監査ログエレメントの個数について

Symfoware Server (Native Interface)のよくあるご質問を検索できます。

監査ログ運用で、監査ログエレメントの数を1個だけで運用しても問題ありませんか？

監査ログエレメントの数が1個だけの場合、セキュリティや業務への影響の点から問題があるため、エレメントを2個以上用意することを推奨します。

エレメントの数を1個だけとして監査ログを作成することはできます。しかし、以下の問題があります。

rdbunladtコマンドを用いて監査ログデータのバックアップおよび初期化を行うには、監査ログエレメントの状態が「使用済（USED）」状態でなければなりません。エレメントの数が1個しかない場合、「使用済（USED）」状態になるのは、監査ログが満杯になった場合だけです。

監査ログが満杯になった場合の動作は、監査ログパラメタAUDIT_LOG_FULLで設定することができます。エレメントが1個だけの場合、AUDIT_LOG_FULLの値によって、以下のように動作します。

• REUSEの場合、満杯になると自動的に監査ログエレメントは再利用されます。それまでに採取した監査ログは上書きされます。「使用済（USED）」にはなりません。満杯になる前に監査ログの強制切り替えを行うと、1個しかないエレメントが再利用され、それまでに採取した監査ログは上書きされます。

• STOPの場合、満杯になると監査ログエレメントは「使用済（USED）」になり、Symfowareが強制停止します。Symfowareを再起動した後にrdbunladtコマンドを実行することで、運用を継続することができます。満杯になる前に監査ログの強制切り替えを行うことはできません。強制切り替え処理を実行してもエラーになります。

• CANCELの場合、満杯になると監査ログエレメントは「使用済（USED）」になり、その後の監査ログの採取は行われません。rdbunladtコマンドを実行することで、監査ログの採取を再開できます。満杯になる前に監査ログの強制切り替えを行うことはできません。強制切り替え処理を実行してもエラーになります。

どの場合も、セキュリティや業務への影響の点から望ましくありません。そのため、監査ログエレメントは複数用意して、運用してください。