VNX for Fileでの監査ツールの構成および使用

EMC

®

VNX

® バージョン 8.1

VNX for File

での監査ツールの構成

および使用

P/N 300-015-126リビジョン A01 2013年 8 月 このテクニカル ノートには、以下のトピックに関する情報を掲載してい ます。 Š エグゼクティブ サマリー... 2 Š はじめに ... 2 Š 概要 ... 2 Š ストレージ システムへの監査ツール スクリプトの追加 ... 4 Š リモートのSYSlogサーバ上のメッセージの表示 ... 6 Š リモートのSYSlogサーバでメッセージを受信できることの確認... 6 Š 付録A：Audit_messagesコマンドのオプション... 7 Š 付録B：トラブルシューティング ... 10

エグゼクティブ サマリー

監査ツールは、ログ ファイルに記録されたイベントを監視および収集す るメカニズムを提供します。 このテクニカル ノートでは、VNX for File システムで監査ツールを構成 して使用する方法、および監査ツールで収集される情報を解釈する方法 について説明します。

はじめに

監査ツールは、Control Station 上で実行され、既存のログに記録される イベントを監視します。監査ツールが適切なイベントをローカルの SYSlog サービスに送信し、このサービスがさらにイベント レコードを リモートの SYSlog サーバに転送します。 対象 このテクニカル ノートは、ストレージ システムの監視を行う管理者を 対象としています。

概要

監査ツールは、Control Station 上で実行される複数のスクリプトで構成 されます。 各スクリプトは、割り当てられたログ ファイルで特定のイ ベントを継続的に監視します。それらのイベントのいずれかが発生した 場合、スクリプトは、Linux SYSlog 機能を使用して標準化されたメッ セージを送信します。 スクリプトは、管理データベース内の定義に従って、ユーザーID を LDAP 名またはローカル名にマップします。スクリプトの各インスタン スは、起動時に内部マッピングを作成し、実行中に定期的にマッピング を更新します。 スクリプトは新しいイベントをログに追加しません。代わりに、既存の ログに記録されるイベントを監視し、適切なイベントをローカルの SYSlog サービスに送信します。ローカルの SYSlog サービスは、イベン ト レコードをリモートの SYSlog サーバに転送するように構成されます。 監査ツールは次のログファイルを監視します。 • /nas/log/cmd_log • /var/log/messages スクリプトは、該当するメッセージを検出すると、メッセージのフォー マットを次のように再フォーマットします。

Date/time stamp, Time zone, System ID (Serial number), EVENTID, Operation, Username, User ID, Log name, Original Celera Log Entry ここで、

• Date/Time Stamp は、Control Station 上の時間です。

• Time zone は、Linux タイムゾーン機能の標準フォーマットのタ イムゾーンです。 • System ID は、/nas/sbin/serial コマンドで表示されるシステム のシリアル番号です。 • EVENTID は、イベントをすばやく識別できるようにする固有の 番号です。 • Operation は、イベントを説明するテキストです。 • Username は、操作を実行したユーザーのユーザー名です（ツー ルは/nas/site/user_db ファイル内の名前を使用します）。 • User ID は、システムに定義されているユーザーID です。 • Log Name は、イベントが記録されたシステム上のログの名前 です。

• Original Celera Log Entry は、元の Celera ログ エントリのテキ ストです。

次に、スクリプトが実行されているときのリモート SYSlog からの監査 ツールの出力の例と出力内の情報の説明を示します。

May 18 18:32:14 nasdev244cs0 AUDIT_Messages.pl:

05/18/2010,18:32:14,EDT,ABC12345678901,1101,Succesful Login,root(uid=0)@local,0,/var/log/messages,May 18 18:32:02 nasdev244cs0 sshd(pam_unix)[16132]: session opened for user root by root(uid=0)

• ローカルSYSlogの情報は、タイムスタンプ、ホスト名、および Control Station上のSYSlogユーティリティにエントリを提供す るユーティリティです。この場合は、May 18 18:32:14

nasdev244cs0 AUDIT_Messages.plです。

• Date/Time Stamp は、監査（AUDIT）ツールから取得した 5/18/2010 の 18:32:14 です。

• Time zone は EDT です。

• System ID は ABC12345678901 です。 • Event ID は 1101 です。

• Operation は Successful Login（正常なログイン）です。 • Username は root(uid=0)@local です。

• Log Name は/var/log/messages です。

• Original Celera Log Entry は May 18 18:32:02 nasdev244cs0 sshd(pam_unix)[16132]: session opened for user root by root(uid=0)

次にさらに 2 つの監査ツールの出力の例を示します。

May 18 18:32:32 nasdev244cs0 sshd[16348]: Accepted password for nasadmin from 128.222.7.47 port 2221 ssh2 May 18 18:32:39 nasdev244cs0 AUDIT_Messages.pl:

05/18/2010,18:32:39,EDT,ABC12345678901,1103,Password for session accepted,root(uid=0)@local,0,/var/log/messages,May 18 18:32:32 nasdev244cs0 sshd[16348]: Accepted password for nasadmin from 128.222.7.47 port 2221 ssh2

ストレージ システムへの監査ツール スクリプトの追加

1. root としてシステムにログインします。

2. Zip ファイル内のAUDIT_tool ディレクトリから Control Station の/etc/AUDIT_tool ディレクトリにファイルをコピーします。 cp –rf /<path>/AUDIT_tool/ /etc/AUDIT_tool/ 3. ディレクトリをAUDIT_tool ディレクトリに変更（cd）します。

ディレクトリの内容を表示して（ls）、次のファイルが存在するこ とを確認します。

AUDIT_cmd_bs AUDIT_messages.pl auto custom_cmd_log.csv File ReadMe.txt

AUDIT_cmd.pl AUDIT_ms_bs cmd_log.csv custom_messages_log.csv messages_log.csv Time 4. 次のように入力して、AUDIT_ms_bs ファイルを /etc/.AUDIT_ms_bs にコピーします（'.'を指定するとファイルが 非表示になります）。 cp –f AUDIT_ms_bs /etc/.AUDIT_ms_bs 5. 次のように入力して、AUDIT_cmd_bs ファイルを /etc/.AUDIT_cmd_bs にコピーします（'.'を指定するとファイル が非表示になります）。 cp –f AUDIT_cmd_bs /etc/.AUDIT_cmd_bs

6. 次のコマンドを/etc ディレクトリ内で実行して両方のスクリプト が実行可能であることを確認します。

chmod u+x .AUDIT_ms_bs chmod u+x .AUDIT_cmd_bs

7. 元のコンソールで次のように入力して、.AUDIT_ms_bs を実行し、 このファイルが実行されることを確認します。 /etc/.AUDIT_ms_bs ファイルが実行されない場合は、「付録B：トラブルシューティン グ」を参照してください。 8. 別のコンソール ウィンドウから次のように入力してログファイルの 続きを参照し、監査ツールが動作していることを確認します。 tail –f /var/log/messages ログで収集する必要があるイベントを調べます。 8. 次の行を/etc/initab ファイルに追加します。システムの再起動 時にスクリプトが確実に再開されるように、これらのスクリプトは inittab に追加されます。

# Run the Audit tool shell scripts aml:3:respawn:/etc/.AUDIT_ms_bs acl:3:respawn:/etc/.AUDIT_cmd_bs 9. 次のように入力して、inittab を再開します。

リモートの SYSlog サーバ上のメッセージの表示

1. loghost の情報を Control Station 上の/etc/hosts ファイルに 追加します。次に例を挙げます。

#log host

# Ipaddress (###.###.###) -- Fully qualified DNS name -- "loghost"

128.001.1.1 rsyslog_host.company.com loghost 2. /etc/syslog.conf ファイルに次の行を追加します。

# write audit to remote log auth.notice @loghost

3. 次のように入力して、SYSlog サービスを再起動します。 /etc/service syslog restart

リモートの SYSlog サーバでメッセージを受信できることの確認

1. リモートの SYSlog サーバからログ エントリを受信するように 設定されていることを確認します。 /etc/sysconfig/syslog ファイルを調べて、 SYSLOGD_OPTIONS 行で-r オプションが設定されているかど うかを確認します。次のコマンドを入力します。 cat /etc/sysconfig/syslog SYSLOGD_OPTIONS 行に–r がある場合、この行は次のように 表示されます。 SYSLOGD_OPTIONS="-m 0 -r" 2. このエントリが存在しない場合は、エントリを追加します。 3. 必要な場合は次のように入力してリモート サーバ上で SYSlog サービスを再起動します。

付録 A：Audit_messages コマンドのオプション

以下のオプションを指定して Audit_messages コマンドを使用すること により、監査ツールの設定を変更することができます。 -help 簡単なヘルプ メッセージを出力して終了します。 -scaninterval=<filename> デフォルトは 20（最小値は 10、最大値は 300）です。 -userfile=<filename> ユーザーが指定したメッセージが保存されるファイルの名前。デ フォルトはcustom_messages_log.csv です。 メッセージは次のようなフォーマットのファイルに保存されます。 EVENTID, UID_Valid, Operation, message_text

ここで、 • EVENTID は、重要と考えられるイベントをすばやく識別できる ようにする一意の番号です。 • UID_Valid は、このコマンドの UID が、コマンドを発行する オペレータであることを示します。場合によっては、イベント に UID が関連づけられていないことがあります。 • Operation は、イベントを説明するテキストです。 • message_text は、ログをスキャンするために使用される実際 のテキストです。 -logfilename=<filename> 監視対象のログファイルの名前です。デフォルトは /var/log/messages です。 -syslog_severity=<severity_level> リモートの SYSlog サーバにイベントが送信されるように、監査 ツールからイベントを記録するために使用する重大度の設定です。 デフォルトはLOG_NOTICE です。 ほかに次の有効な重大度のオプションを使用できます。 • LOG_EMERG -- システムは使用不能です • LOG_ALERT -- 直ちにアクションを実行する必要があります

• LOG_CRIT -- 重要な状態 • LOG_ERR -- エラー状態 • LOG_WARNING -- 警告状態 • LOG_NOTICE -- 通常の（ただし重大な）状態 • LOG_INFO -- 情報メッセージ • LOG_DEBUG -- デバッグレベル メッセージ -syslog_facility=<facility_name> イベントが記録される SYSlog 機能。デフォルトは LOG_AUTH です。 他にも次のような有効な機能のオプションがあります。 • LOG_AUDIT -- 監査デーモン • LOG_AUTH – セキュリティ承認メッセージ • LOG_AUTHPRIV – セキュリティ承認メッセージ（プラ イベート） • LOG_CONSOLE -- /dev/console の出力

• LOG_CRON -- クロック デーモン（cron および at）

• LOG_DAEMON -- システム デーモン（別の機能の値は指定し ない） • LOG_FTP -- FTP デーモン • LOG_KERN -- カーネル メッセージ • LOG_INSTALL -- インストーラ サブシステム • LOG_LAUNCHD -- launchd - 一般的なブートストラップ デーモン • LOG_LFMT -- logalert 機能、LOG_USER に戻ります。

• LOG_LOCAL0∼LOG_LOCAL7 -- ローカルで使用するために予約 されています。 • LOG_LPR -- ライン プリンタ サブシステム • LOG_MAIL -- メール サブシステム • LOG_NETINFO -- NetInfo サブシステム • LOG_NEWS -- USENET ニュース サブシステム • LOG_NTP -- NTP サブシステム • OG_RAS -- リモート アクセス サービス（VPN/PPP）

• LOG_REMOTEAUTH -- リモート認証/許可 • LOG_SECURITY -- セキュリティ サブシステム（ファイアウォー ルなど） • LOG_SYSLOG -- syslogd によって内部で生成されたメッセージ • LOG_USER（デフォルト） -- 汎用のユーザーレベル メッセージ • LOG_UUCP -- UUCP サブシステム -man マニュアル ページを出力して終了します。 -debug 操作中にデバッグ情報を表示します。

付録 B：トラブルシューティング

.AUDIT_ms_bs スクリプトが、Linux で使用される文字とは異なる改行 文字を使用するオペレーティング システム上で編集されることがありま す。これは、ファイルが Mac または PC で編集された場合、またはファ イルがパッケージ化されるときに変換された場合に発生することがあり ます。この場合、 「指定されたファイルまたはディレクトリは存在しま せん」のような誤った解釈の不正なインタプリタ メッセージが表示され ます。この問題を解決するには、以下の手順を実行してください。 1. vi エディタでスクリプトを開きます。 vi に慣れていない場合 は、注意して手順を実行してください。次のように入力します。 vi .AUDIT_ms_bs 2. ファイルが開いたら、次のように入力してファイル タイプを UNIX に設定します。 :set fileformat=unix 3. Enter キーを押します。 改行文字の問題以外のすべての変更が修正されます。 4. 次のように入力し、保存して終了します。 :wq!

© 2011 - 2013 EMC Corporation. All Rights Reserved.

EMC believes the information in this publication is accurate as of its publication date. The information is subject to change without

notice.

THE INFORMATION IN THIS PUBLICATION IS PROVIDED “AS IS.” EMC CORPORATION MAKES NO REPRESENTATIONS OR

WARRANTIES OF ANY KIND WITH RESPECT TO THE INFORMATION IN THIS PUBLICATION, AND SPECIFICALLY

DISCLAIMS IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE. Use, copying, and distribution of any EMC software described in this publication requires an applicable software license. EMC2, EMC, and the EMC logo are registered trademarks or trademarks of EMC Corporation in the United State and other countries.