1.12 監査ログ
1.12.5 運用の概要
監査ログ機能は、iSMサーバが動作する管理サーバ上において、iSMの運用ログおよびディスク アレイにおける装置の起動/停止やディスクアレイへのログイン/ログアウト、iSMCLIの実行履歴な どの情報を、監査ログとして出力する機能です。
監査ログ機能を利用するためには、iSMインストール後に設定を行い、機能を有効化する必要が あります。その後、監査ログ機能は定期的に監査ログを出力します。
1.12.5.1 監査ログ機能の有効化
監査ログを出力するために、監査ログ機能を有効化する必要があります(既定値は無効です)。
監査ログ機能の有効化は、Windows版の場合は環境設定画面、UNIX版の場合には環境定義ファイ ル(iSMsvr.conf)を編集することで設定可能です。
詳しい操作方法については、インストールガイドを参照してください。
1.12.6 監査ログの出力
1.12.6.1 監査ログの出力先について
監査ログ機能では、iSMの環境設定により指定したフォルダにて監査ログの出力を行います。既 定値では、以下に出力されます。
・ Windows版の場合
<<iSMインストールフォルダ>>¥etc¥auditlog
・ UNIX版の場合
/opt/iSMsvr/etc/auditlog
監査ログのファイル名の命名規則は以下の通りです。
auditlogYYYYMMDD[#NNNN].log
・YYYYMMDDには、「西暦年」、「月」、および「日」が記録されます。
・NNNNには、同一日付で複数の監査ログが出力される場合、0001からの通番が付与されます。
・「auditlog」の部分については、iSMの環境設定により変更することが可能です。
監査ログは、過去の一定期間内の操作結果、発生した事象を、必要な場合に追跡できるように するため、一般には長期間の保存を可能とする必要があります。既定値では、3ヶ月間の監査ロ グを保存しますが、期間は目的に応じて設定し直してください。
監査ログ機能では、保存期間を最短1ヶ月から最長で5年まで指定可能です。また、保存期間 を指定せずに、すべての監査ログを保存することも可能です。
ただし、長期間の監査ログを保存する場合は、保存に必要なディスク容量にも注意が必要です。
例えば、監査ログはiSMサーバをインストールしたディスクとは別のディスクに格納するなど、
余裕を持ったディスク容量を確保してください。
1日に出力可能な監査ログの総容量は、既定値(監査ログファイルの最大サイズ=1MB)でおよそ
9.7GB となります。制限を超えた場合には監査ログの出力ができず、制限を超えた後に出力さ
れる監査ログが失われる場合がありますので注意してください。
なお、1日に出力可能な容量は、環境設定により監査ログファイルの最大サイズを変更すること で拡大することができます。例えば、既定値の 1MB から 2MB(2 倍のサイズ)に変更すると、
9.7GB×2=19.4GBまで保存することが可能となります。
1.12.6.2 監査ログの出力フォーマット
監査ログ機能は、IETF(The Internet Engineering Task Force)で策定したRFC(Request For Comments)のsyslogプロトコルに関する規格であるRFC 5424(The Syslog Protocol)に準じたフォ ーマットで監査ログを作成します。
監査ログ機能が作成する監査ログのフォーマットおよび各項目の詳細は、以下の通りです。
【フォーマット】
監査ログは、HEADER部とMESSAGE部で構成されています。HEADER部はRFC5424の規 格に準じたフォーマットで出力します。MESSAGE部はRFC5424の規格でフォーマットが定義さ れていないため定められたパラメータおよびiSMの運用ログなどに出力されたメッセージをそのま ま出力します。
以下に監査ログの出力例および詳細を記載します。
出力例内の番号は、項目説明欄の番号に対応しています。
<110> 1 2015-12-10T14:00:05Z host01 iSMauditlog 0000010664 iSM07183 ① ② ③ ④ ⑤ ⑥ ⑦
HEADER部
① ② ③ ④ ⑤ ⑥ ⑦ ⑧ - 999, Thu Dec 10 13:54:52 2015, 2000000991020012, 0, Info, iSM3, Client, MESSAGE部
⑨ ⑩)
192.168.0.100, Thu Dec 10 13:54:52 2015 0000013760 Info iSMrmond
iSM07183:State of LD has become ready(formatting). (2000000991020012 productID=M710 SN=000000991000012 No=0003h Name=:20000009910200120003)
HEADER部の各項目間は“半角スペース( )”区切りで出力されます。
MESSAGE部の各項目間は“カンマ(,)+半角スペース( )”区切りで出力されます。
表1-43 監査ログ項目説明
HEADER部 [310バイト]
項番 項目 内容詳細 出力例 サイズ
(バイト) 1 プライオリティ Priority(優先度)を示しています。
Facility(機能)とSeverity(重大度)か らなり、Facility値を8倍した値に Severity値を加算した値です。
RFC5424の規定に従い、Facility値 を「13」、Severity値を「6」と定め、
Priority値は「110」(固定値)となり ます。
<110> 5
2 フォーマットバ ージョン
RFC5424に従い、「1」(固定値)が設 定されます。
1 1
3 タイムスタンプ 監査ログ機能が、監査ログを出力した 時刻(UTC時刻)です。
日付と時刻の間に「T」、時刻の後に
「Z」が付与されます。
2015-12-10T14:00:05Z 20
4 ホストネーム 監査ログ機能が動作するサーバのホ スト名です。
ホスト名が取得できない場合は「-」
が出力されます。
host01 255
5 プログラム名 監査ログ機能の名称です。
“iSMauditd”(固定値)が設定されま す。
iSMauditd 11
6 プロセスID 監査ログ機能自身のプロセスIDで す。
0000010664 10
7 監査イベントコ ード
収集した各種ログに出力されている イベントのメッセージIDです。
メッセージIDがない場合は「-」が 設定されます。
iSM07183 8
MESSAGE部 [939バイト]
項番 項目 内容詳細 出力例 サイズ
(バイト) 1
STRUCTURED-DATA 「-」を設定する。 - 1
2 監査ログ番号 監査ログの通し番号です。
10進数で出力されます。最大値までカ ウントした場合、もしくは、日付が切 り替わった場合は、1からカウントし 直します。
最大値:99999999
1 8
3 イベント 発生時刻
イベントの発生時刻を設定する。
収集した各種ログに出力されているイ ベントの時刻を設定する。
2015-12-10 13:54:52 19
4 装置名 イベントが発生した機器のホスト名 /IPアドレスのいずれかが出力されま す。
2000000991020012-0 255
5 コントローラ 番号
イベントが発生したディスクアレイの コントローラ番号です。
iSMが動作する管理サーバ上でイベン トが発生した場合は「-」を表示します。
0 1
6 メッセージ種別 発生したイベントのメッセージ種別で す。
メッセージ種別が判断できない場合 は、“ハイフン(-)”が出力されます。
Info または
Err/Warning/Notice/- 7
7 ユーザ名 発生したイベントの処理を実施したユ ーザ名です。
ユーザ名が特定できない場合は、“ハ イフン(-)”が出力されます。
iSM3 20
8 ロケーション 発生したイベントの処理を実施した場 所(ロケーション)です。
ロケーションが特定できない場合は、
“ハイフン(-)”が出力されます。
Client/ManagementSe rver/Storage/-
16
9 IPアドレス 発生したイベントの処理を実施したデ ィスクアレイ装置/サーバのIPアドレ スです。
IPv4、IPv6の両形式をサポートしま
す。
ディスクアレイ装置/サーバにIPアド レスが複数設定されている場合は、IP アドレスは1つのみ表示し、後ろに
“(...)”を表示します。
IPアドレスが特定できない場合は、
“ハイフン(-)”が出力されます。
192.168.0.100 47
10 監査対象 メッセージ
発生した各種ログに出力されているイ ベント(ログ出力されているメッセー ジ)です。
各種ログに出力されている内容がその まま出力されます。
Thu Dec 10 13:54:52 2015 0000013760 Info iSMrmond
iSM07183:State of LD has become
ready(formatting).
(2000000991020012 productID=M710 SN=000000099100001 2 No=0003h
Name=:200000099102 00120003)
565