog/logs
#auditlog.filesize=1048576
#auditlog.filenum=4
#auditlog.raslog.message.directory=${auditlog.directory}
#auditlog.raslog.message.filesize=1048576
#auditlog.raslog.message.filenum=4
#auditlog.raslog.exception.directory=${auditlog.directory}
#auditlog.raslog.exception.filesize=1048576
#auditlog.raslog.exception.filenum=8
(7) 注意事項
監査ログ定義ファイルは監査ログを出力するすべてのプロセスから参照されるため,次の注意が必要です。
-
監査ログ出力中に監査ログ定義ファイルの格納場所や記述内容を変更しないでください。また,変更した場合には監査ログを出力するすべてのプロセスを停止したあとで,監査ログ出力機能を再セットアップしてください。
-
監査ログ定義ファイルを参照するすべてのプロセスに対して,読み込み権限を付与してください。付与していない場合,そのプロセスは監査ログ定義ファイルの読み込みに失敗して,監査ログを出力できません。
-
製品のインストール単位に一つだけ監査ログ定義ファイルを設定してください。
-
監査ログ出力ライブラリで,COSMINEXUS_AUDITLOG_CONF環境変数を指定しないで,かつ,監査ログ定義ファイルが存在しない場合,標準エラー出力およびメッセージログおよび例外情報には,監査ログ定義ファイル読み込み失敗のメッセージは出力されません。