監査ログエレメントの個数について
- 監査ログ運用で、監査ログエレメントの数を1個だけで運用しても問題ありませんか?
- 監査ログエレメントの数が1個だけの場合、セキュリティや業務への影響の点から問題があるため、エレメントを2個以上用意することを推奨します。
エレメントの数を1個だけとして監査ログを作成することはできます。しかし、以下の問題があります。
rdbunladtコマンドを用いて監査ログデータのバックアップおよび初期化を行うには、監査ログエレメントの状態が「使用済(USED)」状態でなければなりません。エレメントの数が1個しかない場合、「使用済(USED)」状態になるのは、監査ログが満杯になった場合だけです。
監査ログが満杯になった場合の動作は、監査ログパラメタAUDIT_LOG_FULLで設定することができます。エレメントが1個だけの場合、AUDIT_LOG_FULLの値によって、以下のように動作します。
-
REUSEの場合、満杯になると自動的に監査ログエレメントは再利用されます。それまでに採取した監査ログは上書きされます。「使用済(USED)」にはなりません。満杯になる前に監査ログの強制切り替えを行うと、1個しかないエレメントが再利用され、それまでに採取した監査ログは上書きされます。
-
STOPの場合、満杯になると監査ログエレメントは「使用済(USED)」になり、Symfowareが強制停止します。Symfowareを再起動した後にrdbunladtコマンドを実行することで、運用を継続することができます。満杯になる前に監査ログの強制切り替えを行うことはできません。強制切り替え処理を実行してもエラーになります。
-
CANCELの場合、満杯になると監査ログエレメントは「使用済(USED)」になり、その後の監査ログの採取は行われません。rdbunladtコマンドを実行することで、監査ログの採取を再開できます。満杯になる前に監査ログの強制切り替えを行うことはできません。強制切り替え処理を実行してもエラーになります。
どの場合も、セキュリティや業務への影響の点から望ましくありません。そのため、監査ログエレメントは複数用意して、運用してください。
-
製品・サービス区分 | Symfoware | ||||
---|---|---|---|---|---|
製品・サービス情報 |
|
||||
アンサー種別 | 技術サポート |