Systemwalker Centric Manager 監査ログ管理/監査ログ分析 SHieldWARE連携ガイド - UNIX/Windows(R)共通 -
目次 前ページ次ページ

第3章 使用方法

本章では、Systemwalker Centric Managerの監査ログ管理機能、監査ログ分析機能とSHieldWAREの提供物の使用方法を説明します。

3.1 監査ログを分析する作業の流れ

ここでは、Systemwalker Centric Managerの監査ログ管理機能、監査ログ分析機能とSHieldWAREの提供物を使用して、監査ログを分析する方法を説明します。

SHieldWAREの監査ログを設定する

SHieldWAREの監査ログ出力を設定します。

監査ログの収集を設定する

提供物の日付書式定義ファイルをポリシーで設定します。

監査ログを収集する

SHieldWAREのログを収集します。

監査ログを分析する

提供物の正規化ルール定義ファイル、問い合わせサンプルファイルを使用して、SHieldWAREの監査ログを分析します。

3.1.1 SHieldWAREの監査ログを設定する

SHieldWAREの管理GUIにより、以下の設定を行います。

以降の説明は、連携ツール(sw_shwlog.sh)を“/usr/local/bin”にコピーした場合として説明します。

また、連携ツール(sw_shwlog.sh)の実行は、通常は日数を指定せずに起動し、毎日起動して前日分のログを取り出すようにして運用してください。

実行については、OSのスケジュール機能、Systemwalker Operation Managerなどのジョブ管理製品を使用することにより、定期的なログの採取が可能となります。

日付の変わった後に自動実行させて前日分の監査ログが作成されるよう設定してください。

◆ファイル

SHieldWAREの管理GUIのファイル画面から、「ファイル属性の設定」画面を開きます。

連携ツール(sw_shwlog.sh)に対して「Normalファイル」を設定します。この設定により、SHieldWAREの設定が「未認証実行ファイルの実行禁止」となっている場合でも、実行できるようになります。

◆アクセス制御リスト

SHieldWAREの管理GUIのアクセス制御リスト画面で、連携ツール(sw_shwlog.sh)のアクセス制御を設定します。

"root"ユーザのみに"Read"と"Execute"の許可を設定します。

◆デフォルト特権

SHieldWAREの管理GUIのデフォルト特権画面で、連携ツール(sw_shwlog.sh)にデフォルト特権を設定します。

連携ツール(sw_shwlog.sh)は、SHieldARE統合管理サーバのログDBにアクセスするため、“クリアランス0”,“カテゴリA”の権限が必要です。“root”ユーザが起動したときにのみ、連携ツール(sw_shwlog.sh)に“クリアランス0”と“カテゴリA”の権限が付与されるようデフォルト特権を設定します。

◆実行コマンドログ

実行コマンド問い合わせは、SHieldWAREのログに実行コマンドログが存在しない場合は、集計されません。

SHieldWAREのログに実行コマンドログを出力するためには、SHieldWAREの管理GUI “セキュリティオプション”の“ログ”画面で設定します。

Solaris版またはLinux版 SHieldWAREの場合

“リモートから実行したコマンド”または、“リモートとコンソールから実行したコマンド”のいずれかを選択します。

指定した内容に応じて実行コマンドログが出力されます。

Windows版SHieldWAREの場合

“プロセスのログ”にチェックします。

チェックすることにより、実行コマンドログが出力されます。

3.1.2 監査ログの収集を設定する

提供物の日付書式定義ファイルを収集対象サーバに設定します。監査ログの収集設定は、ポリシーを使用して設定します。

収集対象サーバは、連携例を参考に選定してください。

ポリシーを使用した監査ログの収集設定の詳細については、“Systemwalker Centric Manager 使用手引書 セキュリティ編”の“ポリシーを使用して設定する”を参照してください。

コマンドを使用した監査ログの収集設定を行う場合は、“Systemwalker Centric Manager 使用手引書 セキュリティ編”の“監査ログを正規化する”の“■ポリシーを使用せずに収集定義を行った監査ログを分析する場合”と“Systemwalker Centric Manager 使用手引書 セキュリティ編”の“コマンドを使用して設定する”を参照してください。

収集対象ログに必要なログ識別名と日付書式定義ファイルは、以下のとおりです。

収集対象ログ

ログ識別名

日付書式定義ファイル

SHieldWARE監査ログ

shieldware

mpatmshieldware.fmt


3.1.3 監査ログを収集する

監査ログの収集設定後は、監査ログを運用管理サーバに収集します。

ログ収集の詳細については、“Systemwalker Centric Manager 使用手引書 セキュリティ編”の“監査ログを収集する”を参照してください。

3.1.4 監査ログを分析する

運用管理サーバ上に収集した監査ログを正規化し、ログの集計/検索/点検レポートに活用します。

監査ログの分析の詳細については、“Systemwalker Centric Manager 使用手引書 セキュリティ編”の“監査ログを分析する作業の流れ”を参照してください。

収集したログを正規化するために必要な正規化ルール定義ファイルは、以下のとおりです。

収集対象ログ

ログ識別名

正規化ルール定義ファイル

SHieldWARE監査ログ

shieldware

mpatarule_shieldware.ini

正規化ルール定義ファイルは、mpatalogcnvt(監査ログ正規化コマンド)に指定して、正規化ログを作成することができます。

しかし、正規化ルール定義ファイルが改ざんされる恐れがある場合は、事前にmpatarulectl(正規化ルール管理コマンド)で、正規化ルール定義ファイルを、運用管理サーバに登録します。登録することにより、正規化ルール定義を改ざんされなくなると共に、mpatalogcnvt(監査ログ正規化コマンド)に正規化ルール定義ファイルの指定を省略することができます。

mpatalogcnvt(監査ログ正規化コマンド)とmpatarulectl(正規化ルール管理コマンド)の詳細については、“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。

点検レポートを作成するために必要な問い合わせファイルは、以下のとおりです。

ログ識別名

問い合わせファイル

shieldware

shieldware_severity.RNE

shieldware

shieldware_warning.RNE

shieldware

shieldware_command.RNE


目次 前ページ次ページ

All Rights Reserved, Copyright(C) 富士通株式会社 2008