| 前へ | 次へ | 目次 | 索引 |
以前のバージョンのシステムで実行される監査分析ユーティリティ (ANALYZE/AUDIT) は,最新バージョンの監査ログ・ファイルを処理できません。最新バージョンを処理するには, ANALYZE/AUDIT の最新バージョンを使用する必要があります。混合バージョンのクラスタでは,別々の監査ログ・ファイルを保守することをおすすめします。
監査ログ・ファイルの出力先を変更するには,以前のバージョンを実行するノードと最新バージョンを実行するノードの両方で,次のコマンドを発行します。
AUDIT/JOURNAL/DESTINATION=ファイル指定 |
ここで指定したファイル指定は,監査サーバ・データベース・ファイルに格納されます。省略時の設定では,このファイルは SYS$COMMON:[SYSMGR] に格納され,それぞれ SECURITY_AUDIT.AUDIT$JOURNAL と
SECURITY.AUDIT$JOURNAL と呼ばれます。
オペレーティング・システムは,ワークステーションと制限された管理リソースを持つユーザが,監査ログ・ファイルを別のノードに複製することを許可します。 2次ログ,つまり機密保護アーカイブ・ファイルは,ファイルを解析できる遠隔ノード上のセキュリティ・アドミニストレータが使用できます。
クラスタ内の各ノードは,各自のアーカイブ・ファイルを持っていなければなりません。アーカイブ・ファイルは,クラスタ内の複数のノードでは共用できません。
詳細は『OpenVMS Guide to System Security』を参照してください。
20.7.2 機密保護監査情報の表示
現在サイトが監査しているイベント・クラスを調べるには, DCL の SHOW AUDIT コマンドを入力します。
表示される機密保護情報の例を次に示します。
$ SHOW AUDIT |
System security alarms currently enabled for:
ACL
Breakin: dialup,local,remote,network,detached
Privilege use:
SECURITY
Privilege failure:
SECURITY
System security audits currently enabled for:
ACL
Authorization
Breakin: dialup,local,remote,network,detached
Login: dialup,local,remote,network,detached
Logfailure: batch,dialup,local,remote,network,subprocess,detached
Logout: dialup,local,remote,network,detached
Privilege use:
SECURITY
Privilege failure:
ACNT ALLSPOOL ALTPRI AUDIT BUGCHK BYPASS CMEXEC CMKRNL
DETACH DIAGNOSE EXQUOTA GROUP GRPNAM GRPPRV LOG_IO MOUNT
NETMBX OPER PFNMAP PHY_IO PRMCEB PRMGBL PRMMBX PSWAPM
READALL SECURITY SETPRV SHARE SHMEM SYSGBL SYSLCK SYSNAM
SYSPRV TMPMBX VOLPRO WORLD
DEVICE access:
Failure: read,write,physical,logical,control
FILE access:
Failure: read,write,execute,delete,control
VOLUME access:
Failure: read,write,create,delete,control
|
通常は,SYSTARTUP_VMS.COM が実行される直前に VMS$LPBEGIN の監査が開始されますが,論理名 SYS$AUDIT_SERVER_INHIBIT を定義し直せば,この動作を変更することができます。
オペレーション・システムが機密保護イベント・メッセージを送り始めるタイミングを変更するには,次の行を SYS$STARTUP:SYLOGICALS.COM コマンド・プロシージャに追加します。
$ DEFINE/SYSTEM/EXECUTIVE SYS$AUDIT_SERVER_INHIBIT YES |
これで,システム・スタートアップの別のフェーズ (おそらく, SYSTARTUP_VMS.COM の終わり) で監査を開始することができます。これを行うには,コマンド・ファイルを編集して,次の行を追加します。
$ SET AUDIT/SERVER=INITIATE |
SYSTARTUP_VMS.COM の編集に関しては, 第 5.2.7 項 を参照してください。
20.7.4 その他のクラスに対して機密保護監査機構を使用する方法
表 20-7 に示したクラス以外のクラスに対して機密保護監査を行うには,次の形式を使用します。
SET AUDIT/ENABLE=キーワード[,...] {/ALARM | /AUDIT}
|
使用可能にできるイベント・クラスの説明については,『OpenVMS Guide to System Security』を参照してください。
その他のイベント・クラスを監査できるようにするためには,次の 2 つの修飾子を指定しなければなりません。
/ENABLE,/ALARM,/AUDIT の各修飾子について,次に説明します。
| 修飾子 | 説明 |
|---|---|
| /ENABLE | 監査するイベント・クラスを定義する。詳細は 第 21 章 を参照。 |
| /ALARM
/AUDIT |
イベント・メッセージのデスティネーションを定義する。
重要なイベントを報告するには,/ALARM 修飾子と /AUDIT 修飾子を使用する。比較的重要でないイベントは,後で調べることができるように機密保護監査ログ・ファイルだけに書き込んでおくことができる。 表 20-7 に示す省略時のイベント・クラスは, ALARM および AUDIT として送られる。 |
新しいイベントの監査は,全ノードでそれが使用できるようにすると,すぐに開始されます。
$ SET AUDIT/ENABLE=MOUNT/AUDIT |
$ SET AUDIT/ALARM/AUDIT/ENABLE=ACCESS=FAILURE/CLASS=FILE |
ユーザが次の構文を使って明示的に /DISABLE 修飾子が指定されたクラスを使用禁止にするまで,監査は続けられます。
SET AUDIT/DISABLE=キーワード[,...] {/ALARM | /AUDIT}
|
20.7.6 ターミナルを使用可能にして,アラーム・メッセージを受信する方法
アラーム・メッセージは,セキュリティ・クラス・メッセージ用に使用可能にされているターミナルに送信されます。機密保護アラーム・メッセージはオペレータ・ログ・ファイルに書き込まれず,セキュリティ・クラス・メッセージ用に使用可能にされているターミナルだけに表示されます。
多くの場合,機密保護アラーム・メッセージは省略時の設定としてシステム・コンソールに表示されますが,メッセージは画面上を高速でスクロールするので,セキュリティ・クラス・メッセージ用に別個のターミナルを使用できるようにしておき,システム・コンソールにはメッセージが表示されないようにしておくとよいでしょう。
安全な場所にあるターミナルをハードコピーの出力用として指定しておくか,あるいはセキュリティ・オペレータ・ターミナルを監視する専門の担当者を決めておくようにしてください。セキュリティ・オペレータとして使用可能にするターミナルの数に制限はありません。
セキュリティ・クラス・アラーム・メッセージを受信するようにターミナルを設定するには,指定したターミナルで次の DCL コマンドを入力します。
$ REPLY/ENABLE=SECURITY |
次に,機密保護アラーム・メッセージの例を示します。
%%%%%%%%%%% OPCOM 25-MAY-2000 16:07:09.20 %%%%%%%%%%% Message from user AUDIT$SERVER on GILMORE Security alarm (SECURITY) on GILMORE, system id: 20300 Auditable event: Process suspended ($SUSPND) Event time: 25-MAY-2000 16:07:08.77 PID: 30C00119 Process name: Hobbit Username: HUBERT Process owner: [LEGAL,HUBERT] Terminal name: RTA1: Image name: $99$DUA0:[SYS0.SYSCOMMON.][SYSEXE]SET.EXE Status: %SYSTEM-S-NORMAL, normal successful completion Target PID: 30C00126 Target process name: SMISERVER Target username: SYSTEM Target process owner: [SYSTEM] |
作成するレポートの最も一般的なタイプは,簡略レポートで,これはイベントの日誌リストです。その日の機密保護イベント・メッセージのレポートを作成し,そのレポートを MAIL を使ってシステム管理者に送信するためのコマンド・プロシージャを作成して,毎夜バッチ・ジョブ形式で実行することができます。
MOUNT コマンドは,監査レコードの /NOLABEL を /FOREIGN に変換するので, ANALYZE/AUDIT/SELECT=MOUNT_FLAGS=NOLABEL の代わりに ANALYZE/AUDIT/SELECT=MOUNT_FLAGS=FOREIGN を使用してください。 |
次に,ANALYZE/AUDIT コマンド行を使用して,このようなレポートを作成する例を示します。
$ ANALYZE/AUDIT/SINCE=TODAY/OUTPUT=31JAN2000.AUDIT - _$ SYS$MANAGER:SECURITY.AUDIT$JOURNAL $ MAIL/SUBJECT="Security Events" 31JAN2000.AUDIT SYSTEM |
20.7.8 機密保護監査ログ・ファイルの新しいバージョンの作成
ユーザ側で何らかの処置を行わない限り,機密保護監査ログ・ファイルは大きくなり続けるので,その保守には工夫が必要です。
クラスタ用機密保護監査ログ・ファイルを新しく作成するためには,SET AUDIT コマンドを入力します。
それまでに記録された監査メッセージが失われないように,メモリ内に記憶されたすべての監査メッセージがファイルに書き込まれるまで,監査ログ・ファイルの古いバージョンはクローズされません。
20.7.8.1 ログ・ファイルの新しいクラスタ全体としてのバージョンの作成
機密保護監査ログ・ファイルの,新しい,クラスタ全体としてのバージョンを作成するには,次のコマンドを使用します。
$ SET AUDIT/SERVER=NEW_LOG |
監査サーバ・プロセスにより,クラスタ・ノードごとに監査ログ・ファイルの新しいバージョンがオープンされます。
新しいログをオープンしたら,古いバージョンをリネームします。これには,データの開始または終了日付をファイル名に組み込む,ファイルの命名規則を使用します。次に古いログを別のディスクにコピーし,ディスク空間を節約するためシステム・ディスクからこのログを削除します。そして,古いログに対して監査分析ユーティリティを実行します。
このファイルを保管しておくことにより,クラスタ全体としての監査メッセージの履歴を管理します。システム上に機密保護の侵害の恐れがあった場合,指定した時間帯に保管したログ・ファイルを分析して,疑わしいユーザ・アクティビティを追跡することができます。
20.7.8.2 ログ・ファイルの新しいノード固有のバージョンの作成
場合によっては,OpenVMS Cluster ノードが同じシステム・セキュリティ監査ログ・ファイルを共用していないことがあります。 機密保護監査ログ・ファイルの新しい,ノード固有のバージョンを作成するには,次のコマンドを使用します。
$ SET AUDIT/DESTINATION=ファイル指定 $ SET AUDIT/SERVER=NEW_LOG |
ファイル指定には,ノード固有のファイルを指す論理名 (SYS$SPECIFIC:[SYSMGR]SECURITY など)を指定します。別のノード上のシステム機密保護監査ログ・ファイルには影響しません。
20.8 オペレーティング・システムの性能の監視
Monitor ユーティリティ(MONITOR)は,オペレーティング・システムの性能に関する情報を入手するためのシステム管理ツールです。さまざまな MONITOR 修飾子を指定することにより,稼働中のシステムからシステム性能データを収集したり,以前にレコード・ファイルに記録されたデータをプレイバックしたりすることができます。プレイバックしたデータは,表示,要約したり,記録し直してレコード・ファイル内のデータ量を減らしたりすることもできます。
この節では,MONITOR ユーティリティの働きと, MONITOR ユーティリティによって情報を表示したり記録したりするいくつかの異なる方法を説明します。具体的には,次のトピックを取り上げます。
| 作業 | 参照箇所 |
|---|---|
| Monitor ユーティリティの起動 | 第 20.8.2 項 |
| システムの動作の表示 | 第 20.8.3 項 |
| システムの動作の記録 | 第 20.8.4 項 |
| システムの動作の表示と記録 | 第 20.8.5 項 |
| 記録した動作のプレイバック | 第 20.8.6 項 |
| 記録した動作の遠隔プレイバック | 第 20.8.7 項 |
| 記録ファイルの更新 | 第 20.8.8 項 |
| MONITOR の継続実行 | 第 20.8.9 項 |
| 遠隔監視 | 第 20.8.10 項 |
Monitor ユーティリティにより得られる情報の解釈については,『Guide to OpenVMS Performance Management』を参照してください。また,Monitor ユーティリティの使用方法については,『Compaq OpenVMS システム管理ユーティリティ・リファレンス・マニュアル』を参照してください。
20.8.1 MONITOR について
MONITOR を使用して,システム全体の性能データ (システム入出力統計,ページ管理統計,各プロセッサ・モードの動作時間など) を特定の間隔で監視し,いろいろな形式で出力することができます。また,MONITOR をバックグラウンド・プロセスとして継続的に実行することにより,システムの性能情報のデータベースを開発することもできます。これについては,
第 20.8.9 項 を参照してください。
20.8.1.1 MONITOR クラス
各 MONITOR クラスはいくつかのデータ項目から構成されます。個々のクラスに対して定義されているデータ項目の一覧については,『Compaq OpenVMS システム管理ユーティリティ・リファレンス・マニュアル』の MONITOR コマンドの説明を参照してください。
特別な情報のクラスを監視するには,MONITOR コマンド行にクラス名を指定します。MONITOR が表示する情報は,選択したクラスのタイプによって異なります。 表 20-8 では, 2 つの MONITOR クラス・タイプの比較を示します。
| クラスの種類 | 説明 |
|---|---|
| システム・クラス | システム全体の資源の使用状況に関する統計値。 |
| コンポーネント・クラス | 個々のコンポーネントがシステムあるいはクラスタ全体に対してどれだけ「貢献」しているかを示す統計値。 |
MONITOR クラスの 2 つの種類の違いとして, IO クラスと DISK クラスを例にとって考えることができます。IO クラスは,システム全体のすべての直接入出力操作を計測するデータ項目が含まれるため,システム・クラスに属します。一方,DISK クラスは,個々のディスクの直接入出力操作を計測するため,コンポーネント・クラスに属します。
表 20-9 に,各 MONITOR クラスとクラスの種類 (システムかコンポーネントか) を示します。
| クラス | 種類 | 説明 |
|---|---|---|
| ALL_CLASSES | システムまたはコンポーネント | すべてのクラスの統計値 |
| CLUSTER | システム | クラスタ全体の性能に関する統計値 |
| DECNET | システム | DECnet for OpenVMS に関する統計値 |
| DISK | コンポーネント | ディスク入出力に関する統計値 |
| DLOCK | システム | 分散型ロック管理情報の統計値 |
| FCP | システム | ファイル制御プリミティブに関する統計値 |
| FILE_SYSTEM_CACHE | システム | ファイル・システム・キャッシュに関する統計値 |
| IO | システム | システム入出力に関する統計値 |
| LOCK | システム | ロック管理情報の統計値 |
| MODES | コンポーネント | 各プロセッサ・モードでの動作時間 |
| MSCP_SERVER | システム | MSCP サーバに関する統計値 |
| PAGE | システム | ページ管理情報の統計値 |
| PROCESSES | コンポーネント | すべてのプロセスに関する統計値 |
| RMS | コンポーネント | レコード管理サービス (RMS) に関する統計値 |
| SCS | コンポーネント | システム通信サービスに関する統計値 |
| STATES | システム | スケジューラ状態ごとのプロセス数 |
| SYSTEM | システム | 他のクラスに関する統計値の要約 |
| TRANSACTION | システム | DECdtm サービスに関する統計値 |
| +VBS | システム | 仮想バランス・スロットに関する統計値 |
| VECTOR | システム | スケジューリングされたベクタ・プロセッサの使用 |
| 前へ | 次へ | 目次 | 索引 |