xygate merged audit®リファレンスマニュアル
TRANSCRIPT
XYGATE Merged Audit®
リファレンスマニュアル
HP 品番: 628976-004J 出版年月:2012 年 6 月 版:J06.03 およびそれ以降の J シリーズ RVU。H06.03 およびそれ以降の J シリーズ RVU。G06.10 およびそれ以降の G シリーズ
RVU。
© Copyright 2012 Hewlett-Packard Development Company, L.P
免責事項
本書で取り扱っているコンピューターソフトウェアは秘密情報であり、その保有、使用、または複製には、HP から使用許諾を得る必要があります。
FAR12.211 および 12.212 に従って、商業用コンピューターソフトウェア、コンピューターソフトウェアドキュメンテーション、および商業用製品の
技術データ(Commercial Computer Software, Computer Software Documentation, and Technical Data for Commercial. Items)は、ベンダー標準の商業用使用許
諾のもとで米国政府に使用許諾が付与されます。
本書の内容は、将来予告なしに変更されることがあります。HP 製品およびサービスに対する保証については、当該製品およびサービスの保証規定書
に記載されています。本書のいかなる内容も、新たな保証を追加するものではありません。本書の内容につきましては万全を期しておりますが、本
書中の技術的あるいは校正上の誤り、省略に対して、いかなる責任も負いかねます。
本書に記載されている情報を国外に持ち出すときは、米国商務省の認可を必要とする場合があります。
Microsoft、Windows、および Windows NT は米国における Microsoft Corporation の登録商標です。
Intel、Pentium、および Celeron は、米国およびその他の国における Intel Corporation またはその子会社の商標または登録商標です。
Java は米国における Sun Microsystems, Inc.の商標です。
Motif、OSF/1、UNIX、X/Open、および"X"デバイスは米国およびその他の国における The Open Group の登録商標です。IT DialTone および The Open Group は米国およびその他の国における The Open Group の商標です。
Open Software Foundation、OSF、OSF のロゴ、OSF/1、OSF/Motif、および Motifは The Open Software Foundation, Inc.の商標です。OSFは、この OSF に
関する資料について、商業性および特定目的への適合性に関する黙示的保証などを含めて、いかなる種類の保証も行いません。OSF は、本書中の誤
り、あるいは本書の設置、性能、あるいは使用によって生じた付随的、派生的な損害に関して一切責任を負いません。
© 1990, 1991, 1992, 1993 Open Software Foundation, Inc. The OSF documentation and the OSF software to which it relates are derived in part from materials supplied by the following:© 1987, 1988, 1989 Carnegie-Mellon University.© 1989, 1990, 1991 Digital Equipment Corporation.© 1985, 1988, 1989, 1990 Encore Computer Corporation.© 1988 Free Software Foundation, Inc. © 1987, 1988, 1989, 1990, 1991 Hewlett-Packard Company.© 1985, 1987, 1988, 1989, 1990, 1991, 1992 International Business Machines Corporation.© 1988, 1989 Massachusetts Institute of Technology.© 1988, 1989, 1990 Mentat Inc. © 1988 Microsoft Corporation.© 1987, 1988, 1989, 1990, 1991, 1992 SecureWare, Inc. © 1990, 1991 Siemens Nixdorf Informationssysteme AG.© 1986, 1989, 1996, 1997 Sun Microsystems, Inc. © 1989, 1990, 1991 Transarc Corporation.OSF software and documentation are based in part on the Fourth Berkeley Software Distribution under license from The Regents of the University of California.OSF acknowledges the following individuals and institutions for their role in its development:Kenneth C.R.C. Arnold, Gregory S. Couch, Conrad C. Huang, Ed James, Symmetric Computer Systems, Robert Elz.© 1980, 1981, 1982, 1983, 1985, 1986, 1987, 1988, 1989 Regents of the University of California.
Copyright © 2012 XYPRO Technology Corporation.All rights reserved.
本書および本書に記載されているソフトウェアはライセンス契約または機密保持契約の下に提供されます。本ソフトウェアは、契約条件に従う場合
にのみ使用または複製できます。本書の使用には契約条件の受諾が必要です。本書のいかなる部分に対しても、XYPRO Technology Corporation の書面
による同意なしに、いかなる目的でも、複製、検索システムへの保存、および複写、記録、別のプログラミング言語への変換など、電子的または機
械的な形式あるいは手段による送信を行うことはできません。-
商標 XYGATE および XYPRO は、XYPRO Technology Corporation の登録商標です。その他のすべてのブランドまたは製品名、商標、または登録商標は、そ
れぞれの所有者に帰属します。
出版履歴
ソフトウェア バージョン
説明 出版年月
1.71 新しいテンプレート向けに再フォーマット、章および付録の構成を変更。 2010 年 8 月
1.71 フォーマットを更新し、Acrobat のブックマークを追加。 2010 年 8 月
1.71 XMI のインストール手順を追加し、第 1 章を再編成。 2010 年 10 月
1.80 HLR MOVER を追加し、QA を更新。新しい『Using XMI』のドキュメントで XMI を改
訂。 2011 年 5 月
1.83 「SIEM Log Adapterのインストール」を追加。付録A「MACONFファイル」を追加、」
を追加。付録G2:「カラムの説明」を追加 2011 年 11 月
1.90 メッセージIDの選択をXMA_REPORTマクロに追加(§3.1)、項目 17 の選択をD/bMMに追
加( 4.5§ )、MOVERサーバークラスパラメーターの格納方法を変更( 5.7§ )、両方のTMF関連
のパラメーター( 5.7.2§ )のデフォルトを変更、PRIORITYキーワードを改訂( A8:付録 )、一
般的な注意 1 を更新( G1:付録 )、XYGATE SSHの特別な処理に関する段落を追加(G6:
付録
2012 年 2 月
)、XYGATESRの用語集の定義を更新(294 ページ)。
1.95 1.95 より前のXMAバージョンのアップグレードを追加(§1.5)、FILTERファイルのバージ
ョン番号に関する注意を追加( 2.1§ )、 2.6§ から 2.6.3§ までの更新、PRIORITYキーワード
は廃止(付録 A8:
2012 年 6 月
)、QC D/Bについて全体を更新。
目次
XYPRO Technology Corporation v Proprietary and Confidential
よく使用するタスクのクイックリファレンス ..................................................................................... xiii
はじめに ......................................................................................................................... xix
XMAコンポーネント ............................................................................................. xxi
XMAにおけるPCI要件の分類 ............................................................................. xxi
一般構文表記 ................................................................................................... xxii
その他のXYPROリファレンスマニュアル ............................................................ xxiv
第 1 章 XMAのインストール .............................................................................................. 1
1.1 インストール手順を開始する前に ................................................................. 1
1.2 自動インストールスクリプトを使用したXMAのインストール ............................ 11.2.1 AutoInstallスクリプトによるインストールの準備 ............................. 11.2.2 AutoInstallスクリプトツールの使用 .............................................. 61.2.3 AutoInstallスクリプトの実行を開始する前に ................................. 71.2.4 AutoInstallスクリプトの実行 ........................................................ 8
1.3 SIEM Log Adapterのインストール ..............................................................141.3.1 ArcSightアダプター ...................................................................141.3.2 アダプターのインストール ...........................................................14
1.4 AutoInstallを使用したXMAまたはXTRのアップグレード ...............................161.4.1 AutoInstallアップグレードスクリプトの実行 ..................................17
1.5 アップグレードに関する留意事項 ................................................................221.5.1 CNVRTIPを使用したデータベース変換 ......................................22
1.6 Auto Uninstallを使用したXMAまたはXTRのアンインストール ......................231.6.1 AutoUninstallスクリプトの準備 ...................................................231.6.2 GUI/PC製品のインストール .......................................................25
1.7 XYGATE Report Manager (XRM)を使用してレポートを生成する ................26
第 2 章 フィルターとFILTERSファイルの構成 ....................................................................27
2.1 FILTERSファイルの編集方法 ....................................................................27
2.2 フィルターの構文 .......................................................................................292.2.1 論理ANDと論理OR ...................................................................30
XYGATE Merged Audit®リファレンスマニュアル 目次
XYPRO Technology Corporation vi Proprietary and Confidential
2.3 フィルターの作成 .......................................................................................322.3.1 手順 1. フィルターの名前を指定する ...........................................322.3.2 手順 2. フィルターのステータスをセットする .................................322.3.3 手順 3:EVALUATE_MSGキーワードをセットする ........................332.3.4 手順 4. フィルターのMOVERを定義する .....................................342.3.5 手順 5. フィルターのデータ選択基準を定義する ..........................372.3.6 手順 6. FILTERのアクションを定義する ......................................432.3.7 手順 7. FILTERSファイルの構文チェック ....................................562.3.8 手順 8. アラートをテストする .......................................................57
2.4 FILTERSファイルでのノード条件処理 .........................................................572.4.1 ノード条件演算子 ......................................................................57
2.5 メールアラート、IPALERTアラート、SNMPアラートのTCP/IPプロセスを指定す
る ................................................................................................................592.5.1 手順 1. WHOコマンドを実行する ................................................592.5.2 手順 2. INFO PROCESSを実行する .........................................59
2.6 XMAデータのオーディットロギングアプライアンスへの送信 ..........................602.6.1 SIEM実装のためのフィルターの構成 ..........................................612.6.2 UDPでデータを送信するフィルターの構成 ..................................622.6.3 SYSLOGQフィルターの構成 ......................................................622.6.4 SIEMアプライアンスとの通信のトラブルシューティング .................642.6.5 XMA SYSLOGメッセージの構文解析 .........................................65
第 3 章 XRMを使用したレポートの生成 ............................................................................69
3.1 XMA_REPORTを使用したオーディットレポートの生成 ................................69
3.2 オーディットサブボリュームの選択 ..............................................................70
3.3 日付範囲、時刻範囲、またはその両方による選択 .......................................71
3.4 対象のユーザーIDによる選択 ....................................................................71
3.5 対象のログイン名による選択 .....................................................................72
3.6 システムによる選択 ...................................................................................73
3.7 対象の端末による選択 ..............................................................................73
3.8 対象のオブジェクトタイプによる選択 ...........................................................74
3.9 オブジェクト名による選択 ...........................................................................74
3.10 操作による選択 .........................................................................................75
3.11 結果による選択 .........................................................................................76
3.12 ファイルの出力先の選択 ............................................................................76
3.13 レポートのソート順の選択 ..........................................................................77
XYGATE Merged Audit®リファレンスマニュアル 目次
XYPRO Technology Corporation vii Proprietary and Confidential
3.14 ルール名による選択 ..................................................................................77
3.15 XYGATE製品コードによる選択 ..................................................................78
3.16 ALERTEDカラムによる選択 ......................................................................78
3.17 RESULTカラム内のテキストによる選択 ......................................................79
3.18 メッセージコードによる選択 ........................................................................79
3.19 メッセージIDによる選択 .............................................................................79
3.20 レポートの実行 ..........................................................................................79
3.21 アーカイブテーブルからのレポートの実行 ...................................................81
第 4 章 XMA_MANAGERの使用 ....................................................................................83
4.1 はじめに ...................................................................................................83
4.2 XYGATEMA Management Main Menu .....................................................834.3 Pathway Management Menu ...................................................................834.4 Movers Management Menu .....................................................................854.5 Database Management Menu ..................................................................884.6 Uninstall Menu .........................................................................................914.7 XMA_MANAGERナビゲーションヒント .......................................................91
4.8 XMA_MANAGERのXMAオーナーとしての実行 .........................................91
第 5 章 MOVERの構成 ...................................................................................................93
5.1 MOVERタイプ ...........................................................................................935.1.1 アラート専用のMOVER .............................................................935.1.2 収集専用のMOVER ..................................................................935.1.3 標準(アラートと収集の組み合わせ) ............................................945.1.4 MOVERタイプの変更 ................................................................955.1.5 異なるサーバータイプを管理するツール ......................................95
5.2 MOVER追加前の決定事項 .......................................................................955.2.1 MOVERサーバークラスの命名規則 ...........................................965.2.2 XMA_MANAGERナビゲーションヒント .......................................97
5.3 MOVERの追加方法 ..................................................................................975.3.1 検出を使用したMOVERの自動構成 ...........................................975.3.2 リモートカタログの作成 ............................................................ 103
5.4 埋め込みサーバークラス .......................................................................... 1045.4.1 ハウスキーピングサーバー(HKEEPER) ................................... 1045.4.2 メールキューサーバー(MQREADER) ....................................... 104
XYGATE Merged Audit®リファレンスマニュアル 目次
XYPRO Technology Corporation viii Proprietary and Confidential
5.4.3 syslog送信サーバー(SLSENDER) .......................................... 1055.4.4 IPアドレス解決(IPRESLVR) .................................................... 107
5.5 BASE24 MOVER ................................................................................... 1085.5.1 BASE24 EMSテンプレート ....................................................... 108
5.6 HLR MOVER ......................................................................................... 1095.6.1 重要な注意事項 ...................................................................... 111
5.7 MOVERパラメーター ............................................................................... 1115.7.1 MEASURE関連のパラメーター ................................................ 1155.7.2 TMF関連のパラメーター .......................................................... 116
5.8 時間範囲 ................................................................................................ 116
5.9 MOVERに関する問題のトラブルシューティング ........................................ 117
第 6 章 Safeguardの選択基準 ..................................................................................... 119
6.1 Safeguard OBJECTTYPE ...................................................................... 119
6.2 Safeguardの操作 ................................................................................... 120
6.3 Safeguardメッセージコード ...................................................................... 121
6.4 Safeguard MessageID ........................................................................... 1256.5 SafeguardのEMSエラーメッセージ ........................................................... 127
第 7 章 XMAデータベースの管理 .................................................................................. 131
7.1 古いレコードの削除 ................................................................................. 1317.1.1 選択的なアーカイブおよびクリーンアップ ................................... 1317.1.2 XMAデータベースのアーカイブ ................................................ 1347.1.3 クリーンアップによる古いデータレコードの削除 .......................... 136
7.2 データベースの日常的な管理 ................................................................... 1377.2.1 FUPリロードの実行 ................................................................. 1387.2.2 Update Statistics .................................................................... 138
7.3 データテーブルのサイズ変更 ................................................................... 1387.3.1 テーブルのデフォルトサイズ ..................................................... 1397.3.2 サイズの設定方法 ................................................................... 139
7.4 XMAデータベースのパーティション分割 .................................................... 140
第 8 章 トラブルシューティング ....................................................................................... 143
8.1 XMAHELP/XMA_HELP .......................................................................... 1438.1.1 XYMOVEの機能 ..................................................................... 1438.1.2 XYMOVEのCHECKFILTERSオプション .................................. 143
XYGATE Merged Audit®リファレンスマニュアル 目次
XYPRO Technology Corporation ix Proprietary and Confidential
8.1.3 XYMOVEのXYGATEVERオプション ....................................... 144
8.2 オーディットログアプライアンスシステムとの通信 ....................................... 1448.2.1 IPALERTフィルターのステータスがアクティブであることの確認 .. 1448.2.2 PathwayおよびMOVERが実行中であることの確認 .................. 1458.2.3 ログウェアハウスへのSyslogテストメッセージの送信 ................. 1468.2.4 ログウェアハウスシステムへのPing .......................................... 146
8.3 オーディットログウェアハウスのデータ解析 ............................................... 147
付録A: MACONFファイル ............................................................................................. 149
A1: MACONFファイルのキーワード ................................................................ 149
A2: COLLECTOR ......................................................................................... 149A3: COMPANY_NAME ................................................................................ 150A4: HOMETERM .......................................................................................... 150A5: MACRO_NAME ..................................................................................... 150A6: PATHMON_NAME ................................................................................ 151A7: PERUSE_OBJECT ................................................................................ 151A8: PRIORITY .............................................................................................. 151
付録B: 管理テーブル .................................................................................................... 153
B1: XYGATEのMOVER設定テーブル ........................................................... 154
B2: XYGATEのMOVER状態テーブル ........................................................... 156
B3: EMSのMOVERテーブル = XMA__EMSMVTBL ...................................... 158
B4: EMSのMOVERパラメーターテーブル = XMA_EMSMVPARAMSTBL ....... 158
B5: EMSのMOVER状態テーブル = XMA_EMSMVSTATETBL ...................... 159
B6: MEASUREのMOVERテーブル ............................................................... 159
B7: SafeguardのMOVERテーブル = XMA_SFGMVTBL ................................ 161
B8: SafeguardのMOVERパラメーターテーブル = XMA_SFGMVPARAMSTBL
... .............................................................................................................. 161
B9: SafeguardのMOVER状態テーブル ......................................................... 161
B10: BASE24 MOVERテーブル ...................................................................... 163
B11: BASE24 パラメーターテーブル ................................................................. 164
B12: BASE24 状態テーブル ............................................................................ 164
B13: TCP/IP Syslogテーブル .......................................................................... 166
B14: HLR MOVERテーブル ............................................................................ 166
XYGATE Merged Audit®リファレンスマニュアル 目次
XYPRO Technology Corporation x Proprietary and Confidential
B15: HLRパラメーターテーブル ........................................................................ 166
B16: HLR状態テーブル ................................................................................... 167
B17: アーカイブテーブル .................................................................................. 167
B18: PARAMSテーブル .................................................................................. 169
B19: SESSIONOIPテーブル ........................................................................... 169
付録C: データテーブル .................................................................................................. 171
C1: ファイルのパーティション分割 ................................................................... 171
C2: XYGATE製品構成テーブル ..................................................................... 171
C3: ServerclassNAME .................................................................................. 171C4: XYGATE製品のインストール先 ................................................................ 172
C5: AUDITFILEMASK <ファイル名マスク> .................................................... 172
C6: AUDITFILECODE <ファイルコード> ........................................................ 173
C7: オーディット製品テーブル = XMA_AUDPRODUCTTBL ............................ 173
C8: オーディットインストールテーブル = XMA_AUDINSTALLTBL .................... 173
C9: オーディットセッションテーブル = XMA_AUDSESSIONTBL ...................... 173
C10: オーディット詳細テーブル = XMA_AUDITDETAILTBL .............................. 175
C11: XMAテーブルの手動削除 ........................................................................ 175
付録D: サンプルフィルター ............................................................................................ 179
D1: $CMONの"I'm Alive"メッセージの除外 ..................................................... 179
D2: XPCのステータスコマンドの除外 .............................................................. 180
D3: 自身のユーザーデータベースを読み取るSafeguardの除外 ....................... 181
D4: SafeguardのNo Recordの除外 ............................................................... 182
D5: XOSのNo Recordの除外 ........................................................................ 183
D6: XOSの仮定テストの除外 ......................................................................... 184
D7: XPQによるSUPER.SUPERのパスワード変更のアラート .......................... 185
D8: 不明なユーザーがSUPER.SUPERとして直接ログインした場合のアラート . 186
D9: "–255"を含むXACコマンドのアラート ........................................................ 187
D10: セキュリティ関連のBASE24 EMSイベントの選択 ...................................... 188
付録E: XMAホストマクロ ............................................................................................... 189
E1: ADELMAC ............................................................................................. 189
XYGATE Merged Audit®リファレンスマニュアル 目次
XYPRO Technology Corporation xi Proprietary and Confidential
E2: ARCMAC ............................................................................................... 190E3: CLEANDB .............................................................................................. 191E4: EMSBUILD ............................................................................................ 192E5: PARSAMP ............................................................................................. 192E6: REMFIN ................................................................................................. 192E7: UPDSTAT .............................................................................................. 194E8: XMA_AUDIT_REPORT ......................................................................... 195E9: XMA_DATETIME_MAKE ....................................................................... 198E10: XMA_DBVOLUME ................................................................................. 199E11: XMA_EDIT_FILTERS ............................................................................ 200E12: XMA_FILTERS_CHECK ........................................................................ 201E13: XMA_INSTALL_LICENSE ..................................................................... 203E14: XMA_LOAD_DEFINES .......................................................................... 203E15: XMA_NETWORK_FILTERS_CHECK .................................................... 203E16: XMA_NETWORK_LICENSE_INSTALL ................................................. 204E17: XMA_NETWORK_VERSION ................................................................. 204E18: XMA_PWCOLD ..................................................................................... 205E19: XMA_PWCOOL ..................................................................................... 205E20: XMA_PWSTOP ..................................................................................... 205E21: XMA_PWVOLUME ................................................................................ 206E22: XMA_SQLCOMPALL ............................................................................. 206E23: XMA_SYNTAX_CHECK ........................................................................ 208E24: XMA_UPDATE_FILTERS ...................................................................... 209E25: XMA_VERSION ..................................................................................... 210E26: XMA_VOLUME ...................................................................................... 210
付録F: TCLEXC .......................................................................................................... 211
付録G: データマッピング ................................................................................................ 223
G1: データマッピングカラムに関する一般的な注意 .......................................... 224
G2: カラムの説明 .......................................................................................... 226
G3: データマッピングテーブルの使用方法 ....................................................... 230
G4: BASE24 のデータマッピング .................................................................... 231
G5: HLRデータマッピング ............................................................................... 235
G6: EMSのデータマッピング .......................................................................... 242
XYGATE Merged Audit®リファレンスマニュアル 目次
XYPRO Technology Corporation xii Proprietary and Confidential
G7: MEASUREのデータマッピング ................................................................. 250
G8: Safeguardのデータマッピング .................................................................. 252
G9: XAC (XYGATE Access Control)のデータマッピング ................................. 255
G10: XCM (XYGATE Supported CMON)のデータマッピング ............................ 258
G11: XHE (XYGATE Host Encryption)のデータマッピング ............................... 261
G12: XKM (XYGATE Key Management)のデータマッピング ............................ 263
G13: XPC (XYGATE Process Control)のデータマッピング ............................... 265
G14: XPQ (XYGATE Password Quality)のデータマッピング ............................. 268
G15: XOS (XYGATE Object Security)のデータマッピング ................................ 270
G16: XSM (XYGATE Safeguard Manager)のデータマッピング ......................... 272
G17: XSP (XYGATE Combined Spoolcom Peruse)のデータマッピング ............ 274
G18: XTR (XYGATE Transaction Router)のデータマッピング .......................... 276
G19: XUA (XYGATE User Authentication)のデータマッピング ......................... 278
G20: Column Usageテーブル .......................................................................... 280
用語集 ........................................................................................................................ 283
索引 ........................................................................................................................ 303
XYPRO Technology Corporation xiii Proprietary and Confidential
よく使用するタスクのクイックリファレンス
XMA マクロを使用して、すべての XMA マクロが含まれる XMA_SEG TACL セグメントを付加
します。付録 E:「XMA ホストマクロ」(189 ページ~)を参照してください。
よく使用するタスクのクイックリファレンス
No. タイプ タスク 手順
1. Pathway Pathwayが実行中か
どうかを確認する TACL から、次のように入力します。status $<Pathway name>
2. Pathway Stop [Pathway Menu]のオプション 3 (83 ページまたは 205 ペ
ージのXMA_PWSTOP)を選択します。
3. Pathway Cold Start [Pathway Menu]のオプション 1 (83 ページ、または 205ページのXMA_PWCOLD)を選択します。
4. Pathway Cool Start [Pathway Menu]のオプション 2 (83 ページ、または 205ページのXMA_PWCOOL)を選択します。
5. MOVER MOVER のオーディ
ットファイルターゲ
ットを決定する
[Movers Menu]のオプション 3 (85 ページ)を選択しま
す。
6. MOVER MOVER が予期せず
停止した理由を調べ
る
次の点を確認してください。 1) [Movers Menu]のオプション 4 (85 ページ)を選択し
てエラーメッセージを表示します。 2) MOVERに関する問題のトラブルシューティング
(117 ページ)。 3) EMS ログに出力されているエラーメッセージ。 4) XYGATEMA サブボリュームと XMA*サブボリュー
ムの SAVEABEND ファイル。
7. MOVER MOVER のオーディ
ットファイルのター
ゲットを変更する
次の 3 つの手順を実行します(85 ページ)。 1) [Movers Menu]のオプション 6 で MOVER を停止す
る。 2) [Movers Menu]のオプション 14 で MOVER を削除す
る。 3) [Movers Menu]のオプション 7 で、正しいオーディ
ットファイル情報で新しい MOVER を追加する。
XYGATE Merged Audit®リファレンスマニュアル よく使用するタスクのクイックリファレンス
XYPRO Technology Corporation xiv Proprietary and Confidential
よく使用するタスクのクイックリファレンス
No. タイプ タスク 手順
8. MOVER MOVER のステータ
スを確認する、また
は、MOVER が実行
中かどうかを確認す
る
[Movers Menu]のオプション 4 (85 ページ)を選択して 1つのMOVERのステータスを確認します。
9. MOVER MOVER が最後に処
理したオーディット
レコードの製品
[Movers Menu]のオプション 3 (85 ページ)を選択して情
報を表示します。
10. MOVER MOVER の優先度を
変更する 次の 3 つの手順を実行します(85 ページ)。 1) [Movers Menu]のオプション 6 で MOVER を停止す
る。 2) [Movers Menu]のオプション 13 で優先度やそれ以外
のパラメーターを変更する。 3) [Movers Menu]のオプション 5 で MOVER を起動す
る。
11. MOVER 個別の MOVER を起
動する [Movers Menu]のオプション 5 (85 ページ)を選択しま
す。
12. MOVER すべての MOVER を
起動する Pathwayが実行中であれば、[Pathway Menu]のオプショ
ン 2 を選択し、「Y(es)」を選択してすべてのMOVERを
起動します(83 ページ)。 Pathwayがすでに実行中であれば、停止して再起動でき
ます。
13. MOVER Pathwayを停止し、
再起動する 停止するには、[Pathway Menu]のオプション 3 (83 ペー
ジ)を選択します。 再起動するには、[Pathway Menu]のオプション 2 (83 ペ
ージ)を選択します。
14. MOVER 個別の MOVER を停
止する 次の 2 つの方法があります。 1) [Pathway Menu]のオプション 6 (83 ページ)を選択し
ます。 2) [Movers Menu]のオプション 6 (85 ページ)を選択しま
す。
15. MOVER アラーム専用、収集
専用、または標準の
MOVER を表示、停
止、または起動する
[Movers Menu]のオプション 20 ( 85 ページ)を選択しま
す。
XYGATE Merged Audit®リファレンスマニュアル よく使用するタスクのクイックリファレンス
XYPRO Technology Corporation xv Proprietary and Confidential
よく使用するタスクのクイックリファレンス
No. タイプ タスク 手順
16. MOVER 新しい MOVER に読
み取られる最初のオ
ーディットレコード
の日付と時刻を変更
する
[Movers Menu]のオプション 12 (85 ページ)を選択しま
す。
17. MOVER MOVER の CPU ビ
ジーパーセント値を
変更する
[Movers Menu]のオプション 12 (85 ページ)を選択しま
す。
18. MOVER MOVER をアラート
専用から収集専用
に、あるいはその逆
に変更する
[Movers Menu]のオプション 12 (85 ページ)を選択しま
す。
19. HouseKeeper Cleanup を実行する
時刻を変更する [Database Menu]のオプション 4 (88 ページ)を選択しま
す。
20. HouseKeeper 収集専用の MOVERの収集ウィンドウを
変更する
[Movers Menu]のオプション 12 (85 ページ)を選択しま
す。
21. HouseKeeper SYSLOG キューの
クリーンアップを実
行する時刻を変更す
る
[Database Menu]のオプション 15 (88 ページ)を選択し
ます。
22. MailQueue MailQueue サーバー
クラスをセットアッ
プする
[Movers Menu]のオプション 17 (85 ページ)を選択しま
す。
23. SLSENDER XMA データを Auditロギングアプライア
ンスに送信する
第 2.6 節「XMAデータのオーディットロギングアプライ
アンスへの送信」(60 ページ)を参照してください。
24. SLSENDER イベントを SIEM に
再送する [Database Menu]のオプション 13 (88 ページ)を選択し
ます。
25. SLSENDER 不要になったイベン
トを SYSLOG キュ
ーから削除する
[Database Menu]のオプション 14 (88 ページ)を選択し
ます。
26. Database データテーブルを
FUP RELOAD する 「FUPリロードの実行」、138ページ。
XYGATE Merged Audit®リファレンスマニュアル よく使用するタスクのクイックリファレンス
XYPRO Technology Corporation xvi Proprietary and Confidential
よく使用するタスクのクイックリファレンス
No. タイプ タスク 手順
27. Database UPDATE STATISTICS
注: update statistics を実行する前に、Pathwayを停止
する必要があります。 1) [Pathway Menu]のオプション 3 (83 ページ)を停止し
ます。 2) [Database Menu]のオプション 1 (88 ページ)を選択し
ます。
28. Database TMF オーディットパ
ラメーターを表示ま
たは変更する
[Database Menu]のオプション 12 (88 ページ)を選択す
ると、TMFオーディットパラメーターを表示または変更
できます。
29. Database パーティション分割 第 7.4 節「XMAデータベースのパーティション分割」
(140 ページ)を参照してください。
30. Database サイズ変更 第 7.3 節「データテーブルのサイズ変更」(138 ページ)を参照してください。
31. Database バージョン 1.95 よ
り前の XMA のアッ
プグレード
第 1.5 節「アップグレードに関する留意事項」(22 ペー
ジ)を参照してください。
32. 管理 新しいライセンスを
Pathwayノードにイ
ンストールする
XYGATEサブボリュームが存在する各ノードで
XMA_INSTALL_LICENSEマクロ(203 ページ)を実行しま
す。
33. 管理 新しいライセンスを
リモートノードにイ
ンストールする
XYGATEサブボリューム内のライセンスをアップグレー
ドしたら、XMA_NETWORK_LICENSE_INSTALLマク
ロ(204 ページ)を実行します。
34. 管理 XMA ソフトウェア
をアップグレードす
る
第 1.4.1 節「AutoInstallアップグレードスクリプトの実
行」(17 ページ)を参照してください。
35. 管理 すべての XMA オブ
ジェクトを SQL コ
ンパイルする
XMA_SQLCOMPALLマクロ(206 ページ)を実行して、ま
ず初めにセグメントが関連付けられていることを確認し
ます。
36. 管理 1 つの XMA オブジ
ェクトを SQL コン
パイルする
1) XMA サブボリュームに移動します。
2) XMA マクロをロードします。 volume $<vol>.xygatema
3) データベーステーブルの DEFINE をロードします。 run $<vol>.xygatema.xma install
4) SQL コンパイルしたいオブジェクトに対して
SQLCOMP を実行します。
XMA_load_defines
Run $system.system.sqlcomp/in <program>,out $s.#out/catalog xma_cat
XYGATE Merged Audit®リファレンスマニュアル よく使用するタスクのクイックリファレンス
XYPRO Technology Corporation xvii Proprietary and Confidential
よく使用するタスクのクイックリファレンス
No. タイプ タスク 手順
37. Uninstall XMA インストール
環境を完全に削除す
る
第 1.6節「Auto Uninstallを使用したXMAまたはXTRのア
ンインストール 」(23ページ)を参照してください。
38. Uninstall XMA オブジェクト
をリモートノードか
ら削除する
[Uninstall Menu]のオプション 1 (91 ページ)を選択しま
す。
XYPRO Technology Corporation xix Proprietary and Confidential
はじめに
XYGATE Merged Audit® (XMA)は、すべてのXYGATE製品、EMS、SAFEGUARD、
BASE24、およびHLRのオーディットトレイルを、中央に位置するNonStop SQLのテ
ーブルセットに統合します。また、MEASUREによってデータが収集されることで、
プロセスの親子関係からみた情報把握を可能にしています。その結果、お客様のシス
テムにおいてユーザーが実行するすべてのアクションを、誰が、いつ、どこで実行し
たかまで正確に把握できる、一元的な参照窓口を提供します。
XYPROではXMAの開発にあたり、HP NonStop™
• NonStop S QL データベースを、すべての XYGATE、EMS、SAFEGUARD、HLR、
および BASE24 のセキュリティ関連のオーディット情報の包括的なリポジトリと
して使用します。
システムのセキュリティイベントを
統合的に把握しかつ使いやすくて柔軟性の高いレポート機能を求める顧客の要求に応
えることを目指しました。この要件には次のようなものがあります。
XYGATE Merged Audit®リファレンスマニュアル はじめに
XYPRO Technology Corporation xx Proprietary and Confidential
• 複数の HP NonStop サーバーのオーディット情報を 1 つのデータベースに統合す
ることで、ネットワーク全体において TACL ユーザーのアクティビティを把握し、
HP NonStop オブジェクトのセキュリティが確保されます。
• 柔軟性の高いフィルタリングメカニズムによって指定したイベントを監視し、そ
のイベントが検出されるとすぐにアクションを実行できます。実行できるアクシ
ョンには、SMTP を使用した、EMS や SYSLOG への、また電子メール経由によ
るアラートの送信や、指定したカスタム処理の実行などがあります。
• フィルタリングメカニズムによって、ユーザーにとって最も重要なアクティビテ
ィだけを抽出できます。
• レポート作成機能のカスタマイズ。
• 事前定義済みの豊富なレポートが用意されているため、レポートの内容、詳細レ
ベル、およびソート順を、チェックボックスを選択するだけの簡単な操作で選択
できます。
• HP NonStop サーバーの技術的な専門知識がほとんどあるいはまったく持たない監
査担当者やセキュリティ管理者も簡単に使用できます。
XYGATE Merged Audit®リファレンスマニュアル はじめに
XYPRO Technology Corporation xxi Proprietary and Confidential
XMA コンポーネント XMA は、MOVER と呼ばれる一連の Pathway サーバークラスで構成されます。デー
タを収集する各ノードのアプリケーションごとに MOVER を構成する必要があります。
第 4 章に記載されている XMA_MANAGER により、構成と管理のプロセスが容易にな
ります。
ネットワーク内のすべてのノードのデータが、1 つの中央 SQL データベースに統合さ
れます。MOVER の構成と管理で使用される SQL テーブルも存在します。MOVER サ
ーバークラスオブジェクトによって、中央の収集ポイントにデータが送受信されます。
MOVER サーバークラスは、中央の 1 つのノードで動作する Pathway から制御されま
す。
重要: HP による SQL のライセンスがない HP N onStop サーバーの場合は、XMA は、
ランタイムライセンスでコンパイルされ、一定の制限内でのみ利用可能です。このと
き利用できない唯一の機能は、ホストベースのレポート作成機能です。その場合であ
っても、Report Manager G UI を使用することで、Audit Pr o レポートを実行できます。
XYGATE Merged Audit 環境では、以下の主要コンポーネントを使用して、データを
構成、管理、および格納します。各コンポーネントの詳細については、用語集の説明
を参照してください。
EMS のテンプレートおよびマクロ
FILTERS ファイル
FILTSAMP ファイル
MACONF ファイル
MAMGRC ファイル
MGRSETUP ファイル
NEWTBLS
REMNODES
XMA (SQL)データベース
XMA における PCI 要件の分類 PCI 要件を分類するのは簡単なことではありません。XYPRO Technology 社では、次
の規則に従って、PCI 要件番号にレポートを割り当てています。
XYGATE Merged Audit®リファレンスマニュアル はじめに
XYPRO Technology Corporation xxii Proprietary and Confidential
• PCI 2.2.3 はセキュリティ構成を表すものとみなされます。したがって、
Safeguard グローバル、ファイル、プロセス、およびデバイスのセキュリティと、
XYGATE のすべての構成ファイルの管理(作成または変更)は、このカテゴリに分
類されます。ファイル保護のルールの管理は PCI 2. 2.3 要件にレポートされますが、
ファイルに対する実際のアクセスを記録するレポートは、ファイルの種類によっ
てそれ以外の要件に分類されます。たとえば、カード所有者のデータへのアクセ
スは 10.2.1 に分類されますが、ネットワーク構成ファイルへのアクセスは 10.2 に
分類されます。
• PCI 8 .2 はユーザー構成の参照とみなされるため、User レコードと Alias レコード、
さらにはユーザーに関連する Safeguard のグローバルパラメーターに対する変更
は、このカテゴリに分類されます。ログオン等を制御する値に対する変更は、こ
のカテゴリに分類されます。フリーズしたまたはタイムアウトが発生した ID の実
際のログオンと証明は、PCI 8.5 等のその他の要件に分類されます。
• それ以外の PCI 関連のフィルターやレポートの命名スキーマは、自己説明型で、
PCI 2.2.3 を参照する(PCI 2.2.3 によって監視される)ルールによってセキュリティ
が規定されるオブジェクトのアクセスに関連するものとみなされます。
フィルターおよび Audit Pro レポートの名前はどちらも、ユーザーによるカスタマイ
ズが可能です。
一般構文表記 本マニュアルにおける構文表記の規則は以下のとおりです。
大文字のアルファベット。
MAXATTACH
大文字のアルファベットは、キーワードや予約語を表しま
す。記載されているとおりに入力してください。カッコで囲まれていない項目は、必
須項目です。次に例を示します。
< > 大なり/小なり記号
RUN $<VOL.SUBVOL>.XMA INSTALL
。小なり記号と大なり記号で囲まれている項目は、ユーザーが
指定する変数項目です。小なり記号と大なり記号を付けずに入力してください。たと
えば、関数の構文を次のように表記します。
使用するシステムで<VOL.SUBVOL>が$SYSTEM.XYGATEMA であるとすると、実際
のコマンドは次のようになります。 RUN $SYSTEM.XYGATEMA.XMA INSTALL
[ ]大カッコ
TERM [\<system-name>.]$<terminal-name>
。大カッコで囲まれている項目は、オプションの構文項目です。次に例を
示します。
INT[ERRUPTS]
XYGATE Merged Audit®リファレンスマニュアル はじめに
XYPRO Technology Corporation xxiii Proprietary and Confidential
大カッコで囲まれた一連の項目は、それらの中から 1 つの項目を選択できる(あるいは、
何も選択しない)ことを表します。このリスト内の項目は、各リストの横に大カッコ付
きで縦並びに記載されているか、大カッコの対に囲まれて垂直線で区切られて横並び
に記載されます。次に例を示します。 FC [ <num> ] [ <-num> ] [ <text> ] K [ X | D ] <address-1>
{ }中カッコ
LISTOPENS PROCESS { $<appl-mgr-name> }
。中カッコで囲まれた一連の項目は、それらのリストの中から必ず 1 つを
選択する必要があることを表します。このリスト内の項目は、各リストの横に中カッ
コ付きで縦並びに記載されているか、中カッコの対に囲まれて垂直線で区切られて横
並びに記載されます。次に例を示します。
{ $<process-name> } ALLOWSU { ON | OFF }
| 垂直線
INSPECT { OFF | ON | SAVEABEND }
。垂直線は、大カッコまたは中カッコで囲まれた横並びのリストで選択肢で
ある項目を区切るために使用されます。次に例を示します。
… 省略記号
M <address-1> [ , <new-value> ]...
。大カッコまたは中カッコのすぐ後に続く省略記号は、囲まれている一
連の構文項目を何度でも繰り返せることを表します。次に例を示します。
[ - ] {0|1|2|3|4|5|6|7|8|9}...
1 つの構文項目のすぐ後に続く省略記号は、その構文項目を何度でも繰り返せること
を表します。次に例を示します。 "s-char..."
句読点記号
<error> := NEXTFILENAME ( <file-name> ) ;
。カッコ、カンマ、セミコロン、および上記に記載されていない記号につ
いては、記載されているとおりに入力する必要があります。次に例を示します。
LISTOPENS SU $<process-name>.#<su-name>
大カッコや中カッコのような記号で囲まれている引用符は、その記号が必須文字であ
ることを表します。記載されているとおりに入力する必要があります。次に例を示し
ます。 "[" <repetition-constant-list> "]"
項目のスペーシング
CALL STEPMOM ( <process-id> ) ;
。項目と項目の間に表示されるスペースは、項目のうちの 1 つが
カッコあるいはカンマなどの句読記号である場合を除き、必須です。次に例を示しま
す。
XYGATE Merged Audit®リファレンスマニュアル はじめに
XYPRO Technology Corporation xxiv Proprietary and Confidential
2 つの項目の間にスペースがない場合、スペースは許可されていません。次の例では、
ピリオドとその他の項目の間でスペースを使用することは許可されていません。 $<process-name>.#<su-name>
太字 のテキストは、コマンドラインの特定のプロンプトへのユーザー入力、キーボー
ド上の文字または記号、およびGUIのラジオボタンおよびナビゲーションボタンを表
しています。
プレーンイタリック。
その他の XYPRO リファレンスマニュアル
斜体は、文書の名前またはタイトル、画面名、またはコマンド
ラインアクションの表示やスクリプトテキストを表します。
XYGATE の Microsoft Windows クライアントの多くは、XMA データベースからレポ
ートを作成して、NonStop システムからのアラートを監視したり、ホスト XYGATEモジュールの構成を変更したりするために使用できます。クライアントコンポーネン
トのリファレンスマニュアルは、XYGATE Online He lp ( XOH)パッケージの一部です。
ホストシステムにXMAをインストールした後、IXOHEXEファイルを検索し、FTP経由でPCワークステーションにバイナリモードでダウンロードし、名前
を XOHINST.EXE
XOHINST.EXE ファイルをダブルクリックして XOH インストールプロセスを起動し、
画面上のプロンプトに従って操作します。
に変更してPC上に保存します。
XOH のインストールが完了したら、[XYGATE Documentation]というデスクトップシ
ョートカットを見つけてダブルクリックし、一連の XYGATE マニュアルを表示しま
す。
下記のマニュアルは、XMA に接続している XYGATE クライアントの操作方法を説明
しています。
• XYGATE Security Event Monitor (XEM)
• 『
。XRMクライアントを使用すると、
NonStopシステムのアクティビティに関するアラートを監視できます。
XYGATE Configuration and Audit Reporting
• XRM クライアントを使用すると、NonStop システムのアクティビティに関するレ
ポートを実行できます。
』(XRM、XCF、およびXTRについ
て説明しています。)
• XCF クライアントを使用すると、XMA およびその他の XYGATE ホストモジュー
ルのデフォルト構成を変更できます。
XYPRO Technology Corporation 1 Proprietary and Confidential
第1章 XMA のインストール
本章では、AutoInstall スクリプトを使用して XYGATE Merged Audit (XMA)ファイル
をインストールする手順について説明します。AutoInstall スクリプトの実行は、ガイ
ド付きのインストール手順であり、特に記載されている部分を除き、SUPER コマン
ドラインの最小限の入力でインストールが行えます。
1.1 インストール手順を開始する前に インストール手順を開始する前に、次の情報が揃っていることを確認してください。
• PC の管理者権限
• TACL サービスの名前
• SUPER.SUPER ID、または SUPER.SUPER のエイリアス
• XYGATE 製品をインストールする NonStop サーバーの TCP/IP アドレスまたはホ
スト名
1.2 自動インストールスクリプトを使用した XMA のインストール AutoInstall スクリプトは、デフォルトの実行時パラメーター(後で変更できます)を提
供することで、それぞれの XMA サーバーを簡単にインストールできるように設計さ
れています。
XMA を配布された HP SUT からインストールする場合は、分散サブボリューム(DSV)に、インストール/アップグレードスクリプトとアンインストールスクリプトが含まれ
ています。既存のサーバーソフトウェアのアップグレード時には、AutoInstall スクリ
プトによって現行の環境が検索され、プログラムが最新バージョンにアップグレード
されますが、パラメーターとデータリポジトリは維持されます。
1.2.1 AutoInstall スクリプトによるインストールの準備 AutoInstall スクリプトは、次のタスクを自動的に実行します。
• XYGATEMA 製品ソフトウェアをインストールする。
• XYGATETR 製品ソフトウェアをインストールする。
• XYGATE XMA 環境と XYGATE XTR 環境を、デフォルト値を使用して構成する。
• XYGATEMA SQL カタログと関連する SQL テーブルを作成する。
• XYGATEMA Pathway 環境を作成する。
• XYGATEMA Pathway を起動し、Pathway サーバーを起動する。
XYGATE Merged Audit®リファレンスマニュアル 第 1 章 XMA のインストール
XYPRO Technology Corporation 2 Proprietary and Confidential
• GUI 製品から XYGATETR への接続用の LISTNER プロセスを起動する(オプショ
ン)。
AutoInstall のためにユーザーが定義する必要がある構成値- XE "XMA のインストー
ル:AutoInstall のユーザー定義値" AutoInstallスクリプトを使用する場合は、表 1に記載されているユーザー定義値を指
定するオプションがあります。値を指定しないと、AutoInstallは、表 2に記載されて
いるデフォルト値を使用します。必要に応じて、ユーザー定義値に関して、システム
管理者に問い合わせてください。 表 1:AutoInstall のためにユーザーが定義する必要がある入力値-
AutoInstall スクリプトに対して指定する情報 値
SQL カタログとテーブル用の TMF オーディット対象ボリューム/サブボリューム名
Pathwayプロセス用の一意の<4 文字>の名前(たとえば、$ZXMA)
XMA 用にインストールされるソフトウェアの一意の$VOL.SVOL
XTR 用にインストールされるソフトウェアの一意の$VOL.SVOL
TCP/IP LISTNER プロセスのポート番号(1025~32000)
XMA を実行するためにアクセスを必要とする追加のユーザーまた
はエイリアス(オプション)
XYGATE Merged Audit®リファレンスマニュアル 第 1 章 XMA のインストール
XYPRO Technology Corporation 3 Proprietary and Confidential
AutoInstall のデフォルト構成値
必要に応じて、競合や留意すべき点がないかどうかを、システム管理者に問い合わせ
てください。これらの値は、AutoInstall スクリプトの終了後に変更できます。 表 2:ユーザー定義値のデフォルト
構成ファイ
ル 構成設定 デフォルト値またはユーザー定義値
すべてのファイルの格納に参照される$VOL
現行の$VOL | <user-value>
SQL テーブルの一意のサブボリューム
名 XMADAT | <user-value>
XMA 用にインストールされるソフトウ
ェアの一意のサブボリューム XYGATEMA | <user-value>
XTR 用にインストールされるソフトウ
ェアの一意のサブボリューム XYGATETR | <user-value>
Pathwayプロセス用の一意の<4 文字>の名前(たとえば、$ZXMA)
$XMA# | <user-value>
TCP/IP LISTNER プロセスのポート番
号(1025~32000) 1120 | <user-value>
XMA を実行するためにアクセスを必要
とする追加のユーザーまたはエイリア
ス(オプション)
スクリプトのオーナー + SUPER.SUPER + それ以外の<user-values>
MACONF XMA PATHMON_NAME $???? | <user-value>
XYGATE Merged Audit®リファレンスマニュアル 第 1 章 XMA のインストール
XYPRO Technology Corporation 4 Proprietary and Confidential
表 3は、デフォルトの構成値と、AutoInstallスクリプトによって自動的に生成される
ファイルロケーションです。 表 3:AutoInstall によって割り当てられるデフォルト値またはデフォルトロケーション-
構成ファイ
ル 構成設定 AutoInstall スクリプトによって
割り当てられるデフォルト値また
はロケーション インストール専用のステージングサブボ
リューム。インストール終了後に削除さ
れます。
P46DSDST
SQL カタログの一意のサブボリューム名 XMACAT
Pathway構成ファイルの一意のサブボリ
ューム XMAPW
MACONF XMA MACRO_NAME XMA MACONF XMA PERUSE_OBJECT (利用可能な
PERUSE オブジェクトから選択) $SYSTEM.SYSTEM.PERUSE
MACONF XMA HOME_TERM (利用可能な標準ホー
ム端末から選択) $VHS $ZHOME $YMIOP.#CLCI
MACONF XMA COLLECTOR (利用可能なスプーラ
ーコレクターから選択) $S
MACONF XMA プロセスの優先度 30
TRCONF XTR MACRO_NAME XTR TRCONF XTR オーディットトレイルファイルの場
所 $VOL.XYGATETR.AUDIT
TRCONF XTR オーディットパラメーター(AUDIT_ACCESS_PASS + AUDIT_ACCESS_FAIL)
ON
TRCONF XTR オプション USER_SWITCH ON
TRCONF XTR プロセスの優先度 152
TRCONF XTR HOME_TERM (利用可能な標準ホー
ム端末から選択) $VHS $ZHOME $YMIOP.#CLCI
TRCONF XTR PERUSE_OBJECT (利用可能な
PERUSE オブジェクトから選択) $SYSTEM.SYSTEM.PERUSE
TRCONF XTR COLLECTOR (利用可能なスプーラ
ーコレクターから選択) $S
TRCONF XTR ワーキングサブボリューム $VOL.XYGATETR
TRCONF XTR オプション MAX_TASK_COUNT 5
TRCONF XTR オプション REPORT_OWNER 0,0
TRCONF XTR オプション TR_MASTER_SUBVOL $VOL.XYGATETR
XYGATE Merged Audit®リファレンスマニュアル 第 1 章 XMA のインストール
XYPRO Technology Corporation 5 Proprietary and Confidential
構成ファイ
ル 構成設定 AutoInstall スクリプトによって
割り当てられるデフォルト値また
はロケーション TRCONF XTR 暗号化オプション OFF
TRCONF XTR SSL オプション OFF
TRCONF XTR 監視/デバッグオプション OFF
TRACL XTR/XMA $OWNER 認証ユーザー スクリプトを実行するオーナー + SUPER.SUPER
TRACL XTR オプション TR_INSTALLATION IP + ポート番号
PWCOLD Pathwayスタートアップマクロ $VOL.XMAPW
PWSTOP Pathwayシャットダウンマクロ $VOL.XMAPW
PWCOOL Pathwayクールスタートマクロ $VOL.XMAPW
PWCONFIG
Pathway一般構成設定 $VOL.XMAPW
PATHWAY OWNER の Pathway構成設定 スクリプトの PAID
PATHWAY SECURITY の Pathway構成
設定 “O”
CPU の Pathway構成設定 セットされない(Pathway のデフ
ォルトにセットされる)
MACONF HOMETERM の PATHWAY プロセス MACONF に定義されている値
PWSTATE
Pathwayサーバー構成設定 $VOL.XMAPW
OWNER の Pathway構成設定 スクリプトの PAID
SECURITY の Pathway構成設定 “O”
TMF の Pathway構成設定 ON
PRI の Pathway 構成設定 100
HOMETERM の Pathway 構成設定 MACONF に定義されている値
CPU の Pathway構成設定 セットされない(Pathway のデフ
ォルト)
FILTERS フィルター情報を Pathway サーバーに設
定するための XMA ルールファイル $VOL.XYGATEMA
PATHCTL Pathway実行時構成ファイル名 $VOL.XMAPW
PWLOG Pathwayログファイル名 $VOL.XMAPW
XYGATE Merged Audit®リファレンスマニュアル 第 1 章 XMA のインストール
XYPRO Technology Corporation 6 Proprietary and Confidential
1.2.2 AutoInstall スクリプトツールの使用 この節では、インストール時のプロンプトやユーザーのアクションを表すために使用
する、特定のフォーマットを説明します。AutoInstall スクリプトを実行する前に、こ
こで説明する表記方法を理解しておいてください。
• 表示されるテキストとスクリプトのテキストは、斜体で表記します。
• プロンプトに対してユーザーが入力する部分は、太字で表記します。
• 垂直に並んだ 3 つの点 は、本書の紙面の都合によって出力が省略されているこ
とを表します。
• Enter キーは、標準記号↵で表します。
• AutoInstall スクリプトの実行中に、一部の機能を実行するために別の TACL セッ
ションが必要になることがあります。次に示すように、枠で囲まれたテキストは、
必要なコマンドを実行する別の TACL セッションを表します。
TACL>
例: FUP PURGE $MYVOL.P46DSDST.* !
TACL>
-または-
スクリプトのプロンプトには、デフォルト値が表示されます。使用されるデフォルト
ボリュームは、スクリプトを実行しているボリュームです。デフォルトサブボリュー
ムは、製品を表す有効な名前がスクリプトによって指定されています。
FUP RENAME $MYVOL.P46DSDST.*, $MYVOL.O46DSDST.*
スクリプトのプロンプトには、小なり記号と大なり記号 <>で囲まれたデフォルト値
が表示されます。何も入力せずに Enter ( ↵ )を押すと、AutoInstall スクリプトは、表
示されているデフォルト値を使用します。
Enter XTR volume <$DAT90>? ↵
例:
上記の例では、デフォルトの XTR ボリュームである$DAT90 を受け入れています。
入力された値が有効でない場合は、スクリプトによって画面にエラーが表示されます。
その場合には、有効な値を入力し直すことができます。
Enter XTR volume <$DAT90>?Zmywrk 例:
Invalid volume entry, try again Invalid response
任意のプロンプトで Ctrl+Y を押すことで、スクリプトを終了できます。スクリプト
を停止すると、インストールまたはアップグレードが途中で終了することになります。
IWIZARD プログラムを再実行することで、スクリプトを再び開始できます。前回停
止したところから再開が試行されます。
XYGATE Merged Audit®リファレンスマニュアル 第 1 章 XMA のインストール
XYPRO Technology Corporation 7 Proprietary and Confidential
Enter XMA volume <$VTOI>?EOF!
例:
$VTOI ZIMYXMA 6>
1.2.3 AutoInstall スクリプトの実行を開始する前に この AutoInstall スクリプトを実行する前に、作業を進める準備とこの節の先頭に記載
されている表の構成値の見直しが完了しており、「AutoInstall スクリプトツールの使
用」に関する説明をよく読んだことを確認してください。
1. 分散サブボリューム(DSV)の場所を確認します。このサブボリュームのデフォルト
名は ZXYPROMA で、SUT からサーバーに"Z"タイプのファイルがコピーされるデ
ィスク上になります。
AutoInstall スクリプトを DSV から実行しないでください。SUT からの OS のイン
ストールのたびに DSV が置き換えられるためです。新しいインストールロケーシ
ョンのサブボリューム名を決め、そのロケーションを現行ボリュームに設定しま
す。
TACL> VOLUME [$NEWVOL].IXYPROMA
構文:
TACL> VOLUME $MYVOL.IXYPROMA 例:
2. DSV を新しいインストールのステージングロケーションに複製します。
$MYVOL IXYPROMA 3> FUP DUP [$VOL].ZXYPROMA.*,[$VOL].[NEWSVOL].*,PURGE,SAVEALL
構文:
$MYVOL IXYPROMA 3>
例:
3. IP28F001 ライセンスファイルが$VOL.ZXYPROMA サブボリュームにあることを
確認します。
FUP DUP $DSCSCM.ZXYPROMA.*,$MYVOL.IXYPROMA.*,PURGE,SAVEALL
4. これで、AutoInstall スクリプトを起動する準備ができました。このスクリプトで
入力するよう要求される質問を見直し、それに対する答えをシステム管理者から
入手します。
5. ファイル IXYBIN を OBEY して実行形式ファイルを解凍することで、自動インス
トールスクリプトを実行できる状態にします。
$MYVOL IXYPROMA 4> OBEY IXYBIN
構文:
$MYVOL IXYPROMA 4> OBEY IXYBIN 例:
XYGATE Merged Audit®リファレンスマニュアル 第 1 章 XMA のインストール
XYPRO Technology Corporation 8 Proprietary and Confidential
DSV で配布されるファイルとプログラムが含まれる自己解凍 IXYBIN ファイルを
解凍することで、インストールを開始します。次に示す例で垂直に並んだ 3 つの
点は、本書の紙面の都合によって出力が省略されていることを表します。 #FRAME #PUSH #INFORMAT #SET #INFORMAT TACL
Copyright XYPRO TECHNOLOGY CORPORATION UNPAK'ing SELF EXTRACTING OBEY FILE ...
1.2.4 AutoInstall スクリプトの実行
UNPAK Complete.RUN IWIZARD to install.
インストール作業で必要なライセンス付与の作業を別の TACL セッションで実行する
際に、SUPER.SUPER (または、SUPER.SUPER のエイリアス)へのアクセスが必要
になります。この要件については、AutoInstall スクリプトから通知され、本書にも記
載されています。
注: AutoInstall スクリプトは、ユーザーが特定のアクションの実行を要求されたた
めに別の TACL セッションを開始すると、プロンプトを表示した状態で待機し
ます。このプロンプトに応答すると、そのアクションの後のスクリプトの処理
が続行されます。ただし、ユーザーが AutoInstall スクリプトを何らかの理由で
停止する場合は、下記のように、RUN コマンドでリスタートする必要がありま
す。そうすることで、停止したところからインストールが継続されます。
IWIZARD スクリプトを開始します。
$MYVOL IXYPROMA 5> RUN IWIZARD 例:
Initializing config file ...
Done initializing config file.
Warning:Access to SUPER.SUPER (or an alias to SUPER.SUPER) may be required to complete the installation of each XYGATE product.
During the installation, if the need for SUPER.SUPER arises, the installation will be paused and the user will be asked to issue specific commands from another TACL prompt while logged on as SUPER.SUPER (or an alias to SUPER.SUPER), after which the installation can continue.
Are you ready to continue ?Y
If these commands cannot be issued by SUPER.SUPER (or an alias to SUPER.SUPER) at the time of the initial installation, the user has the option to stop the installation.The next time the user runs the IWIZARD, the installation process will continue from the point where it was stopped.
AutoInstallスクリプトは、インストール済みのXMA環境を検索し、見つかった環境を
次のように表示します。このスクリプトをこれらの環境のいずれかをアップグレード
XYGATE Merged Audit®リファレンスマニュアル 第 1 章 XMA のインストール
XYPRO Technology Corporation 9 Proprietary and Confidential
するために実行する場合は、第 1.4.1 節「AutoInstallアップグレードスクリプトの実
行 」( 17 ページ)を参照してください。 Establishing product locations ... Discovering XMA ($*.*) ...
Discovery complete.
SEL LOCATION VERSION OWNER AVAILABILITY --- ----------------- ------- ----------------- ------------ 1) $SYSTEM.XYGATEMA 1.70 SUPER.SUPER Not Available
2) $DATA1.XYGATEMA 1.54 XMA.OWNER Not Available
5) $ARC.XYGATEMA 1.54 XYPRO.HARRIET Not Available P) Prompt for new location Available
Enter available selection:
次のいずれかの条件が当てはまる場合、今回が新規インストールとなります。
• 該当する環境が見つからない、または、
• 利用可能な該当する環境が見つからない、または、
• 新しい環境をインストールする必要がある
既存の環境が見つかった場合は、P
Enter available selection:P
オプションを選択して新しい環境をインストール
します。
表 1の値を参考にして、ボリューム名を入力するか、プロンプトに表示されるデフォ
ルトボリュームを受け入れます。 Enter XMA volume <$MYVOL>? ↵
次にサブボリューム名をプロンプトに入力します。XYGATEMA や XMAPROD という
ような名前を XMA サブボリュームに使用すると、区別しやすくなります。 Enter XMA subvol?<XYGATEXM> ? ↵
AutoInstall スクリプトは、インストール済みの XTR 環境を検索し、見つかった環境を
次のように表示します。 -------------------------------------------------------------------------------
The XYGATE Transaction Router (XTR) is used to provide communication between XYGATE GUI products and their HP NonStop server counterparts.The transaction router provides the connection between the PC and the NonStop host via a LISTNER.
One installation of XTR can be utilized by all the XYGATE GUI products, so you only need to configure one port on each host even if you are using more than one XYGATE GUI product.
Discovering XTR ($*.*) ...
Discovery complete.
SEL LOCATION VERSION OWNER AVAILABILITY
XYGATE Merged Audit®リファレンスマニュアル 第 1 章 XMA のインストール
XYPRO Technology Corporation 10 Proprietary and Confidential
--- ----------------- ------- --------------- ------------ 1) $SYSTEM.TR152 1.52 QA.JOE Not Available 2) $SYSTEM.XYGATETR 1.53 SUPER.SUPER Not Available
3) $DATA1.XYGATETR 1.53 XMA.OWNER Not Available
5) $DATAA.XYGATETR 1.52 XYPRO.TRACY Not Available
次のいずれかの条件が当てはまる場合、今回が新規インストールになります。
P) Prompt for new location Available
• 該当する環境が見つからない、または、
• 利用可能な該当する環境が見つからない、または、
• 新しい環境をインストールする必要がある
既存の環境が見つかった場合は、P
Enter available selection:
オプションを選択して新しい環境をインストール
します。
P
表 1
Enter XTR volume <$MYVOL>? ↵
の値を参考にして、ボリューム名を入力するか、プロンプトに表示されるデフォ
ルトボリュームを受け入れます。
次に、XTR サブボリューム名をプロンプトに入力します。XYGATETR や XTRPRODというような名前を XTR サブボリュームに使用すると、このサブボリュームを区別
しやすくなります。
Enter XTR subvol <XYGATETR> ?
Product locations established. Performing verifications ...
AutoInstall スクリプトによって、選択された場所が検証されます。古いインストール
ステージングロケーションがある場合は、手動でパージする必要があります。
Verifications complete.
Files already exist in the location where the XTR product unpacks to:
$MYVOL.P46DSDST
You must purge the files on this subvol before continuing.
ここではまだ、プロンプトに応答を入力しないでください。
Are you ready to continue <Y/N>?
上記のプロンプトは、表示される場合とされない場合があります。表示された場合は、
ここで、P46DSDSTサブボリュームをパージするか、名前を変更する必要があります
別の TACL セッションを起動し、次の例に示すように、パージまたは名前の変更を実
行します。
。
XYGATE Merged Audit®リファレンスマニュアル 第 1 章 XMA のインストール
XYPRO Technology Corporation 11 Proprietary and Confidential
TACL>
例: FUP PURGE $MYVOL.P46DSDST.* !
TACL>
-または-
パージまたは名前の変更が完了したら、プロンプトに「Y」を入力して続行します。
FUP RENAME $MYVOL.P46DSDST.*, $MYVOL.O46DSDST.*
Are you ready to continue <Y/N>?Y
今回が新規インストールである場合は、SQL データベースの場所を指定するよう要求
されます。この SQL データベースは、TMF オーディット対象ボリュームに置く必要
があります。
Enter XMA database TMF Audited volume <$MYVOL>? ↵ Enter XMA database subvol <XMADAT>? ↵
Unpaking products: Unpaking XTRBIN ... Unpak of XTRBIN complete. Unpaking products complete. Installing products: Verifying the system catalog can be written to ... Verified the system catalog can be written to.
Pathway 環境の 4 文字以下の名前を指定します。デフォルトは、$XMA または$XMA#です。
Installing XMA from $MYVOL.IXYPROMA...
What process name do you want for the Pathmon <$XMA>? ↵
Customizing XMA ... Customization of XMA complete. Install of XMA complete. Installing XTR from $MYVOL.P46DSDST ...
Customizing XTR ...
Only <your userid> and SUPER.SUPER will be authorized to use XYGATE GUI programs.You can optionally authorize additional users and aliases by entering them at the next two prompts.
今回が新規インストールである場合は、この環境にアクセスできる追加のユーザー/エイリアス(最大 90 文字)を入力するよう要求されます。追加するユーザーがあれば、
AutoInstall スクリプトによってこの環境に対するアクセスリストに追加されます。
Pressing enter without providing additional users or aliases means no additional users or alias will be authorized.
Enter user id's, separated by spaces <>?XYPRO.JAMES QA.DENNIS Enter aliases, separated by spaces <>? ↵
今回が新規インストールである場合は、ポート番号を入力するよう要求されます。ポ
ート番号によって、TCP/IP 通信プログラムを使用して PC/GUI 製品からアクセスでき
るようにセットアップできるようになります。ポート番号は、1025~32000 である必
XYGATE Merged Audit®リファレンスマニュアル 第 1 章 XMA のインストール
XYPRO Technology Corporation 12 Proprietary and Confidential
要があります。ポート番号を指定したら、その番号を必ずメモしておいてください。
後で GUI 製品から接続する場合に、この番号が必要になります。
What port do you want to use to communicate with GUI products <1120>? 11211
Customization of XTR complete. Install of XTR complete.
Install of products complete.
Newly installed XYGATE products have not been licensed via SUPER.SUPER.
Please go to another TACL session, logon as SUPER.SUPER or an alias of SUPER.SUPER, and
RUN $MYVOL.IXYPROMA.LICENSE
You may continue when this has been done.
If you decide not to continue, the next time the wizard is run, it will continue here, where you last stopped.
ここではまだ、プロンプトに応答を入力しないでください。
Are you ready to continue ?
SUPER ログオンを使用して別の TACL セッションを起動し、次の例に示すように、
必要なライセンス付与を実行します。
TACL>
例: RUN $MYVOL.IXYPROMA.LICENSE
Licensing $MYVOL.XYGATEMA.XYGATESR Licensing $MYVOL.XYGATEMA.ADOPT
TACL>
Licensing $MYVOL.XYGATEMA.USERINFO
Logoff as the SUPER.SUPER or SUPER alias
ライセンス付与が完了したら、「Y」を入力して続行します。
.
Are you ready to continue ?Y
Establishing product locations ... Product locations established. Performing verifications ... Verifications complete. Installing products: Install of products complete. Performing products syntax check ... Products syntax check complete. Starting XMA ... XMA started. Verifying XMA is listed in XTR TRACL file ...
Done verifying XMA is listed in XTR TRACL file.
XYGATE GUIs use a LISTNER process to connect to the host.
You may choose to have a XYGATE LISTNER started now.
XYGATE Merged Audit®リファレンスマニュアル 第 1 章 XMA のインストール
XYPRO Technology Corporation 13 Proprietary and Confidential
WARNING:The XYGATE LISTNER is intended for testing your XYGATE/TR configuration.This XYGATE LISTNER process may disappear.To assign a permanent LISTNER, add the following to $SYSTEM.ZTCPIP.PORTCONF and restart the HP LISTNER.
GUI/PC モジュールによるポート接続は、次の情報を使用して、システムの
PORTCONF ファイルに永続的にセットアップできます。ポートがこの方法で定義さ
れると、システムのコールドロードや TCP/IP の再起動のたびに再起動されます。
WARNING:The start listner macro is intended for testing your XYGATE/TR configuration.For production usage, you must use the HP Listner by making entries in your PORTCONF.
11211 $MYVOL.XYGATETR.XYGATETR -SERVER
今回が新規インストールである場合は、PC/GUI 製品からの接続のための LISTNER プ
ロセスを起動するよう要求されます。LISTNER の起動が XMA 製品のサーバーの部分
にとって必須ではありません。任意の段階で起動できます。現時点で起動すると、ス
クリプトで前に入力したポート番号に結び付けられます。
Would you like to start the XYGATE LISTNER now ?
このスクリプトや PORTCONF によって LISTNER がセットアップされていないと、
GUI/PC モジュールが接続できなくなります。LISTNER の詳細は、『GUI Product User Guide』を参照してください。
Y
XYLISTEN has bound to port : 11211 Listner process $X491 started. Taking inventory ... Taking inventory complete.
最後に、ステータス画面に現行の XMA 環境が表示されます。
Validating the installation ...
XMA is currently started (Pathmon process $XMA).
Product Distribution Version Installed Version -------- -------------------- ----------------- XMA 1.71 1.71
XTR 1.53 1.53
Listner is running and listening on port 11211.
----------------------------------------------------------------- Validation finished.If no errors were reported, and the information shown was as expected, the installation was validated.
これで、XMA ファイルの AutoInstall インストールは終了です。AutoInstall スクリプト
によって、SQL 環境が作成されました。
-----------------------------------------------------------------
XYGATE Merged Audit®リファレンスマニュアル 第 1 章 XMA のインストール
XYPRO Technology Corporation 14 Proprietary and Confidential
1.3 SIEM Log Adapter のインストール XYGATE Merged Audit 製品は、インストール可能な 1 つ以上のアダプターとともに
出荷されており、アダプターによって、収集されたオーディットデータが特定の IP ア
ドレスのデバイスに"syslog"されます。それぞれのアダプターが、特定の SIEM デバ
イスのメッセージにフォーマットされるようにエンコードされています。追加アダプ
ターも利用できます。
注: アプライアンスの構成に関する詳しい手順は、RSA enVisionのマニュアルおよ
び リリースノート 20110503-142122
1.3.1 ArcSight アダプター
を参照してください。
ArcSight SIEMでコードが正しく構文解析されていることを確認する場合は、
ArcSight®
バージョン 1.95 の段階で、XMA は IPV6 アドレスに対応しています。ArcSight ログ
アダプターがインストールされていて、XMA をアップグレードする場合は、以下のイ
ンストール手順に従って、ログアダプターもアップグレードする必要があります。
の担当者にお問い合わせください。
1.3.2 アダプターのインストール アダプターのインストールに使用する以下の情報を入手する必要があります。
プロンプト 説明
XYGATE Merged Audit 製品をインストールするロ
ケーションに複数のアダプターがある場合は、イ
ンストールするアダプターを選択するよう要求さ
れます。インストールできるアダプターが 1 つだ
けであれば、そのアダプターが自動的に選択さ
れ、それ以外の場合は、利用可能なアダプターの
みが自動的に選択されます。
Selection
XYGATE Merged Audit が SIEM デバイス用の形式
の syslog メッセージを渡す SIEM デバイスの IP ア
ドレスです。
Enter SIEM Device IP address <xxx.xxx.xxx.xxx>?
SIEMデバイスのIPアドレスにアクセスするための
TCP/IPプロセスの名前です。値を入力せず
に
Enter TCP/IP process name <$ZTCP2>?
Enterを押すと、大なり小なり記号< >の間にデ
フォルト値が表示されます。このデフォルト値
は、現在のTACLプロセスのdefine =TCPIP^PROCESS^NAMEの値か、defineが存在
しない場合は、インストール手順を実行する
TELSERVプロセスの転送プロセスです。
XYGATE Merged Audit®リファレンスマニュアル 第 1 章 XMA のインストール
XYPRO Technology Corporation 15 Proprietary and Confidential
プロンプト 説明
XYGATE Merged Audit のインストール環境にリモ
ートノードが存在する場合は、各リモートノード
で SIEM デバイスの IP アドレスにアクセスできる
ようにするために、TCP/IP プロセスの名前を入力
する必要があります。このデフォルト値は、現在
の TACL プロセスの define =TCPIP^PROCESS^NAME の値か、define が存在
しない場合は、インストール手順を実行する
TELSERV プロセスの転送プロセスです。
Enter TCP/IP process name for remote node \XYS7000 <$ZTC0>?
インストールするアダプターを XYGATE Merged Audit 製品ソフトウェアとは別に入
手した場合は、そのアダプターに付属しているインストール手順に従ってください。
XYGATE Merged Audit 製品に付属しているアダプターをインストールする場合は、
XYGATE Merged Audit 製品をインストールした場所にボリュームを設定し、TACL か
ら LAF を実行します。サンプルダイアログを下記に示します。
$SYSTEM.XYGATEMA 1>
RUN LAF
XYGATEMA Adapter Installer version 1.14. Checking owner, version, and installed filter ... Checks complete. Sel File Description --- -------- ------------------------------------------------------------------ 1 LAFARC ArcSight Log Adapter Filters - Version 1.02 Selection ?1 Enter TCP/IP process name <$ZTCP2>? ↵
Enter SIEM Device IP address <xxx.xxx.xxx.xxx>?10.1.1.x
Pinging 10.1.1.x using $ZTCP2 ... Ping of 10.1.1.x succeeded.
XYGATE Merged Audit のインストール環境にリモートノードが含まれる場合は、リ
モートノードごとに次のダイアログが表示されます。
Enter TCP/IP process name for remote node \XYS7000 <$ZTC0>?Pinging 10.1.1.x using \XYS7000.$ZTCP2 ...
$ZTCP2
Ping of 10.1.1.x using \XYS7000.$ZTCP2 succeeded.
LAF アダプターのインストーラーによって、FILTERS ファイルのコピーにアダプター
がインストールされます。
Building filter.This may take several minutes ...
作成される FILTERS のコピーで構文チェックが実行されます。エラーがなければ、
元の FILTERS ファイルの名前が変更されてバックアップになり、コピーの名前が変
更されて新しい FILTERS ファイルになります。エラーがある場合は、LOGFILT を見
直してエラーを特定するよう指示が出ます。
Filter built. To back out changes, replace FILTERS with OLDFLT01.
XYGATE Merged Audit®リファレンスマニュアル 第 1 章 XMA のインストール
XYPRO Technology Corporation 16 Proprietary and Confidential
$SYSTEM.XYGATEMA 2>
1.4 AutoInstall を使用した XMA または XTR のアップグレード 本節では、AutoInstall スクリプトを使用したアップグレード手順を説明します。
重要: 1.51.95 より前のバージョンからXMAをアップグレードする場合は、第 節「ア
ップグレードに関する留意事項」(22 ページ~)の追加の手順についてもお読みくださ
い。
1. 分散サブボリューム(DSV)の場所を確認します。このサブボリュームのデフォルト
名は ZXYPROMA であり、SUT からサーバーに"Z"タイプのファイルがコピーされ
るディスク上になります。
AutoInstall スクリプトを DSV から実行しないでください。その理由は、SUT のオ
ペレーティングシステムの各インストールで DSV が置き換えられるためです。
XMA インストールステージングロケーションを確認するか、新しいステージング
ロケーションを決め、そこをデフォルトボリュームに設定します。
TACL> VOLUME [$NEWVOL].IXYPROMA
構文:
TACL>
例:
VOLUME $MYVOL.IXYPROMA
2. 古いインストールステージングサブボリュームをパージします。
最初のインストールステージングサブボリュームロケーションが分かっている場
合は、すべてのファイルをパージすることで古いインストールステージングファ
イルを削除します。新しいステージングロケーションを選択した場合は、この手
順を飛ばしてください。
$MYVOL IXYPROMA 3>
構文: FUP PURGE [$VOL].[NEWSVOL].* !
$MYVOL IXYPROMA 3>
例:
3. DSV を新しいロケーションに複製します。
FUP PURGE $MYVOL.IXYPROMA.* !
最初のインストールステージングサブボリュームロケーションが分かっている場
合は、FUP の PURGE オプションを使用して上書きします。そうすることで、イ
ンストール済みの環境が確実に最新の製品へと正しくアップグレードされます。
XYGATE Merged Audit®リファレンスマニュアル 第 1 章 XMA のインストール
XYPRO Technology Corporation 17 Proprietary and Confidential
$MYVOL IXYPROMA 3> FUP DUP [$VOL].ZXYPROMA.*,[$VOL].[NEWSVOL].*,PURGE,SAVEALL
構文:
$MYVOL IXYPROMA 3>
例:
4. これで、自動インストールスクリプトを開始する準備ができました。このスクリ
プトで入力するよう要求される質問を見直し、それに対する答えをシステム管理
者から入手します。
FUP DUP $DSCSCM.ZXYPROMA.*,$MYVOL.IXYPROMA.*,PURGE,SAVEALL
5. ファイル IXYBIN を OBEY して実行形式ファイルを解凍することで、自動インス
トールスクリプトのファイルを利用できる状態にします。
$MYVOL IXYPROMA 4> OBEY IXYBIN
構文:
$MYVOL IXYPROMA 4>
例:
OBEY IXYBIN
#FRAME #PUSH #INFORMAT #SET #INFORMAT TACL
Copyright XYPRO TECHNOLOGY CORPORATION
1.4.1 AutoInstall アップグレードスクリプトの実行
UNPAK'ing SELF EXTRACTING OBEY FILE ...
アップグレード作業で必要なライセンス付与の作業を別の TACL セッションで実行す
る際に、SUPER.SUPER (または、SUPER.SUPER のエイリアス)へのアクセスが必
要になります。この要件については、AutoInstall スクリプトから通知され、この手順
にも記載されています。
注: AutoInstall スクリプトは、ユーザーが特定のアクションの実行を要求されたた
めに別の TACL セッションを開始すると、プロンプトを表示した状態で待機し
ます。このプロンプトに応答すると、そのアクションの後のスクリプトの処理
が続行されます。ただし、ユーザーが AutoInstall スクリプトを何らかの理由で
停止する場合は、下記のように、RUN コマンドでリスタートする必要がありま
す。そうすることで、停止したところからアップグレードが継続されます。
IWIZARD スクリプトを開始します。
$MYVOL IXYPROMA 5>
例: RUN IWIZARD
Initializing config file ...
Done initializing config file.
Warning: Access to SUPER.SUPER (or an alias to SUPER.SUPER) may be required to complete the installation of each XYGATE product.
During the installation, if the need for SUPER.SUPER arises, the installation will be paused and the user will be asked to issue specific
XYGATE Merged Audit®リファレンスマニュアル 第 1 章 XMA のインストール
XYPRO Technology Corporation 18 Proprietary and Confidential
commands from another TACL prompt while logged on as SUPER.SUPER (or an alias to SUPER.SUPER), after which the installation can continue.
Are you ready to continue ?
If these commands cannot be issued by SUPER.SUPER (or an alias to SUPER.SUPER) at the time of the initial installation, the user has the option to stop the installation.The next time the user runs the IWIZARD, the installation process will continue from the point where it was stopped.
AutoInstall スクリプトは、インストール済みの XMA 環境を検索し、見つかった環境
を次のように表示します。
Y
Establishing product locations ... Discovering XMA ($*.*) ... Discovery complete. SEL LOCATION VERSION OWNER AVAILABILITY --- ----------------- ------- ----------------- ------------ 1) $SYSTEM.XYGATEMA 1.70 SUPER.SUPER Not Available 2) $DATA1.XYGATEMA 1.54 XMA.OWNER Not Available
3) $MYVOL.XYGATEMA 1.54 MY.OWNER Available
5) $ARC.XYGATEMA 1.54 XYPRO.HARRIET Not Available
今回がアップグレードである場合は、アップグレードする既存の環境の番号(SEL 見
出しの下)を選択します。使用しているユーザーID がオーナーとなる環境のみをアッ
プグレードできます。それ以外の環境は、参考として表示されます。
P) Prompt for new location Available
Enter available selection: 3
Updating config ...
AutoInstall スクリプトは、インストール済みの XTR 環境を検索し、見つかった環境を
次のように表示します。
Config updated.
-------------------------------------------------------------------------------
The XYGATE Transaction Router (XTR) is used to provide communication between XYGATE GUI products and their HP NonStop server counterparts.The transaction router provides the connection between the PC and the NonStop host via a LISTNER.
One installation of XTR can be utilized by all the XYGATE GUI products, so you only need to configure one port on each host even if you are using more than one XYGATE GUI product.
Discovering XTR ($*.*) ...
Discovery complete.
SEL LOCATION VERSION OWNER AVAILABILITY --- ----------------- ------- --------------- ------------ 1) $SYSTEM.TR152 1.52 QA.JOE Not Available 2) $SYSTEM.XYGATETR 1.53 SUPER.SUPER Not Available 3) $DATA1.XYGATETR 1.53 XMA.OWNER Not Available
4) $MYVOL.XYGATETR 1.53 MY.OWNER Available
XYGATE Merged Audit®リファレンスマニュアル 第 1 章 XMA のインストール
XYPRO Technology Corporation 19 Proprietary and Confidential
5) $DATAA.XYGATETR 1.52 XYPRO.TRACY Not Available
今回がアップグレードである場合は、アップグレードする既存の環境の番号を選択し
ます。使用しているユーザーID がオーナーとなる環境のみをアップグレードできます。
それ以外の環境は、参考として表示されます。
P) Prompt for new location Available
Enter available selection: 4
Updating config ...
Config updated.
Product locations established.
インストール済みの製品のバージョンがスクリプトによってインストールされるバー
ジョン以降である場合には、その製品のアップグレードはスキップされます。
Performing verifications ...
Available version of XTR is not higher than the installed version. XTR installation skipped. Available version of XMA is not higher than the installed version. XMA installation skipped. Verifying XMA is listed in XTR TRACL file ...
インストールしたソフトウェアがすでに古いバージョンになっていると、スクリプト
は、製品のアップグレードを試行します。
Done verifying XMA is listed in XTR TRACL file.
AutoInstall スクリプトによって、選択された場所が検証されます。古いインストール
ステージングロケーションがある場合は、手動でパージする必要があります。
Files already exist in the location where the XTR product unpacks to:
$MYVOL.P46DSDST
You must purge the files on this subvol before continuing.
ここではまだ、プロンプトに応答を入力しないでください。
Are you ready to continue <Y/N>?
上記のプロンプトは、表示される場合とされない場合があります。表示された場合は、
ここで、P46DSDSTサブボリュームをパージするか、名前を変更する必要があります
別の TACL セッションを起動し、次の例に示すように、パージまたは名前の変更を実
行します。
。
TACL> FUP PURGE $MYVOL.P46DSDST.* ! 例:
TACL>
-または-
パージまたは名前の変更が完了したら、プロンプトに「Y」を入力して続行します。
FUP RENAME $MYVOL.P46DSDST.*, $MYVOL.O46DSDST.*
XYGATE Merged Audit®リファレンスマニュアル 第 1 章 XMA のインストール
XYPRO Technology Corporation 20 Proprietary and Confidential
Are you ready to continue <Y/N>?Y
Unpaking products: Unpaking XTRBIN ... Unpak of XTRBIN complete. Unpaking products complete. Installing products: Verifying the system catalog can be written to ...
インストール済みのソフトウェアが現行バージョンより古いと、スクリプトからそれ
を通知するメッセージが表示され、アップグレードが実行されます。XTR ソフトウェ
アのアップグレードでは、この機能を実行するために、いずれかのインストールプロ
グラムのライセンスが必要です。
Verified the system catalog can be written to.
Comparing installed version of XTR to available version ... A higher version of XTR was found.
XTR will be upgraded.
$MYVOL.P46DSDST.IADOPTN4 is not licensed.
Cannot continue until these files are licensed by SUPER.SUPER. Please go to another TACL session, logon as SUPER.SUPER, and license these
files.You may continue when this has been done.
If you decide not to continue, the next time the wizard is run, the wizard
will continue where you last stopped.
To license these files, enter the following commands:
FUP LICENSE $MYVOL.P46DSDST.IADOPTN4
ここではまだ、プロンプトに応答を入力しないでください。
Are you ready to continue ?
SUPER ログオンを使用して別の TACL セッションを起動し、次の例に示すように、
必要なライセンス付与を実行します。
例:
TACL> TACL>
FUP LICENSE $MYVOL.P46DSDST.IADOPTN4
ライセンス付与が完了したら、「Y」を入力して続行します。
Logoff as the SUPER.SUPER or SUPER alias
Are you ready to continue ?Y
Establishing product locations ... Product locations established. Performing verifications ... Verifications complete. Installing products: Verifying the system catalog can be written to ... Verified the system catalog can be written to. Comparing installed version of XTR to available version ...
XYGATE Merged Audit®リファレンスマニュアル 第 1 章 XMA のインストール
XYPRO Technology Corporation 21 Proprietary and Confidential
A higher version of XTR was found. XTR will be upgraded. Installing XTR from $MYVOL.P46DSDST ... Install of XTR complete.
Install of products complete.
XTR has not been finished via SUPER.SUPER.
Please go to another TACL session, logon as SUPER.SUPER, and RUN $MYVOL.XYGATETR.XTR INSTALL
XTR_FINISH_INSTALL
You may continue when this has been done.
If you decide not to continue, the next time the wizard is run, it will
start here, where you last stopped.
ここではまだ、プロンプトに応答を入力しないでください。
Are you ready to continue ?
SUPER ログオンを使用して別の TACL セッションを起動し、次の例に示すように、
ライセンス付与を実行します。実際のライセンス付与の手順は、インストールあるい
はアップグレードする製品によって異なります。
SUPERログオンにより、XMAのみに対してライセンスを付与します。
TACL>
例:
TACL> RUN $MYVOL.XYGATEMA XMA INSTALL
Licensing $MYVOL.XYGATEMA.SRLIB
XMA_FINISH_INSTALL
TACL> Logoff as the SUPER.SUPER or SUPER alias
SUPERログオンにより、XTRのみに対してライセンスを付与します。
TACL>
例:
TACL> RUN $MYVOL.XYGATETR XTR INSTALL
Licensing $MYVOL.XYGATETR.ADOPT
XTR_FINISH_INSTALL
Licensing $MYVOL.XYGATETR.USERINFO
TACL>
または、次のマクロを使用します。
Logoff as the SUPER.SUPER or SUPER alias
SUPERログオンにより、XTRとXMAの両方にライセンスを付与します。
TACL>
例:
Licensing $MYVOL.XYGATEMA.SRLIB
RUN $MYVOL.IXYPROMA.LICENSE
Licensing $MYVOL.XYGATEMA.ADOPT
XYGATE Merged Audit®リファレンスマニュアル 第 1 章 XMA のインストール
XYPRO Technology Corporation 22 Proprietary and Confidential
Licensing $MYVOL.XYGATEMA.USERINFO
TACL>
ライセンス付与が完了したら、「Y」を入力して続行します。
Logoff as the SUPER.SUPER or SUPER alias
Are you ready to continue ?Y
最後に、ステータス画面に現行の XMA 環境が表示されます。
XMA is currently started (Pathmon process $XMA).
Product Distribution Version Installed Version -------- -------------------- ----------------- XMA 1.71 1.71
XTR 1.53 1.53
Listner is running and listening on port 11211.
----------------------------------------------------------------- Validation finished.If no errors were reported, and the information shown was as expected, the installation was validated.
1.5 アップグレードに関する留意事項
-----------------------------------------------------------------
バージョン 1.95 より前の XMA をアップグレードすると、インストールの
XMA_MANAGER の部分で、Audit Session テーブルが更新されます。IPV6 形式の長
いアドレスに対応するために、新しい IPADDRV46 という名前のカラムが AUDSESSテーブルに追加されます。以降は、すべての IP アドレスがこのカラムに格納されます。
アップグレード後は、古い IP アドレスの情報(アップグレード前の情報)を、XMA レ
ポートですぐには利用できなくなります。この情報を利用できるようにするために、
CNVRTIP という名前の変換プログラムが提供されます。
1.5.1 CNVRTIP を使用したデータベース変換 AUDSESS テーブルの長くなった IPV6 形式アドレスに対応するために、CNVRTIP 変
換プログラムが提供されています。このプログラムは、IPADDRESS カラムから
IPADDRV46 カラムにデータを移動します。初期インストールと、インストールの
XMA_MANAGER の部分の両方を実行して XMA インストールのアップグレードを完
了しないと、このプログラムを実行できません。
注: XMA Pathway MOVERが実行中であっても、CNVRTIPを実行できます。
RUN $<vol>.XYGATEMA.CNVRTIP /out $s.#cnvrt/
構文:
XYGATE Merged Audit®リファレンスマニュアル 第 1 章 XMA のインストール
XYPRO Technology Corporation 23 Proprietary and Confidential
カスタムのクリーンアップまたはアーカイブのパラメーター(オプション 17)がXMA_MANAGER の[Database Management Menu] (第 4.5 節(88 ページ)で構成されて
いると、CNVRTIP プログラムは、指定されたトランザクションサイズ、トランザク
ションタイムアウト、および CPU ビジーの値を使用します。構成されていない場合、
プログラムは次の値を使用します。
• Transaction Size (トランザクションサイズ): 500
• Transaction Timeout (トランザクションタイムアウト): 120
• CPU Busy Percent (CPU ビジー率): 30
データベースが大きい場合は、変換に時間がかかります。変換の結果は、指定したス
プーラーロケーションに出力され、XMADAT サブボリュームの ARCLOG テーブルに
記録されます。
注:
1.6 Auto Uninstall を使用した XMA または XTR のアンインストール
変換を実行すると、AUDSESSテーブルの各ローの長さが 46 バイト長くなりま
す。十分な領域が割り当てられていることを確認してください。
AutoUninstall スクリプトは、XMA および XTR のサーバープログラム、ファイル、お
よび SQL テーブルを簡単に削除できるように設計されています。IWIZARD を実行し
て XMA 環境や XTR 環境をインストールあるいはアップグレードし、その XMA 環境
や XTR 環境を完全に削除する場合のみ、このスクリプトを使用してください。
1.6.1 AutoUninstall スクリプトの準備 AutoUninstall スクリプトは、次の手順に従って、実行中のすべてのモジュールをアン
インストールしようとします。
• XYGATEMA によってインストールされた製品ソフトウェアをアンインストールす
る。
• XYGATETR によってインストールされた製品ソフトウェアをアンインストールす
る。
• XYGATEMA SQL カタログと関連する SQL テーブルを削除する。
• XYGATEMA Pathway 環境を停止する。
• XYGATEMA Pathway 環境を削除する。
• GUI 製品から XYGATETR への接続のための LISTNER プロセスを停止する。
1. XMA 製品の AutoInstall スクリプトが実行されたインストールサブボリュームに移
動します。
TACL> VOLUME [$NEWVOL].IXYPROMA
構文:
XYGATE Merged Audit®リファレンスマニュアル 第 1 章 XMA のインストール
XYPRO Technology Corporation 24 Proprietary and Confidential
TACL>
例:
2. UNIWIZ スクリプトが存在しない場合は、次のコマンドを使用してソフトウェアを
解凍し、スクリプトを利用できるようにします。
VOLUME $MYVOL.IXYPROMA
TACL> OBEY IXYBIN
3. UNIWIZ スクリプトを、パラメーターY を指定して開始します。
TACL> RUN UNIWIZ Y 例:
UNIWIZ スクリプトがアンインストールを実行するためには、パラメーター「Y」を指定する必要があります。このパラメーターは、このツールが誤って使用される
のを防止するためのものです。スクリプトによって、前回の IWIZARD 自動インス
トールツールの実行時に XTR および XMA のインストールに指定されたロケーシ
ョンが表示されます。それ以外の場合は、アンインストールするインストールロ
ケーションを入力するよう要求されます。
重要: 表示されるロケーションのすべてのファイルがパージされます。この処理
が正しいのかどうかを確認するプロンプトが表示されるので、正しいことを確認
してから続行してください。この確認を怠ると、削除するつもりのなかった他の
製品インストール環境に属しているファイルが誤って削除されてしまう可能性が
あります。
Examining environment ...
Done examining environment.
XYGATE XTR and XMA Products Uninstall WARNING: This will remove ALL files from the following locations, even if the
product was not recently installed or upgraded:
XTR Installed files on \X.$MYVOL.XYGATETR XTR Unpak'd files on \X.$MYVOL.P46DSDST XMA Installed files on \X.$MYVOL.XYGATEMA XMA Tables on \X.$MYVOL.XMADAT XMA Catalog on \X.$MYVOL.XMACAT
Are you ready to continue <Y/N>?
XMA Pathway files on \X.$MYVOL.XMAPW
これらの XMA 環境および XTR 環境をアンインストールする場合は、「Y」を入力し
て続行します。このアンインストールプロセスは、完了するのに数分かかること
があります。 Are you ready to continue <Y/N>?Y
Working ... Detaching segment ... Removing XTR Installed files on \X.$MYVOL.XYGATETR ...
XYGATE Merged Audit®リファレンスマニュアル 第 1 章 XMA のインストール
XYPRO Technology Corporation 25 Proprietary and Confidential
Removing XTR Unpak'd files on \X.$MYVOL.P46DSDST ... Removing XMA Installed files on \X.$MYVOL.XYGATEMA ... Removing XMA Tables on \X.$MYVOL.XMADAT ... Removing XMA Catalog on \X.$MYVOL.XMACAT ... Removing XMA Pathway files on \X.$MYVOL.XMAPW ... Checking results ...
1.6.2 GUI/PC 製品のインストール
Done.
XMA を配布された HP SUT からインストールする場合は、分散サブボリューム(DSV)に、オプションでインストールできる GUI/PC 製品のバイナリファイルが含まれてい
ます。XMA 製品に含まれているこれらの GUI/PC 製品は、次のタスクを実行します。
• SQL オーディットリポジトリの既定フォーマットやカスタムフォーマットのレポ
ート作成(IXRGEXE)
• XMA 環境の構成変更(IXCFEXE)
• オーディット対象情報のアラートや監視の GUI 表示(IXEMEXE)
• GUI 情報サポートツール(IXGIEXE)
• XYGATE 製品のオンラインヘルプ情報の表示(IXOHEXE)
注: 各製品については『XYGATE User Guide
1. インストールまたはアップグレードの実施に使用されたインストールステージン
グロケーションを調べ、そこをデフォルトボリュームに設定します。
』を、PCへのインストールについて
は本章の先頭に記載されている留意事項と手順を参照してください。
TACL> VOLUME [$NEWVOL].IXYPROMA
構文:
TACL>
例:
2. 下記に示す各ファイルを、任意のバイナリファイル転送方法(たとえば、FTP や
IXF)を使用して、次のステージングサブボリュームから PC に BINARY オプショ
ンを指定してアップロードします。サーバーファイルの名前を、拡張子.EXE を付
けて変更します。これらのバイナリファイルは、PC 上の任意のフォルダに保存で
きます。
VOLUME $MYVOL.IXYPROMA
$MYVOL.IXYPROMA.IXCFEXE -> IXCF.EXE $MYVOL.IXYPROMA.IXEMEXE -> IXEM.EXE $MYVOL.IXYPROMA.IXGIEXE -> IXGI.EXE $MYVOL.IXYPROMA.IXRGEXE -> IXRG.EXE $MYVOL.IXYPROMA.IXOHEXE -> IXOH.EXE
XYGATE Merged Audit®リファレンスマニュアル 第 1 章 XMA のインストール
XYPRO Technology Corporation 26 Proprietary and Confidential
3. 各.EXE を実行すると、ソフトウェアが PC 上にインストールされます。GUI での
インストールの実行の詳しい手順については、『XYGATE User’s Guide and Reference Manual』を参照してください(このマニュアルを始めとする XYPRO の
マニュアルを入手する方法については、本マニュアルの「その他の XYPRO リフ
ァレンスマニュアル」の節を参照してください)。
1.7 XYGATE Report Manager (XRM)を使用してレポートを生成する XYGATE Report Manager (XRM)を使用して、PC 上で XMA オーディットレポートを
生成できます。GUI には、次の 2 つのオプションがあります。
• ノードを特定したホストベースのレポート(HP の SQL ライセンスがないノードで
は利用できません)。これらのレポートは、バッチモードまたはアドホックモード
で実行でき、PC で表示します。
• Audit PRO PC ベースレポート。これらのレポートは、PC からアドホックでのみ
実行でき、PC で表示します。
注:
XRMレポートの作成時には背後でSQLCIクエリが実行されるため、レポートが
スプーラーに出力されないことがあります。これは、クエリに一致するデータ
がなければ出力を生成しないというSQLCIの動作によるものです。
XYPRO Technology Corporation 27 Proprietary and Confidential
第2章 フィルターと FILTERS ファイルの
構成
フィルターは、XMA の制御の単位です。フィルターは、次の 2 つの機能を実行します。
• XMA データベースに書き込むものを決定する。
• FILTER の選択基準に一致するイベントが発生した場合に、1 つ以上のアクション
を始動する。
注: 付録 D:に、多数のサンプルフィルターが記載されています。
フィルターは、XYGATEMA サブボリューム内の EDIT ファイルである FILTERS ファ
イル内に置かれます。XMA Pathway ごとに 1 つの FILTERS ファイルが存在します。
すべての MOVER サーバークラスが同じ FILTERS ファイルを共有します。
各 MOVER が FILTERS ファイルをメモリにロードし、読み取ったすべてのオーディ
ットイベントを、MOVER として指定されている各フィルターの選択基準と比較しま
す。
MOVER はいずれも、FILTERS ファイルが変更されているかどうかを定期的にチェッ
クします。変更されている場合は、各 MOVER が FILTERS ファイルをメモリに読み
込みます。各 MOVER は、FILTERS ファイルの新しいバージョンのロード時に、
CHECKSUM EMS メッセージを生成します。したがって、ユーザーは XMA を使用し
て、MOVER による FILTERS ファイルのロードを監視できます。
MOVERS は、XMA データベースに挿入するためのフォーマットにオーディットレコ
ードを変更してから、変更後のオーディットレコードを FILTERS ファイルと比較し
ます。こうすることで、FILTERS 内の Audit Detail テーブルと Audit Session テーブ
ルのカラムの内容に基づき、オーディットレコードを選択できるようになります。
注: FILTERS ファイル内での出現順にフィルターが処理されます。現行のレコード
にすべての基準が一致するフィルター定義が見つかると、検索を停止します。
そのため、あるイベントの出現によって複数のアクションが始動するようにす
るには、それらのアクションをすべて、1 つのフィルター定義に入れる必要が
あります。
2.1 FILTERS ファイルの編集方法 XYGATE Configuration Manager GUIを使用するか、ホスト上でXMA_EDIT_FILTERSマクロを使用することで、FILTERSファイルを編集できます。XMA_EDIT_FILTERS
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 28 Proprietary and Confidential
マクロの使用に関する詳しい手順については、付録 E11:(200 ページ)を参照してくだ
さい。
XYGATE Configuration Manager を使用した FILTERS ファイルの編集 デスクトップ上の XCF アイコンをクリックします。XYGATEMA サブボリューム内に
は、FILTERS ファイルが 5 つ保持されます。これらのファイルの命名規則は、
OLDFILTnn (nn は 1 ずつ加算)です。
Configuration Manager の使用に関する詳しい情報については、『XGATE Configuration and Report Manager User Manual』を参照してください(このマニュア
ルを始めとする XYPRO のマニュアルを入手する方法については、本マニュアルの
「その他の XYPRO リファレンスマニュアル」の節を参照してください)。
NonStop ホスト上の FILTERS ファイルの編集 FILTERS ファイルを変更する場合は必ず、XMA_EDIT_FILTERS マクロを使用してく
ださい。このマクロによって本番ファイルのコピーが作成され、このコピーをユーザ
ーが変更します。EDIT を終了すると、新しいファイルの構文チェックが実行され、
エラーが検出されなければ、この一時ファイルを本番へと移行するように要求されま
す。XYGATEMA サブボリューム内には、このファイルが 5 つ保持されます。これら
のファイルの命名規則は、OLDFILTnn (nn は加算される 2 桁の番号)です。
XMA_EDIT_FILTERS マクロによって EDIT に移行し、EDIT プロンプト(*)から XVS <行番号>と入力することで XVS に移行するか、T と入力することで TEDIT に移行する
こともできます。
注:
*l1/20
FILTERSファイルを編集する場合は、FILTERSファイルの 1 行目にバージョン
番号が記述されている必要があります。この行を削除しないでください。
1 VERSION 102 2 3 4 !*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+**+*+*+*+*+*+*+*=! 5 ! A T T E N T I O N =! 6 ! Starting from XMA 1.70 release, a more stripped =! 7 ! down filter file is created when first installed. =! 8 ! The IFILTERS will overlay the FILTERS file. =! 9 =! 10 ! The less stripped down IFILTSAM will overlay =! 11 ! the FILTSAMP file. =! 12 !*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+**+*+*+*+*+*+*+*=! 13 14 !===================================================================== 15 !Notes 16 ! 1. Information you need to customize has been enclosed 17 ! by < > (Such as \<NODE>, <VOL>, <SUBVOL> ) 18 19 ! 2. The exclamation point (!) is the comment character.If you 20 ! use the ! in an ALERTSTRING or Mail Subject, everything
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 29 Proprietary and Confidential
2.2 フィルターの構文 フィルターは、次の 3 つの部分で構成されます。
• MOVER 選択
• DATA 選択
• ACTION 選択
厳密な構文に従ってフィルターを記述する必要があります。 どのフィルターも FILTERDEFBEGIN キーワードで開始し、フィルター名もここに記
述します。どのフィルターも FILTERDEFEND キーワードで終了します。これら 2 つ
のキーワードの間に、MOVER、DATA、および ACTION 選択パラグラムが入ります。
FILTERDEFBEGIN $Sample-Filter
フィルターの構文:
STATUS INACTIVE <MOVER selection criteria paragraphs> <data selection criteria paragraphs> <action definition paragraphs> FILTERDEFEND
MOVER選択部は、MOVER_BEGINキーワードで開始し、MOVER_ENDキーワードで
終了します。これら 2 つのキーワードの間に、1 つ以上のMOVERを選択するための 1つ以上の「パラグラフ」を置くことができます。これらのパラグラフはいずれも、
MOVER_SELECT_BEGINキーワードで開始し、MOVER_SELECT_ENDキーワード
で終了します。MOVER選択キーワードはすべて、これら 2 つのキーワードの間に記
述する必要があります。
MOVER_BEGIN
MOVER選択の構文
MOVER_SELECT_BEGIN <MOVER selection criteria keywords here> MOVER_SELECT_END MOVER_END
DATA選択部は、DATA_BEGINキーワードで開始し、DATA_ENDキーワードで終了
します。これら 2 つのキーワードの間に、1 つ以上のデータ基準セットを選択するた
めの 1 つ以上の「パラグラフ」を置くことができます。これらのパラグラフはいずれも、
DATA_SELECT_BEGINキーワードで開始し、DATA_SELECT_ENDキーワードで終
了します。各オーディットイベントに対応するDATA選択キーワードはすべて、これ
ら 2 つのキーワードの間に記述する必要があります。
DATA_BEGIN
DATA選択の構文
DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER <audit record selection criteria keywords here> DATA_SELECT_END DATA_END
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 30 Proprietary and Confidential
ACTION選択部は、ACTIONCOLL_BEGINキーワードで開始し、ACTIONCOLL_ENDキーワードで終了します。これら 2 つのキーワードの間に、1 つ以上のACTIONを選
択するための 1 つ以上の「パラグラフ」を置くことができます。これらのパラグラフは
いずれも、ACTION_BEGINキーワードで開始し、ACTION_ENDキーワードで終了し
ます。対応するACTION選択キーワードはすべて、これら 2 つのキーワードの間に記
述する必要があります。
ACTIONCOLL_BEGIN
ACTION選択の構文
ACTION_BEGIN <action definition keywords here> MAXRECORDAGE 43200 ACTION_END ACTIONCOLL_END FILTERDEFEND
FILTERS ファイル内では、各キーワードを個別の行に記述する必要があります。
2.2.1 論理 AND と論理 OR MOVERまたはDATA選択パラグラフ内では、論理AND (!and
例 1 では、オーディットイベントが指定した OPERATION と TARGETLOGIN ユーザ
ー名、TERMINAL、および RESULT テキストを満たしていると、アクションが始動
します。
)でいくつかの基準を結
合します。オーディットイベントに指定したACTIONを始動するには、そのオーディ
ットイベントがすべての基準を満たしている必要があります。
DATA_BEGIN
例 1:パラグラフ内で複数の選択基準を指定する方法
DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OPERATION LIKE "(AUTHENTICATE|VERIFYUSER)" !and … AUDIT.TERMINAL NOTCONTAIN "#HLPR1" !and … AUDIT.MESSAGEID LIKE "(51|55)" !and … AUDIT.TARGETLOGIN = SUPER.SUPER DATA_SELECT_END
複数のMOVERまたはDATA選択パラグラフが存在する場合は、パラグラフの間に論理
OR (!or
例 2:MOVER は、XYGATECM、Safeguard、または XYGATEUA のオーディットト
レイルを読み取ると、このフィルターをチェックします。
)を記述します。
FILTERDEFBEGIN $LOGON-ALERTS
例 2:複数のMOVERを指定する方法
MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = XYGATECM
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 31 Proprietary and Confidential
MOVER_SELECT_END !or … MOVER_SELECT_BEGIN PRODUCT = SAFEGUARD MOVER_SELECT_END !or … MOVER_SELECT_BEGIN PRODUCT = XYGATEUA MOVER_SELECT_END MOVER_END
演算子を使用すると、指定した選択基準に一致するレコードを対象に入れることも、
あるいは除外することもできます。
演算子 後続の要素
オーディットレコード内のカラムの内容で、対象とする、
あるいは対象から除外する部分だけを記述する、引用符で
囲まれた文字列。
CONTAINS / NOTCONTAIN
オーディットレコード内のカラムの、対象とする、あるい
は対象から除外する内容全体と一致する、引用符で囲まれ
た正規表現。
LIKE / NOTLIKE
等号。オーディットレコード内のカラムの内容が選択基準
と完全に一致する必要があります。 =
不等号。オーディットレコード内のカラムの内容が対象か
ら除外する基準と完全に一致する必要があります。 <>
より小さい(未満)。 <
より小さいか等しい(以下)。 <=
より大きい。 >
より大きいか等しい(以上)。 >=
AUDIT.OPERATION = VERIFYUSER
例:演算子
AUDIT.OUTCOME <> 3 AUDIT.OPERATION LIKE "(VERIFYUSER|AUTHENTICATE)" AUDIT.OBJECTNAME NOTLIKE "$SYSTEM\.SYSTEM\.(USERID|USERIDAK|USERIDAX)" AUDIT.RESULT CONTAINS "Failed Logon count 2 to 3" AUDIT.RESULT NOTCONTAIN "Last Mod Time"
LIKEまたはNOTLIKEを使用する場合は、必ず正規表現形式のワイルドカードを使用
する必要があります。Guardian形式のワイルドカードは使用できません。また、正規
表現では大文字と小文字が区別されるので注意してください。正規表現の"構築"とテ
ストに関する詳細は、『XYGATE Regular Expressions
その他のXYPROリファレンスマニュアル
』マニュアルを参照してくだ
さい(このマニュアルを始めとするXYPROのマニュアルを入手するには、本マニュア
ルの「 」の節を参照してください)。
CONTAINS または NOTCONTAIN を使用する場合は、対象とする、あるいは対象か
ら除外するオーディットレコードに実際に含まれる語と、大文字と小文字の区別を含
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 32 Proprietary and Confidential
めて完全に一致する必要があります。たとえば、"Last Mod Time"という見出しでも大
文字と小文字が区別されるので注意してください。
2.3 フィルターの作成 注:新しいフィルターを作成する一番簡単な方法は、既存のフィルターのコピーから
始めることです。この方法であれば、構文を間違えることがないため、正しい
選択基準の指定に集中できます。
フィルターの作成では、次の 8 つの基本手順が必要です。
手順 1. フィルターの名前を指定する
手順 2. フィルターのステータスをセットする
手順 3:EVALUATE_MSGキーワードをセットする
手順 4. フィルターのMOVERを定義する - 選択したイベントを検出します。
手順 5. フィルターのデータ選択基準を定義する - 対象とするオーディットイベント
を一意にします。
手順 6. FILTERのアクションを定義する - イベント発生時のアクションです。
手順 7. FILTERSファイルの構文チェック
手順 8. アラートをテストする - 通信パラメーターが正しいことをテストします。
2.3.1 手順 1. フィルターの名前を指定する どのフィルター定義にも名前が必要です。名前の形式は次のとおりです。
• ドル記号($)で開始すること。
• 長さは 32 文字以下の英数字。
• 英数字、ハイフン(-)、アンダースコア(_)、およびピリオド(.)を使用できる。
FILTERDEFBEGIN $SCF_255_ALERTS
例:
$IGNORE-UNWANTED-SFG-CODES $SfgConfigChgs.EMS.Alert
2.3.2 手順 2. フィルターのステータスをセットする どのフィルター定義にもステータスが存在します。ステータスによって、フィルター
がアクティブまたは非アクティブになります。フィルターが非アクティブであれば、
MOVER はそのフィルターを無視するため、オーディットイベントと比較されません。
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 33 Proprietary and Confidential
STATUS {ACTIVE|INACTIVE}
構文:
注: どのようなステータスであっても、すべてのフィルターの構文エラーがチェッ
クされます。
2.3.3 手順 3:EVALUATE_MSG キーワードをセットする EVALUATE_MSG キーワードは、MOVER が選択基準に一致する別のフィルターを
FILTERS ファイルに検索するかどうかを決定します。次のオプションがあります。
STOP フィルター内の条件を満たすレコードが見つかったら、評価を停止
します。これがデフォルト値です。このキーワードを省略すると、
デフォルトは STOP です。
CONTINUE MOVER は、最初のフィルターに定義されている ACTION を実行し、
さらに、選択基準を満足する別のフィルターの検索を継続します。
ACTIONTYPE に IGNORE を指定すると、EVALUATE_MSG に CONTINUE を指定で
きません。
たとえば、EMAIL または EMS のアラートを送信し、SYSLOGQ にもイベントを送信
したい場合には、EVALUATE_MSG を CONTINUE にセットしてください。
EVALUATE_MSG (CONTINUE|STOP)
構文:
FILTERDEFBEGIN $XYGATEMA-EMS-MSGS
例:
STATUS INACTIVE EVALUATE_MSG CONTINUE MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = EMS MOVER_SELECT_END MOVER_END DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OBJECTNAME CONTAINS "XYPRO.28" AUDIT.RESULT NOTCONTAIN "CHECKSUM" DATA_SELECT_END DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OBJECTNAME CONTAINS "PATHWAY" AUDIT.MESSAGEID = 1120 ! Insert the correct XMA pathway process name(s): AUDIT.RESULT LIKE "^.*$XMA.*" DATA_SELECT_END DATA_END ACTIONCOLL_BEGIN ACTION_BEGIN ACTIONTYPE SETDATA AUDIT.USER_DATA XMA'S ems msg ACTION_END
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 34 Proprietary and Confidential
!= Add other desired ACTIONs here ACTIONCOLL_END FILTERDEFEND
2.3.4 手順 4. フィルターの MOVER を定義する 多くの場合は、PRODUCT キーワードのみを使用して MOVER を選択しますが、ター
ゲットの製品が置かれたノードとその製品を実行しているサブボリュームも選択でき
ます。
MOVER サーバークラスは、実際には、各種オーディットトレイルを読み取り、その
レコードを XMA データベースに転送し、ユーザーによって定義されたアクションを
生成するプログラムです。各 MOVER が、オーディットイベントを FILTERS ファイ
ル内のフィルターと比較します。
フィルター内では、ユーザーが MOVER 選択基準を使用して、どの MOVER がオーデ
ィットレコードをフィルターの選択基準と比較してアクションを実行するかどうかを
判断するかを制御します。
MOVER 選択基準はフィルター内ではオプションですが、すべてのフィルターに
MOVER を定義することで、一部の処理のオーバーヘッドが軽減されます。これは、
フィルターで MOVER が指定されていなければ、すべての MOVER がオーディットイ
ベントをフィルターと比較するためです。
MOVER を指定すると、選択した製品のその MOVER だけが、オーディットイベント
をそのフィルターと比較します。
MOVER 選択基準でノードを指定しないと、すべてのノード上のその製品の MOVERがそのフィルターを使用します。
ノードを指定すると、指定したそのノード上のその製品の MOVER だけがそのフィル
ターを使用します。
<MOVER keyword> <operator> <MOVER selection criteria>
構文:
MOVER 選択キーワード MOVER 選択基準は全体として、MOVER がオーディットトレイルを読み取る製品が
ベースになります。MOVER には、次の 3 つの選択基準があります。
PRODUCT このキーワードを使用して、必要とする MOVER のターゲット製品
を指定します。下記の完全な製品名を入力します。
BASE24
EMS
HLR
MEASURE
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 35 Proprietary and Confidential
SAFEGUARD
XYGATExx
FILEMAINT
SYSTEM ターゲット製品が置かれている NonStop サーバーのノード。一部
のシステムからのみアラートが発行されるようにしたい場合は、そ
のシステムだけを指定します。
LOCATION 上記で指定したターゲット製品のボリュームとサブボリュームの場
所。XYGATE 製品の複数のコピーが同じノード上に存在し、ある
インストール環境からのイベントだけに対してアラートが発行され
るようにしたい場合には、その製品の場所だけを指定します。
PRODUCT だけを選択すると、すべてのノード上の指定したターゲット製品のすべて
の MOVER がそのフィルターを使用することになります。
例 1 では、1 つの MOVER パラグラフを使用して、XYGATECM MOVER を指定しま
す。すべてのノード上のすべての XCM MOVER がこのフィルターを使用します。
FILTERDEFBEGIN $QA-XYGATEAC
例 1:特定の製品のMOVERを指定する方法
MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = XYGATECM MOVER_SELECT_END
例 2 では、2 つの MOVER パラグラフを使用して、2 つのノードの CMON イベントを
選択します。一部のノードからの CMON イベントだけを監視する場合に、この方法
を使用します。各パラグラフに SYSTEM 基準が指定されていて、それぞれに
MOVER_SELECT_BEGIN キーワードと MOVER_SELECT_END キーワードがあるこ
とに注意してください。パラグラフ間に論理‘OR’が指定されています。したがって、
CMON イベントが\NODE1 または\WIRE で発生すると、このフィルターがチェックさ
れます。
FILTERDEFBEGIN $XCM-NODE1-N0DE2
例 2:複数のノードが存在し、2 つのノードだけにMOVERを指定する方法
MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = XYGATECM SYSTEM = \NODE1 MOVER_SELECT_END ! or … MOVER_SELECT_BEGIN PRODUCT = XYGATECM SYSTEM = \WIRE MOVER_SELECT_END
例 3 のフィルターは、XAC のテストインストール環境で XAC コマンドを実行しよう
として成功した場合に(OUTCOME = 1)、XMA データベースに書き込まれないように
する(ACTIONTYPE = IGNORE)ために作成されました。コマンドが失敗した場合のみ、
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 36 Proprietary and Confidential
XMA データベースに書き込まれます。テスト環境を本番環境と区別するための基準は、
ターゲット製品の LOCATION です。
XAC のテストインストール環境のいかなるオーディットも必要としない場合は、その
インストール環境のオーディットファイルを読み取る MOVER を作成しないでくださ
い。
FILTERDEFBEGIN $QA-XYGATEAC
例 3:特定の製品インストール環境にMOVERを指定する方法
MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = XYGATEAC LOCATION = $SECURE.XACQA MOVER_SELECT_END MOVER_END DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OUTCOME = 1 DATA_SELECT_END DATA_END ACTIONCOLL_BEGIN ACTION_BEGIN ACTIONTYPE IGNORE ACTION_END ACTIONCOLL_END FILTERDEFEND
例 4 では、各 MOVER が対応するすべてのオーディットイベントをこのフィルターと
比較するため、どの MOVER であっても、失敗時(AUDIT.OUTCOME = 3)に ACTIONが生成されます。
FILTERDEFBEGIN $ALERT-ON-FAILURE
例 4:MOVERを指定しないフィルター
DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OUTCOME = 3 DATA_SELECT_END DATA_END
FILEMAINT FILEMAINTキーワードは選択的なアーカイブまたはクリーンアップ
の実装に使用されます。MOVER = FILEMAINTのフィルターには、
RETAINのACTIONTTYPEも必要です。ArchiveプロセスとCleanupプロセスは、FILTERのRETAIN_DAYSとRETAIN_MONTHSのキー
ワード値をチェックして、データ選択基準に一致するレコードを処
理します。詳細は、第 7.1.1 節「選択的なアーカイブおよびクリーン
アップ 」(131 ページ)を参照してください。
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 37 Proprietary and Confidential
2.3.5 手順 5. フィルターのデータ選択基準を定義する フィルターのデータ選択基準を、実行するオーディットイベントが一意になるように
指定します。データ選択基準は、MOVER でオーディットトレイルが読み取られる製
品に完全に基づいています。
• 各製品にどのカラムが使用されるかについては、「Column Usage テーブル」(280ページ)を参照してください。
• 各製品で、どの情報が Audit Detail テーブルと Audit Session テーブルの各カラム
にセットされるかについては、付録 G:「データマッピング」(223 ページ~)を参照
してください。
どのような場合にも、作成しようとするフィルターと似ている既存のフィルターを用
いて始めるのが、最も簡単な方法です。XMA のインストール時に作成されるデフォル
トの FILTERS ファイルと FILTSAMP ファイルには、テンプレートとして利用できる
便利な例が含まれています。
例 1 では、OPERATION に基づいてイベントを選択します。EMS MOVER によって
検索されるように構成することで、TELNET イベントと LISTNER イベントを利用で
きます。
FILTERDEFBEGIN $TELNET-LISTNER
例 1:TELNETイベントとLISTNERイベントを選択する
MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = EMS MOVER_SELECT_END MOVER_END DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OPERATION = TELNET-CONNECT DATA_SELECT_END ! or … DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OPERATION = TELNET-DISCONNECT DATA_SELECT_END ! or … DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OPERATION = LISTNER-CONNECT DATA_SELECT_END DATA_END
正規表現を使用して 3 つのパラグラフを 1 つに連結することもできます。 FILTERDEFBEGIN $TELNET-LISTNER MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = EMS MOVER_SELECT_END MOVER_END DATA_BEGIN DATA_SELECT_BEGIN
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 38 Proprietary and Confidential
FILTERTYPE STRINGFILTER AUDIT.OPERATION LIKE "(LISTNER-CONNECT|TELNET-CONNECT|TELNET-DISCONNECT)" DATA_SELECT_END DATA_END
EMS MOVER を除くすべての MOVER のデフォルトの動作では、対応する製品のオ
ーディットトレイル内に見つかったすべてのレコードが XMA データベースに書き込
まれます。したがって、FILTERS ファイルが空であれば、MOVER が存在するすべて
の製品(EMS を除く)のすべてのオーディットレコードが、XMA データベースにその
ままレコードとして追加されます。フィルターを追加して指示しない限り、EMS MOVER はデータベースに何も書き込みません。
注: EMS MOVER の動作は他の MOVER とは異なります。EMS メッセージは大量
であるため、フィルターでイベントを指定しない限り、EMS オーディットは
XMA データベースに書き込まれません。
レコードを XMA データベースに書き込む以外の処理を実行するように MOVER に指
示するには、フィルターを作成します。たとえば、データベースに何かが追加されな
いようにするには、ACTIONTYPE が IGNORE のフィルターを作成します。この
IGNORE のフィルターの選択基準と一致するオーディットイベントはデータベースに
は書き込まれませんが、それ以外のオーディットイベントはデータベースに書き込ま
れます。
正規化されたオーディットデータレコードの内容に基づいてオーディットイベントを
選択するには、データ選択基準を使用します。MOVER では、ターゲット製品のオー
ディットトレイルで各レコードのデータが正規化されます。つまり、各フィールドの
内容が適切なカラムに移動して、XMA データベースに挿入されます。ターゲット製品
に使用されるすべてのカラムは、フィルターでアクションの生成に使用できます。
<table name>.<column name> <operator> <value to trigger the action>
構文:
table name 最もよく使用されるのは、AUDIT と SESSION の 2 つのテーブル名
です。
1 つのオーディットイベントに対して 1 つの SESSION エントリが
オーディットセッション(AUDSESS)テーブルエントリに生成され、
オーディット詳細テーブル(AUDDET)の複数の詳細レコードと 1 対
多に対応します。
column name レコードの選択に使用するデータが含まれるカラムの名前。
operator =、<>、LIKE、NOTLIKE、CONTAINS、NOTCONTAINなど。31ページの演算子リストを参照してください。
値 オーディットトレイルの対象とする、あるいは対象から除外するた
めに使用する、カラム内容の全体あるいは一部。
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 39 Proprietary and Confidential
FILTERTYPES 使用できるフィルタータイプは、STRINGFILTER、NOFILTER、および
MACROFILTER です。
STRINGFILTER
AUDITSESSION データ選択で"SESSION"として指定。
タイプはMOVERに対し、次のテーブル内の 1 つ以上のフィールドの
内容に基づいて選択することを指示します。
AUDITDETAIL データ選択で"AUDIT"として指定。
AUDITPRODUCT データ選択で"PRODUCT"として指定。
AUDITINSTALL データ選択で"INSTALL"として指定。
STRINGFILTER は、最もよく使用される FILTERTYPE です。
NOFILTERは_nullフィルターです。すべてのデータレコードがこのFILTERTYPEに一
致します。指定したMOVERのすべてのイベントを収集する場合のみこのフィルター
を使用することを推奨します。
DATA_BEGIN
例
DATA_SELECT_BEGIN FILTERTYPE NOFILTER DATA_SELECT_END DATA_END
MACROFILTER
この処理については、次のような制約があります。
。カラムの内容を指定する以外にも、マクロを使用するで、オーディ
ットレコードのさらに高度な選択が可能になります。データが含まれる構造体がテー
ブルAUDITSESSIONとAUDITDATAに挿入され、AUDITPRODUCT情報と
AUDITINSTALL情報がTACL変数要求内のこのマクロに渡されます。
• TACL のマクロまたはルーチンである必要があります。TACL のマクロまたはルー
チンでは、端末に何かを書き込まないのであれば、非ブロックモードの任意のプ
ログラムを内部で実行できます。ただし、スプーラーに出力を書き込むことはで
きます。
• MATCH または NOMATCH の値を返す必要があります。
• MACROFILTER の処理でエラーが発生すると、EMS コンソールにエラーが書き込
まれ、処理は続行します。同じエラーが再び発生すると、次に実行が成功するま
で、レポートは作成されません。TACL サーバーが異常終了するような重大なエラ
ーであると、MOVER によって、TACL サーバーの再起動が 5 回試行されます。そ
して、5 回目に TACL サーバーの再起動を試行した後に、MOVER が異常終了しま
す。
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 40 Proprietary and Confidential
DATA_BEGIN
例 1:マクロフィルターTACLルーチンの例
DATA_SELECT_BEGIN FILTERTYPE MACROFILTER MAXCOMPLETIONTIME 300 MACRODEFBEGIN \NODE1.$SYSTEM.XYGATEMA.ACFILT MACRODEFEND DATA_SELECT_END DATA_END
このフィルターによって、次のマクロが呼び出されます。
?TACL ROUTINE
例 2:Macrofilter TACL Routine
#frame [#if ("[request:audit:rulename:valu:val:byte(0:6)]" '=' "FUP-255" or & "[request:audit:rulename:valu:val:byte(0:7)]" '=' "TACL-255" or & "[request:audit:rulename:valu:val:byte(0:10)]" '=' "SAFECOM-255" ) and & "[request:audit:MESSAGECODE:valu:val:byte(0:4)]" '=' "XAC-I" |then| #result MATCH |else| #result NOMATCH ] #unframe
上記の例 2 で、AUDIT DETAIL テーブルの RULENAME カラムの値が FUP-255、TACL-255、または SAFECOM-255 で、AUDIT DETAIL テーブルの MESSAGECODEカラムの値が XAC-I であると、MATCH という値が返されます。
TCLEXC DATAFILTERTYPE = MACROFILTER が指定されると、構造体 TCLEXC が使用され
ます。この構造体には、フィルタリングの目的で現在検査されているレコードの、
Audit Session、Audit Detail、Installation、および Product テーブルからの情報が格納
されます。この構造体のデータは、ACTIONTYPE RUNCMD が指定された場合にも使
用できます。TCLEXC ファイルは、Pathway ノードの XMA サブボリュームに置かれ
ます。詳細については、付録 F:「TCLEXC」(211 ページ~)を参照してください。
ログオン監視のための選択基準の選択 すべてのユーザーのログオン時にメールが生成されるようにしたいとします。そのた
めには、ACTIONTYPE が MAIL のフィルターを作成します。また、ログオンを監視す
るため、MOVER は、Safeguard または XYGATEUA ということになります。この例
の場合は、Safeguard を使用します。ログオンイベントを一意にするデータ選択基準
は、OPERATION です。ユーザーのログオン時に、Safeguard によって、
VERIFYUSER の OPERATION でオーディットレコードが生成されます。すべてのロ
グオンを監視したいので、必要な選択基準は OPERATION だけとなります。どのユー
ザーのログオン時にも、また、そのログオンが成功したかどうかにかかわらず、XMAによってメールが生成されます。
DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OPERATION = VERIFYUSER
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 41 Proprietary and Confidential
DATA_SELECT_END
ただし、ログオンが成功するたびにメールが送信されると大量のメールが発生するこ
とになるため、この方法を見直し、すべてのログオンの日次レポートを作成するので
はなく、失敗したログオンだけをリアルタイムで監視することにします。そのために
は、失敗したログオンだけを選択する、2 つ目の基準を追加する必要があります。失
敗したログオンを一意に識別できるのは、失敗を表す、OUTCOME = 3 です。こうす
ることで、誰かがログオンを試行したものの失敗するたびに、XMA によってメールが
生成されるようになります。この場合にも、成功または失敗のどちらであるかにかか
わらず、すべてのログオンが XMA データベースに書き込まれます。
DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OPERATION = VERIFYUSER AUDIT.OUTCOME = 3 DATA_SELECT_END
パスワードが正しくないためにユーザーID がフリーズされた場合だけ通知されるよう
にしたいとします。このイベントは、RESULT カラムのテキストを次のようにするこ
とで、一意になります。
WRONG-PASSWORD Logon Fail count 2 to 3
Safeguard のグローバル AUTHENTICATE-MAXIMUM-ATTEMPTS を 3 にセットする
と、"Logon Fail count 2 to 3"というテキストが含まれるレコードだけを選択すること
になります。その理由は、このイベントによって、Safeguard がそのユーザーID をフ
リーズするためです。これで、パスワードが正しくないためにユーザーID がフリーズ
されるたびに、XMA によってメールが生成されます。この場合にも、成功または失敗
のどちらであるかにかかわらず、すべてのログオンが XMA データベースに書き込ま
れます。
DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OPERATION = VERIFYUSER AUDIT.OUTCOME = 3 AUDIT.RESULT CONTAINS " Logon Fail count 3 to 4" DATA_SELECT_END
注: RESULT フィールド内のテキストでは大文字と小文字が区別されます。オーデ
ィットレコードに出力されるとおりにテキストを入力する必要があります。正
確なテキストを確認するには、Report Manager GUI から Audit Pro レポートを
実行して、「生の」データを表示します。
ユーザーが 1 つ以上の特定の特権 ID に直接ログオンしようとした場合だけ通知され
るようにするには、どうすれば良いのかを考えてみます。その場合には、3 つ目の基
準を追加して、監視する必要がある ID を定義する必要があります。この場合には、
ユーザーID そのものによってオーディットレコードが一意になります。ログオンされ
るユーザーID を識別するデータは、4 つのカラム:OBJECTNAME、TARGETLOGIN (ユーザー名)、TARGET_USERNUMBER_MAJOR (グループ番号)、および
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 42 Proprietary and Confidential
TARGET_USERNUMBER_MINOR (メンバー番号)に入ります。OBJECTNAME カラ
ムには、ユーザー名とユーザー番号の両方が入ります。
DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OPERATION = VERIFYUSER AUDIT.OBJECTNAME CONTAINS "255,255" DATA_SELECT_END
SUPER.SUPER でのログオンが試行されるたびに、成功したか失敗したかにかかわら
ず、上記の基準がメールで送信されます。この場合にも、すべてのログオン試行が
XMA データベースに書き込まれます。
XAC アクティビティ監視のための選択基準の選択 ユーザーが特定のXACコマンドを呼び出すたびにEMSメッセージが生成されるように
する場合は、コマンド名そのものによってイベントが一意になります。そのため、
XACデータマッピングテーブル(255 ページ)を使用して、どのカラムにコマンド名が
含まれるのかを判断することになります。ここでデータマッピングテーブルをチェッ
クすると、コマンド名がRULENAMEカラムとOBJECTNAMEカラムの両方に入ってい
るのがわかります。フィルターには、両方のカラムを選択できます。適切な演算子を
使用すれば、ユーザーが呼び出すたびにメールが送信されるようにしたXACコマンド
名を定義することになります。
あるコマンドが使用されたらアラートを受け取るようにするには、=(等号)演算子とそ
のコマンドの正確な名前を使用します。 DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.RULENAME = TACL-255 AUDIT.MESSAGEID = XAC-I DATA_SELECT_END
複数の(ただし、すべてではない) XAC コマンドに対してアラートを受け取るようにす
る場合は、いくつかのオプションがあります。個々のコマンドを列挙する方法があり
ます。 AUDIT.RULENAME LIKE "(TACL-255|SCF-255|EDIT-255)"
利用可能なコマンド名の命名規則がある場合は、ワイルドカードも使用できるでしょ
う。 AUDIT.RULENAME CONTAINS "-255"
SUPER.SUPER として実行する XAC コマンドを誰かが呼び出した場合に通知される
ようにしたいのであれば、TARGETLOGIN カラムまたは
TARGET_USERNUMBER_MAJOR カラムと TARGET_USERNUMBER_MINOR カラ
ムに対する選択という方法があります。 AUDIT.TARGET_USERNUMBER_MAJOR = 255 AUDIT.TARGET_USERNUMBER_MINOR = 255
- または -
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 43 Proprietary and Confidential
AUDIT.TARGETLOGIN = SUPER.SUPER
2.3.6 手順 6. FILTER のアクションを定義する オーディットイベントの選択が完了したら、イベントが検出されるたびに XMA によ
って実行されるようにするアクションを定義します。ACTION パラグラフは MOVERに対し、オーディットレコードが DATA 選択基準を満たしている場合に何を実行する
かを指示します。実行されるアクションは、ACTIONTYPE キーワードによって決定
されます。
ACTIONTYPE = {actiontype}
構文:
ACTIONTYPE は下記のとおりです。
ALERT EMS メッセージを生成する
IGNORE レコードを破棄し、XMA データベースに書き込まない
IPALERT 選択されたメッセージを SYSLOG に送る
MAIL 選択されたメッセージをメールで送信する
RETAIN 条件付きでアーカイブまたはクリーンアップを実行する
RUNCMD 定義されているマクロを実行する
SETDATA 定義されている文字列を XMA データベースの USER_DATA カラム
に挿入する
SNMPTRAP 選択されたメッセージを SNMPTRAP に送る
SYSLOGQ メッセージを SYSLOGQ テーブルに送る
RETAINキーワードを使用して、選択付きのアーカイブまたはクリーンアップを実装
します。MOVER = FILEMAINTのフィルターには、RETAINのACTIONTTYPEも必要
です。ArchiveプロセスとCleanupプロセスは、FILTERのRETAIN_DAYSとRETAIN_MONTHSのキーワード値をチェックして、データ選択基準に一致するレコ
ードを処理します。詳細は、第 7.1.1 節「選択的なアーカイブおよびクリーンアップ 」
(131 ページ)を参照してください。
同じイベントに複数のアラートが発行されるのを回避する 一定の時間内に同じフィルターから複数のアラートが発行されないようにするには、
MAXACTIONRATE キーワードを使用します。
MAXACTIONRATE キーワードは、EMS スロットルのように動作します。このキーワ
ードには、同じ状況が発生した場合の通知の受信頻度を指定できます。その場合にも、
アクティビティは XMA データベースに書き込まれます。このフィールドによって制
御されるのは、生成されるアラートの数だけです。
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 44 Proprietary and Confidential
このパラメーターを省略すると、アクティビティの発生頻度にかかわらず、該当する
レコードに対してアラートまたはアクション(あるいは両方)が発生します。
注: MAXACTIONRATE に関連する情報は、MOVER サーバークラスオブジェクト
内のコンテキストに格納されます。MOVER サーバークラスを停止および再起
動すると、追加のメッセージが生成される場合があります。FILTERS ファイル
を変更すると、MAXACTIONRATE カウンターもリセットされます。
MAXACTIONRATEは、実際のイベントの内容ではなく、同じFILTERの「ヒッ
ト」数が基準になります。したがって、MAXACTIONRATEを短い時間に設定し、
ファイルを実行して複数のユーザーをSAFECOMで追加すると、ADDイベント
のたびにアラートは発生しません。MESSAGEIDやMESSAGECODEのような
Safeguard選択基準を使用してSafeguardアラートが生成されるレコードを制限
するのも良い方法です。詳細は、第 6 章「Safeguardの選択基準」(119 ページ)を参照してください。
MAXACTIONRATE <seconds>
構文:
MAXACTIONRATE 300
例:
この例では、同じフィルターを使用して過去 5 分間(5 分 x 60 秒/分)にイベントが生成
されると、アラートが作成されます。
履歴イベントに対するアラートの抑止 古いオーディットイベントに対してアラートが生成されないようにするには、
MAXRECORDAGE キーワードを使用して、指定した期間が経過したイベントに対す
るアラートを抑止します。ACTIONTYPE = IGNORE の場合であっても、すべてのイ
ベントが XMA データベースに書き込まれます。
MAXRECORDAGE キーワードによって、古くなって問題にする必要がないイベント
に対するアラートを抑止できます。このキーワードは通常、MOVER が何らかの理由
で停止していて、履歴データを XMA データベースに追加している状況でのみ、役割
を果たします。たとえば、あるユーザーが SUPER.SUPER として直接ログオンした
ことを示すレコードがあるものの、それが先週のイベントであるならば、アラートを
受け取る必要はないでしょう。このような状況では、レポートを実行してそれらのイ
ベントを確認する方が、現実的な方法です。
このパラメーターを省略すると、アクティビティの実行からの経過時間にかかわらず、
該当するすべてのレコードに対してアラートまたはアクション(またはその両方)が発
生します。
MAXRECORDAGE <seconds>
構文:
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 45 Proprietary and Confidential
MAXRECORDAGE 3600
例:
上記の例では、識別済みのアクティビティの実行からの経過時間が 1 時間(60 分 x 60秒/分)以内である場合のみ、アラートが生成されるか、アクションが実行されます。
ACTIONTYPE = ALERT によって定義される EMS アラート EMS アラートを生成するには、該当するフィルターの次のパラメーターを構成する必
要があります。
ALERTTARGET {\<system.$0
ALERTSEVERITY
} - MOVERがEMSメッセージを送信す
るEMSコレクターを定義します。デフォルトは、ロ
ーカルノード上の$0 です。Pathwayノード名を入力
することで、ネットワーク上のすべてのノードに対す
るすべてのアラートを、Pathwayノード上の置かれて
いるEMSコレクターに送信できます。
{CRITICAL | NONCRITICAL
ALERTEMSEVENTNUMBER
} - このメッセージをEMS内で「CRITICAL」(重大)として処理するかどうかを指
示します。デフォルトはNONCRITICALです。
EMS メッセージに対してイベント番号を割り当てる
ことができます。値の範囲は、1000~32767 です。
このパラメーターはオプションです。デフォルト値は
101 です。
ALERTSTRING メッセージの「見出し」テキストです。デフォルト値
は、AUDIT.RESULT カラムの内容です。Data Substitution Token (データ置換トークン)も使用でき
ます。
ALERTTOKENs ユーザーが EMS 内の詳細トークンを表示した場合
に、audit detail、audit session、installation、および
product の各テーブルから表示するカラムのリストで
す。
注: 個々のトークンが表示されるようにするには、XYGATE 製品の EMS トークン
をシステムの EMS テンプレート内に構築する必要があります。
例 1 は、EMS アラートの例です。EMS コレクター\PROD.$0 にメッセージが送信さ
れます。メッセージには CRITICAL (重大)というマークが付きます。“XAC SCF-255 invoked”というメッセージが、SQL データベースからの情報(コマンドを呼び出した
ユーザーのログイン名(SUBJECTLOGIN)、タイムスタンプ(RECORDLCT)、起点シス
テム、使用された端末、IP アドレス、および AUDIT.RESULT フィールドの内容)と一
緒に表示されます。
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 46 Proprietary and Confidential
ACTIONCOLL_BEGIN
例 1:EMSアラートのACTIONパラグラフの例
ACTION_BEGIN ACTIONTYPE ALERT ALERTTARGET \PROD.$0 ALERTSEVERITY NONCRITICAL ALERTSTRING XAC SCF-255 invoked ALERTTOKENSBEGIN ! BODY OF EMS MESSAGE: AUDIT.SUBJECTLOGIN AUDIT.RECORDLCT AUDIT.TERMINAL SESSION.IPADDRESS AUDIT.RESULT ALERTTOKENSEND ACTION_END ACTIONCOLL_END
ACTIONTYPE = IGNORE によって定義される IGNORE アクション IGNORE アクションは MOVER に対し、DATA 選択基準に一致するオーディットレコ
ードを、XMA データベースには書き込まずに破棄するように指示します。
複数のアクションを実行する場合は、IGNORE を必ず最後に指定してください。
IGNORE が見つかると、MOVER は、オーディットレコードの処理を停止します。
IGNORE で構成すべきパラメーターはありません。
ACTIONTYPE = IPALERT によって定義される UDP SYSLOG アラート SYSLOG (IPALERT)アラートを生成するには、該当するフィルターの次のパラメータ
ーを構成する必要があります。
IPALERT_ADDRESS SYSLOG 宛てに XMA が文字列を送信する TCP/IP アドレ
スを定義します。このキーワードは、IPALERT アクショ
ンに必要です。
IPALERT_PORT SYSLOG 宛てに XMA が文字列を送信するリモートシステ
ム上のポートを定義します。このキーワードは、IPALERTアクションに必要です。予期されるポートの値は 514 です。
IPALERT_PREFIX SYSLOG メッセージの先頭に付加する接頭辞を定義しま
す。この接頭辞はオプションであり、長さは 79 文字以下
です。SYSLOGQ 以外のメッセージの場合、長さは 40 文
字以下です。データ置換トークンは、指定できません。
IPALERT_PROCESS IPALERT_PORT と通信してメッセージを送信する
TCP/IP プロセスを定義します。
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 47 Proprietary and Confidential
ALERTSTRING このキーワードでは、Syslog に送信されるデータ(テキス
ト)が定義されます。このデータ(テキスト)は、テキストと
データ置換トークンの組み合わせにすることができます。
長さは 127 文字以下です。127 文字を超過するメッセージ
は切り捨てられるため、127 文字を超過する場合は
ALERTSTRING キーワードを追加します。
例 2 は、SYSLOG アラートの例です。メッセージが、TCP/IP プロセス$ZTC0 経由で、
IP アドレス 10.90.90.10 のポート 514 に送信されます。このメッセージは、テーブル
XMA AUDDET、AUDSESS、INSTALL 内の各カラムの内容のカンマ区切りリストで
す。IPALERT_PREFIX 内の値<130>は、メッセージの重要度を表す標準接頭辞です。
ACTION_BEGIN
例 2:SYSLOGアラートのACTIONパラグラフの例
ACTIONTYPE IPALERT IPALERT_IPPROCESS $ZTC0 IPALERT_PORT 514 IPALERT_ADDRESS 10.90.90.10 IPALERT_PREFIX local0 <130> XYGATEMA ALERTSTRING |(AUDIT.RECORDGMT)|,|(AUDIT.GMTSEQNO)|,|(AUDIT.RECORDLCT)|, ALERTSTRING |(AUDIT.RECORDAUDITKEY)|,|(AUDIT.RECORDSESSIONKEY)|, ALERTSTRING |(AUDIT.SEQNO)|,|(AUDIT.OUTCOME)|,|(AUDIT.WARNINGMODE)|, ALERTSTRING |(AUDIT.TESTMODE)|,|(AUDIT.ALERTED)|,|(AUDIT.SEVERITY)|, ALERTSTRING |(AUDIT.PRODUCTCODE)|, ALERTSTRING |(AUDIT.SUBJECT_USERNUMBER_MAJOR)|, ALERTSTRING |(AUDIT.SUBJECT_USERNUMBER_MINOR)|, ALERTSTRING |(AUDIT.TARGET_USERNUMBER_MAJOR)|, ALERTSTRING |(AUDIT.TARGET_USERNUMBER_MINOR)|, ALERTSTRING |(AUDIT.SUBJECTLOGIN)|,|(AUDIT.SUBJECTSYSTEM)|, ALERTSTRING |(AUDIT.TARGETLOGIN)|,|(AUDIT.OBJECTTYPE)|, ALERTSTRING |(AUDIT.OBJECTNAME)|,|(AUDIT.OPERATION)|,|(AUDIT.TERMINAL)|, ALERTSTRING |(AUDIT.MESSAGEID)|,|(AUDIT.MESSAGECODE)|,|(AUDIT.RULENAME)|, ALERTSTRING |(AUDIT.RESULT)|,|(AUDIT.USER_DATA)|, ALERTSTRING |(SESSION.RECORDSESSIONKEY)|,|(SESSION.RECORDINSTALLKEY)|, ALERTSTRING |(SESSION.SESSIONID)|,|(SESSION.FOUNDSESSIONSTART)|, ALERTSTRING |(SESSION.FOUNDSESSIONEND)|,|(SESSION.SESSIONNAME)|, ALERTSTRING |(SESSION.PROCESSTHREADID)|,|(SESSION.PROCESSTHREADID2)|, ALERTSTRING |(SESSION.CLIENTPROGRAM)|, ALERTSTRING |(SESSION.ANCESTORPROCESSTHREADID)|,|(SESSION.IPADDRESS)|, ALERTSTRING |(SESSION.DNSNAME)|,|(SESSION.CLIENTCURRDIR)| ALERTSTRING |(INSTALL.IPADDRESS)|,|(INSTALL.SYSTEMNAME)|, ALERTSTRING |(INSTALL.LOCATION)|,|(INSTALL.DNSNAME)| ! MAXRECORDAGE 43200 !<= 12 hours old ACTION_END
ACTIONTYPE = SYSLOGQ によって定義される TCP/IP SYSLOG アラート SYSLOGQ アラートを生成するには、該当するフィルターの次のパラメーターを構成
する必要があります。
IPALERT_ADDRESS SYSLOG 宛てに XMA が文字列を送信する TCP/IP アドレ
スを定義します。このキーワードは、IPALERT アクショ
ンに必要です。
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 48 Proprietary and Confidential
IPALERT_PORT SYSLOG 宛てに XMA が文字列を送信するリモートシステ
ム上のポートを定義します。このキーワードは、IPALERTアクションに必要です。予期されるポートの値は 514 です。
IPALERT_PREFIX SYSLOG メッセージの先頭に付加する接頭辞を定義しま
す。この接頭辞はオプションであり、長さは 79 文字以下
です。SYSLOGQ 以外のメッセージの場合、長さは 40 文
字以下です。データ置換トークンは、指定できません。
IPALERT_PROCESS IPALERT_PORT と通信してメッセージを送信する
TCP/IP プロセスを定義します。
IPALERT_MSGDELIMITER (必須) 次の値です。 CR LF CRLF NULL
ALERTSTRING このキーワードでは、Syslog に送信されるデータ(テキス
ト)が定義されます。このデータ(テキスト)は、テキストと
データ置換トークンの組み合わせにすることができます。
長さは 127 文字以下です。127 文字を超過するメッセージ
は切り捨てられるため、127 文字を超過する場合は
ALERTSTRING キーワードを追加します。
ACTIONTYPE = MAIL によって定義されるメールアラート EMAIL アラートを生成するには、該当するフィルターの次のパラメーターを構成する
必要があります。
MAIL_SRV 使用するメールサーバーの名前です。メールシステムの管
理者から必要な情報を入手してください。
MAIL_PORT デフォルトのメールポートは、25 です。
MAIL_LOCAL_DOMAIN Lotus などの一部のメールサーバーでは、ローカルドメイ
ン名が必要です。詳細については、メール管理者にお問い
合わせください。
MAIL_FROM 送信元として表示される電子メールアドレス。このアドレ
スが有効な電子メールアドレスである必要はありません。
MAIL_TO メッセージの送信先であるメールアドレス。1 つ以上の有
効な電子メールアドレスが必要です。複数の送信先を指定
するには、複数の MAIL_TO 行を追加して、MAIL_TO の 1行に 1 つの送信先を指定します。(SPAM フィルターによ
って MXA からのメッセージがブロックされないことを確
認してください。)宛先の電子メールアドレスと必要なオ
プションを接頭辞として指定することで、CC:オプション
と BCC:オプションを使用して電子メールを送信すること
もできます。
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 49 Proprietary and Confidential
MAIL_IPPROCESS SMTP ゲートウェイと通信する TCP/IP プロセスの名前。
システムの管理者から必要な情報を入手してください。
MAIL_SUBJECT メールの件名の行に表示したいデータまたはテキストを定
義します。このデータ(テキスト)は、テキストとデータ置
換トークンの組み合わせにすることができます。
MAIL_BODY このキーワードはオプションです。テンプレートを構成す
ることで、メールのカスタムメッセージを作成できます。
このキーワードを指定する場合は、有効なファイル名を指
定する必要があります。FILTERS ファイルによる構文エ
ラーのチェック時に、テンプレートファイルが存在する必
要があります。このファイルには、テキストと Data Substitution Token (データ置換トークン)の組み合わせを
使用できます。このキーワードを省略すると、テーブルの
内容全体が電子メールの本文に挿入されます。テンプレー
トファイルの最大サイズは、100KB です。XMA には、
MTLICEX とい名前のサンプルのメール本文が付属してい
ます。
MAIL_TEXT MAIL_TEXT キーワードと MAIL_TEXT_END キーワード
を使用することで、FILTERS ファイルにメール本体の内
容を指定できます。2 重引用符で囲んで、1 行以上のメッ
セージを指定します。代入変数をテキストと一緒に使用で
きます。MAIL_TEXT が指定されていると、MAIL_BODYは使用されません。
MAIL_TEXT_END FILTERS ファイルで指定するメール本体テキストの末尾
を指定するために使用します。
以下の例 3 は、MAILアラートの例です。メールは、セキュリティメールボックスに送
信されます。メッセージには、XMA-<user name> altered <object altered>とい
う件名が付けられます。MAILSAFEファイルに作成されたメッセージが、メッセージ
の本文に表示されます。
ACTION_BEGIN
例 3:EMAILアラートのACTIONパラグラフの例
ACTIONTYPE MAIL MAIL_SRV mail.bankofcochran.com MAIL_PORT 25 MAIL_FROM [email protected] MAIL_TO [email protected] MAIL_IPPROCESS $ZTCP2 MAIL_SUBJECT XMA-|(AUDIT.SUBJECTLOGIN)|altered|(AUDIT.OBJECTNAME)| MAIL_BODY \X.$SECURE.XYGATEMA.MAILSAFE ACTION_END
以下の例 4 は、MAILアラートの例です。メールは、セキュリティメールボックスに送
信されます。メッセージには、XMA-<user name> altered <object altered>とい
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 50 Proprietary and Confidential
う件名が付けられます。MAIL_TEXTキーワードとMAIL_TEXT_ENDキーワードで指
定したメッセージは、メッセージの本文に表示されます。
ACTION_BEGIN
例 4:インラインテキストを使用したEMAILアラートのACTIONパラグラフの例
ACTIONTYPE MAIL MAIL_SRV mail.bankofcochran.com MAIL_PORT 25 MAIL_FROM [email protected] MAIL_TO [email protected] MAIL_IPPROCESS $ZTCP2 MAIL_SUBJECT XMA-|(AUDIT.SUBJECTLOGIN)|altered|(AUDIT.OBJECTNAME)| MAIL_TEXT “****************************************************************” “This is to inform you of the following:” “|(audit.result)|” “ “ “Please contact [email protected] for information regarding” “obtaining a new license” “ “ “***************************************************************” MAIL_TEXT_END ACTION_END
RETAIN (選択アーカイブ、選択クリーンアップ)アクションの構成 XMAデータベースに一定期間残しておきたいレコードを、ACTIONTYPE = RETAINで
定義できます。詳細は、第 7.1.1 節「選択的なアーカイブおよびクリーンアップ 」(131ページ)を参照してください。
アーカイブプロセスおよびクリーンアッププロセスでは、PRODUCT が FILEMAINTである MOVER 段落を含むフィルターがチェックされます。ACTIONTYPE が
RETAIN の MOVER パラグラフが見つかると、RETAIN_DAYS キーワードまたは
RETAIN_MONTHS キーワードの値をチェックしてから、XMA データベース内のフィ
ルターのデータ選択基準に一致するオーディットレコードを処理します。
RETAIN パラメーターは、次のとおりです。
RETAIN フィルターのデータ選択基準に一致するオーディットレコ
ードを保持する期間を定義する ACTIONTYPE。
RETAIN_DAYS フィルターの選択基準に一致するオーディットレコードを
アーカイブまたはクリーンアップで削除する前に、XMAデータベースに保持する日数。
日数を 1~5500 (15 年)までの数値で入力するか、「永遠に
削除されない」ことを表す–1 を指定します。
RETAIN_MONTHS フィルターの選択基準に一致するオーディットレコードを
アーカイブまたはクリーンアップで削除する前に、XMAデータベースに保持する月数。
数字 1~180 (15 年)または-1 (削除しない)で月数を入力し
ます。
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 51 Proprietary and Confidential
PRODUCT が FILEMAINT であるフィルターには、他の MOVER 段落を追加できませ
ん。
重要: RETAIN_DAYS キーワードと RETAIN_MONTHS キーワードは、相互に排他
的です。同じフィルター内ではどちらか一方だけを使用でき、両方は使用できません。
例 4 は、アーカイブとクリーンアップを選択するための ACTION 構成の例です。
RETAIN_DAYS が-1 にセットされているため、フィルターの選択基準に一致するデー
タレコードが XMA データベースから削除されることはありません。
ACTION_BEGIN
例 4:アーカイブとクリーンアップを選択するACTIONパラグラフの例
ACTIONTYPE RETAIN RETAIN_DAYS -1 ACTION_END
RUNCMD アクションの構成 RUNCMD アクションを使用すると、DATA 選択基準に一致するオーディットイベン
トの発生時に、TACL コマンドまたは TACL マクロを起動できます。たとえば、パス
ワードが正しくなかったためにフリーズされている SUPER.SUPER または
SEC.ADMIN のフリーズを解除するマクロを XMA が自動的に実行するようにしたい場
合があります。あるいは、新しい OSS ユーザーの追加時に適切な INITIAL DIRECTORY を自動的に作成し、セキュリティを設定したい場合があります。
MOVER の構文解析ルーチンは、RUNCMDDEFBEGIN と RUNCMDDEFEND の間の
パラグラフ内の複数の TACL マクロを受け付けます。メモリ不足以外には、コマンド
の数に制限はありません。コマンドは、カンマ区切りリスト内に連結して記述します。
実行するコマンドの数が 4~5 個を超える場合は、TACL マクロを作成することが最善
の方法となります。その TACL マクロを、1 つの RUNCMD エントリによって実行で
きます。
1 行の最大サイズは 238 バイトで、これが、FILTERS プログラムが読み込むことがで
きる行の最大長にもなります。
注: TACL からの出力をファイルまたはスプーラーにリダイレクトする必要があり
ます。MOVER がサービスコマンドを起動する TACL には、端末が存在しませ
ん。
ACTION_BEGIN
構文:
ACTIONTYPE RUNCMD MAXCOMPLETIONTIME <seconds> RUNCMDDEFBEGIN $<volume>.<subvolume>.<macro filename> RUNCMDDEFEND ACTION_END
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 52 Proprietary and Confidential
例 5 は、すべての出力をスプーラーにリダイレクトするマクロの例です。このマクロ
によって、<date and time> "Macro1 has fired"という 1 行がスプーラーに送信されま
す。
?tacl macro
例 5:出力をスプーラーに送信するマクロの例
== Save the current #out parameter by "pushing" it. #push #out == Direct all TACL terminal output to the Spooler. #set #out $s.#mac1 == The next command writes a single line to the spooler. #output [#contime [#timestamp]] Macro1 has fired. == The next command returns TACL's output to its original state. #pop #out
例 6 は、RUNCMD アクションの例です。MOVER は ARUNCMD という名前のマクロ
を TACL に渡し、TACL からのマクロの実行が成功したという応答を待機します。
ACTION_BEGIN
例 6:TACLマクロを起動するRUNCMDの例
ACTIONTYPE RUNCMD MAXCOMPLETIONTIME 300 RUNCMDDEFBEGIN $SECURE.XYGATEMA.ARUNCMD RUNCMDDEFEND ACTION_END
例 7 は、2 つの TACL マクロを実行する RUNCMD アクションの例です。MOVER は
2 つのコマンドを TACL に渡し、TACL からのコマンドの実行が成功したという応答
を待機します。
ACTIONCOLL_BEGIN
例 7:複数のTACLコマンドを起動するRUNCMDの例
ACTION_BEGIN ACTIONTYPE RUNCMD MAXCOMPLETIONTIME 300 RUNCMDDEFBEGIN run $secure.secmacs.macro1 run $secure.secmacs.macro2 RUNCMDDEFEND ACTION_END ACTIONCOLL_END
MAXCOMPLETIONTIME MOVER が RUNCMD ステートメントを起動すると、連結されたコマンドが TACL に
送信され、実行されます。そして、MOVER は、コマンドを実行したという TACL か
らの応答を待機します。MOVER が応答を待機する秒数は、MAXMPLETIONTIME に
よって決まります。TACL からの応答が返される前にこの時間が経過すると、エラー
カウンターが加算され、エラーメッセージが生成され、MOVER は処理を継続して、
次に到着するオーディットレコードの処理します。
MAXCOMPLETIONTIME キーワードによって、マクロが完了しない場合のタイムアウ
トが設定されます。この時間内にマクロが完了しないと、MOVER が RUNCMD ステ
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 53 Proprietary and Confidential
ートメントの再実行を 5 回試行します。TACL にコマンドを実行させようとしてエラ
ーが 5 つ発生すると、MOVER が異常終了します。
注: MAXCOMPLETIONTIME で定義された時間内は、MOVER が実際に待機状態に
なり、他のいかなる処理も実行しません。したがって、現実的に可能な限り小
さい値にタイムアウトを設定してください。
TCLEXC 構造体 TCLEXC には、フィルタリングの目的で現在検査されているローの、Audit Session、Audit Detail、Installation、および Product テーブルからの情報が格納されま
す。ACTIONTYPE RUNCMD を指定すると、構造体 TCLEXC を使用できます。この
情報は、Pathway ノードの XMA サブボリューム内の TCLEXC ファイルに格納されま
す。この構造体のフォーマットについては、付録 F:「TCLEXC」(211 ページ~)を参照
してください。
SETDATA アクションの構成 SETDATA アクションを使用して、AUDIT テーブルの USER_DATA カラムにテキス
トを挿入します。そして、そのテキストを、オーディットレポートの選択規準として
使用することや、オーディットレポートに表示することができます。
SETDATA を使用するには、AUDIT テーブルの USER_DATA カラムに挿入するテキ
ストを入力します。
USER_DATA {text string}
構文:
引用符は必要ありませんが、引用符を挿入しても構いません。
テキスト文字列には、最大で 16 文字を指定できます。
例 8 は、SETDATA アクションの例です。テキスト"Priv User"が、AUDIT テーブルの
USER_DATA カラムに挿入されます。この情報を、レポート生成の選択基準として利
用できます。たとえば、特権 ID で何かを実行するすべてのフィルターにこのエント
リがあるのであれば、この文字列によってレコードを選択したオーディットレポート
を実行することで、特権付きのユーザーID に関連するすべてのアクティビティが含ま
れるレポートを作成できます。
ACTION_BEGIN
例 8:SETDATAパラグラフの例
ACTIONTYPE SETDATA AUDIT.USER_DATA Priv user ACTION_END
一部のユーザーはフィルター名の省略形を挿入し、アラートを生成したフィルターに
基づいてレコードを作成できるようにしています。
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 54 Proprietary and Confidential
ACTIONTYPE = SNMPTRAP によって定義される SNMP TRAP アラート SNMP アラートを生成するには、該当するフィルターの次のパラメーターを構成する
必要があります。
SNMP_TRAPDEST SNMP プロセスの IP アドレスとポートが含まれます。ポ
ート番号はオプションです。SNMP TRAP のデフォルトの
ポート番号は 162 です。デフォルトを使用していない場合
は、正しい番号を入力します。例: 192.168.1.1:1062.
SNMP_IPPROCESS SNMP TRAP が置かれているコンピューターと通信する
TCP/IP プロセスの名前です。
SNMP_TRAPNUMBER ユーザーが割り当てる番号です。値の範囲は 0~32767 で
す。
SNMP_COMMUNITY このキーワードのデフォルト値は PUBLIC です。メッセー
ジの宛先には、異なる COMMUNITY 名が必要です。この
要件はセキュリティ機能です。
SNMP_MESSAGE 送信するメッセージです。230 文字以下です。置換トーク
ンを使用できます。
例 9 は、SNMP TRAP アラートの例です。メッセージが、TCP/IP プロセス$ZTCP2経由で、IP アドレス 10.90.90.12 のポート 162 に送信されます。このメッセージには、
AUDIT.RECORDLCT、AUDIT.OPERATION、および AUDIT.RESULT カラムの内容が
含まれます。
ACTION_BEGIN
例 9:SNMP TRAPアラートのACTIONパラグラフの例
ACTIONTYPE SNMPTRAP SNMP_TRAPDEST 10.90.90.12:162 SNMP_IPPROCESS $ztcp2 SNMP_TRAPNUMBER 1001 SNMP_COMMUNITY PUBLIC SNMP_MESSAGE |(AUDIT.RECORDLCT)|-|(AUDIT.OPERATION)| |(AUDIT.RESULT)| ACTION_END
複数のアクションの指定 一致が検出された場合に複数のアクションを実行するように指定できます。アクショ
ンごとに固有のパラグラフを記述します。いずれかのアクションが IGNORE である場
合は、フィルター内の最後に記述する必要があります。
上記の例 10 は、3 つの ACTIONTYPE があるフィルターの例です。一致するオーディ
ットイベントが発生すると、EMS メッセージが生成され、メールが送信され、
AUDIT.USER_DATA カラムが"Sfg Config"にセットされます。
ACTIONCOLL_BEGIN
例 10:複数のアクションを構成する方法
!Action 1 - Send EMS message ACTION_BEGIN ACTIONTYPE ALERT ALERTTARGET \X.$0
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 55 Proprietary and Confidential
ALERTSEVERITY NONCRITICAL ALERTSTRING |(AUDIT.SUBJECTLOGIN)|altered|(AUDIT.OBJECTNAME)| ALERTTOKENSBEGIN ! BODY OF EMS MESSAGE: AUDIT.SUBJECTLOGIN AUDIT.RECORDLCT AUDIT.TERMINAL AUDIT.RESULT ALERTTOKENSEND ACTION_END !Action 2 – Set data in "User_data column" ACTION_BEGIN ACTIONTYPE SETDATA AUDIT.USER_DATA "Sfg Config" ACTION_END !Action 3 - Send email message ACTION_BEGIN ACTIONTYPE MAIL MAIL_SRV mail.bankofcochran.com MAIL_PORT 25 MAIL_FROM [email protected] MAIL_TO [email protected] MAIL_IPPROCESS $ZTCP2 MAIL_SUBJECT XMA-|(AUDIT.SUBJECTLOGIN)|altered|(AUDIT.OBJECTNAME)| MAIL_BODY \X.$SECURE.XYGATEMA.MAILSAFE ACTION_END ACTIONCOLL_END FILTERDEFEND
アラートの追跡 Audit Detail テーブルには、レポート作成の目的に使用される ALERTED という名前の
カラムがあります。このカラムには、アラートのステータスを表す 1 文字のフラグが
含まれます。
ALERTED カラムは下記のいずれかの値を含みます。
値 説明 A Alert - アラートが発行された。
B Blocked - レコードはアラートの対象でしたが、BLOCKALERTSパラメータ
ーがTRUEにセットされていました(詳細は、第 5.7 節の「MOVERパラメータ
ー」(111 ページ)を参照してください)
C Collect-Only(収集専用)– アラート専用/収集専用の環境では、あるイベントに
よってアラートが生成されたものの、実際のアラートはアラート専用の
MOVER によって生成されたものでデータベースが更新されていない場合に、
コレクターが C を設定してデータベースを更新します。
D Duplicate(重複)– レコードはアラートが発行される条件を満たしていました
が、MAXACTIONRATE で指定された時間が経過しています。
F Failed(失敗) – 試行が失敗しました。何らかの問題が発生し、
MAXCOMPLETIONTIME に達する前に所定のアクションを実行できないこと
を表します。
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 56 Proprietary and Confidential
値 説明 G GLOBALBLOCKALERTS に ON が設定されています。アラートが発行され
るはずでしたが、すべてのアラートが抑止されています。
N Not Eligible (対象外) (デフォルト)
O Old– レコードはアラートが発行される条件を満たしていましたが、
MAXRECORDAGE で指定された値よりも古いものです。
注: MAXRECORDAGE、MAXACTIONRATEによって、発生するアラートとアクシ
ョンの数を制御できます。これらのパラメーターの説明は、第 2 章(43 ページ)の「手順 6. FILTERのアクションを定義する 」という見出しの下に記載されてい
ます。
2.3.7 手順 7. FILTERS ファイルの構文チェック FILTERS ファイルの本番コピーを使用すると、各 MOVER サーバークラスオブジェ
クトがプログラムの最初の起動時に FILTERS ファイルを読み取ろうとするため、
MOVER の処理に影響を与えます。FILTERS ファイルのコピーを変更し、構文チェッ
クが成功してから新しいバージョンへと移行することを推奨します。この作業に使用
できるマクロ XMA_EDIT_FILTERS、XMA_UPDATE_FILTERS の説明は、付録 E:「XMA ホストマクロ」(189 ページ~)に記載されています。
注: ステータスが非アクティブであるものも含め、すべてのフィルター定義の構文
エラーがチェックされます。
XMA_FILTERS_CHECK マクロを使用して、FILTERS ファイルの構文をチェックし
てください。
XMA_FILTERS_CHECK [filename]
構文
ファイル名を指定するこのオプションによって、FILTERS ファイルの一時的なバージ
ョンを作成できるため、本番環境に移行する前の見直しと評価が可能です。ファイル
名を入力しないと、本番の FILTERS ファイルがチェックされます。
>RUN XYMOVE CHECKFILTERS tempfilt
XMA 1.71 (c) 1999-2010 XYPRO XYPRO \PROD1 20011231
CHECKFILTERSLからの出力例:
FILTERS CHECKSUM 1141462806 No syntax errors found
各 MOVER は、起動時に FILTERS ファイルを読み込みます。構文エラーが検出され
ると、エラーメッセージが表示され、MOVER サーバークラスが異常終了します。
MOVER は、FILTERS ファイルのタイムスタンプを定期的にチェックし、必要があれ
ば更新された FILTERS ファイルを読み取ります。すでに実行中である MOVER が更
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 57 Proprietary and Confidential
新された FILTERS ファイルにエラーを検出すると、エラーメッセージが表示されま
すが、異常終了しません。メモリ内に最後にロードされた FILTERS ファイルの情報
を使用して、処理を続行します。
2.3.8 手順 8. アラートをテストする テストによって、EMS パラメーター、EMAIL パラメーター、SYSLOG パラメーター、
および SNMP_TRAP パラメーターが正しく構成されていることを確認できます。パ
ラメーターが正しければ、XMA によって、"XMA Test Message"が所定の出力先に送
信されます。
XMA_MANAGERの[Movers Management Menu]のオプション 16:Test basic Alerts
2.4 FILTERS ファイルでのノード条件処理
(85 ページ)を使用すると、必要なパラメーターを設定し、テストメッセージを生成で
きます。
特定の XMA Pathway 内のすべての MOVER が FILTERS ファイルを共有します。そ
の Pathway 内の MOVER がリモートノード上で実行中で Pathway ノードにデータを
送信している場合は、それらのリモートには異なる TCP/IP プロセスや EMS コレクタ
ーを指定したいこともあるでしょう。あるいは、すべてのノードではなく、一部のノ
ードからのイベントに対してのみ、アクションを実行したいこともあるでしょう。
1 つの XMA Pathway によってオーディットデータが収集される NonStop サーバーノ
ードのサブセットに対して一意である FILTERS ファイルパラメーターをカスタマイ
ズするには、ノード条件ステートメントを使用します。
ノード条件ステートメントとは、「この MOVER が実行中の現行ノードの名前が指定
されたノード名またはパターンと一致したら、このフィルター、キーワード、または
選択基準をオーディットレコードの処理時に入れる。ノード名が一致しなければ、こ
の FILTER、キーワード、または選択基準をオーディットレコードの処理時に入れな
い」というクエリです。
#IF @NODE <conditional operator> "<node name or pattern>"
構文:
… text to be included if condition is met … #ENDIF
2.4.1 ノード条件演算子 条件演算子は指定のノード名の評価方法を定義します。
= 指定のノードと xxACL ファイルがロードされるノードの間の完全な一致。ワイ
ルドカード以外のノード名のみを指定できます。名前が一致する場合は、製品
およびノードの条件テキストが評価されます。
NODE = "\WIRE" は、\WIREのみに一致します。
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 58 Proprietary and Confidential
<> 指定のノードと xxACL ファイルがロードされるノードの間の完全な一致。ワイ
ルドカード以外のノード名のみを指定できます。名前が一致する場合は、製品
およびノードの条件テキストが無視されます。
NODE <> "\DEV"
LIKE
は、\DEV以外のノードに一致します。
追加するノード名をワイルドカードで指定する場合は、LIKEを使用します。正
規表現形式のワイルドカードを使用する必要があります。『XYGATE Regular Expressions
その他のXYPROリファレンス
マニュアル
』マニュアルを参照してください(このマニュアルを始めとする
XYPROのマニュアルを入手するには、本書の「
」の節を参照してください)。現在のノード名が正規表現のパターン
に一致する場合は、製品およびノードの条件テキストが評価されます。
NOTLIKE 除外するノード名をワイルドカードで指定する場合は、NOTLIKEを使用しま
す。正規表現形式のワイルドカードを使用する必要があります。(『XYGATE Regular Expressions
』を参照してください。)現在のノード名が正規表現のパ
ターンに一致する場合は、製品およびノードの条件テキストが無視されます。
下記の例 1 で、この FILTER を使用する MOVER がノード\DEV01 で実行中である場
合は、TCP/IP プロセス$ZTC0 経由でメールアラートが送信されます。MOVER が
\PROD1 で実行中であれば、TCP/IP プロセス$ZTCP2 を使用します。
ACTION_BEGIN
例 1:異なるノード上の異なるTCP/IPプロセスを指定する方法
ACTIONTYPE MAIL MAIL_SRV mail.xypro.com MAIL_PORT 25 MAIL_FROM [email protected] MAIL_TO [email protected] #IF @NODE = "\DEV01" MAIL_IPPROCESS $ZTC0 #ENDIF #IF @NODE = "\PROD1" MAIL_IPPROCESS $ZTCP2 #ENDIF MAIL_SUBJECT XMA-|(AUDIT.SUBJECTLOGIN)| INVOKED |(AUDIT.RULENAME)| ! MAIL_BODY \X.$VTLH.P28v160.MAILSAFE ! To prevent alerts on old events, enter MAXRECORDAGE value in SECONDS ! 1 hour = 3600 (60sec x 60min) MAXRECORDAGE 3600 ! 1 hour ACTION_END
下記の例 2 で、この FILTER を使用する MOVER が実行中であるノードの名前が
"\PROD"で始まる場合は、選択基準に一致するイベントの検出時に、メッセージが
EMS に書き込まれます。この FILTER を使用するそれ以外のノードで実行中の
MOVER については、EMS にメッセージは書き込まれません。実行中のノードにかか
わらず、すべての MOVER によって、XMA データベースの USER_DATA カラムに
「特権アクション」が追加されます。
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 59 Proprietary and Confidential
ACTIONCOLL_BEGIN
例 2:全ノードではなく、一部のノードでのイベントに対してEMSアラートを送信する方法
#IF @NODE LIKE "^\\PROD.*" ACTION_BEGIN ACTIONTYPE ALERT ALERTTARGET $0 ALERTSEVERITY CRITICAL ALERTEMSEVENTNUMBER 1001 ALERTSTRING Log down to SUPER.SUPER ALERTTOKENSBEGIN AUDIT.OPERATION AUDIT.OBJECTNAME AUDIT.SUBJECTLOGIN AUDIT.OUTCOME ALERTTOKENSEND MAXRECORDAGE 7200 ! 2 hours ACTION_END #ENDIF ACTION_BEGIN ACTIONTYPE SETDATA AUDIT.USER_DATA XYGATE Priv action ACTION_END != Add other desired ACTIONs here ACTIONCOLL_END
2.5 メールアラート、IPALERT アラート、SNMP アラートの TCP/IP プ
ロセスを指定する
2.5.1 手順 1. WHO コマンドを実行する 各種アラートを送信する TCP/IP プロセスを調べるには、まず初めに、TACL プロン
プトから WHO コマンドを実行します。
\NSKIT06 $DATA08.XYPRO 8> who Home terminal: $ZTN5.#PTJVU1J ?- TACL process: \NSKIT06.$X9NH Primary CPU: 2 (NSE-A) Backup CPU: 3 (NSE-A) Default Segment File: $DATA08.#0001196 Pages allocated: 266 Pages Maximum: 1036 Bytes Used: 17072 (0%) Bytes Maximum: 2121728 Current volume: $DATA08.XYPRO Saved volume: $DATA08.XYPRO Userid: 142,4 Username: XYPRO.DEV Security: "GGGO" Logon name: XYPRO.DEV
2.5.2 手順 2. INFO PROCESS を実行する 次に SCF に移行して、プロセス名に対して INFO PROCESS を実行します。
\NSKIT06 $DATA08.XYPRO 1>scf SCF - T9082H01 - (04DEC06) (15NOV06) - 05/21/2008 09:48:22 System \NSKIT06 (C) 1986 Tandem (C) 2006 Hewlett Packard Development Company, L.P. (Invoking \NSKIT06.$DATA08.XYPRO.SCFCSTM) 1-> info process $ztn5,detail
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 60 Proprietary and Confidential
TELSERV Detailed Info PROCESS \NSKIT06.$ZTN5 PCPU...................1 BCPU................... 0 PPIN...................189 BPIN................... 725 TACL...................ON Transport Process.....$ZTC5 ?- *Menu...................ON Transport Type.........TCP/IP *Timeout Value..........N/A Port................... 23 *Banner Timeout Value...N/A Total Services......... 2 *Max Terminals..........512 Total Terminals........ 8 Program................\NSKIT06.$SYSTEM.SYS01.TELSERV *CPU List............... 0 ,1 ,2 ,3 ,4 ,5 ,6 ,7 ,8 ,9 ,10 ,11 ,12 ,13 ,14 ,15 *DROPCR.................ON
転送プロセス名を、次のプロセスのプロセス名として入力してください。
• IPALERT_IPPROCESS
• MAIL_IPPROCESS
• SNMP_IPPROCESS
2.6 XMA データのオーディットロギングアプライアンスへの送信 XYGATEMA を構成してオーディットデータを SIME (Security Information and Event Management)アプライアンスに送信するようにするには、SYSLOGQ または
IPALERT のいずれかの ACTIONTYPE の 1 つ以上のフィルターを構成する必要があり
ます。
SYSLOGQ を選択する理由 SYSLOGQ アクションによって、オーディットデータが TCP/IP 経由で SIEM に送信
されます。PCI の要件によって NonStop サーバーのオーディットトレイルファイルを
中央サーバーにバックアップする場合には、この方法を推奨します。
SYSLOGQ の場合には、MOVER がキューに送信したレコードを、SLSENDER サー
バークラスが処理します。
SLSENDER は NonStop サーバー上の現行ポートをオープンすると、キューを継続し
て処理し、メッセージをポートに送信します。
SYSLOGQ イベントは「再生可能」であるため、何らかの理由で SIEM アプライアンス
にアクセスできない場合も、オーディットレコードを再送できます。
IPALERT を選択する理由 IPALERT アクションによって、オーディットデータが UDP 経由で SIEM に送信され
ます。IPALERT は、現段階では UDP syslog 入力のみを受け付ける HP CLW アプラ
イアンスに必要です。
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 61 Proprietary and Confidential
IPALERT アクションでは、個々の MOVER が現行ポートをオープンして処理中の
個々のオーディットレコードを送信し、その後にポートをクローズします。
オーディットイベントは、簡単には再送できません。
2.6.1 SIEM 実装のためのフィルターの構成 2 つのサンプル IPALERT フィルターと 2 つのサンプル SYSLOGQ フィルターが、
XYGATEMA サブボリュームの FILTSAMP ファイルにあります。どちらのタイプでも、
1 つは、EMS 以外のすべての MOVER によって収集されたオーディット情報を送信す
るフィルターです。もう 1 つは、EMS MOVER によって収集されたオーディット情報
を送信するフィルターです。
EMS イベントのフィルターが他とは別に用意されているのは、EMS ログには多くの
種類のメッセージが含まれていて、セキュリティ関連の一部の EMS メッセージだけ
を SIEM に送信したいこともあるためです。
選択したイベントだけが送信されるようにするには、「EMSのみ」のフィルターに 1 つ
以上のデータ選択パラグラフを追加してから、ステータスをアクティブに変更します。
詳細は、第 2.3.5 節「手順 5. フィルターのデータ選択基準を定義する 」(37 ページ)を参
照してください。
いずれの SYSLOG フィルターでも、SIEM に関する情報を定義する必要があります。
IPALERT_ADDRESS ターゲット SIEM アプライアンスの IP アドレス。
IPALERT_PORT アプライアンスの受信ポート。
IPALERT_PREFIX syslog プロトコル接頭辞。使用している SIEM によって、
必須である場合も必須ではない場合もあります。
NonStop サーバーに関する次の情報も定義します。
IPALERT_PROCESS メッセージを送信する NonStop サーバー上の TCP/IP プロ
セスを入力する必要があります。
オプションのキーワードは、以下のとおりです。
IPALERT_SET_ALERTED IPALERT_SET_ALERTEDキーワードを使用すると、
ALERTEDフラグを N以外の値に設定するかどうかを指定
できます。このオプションは、指定されているフィルター
にのみ適用されます。EVALUATE_MSGを使用していて、
別のアラートタイプが生成されると、フラグは A
ALERTSTRING キーワードによって、オーディットレコード内のどの情報が SIEM に
送信されるかが決定します。デフォルトのフィルターは、すべての XYGATEMA デー
タテーブルのすべてのカラムを予め設定された順序で SIEM に送信するように設計さ
れています。
に設定さ
れます。
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 62 Proprietary and Confidential
重要:
2.6.2 UDP でデータを送信するフィルターの構成
これらのフィルターに定義されている順序やトークンを変更しないでください。
SIEMは、デフォルトのFILTERSファイルに定義されている順序でこれらのカラムを
解析してデータベースに格納するようにプログラミングされています。
UPD でデータを転送する、FILTSAMP ファイルの IPALERT アクションのフィルター
は、以下のとおりです。 $UDP-ALL-EVENTS-EXCEPT-EMS $UDP-EMS-EVENTS-ONLY
CLW の場合:
1. IPALERT_PORT を入力します。
通常は 514 ですが、これ以外の番号であることもあります。SIEM 管理者に確認し
てください。
IPALERT_PORT 514
2. IPALERT_PREFIX を入力します。
このキーワードはオプションです。指定する場合は、文字列テキストまたは標準
の syslog 接頭辞を指定します。何らかの接頭辞が必要かどうかを、SIEM 管理者
に確認してください。
3. syslog メッセージを送信する NonStop サーバーの TCP/IP プロセスの名前を入力
します。
IPALERT_PROCESS $ZCT0
4. CLW の IP アドレスを入力します。
IPALERT_ADDRESS 10.1.1.27
5. [Movers Management Menu]のオプション 16 (121 ページを参照)を使用して、パ
ラメーターをテストします。
XYGATEMA によってテストメッセージが CLW に送信され、パラメーターが正し
く、ファイアウォールに関する問題が発生しないことが確認されます。
6. 一方または両方の CLW フィルターのステータスを ACTIVE に変更します。
XYGATEMA は、CLW へのオーディット情報の送信を開始します。
2.6.3 SYSLOGQ フィルターの構成 TCP/IP 経由でデータを受信できる、SIEM のデフォルト FILTERS ファイルの
SYSLOGQ アクションのフィルターは、以下のとおりです。
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 63 Proprietary and Confidential
$SYSLOGQ-ALL-EVENTS-EXCEPT-EMS $SYSLOGQ-EMS-EVENTS-ONLY
TCP/IP 経由でデータを SIEM に送信する場合は、次のように、フィルターの
ACTIONTYPE を SYSLOGQ に設定します。
ACTIONTYPE SYSLOGQ
SLSENDERサーバークラスが構成され、XMA Pathwayで実行中であることを確認す
る必要もあります。SYSLOGQサーバーは、[Movers Management Menu]のオプショ
ン 18 (85 ページ)で構成します。
1. IPALERT_PORT を入力します。
通常は 514 ですが、これ以外の番号であることもあります。SIEM 管理者に確認し
てください。
IPALERT_PORT 10.1.1.27
2. IPALERT_PREFIX を入力します。
このキーワードはオプションです。指定する場合は、文字列テキストまたは標準
の syslog 接頭辞を指定します。何らかの接頭辞が必要かどうかを、SIEM 管理者
に確認してください。
3. syslog メッセージを送信する NonStop サーバーの TCP/IP プロセスの名前を入力
します。
IPALERT_PROCESS $ZCT0
4. SIEM の IP アドレスを入力します。
IPALERT_ADDRESS 10.1.1.27
5. IPALERT_MSGDELIMITER を入力します。
このキーワードは必須です。各オーディットレコードの末尾に挿入される文字を
決定します。使用する SIEM で必要な値を、SIEM 管理者に確認してください。 有効な値は、CR、LF、CRLF、NULL です。
IPALERT_MSGDELIMITER CR
6. [Movers Management Menu]のオプション 16 (85 ページを参照)を使用して、パラ
メーターをテストします。
XYGATEMA によってテストメッセージが SIEM に送信され、パラメーターが正し
く、ファイアウォールに関する問題が発生しないことが確認されます。
7. 一方または両方の SYSLOGQ フィルターのステータスを ACTIVE に変更します。
XYGATEMA は、SIEM へのオーディット情報の送信を開始します。
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 64 Proprietary and Confidential
2.6.4 SIEM アプライアンスとの通信のトラブルシューティング この節では、SIEM アプライアンスとの通信の NonStop (XYGATEMA)側のトラブルシ
ューティングについて説明します。
1. IPALERT/SYSLOGQ F ILTER のステータスがアクティブであることを確認します。
NonStopサーバー上でXMA_EDIT_FILTERS(200 ページ)を使用するか、XYGATE Configuration Manager GUIを使用して、FILTERSファイルを見直します。
2. Pathway と MOVER が実行中であることを確認します。
a. XYGATEMA の Pathway プロセス名(デフォルト名は$XMA)に対して status を実
行します。
2> System \NODEA
status $xma
Process Pri PFR %WT Userid Program file Hometerm $XMA 0,209 145 001 255,255 $SYSTEM.SYSTEM.PATHMON $VHS Swap File Name: $SYSTEM.#0 Current Extended Swap File Name: $SYSTEM.#0 $XMA B 1,68 145 001 255,255 $SYSTEM.SYSTEM.PATHMON $VHS Swap File Name: $SYSTEM.#0 Current Extended Swap File Name: $SYSTEM.#0
b. [Pathway Management Menu]のオプション 4:Quick Server Status
3. TCP/IP でデータを送信する場合は、SLSENDER サーバーのステータスをチェッ
クします。
(83 ページ)、またはPATHCOMを使用して、MOVERのステータスを確認します。
a. Pathway で、次のように行います。
2 > pathcom $XMA $Z94W: PATHCOM - T8344H01 - (01FEB10) (C)1980 Tandem (C)2005-2008,2010 Hewlett Packard Development Company, L.P. =status server slsender SERVER #RUNNING ERROR INFO SLSENDER 1
b. XMA_MANAGER の[Movers Management Menu]のオプション 21 を実行します。
4. テスト用の IPALERT/SYSLOGQ メッセージを SIEM に送信します。
a. [Movers Management Menu]のオプション 16:Test basic Alerts
b. 該当する番号と入力された値を選択することで、メッセージを送信するSIEMと
NonStop TCP/IPプロセスに正しいIPアドレスとポートをセットします。設定が終
わったら、「
(85 ページ)を使用します。
R: Run」を選択してテストメッセージを開始します。
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 65 Proprietary and Confidential
5. SIEM に対して PING を実行します。
a. TACLで「info define *
b. DEFINE を変更して IPALERT/SYSLOGQ の TCPIP プロセスを指すようにする
には、次のように入力します。
」を実行して現在のTCP/IPプロセスの定義を確認し
ます。TCP/IPプロセスがIPALERT/SYSLOGQ FILTERSに構成されているものと
同じでない場合は、現行セッションでIPALERT/SYSLOGQのTCP/IPプロセスに対
してDEFINEをセットします。
$$DATA04.XYGATEMA 21> alter define =tcpip^process^name,file $ztc2
c. ログウェアハウスに対して PING を実行します。
$$DATA04.XYGATEMA 22> ping 10.1.1.27 PING 10.1.1.83:56 data bytes 64 bytes from 10.1.1.27:icmp_seq=0. time=29. ms 64 bytes from 10.1.1.27:icmp_seq=1. time=10. ms 64 bytes from 10.1.1.27:icmp_seq=2. time=10. ms 64 bytes from 10.1.1.27:icmp_seq=3. time=10. ms ----10.1.1.83 PING Statistics---- 4 packets transmitted, 4 packets received, 0% packet loss round-trip (ms) min/avg/max = 10/14/29 $$DATA04.XYGATEMA 23>
このテストによって、XYGATEMA が有効な TCP/IP プロセス経由で有効なア
ドレス(ログウェアハウス)にデータを送信しているのを確認できます。
6. SIEM に送られるメッセージをスニファーで確認します。
可能であれば、スニファーを使用して、NonStop サーバーからメッセージが送信
されてくるかどうかを確認します。問題があれば、SIEM に対するトラブルシュー
ティングによって、メッセージが受信あるいは処理されない理由を突き止める必
要があります。
2.6.5 XMA SYSLOG メッセージの構文解析 開発者がXMA SYSLOGメッセージを構文解析してRSA enVision®、LogLogic®
• XRM レポートの出力を送信することで得られるスプレッドシートには、サイトで
使用しているすべての製品からのオーディット情報が出力されます。
、HP CLWなどの外部のオーディットウェアハウスシステムに渡す場合には、次の情報を提
供できます。
• ログウェアハウスに送信されるトークンの順番と内容(下表を参照してください)。
• 作成されるスプレッドシート内のトークンと列見出しの関係。
テスト期間中はテスト用 FILTERS (TFILTERS)ファイルを XYGATEMA サブボリュー
ムに置くことで、プログラマーが構文解析をテストできます。
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 66 Proprietary and Confidential
TFILTERS ファイルに含まれるテスト版の IPALERT フィルターは、ログウェアハウ
スにカラムの内容を送信するかわりに、要素(トークン)のシーケンス番号と列見出し
を送信するため、構文解析したデータがデータベース内の正しいカラムに渡されるの
を検証できます。
IPALERT FILTER 経由で送信されるトークンの順番と内容
IPALERT フィルターからの番号付き要素 GUI Report Manager
ALERTSTRING @0 (存在しない)
ALERTSTRING @ E2 SESSION.RECORDSESSIONKEY (存在しない) = 空
ALERTSTRING @ E3 SESSION.RECORDINSTALLKEY (存在しない) = 空
ALERTSTRING @ E4 SESSION.SESSIONID セッション ID
ALERTSTRING @ E5 SESSION.FOUNDSESSIONSTART Found Session Start (セッシ
ョン開始が見つかった)
ALERTSTRING @ E6 SESSION.FOUNDSESSIONEND Found Session End (セッショ
ン終了が見つかった)
ALERTSTRING @ E7 SESSION.SESSIONNAME セッションの DNS 名
ALERTSTRING @ E8 SESSION.PROCESSTHREADID プロセス ID
ALERTSTRING @ E9 SESSION.PROCESSTHREADID2 関連プロセス ID
ALERTSTRING @ E10 SESSION.CLIENTPROGRAM クライアントプログラム
ALERTSTRING @ E11 SESSION.ANCESTORPROCESSTHREADID
親プロセス ID
ALERTSTRING @ E12 SESSION.IPADDRESS IP ALERTSTRING @ E13 SESSION.DNSNAME DNS 名
ALERTSTRING @ E14 SESSION.CLIENTCURRDIR 現行ディレクトリ
ALERTSTRING @ E15 INSTALL.RECORDINSTALLKEY (存在しない) = E3
ALERTSTRING @ (INSTALL.PRODUCTCODE)| 製品コード
ALERTSTRING @ E17 INSTALL.IPADDRESS IP ALERTSTRING @ E18 INSTALL.SYSTEMNAME 製品のシステム
ALERTSTRING @ E19 INSTALL.LOCATION 製品の場所
ALERTSTRING @ E20 INSTALL.DNSNAME DNS 名
ALERTSTRING @0 (Excel にはなし)
ALERTSTRING @ |(AUDIT.RECORDGMT)| GMT 日時
ALERTSTRING @ E23 AUDIT.GMTSEQNO GMT シーケンシャル番号
ALERTSTRING @ |(AUDIT.RECORDLCT)| 日時
ALERTSTRING @ E25 AUDIT.RECORDAUDITKEY オーディットキー
ALERTSTRING @ E26 AUDIT.RECORDSESSIONKEY (存在しない) = E2
ALERTSTRING @ E27 AUDIT.SEQNO シーケンシャル番号
XYGATE Merged Audit®リファレンスマニュアル 第 2 章 フィルターと FILTERS ファイルの構成
XYPRO Technology Corporation 67 Proprietary and Confidential
IPALERT FILTER 経由で送信されるトークンの順番と内容 ALERTSTRING @ E28 AUDIT.OUTCOME outcome ALERTSTRING @ E29 AUDIT.WARNINGMODE Warning Mode ALERTSTRING @ E30 AUDIT.TESTMODE テストモード
ALERTSTRING @ E31 AUDIT.SEVERITY 重要度
ALERTSTRING @ E32 AUDIT.ALERTED alerted ALERTSTRING @ E33 AUDIT.PRODUCTCODE 製品コード
ALERTSTRING @ E34 AUDIT.SUBJECT_USERNUMBER_MAJOR
対象グループ番号
ALERTSTRING @ E35 AUDIT.SUBJECT_USERNUMBER_MINOR
対象ユーザー番号
ALERTSTRING @ E36 AUDIT.TARGET_USERNUMBER_MAJOR
ターゲットグループ番号
ALERTSTRING @ E37 AUDIT.TARGET_USERNUMBER_MINOR
ターゲットユーザー番号
ALERTSTRING @ E38 AUDIT.SUBJECTLOGIN 対象ログオン
ALERTSTRING @ E39 AUDIT.SUBJECTSYSTEM 対象システム
ALERTSTRING @ E40 AUDIT.TARGETLOGIN ターゲットログイン
ALERTSTRING @ E41 AUDIT.OBJECTTYPE オブジェクトタイプ
ALERTSTRING @ E42 AUDIT.OBJECTNAME オブジェクト名
ALERTSTRING @ E43 AUDIT.OPERATION operation ALERTSTRING @ E44 AUDIT.TERMINAL terminal ALERTSTRING @ E45 AUDIT.MESSAGEID Message ID ALERTSTRING @ E46 AUDIT.MESSAGECODE メッセージコード
ALERTSTRING @ E47 AUDIT.RULENAME rulename ALERTSTRING @ E48 AUDIT.USER_DATA ユーザーデータ
ALERTSTRING @ E49 AUDIT.RESULT result
注: FILTERSファイル内のTOKENSの順番を変更する場合は、テーブルも同じよう
に変更するようにプログラマーに依頼してください。
XYPRO Technology Corporation 69 Proprietary and Confidential
第3章 XRM を使用したレポートの生成
XYGATE Audit Report Manager (XRM)は、Safeguard Reports製品などのホストベー
スのXYGATEレポートマクロを実行するためのグラフィカルユーザーインターフェイ
ス(GUI)です。この章では、XMAデータベースからレポートを生成する手順のみを説
明します。XRM製品のすべてのリファレンスは、『XYGATE Configuration and Audit Reporting Reference Manual
その他のXYPROリファレ
ンスマニュアル
』を参照してください(このマニュアルを始めとする
XYPROのマニュアルを入手する方法については、本書の「
」を参照してください)。
XMA_REPORT マクロは、SQLCI のクエリとレポートライターの機能を使用してレポ
ートを生成します。使用するインストール環境で SQLCI にライセンスが付与されて
いないと、これらのマクロを使用できません。
3.1 XMA_REPORT を使用したオーディットレポートの生成 XMA_REPORT マクロは、TACL セッションから XMA オーディットレポートを生成
します。次ページに記載するように、[Report Selection]画面に、変更可能なすべての
選択基準が表示されます。これらの選択基準を変更することで、レポートに出力され
るオーディットレコードを絞り込むことができます。
選択基準を変更するには、変更したい項目を表す文字を入力します。必要なすべての
選択基準を設定したら、「Z」または「ZP」を選択してレポートを生成します。
Z レポートを生成し、TACLプロンプトに戻ります。
ZP
構文:
レポートを生成し、PERUSEを開きます。PERUSEを終了すると、直前のエン
トリが保持された状態で[Report Selection]画面が再度表示されます。必要であれば、
選択基準を変更して別のレポートを生成できます。
XMA_REPORT [-D]
注:
エラーがない場合でも SQLCI の実行を強制表示させる場合は、このマクロで–D オプ
ションを使用して表示を強制的に行います。
このマクロで生成されたSQLCIの実行中にエラーが発生した場合は、エラー指
示子を含むマクロの内容全体が表示されます。
XYGATE Merged Audit®リファレンスマニュアル 第 3 章 XRM を使用したレポートの生成
XYPRO Technology Corporation 70 Proprietary and Confidential
例: $SYSTEM XYGATEMA 5> Choose an option:
xma_report
A: Audit Subvolume :$SYSTEM.XMADAT B: Report date range :2010-07-09 00:00 to 2010-07-09 23:59 C: Subject Userid :*.* D: Subject Login Name :* E: Subject System :* F: Subject Terminal :* G: Object Type :* H: Object Name :* I: Operation :* J: Outcome (All,S,F,N) :ALL K: Output file :$S.#XYGATE.XMAREP L: Sort order :TIME M: Rule Name :* N: Product Code :* O: Alerted :Both P: Result :* Q: Message Code :* R: Message ID :* X: Exit the report macro Z: Run the audit report ZP: Run the audit report and go into PERUSE and return here Hit Break or Control-Y to terminate Selection?
[Report Selection]画面が表示されたら、変更したい項目の文字を入力します。変更は
1 項目ずつ行います。入力するごとに、[Report Selection]画面が再表示され、それま
でにした選択の内容が表示されます。
すべての選択基準を指定し終えたら、「Z」または「ZP
[Report Selection]画面を閉じるには、「
」を選択してレポートを生成
します。
X」を選択するか、Breakまたは Ctrl-Y
3.2 オーディットサブボリュームの選択
を押しま
す。
このサブボリュームは、XMA SQLデータベースのある場所です。多くの場合、デー
タベースは 1 つだけ存在します。現在使用している以外のSQLデータベースを選択す
るには、「A
Selection?a
」を選択します。
Name of audit subvol ?$dataa.p28dvdat
[Report Selection]画面が再度表示され、指定したオーディットファイルが表示されま
す。 A:Audit subvolume :$dataa.p28dvdat
XYGATE Merged Audit®リファレンスマニュアル 第 3 章 XRM を使用したレポートの生成
XYPRO Technology Corporation 71 Proprietary and Confidential
3.3 日付範囲、時刻範囲、またはその両方による選択 XMA レポートの対象範囲を、選択した期間内に絞り込むことができます。
開始日(「from」)と終了日(「to」)を、YYYY-MM-DD 形式で入力します。日付の先頭
部分を省略すると、デフォルトでは、当日の日付が使用されます。つまり、実行して
いる日が 2010 年 12 月 13 日で、日付に 12 と入力すると、使用される日付は 2010 年
12 月 12 日となります。
開始時刻(「from」)と終了時刻(「to」)を、HH:MM 形式(24 時間形式)で入力します。
日付、時刻、またはその両方の範囲を変更するには、「B」を選択します。 Selection?b If the leading portion of a date is omitted it will default to today's date, I.E. if today is 13.01.95 and a date of 12 is entered, a date of 12.01.95 will be used From date <2001-07-20>? 19 From time <00:00>? To date <2001-07-20> ?19 To time <23:59> ?
[Report Selection]画面が再度表示され、指定した日付範囲が示されます。 B:Report date range :19.07.01 00:00 to 19.07.01 23:59
3.4 対象のユーザーID による選択 対象のユーザーID は、レポートに含まれるアクティビティおよびアクセスを実行する
ユーザーの HP NonStop ユーザーID です。HP NonStop のグループ名、ユーザー名、
グループ番号、ユーザー番号のいずれかを入力できます。
エイリアスのレポートを作成する場合は、「D」(ログイン名)を使用します。
レポートに追加するユーザーID を選択するには、「C」と入力します。 例: Selection?c Enter the user(s) to run the report for.The valid input for user is one of the following: #,# GROUP.GROUP.USER . User < . >?222,77
[Report Selection]画面が再度表示され、入力した選択内容が示されます。 C:Subject userid :222,77
XYGATE Merged Audit®リファレンスマニュアル 第 3 章 XRM を使用したレポートの生成
XYPRO Technology Corporation 72 Proprietary and Confidential
3.5 対象のログイン名による選択 ログイン名は、レポートに含まれるアクティビティおよびアクセスを実行するユーザ
ーの HP NonStop の group name.user name、または Safeguard エイリアスです。デ
フォルトは「アスタリスク(*)」であり、すべてのログイン名が含まれます。
注:ログイン名では大文字と小文字が区別されます。検索するオブジェクト名が小文
字を含んだエイリアスである場合を除き、大文字を使用する必要があります。
カンマで区切ったリストにログイン名を入力することにより、レポート対象を 1 人の
ユーザー、あるいはそれ以上の特定のユーザーに絞り込むことができます。
注: カンマの前後にスペースを入れないでください。
例 1 は、ログイン名 XYPRO.TARRANZ
例 1:XYPRO.TARRANZ
のすべてのオーディットエントリを検出します。
例 2 は、ログイン名 XYPRO.TARRANZ、エイリアス tlh
例 2:XYPRO.TARRANZ,tlh
のすべてのオーディットエント
リを検出します。
NOTステートメントを使用すれば、特定のユーザーを除外することもできます。NOTステートメントは、選択した最初のログイン名の後に続けます。たとえ
ば、XYPRO.LYLE
XYPRO.NOT XYPRO.LYLE.
を除くすべてのXYPROユーザーのアクティビティに関するレポート
を作成する場合は、次のように入力します。
ログオン名をカンマで区切って入力すると、複数のユーザーを除外できます。
例 3 は、XYPRO.TARRANZ
例 3:XYPRO. not XYPRO.TARRANZ
を除いたXYPROグループのユーザーの全オーディットエン
トリを検出します。
例 4 は、XYPRO.TARRANZ、エイリアス tlh
例 4:XYPRO. not XYPRO.TARRANZ,tlh
を除いたXYPROグループのユーザーの全
オーディットエントリを検出します。
以下の「ワイルドカード指定」規則を使うこともできます。
• ログイン名を示す文字列の先頭にアスタリスク(*)を置くと、入力した文字列を含
むすべてのログイン名がレポートに追加されます。
• ログイン名を表す文字列の最後にアスタリスク(*)を置くと、前述のすべての例と
同様に、入力した文字列から始まるすべてのログイン名がレポートに追加されま
す。
XYGATE Merged Audit®リファレンスマニュアル 第 3 章 XRM を使用したレポートの生成
XYPRO Technology Corporation 73 Proprietary and Confidential
• 先頭や末尾にアスタリスクを使用しない文字列を入力すると、前述の例 3 と例 4の NOT ステートメントで示しているとおり、入力した文字列に完全に一致するロ
グオン名のみが追加されます。
レポートに追加するログイン名を選択するには、「D」を選択します。 例 5:
Selection? d Enter case sensitive login names separated by commas. A leading * on a login name will match any login names that contain the specified string. A trailing * will match any login names that start with the specified string. The NOT keyword can be used: <loginname list> NOT <loginname list> Login name < >? XYPRO.TARRANZ, tlh
[Report Selection]画面が再度表示され、入力した選択内容が示されます。 D: Subject Login name : XYPRO.TARRANZ, tlh
3.6 システムによる選択 XMA は、複数のノードからデータを収集し、1 つの一元的なデータベースに統合しま
す。ネットワーク上の 1 つのノードからの情報を表示したいこともあるでしょう。有
効な 1 つのノード名を入力できます。
レポートに追加するシステムを選択するには、「E」と入力します。 Selection?e Subject system < >?\PROD2
[Report Selection]画面が再度表示され、入力した選択内容が示されます。 E:Subject System :\PROD2
3.7 対象の端末による選択 レポートは、選択した端末または端末グループで実行された処理に限定できます。有
効な端末名またはアスタリスク(*)を入力すると、すべての端末を追加できます。
デフォルトの「アスタリスク(*)」は、すべての端末が対象になります。次のように、レ
ポートに追加する端末を選択するには「F」を選択します。 例:$ZTNP 例:$B1.#D1
[SUBJECT USERID]フィールドの説明にあるのと同じワイルドカード指定の規則に従
えば、端末名の一部を入力することもできます。直前にアスタリスク(*)を付けて端末
名の一部を入力すると、そのエントリを含むすべての端末がレポートに追加されます。
たとえば、「$B1.#*」と入力すると、これらの文字によって特定されたすべての端末
XYGATE Merged Audit®リファレンスマニュアル 第 3 章 XRM を使用したレポートの生成
XYPRO Technology Corporation 74 Proprietary and Confidential
($B1.#A7や $B1.#D2
Selection?f
など)がレポートに追加されます。また、NOTステートメントを
使用して特定の端末をレポートから除外することもできます。
Enter terminal names separated by commas. A leading * on a terminal will match any terminals that contain the specified string. A trailing * will match any terminals that start with the specified string. The NOT keyword can be used: <terminal list> NOT <terminal list> Terminal < >?#PTYJAC1
[Report Selection]画面が再度表示され、入力した選択内容が示されます。 F:Subject Terminal :#PTYJAC1
3.8 対象のオブジェクトタイプによる選択 レポートの対象を、オブジェクトの 1 つのタイプに絞り込めます。有効なオブジェク
ト名またはアスタリスク(*)を入力すると、すべてのオブジェクトを追加できます。
レポートに追加するオブジェクトタイプを選択するには、「G」を選択します。 Selection?g Enter object types separated by commas. A leading * on an object type will match any object types that contain the specified string. A trailing * will match any object types that start with the specified string. The NOT keyword can be used: <object list> NOT <object list> Object Type < >?process
[Report Selection]画面が再度表示され、入力した選択内容が示されます。 G:Object Type :PROCESS
3.9 オブジェクト名による選択 レポートの対象を、1 つのオブジェクトに、またはオブジェクト名を入力することで
特定のオブジェクトに絞り込めます。デフォルトはアスタリスク(*)で、すべてのオブ
ジェクトが対象になります。
注: 他のフィールドとは異なり、オブジェクト名のエントリでは大文字と小文字が
区別されます。オブジェクト名が小文字を含んだエイリアスである場合を除き、
大文字を使用する必要があります。
レポートに追加するオブジェクト名を選択するには、「H」を選択します。
Selection?h Enter case sensitive object names separated by commas. A leading * on an object name will match any object names that
XYGATE Merged Audit®リファレンスマニュアル 第 3 章 XRM を使用したレポートの生成
XYPRO Technology Corporation 75 Proprietary and Confidential
contain the specified string. A trailing * will match any object names that start with the specified string. The NOT keyword can be used: <object list> NOT <object list> Object Name < >? P09F001, P
[Report Selection]画面が再度表示され、入力した選択内容が示されます。 H: Object Name : P09F001, P
カンマで区切ったリストにオブジェクト名を入力することにより、レポート対象を 1つ、あるいはそれ以上の特定のオブジェクトに絞り込むことができます。
注::
例 1 では、オブジェクト名としてプロセス
カンマの前後にスペースを入れないでください。
$XSR
例 1:$XSR
のすべてのオーディットエントリが
検出されます。
例 2 では、オブジェクト名としてプロセス $XSRと $XYOP
例 2:$XSR,$XYOP
のすべてのオーディットエ
ントリが検出されます。
NOTステートメントを使用すれば、特定のオブジェクトを除外することもできます。
NOTステートメントは、選択した最初のオブジェクト名の後に続けます。たとえば、
EDITプログラムを除く $SYSTEM.SYSTEM上のすべてのファイルに対するアクセスをレ
ポートに追加するには、「$SYSTEM.SYSTEM. NOT $SYSTEM.SYSTEM.EDIT
対象から除外するオブジェクト名をカンマで区切って入力すると、複数のオブジェク
トを除外できます。例 3 では、
」と入
力します。
$SYSTEM.SYSTEM
例 3:$SYSTEM.SYSTEM.NOT $SYSTEM.SYSTEM.EDIT,$SYSTEM.SYSTEM.FUP
内のEDITとFUPを除くすべてのオー
ディットエントリが検出されます。
3.10 操作による選択 PURGE や REVOKE など、特定の操作のみにレポートを絞り込むことができます。複
数の操作をカンマで区切ることで、1 行にまとめることができます。エントリには大
文字小文字の区別はありません。 例: Operation < >?license,progid
上記の例では、LICENSE あるいは PROGID の OPERATION の操作のオーディットエ
ントリをすべて検出します。
デフォルトの「*」は、すべての操作が対象になります。レポートに追加する操作を選択
するには、「I」を選択します。
XYGATE Merged Audit®リファレンスマニュアル 第 3 章 XRM を使用したレポートの生成
XYPRO Technology Corporation 76 Proprietary and Confidential
例: Selection? I Enter operation names separated by commas. A leading * on an operation will match any operations that contain the specified string. A trailing * will match any operations that start with the specified string. The NOT keyword can be used: <operation list> NOT <operation list> Operation < >?READ
[Report Selection]画面が再度表示され、入力した選択内容が示されます。 I: Operation :READ
3.11 結果による選択 XYGATE 製品と Safeguard で使用されるさまざまな結果や結果コードはすべて、3 つ
の値の SUCCESS、NORECORD、FAILURE のいずれかにマッピングされています。
レポートを 1 つの結果だけに絞り込めます。
レポートに追加する結果を選択するには、「J」を選択します。
Selection?j Enter the type of Access Results to include in the report: Result (All,Success,Failure,Norecord) <ALL>?NORECORD
[Report Selection]画面が再度表示され、入力した選択内容が示されます。 J: Outcome (All,S,F,N) :NORECORD
3.12 ファイルの出力先の選択 XMA_REPORTマクロでは、ジョブを作成し、そのジョブをスプーラーに配置します。
デフォルトのロケーションは、$S.#XYGATE.XMAREP
デフォルトのスプーラーコレクターは、MACONF ファイルに定義されている
です。
COLLECTOR(149 ページ)です。スプール先を変更するには、「K」を選択します。
例: Selection? k Output file <$S.#XYGATE.XMAREP>?$s.#xygate.xmawe
[Report Selection]画面が再度表示され、入力した選択内容が示されます。 k: Output file :$s.#xygate.xmawe
XYGATE Merged Audit®リファレンスマニュアル 第 3 章 XRM を使用したレポートの生成
XYPRO Technology Corporation 77 Proprietary and Confidential
3.13 レポートのソート順の選択 要件に最適のレポート形式を選択できます。XMA では、ソートオプションの USER、
LOGINNAME、TIME、OBJECT、PORT を利用できます。
USER オーディットエントリは、ユーザー別および時間別にグループ化さ
れます。
LOGINNAME オーディットエントリは、ログイン名別および時間別にグループ化
されます。
TIME オーディットエントリを、正確な時系列順で表示します。
OBJECT オーディットエントリは、オブジェクト別および時間別にグループ
化されます。
PORT オーディットエントリは、端末名でグループ化されます。
デフォルトは TIME です。使用するソートタイプを変更するには、「L」を選択して、
希望するソート順の最初の文字を入力します。 Selection?l Report sort order (USER,LOGINNAME,TIME,OBJECT,PORT) <TIME>?o
[Report Selection]画面が再度表示され、入力した選択内容が示されます。 L: Sort order :OBJECT
3.14 ルール名による選択 ルール名を指定することで、選択を絞り込めます。Audit Detail テーブル内のカラム
RULENAME に、一致する値が検索されます。製品が XAC である場合は、カラム名で
す。製品が XPQ である場合は、PQGROUP によって検索できます。ルール名を指定
するには、「M」を選択し、XAC コマンド名や PQGROUP などの検索基準を入力しま
す。
Selection? m Enter a rule name. A leading * will match any rules that contain the specified string. A trailing * will match any rules that start with the specified string. Rule Name < >FUP-255
[Report Selection]画面が再度表示され、入力した選択内容が示されます。 M: Rule Name :FUP-255
XYGATE Merged Audit®リファレンスマニュアル 第 3 章 XRM を使用したレポートの生成
XYPRO Technology Corporation 78 Proprietary and Confidential
3.15 XYGATE 製品コードによる選択 1 つ以上の XYGATE 製品からのデータに検索を絞り込めます。
1 つ以上の製品または SAFEGUARD を指定するには、「N」を選択し、対象とする、あ
るいは対象から除外する製品のグループを指定します。
Selection?n Enter Product Codes separated by commas. Enter a ? to display a list of product codes. You can specify XYGATE products as either XYGATExx or just xx. You can specify SAFEGUARD as S. The NOT keyword can be used: <product list> NOT <product list> Product Codes <*>?? XYGATEAC XYGATEPC XYGATECM XYGATESP XYGATEPQ XYGATEOS XYGATEMA XYGATEEF XYGATESM SAFEGUARD
疑問符(?)を入力すると、指定できる製品のリストが表示されます。 Product Codes <*>?NOT SAFEGUARD
ここでは、Safeguard からのデータを除外するように選択しました。[Report Selection]画面が再度表示され、入力した選択内容が示されます。
N: Product Code :NOT SAFEGUARD
3.16 ALERTED カラムによる選択 Audit Detail テーブルの ALERTED カラムの値に基づいて、レポート作成のデータを絞
り込めます。レポート内の ALERTED データを指定するには、「O」を選択します。
Selection?o Do you want to include Alerted (A), non-alerted (N) or Both (B) Type of results (A,N,B) <Both>?
内容は次のとおりです。
A–Alerted アラートが発行される原因となったレコードだけを選択します。
N–Non-Alerted アラートが発行される原因となっていないレコードだけを選択しま
す。
B–BOTH アラートが発行される原因になったかどうかにかかわらず、すべて
のレコードを選択します。
ここでは、ALERTED を表す「A」を選択しました。[Report Selection]画面が再度表示
され、入力した選択内容が示されます。 O: Alerted :Alerted
XYGATE Merged Audit®リファレンスマニュアル 第 3 章 XRM を使用したレポートの生成
XYPRO Technology Corporation 79 Proprietary and Confidential
3.17 RESULT カラム内のテキストによる選択 Audit Detail テーブルの RESULT カラムの値に基づいて、レポート作成のデータを絞
り込めます。 Selection?p Enter case-sensitive results separated by commas. A leading * on a result will match any results that contain the specified string. A trailing * will match any results that start with the specified string. The NOT keyword can be used: <result list> NOT <result list> Result <*>?
たとえば、ユーザーの最終ログオン日が変更されたという注記がある Safeguard レコ
ードを除外する場合は、次のように入力します。 * NOT * NOT Last Logon Date
3.18 メッセージコードによる選択 Audit Detail テーブルの Message Code カラムの値に基づいて、レポート作成のデー
タを絞り込めます。 : Message Code :*
3.19 メッセージ ID による選択 Audit Detail テーブルの Message ID カラムの値に基づいて、レポート作成のデータを
絞り込めます。
3.20 レポートの実行 すべての選択基準を指定し終えたら、「Z」または「ZP」を選択してレポートを作成
します。
Z レポートを生成し、TACL プロンプトに戻ります。
ZP レポートを生成し、PERUSE を開きます。PERUSE を終了すると、直前のエン
トリが保持された状態で[Report Selection]画面が再度表示されます。別のレポートを
作成したい場合は、選択基準を変更できます。
レポートを実行して TACL プロンプトに戻る レポートを実行して、TACL プロンプトに戻るには、「Z」を選択します。 Selection?z SQL Conversational Interface - T9191D46 - (31MAR01) COPYRIGHT HP COMPUTER CORPORATION 1987-2001 --- 30887 row(s) selected.
XYGATE Merged Audit®リファレンスマニュアル 第 3 章 XRM を使用したレポートの生成
XYPRO Technology Corporation 80 Proprietary and Confidential
End of SQLCI Session 25>
レポートの実行および PERUSE の直接起動 「ZP」を選択してレポートを作成すると、XMA によってレポートが生成され、ユー
ザーは選択したスプールコレクターの PERUSE に直接移動します。レポートの内容
確認、印刷、またはファイルへの書き込みを終えて EXIT と入力すると、ユーザーは
XMA の[Report Selection]画面に戻ります。この画面では直前の選択基準が保持された
状態となっています。基準を変更して新たにレポートを作成できます。
Selection? zp SQL Conversational Interface - T9191D46 - (31MAR01) COPYRIGHT HP COMPUTER CORPORATION 1987-2001 --- 14979 row(s) selected. End of SQLCI Session XYGATESP 3.12 (c) 1994-2001 XYPRO XYPRO \PROD1 20990427 Job Batch State Pages Copies Pri Hold Location Report 5516 Ready 1873 1 4 #XYGATE XMAREP XYPRO HARRIET _exit Choose an option: A: Audit subvolume :$dataa.p28dvdat B: Report date range :2001-07-18 00:00 to 2001-07-18 12:00 C: Subject Userid : . D: Subject Login name : E: Subject System : F: Subject Terminal : G: Object Type : H: Object Name : I: Operation : J: Outcome (All,S,F,N) :ALL K: Output file :$S.#XYGATE.XMAREP L: Sort order :TIME M: Rule Name : N: Product Code :* O: Alerted :Both P: Result :* Q: Message Code :* R: Message ID :* X: Exit the report macro Z: Run the audit report ZP: Run the audit report and go into PERUSE and return here Hit Break or Control-Y to terminate Selection?
[Report Selection]画面を閉じるには、「X」を選択するか、Breakまたは Ctrl-Y
を押し
てTACLプロンプトに戻ります。
XYGATE Merged Audit®リファレンスマニュアル 第 3 章 XRM を使用したレポートの生成
XYPRO Technology Corporation 81 Proprietary and Confidential
3.21 アーカイブテーブルからのレポートの実行 ホストマクロを使用することで、アーカイブテーブルからのレポートが可能です。そ
のためには、xma_report を実行する前に、以下の define を環境に追加する必要があ
ります。 Add define =xma_report_auddet_table, class map, file $vol.subvol.D##### Add define =xma_report_audses_table,class map, file $vol.subvol.S##### add define =xma_report_audlcind_table , class map,file $vol.subvol.DI#####
#####
例:
はARCHIVE IDです。
VHLH XYGATEMA 104> info define =xma* $SEC XYGATEMA 104.. Define Name =XMA_REPORT_AUDDET_TABLE CLASS MAP FILE \X.$SEC.P28195A.D25387 Define Name =XMA_REPORT_AUDLCIND CLASS MAP FILE \X.$SEC.P28195A.DI25387 Define Name =XMA_REPORT_AUDSES_TABLE CLASS MAP FILE \X.$SEC.P28195A.S25387 $SEC XMAARC 139>xma_report
Choose an option: A: Tables :\X.$SEC.XMAARC.S13014 :\X.$SEC.XMAARC.D13014 B: Report date range :2008-11-12 00:00 to 2008-11-12 23:59 C: Subject Userid :*.* D: Subject Login Name :* E: Subject System :* F: Subject Terminal :* G: Object Type :* Reporting from live files: $SEC XMAARC 141> xma_report $SEC XMAARC 141..
Choose an option: A: Audit Subvolume :$SEC.XMADAT B: Report date range :2008-11-12 00:00 to 2008-11-12 23:59 C: Subject Userid :*.* D: Subject Login Name :* E: Subject System :*
XYPRO Technology Corporation 83 Proprietary and Confidential
第4章 XMA_MANAGER の使用
XMA_MANAGER は、XMA サブシステムを管理する、NonStop ホストベースのユー
ザーインタフェースです。メニュー形式のこのインタフェースを使用すると、次の作
業を実行できます。
• Pathway とそのコンポーネントを構成する。
• Pathway とそのコンポーネント(MOVER (サーバークラス)など)を監視し、管理す
る。
• データベースのアーカイブとクリーンアップを管理する。
4.1 はじめに XMA_MANAGER を実行する前に、XMA TACL セグメントを現行の TACL セッション
に関連付ける必要があります。XMA 環境で定期的に保守作業を実行するすべてのユー
ザーの TACLCSTM に、次の行を追加してください。 構文
RUN $<VOL.SUBVOL>.XMA INSTALL
<VOL.SUBVOL>は、Pathway を実行する NonStop サーバー上の XMA インストール
ロケーションです。
注:
4.2 XYGATEMA Management Main Menu
構成作業やレポート作成は常に、Pathwayが実行中のノード(Pathwayノード、ま
たはマスターノードと呼びます)で実行することになります。
TACL プロンプトから次のコマンドを入力して、XMA_MANAGER マクロを実行しま
す。 25>
こうすることで、各種マクロがロードされ、XMA データベースが定義されてから、次
の[XYGATEMA Management Main Menu]が表示されます。
XMA_MANAGER
XYGATEMA Management Main Menu v1.95 * * * * * * * * * * * * * * * * * * 1: Pathway 2: Movers 3: Database 4: Uninstall X: Exit Selection?
XYGATE Merged Audit®リファレンスマニュアル 第 4 章 XMA_MANAGER の使用
XYPRO Technology Corporation 84 Proprietary and Confidential
4.3 Pathway Management Menu Main Menu Selection?プロンプト(83 ページ)に「1
Pathway Management Menu
」と入力し、[Pathway Management Menu]を表示します。
* * * * * * * * * * * * 1: Cold Start 2: Cool Start 3: Stop 4: Quick Server Status 5: Start Serverclass 6: Stop Serverclass X: Exit from this menu
次の表は、[Pathway Management Menu]で選択できるオプションの説明です。
選択オプション 説明 1: Cold Start XMA PATHWAY をコールドスタートします。
2: Cool Start XMA PATHWAY をクールスタートします。
3: Stop • Pathway構成情報を PWSTATE ファイルに保
存します。 • すべてのサーバークラスをフリーズし、停止し
ます。 • PATHCOM の SHUTDOWN コマンドを使用し
て PATHMON プロセスを停止します。
4: Quick Server Status すべての MOVER のステータスを同時に確認しま
す。
5: Start Serverclass 1 つの MOVER を開始します。
6: Stop Serverclass 1 つの MOVER を停止します。
X:Exit from this menu [Pathway Management Menu]を終了します。
XYGATE Merged Audit®リファレンスマニュアル 第 4 章 XMA_MANAGER の使用
XYPRO Technology Corporation 85 Proprietary and Confidential
4.4 Movers Management Menu XMA_MANAGER の[Movers Management Menu]を使用して、ローカルノードとリモ
ートノードの Pathway のすべての MOVER サーバークラスを作成し、管理します。
Main Menu Selection?プロンプト(83 ページ)に「2
第 5 章
」と入力し、以下の[Movers Management Menu]を表示します。MOVERの各種管理オプションに関する詳細は、
「MOVERの構成 」(93 ページ~)に記載されています。
この[Movers Management Menu]によって、FILTER に構成する ACTION を生成する
ために XMA と SNMP TRAP、SYSLOG、電子メール、および EMS との通信を検証
することもできます。
Movers Management Menu *********************************** 1: Discover Mover targets 2: List 3: Info 4: Status 5: Start 6: Stop 7: Add <All Steps> 8: Add <Database only step> 9: Add <Remote Node only step> 10: Add <Pathway only step> 11: Duplicate existing MOVER 12: Alter Database params 13: Alter Pathway params 14: Delete 15: Synchronize object files 16: Test basic Alerts 17: Configure mail queue server 18: Configure SysLog Send server 19: Configure IP Resolver server 20: Alert-Only/Collect-Only/Regular Movers 21: Maintain Administrative Servers X: Exit
次の表は、[Movers Management Menu]で選択できるオプションの説明です。
選択オプション 説明 1: Discover Mover targets このオプションを使用すると、1 つ以上のノード上
のすべての XYGATE 製品、Safeguard、EMS、BASE24、および Measure のインストール環境が
検出されます。このオプションによって作成され
るコマンドを使用すると、MOVER サーバークラ
スの構成を自動化できます。
2: List このオプションを使用すると、1 つの製品(すなわ
ち、XYGATEAC、BASE24、または Safeguard)に構成されているすべての MOVER サーバークラス
のリストが表示されます。
XYGATE Merged Audit®リファレンスマニュアル 第 4 章 XMA_MANAGER の使用
XYPRO Technology Corporation 86 Proprietary and Confidential
選択オプション 説明 3: Info このオプションを使用すると、MOVER および
PARAMETER テーブルのエントリや Pathway構成
を含む、1 つの MOVER サーバークラスの情報が
表示されます。このオプションによって、MOVERが処理した最後のオーディットレコードを確認で
きます。
4: Status このオプションを使用すると、1 つの MOVER サ
ーバークラスの、Pathway のステータスやデータ
ベースエントリを含むステータスが表示されま
す。
5: Start このオプションを使用して、1 つの MOVER サー
バークラスを起動します。MOVER サーバークラ
スの起動時には、データ収集のための BEGINLCTを指定するオプションを使用できます。
6: Stop このオプションを使用して、1 つの MOVER サー
バークラスを停止します。
7: Add <All Steps> このオプションを使用して、新しい MOVER サー
バークラスを作成します。次の点に注意してくだ
さい。 • Pathwayが存在するノード以外のノードに
MOVER サーバークラスが追加されると、関連
するオブジェクトファイル、カタログ、および
ライセンスファイルがリモートノードに移動さ
れます。 • このオプションによって、MOVERサーバーク
ラスのPARAMETERテーブルは更新されませ
ん。オプション 12を使用してパラメーターを
セットする必要があります。
8: Add <Database only step> このオプションを使用して、MOVER サーバーク
ラスの情報を所定の MOVER データベーステーブ
ルに追加します。
9: Add <Remote Node only step> このオプションを使用して、リモート MOVER を
作成します。SQL カタログが作成され、所定の
MOVER オブジェクトファイルとライセンスがリ
モートノードにコピーされます。また、MOVERサーバークラスオブジェクトが SQL コンパイルさ
れます。
10: Add <Pathway only step> このオプションによって、MOVER サーバークラ
スが XMA Pathway に追加されますが、構成全体は
完成しません。
XYGATE Merged Audit®リファレンスマニュアル 第 4 章 XMA_MANAGER の使用
XYPRO Technology Corporation 87 Proprietary and Confidential
選択オプション 説明 11: Duplicate existing MOVER このオプションを使用して、同じノード上に同じ
種類の 2 つ目のMOVERサーバークラスを作成しま
す。たとえば、XACの本番環境とQAインストール
が存在する場合には、最初のMOVERをオプショ
ン 1 7または のいずれかを使用して構成し、その構
成を 2 つ目のインストール環境に「クローン」複製
できます。ターゲットオーディットファイルの変
更が必要になります。
12: Alter Database params このオプションを使用して、1 つの MOVER サー
バークラスの所定の PARAMETER テーブル内のパ
ラメーターを追加、変更、または削除します。 MOVER サーバークラスのデータベース関連パラ
メーターを変更すると、サーバークラスを停止し
て再起動することで変更を有効にするように要求
されます。
13: Alter Pathway params このオプションを使用して、1 つの MOVER サー
バークラスの Pathway関連パラメーターを追加、
変更、または削除します。
14: [Delete] MOVER サーバークラスを Pathwayから削除しま
す。この機能を使用すると、所定の MOVER テー
ブル内の削除した対応する MOVER サーバークラ
スのローの DELETED カラムが'Y'にセットされま
す。 MOVER を完全に削除することもできます。その
場合には、MOVER に対するすべての参照が
MOVER テーブルから削除されます。
15: Synchronize object files リモートノード上のオブジェクトファイルを
Pathwayノード上のバージョンに一致させます。 (O)utdated を選択すると、プログラムオブジェク
トをマスターノードからリモートノードにコピー
することで、最新ではないすべてのプロジェクト
オブジェクトが更新されます。そして、更新され
たプログラムオブジェクトが SQL 再コンパイルさ
れます。 (A)ll を選択すると、すべてのプログラムオブジェ
クトをマスターノードから該当するリモートノー
ドにコピーすることで、すべてのノードを同期化
します。最新である場合であっても、すべてのオ
ブジェクトモジュールが SQL 再コンパイルされま
す。 注: リモートノード上にコピーされた後に、
XYGATE Merged Audit®リファレンスマニュアル 第 4 章 XMA_MANAGER の使用
XYPRO Technology Corporation 88 Proprietary and Confidential
選択オプション 説明 SRLIBオブジェクトファイルにライセンスは再付
与されません。リモートノード上のオブジェクト
ファイルにライセンスを付与するには、REMFINマ
クロを実行する必要があります。
16: Test basic Alerts このオプションを使用して、FILTERS内の
EMAIL、IP、EMS、およびSNMPTRAPのアクショ
ンの構成をテストします。アラートの構成とテス
トに関する詳細は、第 2.3.6 節(43 ページ~)を参照
してください。 メールサーバーのアドレスや DNS 名、TCP/IP プ
ロセス名、および SYSLOG コンソールアドレスに
関する情報は、システム管理者にお問い合わせく
ださい。
17: Configure mail queue server このオプションを使用して、NonStopサーバーの
メールサーバーとの通信に必要となるパラメータ
ーを構成します。メールアラートの構成とテスト
に関する詳細は、第 2.3.6 節(43 ページ~)を参照し
てください。
18: Configure SysLog Send server このオプションを使用して、キューに挿入された
レコードを読み取ります。主な用途は、外部のア
プライアンスへの格納です。
19: Configure IP Resolver server このオプションを使用して、Safeguard オーディッ
トレコードの IP アドレスを解決します。
20: Alert-Only/Collect-Only/Regular Movers
このオプションを使用して、MOVER の種類を管
理し、収集のみの MOVER の Collection Window(収集期間)を構成します。
21: Maintain Administrative Servers このオプションを使用して、管理サーバーのステ
ータスを監視します。このオプションでは、管理
サーバーを起動/停止することもできます。
X:Exit [Movers Management Menu]を終了します。
4.5 Database Management Menu XMA_MANAGER の[Database Management Menu]のオプションを使用して、XMA デ
ータベースを管理します。
Main Menu Selection?プロンプト(83 ページ)に「3
第 7 章
」と入力し、以下の[Database Management Menu]を表示します。データベースの各種管理オプションに関する詳細
は、 「XMAデータベースの管理 」(131 ページ~)に記載されています。
Database Management Menu * * * * * * * * * * * * * 1: Update Statistics 2: Percent full for Database Tables
XYGATE Merged Audit®リファレンスマニュアル 第 4 章 XMA_MANAGER の使用
XYPRO Technology Corporation 89 Proprietary and Confidential
3: Cleanup Database 4: Auto cleanup setup 5: List Archive tasks 6: Start an Archive task 7: Restart a stopped Archive task 8: Archive task Status 9: Stop an Archive task 10: Delete an archive by archive id 11: Delete an archive by archive end date 12: Control auditing of detail/session tables 13: Resend Syslog Messages 14: Cleanup Syslog Queue 15: Auto Cleanup Syslog Queue 16: Auto Archive Setup 17: Alter Cleanup/Archive Params X: Exit
次の表は、[Database Management Menu]で選択できるオプションの説明です。
メニュー項目 説明 1: Update Statistics このオプションを使用して、XMAデータベース内の
選択したSQLテーブルに対するSQL の統計の更新を
開始します。この機能を定期的に実行することで、
SQLクエリのパフォーマンスが向上します。Update Statisticsを実行する前に、Pathwayを停止する必要
があります。詳細は、この章の第 7.2 節(137 ペー
ジ)を参照してください。
2: Percent full for Database Tables
このオプションを使用すると、指定したしきい値パ
ーセントより大きい SQL テーブルを特定できま
す。
3: Cleanup Database このオプションを使用して、AUDIT SESSION テー
ブルと AUDIT DETAIL テーブルからローを削除しま
す。次の 2 つのオプションがあります。 1) 日付範囲内のローを削除する 2) AUDIT SESSION テーブルと AUDIT DETAIL テ
ーブルから完全にデータをパージする 詳細は、第 7.1 節「古いレコードの削除 」(131 ペー
ジ)を参照してください。 注: Cleanupプロセスでは、削除するデータのアー
カイブは作成されません。削除するデータのアーカ
イブが必要な場合は、Cleanupではなく、Archiveプロセスを使用してください。
4: Auto cleanup setup クリーンアップパラメーターを指定します。
5: List Archive tasks すべてのアーカイブセットのリストが表示されま
す。
6: Start an Archive task このオプションを使用して、新しいアーカイブの開
始時刻、終了時刻、アーカイブの場所、およびオプ
ションの説明を設定することで、手動でアーカイブ
を開始します。
XYGATE Merged Audit®リファレンスマニュアル 第 4 章 XMA_MANAGER の使用
XYPRO Technology Corporation 90 Proprietary and Confidential
メニュー項目 説明 7: Restart a stopped Archive task このオプションを使用して、以前に停止した 1 つま
たはすべてのアーカイブプロセスを再起動します。
8: Archive task Status このオプションを使用して、アーカイブプロセスの
ステータスをチェックします。
9: Stop an Archive task このオプションを使用して、実行中のアーカイブプ
ロセスを停止します。
10: Delete an archive by Archive ID このオプションを使用して、不要になったアーカイ
ブを削除します。オプション 4 を使用して入手でき
る、Archive ID が必要です。
11: Delete an archive by archive end dates
このオプションを使用して、Archive ID ではなく、
アーカイブの日付によって、不要になったアーカイ
ブを削除します。 このオプションを選択すると、サブメニューが表示
されます。表示される日付は、最も古いアーカイブ
の End Date and Time (終了日時)です。この End Date (終了日付)に基づいて、アーカイブデータが削
除されます(ARCHIVE の作成日ではありません)。し
たがって、2007 年 9 月 14 日より古いすべてのアー
カイブを削除するには、たとえば、「2007-09-14」と入力します。
12: Control auditing of detail/session tables
このオプションを使用して、TMF がアーカイブされ
た AUDIT SESSION テーブルと AUDIT DETAIL テ
ーブルを監査するかどうかを制御します。
13: Resend Syslog Messages このオプションを使用して、指定した期間内に生成
された SYSLOG メッセージを再送します。
14: Cleanup Syslog Queue このオプションを使用して、SYSLOGQ テーブルか
らすべてのレコードを削除します。
15: Auto Cleanup Syslog Queue このオプションを使用して送信されたメッセージと
送信されていないメッセージの保存日数を指定する
ことで、SYSLOG テーブルの日次クリーンアップジ
ョブをスケジュールできます。
16: Auto Archive Setup このオプションを使用して、月次または週次で実行
するアーカイブプロセスをスケジュールします。ま
た、アーカイブパラメーターも指定できます。
17: Alter Cleanup/Archive Params このオプションを使用して、Cleanup および
Archive の実行時パラメーターを変更します。次の
オプションを利用できます。 1: Transaction Size 2: Transaction Timeout 3: Time Block Size 4: CPU Busy Percent 5: Debug Terminal
X: Exit [Database Management Menu]を終了します。
XYGATE Merged Audit®リファレンスマニュアル 第 4 章 XMA_MANAGER の使用
XYPRO Technology Corporation 91 Proprietary and Confidential
4.6 Uninstall Menu Main Menu Selection?プロンプト(83 ページ)に「4」と入力し、以下の[Uninstall Menu]を表示します。 Uninstall Menu * * * * * * * * 1: Uninstall Remote Node 2: Uninstall All X: Exit Selection ?
4.7 XMA_MANAGER ナビゲーションヒント 通常は、実行したいタスクのメニューオプションを選択します。多くの場合は、文字
または数字が付いたいくつかのオプションが表示されます。いずれかのオプションの
値を変更するには、この文字または数字を選択し、変更を加えます。オプションが正
しければ、「R(un)」を入力してタスクを実行します。前のメニューに戻る(または、
XMA_MANAGERを抜ける)には、「X」を入力します。
Ctrl+Y 前のメニューに戻ります。たとえば、オプション 1: Update Statisticsを[Database Management Menu]から選択したものの、そ
の機能を実行しないことにした場合は、Ctrl+Yを押して[Database Management Menu]に戻ります。
Ctrl+Break
4.8 XMA_MANAGER の XMA オーナーとしての実行
XMA_MANAGERを終了し、TACLプロンプトに戻ります。
XMA_MANAGER は、XMA モジュールのオーナーID として実行する必要があります。
XAC がシステムで実行中であれば、次のコマンドを ACACL ファイルに追加すること
で、作業が容易になります。 XMA_MANAGER を所定の ID として実行する XAC コマンドの例
COMMAND XMA_MANAGER !This command is designed for User who administer XMA. DESCRIPTION "Runs XMA_MANAGER as the XMA owner ID" USER <XYGATEMA owner> ! <ID that owns XMA> OBJECT $SYSTEM.SYSNN.TACL ACL <user list> ! User allowed to use XMA_MANAGER SUPPRESSUNTILPROMPT NOCOPYRIGHT QUIET START_LOGGED_ON INPUT "#SET #BREAKMODE DISABLE" INPUT "RUN $<vol>.XYGATEMA.XMA INSTALL" ! XMA's vol and subvol INPUT "XYGATEAC_RUN_MACRO -exit xma_manager -PLAIN -BREAK" PASSONTIMEOUT OFF OPENSBYOBJECTS \*.$*.*.* TRACKVOLUME
次の処理を必ず実行します。
XYGATE Merged Audit®リファレンスマニュアル 第 4 章 XMA_MANAGER の使用
XYPRO Technology Corporation 92 Proprietary and Confidential
1. XMA インストール環境のオーナーであるユーザーID を USER キーワードの引数
として入力します。
2. XMA_MANAGER を実行できるユーザーID/エイリアスを ACL キーワードの引数と
して入力します。XMA インストール環境の正しいボリューム/サブボリュームを
INPUT の 2 行目の引数として入力します。
XYPRO Technology Corporation 93 Proprietary and Confidential
第5章 MOVER の構成
MOVER は、製品のオーディットトレイルを読み取ってそのレコードを XMA データ
ベースへと移動するプログラムです。1 つの MOVER が 1 つのオーディットトレイル
を読み取るため、結果として、1 ノードの 1 製品ごとに 1 つ以上の MOVER が存在し
ます。第 4 章「XMA_MANAGER の使用」(83 ページ~)に、XMA_MANAGER を使用
して MOVER を管理する手順が記載されています。
たとえば、3 つのノードに XAC が存在する場合には、3 つ以上の XAC が存在します。
アラート専用の MOVER と収集のみの MOVER をリモート(マスターではないノード)に置くことにした場合は、リモートノードごとに 2 つ、すなわち、1 つはアラート、1つはマスターノード上のデータベースを所定の時間に更新する XAC MOVER が存在
します。
MOVER はさらに、読み取ったオーディットイベントを FILTER と比較します。
FILTER には、DATA 選択基準に一致するイベントが検出された場合に実行するアク
ションが記述されています。
5.1 MOVER タイプ MOVER には、次の 3 つのタイプがあります。
• アラート専用
• 収集専用
• 標準(アラートと収集の組み合わせ)
5.1.1 アラート専用の MOVER アラート専用と指定されたサーバークラスは、アラートを発行しますが、XMA データ
ベースにレコードを挿入しません。
5.1.2 収集専用の MOVER 収集専用のサーバーは、本番環境で処理が集中する時間帯に、リモートノードとマス
ターノードの間の EXPAND トラフィックを回避する目的で作成されました。データ
ベースのトラフィックは実際にはマスターノードで発生するため、すべてのサーバー
は、マスターノードの LCT に基づいて収集する(かつ、データベース挿入を実行する)必要があります。
収集専用と指定されたサーバークラスは、指定された収集期間以外は"休止"します。
データをXMAデータベースに挿入しますが、アラートは発行しません。この動作を上
書きすることもできます。[Movers Management Menu]のオプション 20 (85 ページ)を
XYGATE Merged Audit®リファレンスマニュアル 第 5 章 MOVER の構成
XYPRO Technology Corporation 94 Proprietary and Confidential
使用して、すべてのMOVERの"覚醒"時間を変更できます。個々のMOVERの"覚醒"時間は、表示されるサブメニューのオプション 10 (95 ページ)で上書きできます。
収集のみの MOVER はアラートを生成しませんが、オーディットイベントの
FILTERS ファイルとのチェックは実行され、アラートが生成されることになるレコー
ドには"C"とマークされます。値"C"は、Collect-Only(収集のみ)サーバークラスによっ
てアラートとして識別されたという意味です。
HKEEPER サーバークラスは、収集のみの MOVER の覚醒を処理します。マスターノ
ード上の LCT に基づいて収集期間が設定されます。リモートの収集のみのサーバーは、
マスターノードの LCT に基いて覚醒し、シャットダウンされます。
注:
収集のみの MOVER とオーディットファイルおよび HKEEPER とのやりとり
収集のみのサーバークラスを「収集期間」の外側で実行したい場合は、自動起動/シャットダウンプロセスからこのサーバークラスを省略するようにパラメータ
ーをセットします。
どの MOVER も同じ方法でオーディットトレイルファイルを参照します。収集のみの
MOVER が構成されていると、HKEEPER によって起動され、停止されます。オーデ
ィットトレイルファイルを読み取る方法は、他の MOVER と同じです。収集のみの
MOVER は、アラートには使用されず、XMA オーディットテーブルへのイベントの記
録にのみ使用されます。
MOVER は、処理中に、MOVER が EOF に達し、書き込みのオープナーが存在しない
という 2 つの条件を満たすと、オーディットトレイルを閉じます。結果は、次のよう
になります。
• MOVER が EOF に達し、書き込みのオープナーが存在すると、MOVER は引き続
き、レコードの読み取りを試行し、書き込みのオープナーをチェックします。
• MOVER が EOF に達し、書き込みのオープナーが存在しないと、MOVER は自分
の読み取りのオープナーを閉じます。この段階で、参照する必要があるオーディ
ットトレイルファイルが存在するかどうかを(状態テーブルを使用して)チェックし
ます。結果は、次のようになります。
1. 参照する必要があるレコードがあるオーディットトレイルファイルが存在しない
場合は、サイクルが再び開始します。
2. 参照する必要があるオーディットトレイルファイルが存在しない場合は、
MOVER は"スリープ"状態になります。MOVER は、1~3 分ごとに"覚醒"しま
す。この 1~3 分ごとの動作は、システムリソースを考慮したランダムな数を
使用して、プログラムによって実行されます。その目的は、複数の MOVER が
同時に"覚醒"しないようにすることです。
5.1.3 標準(アラートと収集の組み合わせ) 標準とは、アラートも生成し、データベースも更新するサーバークラスのことです。
多くの場合、マスターノード上のすべての MOVER は、EXPAND トラフィックが問
題になることはないため、これらの両方を実行します。
XYGATE Merged Audit®リファレンスマニュアル 第 5 章 MOVER の構成
XYPRO Technology Corporation 95 Proprietary and Confidential
リモートノード上の Safeguard オーディットトレイルを再構成することで収集のみの
サーバークラスが覚醒して XMA データベースを更新するまでにすべての Safeguardのアクティビティが確実に保持されるようにできないと、Safeguard MOVER がアラ
ートの生成とリアルタイムでのデータベースの更新の両方を実行することになると考
えられます。Safeguard オーディットプールの MAXFILES、EXTENTSIZE、および
MAXENTENTS を拡張する方法については、HP の Safeguard 関連マニュアルを参照
してください。
5.1.4 MOVER タイプの変更 MOVERのタイプを変更する場合は、[Movers Management Menu]のオプション 12:Alter Database params (85 ページ)を使用します。
注:
6 新しい構成を有効にするには、[Movers Management Menu]でサーバークラス
を停止し(オプション )、再起動する(オプション 5)必要があります。パラメー
ターを変更した場合も、サーバークラスを停止して再起動するよう要求されま
す。
5.1.5 異なるサーバータイプを管理するツール [Movers Management Menu]のオプション 20:Alert-Only/Collect-Only/Regular Movers
以下のサブメニューを使用すると、MOVER をタイプごとに表示し、起動/停止できま
す。さらに、収集専用のサーバークラスの"覚醒"時刻を変更できます。
(85 ページ)を選択すると、異なるMOVERタイプを管理できます。
指定できる覚醒時刻は、1 日に 1 回だけです。 例 Selection ?20
Please select an option :
<--- 20: Alert-Only/Collect-Only/Regular Movers
1: List all alert-only servers 2: List all collect-only servers 3: List all regular servers 4: Start all alert-only servers 5: Start all collect-only servers 6: Start all regular servers 7: Stop all alert-only servers 8: Stop all collect-only servers 9: Stop all regular servers 10: Setup collect-only server window X: Exit
5.2 MOVER 追加前の決定事項 これまでに 1 つ以上の MOVER を 1 つのテストノードに起動し、XMA の理解を深め
てきました。ここからは、本番構成の設計に着手します。
XYGATE Merged Audit®リファレンスマニュアル 第 5 章 MOVER の構成
XYPRO Technology Corporation 96 Proprietary and Confidential
アラート専用の MOVER と収集専用の MOVER が必要なのか、あるいは、各 MOVERがアラートとデータベースの更新の両方を実行するようにしたいのかを決定します。
5.2.1 MOVER サーバークラスの命名規則 MOVER の命名規則を決めます。名前によって、少なくとも、MOVER が読み取る製
品オーディットトレイルとその製品が置かれているノードが分かるようにします。デ
フォルトの命名規則は次のとおりです。
例 1:デフォルトの MOVER サーバークラス名の例
<3文字の製品コード>-<ノード名>-<2文字のシーケンス番号>
SFG-DEV1-01 XAC-DEV1-01 XPQ-DEV1-01 XUA-DEV1-01 EMS-PROD1-01 MM-PROD1-01
2 つ目の Safeguard MOVER が\PROD1 に追加されている場合には、XMA によって、
SFG-DEV1-02 というような名前が割り当てられます。
作成時に、各 MOVER サーバークラスの名前を選択してください。MOVER がアラー
ト専用なのか、データベースの更新(収集)専用なのか、あるいは両方を実行するのか
を表す名前を使用する場合もあります。 例 2:カスタマイズされた MOVER サーバークラス名の例
XAC-DEV1-B1 XUA-DEV1-B1 SFG-DEV1-B1 XAC-PROD1-A1 XAC-PROD1-C1 XUA-PROD1-A1 XUA-PROD1-C1 SFG-PROD1-B1
上記の例 2 では、A#というシーケンス番号を使用してアラート専用の MOVER を表し、
C#というシーケンス番号を使用して収集専用の MOVER を表し、B#を使用してアラ
ートと収集の両方を実行する MOVER を表すことにしました。\DEV1 で XMA Pathway が実行中であると仮定します。
\DEV1 には XAC MOVER と XAC-DEV-B1 が存在し、どちらも、アラートと収集を実
行します。また、アラートと収集の両方(Both)を実行する XUA MOVER、XUA-DEV-B1 が存在します。さらに、Safeguard MOVER の SFG-DEV-B1 が存在し、アラート
と収集の両方(Both)を実行します。
\PROD には次の MOVER が存在します。
MOVER 説明
アラート専用の XAC MOVER
XAC-PROD1-A1。常時実行し、アラートをほぼリアルタイ
ムで生成します。
XYGATE Merged Audit®リファレンスマニュアル 第 5 章 MOVER の構成
XYPRO Technology Corporation 97 Proprietary and Confidential
MOVER 説明
収集専用の XAC MOVER XAC-PROD1-C1。構成された時刻に起動し、その日の XACオーディットアクティビティを\DEV1 上のデータベースに
書き込みます。
アラート専用の XUA MOVER、XUA-PROD1-A1
常時実行し、アラートをほぼリアルタイムで生成します。
収集専用の XUA MOVER XUA-PROD1-C1。構成された時刻に起動し、その日の XUAオーディットアクティビティを\DEV1 上のデータベースに
書き込みます。
Safeguard MOVER SFG-PROD1-B。アラートと収集の両方を実行します。
注:
5.2.2 XMA_MANAGER ナビゲーションヒント
検出オプションを使用する場合は、MOVERサーバークラスの名前を選択でき
ません。MOVERにデフォルト名が割り当てられます。
通常は、実行するタスクのメニューオプションを選択します。多くの場合は、数字が
付いたいくつかの別のオプションが表示されます。いずれかのオプションの値を変更
するには、この文字を選択し、変更を加えます。オプションが正しければ、「R
「
(un)」を入力してタスクを実行します。
X」を押すと、前のメニューに戻ります(または、XMA_MANAGERを終了します)。
Ctrl+Yを押すと、前のサブメニューに戻ります。
Ctrl+Break
5.3 MOVER の追加方法
を押すと、XMA_MANAGERに戻ります。
次の 2 つの方法でMOVERを追加できます(第 4.4 節「Movers Management Menu」(85 ページ)も参照)。
Discover [Movers Management Menu]のオプション 1 を使用します。このオ
プションは、Safeguard、EMS、BASE24、および Measure と、
NonStop サーバー上のすべての XYGATE 製品を検出します。
MOVER 設定が構成され、その内容は EDIT ファイルに保持されま
す。たとえば、実際に作成する MOVER を選択したり、MOVER サ
ーバークラス名を変更したりします。
Manually オプション 7 を選択し、要求される情報を指定することで、
MOVER を手動で作成できます。実行する MOVER ごとにオプショ
ン 7 を使用する必要があります。
5.3.1 検出を使用した MOVER の自動構成 Discoverオプション(1を選択)は、Safeguard、EMS、BASE24、およびMeasureと、
NonStopサーバー上のすべてのXYGATE製品を検出します。MOVER設定が構成され、
XYGATE Merged Audit®リファレンスマニュアル 第 5 章 MOVER の構成
XYPRO Technology Corporation 98 Proprietary and Confidential
その内容はコマンドファイルと呼ばれるEDITファイルに保持されます。このファイル
を編集すれば、実際に作成するMOVERを選択することも、製品サブボリューム用の
異なる命名規則のMOVERをさらに追加することもできます。
注:
この検出プロセスでは、次のような手順が実行されます。
DISCOVER (検出)プロセスによって作成されたコマンドファイルを実行する前
に、XMA Pathwayが実行中である必要があります。
1. 1 つ以上のノード上のターゲット製品を検出します。
2. コマンドファイルを作成します。
3. コマンドファイルを編集します(オプション)。
4. コマンドファイルを実行して、MOVER を作成します。
注: すべてのノードで XYGATESR オブジェクトファイルにライセンスを付与する
必要があります。このオブジェクトファイルは、XMA データベースに挿入する
Safeguard オーディットデータを正規化するために使用され、SRLIB という名
前の付随ファイルを全ノードでライセンスする必要があります。REMFIN とい
う名前のマクロが提供されており、このプロセスに利用できます。リモートの
Safeguard MOVER を作成すると、このタスクを実行するよう要求されます。
MOVER 作成コマンドファイル このコマンドファイルは、検出プロセスによって作成されます。このファイルには、
XYGATE 製品インストール環境の SAFEGUARD、EMS、BASE24 の MOVER と、
MEASURE の親データを追加する MOVER の全リストが含まれます。
注: Discover プロセスでは、HLR MOVER は作成されません。
このファイルを実行すると、DISCOVER という名前のファイルが作成されます。
DISCOVER ファイルには、実際に作成された MOVER に関する情報だけが含まれま
す。
注:
検出処理の間に、コマンドファイルを見直して変更する機会があります。たとえば、
Measure MOVERを作成しない場合は、INSTALL値を
実行が正常に終了すると、コマンドファイルは削除されます。コピーを残して
おく場合は、コマンドを実行してMOVERを作成する前にコピーを作成してお
く必要があります。
N(o)から Y
注: MOVERのINSTALLキーワードのデフォルト値は
(es)に変更します。
いずれかのXYGATE製品の 2 つ目のMOVERを追加したい場合は、既存のエントリを
複製してターゲットオーディットトレイル情報を正しいノード、ボリューム、サブボ
リューム、およびファイルマスクに変更することで追加できます。
N(o)です。
XYGATE Merged Audit®リファレンスマニュアル 第 5 章 MOVER の構成
XYPRO Technology Corporation 99 Proprietary and Confidential
MOVER 作成コマンドファイルの実行時に、MOVER 管理テーブルがコマンドファイ
ル内に含まれる情報によって更新されます。
検出処理の例 まず初めに、MOVER作成コマンドファイルを作成します。[Movers Management Menu]のオプション 1 (85 ページ)を選択します。このオプションを選択すると、
[Discover Menu]が表示されます。まず初めに製品を検出するノードを入力するプロン
プトが表示されます。すべてのノードまたは 1 つのノードでの検出を選択できます。
検出プロセスの間に、さらに多くのノードや製品サブボリュームマスクを選択できる
機会があります。
この節は、初めて XMA をインストールした直後に、MOVER サーバークラスをいく
つか追加する作業を実行することを前提として説明します。 検出コマンドファイルの作成: Selection ?
1
Do you want to discover for alert-only movers - y or n <N>- <enter>
注:
Please select an option :
XMAデータベースをホスト上でまったく使用しない場合を除き、アラート専用
のMOVERを作成しないでください。「N」を受け入れます。
1: Create a new command file 2: Load and run an existing command file X: Exit
注: オプション 1
Selection ?
を選択すると、ファイル名を入力するよう要求されます。ファイ
ル名として"DISCOVER"を指定しないでください。これは、このプロセスでこ
の後に、XMAによってこの名前のファイルが作成されるためです。
Please enter new (nonexistent) command file ->newmvr 1
ファイル名を入力すると、次のメッセージが表示されます。 Loading saved discovery file ... Enter 'D' to discover new installations 'X' to exit and build command file <D>-> <enter>
利用可能な NonStop ノードのリストが表示されます。 Discovering nodes on the expand network ... \PROD2 \PROD1 \PROD3 Please enter node to discover installations on (* for all nodes) <*>-> \PROD1
XYGATE Merged Audit®リファレンスマニュアル 第 5 章 MOVER の構成
XYPRO Technology Corporation 100 Proprietary and Confidential
NODE または ALL を選択するように要求されます。後で、他のノードを選択する機会
があります。
ノードの選択が終わったら、ノード全体あるいは現行の XYGATE 製品インストール
環境だけのいずれを検索したいのかを尋ねるプロンプトが表示されます。ワイルドカ
ードの$VOLUME.SUBVOLUME マスクを入力すると、検索を限定できます。検索テ
ンプレートを入力すると、検出プロセスが開始します。 Please enter <vol>.<subvol> mask to discover installations on ($*.* for all) <$*.*>-> $system.xygate* Discovering all installations on node \PROD2 for $system.xygate* ... Checking \PROD2.$SYSTEM.XYGATESP.P09F001 ... Selecting \PROD2.$SYSTEM.XYGATESP (XSP) Checking \PROD2.$SYSTEM.XYGATEAC.P06F001 Selecting \PROD2.$SYSTEM.XYGATEAC (XAC) Checking \PROD2.$SYSTEM.XYGATEPC.P07F001 Selecting \PROD2.$SYSTEM.XYGATEPC (XPC) Checking \PROD2.$SYSTEM.XYGATECM.P08F001 Selecting \PROD2.$SYSTEM.XYGATECM (XCM) Checking \PROD2.$SYSTEM.XYGATEPQ.P15F001 Selecting \PROD2.$SYSTEM.XYGATEPQ (XPQ) Checking \PROD2.$SYSTEM.XYGATEOS.P19F001 Selecting \PROD2.$SYSTEM.XYGATEOS (XOS) Checking \PROD2.$SYSTEM.XYGATETR.P46F001 Selecting \PROD2.$SYSTEM.XYGATETR (XTR) ...
注: 検索が完了すると、次のメッセージが表示されます。
Enter 'D' to discover new installations 'X' to exit and build command file <D>->
以前に 1 つのノードで「検出」を選択した場合は、新しいノード名をここで入力し、そ
のときのプロセスを繰り返します。それ以外の場合は、「X」を選択して検索モードを
抜け、コマンドファイルを構築します。いくつかのプロンプトが表示されます(ここに
参考のために記載されているのは、\PROD3 の場合のプロンプトです)。
x
Checking availability and license for \PROD2... Checking availability and license for \PROD1... Checking availability and license for \PROD3...
作成する MOVER のホーム端末を選択します。 Please enter hometerm for MOVERs on \PROD3 <\PROD2.$VHS>->
Safeguard の"No Record" (レコードなし)オーディットを XMA データベースに追加す
るかどうかを決定します。この値は、必要があれば後から変更できます。警告モード
では、Safeguard によって、すべてのファイルアクセスルールが"No Record" (レコー
ドなし)に変換されます。 Do you want to skip safeguard norecords on \PROD3 - y or n <Y>-> <enter>
XYGATE Merged Audit®リファレンスマニュアル 第 5 章 MOVER の構成
XYPRO Technology Corporation 101 Proprietary and Confidential
Safeguard の"Read Detail" (読み取りの詳細)オーディットを XMA データベースに追加
するかどうかを決定します。この値は、必要があれば後から変更できます。 Would you like to select read detail records on \PROD3 - y or n <N>-
収集専用の MOVER は、夜間の指定された時刻に XMA データベースを更新しますが、
アラートは生成しません。
Do you want the servers to default to collect-only - y or n <N>-> <enter>
MOVER が処理を開始するターゲットオーディットレコードの日付を指定するオプシ
ョンがあります。特定の日付や経過日数を指定できます。日付を指定しないと、
MOVER は各 XYGATE 製品の最も古いオーディットレコードに遡り、それ以降に発生
したすべてのイベントを XMA データベースに追加します。
次の例では、すべての製品で 10 日前以降のオーディットレコードを追加することを
選択します。具体的な日付も入力できます。 Do you want to specify a particular time from which data collection should begin instead of the MOVER defaults <N> ->
y
To start data collection from the beginning of existing audits, enter -1. To start data collection from a certain number of days ago, enter a number greater than 1. To start data collection from a specific date onwards, enter a date in the format yyyy-mm-dd. Enter value <-1>->Data collection start date will be set to 2008-05-20:00:00:00.000000.
10
ここで、リモート(非マスター)ノード上に常駐する製品の MOVER をリモートノード
上あるいはローカル(マスター)ノード上のどちらで実行するのかを決める必要があり
ます。MOVER をリモートノード上で実行すると、Expand 経由で XMA データテーブ
ルへとデータが渡されます。MOVER をローカルノード上で実行すると、Expand 経
由でリモートノードからデータを取得します。どちらの場合も、すべての MOVER が
XMA Pathway の一部になります。
リモート(非マスター)ノード上に常駐する製品の MOVER をリモートノード上で実行
し、データをローカル(マスター)ノードに渡す場合は、「Y」と入力します。
MOVER をローカルノード上で実行し、リモートノードから Expand 経由でデータを
取得するには、「N」と入力します。 Do you want to push MOVER object files to \PROD3 - y or n <Y>-> Please enter the volume at \PROD3 where the catalog should be created <$DATA4>-> Please enter the subvolume at \PROD3 where the catalog should be created <XMACAT>- > Please enter the volume at \PROD3 where the objects should be installed <$DATA4>-> Please enter the subvolume at \PROD3 where the objects should be installed <XYGATEMA>- >
XYGATE Merged Audit®リファレンスマニュアル 第 5 章 MOVER の構成
XYPRO Technology Corporation 102 Proprietary and Confidential
Building command file ...
ここでターゲット製品が検出されるため、この手順には、時間が少しかかります。
MOVER の作成コマンドファイルが構築されると、次のプロンプトが表示されます。 Please examine MOVER addition commands that have been set up in the file NEWMVR
ここで、コマンドファイルの内容を見直して、変更することができます。詳細は、前
出の「MOVER作成コマンドファイル 」(98 ページ)を参照してください。
重要: コマンドファイルは、実行後に削除されます。そのため、コピーを残してお
きたい場合は、コマンドを実行して MOVER を構築する前に、ファイルをコピーする
必要があります。
コマンドファイルの内容の確認が終了して EDIT を抜けると、次のプロンプトが表示
されます。 Enter 't' to go into tedit, CTRL-Y to exit the editor. TEXT EDITOR - T9601D20 - (01JUN93) CURRENT FILE IS $DATAB.XYGATEMA.NEWMVR * Enter 'y' when ready to add MOVERs or 'n' to abort<Y>->
製品「検出」プロセスで新しいノードを選択するには、「N
「
」を入力します。
Y
追加されたすべての MOVER サーバークラスに関する情報は、XYGATEMA サブボリ
ューム内の DISCOVER という名前のファイルに格納されます。このファイルは参照
目的のものであり、コマンドファイルとしては使用できません。
」を入力すると、MOVERが作成されます。MOVERサーバークラスをノードに初め
て追加する場合は、この手順に時間がかかります。これは、SQLカタログと所定のオ
ブジェクトが追加され、プログラムオブジェクトがSQLコンパイルされるためです。
MOVER サーバークラスを追加できたら、[Movers Management Menu]のオプション
を使用して Pathway や MOVER のパラメーターを変更できます。この方法について
は、第 4 章「XMA_MANAGER の使用」(83 ページ)で詳しく説明します。
「N
既存の検出コマンドファイルの実行
」と入力すると次のプロンプトが表示され、それ以外の場合は、コマンドファイル
を使用してINSTALL:“Y”にセットされているすべてのインストール環境のMOVERサー
バークラスが作成されます。(既存のMOVER作成コマンドファイルを実行する手順に
ついては、「 」を参照してください。)
Enter 'y' when ready to add MOVERs or 'n' to abort<Y>->Command file NEWMVR has been retained.
n
Press Return to continue...
XYGATE Merged Audit®リファレンスマニュアル 第 5 章 MOVER の構成
XYPRO Technology Corporation 103 Proprietary and Confidential
既存の検出コマンドファイルの実行 コマンドファイルの作成時にMOVERを作成することを選択しない場合は、[Movers Management Menu]のオプション 1 を選択することで、後からファイルを実行できま
す(85 ページ)。このオプションを選択すると、[Discover Menu]が表示されます。 Selection ?
1
Please select an option : 1: Create a new command file 2: Load and run an existing command file X: Exit
オプション 2 を選択すると、既存のコマンドファイルの名前を要求するプロンプトが
表示されます。
Selection ?Please enter an existing command file ->
2
Command file NEWMVR loaded. NEWMVR
Enter 'y' when ready to add MOVERs or 'n' to abort <Y>->
プロンプトに「Y」と応答すると、コマンドファイルが実行され、MOVER が作成され
ます。MOVER サーバークラスをノードに初めて追加する場合は、SQL カタログと所
定のオブジェクトが追加され、プログラムオブジェクトが SQL コンパイルされます。
y
追加されたすべての MOVER サーバークラスに関する情報は、XYGATEMA サブボリ
ューム内の DISCOVER という名前のファイルに格納されます。この DISCOVER ファ
イルをコマンドファイルとして使用することはできません。XMA によって使用される
ファイルであり、変更しないでください。
注: 入力ファイルは使用後に削除されます。追加の MOVER サーバークラスを検出
オプションを使用して追加する場合は、新しいコマンド入力ファイルを作成す
る必要があります。MOVER の実際の作成時に作成された DISCOVER ファイル
を使用しても、まったく同じ MOVER サーバークラスが作成される保証はあり
ません。
これで、MOVER の初期セットを作成できました。
5.3.2 リモートカタログの作成 MOVER サーバークラスをリモートノードに追加する場合は、SQL カタログを手動で
追加することも、XMA_MANAGER を使用することもできます。 例:
Adding SFG-SIMI-01... Setting up catalog and MOVER at \WIRE ... MA Manager at \PROD1 running as SEC.ADMIM would need to remotely create a catalog at \WIRE.$DISCB.XMACAT which may be denied due to security violation. Enter 'y' if you want MA Manager to create the catalog. Enter 'n' if you will be creating the catalog manually ->n
XYGATE Merged Audit®リファレンスマニュアル 第 5 章 MOVER の構成
XYPRO Technology Corporation 104 Proprietary and Confidential
Getting catalog version ... Running $SYSTEM.SYSTEM.SQLCI /inv commandin, out \WIRE.$DISCB.XMAOBJ.zz000000/ Getting catalog version ... Running \WIRE.$SYSTEM.SYSTEM.SQLCI /inv commandin,out\WIRE.$DISCB.XMAOBJ.zz000000/ You would need to create the catalog yourself at \WIRE.$DISCB.P28HH0CT. Log on to \WIRE as SEC.ADMIM and then type in : SQLCI CREATE catalog \WIRE.$DISCB.XMACAT; Press return after completing the above steps...
重要:
5.4 埋め込みサーバークラス
リモートノードー上に作成するSQLカタログはマスターノード上のカタログ
と同じバージョンである必要があります。
Pathway には、次の 4 つのサーバークラスが自動的に構成されます。
• ハウスキーピングサーバー
• メールキューサーバー
• syslog 送信サーバー
• IP アドレス解決
5.4.1 ハウスキーピングサーバー(HKEEPER) ハウスキーパーサーバー(HKEEPER)と syslog 送信サーバーは、Pathway の起動時に
自動的に起動されます。
HKEEPER という名前のサーバークラスは、収集専用の MOVER の覚醒と、収集ウィ
ンドウの最後のシャットダウンを処理します。このサーバークラスは自動的に作成さ
れ、Pathway によって自動的に起動されます。
HKEEPER は、データベースのクリーンアップも起動します。
5.4.2 メールキューサーバー(MQREADER) メールキューサーバー(MQREADER)は、XMA によって発行できるメールアラートを
サポートします。メールアラートをすぐに配達できない場合、メッセージはメールキ
ューに入ります。MQREADER は、キューを読み取って、メッセージを再送しようと
します。
MQREADER サーバークラスは、新規インストールと XMA のバージョンアップグレ
ードの両方で、XMA Pathway に自動的に追加されます。そして、Pathway の起動時
に XMA_MANAGER によって自動的に起動されます。
XYGATE Merged Audit®リファレンスマニュアル 第 5 章 MOVER の構成
XYPRO Technology Corporation 105 Proprietary and Confidential
注:
例:[Movers Management Menu]の Mail Queue Reader 構成
MQREADERパラメーターが構成されていないと、MQREADERが実行されませ
ん。
Selection ?17 <-- Configure mail queue server To modify any of the items below choose an option otherwise select R to continue : 1: Mail server :mail.server.com 2: Port :25 3: IP Process :$ZTCP 4: Local domain name :prod1.bankco.com 5: Maximum retries :10 6: Retry delay :300 X: Exit R: Run Selection ?
不達メールの通知 MQREADER は、24 時間ごとに 1 回、不達メッセージがメールキューに残っていない
かどうかをチェックします。不達メッセージがキュー内に「残されている」と、EMS に
メッセージが送信されます。
5.4.3 syslog 送信サーバー(SLSENDER) SYSLOG MOVER は、入力キューからレコードを読み取り、そのレコードを外部の
IP アドレスとポートに TCP/IP 経由で送信します。Safeguard、XYGATE、EMS、BASE24、HLR、または Measure の MOVER から、レコードがキューに追加されます。
SLSENDER MOVER サーバークラスの 1 つで、Pathway の新規インストール時
またはアップグレード時に、自動的に追加されます。XMA Pathway の起動時に、HKEEPER や MQREADER と一緒に自動的
に起動されます(構成されている場合)。
新しいコンポーネント:
To modify any of the items below choose an option otherwise select R to continue : 1: Auto Transaction Timeout :300 2: Delay on Error :300 3: Delay on Timeout :180 4: Max Wait for Socket to Close :120 5: Max Wait for Socket to Connect :180 6: Max Number of Message in a Connection Queue :10 7: Max Number of Open Transactions :100 8: Max Number of Pending IO calls :10 9: Max Wait for Send to complete :120 10: Time to process messages before refreshing :300 11: Delay when Queue is empty :30 12: Delay before sending a warning if unable to send :900 13: TCP Process Name :$ZTC0
XYGATE Merged Audit®リファレンスマニュアル 第 5 章 MOVER の構成
XYPRO Technology Corporation 106 Proprietary and Confidential
X: Exit R: Run Selection ?
SYSLOG 送信プロセスを使用しても、システム全体のパフォーマンスに影響すること
はありません。次のパラメーターを使用して、SYSLOG キュー内のレコードの処理を
調整できます。
選択オプション 説明 1: Auto Transaction Timeout このパラメーターは、時間通りに送信できない場
合にレコードのロックをどの期間、保持するかを
決定します。レコードが指定された時間内に送信
されないと、ロックが解除され、ロックし直して
から再送信を試行します。 デフォルトは 300 秒です。
2: Delay on Error 接続エラーが発生すると、プログラムはこのパラ
メーターで指定された時間待機してから、再接続
を試行します。 デフォルトは 30 秒です。
3: Delay on Timeout 接続で処理がタイムアウトした場合、プログラム
は、このパラメーターの時間待機してから、接続
を再試行します。 デフォルトは 180 秒です。
4: Max Wait for Socket to Close このパラメーターはプログラムに対し、クローズ
要求をどの位の時間待機してから接続をクローズ
するかを指示します。 デフォルトは 120 秒です。
5: Max Wait for Socket to Connect このパラメーターはプログラムに対し、どの位の
時間待機してから接続するかを指示します。 デフォルトは 180 秒です。
6: Max Number of Messages in a Connection Queue
デフォルトは 10 メッセージです。
7: Max Number of Open Transactions デフォルトは 100 トランザクションです。
8: Max Number of Pending IO Calls デフォルトの IO は 10 です。
9: Max Wait for Send to Complete SEND 要求が完了しない場合に、接続のステータ
スを TIMED-OUT に変更するまでにプログラムが
待機する時間。 デフォルトは 300 秒です。
10: Time to process messages before refreshing
プログラムは、送信キューをリフレッシュして先
頭から読み取りを再開始することで、未送信のレ
コードが残らないようにします。 デフォルトは 300 秒です。
XYGATE Merged Audit®リファレンスマニュアル 第 5 章 MOVER の構成
XYPRO Technology Corporation 107 Proprietary and Confidential
選択オプション 説明 11: Delay When Queue is empty プログラムは、SYSLOGQ が利用可能なすべての
メッセージの処理を終了した場合に、このパラメ
ーターの時間が経過した後に、休止します。 デフォルトは 30 秒です。
12: Delay before sending a warning if unable to send
メッセージを所定の宛先に送信できない場合に、
プログラムは、EMS 警告を生成します。このパ
ラメーターは、それらのメッセージの頻度を制御
します。 デフォルトは 900 秒です。
13: TCP Process Name SLSENDER サーバーが、FILTERS ファイルで指
定された IP アドレスとポートと一緒に使用する
TCP/IP プロセス名。
X: Exit Movers Management Menuに戻ります。
R: Run SLSENDER データベースを更新します。
5.4.4 IP アドレス解決(IPRESLVR) Safeguard MOVER は、Safeguard オーディットレコードに含まれる端末 ID を使用し
て、処理するレコードに対応する IP アドレスを判断しようとします。Safeguard MOVER が IP アドレスを解決できないと、レコードは、IPRESLVR のキューファイ
ルに格納されます。このテーブルは、SESSNOIP という名前です。IPRESLVR は、
キューを読み取り、端末 ID を使用して、Audit Detail テーブルに同じ端末 ID のレコー
ドを検索しようとします。一致するレコードが見つかると、XYGATE 製品レコードの
IP アドレスが、該当する Safeguard レコードの Audit Session レコードに移動されま
す。
端末名に基いて、一部のレコードが、IP アドレス解決プロセスから除外されます。 除外される端末名は、プログラムファイル名の TMIOP、VHS、ZHOME、NETBATCH、(deviceinfo check)、XYGATETR と無効な端末名です。
注: IPRESLVRサーバーは、構成されるまで利用できません。[Movers Management Menu]のオプション 19 (85 ページ)で構成します。IPRESLVRサー
バーを構成する前に、XMA Pathwayが実行中である必要があります。
例:IP アドレス解決の構成
Selection ?19 Configure IP Resolver server To modify any of the items below choose an option otherwise select R to continue : 1: CPU Busy Percent :30 2: Records Retain Days :3 3: Transaction Size :100 4: Transaction Timeout :600 X: Exit R: Run
XYGATE Merged Audit®リファレンスマニュアル 第 5 章 MOVER の構成
XYPRO Technology Corporation 108 Proprietary and Confidential
Selection ?
選択オプション 説明 1: CPU Busy Percent CPU Usage(CPU 使用率)が CPU Busyで指定されたパーセン
テージ以上になると、MOVER は、1~3 秒間のランダムな間
隔で、スリープ状態になります。このインターバルはランダ
ムに選択されるため、すべての MOVER サーバークラスが同
じタイミングで覚醒するわけではありません。 デフォルト値は 30 です。
2: Records Retain Days レコードが SESSNOIP テーブルに保持される日数。
IPRESLVR プログラムは、クリーンアップ機能を実行しま
す。 デフォルトは 5 日です。
3: Transaction Size 1 つの TMF トランザクションでアクセスされるレコード数。
Transaction Timeout と一緒に使用されます。いずれかの条件
が真であると、トランザクションがコミットされます。 デフォルトは 100 レコードです。
4: Transaction Timeout TMF トランザクションがアクティブである秒数。Transaction Size と一緒に使用されます。いずれかの条件が真であると、
トランザクションがコミットされます。 デフォルトは 600 秒です。
X:Exit Movers Management Menuに戻ります。
R:Run IPRESLVR MOVER の PARAMS テーブルを更新します。
5.5 BASE24 MOVER BASE24 は、次の 2 つのロケーションにオーディットを書き込みます。
• OMF ファイル
• EMS ログ
BASE24 MOVER が OMF ファイルを読み取り、EMS MOVER が EMS ログを読み取
ります。
BASE24 を構成して、ユーザーデータベースとセキュリティ構成に対する変更が監査
されるようにする必要があります。ロギングできるアクティビティとしては、ログオ
ン、ログオフ、およびパスワード変更があります。ACI Desktop ユーザーインターフ
ェイスの[Process Control]ウィンドウから、監査を停止、起動します。設定と監査に
関する詳細は、ACI から入手できる BASE24 関連ドキュメントを参照してください。
5.5.1 BASE24 EMS テンプレート EMS MOVER は、標準システム EMS テンプレートを使用して、EMS メッセージの構
文を解析します。コンパイル済みの BASE24 EMS テンプレートがシステム EMS テン
XYGATE Merged Audit®リファレンスマニュアル 第 5 章 MOVER の構成
XYPRO Technology Corporation 109 Proprietary and Confidential
プレートに格納されていないと、AUDDET テーブルの結果テーブルに、"No template and no TEXT token for event"(テンプレートなし、イベントの TEXT トークンなし)というメッセージが出力されます。
この問題を解決するには、DEFINE を追加して、BASE24 アプリケーションがメッセ
ージを書き込む EMS ログを EMS MOVER が読み取るようにする必要があります。こ
の DEFINE は、MOVER を作成してから起動するまでの間に追加する必要があります。
MOVER がすでに実行中であれば、PATHCOM から MOVER を停止し、DEFINE を追
加してから、再起動する必要があります。PATHCOM を使用して DEFINE を追加する
手順は以下のとおりです。 構文: = Alter server <mover name>,define =_ems_templates,file $<vol>.<subvol>.EMSNRES
コンパイル済みの BASE24 EMS テンプレートが EMSNRES ファイルに格納されてい
ます。このファイルは通常、$<vol>.SCRIBE サブボリュームに置かれています。
例:BASE24 EMS ログを読み取る EMS MOVER に対する DEFINE の追加 67> $Y8Y4: PATHCOM - T8344H01 - (01AUG08)
pathcom $xma
(C)1980 Tandem (C)2005 Hewlett Packard Development Company, L.P. = alter server EMS-nodea-B24,define =_ems_templates,file $BASE.SCRIBE.EMSNRES = info server ems-nodea-b24 SERVER EMS-NODEA-B24 PROCESSTYPE GUARDIAN AUTORESTART 2 CREATEDELAY 10 SECS DEBUG OFF DEFINE =_EMS_TEMPLATES,CLASS MAP,FILE \NODEA.$BASE.SCRIBE.EMSNRES
この DEFINE が必要なのは、ACI テンプレートが標準のシステム EMS テンプレート
ファイルにマージされていない場合だけです。ACI でコンパイルされたテンプレート
が別になっている場合は、EMS MOVER が起動する EMS ディストリビューターが使
用するテンプレートファイルを上書きするための DEFINE が必要です。
セキュリティ関連の BASE24 EMS メッセージには、SSID の先頭に"ACI.XPSNCP"が付加されます。SSID が AUDIT.OBJECTNAME カラムに格納されます。このカラムを
使用すると、FILTERS およびレポートのセキュリティ関連の BASE24 イベントを選
択できます。
BASE24 オーディットログの初期化を検出するには、SSID が"ACI.LOGDATER"のEMS イベントも探してオーディットログ初期化メッセージを検出してください。これ
は、PCI の要件です。
5.6 HLR MOVER Home Location Register (HLR)は、モバイルネットワーク加入者の恒久的情報のメイ
ンデータベースです。HLR には、アドレス、アカウントステータス、プリファレンス
などの関連ユーザー情報が格納されます。HLR は、呼の制御と処理に使用するスイッ
XYGATE Merged Audit®リファレンスマニュアル 第 5 章 MOVER の構成
XYPRO Technology Corporation 110 Proprietary and Confidential
チである移動交換局(MSC)とやり取りします。このデータベースに対する変更には、
DPA アプリケーションが使用され、このアプリケーションが、アプリケーション構成
によって、EMS やログファイルにオーディット情報を送信します。
XYGATEMAは、ログファイルのみのHLRデータを収集します。これらのオーディッ
トトレイルは、NonStopサーバーのOSS環境に置かれます。通常、ログファイル
は、dpa_audit_<start date/time>_<close date/time>.log
HLR アプリケーションによって、複数の環境が存在することが可能になり、ノード
ID ごとに、アプリケーションによって識別されます(複数の HLR ノード ID が 1 つの
NonStop サーバーに存在できます)。通常、ノード ID は、オーディットログが置かれ
ているディレクトリ名の一部です。
という名前で、ユー
ザーは任意のディレクトリにこれらのログファイルを置くことができます。
XYGATEMAのHLRデータを取得するには、DPAオーディットログが置かれているデ
ィレクトリごと、すなわち、ノードIDごとにHLR M OVERを作成する必要があります。
Discover (検出)を使用してHLR MOVERを追加することはできません。[Movers Management Menu]のオプション 7:Add <All Steps>
1: Node :\X
(85 ページ)を使用して、手動で
追加する必要があります。
2: HLR Application Node ID :NODEG 3: HLR audit file mask :
1: Node HP NonStop サーバーのノード名。
2: HLR Application Node ID HLR アプリケーションノード ID。ノード ID は必須であり、
HLR オーディットログのパス名に出力されるのと同様に、大文
字で入力する必要があります。
3: HLR audit file mask HLR オーディットログの OSS フルパスとワイルドカードファ
イルマスク。このフィールドでは大文字と小文字が区別され、
オーディットログの実際のディレクトリロケーションとファイ
ルマスクと完全に一致する必要があります。
構文: /<full path>/<NODEID>/dpa_audit_*
例: /users/hlr/PS4JQ/dpa_audit_*
/users/hlr/PS4JQ/: ls dpa_audit_20101106_000018.log dpa_audit_20101108_083715.log dpa_audit_20101106_000028.log dpa_audit_20101108_100434.log dpa_audit_20101106_000101.log dpa_audit_20101108_102121.log dpa_audit_20101106_000111.log dpa_audit_20101108_104304.log dpa_audit_20101106_000721.log dpa_audit_20101108_112207.log dpa_audit_20101106_074444.log dpa_audit_20101108_114526.log dpa_audit_20101106_091009.log dpa_audit_20101108_115921.log dpa_audit_20101106_092558.log dpa_audit_20101108_123114.log dpa_audit_20101106_094241.log dpa_audit_20101108_123442.log dpa_audit_20101106_100023.log dpa_audit_20101108_130417.log dpa_audit_20101106_104004.log dpa_audit_20101108_134429.log dpa_audit_20101106_104208.log dpa_audit_20101108_140019.log
XYGATE Merged Audit®リファレンスマニュアル 第 5 章 MOVER の構成
XYPRO Technology Corporation 111 Proprietary and Confidential
上記の例で、PS4JQはアプリケーションノードIDであり、dpa_audit_*
XYGATEMA は、マスクに一致するファイルに期待される形式でデータが含まれるこ
とを評価しますが、プログラムは、パスやノード ID を評価できません。したがって、
パスを正しく入力するように注意してください。正しくないディレクトリを指す
MOVER を作成してした場合は、その MOVER を削除し、正しいパスとファイルマス
クで新しい MOVER を追加しなければならなくなります。
はそのディレ
クトリ内のDPAオーディットログファイルのファイルマスクです。
XYGATEMA データベースに格納される HLR データについては、付録 G5:「HLR デー
タマッピング」(235 ページ~)を参照してください。
5.6.1 重要な注意事項 1. HLR オーディットトレイルはサイズが大きいため、HLR MOVER は、ACTIVE フ
ィルターに一致するオーディットレコードの XMA データベースのみを更新します。
FILTSAMP ファイルに、いくつかのサンプル HLR フィルターがあります。HLRデータを収集するには、HLR MOVER を起動する前に、これらのフィルターのい
ずれかまたはすべてを FILTERS ファイルにコピーし、ステータスを ACTIVE に設
定する必要があります。
2. HLR オーディットデータを XYGATEMA に追加すると、HLR イベントごとに 1 対
多のローが生成されるため、データベースのサイズが非常に大きくなります。
重要:
3. すべてを構文解析するために、MOVER のビジー率がとても高くなります。次の
ようにすることを推奨します。
HLRデータが含まれるXMAデータベースを容量の大きいディスクに置き、
それぞれのXMAテーブルの"サイズ"を正しく設定してください。
• HLR MOVER を、60~70 程度の低い優先度にします。設定は MOVER を追加す
る際に行います。
• デフォルトのトランザクションサイズを、300 または 500 程度に変更します。
設定はMOVERを追加した後の、起動する前に行います。XMA_MANAGERで、
[Movers Management Menu]のオプション 12:Alter Database params (85 ペ
ージ)を使用し、表示されるサブメニューで 1: Transaction size
5.7 MOVER パラメーター
を選択します。
XYGATE Merged Audit のリリース 1.90 では、これらのテーブルは使用されません。
データは PARAMS テーブルに格納されます。以前のリリースからアップグレードす
ると、個々の製品のテーブルのデータは変換され、PARAMS テーブルに格納されま
す。
MOVER サーバークラスのパラメーターは、次のテーブルに格納されます。
XYGATE Merged Audit®リファレンスマニュアル 第 5 章 MOVER の構成
XYPRO Technology Corporation 112 Proprietary and Confidential
XYGATE 製品 = XMA_XYMVPARAMSTBL
EMS = XMA_EMSMVPARAMSTBL
HLR = XMA_PARAMSTBL
Safeguard = XMA_SFMVPARAMSTBL
Measure = XMA_MEASMVPARAMSTBL
BASE24 = XMA_B24MVPARAMSTBL
各 MOVER サーバークラスには、所定のパラメーターテーブル内の 1 つ以上のローで
構成される一連のパラメーターが存在します。テーブル内の各ローには、サーバーク
ラスの NAME(名前)、PARAMNAME(パラメーター名)、および PARAMVALUE(パラメ
ーター値)が含まれます。付録 B:「管理テーブル」は、各パラメーターテーブルの説明
です。
次の表は、全パラメーターと、各パラメーターを使用する MOVER サーバークラスの
一覧です。
パラメーターの使用 XYGATE SFG Measure EMS BASE24
BACKLOGAGE X X X BACKUPFILE X-R BEGINLCTTIME X X BLOCKALERTS X X X X DELETEPROCESSEDAUDITS X EMSSENDERPROCESSLOOKUP X ENDLCTTIME X X X GMTOFFSET MAXCPUBUSYPCT X X X X MAXEXTENTS X MEASUREINTERVAL X PRIMARYEXTENTSIZE X PRIMARYFILE X-R SECONDARYEXTENTSIZE X SWAPVOL X TRANSACTIONSIZE X X X X TRANSACTIONTIMEOUT X X X X
注: X-R は、パラメーターが必須であることを表します。
BACKLOGAGE <seconds> BACKLOGAGE キーワードは、MAXCPUBUSYPCT 値と一緒に使用します。これら 2つのキーワードは、ピーク時の本番環境での処理を妨害しないようにする役割を果た
します。各 MOVER サーバークラスは CPU アクティビティを検査し、必要があれば
短時間、処理量を抑制します。CPU 使用率が MAXCPUBUSYPCT で指定されたパー
XYGATE Merged Audit®リファレンスマニュアル 第 5 章 MOVER の構成
XYPRO Technology Corporation 113 Proprietary and Confidential
センテージ以上になり、処理されるオーディットレコードが MOVER の
BACKLOGAGE で指定された秒数より古くなると、MOVER は 1~3 秒のランダムな
インターバルで、休止します。このインターバルはランダムに選択されるため、すべ
ての MOVER サーバークラスが同じタイミングで覚醒するわけではありません。
デフォルト値は 0 です。
BACKUPFILE <filename>(必須) BACKUPFILE パラメーターは、MEASURE MOVER には必須です。ノードを含む完
全修飾ファイル名で、バックアップファイルの場所を指定します。
BEGINLCTTIME <yyyy-mm-dd hh:mm:00.000000|-1> このパラメーターは、製品オーディットファイルからの抽出をどこから開始するかを
指定します。–1 という値を使用すると、見つかった最も古いオーディットファイルか
ら抽出処理を開始するよう指定できます。
デフォルト値は-1 です。
BLOCKALERTS {TRUE|FALSE} このパラメーターは、この MOVER サーバークラスでアラートをブロックするかどう
かを指定します。
デフォルトは FALSE です。
注:
第 2 章
すべてのMOVERサーバークラスで一時的にアラートをブロックするには、
FILTERSファイルでGLOBALBLOCKALERTSキーワードを使用します。詳細は、
の「アラートの追跡 」(55 ページ)を参照してください。
DELETEPROCESSEDAUDITS {TRUE|FALSE} このパラメーターによって、XMA に情報が移動されたら XYGATE 製品のオーディッ
トファイルをパージするかどうかを、MOVER に対して指示します。次の場合、ファ
イルは削除されません。
• 対象となるファイルがアクティブなオーディットファイルである。
• ファイルが先頭から末尾に向かって処理されなかった。この状況は、ファイルの
一部だけが処理されるような値に BEGINLCTTIME が設定された場合に発生しま
す。
• DELETEPROCESSEDAUDITS が真にセットされる前に、ファイルからデータが
抽出された。
このパラメーターのデフォルト値は FALSE (偽)です。
EMSSENDERPROCESSLOOKUP {NONE| LOCALONLY |ALL} EMS MOVER サーバークラスがこのパラメーターを使用します。メッセージを EMSコレクターに送信するプロセスに関する追加情報を取得するかどうかを、MOVER に
対して指示します。
XYGATE Merged Audit®リファレンスマニュアル 第 5 章 MOVER の構成
XYPRO Technology Corporation 114 Proprietary and Confidential
NONE プロセスの追加情報を取得するクエリを実行しません。
ALL 常にクエリを実行して追加プロセス情報を取得します。
LOCALONLY EMS にイベントを送信するプロセスが EMS コレクターと同じノー
ドで実行中である場合は、プロセスの追加情報を取得するクエリを
実行します。
ENDLCTTIME <yyyy-mm-dd hh:mm:00.000000|-1> ある日付のレコードが検出されたら MOVER サーバークラスが処理を停止するように
する場合は、明示的な日付と時刻を指定できます。このサーバークラスが作成され、
履歴オーディット情報を XMA データベースにロードする場合に、明示的な日付と時
刻が使用されます。
–1 という値を使用すると、無期限に処理を継続するよう指定できます。デフォルト値
は-1 です。
GMTOFFSET {[+/- <minutes>]|CUR|REM} このパラメーターは、BEGINLCTTIME および ENDLCTTIME と一緒に使用します。1つ以上のノードが異なるタイムゾーンに存在する場合に使用します。デフォルト値は
CURRENT です。
CUR、または CURRENT CUR または CURRENT は、BEGINLCTTIME と ENDLCTTIME が関連する日付比較に
MOVER が実行中のノードの現在のシステム時間を使用するよう指示します。通常の
状況では、MOVER サーバークラスは、指定された XYGATE または Safeguard のイ
ンストール環境と同じノードで実行されます。
REM、または REMOTE MOVER サーバークラスオブジェクトが指定された XYGATE または SAFEGUARD の
インストール環境と同じノード上で実行中でない場合は、REM または REMOTE によ
って MOVER サーバークラスオブジェクトに対し、BEGINLCTTIME と ENDLCTTIMEが関連する日付比較でオーディットデータが生成されるノードの時間を使用するよう
に指示します。
+/– <minutes> 抽出されるデータが、元々はそのデータが現在置かれている以外のノードで作成され
たものである場合は、+/– nnnn を指定することで、BEGINLCTTIME および
ENDLCTTIME が関連する日付比較で指定した秒数をグリニッジ標準時からプラスま
たはマイナスした時間を使用するように、MOVER サーバークラスに対して指示しま
す。
MAXCPUBUSYPCT <%> XMA がピーク時の本番環境での処理を妨害しないようにするために、各 MOVER サ
ーバークラスは CPU アクティビティを検査し、必要があれば短時間、処理量を抑制
します。このパラメーターは、BACKLOGAGE と一緒に使用します。CPU 使用率が
XYGATE Merged Audit®リファレンスマニュアル 第 5 章 MOVER の構成
XYPRO Technology Corporation 115 Proprietary and Confidential
指定されたパーセンテージ以上になり、処理されるオーディットレコードが
BACKLOGAGE で指定された秒数より古くなると、MOVER は 1~3 秒のインターバ
ルで休止します。このインターバルはランダムに選択されるため、すべての MOVERサーバークラスが同じタイミングで覚醒するわけではありません。
有効な値の範囲は 1~100 パーセントです。
デフォルト値は 80 パーセントです。
5.7.1 MEASURE 関連のパラメーター 次のパラメーターは、MEASURE MOVER だけで使用します。
MAXEXTENTS <number> MEASURE MOVER サーバークラスは、プライマリとバックアップのデータファイル
の作成時に、このパラメーターを使用して、それぞれのデータファイルの最大エクス
テント数を指定します。
デフォルト値は 100 です。
MEASUREINTERVAL <seconds> MEASURE MOVER サーバークラスがこのパラメーターを使用します。MEASURE デ
ータの収集頻度を指定するために使用します。
デフォルトは 300 秒(5 分)です。
PRIMARYEXTENTSIZE <number> MEASURE MOVER サーバークラスがこのパラメーターを使用します。プライマリと
バックアップのデータファイルのプライマリエクステントサイズです。
デフォルト値は 16 です。
PRIMARYFILE <file name> MEASURE MOVER サーバークラスがこのパラメーターを使用します。これは必須パ
ラメーターです。ノードを含む完全修飾ファイル名を指定してください。
これは必須パラメーターです。
SECONDARYEXTENTSIZE <number> MEASURE MOVER サーバークラスがこのパラメーターを使用します。プライマリと
バックアップのデータファイルのセカンダリエクステントサイズです。
デフォルト値は 16 です。
SWAPVOL MEASURE MOVER サーバークラスがこのパラメーターを使用します。有効なサブボ
リューム名を指定する必要があります。
XYGATE Merged Audit®リファレンスマニュアル 第 5 章 MOVER の構成
XYPRO Technology Corporation 116 Proprietary and Confidential
デフォルトは、MEASURE MOVER サーバークラスオブジェクトのサブボリュームロ
ケーションです。
5.7.2 TMF 関連のパラメーター 次の 2 つのパラメーターは、TMF 処理を制御するために使用されます。
TRANSACTIONSIZE <number> このパラメーターは、各 TMF トランザクション内で処理されるローの数を指定しま
す。
デフォルトは 1000 ローです。
TRANSACTIONTIMEOUT <seconds> このパラメーターは、TRANSACTIONSIZE と一緒に使用します。
TRANSACTIONSIZE で指定されたロー数には達していないものの、指定した秒数が
最後のトランザクションが開始してから経過した場合は、トランザクションが完了し
ます。この値を、TMF 内の AUTOABORT 値よりも小さい値にセットしてください。
デフォルトは 120 秒(2 分)です。
注:
5.8 時間範囲
MOVERパラメーターテーブル内のいずれかのMOVERサーバークラスパラメー
ターを変更した場合に新しいパラメーター値を有効にするには、MOVERサー
バークラスをフリーズして停止してから、フリーズを解除して再起動する必要
があります。
XMA を初めてインストールする場合に、履歴データを収集したい場合があります。こ
の目的のためだけに特別な MOVER サーバークラスを作成し、現行データを処理する
別の MOVER サーバークラスを作成することを推奨します。
例:
Serverclass Name = XAC-NODE1-HIST BEGINLCTTIME 2007-01-01 00:00:00.000000 ENDLCTTIME 2007-03-31 23:59:59.000000 Serverclass Name = XAC-NODE1-01 BEGINLCTTIME 2007-04-01 00:00:00.000000 ENDLCTTIME -1
上記の例では、当日の日付である 2007 年 4 月 1 日を基準にして、この年の初日以降
に生成された XAC のオーディットデータを処理します。
MOVER サーバークラス XAC-NODE1-HIST は、日付が 2007 年 1 月 1 日~2007 年 3月 31 日までのすべてのオーディットレコードを処理します。MOVER サーバークラ
ス XAC NODE1-01 は、2007 年 4 月 1 日以降のデータのすべてのオーディットレコー
ドを処理します。
XYGATE Merged Audit®リファレンスマニュアル 第 5 章 MOVER の構成
XYPRO Technology Corporation 117 Proprietary and Confidential
注:
5.9 MOVER に関する問題のトラブルシューティング
履歴データを収集する場合は、BLOCKALERTSパラメーターをONにセットする
ことを推奨します。ONにセットしないと、何か月も前に実行されたアクション
に対してアラートがMOVERによって生成されることになります。アラートが
生成されるはずだったレコードについては、AUDIT DETAILテーブルのALERTカラムに'B'とマークされます。
データテーブルが一杯であるためにMOVERが異常終了した場合は、CLEANUPまたは
ARCHIVEを使用して古いデータの一部を削除してから、FUP RELOADを実行して空
き領域を確保する必要があります。短期的にデータテーブルのサイズを大きくするこ
とや、古いレコードを留保することを検討してください。詳細については、第 7 章
「XMAデータベースの管理」(131 ページ~)を参照してください。
MOVER が TMF エラーによって異常終了した場合は、TMF の問題を解決してから、
MOVER を再起動する必要があります。MOVER の数が関係する場合は、Pathway を
停止して再起動するのが簡単な方法です。そうすることで、すべての MOVER が同時
に再起動されます。
リモート MOVER が EXPAND エラーによって異常終了した場合は、EXPAND の問題
を解決してから、MOVER を再起動する必要があります。MOVER の数が関係する場
合は、Pathway を停止して再起動するのが簡単な方法です。そうすることで、すべて
の MOVER が同時に再起動されます。
MOVERのステータスを確認し、ステータスが"Waiting for work" (処理待ち)である場
合には、MOVERがターゲット製品のオーディットログを読み取れない可能性があり
ます。その製品のオーディットログが、XMAオーナーによる読み取りアクセスが可能
なセキュリティに設定されていることを確認してください。詳細は、第 6.5 節の
「SafeguardのEMSエラーメッセージ」(127 ページ~)を参照してください。
XYPRO Technology Corporation 119 Proprietary and Confidential
第6章 Safeguard の選択基準
本章では、Safeguard イベントのフィルターおよびレポートの作成に有用な
Safeguard オーディットレコードに関する情報について説明します。
6.1 Safeguard OBJECTTYPE 特定のタイプの Safeguard オブジェクトへのアクセスをモニターする場合は、
OBJECTTYPE を使用できます。たとえば、Safeguard グローバルパラメーターの変
更時にアクションを生成する場合は、AUDIT.OBJECTTYPE = SAFEGUARD-CONFIGを選択します。
カテゴリー別の Safeguard OBJECTTYPE
カテゴリー OBJECTTYPE
Protection Record-related– 保護
対象のオブジェクトへのアクセ
スではなく、保護レコードの変
更をモニターする場合は、この
カテゴリーを使用します。
ACL-DEVICE ACL-PROCESS ACL-VOLUME
ACL-DISKFILE ACL-SUBDEVICE ACL-SUBPROCESS
ACL-SUBVOLUME ACL-DISKFILE-PATTERN ACL-OBJECTTYPE
Safeguard Globals SAFEGUARD-CONFIG
Safeguard Audit Configuration AUDIT-POOL
Safeguard SEEP Configuration SEEP
Safeguard 端末 SG-TERMINAL
Object-related – 保護レコード
ではなく、オブジェクトへのア
クセスをモニターする場合は、
このカテゴリーを使用します。
ALIAS DEVICE PROCESS VOLUME
DISKFILE USER SUBDEVICE
SUBPROCESS SUBVOLUME DISKFILE-PATTERN
User-Related ALIAS USER REMOTE-PASSWORD
Client related (Other subsystems) (この OBJECTTYPE のすべて
が、Safeguard オーディットト
レイルで実際に使用されている
わけではありません。詳細につ
いては、HP Safeguard のマニ
ュアルを参照してください。)
SQL-CATALOG SQL-TABLE TAPE-MOUNT TMF-AUDIT-DUMP TMF-BACKOUT TMF-DUMP TMF-TRAN
SQL-INDEX SQL-VIEW TAPE-VOLUME TMF-AUDIT-TRAIL TMF-CATALOG TMF-TAPE-VOLUME
XYGATE Merged Audit®リファレンスマニュアル 第 6 章. Safeguard の選択基準
XYPRO Technology Corporation 120 Proprietary and Confidential
カテゴリー別の Safeguard OBJECTTYPE
カテゴリー OBJECTTYPE
OSS-related OSS-DISKFILE DIRECTORY GROUP
OSS-FILESET PATH TTY
Other – (この OBJECTTYPE の
すべてが、Safeguard オーディ
ットトレイルで実際に使用され
ているわけではありません。詳
細については、HP Safeguardのマニュアルを参照してくださ
い。)
COMMAND FIFO PROCESSGROUP SOCKET SYMLINK CONTROLLER
GENERIC-CONFIG SHARED-SEGMENT SUBSYSTEM SYSTEM-DEVICE UNKNOWN
6.2 Safeguard の操作 特定のアクティビティをモニターする場合は、OPERATION カラムを使用します。
Safeguard の操作 テープに予
約された操
作
TMF に予約され
た操作 SQL に予約さ
れた操作
ABORT ACCEPT ACCESS AUTHENTICATE BACKOUT CHANGE CHANGE-OWNER CHANGE-PRI CHANGE- STEPMOM CLOSE COMPOSITE CREATE DEBUG EXECUTE GIVE KILL LICENSE LINK LOGOFF LOGON
NEWPROCESS NEXTFILE OPEN OSS-RESOLVE OTHER PROGID PURGE READ REJECT RELEASE RENAME RESET REVIVE SECURITY SET START STOP SUSPEND UNKNOWN UPDATE VERIFYUSER WRITE
NEXTTAPE SCRATCH USETAPE
ADD ALTER DELETE ENABLE EXCLUDE INITIALIZE NEXT ONLINEDUMP RESOLVE ROLLFORWARD
GRANT INSERT REFERENCE REVOKE SELECT
XYGATE Merged Audit®リファレンスマニュアル 第 6 章. Safeguard の選択基準
XYPRO Technology Corporation 121 Proprietary and Confidential
ADD、ALTER、および DELETE 操作は、TMF に予約されています。「add user …」
と入力しても、この操作は CREATE として記録されます。
入力内容 オーディットトレイルの記録内容 Add Alter Delete Logon
CREATE CHANGE PURGE VERIFYUSER
Safeguard の操作に関する注意: VERIFYUSER この操作では、Safeguard によるユーザーの認証時にオーディット
レコードが書き込まれます。
AUTHENTICATE この操作では、Safeguard 以外の製品によるユーザーの認証時にオ
ーディットレコードが書き込まれます。Netbatch、XAC、XUA イ
ベントのいずれでも、AUTHENTICATE レコードが生成されます。
LOGON HP のドキュメントによると、この操作は将来使用するために予約
されています。
UPDATE ファイルの内容を変更すると、この操作は UPDATE として記録さ
れます。
機密性の高いファイル(顧客 PIN の保存先など)が変更されるたびに
アラートを生成する場合は、UPDATE 操作を選択します。
注:
6.3 Safeguard メッセージコード
既存のキーワード値を同じ値に変更する(たとえば、値が 10 である場合に、
"alter safeguard, PASSWORD-HISTORY 10"を実行する)と、プライマリレコー
ドのみが表示され、前レコードおよび後レコードは表示されません。この原因
は、変更が実際には実行されなかったことが検出される前に、プライマリレコ
ードが書き込まれるためです。
実際の OUTCOME はオーディットトレイルに番号(メッセージコード)として保存され
ます。モニターするレコードがメッセージコードで一意に識別される場合は、メッセ
ージコードに基づくオーディットレコードの選択が有用である可能性があります。
たとえば、ユーザーパスワードの期限切れが原因で拒否されたログインのみをモニタ
ーする場合は、AUDIT.MESSAGECODE = 401 のレコードを選択できます。
また、ユーザーID のフリーズが原因で拒否されたログインのみをモニターする場合は、
AUDIT.MESSAGECODE = 404 のレコードを選択できます。
XYGATE Merged Audit®リファレンスマニュアル 第 6 章. Safeguard の選択基準
XYPRO Technology Corporation 122 Proprietary and Confidential
番号順のメッセージコード: 400 – user valid 451 – denied 500 – Password too short 401 – password expired 452 – maybe 501 – Password too long 402 – user expired 453 – passed 502 – Password qual denied 403 – user failed 454 – failed 503 – Password qual reject 404 – user frozen 455 – no record 504 – Password invalid 405 – password invalid 456 – other 505 – Password embedblanks 406 – user invalid 457 – partial success 506 – Password criteriafail 450 – granted 458 – pending 507 – Password too soon 459 – warning 508 – Password duplicate
"454 – Failed"は拒否ではありません。アクセスが許可された一方で、セキュリティ上
の原因で操作が失敗したことを表します。通常、OUTCOME 454 は、BACKUP など
のプログラムで、開いたファイルの読み取りが失敗すると発生します。
下記の表はメッセージコードの分類について説明します。
Safeguard OUTCOME および関連のメッセージコード カテゴリー Safeguard
OUTCOME メッセー
ジコード Successful アクセス試行の成功を表す異なるすべての OUTCOME。フ
ィルターまたはレポートで AUDIT.OUTCOME = 1 を選択す
ると、このカテゴリーのいずれかの OUTCOME を含むオー
ディットレコードが選択されます。
Granted UserValid Passed
450 400 453
Fails アクセス試行の失敗を表す異なるすべての OUTCOME。 フィルターまたはレポートで AUDIT.OUTCOME = 3 を選択
すると、このカテゴリーのいずれかの OUTCOME を含むオ
ーディットレコードが選択されます。
Denied Failed Maybe Other PartialSuccess Pending UserExpired UserFailed UserFrozen UserInvalid UserPwExpired UserPwInvalid
451 454
452 456 457 458
402 403 404 406 401 405
XYGATE Merged Audit®リファレンスマニュアル 第 6 章. Safeguard の選択基準
XYPRO Technology Corporation 123 Proprietary and Confidential
Safeguard OUTCOME および関連のメッセージコード カテゴリー Safeguard
OUTCOME メッセー
ジコード Authentication-Related UserExpired
UserFailed UserFrozen UserInvalid UserPwExpired UserPwInvalid UserValid
402 403 404 406 401 405 400
警告は、Safeguard が警告モードである場合のみ表示されま
す。 No Record は、Safeguard で保護されていないオブジェクト
のアクセス試行を表します。Safeguard が警告モードである
場合は、すべてのアクセス試行が No Record に変換され、判
定がファイルの Guardian セキュリティ文字列に基づいて実
行されます。
Warning Norecord
459 455
Unhelpful XMA に付属する$IGNORE-UNWANTED-SFG-CODES フィ
ルターでは、このカテゴリーの OUTCOME を含むオーディ
ットレコードが XMA データベースに書き込まれません。
Failed Maybe Other PartialSuccess Pending
454 452 456 457 458
次のページの例 1 に記載された段落 1 の DATA_SELECT は有用な情報を含まない
Safeguard オーディットレコードを XMA データベースに書き込まないフィルターで
す。このフィルターでは、XMA データベースを大幅に圧縮できます。"有用でない"オーディットレコードはメッセージコードで一意に識別されるため、Safeguard メッセ
ージコードに基づいて IGNORE フィルターを作成できます。
XYGATE Merged Audit®リファレンスマニュアル 第 6 章. Safeguard の選択基準
XYPRO Technology Corporation 124 Proprietary and Confidential
段落 2~5 の DATA_SELECT では、有用でないメッセージを含むセカンダリレコード
がメッセージ‘D’で削除されます。
例 1:有用でない Safeguard レコードを無視するフィルター
FILTERDEFBEGIN $IGNORE-UNWANTED-SFG-RECS STATUS ACTIVE ! $IGNORE-UNWANTED-SFG-RECS ! Safeguard Message Codes: ! 450 = granted | 455 = no record ! 451 = denied | 456 = other ! 452 = maybe | 457 = partial success ! 453 = passed | 458 = pending ! 454 = failed | 459 = warning MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = SAFEGUARD MOVER_SELECT_END MOVER_END DATA_BEGIN !Filter out uninformative Safeguard message codes: DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.MESSAGECODE LIKE "(452|453|454|456|457|458|459)" DATA_SELECT_END !Ignore the redundant,uninformative OSS records: DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OPERATION = EXECUTE AUDIT.OBJECTTYPE LIKE "OSS-DISKFILE|DIRECTORY)" AUDIT.MESSAGEID LIKE "(52|55)" DATA_SELECT_END !Ignore the redundant,uninformative DISKFILE-PATTERN records: DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OBJECTTYPE = DISKFILE-PATTERN AUDIT.MESSAGEID = 52 DATA_SELECT_END !Ignore the 2ndary records for READ accesses DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OPERATION = READ AUDIT.MESSAGEID = 54 DATA_SELECT_END !Ignore the 2ndary records for add/delete ACLs DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OPERATION LIKE "(CREATE|PURGE)" AUDIT.OBJECTTYPE CONTAINS "ACL-" AUDIT.MESSAGEID LIKE "(53|56)" DATA_SELECT_END DATA_END ACTIONCOLL_BEGIN ACTION_BEGIN ACTIONTYPE IGNORE ACTION_END ACTIONCOLL_END FILTERDEFEND
1
2
3
4
5
XYGATE Merged Audit®リファレンスマニュアル 第 6 章. Safeguard の選択基準
XYPRO Technology Corporation 125 Proprietary and Confidential
注:
MOVER パラメーターを作成すると、No Record を無視できます。デフォルト
では、No Record が無視されます。このため、システムまたは個別の保護レコ
ードが警告モードである場合は、No Record を無視しないように MOVER パラ
メーターを変更しないと、XMA データベースのオーディットレコードにファイ
ルアクセスできません。
Safeguardが警告モードである場合は、すべてのアクセス試行がNo Recordに変
換されます。
No R ecordを無視しないようにMOVERパラメーターを変更する手順については、
第 5 章「MOVERの構成」(93 ページ~)を参照してください。
6.4 Safeguard MessageID 1 件の Safeguard イベントでは、1 件のプライマリレコードおよび 0 件以上のセカン
ダリレコードが生成されます。このようなレコードは、MessageID で識別されます。
Safeguard MessageID Msg ID レコード
タイプ 説明
51 Primary このレコードはユーザーおよびオブジェクトの保護レコードの変更
以外のすべてに関する有用な情報を含んでいます。変更したパラメ
ーターを表すレコードのアラートを生成する場合は、レコード 55 ("後")を使用します。
52 Secondary DISKFILE-PATTERN のすべての情報は、このレコードに追加されま
す。有用でないセカンダリレコードを除外するには、この
MessageID を使用します。レポートまたはアラートを生成する必要
があるすべてのレコードは、Primaryに含まれています。
53 Secondary 追加/作成。ユーザーレコードまたは保護レコードを追加すると、1件のレコード 53 がレコードのフィールドごとに生成されます。たと
えば、ユーザーを追加すると、多数のセカンダリレコード 53 が生成
されます。ユーザーレコードまたは保護レコードの追加を確認する
場合は、プライマリレコード(51)を選択します。
54 Secondary このタイプは保護レコードまたはユーザーレコードの変更に関する"前"のセカンダリレコードです。XMA では、すべての有用な情報を次
の 1 件のレコード"Password History 2 to 10"に含まれるように、こ
のタイプを"後"のレコード(55)と組み合わせます。
55 Secondary このタイプは保護レコードまたはユーザーレコードの変更に関する"後"のレコードです。XMA では、すべての有用な情報が 1 件のレコー
ドに含まれるように、このタイプを抑制し、"後"のレコード(55)と組
み合わせます。 このレコードタイプは LOGOFF 操作に使用され、新しいファイル名
は RENAME 操作に使用されます。
XYGATE Merged Audit®リファレンスマニュアル 第 6 章. Safeguard の選択基準
XYPRO Technology Corporation 126 Proprietary and Confidential
Safeguard MessageID Msg ID レコード
タイプ 説明
56 Secondary 削除 – レコード 56 が削除したレコードのフィールドごとに生成され
ます。ユーザーレコードまたは保護レコードの削除を確認する場合
は、プライマリレコード(51)を選択します。
57 Secondary Authentication-Related のセカンダリレコード。
注:
124
XSR 2.23 以降では、Safeguardの保護レコードを含むディスクファイルに読み
取りアクセスすると、MessageID 54 のレコードも生成されます。このレコー
ドは、SAFEARTの出力に一致します。保護レコードの各フィールドには、セ
カンダリレコード 54 が追加されます。場合によって、このレコードをXMAデータベースから除外します。 ページの例 1 を参照してください。
MessageID を使用すると、有用な情報を含むオーディットイベントのレコードを選択
できます。
ユーザーレコード、エイリアスレコード、グローバルレコード、またはすべてのタイ
プの保護レコードが追加または削除されるたびに電子メールを送信する場合は、確認
する必要があるすべての情報、つまり、どのユーザーがどのレコードを作成/パージし
たかが保護レコードの AUDIT.RESULT カラムに表示されます。このため、
AUDIT.MESSAGEID = 51 のオーディットレコードのみを選択して電子メールを生成
すると、操作対象の有用な情報が受信者に送信されます。
ただし、ユーザーレコードまたはエイリアスレコード(あるいは、すべてのタイプの保
護レコード)が変更されるたびに電子メールを送信する場合は、どのような情報が変更
されたかではなく、オブジェクトが変更されたことのみがプライマリレコードの
AUDIT.RESULT カラムに表示されます。どのような変更が実行されたかを表すレコ
ードはレコード 55 であるため、AUDIT.MESSAGEID = 51 のオーディットレコードを
電子メールまたはレポートに使用します。 例 2:Safeguard 設定の変更を取得するフィルター FILTERDEFBEGIN $CHANGES-TO-SFG-CONFIG ! Includes Protection Records, Globals, Audit and SEEP config STATUS ACTIVE ! $CHANGES-TO-SFG-CONFIG MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = SAFEGUARD MOVER_SELECT_END MOVER_END DATA_BEGIN ! Alert on the 51 (Primary)record for adds and deletes DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OBJECTTYPE LIKE "(SAFEGUARD-CONFIG|SEEP|AUDIT-POOL)" AUDIT.OPERATION LIKE "(CREATE|PURGE)" AUDIT.MESSAGEID = 51 DATA_SELECT_END ! or ... DATA_SELECT_BEGIN !Because can't wildcard with the CONTAINS operator, use a separate
XYGATE Merged Audit®リファレンスマニュアル 第 6 章. Safeguard の選択基準
XYPRO Technology Corporation 127 Proprietary and Confidential
!paragraph to select the Protection Records FILTERTYPE STRINGFILTER AUDIT.OBJECTTYPE CONTAINS "ACL" AUDIT.OPERATION LIKE "(CREATE|PURGE)" AUDIT.MESSAGEID = 51 DATA_SELECT_END ! or ... ! Alert on the 55 (2ndary)record for changes DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OBJECTTYPE LIKE "(SAFEGUARD-CONFIG|SEEP|AUDIT-POOL|ACL.*)" AUDIT.OPERATION = CHANGE AUDIT.MESSAGEID LIKE "^(54|55)$" DATA_END
上記の例 2 は、Safeguard グローバル、オーディットプール、SEEP、または保護レ
コードの追加、変更、または削除を選択するフィルターを表します。このようなイベ
ントは、OBJECTYTYPE および OPERATION で一意に識別されます。
AUDIT.RESULT カラムに有用な情報を含むレコードを MessageID で選択します。
CREATE および PURGE の場合は、プライマリレコード 51 の AUDIT.RESULT カラ
ムにイベントに有用なすべての情報が含まれています。CHANGE の場合は、レコー
ド 54 または 55 に有用な情報が含まれています。
すべての保護レコードの OBJECTTYPE 名の先頭が文字列 ACL であるという事実を
利用し、エントリをワイルドカード検索できるように LIKE 演算子を使用する場合は、
各タイプの保護レコードを個別に定義する必要はありません。
6.5 Safeguard の EMS エラーメッセージ 下記のメッセージは、Safeguard のオペレーターメッセージマニュアルに記載されて
います。
ア
イ
テ
ム
番
号
レポート
元のプロ
セス
メッセージの生成元の イベント
メッセージテキスト
1 zsmp SFG と NSK のバージョン
の不一致 “process-name:NonStop Kernel/Safeguard versions (K-version/SFG-version) are incompatible”
2 zsmp SFG サブシステムファイ
ルの作成 “process-name:created Safeguard file:<filename>”
3 zsmp SMON または SEEP プロ
セスの起動 "process-name:Created Safeguard process:<SMON/SEEP proc-name>"
4 zsmp SMON または SEEP プロ
セスの停止 "process-name:Stopped Safeguard process:<SMON/SEEP proc-name> by user at terminal <terminal>"
XYGATE Merged Audit®リファレンスマニュアル 第 6 章. Safeguard の選択基準
XYPRO Technology Corporation 128 Proprietary and Confidential
ア
イ
テ
ム
番
号
レポート
元のプロ
セス
メッセージの生成元の イベント
メッセージテキスト
5 zsmp SFG 設定パラメーターの
変更 "process-name:Safeguard configuration token <token> changed from <before> to <after>
6 zsmp オーディットファイルのロ
ールオーバー "process-name:Audit file <file1> has been closed; audits are now directed to <file2>."
7 zsmp オーディットサービスステ
ータスの変更 "process-name:Safeguard audit state change. Previous state:<prior state> Current state:<current state>"
8 zsmp オーディットプールの最後
のファイルの使用中 “process-name:The last audit file aud-file of audit pool subvol-name is now in use. Current state:<current state>" Pending state:<pending state>
9 zsmp オーディットプールの最後
のファイルの使用量 "process-name:The last audit file <aud-file> of audit pool <subvol > is now pcnt <percent> filled. Current state:<current state> Pending state:<pending state>"
10 zsmp オーディットファイルの解
放 “process-name:Safeguard audit file <aud-file> has been released for later reuse”
11 zsmp オーディットファイルの再
利用(解放済みのファイル
の使用中)
“process-name:Safeguard audit file aud-file has been recycled for reuse”
12 zsmp SMON プロセスの誤った
名前 “Safeguard OSMON was started with wrong name”
13 zsmp Safeguard サブシステムフ
ァイルの誤ったコードまた
はタイプ
"process-name:Unusable Safeguard file:<filename> <filerole>
14 zsmp SEEP の異常終了 "process-name:process SEEP-proc terminated abnormally"
15 zsmp SEEP 設定の変更 "process-name:Event-Exit-Process <SEEP-name> configuration token <token> changed from <old-val> to <new-val> by user
16 zsmp Safeguard による SEEP の
起動失敗 “process-name:Stopping process SEEP-proc not started by Safeguard”
XYGATE Merged Audit®リファレンスマニュアル 第 6 章. Safeguard の選択基準
XYPRO Technology Corporation 129 Proprietary and Confidential
ア
イ
テ
ム
番
号
レポート
元のプロ
セス
メッセージの生成元の イベント
メッセージテキスト
17 zsmp SEEP のファイルエラーの
発生 "process-name:Event-Exit-Process SEEP name (<SEEP-proc>) message reply EE^HDR^ERROR <errno>
18 zsmp SEEP の無効なメッセージ
のリターン "process-name:Event-Exit-Process SEEP-name (<SEEP-proc>) message reply is invalid, reason:<reason>"
19 smon SMON による正しいオー
ディットファイルの検出失
敗
"process-name:Cannot determine audit file name from $ZSMP.No auditing will be done until after $ZSMP opens a new audit file.Deny Grants will be enforced if configured."
20 zsmp $CMON の実行失敗 "process-name:SAFEGUARD configured with CMON=ON but $CMON not running."
21 smon SMON の仮想ディスクフ
ァイルエラーの発生 “process-name:Due to an error <errno> on SAFEGUARD file: filename (physical name:<phys-name>) no file access allowed on this virtual disk."
22 smon SFG サブシステムファイ
ルのロック(セキュリティ
エラーの可能性)
"process-name:Lock found on SAFEGUARD file:<filename> Lock details:<description>"
XYPRO Technology Corporation 131 Proprietary and Confidential
第7章 XMA データベースの管理
XMA の SQL データベースは、熟知したデータベース管理者が管理する必要がありま
す。データテーブルの空き容量を確保し、クエリの効率性を維持するには、複数のタ
スクを定期的に実行する必要があります。
1. アーカイブプロセスまたはクリーンアッププロセスによる古いレコードの削除
(136 ページ)
2. FUPリロードの実行(138 ページ)
3. 統計の更新(138 ページ)
4. データテーブルのサイズ変更(138 ページ)
5. XMAデータベースのパーティション分割(140 ページ)
注: C10: Audit Trailテーブル(AUDDET、付録 )またはAudit Sessionテーブル
(AUDSESS、付録C9:)を別のドライブに移動する場合や、これらのいずれ
かのテーブルをパーティション分割する場合は、AUDDETとAUDSESSのど
ちらのテーブルについても、プライマリパーティションをXMADATサブボ
リュームに置く必要があります。
7.1 古いレコードの削除 古いデータレコードは、データを保持するかどうかに応じて、2 つの方法で本番環境
の XMA データベースから削除できます。
• 削除するデータを保持する場合は、アーカイブプロセスを使用する必要がありま
す。詳細は、第 7.1.2 節「XMAデータベースのアーカイブ 」(134 ページ)を参照して
ください。
• 削除するデータを保持しない場合は、クリーンアッププロセスを使用します。詳
細は、第 7.1.3 節「クリーンアップによる古いデータレコードの削除 」(136 ページ)を参照してください。
7.1.1 選択的なアーカイブおよびクリーンアップ XMA データベースでは、特定のオーディットレコードをさまざまな期間、保持できま
す。たとえば、60 日を超過した履歴データを定期的に削除する一方で、オーディット
要件でユーザーレコードの追加および削除に関する情報を 5 年間保持する必要がある
場合は、OPERATION が CREATE または PURGE である Safeguard レコードを選択
するフィルターを作成し、RETAIN_MONTHS または RETAIN_DAYS キーワードでレ
コードの保持期間を設定します。
XYGATE Merged Audit®リファレンスマニュアル 第 7 章 XMA データベースの管理
XYPRO Technology Corporation 132 Proprietary and Confidential
アーカイブプロセスおよびクリーンアッププロセスでは、PRODUCT が FILEMAINTである MOVER 段落を含むフィルターがチェックされます。ACTIONTYPE が
RETAIN である MOVER 段落が検出され、RETAIN_DAYS または RETAIN_MONTHSキーワードの値がチェックされ、フィルターのデータ選択基準に一致する XMA デー
タベースのオーディットレコードが適宜に処理されます。
MOVER では、FILEMAINT フィルターが無視されます。アーカイブプロセスおよびク
リーンアッププロセスでは、FILEMAINT フィルターのみが読み取られます。このた
め、長期間 XMA データベースに保持するオーディットイベントのアラートを生成す
る場合は、選択基準が同じである一方で MOVER 基準および ACTION 段落が異なる 2つの MOVER を作成する必要があります。
選択的なアーカイブまたはクリーンアップの設定に使用されるフィルターは、下記の
段落で設定する必要があります。
RETAINパラメーター
• PRODUCT が FILEMAINT である MOVER 段落
• 下記の ACTION 段落
1. ACTIONTYPE が RETAIN である。
2. RETAIN_MONTHS または RETAIN_DAYS キーワードを含む。
FILEMAINT FILEMAINT キーワードは選択的なアーカイブまたはクリーンアッ
プの実装に使用されます。PRODUCT が FILEMAINT である
MOVER 段落を含むフィルターは、ACTIONTTYPE が RETAIN で
ある ACTION 段落も含んでいる必要があります。
RETAIN フィルターのデータ選択基準に一致するオーディットレコードを
保持する期間を定義する ACTIONTYPE。
RETAIN_DAYS フィルターの選択基準に一致するオーディットレコードをアーカ
イブまたはクリーンアップで削除する前に、XMA データベースに
保持する日数。
日数を 1~5500 (15 年)までの数値で入力するか、「永続的に削除
されない」ことを表す–1 を指定します。
RETAIN_MONTHS フィルターの選択基準に一致するオーディットレコードをアーカ
イブまたはクリーンアップで削除する前に、XMA データベースに
保持する月数。
数字 1~180 (15 年)または -1 (削除しない)で月数を入力します。
PRODUCT が FILEMAINT であるフィルターには、他の MOVER 段落を追加できませ
ん。
RETAIN_DAYS キーワードと RETAIN_MONTHS キーワードは、相互に排他的です。
同じフィルター内ではどちらか一方だけを使用でき、両方は使用できません。
XYGATE Merged Audit®リファレンスマニュアル 第 7 章 XMA データベースの管理
XYPRO Technology Corporation 133 Proprietary and Confidential
下記の例 1 では、OPERATION が GET または PUT であるカード所有者のデータを含
むデータベースへの FTP アクセスの XHE オーディットレコードが、5 年間保持され
ます。電子メールアラートの送信など、別のアクションを実行する場合は、選択基準
が同じであり、MOVER が XYGATEHE である別のフィルターを追加する必要があり
ます。
例 1:
FILTERDEFBEGIN $RETAIN-DATABASE-GETS-PUTS STATUS ACTIVE MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = FILEMAINT MOVER_SELECT_END MOVER_END DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.PRODUCTCODE = XYGATEHE AUDIT.OPERATION LIKE "(GET|PUT)" AUDIT.OBJECTTNAME LIKE "^\$DATA.*\.PRODDAT\..*" DATA_SELECT_END DATA_END ACTIONCOLL_BEGIN ACTION_BEGIN ACTIONTYPE RETAIN RETAIN_MONTHS 60 ! (5yr x 12mo) ACTION_END ACTIONCOLL_END FILTERDEFEND
例 2 では、ユーザー管理のオーディットレコードが、10 年間保持されます。データを
"永続的"に保持する場合は、–1 (削除しない)を使用します。 例 2:
FILTERDEFBEGIN $RETAIN-USER-MAINT-RECORDS STATUS ACTIVE ! $RETAIN-USER-MAINT-RECORDS MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = FILEMAINT MOVER_SELECT_END MOVER_END DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.PRODUCTCODE = SAFEGUARD AUDIT.OBEJECTTYPE LIKE "(USER|ALIAS)" AUDIT.OPERATION LIKE "(CREATE|PURGE)" AUDIT.MESSAGEID = 51 DATA_SELECT_END DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OBJECTTYPE LIKE "(USER|ALIAS|REMOTEPASSWORD)" AUDIT.OPERATION = CHANGE AUDIT.MESSAGEID LIKE "^(54|55)$" DATA_SELECT_END DATA_END ACTIONCOLL_BEGIN ACTION_BEGIN
XYGATE Merged Audit®リファレンスマニュアル 第 7 章 XMA データベースの管理
XYPRO Technology Corporation 134 Proprietary and Confidential
ACTIONTYPE RETAIN RETAIN_DAYS 3650 ! (365 x 10yrs) ACTION_END ACTIONCOLL_END FILTERDEFEND RETAIN_DAYS –1 -または-
電子メールアラートの送信など、別のアクションを実行する場合は、選択基準が同じ
であり、MOVER が Safeguard である別のフィルターを追加する必要があります。
RETAIN_MONTHS -1
7.1.2 XMA データベースのアーカイブ アーカイブでは、本番環境の XMA データベースからレコードが削除され、削除する
データを保存する新しいテーブルセットが作成されます。アーカイブデータテーブル
は、継続的に開いているわけではないためバックアップできます。
アーカイブプロセスを実行するたびに、新しいアーカイブテーブルセットが作成され
ます。アーカイブプロセスの進行状況はアーカイブログテーブル(ARCLOG)に記録さ
れます。
アーカイブの作成 [Database Management Menu]のオプション 5:List Archive tasks
[Database Management Menu]のオプション
(89 ページ)を選択
すると、データを手動でアーカイブできます。
16:Auto Archive Setup
例 1:XMA_MANAGER によるアーカイブ構成の例
(89 ページ)で、
アーカイブをスケジュールできます。アーカイブがスケジュールされると、ハウスキ
ーパーサーバーによって、定義した間隔で起動されます。
1: Archive Interval (M[ONTHLY]/W[EEKLY]/D[ISABLED]) :MONTHLY 2: Auto Archive Start Date :2011-03-16 3: Auto Archive Start Time :00:00 4: Data retention Days before archiving :90 5: Archive Location :\X.$VHLH.P28HL18B 6: Archive Tables Security :* 7: Spooler Location for output :$s.#archive X:Exit R:Run To clear an option that can be cleared, select it and then enter '*' Selection ?
XYGATE Merged Audit®リファレンスマニュアル 第 7 章 XMA データベースの管理
XYPRO Technology Corporation 135 Proprietary and Confidential
選択オプション 説明 1: Archive Interval (M[ONTHLY]/W[EEKLY]/D[ISABLED])
アーカイブ処理の頻度を指定します。
2: Auto Archive Start Date アーカイブを実行する最初の日付。
3: Auto Archive Start Time アーカイブを実行する時刻。
4: Data retention Days before archiving
XMA データベースに保持する日数。
5: Archive Location アーカイブレコードを格納するサブボリュー
ム。
6: Archive Tables Security アーカイブテーブルに割り当てるセキュリテ
ィ。
7: Spooler Location for output デフォルトは $s.#archiveです。
R:Exit [Database Management Menu]に戻ります。
X:Run 自動アーカイブパラメーターをセットアップ
します。
下記の例 2 と同様のバッチジョブを作成すると、XMA_MANAGER の外部でアーカイ
ブプロセスを自動化できます。このジョブでは、XMA に付属し、インストールサブボ
リュームに存在する ARCMAC マクロが呼び出されます。
例 2:アーカイブジョブファイルのサンプル
Run <$vol>.<subvol>.xma install Run <<$vol>.<subvol>.ARCMAC
ARCMAC は、XMA に付属し、インストールサブボリュームに存在します。このマク
ロをカスタマイズすると、本番環境のデータベースから削除するデータの日付範囲を
アーカイブテーブルセットに定義できます。このマクロの内容は以下の例 3 のとおり
です。
例 3:ARCMAC マクロの内容
=================================================================== == Macro to run Archive Macro BATARCH == == Note Regarding Process Type: == == - indicates to create a new set of archive tables == == * indicates restart all stopped archive processing == == ##### Add archive data to existing set of archive tables == =================================================================== ?tacl routine #frame [#push t_begin_dt t_end_dt ] XMA_datetime_make <days> #set t_begin_dt [XMA_dt_year4]-[XMA_dt_month]-[XMA_dt_day] XMA_datetime_make <days> #set t_end_dt [XMA_dt_year4]-[XMA_dt_month]-[XMA_dt_day]
XYGATE Merged Audit®リファレンスマニュアル 第 7 章 XMA データベースの管理
XYPRO Technology Corporation 136 Proprietary and Confidential
[$<vol>.<SUBVOL>.batarch - == Process type -/*/###### [t_begin_dt] == Begin Date 00:00:00 == Begin Time [t_end_dt] == End Date 23:59:59 == End Time <add archive subvol> == Archive Location <add description here> == Archive Description ] #unframed
古いアーカイブの削除 [Database Management Menu]のオプション 10または 11を使用して、古いアーカイ
ブテーブルを手動で削除できます。第 4.5 節「Database Management Menu」(88 ペ
ージ)を参照してください。
下記の例 1 と同様のバッチジョブを作成すると、古いアーカイブの削除も自動化でき
ます。このジョブでは、アーカイブするデータレコードを選択する ADELMAC マクロ
が呼び出され、XMA に付属し、インストールサブボリュームに存在する BARCDELプログラムが呼び出されます。
例 1:アーカイブクリーンアップジョブファイルのサンプル Run <$vol>.<subvol>.Run <<$vol>.<subvol>.
xma install
ADELMAC は、XMA に付属し、インストールサブボリュームに存在します。削除す
るアーカイブテーブルを定義するには、このマクロをカスタマイズします。このマク
ロの内容は以下の例 2 のとおりです。
ADELMAC
例 2:ADELMAC マクロの内容
?tacl macro #frame == == = Runs the BARCDEL macro == = [#push t_end_dt ] XMA_datetime_make <days> #set t_end_dt [XMAdt_year4]-[XMAdt_month]-[XMAdt_day] [<$vol>.<subvol>..barcdel [t_end_date] === delete everything <= this date 23:59:59 === end time & <= this time ] #unframed
7.1.3 クリーンアップによる古いデータレコードの削除 サーバークラス HKEEPER (ハウスキーパー)を設定すると、クリーンアップを自動化
できます。XMA のインストール/アップグレード後に、最初に XMA_MANAGER を実
行すると、データベースクリーンアップの自動化を確認するメッセージが表示されま
す。データの保持日数およびクリーンアッププログラムの実行時刻を指定するように
指示されます。
XYGATE Merged Audit®リファレンスマニュアル 第 7 章 XMA データベースの管理
XYPRO Technology Corporation 137 Proprietary and Confidential
クリーンアップオプションの変更方法 クリーンアップオプションを変更するには、[Database Management Menu]のオプシ
ョン 4:Auto cleanup setupを使用します。第 4.5 節「Database Management Menu」(88 ページ)を参照してください。
例:自動クリーンアップ時刻の変更 Selection ? Current cleanup settings :
4
Data older than 9 days will be automatically cleaned up. Cleanup program will be launched at 14:00 daily. Output of the cleanup program will be sent to $S.#CLEANDB.
注: クリーンアッププロセスの結果もアーカイブログテーブル(ARCLOG)に記録さ
れます。
Do you want to change the cleanup settings - y or n <Y> ? Please enter the maximum age in days of the data to be retained.
y
Data older than this value will be automatically cleaned up. Enter 0 to not cleanup any data <9> ? Please enter the time in HH:MM when you want the cleanup program to be automatically started daily <14:00> ? Please enter the spooler location where you want the output of the cleanup to be sent <$S.#CLEANDB> ? Please enter the priority for cleanup process. Enter -1 to execute at HKeeper's priority <-1> ? Command completed successfully Stopping cleanup server... Command completed successfully Starting cleanup server... Command completed successfully Press Return to continue ...
手動クリーンアップ [Database M anagement M enu]のオプション 3:Cleanup Database
7.2 データベースの日常的な管理
(88 ページ)では、
古いデータレコードを手動でクリーンアップできます。
XMA データベースは、統計の更新によるクエリの最適化、クリーンアップまたはアー
カイブで解放された容量のリロードによる再構築など、日常的な管理が必要な SQLデータベースです。
場合によって、DBA グループ、システムマネージャー、またはアプリケーションの
SQL データベーステーブル管理者に日常的なデータベース管理タスクを割り当てる必
要があります。このようなユーザーは必要な知識を習得し、ツールを所有しています。
XYGATE Merged Audit®リファレンスマニュアル 第 7 章 XMA データベースの管理
XYPRO Technology Corporation 138 Proprietary and Confidential
7.2.1 FUP リロードの実行 FUP リロードでは、古いレコードを削除すると、テーブルの空き容量が取得されます。
このプロシージャーは、Pathway の実行中に実行できます。また、週 1 回、月 1 回な
ど、定期的に実行する必要があります。
構文: reload /out <output location>/ <table name>,deallocate
例 1:データテーブルをリロードする OBEY ファイルのサンプル
reload /out $s.#xma.rld/ $SECURE.xmadat.auddet,deallocate
reload /out $s.#xma.rld/ $SECURE.xmadat.audsess,deallocate
上記の 2 つのコマンドでは、AUDDET および AUDSESS テーブルがリロードされま
す。
リロードプロセスのステータスを表示するには、下記のコマンドを実行します。
構文: STATUS [/OUT <list-file> / ] <filename> [, DETAIL ]
例 1:データテーブルをリロードする OBEY ファイルのサンプル
-status $SECURE.xmadat.auddet,detail $VHLH.VHHDAT.ARCHIVES RELOAD INITIATED: 28 Jun 2007, 15:07 RELOAD COMPLETED: 28 Jun 2007, 15:07 DSLACK: 15% ISLACK: 15% RATE: 100% PCT COMPLETED: 100% DEALLOCATE: YES SHARE: NO RECLAIM: NO
7.2.2 Update Statistics データベースの統計を更新すると、データベースに実行するクエリが最適化されます。
このためには XMA に付属する UPDSTAT マクロを使用します。このマクロでは、
XMA の DEFINES を使用してデータベースが検索され"把握"されます。
注:
例:データテーブルをリロードする OBEY ファイルのサンプル
統計を更新するには、Pathwayを停止する必要があります。
Run $secure.xygatema.updstat
XYGATE Merged Audit®リファレンスマニュアル 第 7 章 XMA データベースの管理
XYPRO Technology Corporation 139 Proprietary and Confidential
7.3 データテーブルのサイズ変更 本節では、オーディットセッション(AUDSESS)およびオーディット詳細(AUDDET)の2 つのテーブルについて説明します。この 2 つのテーブルはインデックスを含んでい
ます。また、オーディットの統合情報を含んでいます。
7.3.1 テーブルのデフォルトサイズ 1.60 以降では、この 2 つのテーブルのデフォルトサイズは下記のとおりです。
AUDDET EXTENT (1024,1024)
MAXEXTENTS 900
AUDSESS EXTENT (512,512)
MAXEXTENTS 900
7.3.2 サイズの設定方法 XMA テーブルのサイズが正しく設定されていることは、複数の方法で確認できます。
インストール時 XMA のインストールは、2 つの手順で構成される操作です。インストールの最初の手
順で作成されるファイルの 1 つは、SAMPTBLS です。最初に XMA_MANAGER を実
行する前に、このファイルを編集し、エクステントなどを変更します。SAMPTBLSの情報は、NEWTBLS ファイルに複製されます。
インストール後 - 方法 1 AUDSESS および AUDDET ファイルをパーティション分割すると、容量が増加しま
す。XYGATEMA サブボリュームには、このプロセスに有用な PARSAMP ファイルが
存在します。このファイルはパーティションの作成および適切なパーティションへの
既存のデータの移動に必要な命令および SQLCI コマンドを含んでいます。
インストール後 - 方法 2 2 つ目の方法では、新しい大規模なテーブルの作成および既存のデータの移動を実行
します。SQLCIコマンドの詳細については、『NonStop SQL/MPリファレンスマニュアル
1. PATHCOM または XMA_MANAGER で XMA Pathway サーバーを停止します。
』を参照してください。
2. SQLCI の RENAME コマンドで既存のテーブルの名前を変更します。
3. 新しいテーブルを作成します。
テーブルの定義は、NEWTBLS ファイルに存在します。チャプター名は、AUDSESSおよび AUDDET です。NEWTBLS から各 OBEY ファイルにこの 2 つのチャプターを
XYGATE Merged Audit®リファレンスマニュアル 第 7 章 XMA データベースの管理
XYPRO Technology Corporation 140 Proprietary and Confidential
コピーすることが推奨されます。(プライマリエクステントおよびセカンダリエクステ
ントに必要な値を割り当てた後)
AUDSESS チャプター: EXTENT (1024,1024)
MAXEXTENTS 900
AUDDET チャプター: EXTENT (2048.2048)
MAXEXTENTS 900
注:
1. SQLCI の LOAD コマンドで既存のテーブルから新しいテーブルにデータをコピー
します。
すべてのノードのSQLカタログのバージョンが 3.50 以降である場合、この 2 つ
のファイルはタイプ 2 である可能性があります。
注:
2. SQLCI の DROP コマンドで古いテーブルおよびインデックスを XMA カタログか
らドロップします。
SQLCIのALTER TABLEコマンドで新しいテーブルのTMFオーディットを一時
的に無効にする必要があります。
3. MOVER のオブジェクトプログラムを再コンパイルします。
4. MOVER のオブジェクトプログラムを再コンパイルしたら、XMA Pathway および
MOVER を再起動します。
7.4 XMA データベースのパーティション分割 XMA 1.23 以降では、オーディットセッションテーブルおよびオーディット詳細テー
ブルはパーティション分割に有用なキーを含んでいます。PARTITION キーはオーデ
ィットセッションテーブルおよびオーディット詳細テーブルの最初のカラムです。 PARTITIONKEY カラムは値 2~255 でランダムに更新されます。値 0 は、NULL パー
ティションの作成に使用されません。値 1 は変換用に予約されています。
XMA には、テーブルのパーティション分割に有用なサンプルファイルが付属していま
す。このファイルはパーティション分割ファイルの必要な属性を含んでいます。また、
Pathway ノードの XYGATEMA サブボリュームに存在します。このファイルは、名前
が PARSAMP であり、付録 E5:の「PARSAMP」(192 ページ)で説明されています。
注: AUDDET および AUDSESS テーブルのプライマリパーティションは、
XMADAT サブボリュームに存在する必要があります。
1. XMA Pathway を停止します。
2. パーティション分割:
a. 下記のとおり、AUDSESS テーブルをパーティション分割します。
XYGATE Merged Audit®リファレンスマニュアル 第 7 章 XMA データベースの管理
XYPRO Technology Corporation 141 Proprietary and Confidential
ALTER TABLE =XMA_AUDSESSIONTBL ADD PARTITION <vol1>.XMADAT.AUDSESS FIRST KEY 2 WITH DATA MOVEMENT CATALOG $<vol>.XMACAT -- EXTENT <size1> (『SQL/MPリファレンスマニュアル』の「PARTITION句」を参照) -- MAXEXTENTS <int>; ALTER TABLE =XMA_AUDSESSIONTBL ADD PARTITION <vol1>.XMADAT.AUDSESS FIRST KEY 101 WITH DATA MOVEMENT CATALOG $<vol>.XMACAT -- EXTENT <size1> (『SQL/MPリファレンスマニュアル』の「PARTITION句」を参照) -- MAXEXTENTS <int>'
b. 下記のとおり、AUDDET テーブルをパーティション分割します。
ALTER TABLE =XMA_AUDITDETAILTBL ADD PARTITION <vol2>.XMADAT.AUDDET FIRST KEY 2 WITH DATA MOVEMENT CATALOG $<vol>.XMACAT -- EXTENT <size1> -- MAXEXTENTS <int>; ALTER TABLE =XMA_AUDITDETAILTBL ADD PARTITION <vol2>.XMADAT.AUDDET FIRST KEY 101 WITH DATA MOVEMENT CATALOG $<vol>.XMACAT -- EXTENT <size1> -- MAXEXTENTS <int>;
3. 下記のコマンドを入力して、XMA プログラムを再コンパイルします。
XMA_SQLCOMPALL
4. XMA Pathway を再起動します。
XYPRO Technology Corporation 143 Proprietary and Confidential
第8章 トラブルシューティング
本章では、XMAHELP の機能および下記のトラブルシューティング手順について説明
します。
• NonStop (XMA)におけるオーディットログアプライアンスシステムとの通信
• オーディットログウェアハウスのデータ解析
8.1 XMAHELP/XMA_HELP 使用可能な XMA マクロに関する情報が表示されます。
構文
XMAHELP
8.1.1 XYMOVE の機能 XYMOVE プログラムでは、情報が XYGATE 製品のオーディットトレイルから抽出さ
れます。XYMOVE プログラムは、下記の 2 つのオプションで実行できます。
• CHECKFILTERS は、FILTERS ファイルの構文チェックを実行します。
• XYGATEVER は、XYGATE 製品のサポート対象のバージョンのリストを生成しま
す。
8.1.2 XYMOVE の CHECKFILTERS オプション この機能では、FILTERS ファイルの構文チェックが実行されます。
構文: RUN $<vol>.<subvol>.XYMOVE CHECKFILTERS <FILTERs file name>
$<vol>.<subvol>は、XMA のインストール先です。
ファイル名は指定することができます。FILTERS ファイルを本番環境に移動する前に、
一時的なバージョンを別名で作成して確認する必要があります。
注:
例:CHECKFILTERS からの出力のサンプル
STATUSがINACTIVEであるすべてのフィルター定義で構文エラーがチェックさ
れます。
>XMA 1.71 (c) 1999-2010 XYPRO XYPRO \PROD1 20011231 RUN XYMOVE CHECKFILTERS tempfilt
FILTERS CHECKSUM 1141462806 No syntax errors found
XYGATE Merged Audit®リファレンスマニュアル 第 8 章 トラブルシューティング
XYPRO Technology Corporation 144 Proprietary and Confidential
FILTERSの構文チェックの詳細については、付録E12:「XMA_FILTERS_CHECK」(201 ページ)を参照してください。
8.1.3 XYMOVE の XYGATEVER オプション XYGATEVER オプションで XYMOVE を実行すると、サポートされるすべての
XYGATE 製品および関連する XMA に必要な最小バージョンのリストが表示されます。
また、オーディットファイルのレイアウトを変更すると、バージョンのみが再表示さ
れます。 構文: RUN $<vol>.<subvol>.XYMOVE XYGATEVER
構文の要素は次のとおりです。
$<vol>.<subvol>は、XMA のインストール先です。
XYGATEVER からの出力のサンプル 23> 23..
run $system.xygatema.xymove xygatever
XMA 1.71 (c) 1999-2010 XYPRO XYPRO Technology \PROD1 20011231 XYGATEAC 4.15 uWWEnEBUyVgpwSoOkIETVIw48cA= XYGATEAC 5.10 8fYqaYA6FZb846KezEJQXmwtrmE= … XYGATEOS 2.10 4dI4FQIz9CJTKXySrJkvo6TWNhU= XYGATEEF 1.60 LGpH9xeQ/6tWRqvg+LOt5pUpcrU= XYGATEKM 1.00 6ieUvpOgBD5viIb+azMRygIxuZo=
XYGATE 製品のバージョン番号の後の情報は、LOGDDL ファイルのハッシュです。
XYMOVE プログラムでは、オーディットデータが XYGATE 製品の正しいオーディッ
トファイルのレイアウトで抽出されるように、インストール済みの XYGATE 製品の
バージョンがこのハッシュで確認されます。
8.2 オーディットログアプライアンスシステムとの通信 NonStop (XMA)におけるオーディットログアプライアンスシステムとの通信をトラブ
ルシューティングするには、本節を使用します。
8.2.1 すべての IPALERT フィルターのステータスを表示するには、XMA の TACL セグメン
トを追加し、XMA_EDIT_FILTERS マクロを実行します。例 1 は、2 つの Syslog フィ
ルターがアクティブであることを表します。
IPALERTフィルターのステータスがアクティブであることの確認
例 1: $DATA04 XYGATEMA 12> $DATA04.XYGATEMA 1> x
RUN $DATA04.XYGATEMA.XMA INSTALL
ma_edit_filters
This file edits the current XYGATE_MERGED_AUDIT FILTERS FILE It will create a file named $DATA04.XYGATEMA.NEWFILT from the current $DATA04.XYGATEMA.FILTERS file.
XYGATE Merged Audit®リファレンスマニュアル 第 8 章 トラブルシューティング
XYPRO Technology Corporation 145 Proprietary and Confidential
These are your old $DATA04.XYGATEMA.FILTERS files: $DATA04.XYGATEMA CODE EOF LAST MODIFIED OWNER RWEP PExt SExt OLDFLT00 101 50624 24OCT2008 16:07 222,77 OOOO 14 28 OLDFLT01 101 53348 06NOV2008 16:00 222,77 OOOO 14 28 OLDFLT02 101 53380 05DEC2008 15:30 222,77 OOOO 14 28 FILES DUPLICATED: 1 TEXT EDITOR - T9601H01 - (01MAY05) CURRENT FILE IS $DATA04.XYGATEMA.NEWFILT *lb/status/ 29 STATUS ACTIVE ! $IGNORE-XAC-00002-RECORDS 51 STATUS ACTIVE ! $IGNORE-XCM-ALIVE-MSG 70 FILTERDEFBEGIN $IGNORE-XPC-STATUS-CMD 71 STATUS ACTIVE ! $IGNORE-XPC-STATUS-CMD 92 STATUS INACTIVE ! $IGNORE-MEASFH 112 STATUS ACTIVE ! $IGNORE-UNWANTED-SFG-CODES 162 STATUS ACTIVE ! $IGNORE-UNWANTED-USER-DB-READS 191 STATUS ACTIVE ! $IGNORE-XOS-NORECORD-AND-WHATIF . . . 1518 STATUS ACTIVE ! $SYSLOG_ALL_EMS_EVENTS 1607 STATUS ACTIVE ! $SYSLOG_ALL_NON_EMS_EVENTS
8.2.2 Pathway および MOVER が実行中であることの確認 XMA Pa thway サーバーのステータスをチェックするには、PATHCOM を使用します。 1> Pathcom <pathway name, $XMA, is the default> Status server *
1 = MOVER が実行中である、0 = MOVER が実行中でない
例 2 は、XMA Pathway およびすべての MOVER が実行中であることを表します。 例 2: $DATA04.XYGATEMA 4> $X0GS: PATHCOM - T8344H01 - (01AUG08)
pathcom $xma
(C)1980 Tandem (C)2005 Hewlett Packard Development Company, L.P. =status server * SERVER #RUNNING ERROR INFO EMS-X-01 1 HKEEPER 1 MQREADER 1 SFG-S7-01 1 SFG-X-01 1 XAC-S7-01 1 XAC-X-01 1 XCM-S7-01 1 XCM-X-01 1 XHE-S7-01 1 XHE-X-01 1 XOS-S7-01 1 XOS-X-01 1 XPC-X-01 1 XPQ-S7-01 1 XPQ-X-01 1 XSM-X-01 1 XSP-X-01 1 XTR-X-01 1
XYGATE Merged Audit®リファレンスマニュアル 第 8 章 トラブルシューティング
XYPRO Technology Corporation 146 Proprietary and Confidential
XUA-X-01 1 =
[Pathway Management Menu]のオプション 4:Quick Server Status (83 ページ)でも、
PathwayおよびMOVERが実行中であるかどうかをチェックできます。
8.2.3 ログウェアハウスへの Syslog テストメッセージの送信 注:
1. XMA の TACL セグメントをロードし、XMA_MANAGER を起動します。
XMA_MANAGERを実行するには、XMAオーナーとしてログインする必要があ
ります。
2. IPALERTメッセージをテストするには、[Movers Management Menu]のオプショ
ン 16:Test basic Alertsを選択します。第 4.4 節(85 ページ~)を参照してくださ
い。
例 3:
Please enter the alert type <M(ail), S(NMP Trap), I(p syslog) or C(ollector)>
3. オプション 16 を選択したら、I(p syslog)を選択します。下記のプロンプトが表示
されます。
To modify any of the items below choose an option otherwise select R to continue : 1: IP Address :127.0.0.1 2: Port :512 3: Node :\X 4: IP Process :$ZTC0 X: Exit from this menu R: Run Selection ?
4. 適切な番号を選択し値を入力して、ターゲットのログウェアハウスシステム、お
よびメッセージを送信する NonStop TCP/IP プロセスに、正しい IP アドレスおよ
びポートを設定します。
5. テストメッセージを開始するには、R: Run
8.2.4 ログウェアハウスシステムへの Ping
を選択します。
1. 現在のTCP/IPプロセスの定義を検索するには、TACLで「info define *
TCP/IP プロセスが IPALERT フィルターの構成と異なる場合は、現在のセッショ
ンの DEFINE に IPALERT の TCP/IP プロセスを設定します。
」と入力
します。
2. この設定を実行したら、ログウェアハウスボックスに Ping して、接続をテストし
ます。フィルターを次のようにします。
XYGATE Merged Audit®リファレンスマニュアル 第 8 章 トラブルシューティング
XYPRO Technology Corporation 147 Proprietary and Confidential
• IPALERT_IPPROCESS $ZTC2
• IPALERT_PORT 514
• IPALERT_ADDRESS 10.1.1.52
例 4:
$$DATA04.XYGATEMA 20> info define =tcp* Define Name =TCPIP^PROCESS^NAME CLASS MAP FILE \X.$ZTC0
3. 下記のように、IPALERT の TCP/IP プロセスを指すように DEFINE を変更します。
$$DATA04.XYGATEMA 21> alter define =tcpip^process^name,file $ztc2
4. ログウェアハウスに対して PING を実行します。
$$DATA04.XYGATEMA 22> ping 10.1.1.83 PING 10.1.1.83: 56 data bytes 64 bytes from 10.1.1.83: icmp_seq=0. time=29. ms 64 bytes from 10.1.1.83: icmp_seq=1. time=10. ms 64 bytes from 10.1.1.83: icmp_seq=2. time=10. ms 64 bytes from 10.1.1.83: icmp_seq=3. time=10. ms ----10.1.1.83 PING Statistics---- 4 packets transmitted, 4 packets received, 0% packet loss round-trip (ms) min/avg/max = 10/14/29 $$DATA04.XYGATEMA 23>
このテストによって、XMA が有効な TCP/IP プロセス経由で有効なアドレス(ログウェ
アハウス)にデータを送信しているのを確認できます。
8.3 オーディットログウェアハウスのデータ解析 XMA からのデータをログウェアハウスシステムで受信しながらも、解析されて正しい
カラムに入らない場合は、第 2.6 節「XMA データのオーディットロギングアプライア
ンスへの送信」(60 ページ~)および第 6 章「Safeguard の選択基準」(119 ページ~)を参照してください。
XYPRO Technology Corporation 149 Proprietary and Confidential
付録A: MACONF ファイル
MACONF は、XYGATEMA オブジェクトファイルと同じボリュームおよびサブボリュ
ームに存在する編集ファイルです。このファイルは、XMA の実行方法を指定する多数
の設定オプションを含んでいます。値はインストールプロセスで最初に作成されます。
MACRO_NAME 以外の値は、再インストールを実行せずに変更できます。
MACRO_NAME を変更するには、XMA を再インストールする必要があります。
A1: MACONF ファイルのキーワード MACONF ファイルには、次のキーワードを 1 つ以上含めることができます。
COLLECTOR <collector name>
COMPANY_NAME "<string>"
HOMETERM <terminal>
MACRO_NAME <XYGATEMA-macro-name>
PATHMON_NAME <XYGATEMA-pathmon-name>
PERUSE_OBJECT <$processname>
PRIORITY <value>
A2: COLLECTOR このキーワードでは、XMA_REPORT マクロによるレポートの生成に使用されるデフ
ォルトのスプーラーコレクターの名前が設定されます。デフォルト値は、$S です。
構文:
COLLECTOR <collector name>
例: COLLECTOR $S2
MACONF ファイルからこのキーワードを省略すると、$S コレクターがデフォルトと
して使用されます。
XYGATE Merged Audit®リファレンスマニュアル 付録 A: MACONF ファイル
XYPRO Technology Corporation 150 Proprietary and Confidential
A3: COMPANY_NAME このキーワードでは、会社名が設定されます。この会社名は、XMA_REPORT マクロ
によって生成されるレポートに使用されます。
構文: COMPANY_NAME "<string>"
例: COMPANY_NAME "ACME Technology Corp"
デフォルトでは、XMA の XYPRO ライセンスに指定された会社名が、
COMPANY_NAME の値に設定されます。
A4: HOMETERM HOMETERM キーワードに指定した場所は、XMA Pathway の作成中に使用されます。
また、端末を指定する必要がある他の処理のデフォルトのホーム端末として使用され
ます。
構文: HOMETERM <terminal>
例:
HOMETERM $VHS
A5: MACRO_NAME MACRO_NAME キーワードの引数はインストール時に指定したマクロ名です。この値
は、XMA 製品の今後の更新に使用されます。このエントリは必須であり、インストー
ル中に作成されます。
構文: MACRO_NAME <XYGATEMA-macro-name>
例:
MACRO_NAME XMA
注:このマクロ名は、XMA のコンパイル済みの TACLSEG に組み込まれているため、
ソフトウェアを再インストールするまで有効です。
デフォルトの<XYGATEMA-macro_name>は XMA です。
XYGATE Merged Audit®リファレンスマニュアル 付録 A: MACONF ファイル
XYPRO Technology Corporation 151 Proprietary and Confidential
A6: PATHMON_NAME このキーワードは、MACONF ファイルに存在します。また、XMA で使用される
PATHMON プロセスの名前を記録する必須のキーワードです。
構文: PATHMON_NAME <XYGATEMA-pathmon-name>
例: PATHMON_NAME $XMA
XMA Pathwayの名前を変更するには、XMA Pathwayで実行中のすべてのサーバーク
ラスプロセスを停止し、PATHMONプロセスを停止します。[Pathway Management Menu]のオプション 3:Stop (84 ページ)から、または XMA_PWSTOPマクロ(205 ペ
ージ)を実行することで、この処理を実行できます。
このマクロでは、XMA Pathwayの設定サブボリュームのPWCONFIGおよび
PWSTATEファイルに含まれたPathwayの設定情報で、Pathwayが再起動されます。
[Pathway Management Menu]のオプション 2:Cool Start (84ページ)から、また
は XMA_PWCOOLマクロ(205 ページ)を実行することで、この処理を実行できます。
A7: PERUSE_OBJECT XMA_REPORT マクロに PERUSE の起動を指定すると、このオブジェクトファイル
の名前が使用されます。オブジェクトファイルのデフォルトは、存在する場合は
XYPRO XYGATESP 製品、存在しない場合は$SYSTEM.SYSTEM.PERUSE です。
構文: PERUSE_OBJECT <$processname>
例:
PERUSE_OBJECT $SYSTEM.XYGATESP.PERUSE
A8: PRIORITY このキーワードは、XMA バージョン 1.95 から廃止されています。構文上は有効です
が、プログラムでは無視されます。
構文:
PRIORITY <value>
例: Priority 60
XYPRO Technology Corporation 153 Proprietary and Confidential
付録B: 管理テーブル
XMAの各種のプロセスでは、MOVERおよびXYGATE製品の処理済みのログが管理テ
ーブルおよびデータテーブル(次の付録C:に記載)で追跡されます。
管理テーブルでは、MOVER サーバークラスを設定し、データ収集プロセスを管理す
る手段が提供されています。
SQL テーブルの最新情報については、XMA インストールサブボリュームの
NEWTBLS ファイルを参照してください。
MOVER を追加すると、適切な MOVER テーブルが MOVER に関する下記の情報で更
新されます。
XMA_EMSMVTBL EMS ログの MOVER に関する情報を含んでいます。
XMA_SFGMVTBL Safeguard オーディットトレイルの MOVER に関する情報
を含んでいます。
XMA_XYMVTBL XYGATE 製品の MOVER に関する情報を含んでいます。
XMA_MEASMVTBL MEASURE オーディットトレイルの MOVER に関する情
報を含んでいます。
=XMA_B24MVTBL BASE24 オーディットトレイルの MOVER に関する情報を
含んでいます。
=XMA_HLRMVTBL HLR オーディットトレイルの MOVER に関する情報を含
んでいます。
注:
Movers Management Menu
MOVERに関連付けられたパラメーターも存在します。これらのパラメーターは
オプションですが、MEASUREのMOVERは例外で、必須です。
(85 ページ)でオプション 7 のAdd <All Steps>を使用して
MEASURE MOVERを追加しようとすると、必要なパラメーターを入力するよ
う要求されます。
XYGATE Merged Audit®リファレンスマニュアル 付録 B: 管理テーブル
XYPRO Technology Corporation 154 Proprietary and Confidential
B1: XYGATE の MOVER 設定テーブル 下記の名前は、MOVER 設定テーブルのカラムを表します。
INSTALL Y(es)または N(o)。Yes の場合は、コマンドファイルを実
行すると、MOVER が作成されます。No の場合は、
MOVER が作成されません。
MOVERPRODUCT 製品の 3 文字の略称。SFG = Safeguard、MEA = MEASURE、EMS = EMS、B24 = BASE24、XXX = 各種
の XYGATE モジュール。
MOVERTARGETNODE MOVER が読み取る対象となる製品のオーディットトレイ
ルが存在するノード。
MOVERCATALOGLOC ターゲットノード上の XMA カタログの保存先。
MOVEROBJECTNODE MOVER のオブジェクトファイルが存在するノード。デー
タをプルしている場合、オブジェクトファイルはマスター
ノードに存在します。データをプッシュしている場合、オ
ブジェクトファイルはリモートノードに存在します。
MOVEROBJECTLOC MOVER のオブジェクトファイルが存在するノード。デー
タをプルしている場合、オブジェクトファイルはマスター
ノードの XYGATEMA サブボリュームに存在します。デー
タをプッシュしている場合、オブジェクトファイルはリモ
ートノードの XMAOBJ サブボリュームに存在します。
MOVERTERM MOVER のホーム端末。
MOVERSTARTTIME MOVER でオーディットの収集が最初に開始する日付。
COLLECTONLY Y(es)または N(o)。Y(es)の場合、MOVER は収集専用の
MOVER であり、起動して適切な時刻にデータベース更新
を実行するまでスリープします。
Safeguard の MOVER に固有のカラム IPMAPSUBVOL IPMAP ファイルは、XYGATE Host Encryption (XHE)やそ
の他の多くの XYGATE 製品で、IP アドレスを解決するた
めに使用されます。XHE サブボリュームは、Safeguard MOVER と同じノードに存在する必要があります。
SGAUDITFILEMASK MOVERで読み取られるファイルのワイルドカード検索の
オーディットファイルマスク。Safuguardオーディットフ
ァイルのマスクは常に $vol.subvol.A*
SGAUDITFILECODE オーディットファイルのファイルコード。Safeguard ファ
イルのコードは常に 541 です。
です。
XYGATE Merged Audit®リファレンスマニュアル 付録 B: 管理テーブル
XYPRO Technology Corporation 155 Proprietary and Confidential
SRSKIPNORECS Y(es)または N(o)。Yes の場合は、MOVER は Safeguardの No Record を XMA データベースに移動しません。
Safeguard を警告モードにした場合は、すべてのアクセス
判定が No Record に変換されるため、XMA オーディット
トレイルにファイルアクセス関連のオーディットエントリ
を持たなくなります。
XYPRIMARYAUDITFILE 製品の現在のオーディットファイルの名前。このファイル
名は、xxCONFファイルのAUDITエントリで決定されます。
デフォルトの名前は、
XYGATEのMOVERに固有のカラム
$vol.XYGATExx.AUDIT
XYAUDITFILEMASK MOVERで読み取られるファイルのワイルドカード検索の
オーディットファイルマスク。XYGATE製品のオーディッ
トファイルのデフォルトマスクは
です。
$vol.XYGATExx.AUD*
XYAUDITFILECODE オーディットファイルのファイルコード。通常、XYGATEモジュールのコードは、3333 です。
ですが、マスクはxxCONFファイルで割り当てられたファ
イル名に依存します。XYGATEモジュールでオーディット
ログがロールされると、ファイル名の最初の 3 文字が保持
され、古いファイルの名前がXXXnnnnn (nnnnnは 1 ずつ
加算される数)になります。
EMS の MOVER に固有のカラム EMSCOLLECTOR EMS の MOVER でログが読み取られる EMS コレクターの
$<name>。
EMSFILTERFILENAMES BURST フィルターなどの EMS フィルターファイルのリ
スト。最大 10 個のファイル名のカンマ区切りリストです。
サンプルの BURSTFLT という名前の BURST フィルター
が XYGATEMA サブボリュームに提供されます。
BASE24 の MOVER に固有のカラム B24VOLUME BASE24 の OMF ファイルが存在するボリューム。
B24SUBVOL BASE24 の OMF ファイルが存在するサブボリューム。
B24PRIMARYAUDITFILE BASE24 の現在のオーディットファイルの名前。
B24AUDITFILEMASK MOVERで読み取られるファイルのワイルドカード検索の
オーディットファイルマスク。BASE24 オーディットファ
イルのマスクは常に $vol.subvol.A*
B24AUDITFILECODE オーディットファイルのファイルコード。通常、BASE24のコードは、0 です。
です。
HLR の MOVER に固有のカラム HLRAPPLICATIONNODEID アクセスしている HLR 環境のノード ID。
XYGATE Merged Audit®リファレンスマニュアル 付録 B: 管理テーブル
XYPRO Technology Corporation 156 Proprietary and Confidential
XYGATE の MOVER テーブル = XMA_XYMVTBL このテーブルの情報は、サーバークラスと XYGATE 製品の関係、および XYGATE 製
品のオーディットファイルの名前と保存先についての説明です。
CREATE TABLE =XMA_XYMVTBL (ServerclassNAME CHAR (15) NO DEFAULT NOT NULL -- Server class name , DELETED CHAR (1) DEFAULT 'N' NOT NULL -- Whether this server class has been deleted , XYGATENODE CHAR (8) NO DEFAULT NOT NULL , XYGATEVOLUME CHAR (8) NO DEFAULT NOT NULL , XYGATESUBVOLUME CHAR (8) NO DEFAULT NOT NULL , XYGATEPRODUCT CHAR (3) NO DEFAULT NOT NULL -- The above four fields describe the location where the XYMOVER -- process has to look to obtain product version information -- to ensure that the correct audit file layout is used , PRIMARYAUDITFILE CHAR (35) NO DEFAULT NOT NULL -- Primary audit file for this installation , AUDITFILEMASK CHAR (35) NO DEFAULT NOT NULL -- Location of the audits for this node , AUDITFILECODE SMALLINT NOT NULL -- File code to look for , CURRENTSTATUS VARCHAR (256) NO DEFAULT NOT NULL -- Indicates status of audit file processing. Updated by Mover , PRIMARY KEY ServerclassNAME );
XYGATE の MOVER パラメーターテーブル = XMA_XYMVPARAMSTBL XYGATE Merged Audit のリリース 1.90 では、このテーブルは使用されません。デー
タは PARAMS テーブルに格納されます。以前のリリースからアップグレードすると、
個々の製品のテーブルのデータは変換され、PARAMS テーブルに格納されます。
このテーブルは上記の XYGATE の MOVER テーブルに識別される各 MOVER のパラ
メーターセットを含んでいます。 CREATE TABLE =XMA_XYMVPARAMSTBL (RECORDPARAMSKEY TIMESTAMP DEFAULT CURRENT NOT NULL , ServerclassNAME CHAR (15) NO DEFAULT NOT NULL -- Refers to =XMA_XYMVTBL , PARAMNAME VARCHAR (50) NO DEFAULT NOT NULL -- Name of the parameter , PARAMVALUE VARCHAR (256) NO DEFAULT NOT NULL -- Value of the parameter , PRIMARY KEY RECORDPARAMSKEY );
XYGATE Merged Audit®リファレンスマニュアル 付録 B: 管理テーブル
XYPRO Technology Corporation 157 Proprietary and Confidential
B2: XYGATE の MOVER 状態テーブル XYGATE の MOVER では、下記の 2 つのテーブルを用いて現在のオーディットファ
イルおよび処理済みのファイルの最後のレコードの日付が追跡されます。このため、
重複データが作成されません。また、MOVER は、停止および再起動する必要がある
場合も、"キャッチアップ"できます。
CREATE TABLE =XMA_XYMVSTATETBL
XYGATEのMOVER状態テーブル = XMA_XYMVSTATETBL
(RECORDSTATEKEY TIMESTAMP DEFAULT CURRENT NOT NULL , XYGATENODE CHAR (8) NO DEFAULT NOT NULL , XYGATEVOLUME CHAR (8) NO DEFAULT NOT NULL , XYGATESUBVOLUME CHAR (8) NO DEFAULT NOT NULL , XYGATEPRODUCT CHAR (3) NO DEFAULT NOT NULL , ServerclassNAME CHAR (15) NO DEFAULT NOT NULL -- Refers to =XMA_XYMVTBL , AUDITFILECT LARGEINT SIGNED NO DEFAULT NOT NULL -- Equivalent to a long long (64 bit timestamp) -- Creation timestamp of the audit trail enscribe file , AUDITFILEMT LARGEINT SIGNED NO DEFAULT NOT NULL -- Equivalent to a long long (48 bit converted to 64 bit timestamp) -- Modification timestamp of the audit trail enscribe file , LASTRECORD_ADDRESS LARGEINT SIGNED NO DEFAULT NOT NULL -- Equivalent to a long long (64 bit address) -- Address of last record processed in the file , LASTRECORD_LCT CHAR (26) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss as picked from enscribe file -- LCT of the last record processed in the file , FILEBEGIN_LCT CHAR (26) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss as picked from enscribe file -- LCT of the first record in the file , FILEEND_LCT CHAR(26) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss as picked from enscribe file -- LCT of the last record in the file -- NOTE: if FILEEND_LCT <> 0 then it implies the file has been -- fully processed and should not be processed again , RECORDSPROCESSED LARGEINT SIGNED NO DEFAULT NOT NULL -- Number of records processed from this file , SESSIONTBLINSCOUNT LARGEINT SIGNED NO DEFAULT NOT NULL -- Number of session table inserts done while processing records from --this file , AUDITTBLINSCOUNT LARGEINT SIGNED NO DEFAULT NOT NULL -- Number of audit table inserts done while processing records from --this file , AUDITFILENAME VARCHAR (40) NO DEFAULT NOT NULL -- Name of the audit trail enscribe file , CURRENTFILESTATUS VARCHAR (256) NO DEFAULT NOT NULL -- What is the server doing to this file , PRIMARY KEY RECORDSTATEKEY )
XYGATE Merged Audit®リファレンスマニュアル 付録 B: 管理テーブル
XYPRO Technology Corporation 158 Proprietary and Confidential
CREATE TABLE =XMA_XYMVSTATEAUXTBL
XYGATEのMOVER状態補助テーブル = XMA_XYMVSTATEAUXTBL
(RECORDSTATEKEY TIMESTAMP DEFAULT CURRENT NOT NULL , XYGATENODE CHAR (8) NO DEFAULT NOT NULL , XYGATEVOLUME CHAR (8) NO DEFAULT NOT NULL , XYGATESUBVOLUME CHAR (8) NO DEFAULT NOT NULL , XYGATEPRODUCT CHAR (3) NO DEFAULT NOT NULL , ServerclassNAME CHAR (15) NO DEFAULT NOT NULL -- Refers to =XMA_XYMVSTATETBL , FILEBEGIN_LCT CHAR (26) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss as picked from enscribe file -- LCT of the first record in the file , RECORDBEGINADDR LARGEINT SIGNED NO DEFAULT NOT NULL -- Equivalent to a long long (64 bit address) -- Begin address of record range , RECORDENDADDR LARGEINT SIGNED NO DEFAULT NOT NULL -- Equivalent to a long long (64 bit address) -- end address of record range , RECORDBEGIN_LCT CHAR (26) NO DEFAULT NOT NULL -- LCT of record corresponding to RECORDBEGINADDR , RECORDEND_LCT CHAR (26) NO DEFAULT NOT NULL -- LCT of record corresponding to RECORDENDADDR , PRIMARY KEY RECORDSTATEKEY )
B3: EMS の MOVER テーブル = XMA__EMSMVTBL CREATE TABLE =XMA_EMSMVTBL ( ServerclassNAME CHAR(15) NO DEFAULT NOT NULL -- server class name ,DELETED CHAR(1) DEFAULT 'N' NOT NULL -- whether this server class has been deleted ,NODE CHAR(8) NO DEFAULT NOT NULL -- location of the collector ,COLLECTOR CHAR(6) NOT NULL -- collector process ,CURRENTSTATUS VARCHAR(256) NO DEFAULT NOT NULL -- what is the server doing ,PRIMARY KEY ServerclassNAME ) CATALOG =XMA_CAT ORGANIZATION K AUDIT;
XYGATE Merged Audit®リファレンスマニュアル 付録 B: 管理テーブル
XYPRO Technology Corporation 159 Proprietary and Confidential
B4: EMS の MOVER パラメーターテーブル = XMA_EMSMVPARAMSTBL
XYGATE Merged Audit のリリース 1.90 では、このテーブルは使用されません。デー
タは PARAMS テーブルに格納されます。以前のリリースからアップグレードすると、
個々の製品のテーブルのデータは変換され、PARAMS テーブルに格納されます。
CREATE TABLE =XMA_EMSMVPARAMSTBL ( RECORDPARAMSKEY TIMESTAMP DEFAULT CURRENT NOT NULL ,ServerclassNAME CHAR(15) NO DEFAULT NOT NULL -- refers to =XMA_EMSMVTBL ,PARAMNAME VARCHAR(50) NO DEFAULT NOT NULL -- name of the parameter ,PARAMVALUE VARCHAR(256) NO DEFAULT NOT NULL -- value of the parameter ,PRIMARY KEY RECORDPARAMSKEY ) CATALOG =XMA_CAT ORGANIZATION K AUDIT;
B5: EMS の MOVER 状態テーブル = XMA_EMSMVSTATETBL CREATE TABLE =XMA_EMSMVSTATETBL ( RECORDSTATEKEY TIMESTAMP DEFAULT CURRENT NOT NULL ,NODE CHAR(8) NO DEFAULT NOT NULL ,COLLECTOR CHAR(6) NOT NULL ,PROCESSDATE CHAR(10) NOT NULL -- date of record (1 record for each day for a node+collector) ,COMPLETED CHAR(1) DEFAULT 'N' NOT NULL -- whether this day has been completed for the node+collector ,PROCESSHANDLE CHAR(35) NO DEFAULT NOT NULL -- handle of process working on this record ,ServerclassNAME CHAR(15) NO DEFAULT NOT NULL -- refers to =XMA_EMSMVTBL ,LASTRECORDGMTTSTMP TIMESTAMP NO DEFAULT NOT NULL
,LASTRECORD_LCT CHAR(26) NO DEFAULT NOT NULL
(GMT Tstmp of last record processed)
-- LCT of the last record processed ,RECORDSPROCESSED LARGEINT SIGNED NO DEFAULT NOT NULL -- number of records processed for this day for node+collector ,SESSIONTBLINSCOUNT LARGEINT SIGNED NO DEFAULT NOT NULL -- number of session table inserts done while processing records for this day for node+collector ,AUDITTBLINSCOUNT LARGEINT SIGNED NO DEFAULT NOT NULL -- number of audit table inserts done while processing records for this day for node+collector ,PRIMARY KEY RECORDSTATEKEY ) CATALOG =XMA_CAT ORGANIZATION K AUDIT;
XYGATE Merged Audit®リファレンスマニュアル 付録 B: 管理テーブル
XYPRO Technology Corporation 160 Proprietary and Confidential
B6: MEASURE の MOVER テーブル MEASUREのMOVERテーブルには、下記の 3 つが存在します。
このテーブルは、MEASURE の各 MOVER サーバークラスのエントリを含んでいます。
MEASUREのMOVERテーブル = XMA_MEASMVTBL
CREATE TABLE =XMA_MEASMVTBL ( ServerclassNAME CHAR (15) NO DEFAULT NOT NULL -- Server class name , DELETED CHAR (1) DEFAULT 'N' NOT NULL -- Whether this server class has been deleted , NODE CHAR (8) NO DEFAULT NOT NULL , VOLUME CHAR (8) NO DEFAULT NOT NULL , SUBVOLUME CHAR (8) NO DEFAULT NOT NULL , LASTRECORD_LCT CHAR (26) NO DEFAULT NOT NULL , AUDITTBLINSCOUNT LARGEINT SIGNED NO DEFAULT NOT NULL -- Number of audit table inserts done , CURRENTSTATUS VARCHAR(256) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss LCT of the last record processed -- what is the server doing , PRIMARY KEY ServerclassNAME )
XYGATE Merged Audit のリリース 1.90 では、このテーブルは使用されません。デ
ータは PARAMS テーブルに格納されます。以前のリリースからアップグレードする
と、個々の製品のテーブルのデータは変換され、PARAMS テーブルに格納されます。
MEASUREのMOVERパラメーターテーブル = XMA_MEASMVPARAMSTBL
このテーブルは上記の MEASURE の MOVER テーブルで識別される各 MOVER のパ
ラメーターセットを含んでいます。
注:
7MEASUREのMOVERパラメーターは必須です。[Movers Management Menu]のオ
プション :Add <All Steps> (85 ページ)でMEASURE MOVERを追加する場
合は、オプション 12:Alter Database paramsも実行する必要があります。詳
細については、第 5.7 節「MOVERパラメーター」(111 ページ~)を参照してく
ださい。
CREATE TABLE =XMA_MEASMVPARAMSTBL ( RECORDPARAMSKEY TIMESTAMP DEFAULT CURRENT NOT NULL , ServerclassNAME CHAR (15) NO DEFAULT NOT NULL -- Refers to =XMA_MEASMVTBL , PARAMNAME VARCHAR (50) NO DEFAULT NOT NULL -- Name of the parameter , PARAMVALUE VARCHAR (256) NO DEFAULT NOT NULL -- Value of the parameter , PRIMARY KEY RECORDPARAMSKEY )
XYGATE Merged Audit®リファレンスマニュアル 付録 B: 管理テーブル
XYPRO Technology Corporation 161 Proprietary and Confidential
MEASURE の MOVER では、このテーブルを用いて収集済みの MEASURE データに
関する情報が記録されます。このため、重複データが作成されません。
MEASUREのMOVER処理テーブル = XMA_MEASMVPROCTBL
CREATE TABLE =XMA_MEASMVPROCTBL ( RECORDPROCESSKEY TIMESTAMP DEFAULT CURRENT NOT NULL , NODE CHAR (8) NO DEFAULT NOT NULL , ANCNODE CHAR (8) NO DEFAULT NOT NULL , PROCESSNAME CHAR (8) NO DEFAULT NOT NULL , ANCPROCESSNAME CHAR (8) NO DEFAULT NOT NULL , CPU INTEGER NO DEFAULT NOT NULL , ANCCPU INTEGER NO DEFAULT NOT NULL , PIN INTEGER NO DEFAULT NOT NULL , ANCPIN INTEGER NO DEFAULT NOT NULL , PROGRAMVOL CHAR (8) NO DEFAULT NOT NULL , PROGRAMSVOL CHAR (8) NO DEFAULT NOT NULL , PROGRAMFILE CHAR (8) NO DEFAULT NOT NULL , CAIDGRP SMALLINT NO DEFAULT NOT NULL , CAIDUSR SMALLINT NO DEFAULT NOT NULL , CREATION_LCT CHAR (26) NO DEFAULT NOT NULL , PRIMARY KEY RECORDPROCESSKEY )
B7: Safeguard の MOVER テーブル = XMA_SFGMVTBL このテーブルは、Safeguard の各 MOVER サーバークラスのエントリを含んでいます。
CREATE TABLE =XMA_SFGMVTBL ( ServerclassNAME CHAR (15) NO DEFAULT NOT NULL -- Server class name , DELETED CHAR (1) DEFAULT 'N' NOT NULL -- Whether this server class has been deleted , AUDITFILEMASK CHAR (35) NO DEFAULT NOT NULL -- Location of the audits for this node , AUDITFILECODE SMALLINT NOT NULL -- Always 541 for safeguard , CURRENTSTATUS VARCHAR(256) NO DEFAULT NOT NULL -- What is the server doing , PRIMARY KEY ServerclassNAME )
B8: Safeguard の MOVER パラメーターテーブル = XMA_SFGMVPARAMSTBL
XYGATE Merged Audit のリリース 1.90 では、このテーブルは使用されません。デー
タは PARAMS テーブルに格納されます。以前のリリースからアップグレードすると、
個々の製品のテーブルのデータは変換され、PARAMS テーブルに格納されます。
このテーブルは上記の Safeguard の MOVER テーブルに識別される各 MOVER のパラ
メーターセットを含んでいます。
CREATE TABLE =XMA_SFGMVPARAMSTBL ( RECORDPARAMSKEY TIMESTAMP DEFAULT CURRENT NOT NULL , ServerclassNAME CHAR (15) NO DEFAULT NOT NULL -- Refers to =XMA_SFGMVTBL , PARAMNAME VARCHAR (50) NO DEFAULT NOT NULL -- Name of the parameter , PARAMVALUE VARCHAR (256) NO DEFAULT NOT NULL -- Value of the parameter
XYGATE Merged Audit®リファレンスマニュアル 付録 B: 管理テーブル
XYPRO Technology Corporation 162 Proprietary and Confidential
, PRIMARY KEY RECORDPARAMSKEY )
B9: Safeguard の MOVER 状態テーブル Safeguard の MOVER では、下記の 2 つのテーブルを用いて現在のオーディットファ
イルおよび処理済みのファイルの最後のレコードの日付が追跡されます。このため、
重複データが作成されません。また、MOVER は、停止および再起動する必要がある
場合も、"キャッチアップ"できます。
CREATE TABLE =XMA_SFGMVSTATETBL
SafeguardのMOVER状態テーブル = XMA_SFGMVSTATETBL
(RECORDSTATEKEY TIMESTAMP DEFAULT CURRENT NOT NULL , SFGNODE CHAR (8) NO DEFAULT NOT NULL , ServerclassNAME CHAR (15) NO DEFAULT NOT NULL -- Refers to =XMA_SFGMVTBL , AUDITFILECT LARGEINT SIGNED NO DEFAULT NOT NULL -- Equivalent to a long long (64 bit timestamp) -- Creation timestamp of the audit trail file , AUDITFILEMT LARGEINT SIGNED NO DEFAULT NOT NULL -- Equivalent to a long long (48 bit converted to 64 bit timestamp) -- modification timestamp of the audit trail file , LASTRECORDGMTTSTMP TIMESTAMP DEFAULT CURRENT NOT NULL -- GMT Tstmp of last record processed in the file , LASTRECORD_LCT CHAR (26) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss as picked from audit trail file -- LCT of the last record processed in the file , FILEBEGIN_GMT CHAR (26) NO DEFAULT NOT NULL -- GMT of the first record in the file -- uniquely determines a file for a node , FILEBEGIN_LCT CHAR (26) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss as picked from audit trail file -- LCT of the first record in the file , FILEEND_LCT CHAR (26) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss as picked from audit trail file -- LCT of the last record in the file -- NOTE: if FILEEND_LCT <> 0 then it implies the file has been -- fully processed and should not be processed again , RECORDSPROCESSED LARGEINT SIGNED NO DEFAULT NOT NULL -- Number of records processed from this file , SESSIONTBLINSCOUNT LARGEINT SIGNED NO DEFAULT NOT NULL -- Number of session table inserts done while processing records from --this file , AUDITTBLINSCOUNT LARGEINT SIGNED NO DEFAULT NOT NULL -- Number of audit table inserts done while processing records from --this file , AUDITFILENAME VARCHAR (40) NO DEFAULT NOT NULL -- Name of the audit trail file , CURRENTFILESTATUS VARCHAR (256) NO DEFAULT NOT NULL -- What is the server doing to this file , PRIMARY KEY RECORDSTATEKEY )
XYGATE Merged Audit®リファレンスマニュアル 付録 B: 管理テーブル
XYPRO Technology Corporation 163 Proprietary and Confidential
CREATE TABLE =XMA_SFGMVSTATEAUXTBL
SafeguardのMOVER状態補助テーブル = XMA_SFGMVSTATEAUXTBL
( RECORDSTATEKEY TIMESTAMP DEFAULT CURRENT NOT NULL ,SFGNODE CHAR (8) NO DEFAULT NOT NULL -- SAFEGUARD node ,ServerclassNAME CHAR (15) NO DEFAULT NOT NULL -- Refers to =XMA_SFGMVSTATETBL ,FILEBEGIN_GMT CHAR (26) NO DEFAULT NOT NULL -- GMT of the first record in the file ,FILEBEGIN_LCT CHAR (26) NO DEFAULT NOT NULL -- LCT of the first record in the file ,RECORDBEGINGMTTSTMP LARGEINT SIGNED NO DEFAULT NOT NULL -- GMT of first record in this range in timestamp format ,RECORDENDGMTTSTMP LARGEINT SIGNED NO DEFAULT NOT NULL -- GMT of last record in this range in timestamp format ,RECORDBEGIN_LCT CHAR(26) NO DEFAULT NOT NULL -- LCT of first record in this range ,RECORDEND_LCT CHAR(26) NO DEFAULT NOT NULL -- LCT of last record in this range ,PRIMARY KEY RECORDSTATEKEY )
B10: BASE24 MOVER テーブル CREATE TABLE =XMA_b24MVTBL ( SERVERCLASSNAME CHAR(15) NO DEFAULT NOT NULL -- server class name ,DELETED CHAR(1) DEFAULT 'N' NOT NULL -- whether this server class has been deleted ,XYGATENODE CHAR(8) NO DEFAULT NOT NULL ,XYGATEVOLUME CHAR(8) NO DEFAULT NOT NULL ,XYGATESUBVOLUME CHAR(8) NO DEFAULT NOT NULL ,XYGATEPRODUCT CHAR(3) NO DEFAULT NOT NULL -- the above four fields describe the location where the xymove process -- has to look for the CONF file to get the location of the enscribe -- audit files ,PRIMARYAUDITFILE CHAR(35) NO DEFAULT NOT NULL -- primary audit file for this installation ,AUDITFILEMASK CHAR(35) NO DEFAULT NOT NULL -- location of the audits for this node ,AUDITFILECODE SMALLINT NOT NULL -- file code to look for ,CURRENTSTATUS VARCHAR(256) NO DEFAULT NOT NULL -- what is the server doing ,PRIMARY KEY SERVERCLASSNAME ) CATALOG =XMA_CAT ORGANIZATION K SIMILARITY CHECK ENABLE AUDIT;
XYGATE Merged Audit®リファレンスマニュアル 付録 B: 管理テーブル
XYPRO Technology Corporation 164 Proprietary and Confidential
B11: BASE24 パラメーターテーブル XYGATE Merged Audit のリリース 1.90 では、このテーブルは使用されません。デー
タは PARAMS テーブルに格納されます。以前のリリースからアップグレードすると、
個々の製品のテーブルのデータは変換され、PARAMS テーブルに格納されます。
CREATE TABLE =XMA_b24mvPARAMSTBL ( RECORDPARAMSKEY TIMESTAMP DEFAULT CURRENT NOT NULL ,SERVERCLASSNAME CHAR(15) NO DEFAULT NOT NULL -- refers to =XMA_b24mvTBL ,PARAMNAME VARCHAR(50) NO DEFAULT NOT NULL -- name of the parameter ,PARAMVALUE VARCHAR(256) NO DEFAULT NOT NULL -- value of the parameter ,PRIMARY KEY RECORDPARAMSKEY ) CATALOG =XMA_CAT ORGANIZATION K SIMILARITY CHECK ENABLE AUDIT;
B12: BASE24 状態テーブル BASE24 の MOVER では、下記の 2 つのテーブルを用いて現在のオーディットファイ
ルおよび処理済みのファイルの最後のレコードの日付が追跡されます。このため、重
複データが作成されません。また、MOVER は、停止および再起動する必要がある場
合も、"キャッチアップ"できます。
CREATE TABLE =XMA_b24mvASTATETBL ( RECORDSTATEKEY TIMESTAMP DEFAULT CURRENT NOT NULL ,XYGATENODE CHAR(8) NO DEFAULT NOT NULL ,XYGATEVOLUME CHAR(8) NO DEFAULT NOT NULL ,XYGATESUBVOLUME CHAR(8) NO DEFAULT NOT NULL ,XYGATEPRODUCT CHAR(3) NO DEFAULT NOT NULL ,SERVERCLASSNAME CHAR(15) NO DEFAULT NOT NULL -- refers to =XMA_b24mvTBL ,AUDITFILECT LARGEINT SIGNED NO DEFAULT NOT NULL -- equivalent to a long long (64 bit timestamp) -- Creation timestamp of the audit trail enscribe file ,AUDITFILEMT LARGEINT SIGNED NO DEFAULT NOT NULL -- equivalent to a long long (48 bit converted to 64 bit timestamp) -- Modification timestamp of the audit trail enscribe file ,LASTRECORD_ADDRESS LARGEINT SIGNED NO DEFAULT NOT NULL -- equivalent to a long long (64 bit address) -- address of last record processed in the file ,LASTRECORD_LCT CHAR(26) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss as picked from enscribe file -- LCT of the last record processed in the file ,FILEBEGIN_LCT CHAR(26) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss as picked from enscribe file -- LCT of the first record in the file ,FILEEND_LCT CHAR(26) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss as picked from enscribe file -- LCT of the last record in the file -- NOTE : if FILEEND_LCT <> 0 then it implies the file has been
XYGATE Merged Audit®リファレンスマニュアル 付録 B: 管理テーブル
XYPRO Technology Corporation 165 Proprietary and Confidential
-- fully processed and should not be processed again ,RECORDSPROCESSED LARGEINT SIGNED NO DEFAULT NOT NULL -- number of records processed from this file ,SESSIONTBLINSCOUNT LARGEINT SIGNED NO DEFAULT NOT NULL -- number of session table inserts done while processing records from ,AUDITTBLINSCOUNT LARGEINT SIGNED NO DEFAULT NOT NULL -- number of audit table inserts done while processing records from the ,AUDITFILENAME VARCHAR(40) NO DEFAULT NOT NULL -- Name of the audit trail enscribe file ,CURRENTFILESTATUS VARCHAR(256) NO DEFAULT NOT NULL -- what is the server doing to this file ,PRIMARY KEY RECORDSTATEKEY ) CATALOG =XMA_CAT ORGANIZATION K SIMILARITY CHECK ENABLE AUDIT; CREATE TABLE =XMA_b24mvASTATEAUXTBL ( RECORDSTATEKEY TIMESTAMP DEFAULT CURRENT NOT NULL ,XYGATENODE CHAR(8) NO DEFAULT NOT NULL ,XYGATEVOLUME CHAR(8) NO DEFAULT NOT NULL ,XYGATESUBVOLUME CHAR(8) NO DEFAULT NOT NULL ,XYGATEPRODUCT CHAR(3) NO DEFAULT NOT NULL ,SERVERCLASSNAME CHAR(15) NO DEFAULT NOT NULL -- refers to =XMA_b24mvSTATETBL ,FILEBEGIN_LCT CHAR(26) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss as picked from enscribe file -- LCT of the first record in the file ,RECORDBEGINADDR LARGEINT SIGNED NO DEFAULT NOT NULL -- equivalent to a long long (64 bit address) -- begin address of record range ,RECORDENDADDR LARGEINT SIGNED NO DEFAULT NOT NULL -- equivalent to a long long (64 bit address) -- end address of record range ,RECORDBEGIN_LCT CHAR(26) NO DEFAULT NOT NULL -- LCT of record corresponding to RECORDBEGINADDR ,RECORDEND_LCT CHAR(26) NO DEFAULT NOT NULL -- LCT of record corresponding to RECORDENDADDR ,PRIMARY KEY RECORDSTATEKEY ) CATALOG =XMA_CAT ORGANIZATION K SIMILARITY CHECK ENABLE AUDIT;
XYGATE Merged Audit®リファレンスマニュアル 付録 B: 管理テーブル
XYPRO Technology Corporation 166 Proprietary and Confidential
B13: TCP/IP Syslog テーブル SLSENDER プログラムが、このテーブルを読み取ります。 CREATE TABLE =XMA_SYSLOGQ ( PARTITIONKEY NUMERIC( 4, 0) DEFAULT 1 NOT NULL ,ENTRYGMT TIMESTAMP NO DEFAULT NOT NULL ,PART SMALLINT NO DEFAULT NOT NULL ,ACTIONGMT TIMESTAMP NO DEFAULT NOT NULL ,ALERTEDGMT TIMESTAMP NO DEFAULT NOT NULL ,ACTION CHAR(1) NO DEFAULT NOT NULL ,TCP_PROCESS CHAR(9) NO DEFAULT NOT NULL ,RETRIES SMALLINT NO DEFAULT NOT NULL ,MESSAGE_LEN SMALLINT NO DEFAULT NOT NULL ,TARGET_PORT SMALLINT NO DEFAULT NOT NULL ,TARGET_HOST VARCHAR(64) NO DEFAULT NOT NULL ,PREFIX VARCHAR(79) NO DEFAULT NOT NULL ,MESSAGE VARCHAR(1000) NO DEFAULT NOT NULL ,PRIMARY KEY (PARTITIONKEY, ENTRYGMT, PART)
B14: HLR MOVER テーブル このテーブルは、HLR の各 MOVER サーバークラスのエントリを含んでいます。
CREATE TABLE =XMA_hlrMVTBL ( SERVERCLASSNAME CHAR(15) NO DEFAULT NOT NULL -- server class name ,DELETED CHAR(1) DEFAULT 'N' NOT NULL -- whether this server class has been deleted ,XYGATENODE CHAR(8) NO DEFAULT NOT NULL ,XYGATEVOLUME CHAR(8) NO DEFAULT NOT NULL ,XYGATESUBVOLUME CHAR(8) NO DEFAULT NOT NULL ,XYGATEPRODUCT CHAR(3) NO DEFAULT NOT NULL ,PRIMARYAUDITFILE VARCHAR(1024) NO DEFAULT NOT NULL -- primary audit file for this installation (OSS file) ,AUDITFILEMASK VARCHAR(1024) NO DEFAULT NOT NULL -- location of the audits for this node (OSS mask) ,AUDITFILECODE SMALLINT NOT NULL -- file code to look for (not used) ,CURRENTSTATUS VARCHAR(256) NO DEFAULT NOT NULL -- what is the server doing ,PRIMARY KEY SERVERCLASSNAME ) CATALOG =XMA_CAT ORGANIZATION K SIMILARITY CHECK ENABLE AUDIT;
B15: HLR パラメーターテーブル HLR の MOVER には、専用の PARAMS テーブルはありません。この MOVER の構成
情報は、PARAMS テーブルに格納されます。
XYGATE Merged Audit®リファレンスマニュアル 付録 B: 管理テーブル
XYPRO Technology Corporation 167 Proprietary and Confidential
B16: HLR 状態テーブル HLR の MOVER では、下記の 2 つのテーブルを用いて現在のオーディットファイルお
よび処理済みのファイルの最後のレコードの日付が追跡されます。このため、重複デ
ータが作成されません。また、MOVER は、停止および再起動する必要がある場合も、
"キャッチアップ"できます。
CREATE TABLE =XMA_hlrMVSTATETBL ( RECORDSTATEKEY TIMESTAMP DEFAULT CURRENT NOT NULL ,XYGATENODE CHAR(8) NO DEFAULT NOT NULL ,XYGATEVOLUME CHAR(8) NO DEFAULT NOT NULL ,XYGATESUBVOLUME CHAR(8) NO DEFAULT NOT NULL ,XYGATEPRODUCT CHAR(3) NO DEFAULT NOT NULL ,SERVERCLASSNAME CHAR(15) NO DEFAULT NOT NULL -- refers to =XMA_hlrmvTBL ,AUDITFILECT LARGEINT SIGNED NO DEFAULT NOT NULL -- equivalent to a long long (64 bit timestamp) -- Creation timestamp of the audit trail ,AUDITFILEMT LARGEINT SIGNED NO DEFAULT NOT NULL -- equivalent to a long long (48 bit converted to 64 bit timestamp) -- Modification timestamp of the audit trail file ,LASTRECORD_ADDRESS LARGEINT SIGNED NO DEFAULT NOT NULL -- equivalent to a long long (64 bit address) -- address of last record processed in the file ,LASTRECORD_LCT CHAR(26) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss as picked from file -- LCT of the last record processed in the file ,FILEBEGIN_LCT CHAR(26) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss as picked from file -- LCT of the first record in the file ,FILEEND_LCT CHAR(26) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss as picked from file -- LCT of the last record in the file -- NOTE : if FILEEND_LCT <> 0 then it implies the file has been -- fully processed and should not be processed again ,RECORDSPROCESSED LARGEINT SIGNED NO DEFAULT NOT NULL -- number of records processed from this file ,SESSIONTBLINSCOUNT LARGEINT SIGNED NO DEFAULT NOT NULL -- number of session table inserts done while processing records from ,AUDITTBLINSCOUNT LARGEINT SIGNED NO DEFAULT NOT NULL -- number of audit table inserts done while processing records from the ,AUDITFILENAME VARCHAR(1024) NO DEFAULT NOT NULL -- Name of the audit trail file ,CURRENTFILESTATUS VARCHAR(256) NO DEFAULT NOT NULL -- what is the server doing to this file ,PRIMARY KEY RECORDSTATEKEY ) CATALOG =XMA_CAT ORGANIZATION K SIMILARITY CHECK ENABLE AUDIT; CREATE TABLE =XMA_hlrmvSTATEAUXTBL ( RECORDSTATEKEY TIMESTAMP DEFAULT CURRENT NOT NULL ,XYGATENODE CHAR(8) NO DEFAULT NOT NULL ,XYGATEVOLUME CHAR(8) NO DEFAULT NOT NULL ,XYGATESUBVOLUME CHAR(8) NO DEFAULT NOT NULL ,XYGATEPRODUCT CHAR(3) NO DEFAULT NOT NULL
XYGATE Merged Audit®リファレンスマニュアル 付録 B: 管理テーブル
XYPRO Technology Corporation 168 Proprietary and Confidential
,SERVERCLASSNAME CHAR(15) NO DEFAULT NOT NULL -- refers to =XMA_hlrmvSTATETBL ,FILEBEGIN_LCT CHAR(26) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss as picked from file -- LCT of the first record in the file ,RECORDBEGINADDR LARGEINT SIGNED NO DEFAULT NOT NULL -- equivalent to a long long (64 bit address) -- begin address of record range ,RECORDENDADDR LARGEINT SIGNED NO DEFAULT NOT NULL -- equivalent to a long long (64 bit address) -- end address of record range ,RECORDBEGIN_LCT CHAR(26) NO DEFAULT NOT NULL -- LCT of record corresponding to RECORDBEGINADDR ,RECORDEND_LCT CHAR(26) NO DEFAULT NOT NULL -- LCT of record corresponding to RECORDENDADDR ,PRIMARY KEY RECORDSTATEKEY ) CATALOG =XMA_CAT ORGANIZATION K SIMILARITY CHECK ENABLE AUDIT;
B17: アーカイブテーブル アーカイブプロセスをサポートするテーブルは、2 つ存在します。ARCHIVES テーブ
ルでは、既存のすべてのアーカイブセットのステータスが追跡されます。ARCHIVE LOG テーブルはレコードカウントなどのアーカイブ処理に関連付けられたオーディッ
トデータを含んでいます。アーカイブセットを削除すると、ARCHIVEID に該当する
レコードが ARCHIVES テーブルから削除されます。アーカイブセットの削除は、
ARCHIVE LOG テーブルに記録されます。
CREATE TABLE =XMA_ARCHIVESTBL
ARCHIVESテーブル = XMA_ARCHIVESTBL
( ARCHIVEID CHAR(5) NO DEFAULT NOT NULL -- unique archival id ,ARCHIVALDATE TIMESTAMP DEFAULT CURRENT NOT NULL -- date/time when this archival request was made ,BEGINLCT TIMESTAMP NO DEFAULT NOT NULL -- begin time of the archival ,ENDLCT TIMESTAMP NO DEFAULT NOT NULL -- end time of the archival ,COMPLETED CHAR(1) DEFAULT 'N' NOT NULL -- whether the archival is complete or not ,ARCHIVELOCATION CHAR(26) NO DEFAULT NOT NULL -- \node.$vol.subvol ,ARCHIVEVER CHAR(4) NO DEFAULT NOT NULL -- version of the tables eg. 1.00 ,ARCHIVEDESC VARCHAR(256) NO DEFAULT NOT NULL -- description of this archive ,ARCHIVESTATUS VARCHAR(256) NO DEFAULT NOT NULL -- status of the archival ,ARCHIVEPROCESS VARCHAR(40) NO DEFAULT NOT NULL -- archival process ,RESTARTSTEP SMALLINT NO DEFAULT NOT NULL -- restart step ,RESTARTSESSIONKEY TIMESTAMP DEFAULT CURRENT NOT NULL -- restart session key ,RESTARTAUDITKEY TIMESTAMP DEFAULT CURRENT NOT NULL -- restart audit key
XYGATE Merged Audit®リファレンスマニュアル 付録 B: 管理テーブル
XYPRO Technology Corporation 169 Proprietary and Confidential
,RESTARTPROCCREATLCT CHAR(26) NO DEFAULT NOT NULL -- restart process creation lct ,PRIMARY KEY ARCHIVEID )
CREATE TABLE =XMA_ARCHIVELOGTBL
ARCHIVE LOGテーブル = XMA_ARCHIVELOGTBL
( RECORDGMT TIMESTAMP NO DEFAULT NOT NULL -- record insertion timestamp in GMT ,ARCHIVEID CHAR(5) NO DEFAULT NOT NULL -- archive id ,RECORDLCT TIMESTAMP NO DEFAULT NOT NULL -- record insertion timestamp in LCT ,SESSIONID CHAR(12) NO DEFAULT NOT NULL -- 12 char session id - will help distinguish between -- restarts of the same archive ,SEQNO CHAR(9) NO DEFAULT NOT NULL -- sequence no of records within a session ,LOG VARCHAR(256) NO DEFAULT NOT NULL -- details on what happened ,PRIMARY KEY (RECORDGMT,ARCHIVEID) )
B18: PARAMS テーブル 複数のサーバークラスが PARAMS テーブルを共有します。SLSENDER サーバークラ
ス、HLR サーバークラス、および IPRESLVR サーバークラスの構成情報が格納され
ています。 CREATE TABLE =XMA_PARAMSTBL ( SERVERCLASSTYPE CHAR(15) NO DEFAULT NOT NULL ,SERVERCLASSNAME CHAR(15) NO DEFAULT NOT NULL ,PARAMNAME VARCHAR(50) NO DEFAULT NOT NULL -- name of the parameter ,PARAMVALUE VARCHAR(256) NO DEFAULT NOT NULL -- value of the parameter ,PARAMDESC VARCHAR(50) NO DEFAULT NOT NULL -- description of the parameter ,PRIMARY KEY ( SERVERCLASSTYPE, SERVERCLASSNAME, PARAMNAME ) ) CATALOG =XMA_CAT ORGANIZATION K SIMILARITY CHECK ENABLE AUDIT;
B19: SESSIONOIP テーブル このテーブルは、IP アドレス解決(IPRESLVR)のキューファイルです。 CREATE TABLE =XMA_SESSIONNOIPTBL ( PARTITIONKEY NUMERIC (4,0) NO DEFAULT NOT NULL ,RECORDSESSIONKEY DATETIME YEAR TO FRACTION(6) DEFAULT SYSTEM N ,SESSIONID CHAR(36) NO DEFAULT NOT NULL ,RECORDLCT DATETIME YEAR TO FRACTION(6) DEFAULT SYSTEM N ,TERMINAL VARCHAR(64) DEFAULT NULL ,PROCESSTHREADID VARCHAR(50) DEFAULT NULL ,IPADDRESS CHAR(16) DEFAULT NULL ,RETRIES SMALLINT NO DEFAULT NOT NULL ,PRIMARY KEY (PARTITIONKEY,RECORDSESSIONKEY)
XYGATE Merged Audit®リファレンスマニュアル 付録 B: 管理テーブル
XYPRO Technology Corporation 170 Proprietary and Confidential
) CATALOG =XMA_CAT ORGANIZATION K SIMILARITY CHECK ENABLE EXTENT (512,512) format 2 AUDIT;
XYPRO Technology Corporation 171 Proprietary and Confidential
付録C: データテーブル
データテーブルは、XYGATE 製品、Safeguard、および MEASURE から抽出されたオ
ーディットデータを含んでいます。また、XMA 処理のオーディット情報を含んでいま
す。
C1: ファイルのパーティション分割 XMA 1.23 以降では、オーディットセッションテーブルおよびオーディット詳細テー
ブルはパーティション分割に有用なキーを含んでいます。PARTITION キーはオーデ
ィットセッションテーブルおよびオーディット詳細テーブルの最初のカラムです。
PARTITIONKEY カラムは値 2~255 でランダムに更新されます。値 0 は、NULL パー
ティションの作成に使用されません。値 1 は変換用に予約されています。詳細につい
ては、第 7.4 節「XMA データベースのパーティション分割」(140 ページ)を参照して
ください。
XYGATEMAサブボリュームには、テーブルのパーティション分割に有用なサンプル
ファイルが存在します。このファイルは必要なコマンドを含んでいます。このファイ
ルは、名前がPARSAMPであり、付録E5:「PARSAMP」(192 ページ)で説明されてい
ます。
C2: XYGATE 製品構成テーブル 下記の情報は、MOVER テーブル(XMA_XYMVTBL)に存在します。XYGATE 製品に関
連付けられた各サーバークラスのテーブルに対して 1 つのローが存在します。
C3: ServerclassNAME この名前は、Pathway の MOVER サーバークラスに付けます。最大 15 文字であり、
Pathway の標準の命名規則に準拠する必要があります。
XYGATE Merged Audit®リファレンスマニュアル 付録 C: データテーブル
XYPRO Technology Corporation 172 Proprietary and Confidential
C4: XYGATE 製品のインストール先 下記の 4 つのフィールドで XYGATE 製品のインストール先を表します。このインス
トール先の情報を使用すると、LOGDDL ファイルを検証して、インストール済みの
XYGATE 製品のバージョンを確認できます。また、XYGATE 製品のオーディットデ
ータが正しいオーディットファイルのレイアウトで抽出されていることを確認できま
す。
XYGATENODE XYGATE 製品のノードを表します。
XYGATEVOLUME XYGATE 製品のボリュームを表します。
XYGATESUBVOLUME XYGATE 製品のサブボリュームを表します。
XYGATEPRODUCT
このフィールドは、MOVER プロセスがデータを抽出する製品を表します。製品略称
を使用します。
PRIMARYAUDITFILE <ファイル名>
このフィールドは、XYGATE 製品のプライマリオーディットファイルの保存先です。
例:
\Node1.$system.xygateac.xacaud
注:
オーディットファイルの保存先を変更した場合は、新しい MOVER サーバーク
ラスを作成する必要があります。
XYGATE製品をアップグレードし、オーディットファイルのレイアウトを変更し
た場合は、データが引き続き正しく抽出されるように、古いレイアウトのオー
ディットファイルを指定することが推奨されます。
C5: AUDITFILEMASK <ファイル名マスク> このフィールドは、XYGATE 製品のプライマリオーディットファイルのワイルドカー
ド名です。
例: \Node1.$system.xygateac.xac*
XYGATE Merged Audit®リファレンスマニュアル 付録 C: データテーブル
XYPRO Technology Corporation 173 Proprietary and Confidential
C6: AUDITFILECODE <ファイルコード> このフィールドはオーディットファイルに関連付けられたファイルコードです。この
ファイルコードは正しいオーディットファイルが使用されていることを確認する追加
のチェックとして XYGATE 製品の MOVER プログラムで使用されます。XYGATE 製
品の設定ファイルの AUDIT キーワードで使用されるオプションに応じて、ファイル
コード 3331、3332、または 3333 が割り当てられます。すべての XYGATE 製品が
INVOKE および DETAIL オプションに対応しているわけではありません。下記の表で
は、INVOKE および DETAIL の使用法に基づくファイルコードの割り当てについて説
明します。
AUDIT <ファイル名> INVOKE 3331
AUDIT <ファイル名> DETAIL 3332
AUDIT <ファイル名> INVOKE DETAIL 3333
注:
C7: オーディット製品テーブル = XMA_AUDPRODUCTTBL
セキュリティに関する留意事項:XMA Pathwayのオーナーはモニター対象の製
品のオーディットトレイルに読み取りアクセスできる必要があります。
このテーブルは、PRODUCTCODE 情報および PRODUCTNAME 情報を含んでいます。
CREATE TABLE =XMA_AUDPRODUCTTBL (PRODUCTCODE CHAR (10) NO DEFAULT NOT NULL -- Product code of the product that generated this audit , PRODUCTNAME VARCHAR (50) NO DEFAULT NOT NULL -- Descriptive product name of the product that generated this audit , PRIMARY KEY PRODUCTCODE )
C8: オーディットインストールテーブル = XMA_AUDINSTALLTBL このテーブルは、PRODUCTCODE 情報と PRODUCT INSTALLATION 情報の相互参
照です。また、オーディットセッションテーブルのデータのソースインストールの識
別に使用されます。
Session Table.
CREATE TABLE =XMA_AUDINSTALLTBL (RECORDINSTALLKEY TIMESTAMP DEFAULT CURRENT NOT NULL , PRODUCTCODE CHAR (10) NO DEFAULT NOT NULL -- Refers to PRODUCTCODE in =XMA_AUDPRODUCTTBL , IPADDRESS CHAR (16) DEFAULT NULL -- IP address of the system which caused the generation of this audit , SYSTEMNAME VARCHAR (64) NO DEFAULT NOT NULL -- System which caused the generation of this audit , LOCATION VARCHAR (128) NO DEFAULT NOT NULL -- Location within the system which caused the generation of this
XYGATE Merged Audit®リファレンスマニュアル 付録 C: データテーブル
XYPRO Technology Corporation 174 Proprietary and Confidential
-- audit -- Contains $VOL.SUBVOL in case of XYGATE products , DNSNAME VARCHAR (100) DEFAULT NULL -- DNS name of the system which caused the generation of this audit , PRIMARY KEY RECORDINSTALLKEY )
C9: オーディットセッションテーブル = XMA_AUDSESSIONTBL オーディットセッションテーブルでは、特定の製品およびセッションのレコードグル
ープが結合されます。このテーブルの 1 件のレコードはオーディット詳細テーブルの
1 件以上のレコードのグループごとに存在します。
CREATE TABLE =XMA_AUDSESSIONTBL (PARTITIONKEY NUMERIC(4) DEFAULT 1 NOT NULL -- randomly chosen between 0002 and 0255 (0 is kept empty, 1 is reserved for copy) RECORDSESSIONKEY TIMESTAMP DEFAULT CURRENT NOT NULL , RECORDINSTALLKEY TIMESTAMP NO DEFAULT NOT NULL -- Refers to RECORDINSTALLKEY in =XMA_AUDINSTALLTBL , SESSIONID CHAR (36) NO DEFAULT NOT NULL -- Audits without SESSIONID get a unique id common to the entire trail -- 12 char XYGATE session id is left padded with 0s. , FOUNDSESSIONSTART CHAR (1) DEFAULT 'N' NOT NULL -- 'N' or 'Y' - whether the beginning of the session was found in the --data , FOUNDSESSIONEND CHAR (1) DEFAULT 'N' NOT NULL -- 'N' or 'Y' - whether the end of the session was found in the data , IPADDRESS CHAR (16) DEFAULT NULL -- IP address of the client , SESSIONNAME VARCHAR (40) DEFAULT NULL -- Session name if any, e.g. An XAC command name , PROCESSTHREADID VARCHAR (50) DEFAULT NULL -- ID of the process that caused the generation of this audit , PROCESSTHREADID2 VARCHAR (50) DEFAULT NULL -- Related process e.g. XAC process descriptor , CLIENTPROGRAM VARCHAR (50) DEFAULT NULL -- Object file name of the client , ANCESTORPROCESSTHREADID VARCHAR (50) DEFAULT NULL -- Parent of the process that caused the generation of this audit , DNSNAME VARCHAR (100) DEFAULT NULL -- DNS name of the client , CLIENTCURRDIR VARCHAR (200) DEFAULT NULL -- Location from where the session was started , PRIMARY KEY (PARTITIONKEY,RECORDSESSIONKEY) )
XYGATE Merged Audit®リファレンスマニュアル 付録 C: データテーブル
XYPRO Technology Corporation 175 Proprietary and Confidential
C10: オーディット詳細テーブル = XMA_AUDITDETAILTBL このテーブルのレコードは特定のセッションを含む詳細レコードです。オーディット
セッションテーブルには、1 件のエントリで結合された 1 件以上の関連レコードが存
在します。
CREATE TABLE =XMA_AUDITDETAILTBL (PARTITIONKEY NUMERIC(4) DEFAULT 1 NOT NULL -- randomly chosen between 0002 and 0255 (0 is kept empty, 1 is reserved for copy) RECORDGMT TIMESTAMP NO DEFAULT NOT NULL -- Calculated GMT of the record , GMTSEQNO CHAR (2) NO DEFAULT NOT NULL -- To make the RECORDGMT unique , RECORDLCT TIMESTAMP NO DEFAULT NOT NULL -- Local Civil Time of the record , RECORDAUDITKEY TIMESTAMP DEFAULT CURRENT NOT NULL -- Timestamp of record insertion , RECORDSESSIONKEY TIMESTAMP NO DEFAULT NOT NULL -- Refers to RECORDKEY in =XMA_AUDSESSIONTBL , SEQNO CHAR (9) NO DEFAULT NOT NULL -- Sequence no of records within a session , OUTCOME CHAR (1) DEFAULT '1' NOT NULL -- '1' SUCCESS,'2' NORECORD, '3' FAILED -- Generated using information contained in MESSAGECODE , WARNINGMODE CHAR (1) DEFAULT 'N' NOT NULL -- 'N' or 'Y' , TESTMODE CHAR (1) DEFAULT 'N' NOT NULL -- 'N' or 'Y' , ALERTED CHAR (1) DEFAULT 'N' NOT NULL -- 'N' or 'A'/'F'/'B'/'D'/'O' – Generated by XMA , SEVERITY CHAR (1) DEFAULT '1' NOT NULL -- ‘1’: info ,‘2’: warning ,‘3’: critical ,'4' : fatal , PRODUCTCODE CHAR(10) DEFAULT NULL -- Mover generated. 8-charater codes such AS XYGATEAC or SAFERGUARD , SUBJECT_USERNUMBER_MAJOR CHAR(8) DEFAULT NULL -- Group number in case of HP NONSTOP ,SUBJECT_USERNUMBER_MINOR CHAR(8) DEFAULT NULL -- User number in case of HP NONSTOP , TARGET_USERNUMBER_MAJOR CHAR(8) DEFAULT NULL -- Group number in case of HP NONSTOP , TARGET_USERNUMBER_MINOR CHAR(8) DEFAULT NULL -- User number in case of HP NONSTOP , SUBJECTLOGIN VARCHAR(40) DEFAULT NULL -- login/username of the subject user , SUBJECTSYSTEM VARCHAR(64) DEFAULT NULL -- System of the subject user , TARGETLOGIN VARCHAR (40) DEFAULT NULL -- login/username of the target user , OBJECTTYPE VARCHAR (32) DEFAULT NULL -- Type of the object acted upon e.g. FILE , OBJECTNAME VARCHAR (200) DEFAULT NULL -- Name of the object acted upon e.g. file in case of FTP , OPERATION VARCHAR (128) DEFAULT NULL -- Activity performed on the object , TERMINAL VARCHAR (64) DEFAULT NULL -- Terminal on which the activity was performed , MESSAGEID VARCHAR (20) DEFAULT NULL -- Any product specific internal id such as AUDIT-TYPE for audit files
XYGATE Merged Audit®リファレンスマニュアル 付録 C: データテーブル
XYPRO Technology Corporation 176 Proprietary and Confidential
-- that contain different record types , MESSAGECODE VARCHAR (20) DEFAULT NULL -- Error codes, event codes, product specific codes -- Used to determine value in outcome , RULENAME VARCHAR (50) DEFAULT NULL -- Name of the rule used , RESULT VARCHAR (256) DEFAULT NULL -- Details about what happened ,USER_DATA VARCHAR(16) DEFAULT NULL -- reserved for future use , PRIMARY KEY (PARTITIONKEY,RECORDGMT,GMTSEQNO)
C11: XMA テーブルの手動削除 この処理が必要とされることはほぼありません。通常、このクリーンアッププロセス
は、SQL 環境の作成(XMA_MANAGER を最初に使用)中にシステムカタログに XMAカタログを追加しようとしてセキュリティエラーが発生した場合に必要です。
推奨される方法は、下記のとおり、XMA データテーブルが存在するサブボリューム
(通常は XMADAT)に移動し、SQLCI で purge *を実行することです。
例: Volume $secure.XMADAT sqlci purge *;
何らかの原因で上記のコマンドが動作しない場合は、SQLCI で下記のコマンドを実行
するか、SQLCI で実行できる OBEY ファイルにコマンドを貼り付けることができま
す。
DROP TABLE $DATA2.XMADAT.ARCHIVES; DROP TABLE $DATA2.XMADAT.ARCLOG ; DROP TABLE $DATA2.XMADAT.AUDDET ; DROP TABLE $DATA2.XMADAT.AUDSESS ; DROP TABLE $DATA2.XMADAT.AUDINST ; DROP TABLE $DATA2.XMADAT.AUDPROD ; DROP TABLE $DATA2.XMADAT.B24MV ; DROP TABLE $DATA2.XMADAT.B24MVAAU ; DROP TABLE $DATA2.XMADAT.B24MVAU ; DROP TABLE $DATA2.XMADAT.B24MVAST ; DROP TABLE $DATA2.XMADAT.EMSAST ; DROP TABLE $DATA2.XMADAT.EMSASTI ; DROP TABLE $DATA2.XMADAT.EMSMV ; DROP TABLE $DATA2.XMADAT.EMSPRM ; DROP TABLE $DATA2.XMADAT.EMSST ; DROP TABLE $DATA2.XMADAT.EMSSTI ; DROP TABLE $DATA2.XMADAT.HKEEPPRM; DROP TABLE $DATA2.XMADAT.MAILBODY; DROP TABLE $DATA2.XMADAT.MAILIDS ; DROP TABLE $DATA2.XMADAT.MAILTO ; DROP TABLE $DATA2.XMADAT.MEAAPROC; DROP TABLE $DATA2.XMADAT.MQRDRPRM; DROP TABLE $DATA2.XMADAT.SFGAAUX ; DROP TABLE $DATA2.XMADAT.XYMVAAIN; DROP TABLE $DATA2.XMADAT.XYMVAAU ;
XYGATE Merged Audit®リファレンスマニュアル 付録 C: データテーブル
XYPRO Technology Corporation 177 Proprietary and Confidential
DROP TABLE $DATA2.XMADAT.XYMVAST ; DROP TABLE $DATA2.XMADAT.SFGAUX ; DROP INDEX $DATA2.XMADAT.AUDGMIND ; DROP INDEX $DATA2.XMADAT.AUDININD ; DROP INDEX $DATA2.XMADAT.AUDLCIND ; DROP INDEX $DATA2.XMADAT.AUDSEIND ; DROP INDEX $DATA2.XMADAT.AUDSRIND ; DROP INDEX $DATA2.XMADAT.B24MAAIN ; DROP INDEX $DATA2.XMADAT.B24MAIND ; DROP INDEX $DATA2.XMADAT.B24MASIN ; DROP INDEX $DATA2.XMADAT.B24MSIND ; DROP INDEX $DATA2.XMADAT.DETSEIND ; DROP INDEX $DATA2.XMADAT.MPRCIND; DROP INDEX $DATA2.XMADAT.MPROIND; DROP INDEX $DATA2.XMADAT.SFGAAUXI; DROP INDEX $DATA2.XMADAT.XYMVAAIN; DROP INDEX $DATA2.XMADAT.XYMVASIN; DROP PROGRAM $DATA2.XYGATEMA.SFGMOVE; DROP PROGRAM $DATA2.XYGATEMA.b24MOVE; DROP PROGRAM $DATA2.XYGATEMA.XYMOVE; DROP PROGRAM $DATA2.XYGATEMA.MEASMOVE; DROP PROGRAM $DATA2.XYGATEMA.EMSMOVE; DROP PROGRAM $DATA2.XYGATEMA.ARCHIVE; DROP PROGRAM $DATA2.XYGATEMA.HKEEPER; DROP PROGRAM $DATA2.XYGATEMA.MADELDBC; DROP PROGRAM $DATA2.XYGATEMA.MAMGRC ; DROP PROGRAM $DATA2.XYGATEMA.MQREADER; DROP PROGRAM $DATA2.XYGATEMA.XYGATEMA; DROP PROGRAM $DATA2.XYGATEMA.XYSQLCI ; DROP CATALOG $DATA2.XMACAT ;
XYPRO Technology Corporation 179 Proprietary and Confidential
付録D: サンプルフィルター
本付録では、標準的なフィルターについて説明します。
D1: $CMON の"I'm Alive"メッセージの除外 $CMON はバックグラウンドで実行されるため、オーディットにメッセージを定期的
に書き込みます。通常、ユーザーは XMA データベースからこのメッセージを除外し
ます。このようなオーディットイベントは OPERATION で一意に識別されるため、必
要なデータ選択基準はこの除外のみです。
例 1:
FILTERDEFBEGIN $IGNORE.XCM.ALIVE STATUS ACTIVE MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = XYGATECM MOVER_SELECT_END MOVER_END DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OPERATION = ALIVE DATA_SELECT_END DATA_END ACTIONCOLL_BEGIN ACTION_BEGIN ACTIONTYPE IGNORE ACTION_END ACTIONCOLL_END FILTERDEFEND
XYGATE Merged Audit®リファレンスマニュアル 付録 E: XMA ホストマクロ
XYPRO Technology Corporation 180 Proprietary and Confidential
D2: XPC のステータスコマンドの除外 例 2 は、XPCのステータスコマンドを除外する例です。通常、すべてのユーザーがす
べてのプロセスに対してステータスコマンドを実行でき、セキュリティリスクは無く、
大量のオーディットが生成されます。このようなオーディットイベントは、
MESSAGEIDカラムに記録されるオーディットレコードタイプで一意に識別されます。
詳細については、『XYGATE Process Control (XPC)
例 2:
』マニュアルを参照してくださ
い。
FILTERDEFBEGIN $IGNORE_XPC-STATUS STATUS ACTIVE MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = XYGATEPC MOVER_SELECT_END MOVER_END DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.MESSAGEID = XPC-S DATA_SELECT_END DATA_END ACTIONCOLL_BEGIN ACTION_BEGIN ACTIONTYPE IGNORE ACTION_END ACTIONCOLL_END FILTERDEFEND
XYGATE Merged Audit®リファレンスマニュアル 付録 E: XMA ホストマクロ
XYPRO Technology Corporation 181 Proprietary and Confidential
D3: 自身のユーザーデータベースを読み取る Safeguard の除外 例 3 では、Safeguard 自身による"USER"および"LUSER"ファイルの読み取りのオーデ
ィットが除外されます。Safeguard では、この 2 つのファイルがすべてのファイルア
クセスおよびログインの判定中に読み取られ、有用でない大量のオーディットが生成
されます。このようなイベントは、MOVER、OPERATION、対象のユーザーID の組
み合わせで一意に識別されます。
この例では、対象のユーザーID が SUBJECTLOGIN で選択されます。USER*ファイ
ルと LUSER*ファイルの両方を表す 1 つの正規表現を含む 1 つのデータ選択段落も使
用できますが、両方を分割する方が読みやすいため、2 つの段落に記載しています。
例 3: FILTERDEFBEGIN $SUPER_USER_READS !== Ignore all operating system reads to the user files STATUS INACTIVE DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.SUBJECTLOGIN = SUPER.SUPER AUDIT.OBJECTNAME LIKE "$SYSTEM\.SAFE\.(LUSERID|LUSERIDG|LUSERAX)" AUDIT.OPERATION = READ DATA_SELECT_END ! or … DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.SUBJECTLOGIN = SUPER.SUPER AUDIT.OBJECTNAME LIKE "$SYSTEM\.SYSTEM\.(USERID|USERIDAK|USERIDAX)" AUDIT.OPERATION = READ DATA_SELECT_END DATA_END ACTIONCOLL_BEGIN ACTION_BEGIN ACTIONTYPE IGNORE ACTION_END ACTIONCOLL_END FILTERDEFEND
XYGATE Merged Audit®リファレンスマニュアル 付録 E: XMA ホストマクロ
XYPRO Technology Corporation 182 Proprietary and Confidential
D4: Safeguard の No Record の除外 例 4 では、結果が No Record である Safeguard アクセスイベント(OUTCOME = 2)が除外されます。必要なデータ選択基準は、この除外のみです。このようなイベントは、
MOVER と OUTCOME の組み合わせで一意に識別されます。
例 4:
FILTERDEFBEGIN $IGNORE_SAFEGUARD_NORECS STATUS INACTIVE !=Ignore Safeguard "No records" MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = SAFEGUARD MOVER_SELECT_END MOVER_END DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OUTCOME = 2 DATA_SELECT_END DATA_END ACTIONCOLL_BEGIN ACTION_BEGIN ACTIONTYPE IGNORE ACTION_END ACTIONCOLL_END FILTERDEFEND
XYGATE Merged Audit®リファレンスマニュアル 付録 E: XMA ホストマクロ
XYPRO Technology Corporation 183 Proprietary and Confidential
D5: XOS の No Record の除外 例 5 では、結果が No Record である XOS アクセスイベント(OUTCOME = 2)が除外さ
れます。必要なデータ選択基準は、この除外のみです。
Safeguard と XOS の両方でシステムのファイルを保護している場合は、MOVER の第
2 段落を両方に 1 つずつ追加すると、この 2 つのフィルターを組み合わせることがで
きます。このようなイベントは、MOVER と OUTCOME の組み合わせで一意に識別
されます。
例 5:
FILTERDEFBEGIN $IGNORE_XYGATEOS_NORECS STATUS ACTIVE !=Ignore NORECORDS MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = XYGATEOS MOVER_SELECT_END MOVER_END DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OUTCOME = 2 DATA_SELECT_END DATA_END ACTIONCOLL_BEGIN ACTION_BEGIN ACTIONTYPE IGNORE ACTION_END ACTIONCOLL_END FILTERDEFEND
XYGATE Merged Audit®リファレンスマニュアル 付録 E: XMA ホストマクロ
XYPRO Technology Corporation 184 Proprietary and Confidential
D6: XOS の仮定テストの除外 例 6 では、"仮定"テストで生成された XOS オーディットレコードが除外されます。こ
のようなイベントは、仮定クエリの場合に Y(es)、実際の判定の場合に N(o)を含む
TESTMODE カラムで一意に識別されます。必要なデータ選択基準は、この除外のみ
です。
例 6:
FILTERDEFBEGIN $XIGNORE_XYGATEOS_WHATIF STATUS ACTIVE MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = XYGATEOS MOVER_SELECT_END MOVER_END DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.TESTMODE = "Y" DATA_SELECT_END DATA_END ACTIONCOLL_BEGIN ACTION_BEGIN ACTIONTYPE IGNORE ACTION_END ACTIONCOLL_END FILTERDEFEND
XYGATE Merged Audit®リファレンスマニュアル 付録 E: XMA ホストマクロ
XYPRO Technology Corporation 185 Proprietary and Confidential
D7: XPQ による SUPER.SUPER のパスワード変更のアラート 例 7 では、XPQ で SUPER.SUPER のパスワードを変更するたびに、電子メールアラ
ートが生成されます。このようなイベントは、MOVER とターゲットのユーザー名の
組み合わせで一意に識別されます。AUDIT.OBJECTNAME CONTAINS "SUPER.SUPER"を使用する場合は、AUDIT.OBJECTNAME カラムも使用できます。
OBJECTNAME カラムはユーザーID とユーザー名の両方を含んでいます。
例 7:
FILTERDEFBEGIN $XPQ_CHG_SUPER_PSWD STATUS ACTIVE MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = XYGATEPQ MOVER_SELECT_END MOVER_END DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.TARGETLOGIN = SUPER.SUPER AUDIT.OUTCOME = 1 DATA_SELECT_END DATA_END ACTIONCOLL_BEGIN ACTION_BEGIN ACTIONTYPE MAIL MAIL_SRV mail.bankofcochran.com MAIL_PORT 25 MAIL_FROM [email protected] MAIL_TO [email protected] MAIL_IPPROCESS $ztcp2 MAIL_SUBJECT ALERT - SUPER.SUPER's password changed MAIL_BODY \NODE1.$SECURE.XYGATEMA.MAILPASS MAXRECORDAGE 43200 ACTION_END ACTIONCOLL_END FILTERDEFEND
XYGATE Merged Audit®リファレンスマニュアル 付録 E: XMA ホストマクロ
XYPRO Technology Corporation 186 Proprietary and Confidential
D8: 不明なユーザーが SUPER.SUPER として直接ログインした場合のア
ラート 例 8 では、不明なユーザーが SUPER.SUPER として直接ログインするたびに、EMSメッセージが生成されます。このようなイベントは、ターゲットのユーザーID および
OPERATION で一意に識別されます。このため、このフィルターでは、
SUPER.SUPER としてのすべてのログインが取得されます。
"TACL にログインしていない"ユーザーが SUPER.SUPER としてログインした場合の
みアラートを生成するには、SUBJECT_USERNUMBER 行をコメントアウトします。
EMS イベントは、SUPER.SUPER としてログインした ID のユーザー名
(SUBJECTLOGIN)を含めるようになります。
例 8:
FILTERDEFBEGIN $SUPERSUPER_LOGON STATUS INACTIVE !=XCM -or- SAFEGUARD !=Log on to super.super or an alias to super.super MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = XYGATECM MOVER_SELECT_END MOVER_SELECT_BEGIN PRODUCT = SAFEGUARD MOVER_SELECT_END MOVER_END DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER ! AUDIT.SUBJECT_USERNUMBER_MAJOR = 0 ! AUDIT.SUBJECT_USERNUMBER_MINOR = 0 AUDIT.OPERATION = VERIFYUSER AUDIT.OBJECTNAME CONTAINS SUPER.SUPER DATA_SELECT_END DATA_END ACTIONCOLL_BEGIN ACTION_BEGIN ACTIONTYPE ALERT ALERTTARGET $0 ALERTSEVERITY NONCRITICAL ALERTEMSEVENTNUMBER 2048 ALERTSTRING |(AUDIT.SUBJECTLOGIN)|logged on as SUPER.SUPER ALERTTOKENSBEGIN AUDIT.OPERATION AUDIT.OBJECTNAME AUDIT.SUBJECTLOGIN AUDIT.OUTCOME ALERTTOKENSEND MAXRECORDAGE 21600 ACTION_END ACTIONCOLL_END FILTERDEFEND
XYGATE Merged Audit®リファレンスマニュアル 付録 E: XMA ホストマクロ
XYPRO Technology Corporation 187 Proprietary and Confidential
D9: "–255"を含む XAC コマンドのアラート 例 9 では、ユーザーが文字列 "-255"
例 9:
を含むXACコマンドを呼び出すたびに、EMSメッセージが生成されます。EMSメッセージには、不明なユーザーのログイン名および
呼び出したXACコマンドが表示されます。
FILTERDEFBEGIN $XAC_SELECTED_CMDS STATUS INACTIVE != Invocation of a sensitive command like TACL-255 != or FUP-255 or SAFECOM-255 MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = XYGATEAC MOVER_SELECT_END MOVER_END DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.RULENAME CONTAINS "-255" \PROD1.$SECURE.XYGATEMA.XACFILT DATA_SELECT_END DATA_END ACTIONCOLL_BEGIN ACTION_BEGIN ACTIONTYPE IPALERT IPALERT_ADDRESS 127.0.0.1 IPALERT_PORT 512 IPALERT_IPPROCESS $tcp1p IPALERT_PREFIX <130> HPNS ALERTSTRING |AUDIT.SUBJECTLOGIN)|invoked|(AUDIT.RULENAME)| != only produce alert if 5 mins have passed since last alert MAXACTIONRATE 300 != only produce alert if action occured <= 12 hours ago MAXRECORDAGE 43200 ACTION_END ACTIONCOLL_END FILTERDEFEND
XYGATE Merged Audit®リファレンスマニュアル 付録 E: XMA ホストマクロ
XYPRO Technology Corporation 188 Proprietary and Confidential
D10: セキュリティ関連の BASE24 EMS イベントの選択 セキュリティ関連の BASE24 EMS メッセージには、SSID の先頭に"ACI.XPSNCP"が付加されます。このような EMS メッセージは、NCPCOM で生成されます。SSID が
AUDIT.OBJECTNAME カラムに格納されます。このカラムを使用すると、FILTERSおよびレポートのセキュリティ関連の BASE24 イベントを選択できます。
BASE24 オーディットログの初期設定を取得するには、SSID が"ACI.LOGDATER"である EMS イベントも検索する必要があります。これは、PCI の要件です。
例 10:
FILTERDEFBEGIN $BASE24_EMS_AUDITS != the EMS LOG STATUS INACTIVE MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = EMS MOVER_SELECT_END MOVER_END DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OBJECTNAME CONTAINS "ACI.XPSNCP" DATA_SELECT_END DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OBJECTNAME CONTAINS "ACI.LOGDATER" DATA_SELECT_END DATA_END
XYGATE Merged Audit®リファレンスマニュアル 付録 E: XMA ホストマクロ
XYPRO Technology Corporation 189 Proprietary and Confidential
付録E: XMA ホストマクロ
XMA ホストソフトウェアには、マクロセットが付属しています。すべての XMA マク
ロを含む TACL セグメント XMA_SEG を追加するには、XMA マクロを使用します。
構文: RUN <\NODE>.<$vol>.<subvol>.XMA INSTALL
例:
XMA の INSTALL では、TACL セグメント XMA_SEG がユーザーの TACL に追加され
ます。ユーザーが TACL セグメント XMA_SEG をインストールしている場合、XMAの INSTALL は他に影響しません。
RUN \NODE1.$SYSTEM.XYGATEMA.XMA INSTALL
本章では、インストール時に XMA に割り当てたマクロ名を XMA としています。イン
ストール時に他の名前を使用する場合は、インストール時の名前に一致するように、
マクロ名が変更されます。
XYGATEMA マクロは、XMA_SEG TACL セグメントに保存されています。このセグ
メントは、ユーザーが XMA INSTALL を実行すると関連付けられます。
E1: ADELMACADELMAC マクロは、日付によるアーカイブセットの削除処理を、指定した間隔で自
動的に実行できるように実装されています。
例: ?tacl routine == ======================================= == Macro to run the ARCHIVE set DELETE BY DATE MACRO == BARCDEL == ======================================= #frame [#push t_end_date] xma_datetime_make 31 #set t_end_date [xma_dt_year4]-[xma_dt_month]-[xma_dt_day] [$system.xygatema.barcdel [t_end_date] 23:59:59 ]
XYGATE Merged Audit®リファレンスマニュアル 付録 E: XMA ホストマクロ
XYPRO Technology Corporation 190 Proprietary and Confidential
この例では、終了日が現在の日付から 31 日以内のすべてのアーカイブセットが完全
に削除されます。
E2: ARCMACARCMAC マクロは、指定した間隔でアーカイブプロセスを自動的に実行できるよう
に、提供されています。このマクロを使用するサンプルマクロファイル ARCMAC は、
XMA サブボリュームに存在します。
プロセスタイプには、3 つのオプション-、*、および#####が存在します。
- (ダッシュ) 新しいアーカイブテーブルセットが作成されます。
* (アスタリスク) 停止しているすべての(未完了の)アーカイブプロセスを再起動する
必要があることを表します。
##### 既存のアーカイブテーブルセットを再利用するアーカイブ ID を指
定します。
The ARCMAC File: ================================================================== == Macro to run Archive Macro BATARCH == == Note Regarding Process Type: == == - indicates to create a new set of archive tables == == * indicates restart all stopped archive processing == == ###### Add archive data to existing set of archive tables == ================================================================== ?tacl routine #frame [#push t_begin_dt t_end_dt ] xma_datetime_make <days> #set t_begin_dt [xma_dt_year4]-[xma_dt_month]-[xma_dt_day] xma_datetime_make <days> #set t_end_dt [xma_dt_year4]-[xma_dt_month]-[xma_dt_day] [$DATA.XYGATEMA.batarch - == Process type -/*/###### [t_begin_dt] == Begin Date 00:00:00 == Begin Time [t_end_dt] == End Date 23:59:59 == End Time <add archive subvol> == Archive Location <add description here> == Archive Description ] #unframed
XYGATE Merged Audit®リファレンスマニュアル 付録 E: XMA ホストマクロ
XYPRO Technology Corporation 191 Proprietary and Confidential
E3: CLEANDBCLEANDB マクロでは、データベースクリーンアッププログラムが定期的に実行され
ます。ARCHIVE プロセスと異なり、CLEANDB では、オーディットセッションテー
ブルおよびオーディット詳細テーブルからレコードが削除されますが、アーカイブテ
ーブルは作成されません。CLEANDB マクロを使用するサンプルマクロファイル
CLEANMAC は、XMA サブボリュームに存在します。
=================================================================== == Macro to run Database Clean Macro CLEANDB == == This process deletes record from both the Audit Session and == == Audit Detail Tables == =================================================================== ?tacl routine #frame [#push t_begin_dt t_end_dt ] xma_datetime_make <days> #set t_begin_dt [xma_dt_year4]-[xma_dt_month]-[xma_dt_day] xma_datetime_make <days> #set t_end_dt [xma_dt_year4]-[xma_dt_month]-[xma_dt_day] [$<volume>.<subvolume>.cleandb [t_begin_dt] == date to start 00:00:00 == time to start [t_end_dt] == date to end 23:59:59 == time to end. ] #unframed
内容は次のとおりです。
T_BEGIN_DT ~ T_END_DT は日付範囲です。開始日以降および終了日以前のすべて
のレコードは削除対象と見なされます。オーディットセッションテーブルのレコード
は、オーディット詳細テーブルの該当のすべてのレコードを削除するまで、削除され
ません。開始日時も変更できます。
例:現在の日付 2004 年 10 月 5 日を使用した、XMA データベースへの 60 日間の情報の保持 xma_datetime_make 60 #set t_end_dt [xma_dt_year4]-[xma_dt_month]-[xma_dt_day] [$secure.xygatema.cleandb 2000-01-01 == date to start 00:00:00 == time to start 2004-08-06 == date to end 23:59:59 == time to end. ]
XYGATE Merged Audit®リファレンスマニュアル 付録 E: XMA ホストマクロ
XYPRO Technology Corporation 192 Proprietary and Confidential
この例では、XMA データベースに残存している可能性がある"はぐれた"レコードを長
時間のセッションから選択するための過去の日付が開始日に設定されます。また、
2004 年 10 月 5 日から 60 日前の 2004 年 8 月 6 日が終了日に指定されます。この結果、
60 日を超過したすべてのデータがデータベースから削除されます。
E4: EMSBUILDシステムテンプレートに基づくテンプレートファイルおよび EMSTEMP ファイルを作
成するには、EMSBUILD マクロを使用します。
E5: PARSAMPこのファイルはオーディットセッションテーブルおよびオーディット詳細テーブルを
パーティション分割する SQLCI コマンドのサンプルを含んでいます。
The PARSAMP File: -- ******************************************************************** -- ** File: PARSAMP ** -- ** This file contains samples of the commands used to partition ** -- ** an SQL Table ** -- ** Procedure: ** -- ** ========== ** -- ** 1) Modify the statements below adding the volume name. You may ** -- ** optionally enter values for EXTENTS & MAXEXTENTS. ** -- ** The default for EXTENTS is (16,64). The default unit type ** -- ** is page. The default for MAXEXTENTS is 160. ** -- ** You may add additional ALTER statements if more partitions ** -- ** are desired. ** -- ** NOTE: During XMA processing the partition key values ** -- ** assigned are 2 - 255. The value zero is omitted so ** -- ** that an empty partition can be created. The value 1 ** -- ** is reserved for conversion purposes. ** -- ** 2) Stop your XMA Pathway via XMA_MANAGER ** -- ** 3) run the macro XMA_LOAD_DEFINES ** -- ** 4) Execute the following command: ** -- ** SQLCI/in PARSAMP,out $S.#XMA.PART/ ** -- ** 5) Adding partitions will invalidate the SQL programs. ** -- ** To remedy the situation do the following: ** -- ** run $<vol>.<subvol>.xma install ** -- ** run XMA_SQLCOMPALL ** -- ** 6) Restart your XMA Pathway via the XMA_MANAGER ** -- ******************************************************************** ?Section audsession ALTER TABLE =XMA_AUDSESSIONTBL ADD PARTITION <vol1>.XMADAT.AUDSESS FIRST KEY 1 WITH DATA MOVEMENT CATALOG <vol>.XMACAT -- EXTENT <size1> -- MAXEXTENTS <int> ; ALTER TABLE =XMA_AUDSESSIONTBL ADD PARTITION <vol2>.XMADAT.AUDSESS FIRST KEY 2 WITH DATA MOVEMENT
XYGATE Merged Audit®リファレンスマニュアル 付録 E: XMA ホストマクロ
XYPRO Technology Corporation 193 Proprietary and Confidential
CATALOG <vol>.XMACAT -- EXTENT <size1> -- MAXEXTENTS <int> ?Section auddetail ALTER TABLE =XMA_AUDITDETAILTBL ADD PARTITION <vol1>.XMADAT.AUDDET FIRST KEY 1 WITH DATA MOVEMENT CATALOG <vol>.XMACAT -- EXTENT <size1> -- MAXEXTENTS <int> ; ALTER TABLE =XMA_AUDITDETAILTBL ADD PARTITION <vol2>.XMADAT.AUDDET FIRST KEY 2 WITH DATA MOVEMENT CATALOG <vol>.XMACAT -- EXTENT <size1> -- MAXEXTENTS <int> ; ALTER TABLE =XMA_AUDITDETAILTBL ADD PARTITION <vol3>.XMADAT.AUDDET FIRST KEY 101 WITH DATA MOVEMENT CATALOG <vol>.XMACAT -- EXTENT <size1> -- MAXEXTENTS <int> ;
E6: REMFINリモートノードでインストール処理を実行するには、REFMIN マクロを使用します。
このマクロは、XMA_FINISH_INSTALL に相当します。また、XMA で Safeguard トレ
イルが読み取られる場合に必要な SRLIB オブジェクトファイルの使用が許諾されます。
REMFIN を使用するには、XMA_MANAGER でインストールまたはアップグレードを
完了した後に、下記の手順を実行します。
1. リモートノードで、SUPER.SUPER としてログインします。
2. Pathway が実行されているノードで、XYGATEMA サブボリュームの REMFIN マ
クロを実行します。
構文 RUN \<system>.$<Master-XMA-vol.subvolume>.REMFIN
構文の要素は次のとおりです。
<Master-XMA-vol.subvolume>は、Pathway が実行されているノードの
XYGATEMA サブボリュームです。 例:ホストソフトウェアのアップグレードの終了 - 手順 1 RUN \NODE1.$SYSTEM.XYGATEMA.REMFIN INSTALL
XYGATE Merged Audit®リファレンスマニュアル 付録 E: XMA ホストマクロ
XYPRO Technology Corporation 194 Proprietary and Confidential
XMA の INSTALL では、TACL セグメント XMA_SEG がユーザーの TACL に追加
されます。ユーザーが TACL セグメント XMA_SEG をインストールしている場合、
XMA の INSTALL は他に影響しません。
E7: UPDSTATこのマクロでは、XMA の SQL テーブルに対して統計の更新が行われます。Netbatchで定期的な更新を実行するには、このマクロを使用します。このファイルを変更する
必要はありません。
UPDSTAT ファイルのサンプル
== routine to update statistics from a batch file ?tacl routine #frame [#if [#variableinfo /existence/ :XMA_seg] |then| == do not attach, already present |else|[#if [#fileinfo /existence/ $SECURE.XYGATEMA.XMA] |then| run $SECURE.XYGATEMA.XMA install |else| #output Unable to locate $SECURE.XYGATEMA.XMA - Update Statistics failed #unframe~;#return ]] #push #defaults #set #defaults $SECURE.XYGATEMA [#if [mamgrtcl UPDSTATS NEWDEFS -1 $system.system.sqlci & $DATAC.P28HHUTB.DBOUT] |then| #output UPDATE STATISTICS successful |else| #output UPDATE STATISTICS failed ] #unframe
XYGATE Merged Audit®リファレンスマニュアル 付録 E: XMA ホストマクロ
XYPRO Technology Corporation 195 Proprietary and Confidential
E8: XMA_AUDIT_REPORTXMA_AUDIT_REPORT は、
第 3 章で説明する XMA_REPORT マクロから呼び出され
ます。このマクロでは、[Report Selection]ペインで選択した基準で、SQLCI レポート
が生成されます。
XMA_AUDIT_REPORT マクロを使用すると、カスタムレポートを作成できます。1行に、スペースで区切って、表示順に基準を記述します。どの基準も省略しないでく
ださい。このマクロは、TACL プロンプトで OBEY ファイルとして、または SQLCIレポートで TACL マクロの一部として使用できます。いずれの場合も、バッチジョブ
にすることができます。
注:
マクロは、コマンドライン、OBEY ファイル、または TACL マクロで実行します。
すべての基準を下記の順序どおり入力する必要があります。下記の順序どおり
入力しないと、マクロは正しく機能しません。
構文:
XMA_AUDIT_REPORT <from-date> <from-time> <to-date> <to-time> <subject-user> <subject-login-name> <terminal> <system> <object-type> <object-name> <outcome> <audit-file-name> <output-filename> <sort-type> <operation> <debug> <rulename> <product-code> <alerted> <result> <messagecode> <messageid>
構文の要素は次のとおりです。
from-date レポートに含める最初の日付。YYYY-MM-DD 形式で入力しま
す。 from-time レポートに含める<from-time>の最初の時刻。HH:MM (24 時
間)形式で入力します。 to-date レポートに含める最後の日付。YYYY-MM-DD 形式で入力しま
す。 to-time レポートに含める<to-time>の最後の時刻。HH:MM (24 時間)
形式で入力します。 subject-user <group number, user number>形式のsubject useridです。
すべてのユーザーIDを含める場合は *,*
subject-login-name と指定します。
下記のいずれかを入力できます。 • <group name.username>形式の Guardian ユーザーID • Safeguard エイリアス • すべてのログイン名を表す「*」
terminal 端末名のすべてまたは一部、あるいはすべての端末名を表す
「*」。 system 有効なノード名のすべてまたは一部、あるいはすべてのノー
ド名を表す「*」。
XYGATE Merged Audit®リファレンスマニュアル 付録 E: XMA ホストマクロ
XYPRO Technology Corporation 196 Proprietary and Confidential
object-type 有効な Safeguard オブジェクトタイプのすべてまたは一部、
あるいはすべての Safeguard オブジェクトタイプを表す
「*」。 object-name 有効なオブジェクト名のすべてまたは一部、あるいはすべて
のオブジェクト名を表す「*」。 outcome ALL、SUCCESS、FAILURE、または NORECORD。 audit-file-name XMA テーブルの保存先($volume.subvol)。 output-filename スプール先およびレポート名($S.#XYGATE.XMAREP など)。 sort-type USER、LOGIN NAME、OBJECT、または TIME。 operation 有効な操作名、あるいはすべての操作名を表す「*」。 debug OFF = 0 または ON = 1 rulename すべてのルール名を表す「*」。このフィールドの内容は、
XAC コマンド および PQ グループです。
product-code カンマで区切られた 1 つ以上の製品コード。使用できませ
ん。 alerted A = ALERTED、N = NON-ALERTED、または B = BOTH。 result 「*」または指定した文字列。 messagecode すべてのメッセージコードを表す「*」。 Message ID すべてのメッセージ ID を表す「*」。
『XYGATE Configuration and Audit Reporting Reference Manual
その他のXYPROリファレンスマニュアル
』に、これらの選択
基準についての詳細が記載されています。「XYGATE Audit Report Manager (XRM)」の章の「レポートを設計する」の節を参照してください(このマニュアルを始めとする
XYPROのマニュアルを入手する方法については、本マニュアルの「
」を参照してください)。 例 1: 10>
上記のコマンドでは、下記のレポートが生成されます。
XMA_AUDIT_REPORT 2001-07-01 00:00 2001-07-01 23:59 222,* * * * USER * FAILURE $DATA.XMADAT $S.#XYGATE.XMAREP TIME * 0 * * ALL * * *
• 期間が 2001 年 7 月 1 日の 0 時~23 時 59 分までである。
• グループ 222 のすべてのユーザー(222,*)を含む。
• すべてのログイン名(*)を含む。
• すべての端末(*)を含む。
• すべてのノード(*)を含む。
• USER のオブジェクトタイプのみが選択される。
XYGATE Merged Audit®リファレンスマニュアル 付録 E: XMA ホストマクロ
XYPRO Technology Corporation 197 Proprietary and Confidential
• すべて(*)のオブジェクト名を含む。
• 失敗したアクティビティ(OUTCOME)のみを含む。
• SQL オーディットデータテーブルの保存先が$DATA.XMADAT である。
• レポート出力がスプール先 $s.#xygate.xmarep
• 時刻順でソートされる。
に送信される。
• すべての操作名(*)を含む。
• debug に OFF = 0 が設定される。
• すべてのルール名(*)を含む。
• すべての製品コード(*)を含む。
• すべてのアラートタイプ(ALL)を含む。
• すべての結果(*)を含む。
• すべての製品コード(*)を含む。
• すべてのメッセージ ID(*)を含む。
必要に応じて、TACL のアンパサンド(&)を使用すると、読みやすいように、コマンド
ラインを区切ることができます。また、下記の例 2 のとおり、TACL マクロでは、す
べての選択基準を囲んで 1 行に 1 つずつ記述するには、角カッコを使用します。 例 2:
[xma_audit_report 1 2001-07-01 == start date 2 00:00:00 == start time 3 2001-07-01 == start date 4 23:59 == start time 5 222,* == user 6 * == login name 7 * == terminal 8 * == system 9 USER == object type
10 * == object name 11 FAILURE == outcome 12 $data.xmatbls == audit pool subvol 13 $s.#xygate.xmarep == output location 14 time == sort order 15 * == operation 16 0 == debug 17 * == rulename 18 * == product code 19 ALL == ALERTED (A,N,B) 20 * == result 21 * == Messagecode 22 * == Messageid
]
注: サンプルレポートマクロREPMACが、XMAサブボリュームに存在します。
XYGATE Merged Audit®リファレンスマニュアル 付録 E: XMA ホストマクロ
XYPRO Technology Corporation 198 Proprietary and Confidential
日付範囲を除いて、いずれかの選択基準に複数の値を指定する場合は、スペー
スを含まないカンマ区切り値を指定する必要があります。たとえば、
USER.FRED,USER.BILL,USER.JOE です。
NOT 演算子を許可するオプションの場合、NOT の後はカンマ(スペースなし)である必
要があります。たとえば、USER.FRED,USER.BILL,NOT,USER.JOE です。
E9: XMA_DATETIME_MAKEXMA_DATETIME_MAKE マクロでは、入力した<days>と同じ過去の日付が計算され
ます。また、日付を計算し、カスタマイズした XMA レポートに含む日付範囲を作成
できます。
たとえば、「7」と入力すると、現在の日付の 7 日前の日付が計算されます。「30」または「31」と入力すると、1 か月前の日付が計算されます。最大 3,000 日前まで入
力できます。
このマクロをコマンドラインで実行するか、TACLマクロまたはSQLCIレポートで使
用すると、アドホックジョブまたはバッチジョブを作成できます。下記の例では、こ
のマクロが 2 回実行されます。1 回目では 7 日前の日付が計算(6 行目)され、2 回目で
は 1 日前の日付が計算(8 行目)されます。この 2 つの値はまとめられ、10 行目からの
XMA_AUDIT_REPORTマクロに、レポートを生成する選択基準として渡されま
す。
この例では、過去 7 日間で失敗した操作のレポートが生成されます。このレポートは
時刻順でソートされ、スプール先が$S.#XYGATE.XMAREP であるスプーラーに書き
込まれます。
-hoc
構文: XMA_DATETIME_MAKE <# days in the past>
例:(TACL マクロ内) ?tacl macro #frame [#push t_t1 ] xma_datetime_make 7 #set t_t1 [xma_dt_year4]-[xma_dt_month]-[xma_dt_day] 00:00 xma_datetime_make 1 #set t_t1 [t_t1] [xma_dt_year4]-[xma_dt_month]-[xma_dt_day] 23:59 [xma_audit_report [t_t1] == date range *.* == user == login name == terminal == system == objecttype == object name FAIL == outcome $DATA.XMATBLS == XMA audit subvol
6
8
10
XYGATE Merged Audit®リファレンスマニュアル 付録 E: XMA ホストマクロ
XYPRO Technology Corporation 199 Proprietary and Confidential
$S.#xygate.xmarep == output location TIME == sort order == operation == debug == rulename ] #unframe
文字 T は現在の日付を表します。下記の例では、現在の日付のレポートが生成されま
す。
例: ?tacl macro #frame [#push t_t1 ] xma_datetime_make t #set t_t1 [xma_dt_year4]-[xma_dt_month]-[xma_dt_day] 00:00 xma_datetime_make t #set t_t1 [t_t1] [xma_dt_year4]-[xma_dt_month]-[xma_dt_day] 23:59 [xma_audit_report [t_t1] == date range *.* == user == login name == terminal == system == objecttype == object name ALL == outcome $DATA.XMATBLS == XMA audit subvol $S.#xygate.xmarep == output location TIME == sort order == operation == debug == rulename ] #unframe $DATA MAWORK 10> run xma1day SQL Conversational Interface - T9191D46 - (31MAR01) COPYRIGHT HP COMPUTER CORPORATION 1987-2001 --- 15628 row(s) selected. End of SQLCI Session
E10: XMA_DBVOLUMEXMA_DBVOLUME コマンドでは、SQL データベースのボリュームおよびサブボリュ
ームに移動します。
構文 XMA_DBVOLUME
XYGATE Merged Audit®リファレンスマニュアル 付録 E: XMA ホストマクロ
XYPRO Technology Corporation 200 Proprietary and Confidential
E11: XMA_EDIT_FILTERSXMA_EDIT_FILTERS マクロでは、ユーザーが FILTERS ファイルのコピーを編集し、
本番環境にロードできます。
構文 XMA_EDIT_FILTERS
XMA_EDIT_FILTERS の例 $SECURE XYGATEMA 16>
xma_edit_FILTERs
This file edits the current XYGATE-ACCESS-CONTROL access control list. It will create a file named $SYSTEM.XYGATEMA.NEWFILT from the current $SYSTEM.XYGATEMA.FILTERS file. These are your old $SYSTEM.XYGATEMA.FILTERS files: $SYSTEM.XYGATEMA CODE EOF LAST MODIFIED OWNER RWEP PExt SExt OLDFILT0 101 6424 12JUL2001 11:03 222,210 NUUU 8 32 FILES DUPLICATED: 1 TEXT EDITOR - T9601D20 - (01JUN93) CURRENT FILE IS $SYSTEM.XYGATEMA.NEWFILT [Make the desired changes to NEWFILT] exit Checking for SYNTAX errors in the NEWFILT XMA 1.71 (c) 1999-2010 XYPRO XYPRO Technology \PROD1 20011231 FILTERS CHECKSUM 1243425871 No syntax errors found Do you want to install the new Filters?FILES DUPLICATED: 1
y
Last generation is $SYSTEM.XYGATEMA.oldfilt1 FILTERS file is updated to NEWFILT contents $SECURE XYGATEMA 17>
この例では、FILTERS ファイルのコピーNEWFILT が作成されます。エディターが起
動され、NEWFILT ファイルが変更されます。
エディターセッションが終了すると、更新済みの NEWFILT ファイルに構文チェック
が実行されます。エラーが検出されなかったため、本番環境の FILTERS ファイルを
NEWFILT ファイルに置き換える必要があるかどうかを確認するプロンプトが表示さ
れます。
また、プロンプトに Yesと応答したため、FILTERSファイルの名前がOLDFILT1 に変
更され、NEWFILTファイルの名前がFILTERSに変更されます。
XYGATE Merged Audit®リファレンスマニュアル 付録 E: XMA ホストマクロ
XYPRO Technology Corporation 201 Proprietary and Confidential
注:
FILTERS ファイルを更新した後は、サーバープロセスを停止および再起動する
必要はありません。MOVER サーバークラスプログラムでは、FILTERS ファイ
ルのタイムスタンプが定期的にチェックされ、更新済みのファイルが必要に応
じて読み取られます。
MOVERサーバークラスでは、起動時にFILTERSファイルが読み取られます。
MOVERサーバークラスオブジェクトの起動中に構文エラーが発生すると、エ
ラーメッセージが表示され、MOVERサーバークラスが異常終了します。
実行中の MOVER サーバークラスオブジェクトで更新済みの FILTERS ファイ
ルにエラーが検出されると、エラーメッセージが表示されますが、MOVER サ
ーバークラスオブジェクトは異常終了しません。MOVER サーバークラスオブ
ジェクトでは、エラーが存在しない新しい FILTERS ファイルが検出されるまで、
エラーが存在しない最後の FILTERS ファイルの情報が使用されます。
E12: XMA_FILTERS_CHECKXMA_FILTERS_CHECK マクロでは、FILTERS ファイルの内容が処理されます。各
キーワードおよび引数が読み取られ、XMA の FILTERS ファイルの構文に準拠してい
るかどうかが確認されます。エラーが検出されると、エラーの内容および行番号が表
示されます。MAIL_BODY キーワードの行番号が構文エラーと同時に表示された場合、
エラーはキーワードで指定したファイルに存在する可能性があります。
マクロのファイル名を入力しないと、本番環境の FILTERS ファイルのみがチェック
されます。本番環境以外の FILTERS ファイルをチェックする場合は、テスト環境の
FILTERS ファイルのファイル名を入力する必要があります。
注:
構文
STATUSがINACTIVEであるすべてのフィルター定義で構文エラーがチェックさ
れます。
XMA_FILTERS_CHECK [FILTERS file name]
以下の例 1 では、ファイル名を入力していないため、本番環境の FILTERS ファイル
がチェックされます。構文エラーは検出されません。
例 1 $SECURE XYGATEMA 5> $SECURE XYGATEMA 5..
xma_FILTERs_check
XMA 1.71 (c) 1999-2010 XYPRO XYPRO Technology \PROD1 20011231 FILTERS CHECKSUM 1243425871 No syntax errors found
以下の例 2 では、ファイル名 oldfilt0 を指定しています。構文エラーは検出されません。
例 2 $SECURE XYGATEMA 7> XMA 1.71 (c) 1999-2010 XYPRO XYPRO Technology \PROD1 20011231
xma_FILTERs_check oldfilt0
XYGATE Merged Audit®リファレンスマニュアル 付録 E: XMA ホストマクロ
XYPRO Technology Corporation 202 Proprietary and Confidential
FILTERS CHECKSUM 806046516 No syntax errors found
以下の例 3 では、ファイル名 oldfilt0 を指定しています。この場合は、16 行目でエラ
ーが検出されます。OVER_BEGIN は、MOVER_BEGIN の誤りです。この誤りを修正
すると、16 行目および関連の 17~20 行目がエラーとして表示されません。この原因
は、MOVER_END および MOVER_BEGIN キーワードで MOVER の選択基準セット
が定義されるためです。FILTERS ファイルの構文の詳細については、第 2 章「フィル
ターと FILTERS ファイルの構成」(27 ページ~)を参照してください。
例 3 $DATAA P28HHITM 20> $DATAA P28HHITM 20..
xma_FILTERs_Check oldfilt0
XMA 1.71 (c) 1999-2010 XYPRO XYPRO Technology \PROD1 20011231 FILTERS line 16 Unexpected token (OVER_BEGIN) FILTERS line 17 Unexpected token (MOVER_SELECT_BEGIN) FILTERS line 18 Unexpected token (PRODUCT) FILTERS line 19 Unexpected token (MOVER_SELECT_END) FILTERS line 20 Unexpected token (MOVER_END) Syntax errors found
注:
FILTERS ファイルを更新した後は、サーバープロセスを停止および再起動する
必要はありません。MOVER サーバークラスプログラムでは、FILTERS ファイ
ルのタイムスタンプが定期的にチェックされ、更新済みのファイルが必要に応
じて読み取られます。
MOVERサーバークラスでは、起動時にFILTERSファイルが読み取られます。
MOVERサーバークラスオブジェクトの起動中に構文エラーが発生すると、エ
ラーメッセージが表示され、MOVERサーバークラスが異常終了します。
実行中の MOVER サーバークラスオブジェクトで更新済みの FILTERS ファイ
ルにエラーが検出されると、エラーメッセージが表示されますが、MOVER サ
ーバークラスオブジェクトは異常終了しません。MOVER サーバークラスオブ
ジェクトでは、エラーが存在しない新しい FILTERS ファイルが検出されるまで、
エラーが存在しない最後の FILTERS ファイルの情報が使用されます。
XYGATE Merged Audit®リファレンスマニュアル 付録 E: XMA ホストマクロ
XYPRO Technology Corporation 203 Proprietary and Confidential
E13: XMA_INSTALL_LICENSEXMA_INSTALL_LICENSE マクロでは、XMA のセキュリティ管理者が新規に取得した
ライセンスファイルをチェックし、XMA がインストールされたボリュームおよびサブ
ボリュームの P28F001 にオプションでロードできます。新しいライセンスをロード
すると、XMA では現在のライセンスファイルの名前が変更され、新しいライセンスが
インストールされます。マスターノードに新しいライセンスをインストールすると、
XMA_NETWORK_LICENSE_INSTALL で、すべての子ノードでライセンスを更新で
きます。
構文: xma_install_license <new license name>
下記の例は、ライセンスファイル IP28F001 の検証およびインストールプロンプトを
表します。新しいライセンスが P28F001 としてインストールされると、古いライセ
ンスファイルの名前は XMA42444 に変更されます。新しいライセンスに問題がある場
合は、古いライセンスファイル(名前変更済み)をフォールバックに使用できます。古
いライセンスを元に戻すには、2 つのファイルの名前を変更するだけです。
例 $SECURE XYGATEMA 9> Xypro license check XYPRO Technology \PROD1 20011231
xma_install_license $WORK.p28dsdst.ip28f001
XYPRO Technology P28-0026 20011231 \PROD2(252) \PROD3(254) \PROD1(253) --BEGIN XYPRO SIGNATURE PUBLIC-KEY: LICENSE-CREATE: 20010614-092901 CUSTOMER-NAME: XYPRO Technology CUSTOMER-NUMBER: 0026 PRODUCT: XYGATE-MA 20011231 NODE: \PROD2 0252 NODE: \PROD3 0254 NODE: \PROD1 0253 License good Do you want to install this license file <YES>?y FILES DUPLICATED: 1 New license installed, old license in $SYSTEM.XYGATEMA.XMA42444
E14: XMA_LOAD_DEFINES XMA_LOAD_DEFINES マクロでは、SQL データベースの定義がロードされます。
定義のロードの例: 17> Adding MA DATABASE defines ...
xma_load_defines
Deleting MA DATABASE defines ... Finished Deleting MA DATABASE defines Finished adding MA DATABASE defines 18>
XYGATE Merged Audit®リファレンスマニュアル 付録 E: XMA ホストマクロ
XYPRO Technology Corporation 204 Proprietary and Confidential
E15: XMA_NETWORK_FILTERS_CHECKXMA_NETWORK_FILTERS_CHECK マクロでは、ノードごとの FILTERS ファイルの
構文チェックが実行されて、ノード固有の処理による差異がテストされます。
例: > $SEC XYGATEMA XMA_NETWORK_FILTERS_CHECK
Checking syntax of $SEC.XYGATEMA.FILTERS locally XYGATEMA 1.71 (c) 1999-2010 XYPRO XYPRO Technology \PROD 20991231 FILTERS CHECKSUM 860818265 (\PROD.$SEC.XYGATEMA.FILTERS) No syntax errors found Checking syntax of $SEC.XYGATEMA.FILTERS from \PROD2.$SEC.XMAOBJ using EMSMOVE XYGATEMA 1.71 (c) 1999-2010 XYPRO XYPRO Technology \PROD2 20991231 FILTERS CHECKSUM 860818265 ($SEC.XYGATEMA.FILTERS) No syntax errors found
E16: XMA_NETWORK_LICENSE_INSTALLXMA_NETWORK_LICENSE_INSTALL マクロでは、ライセンスファイルがメインの
XMA インストールサブボリュームからすべてのリモートノードに伝達されます。
XMA_INSTALL_LICENSE でメインのインストールサブボリュームに更新済みのライ
センスファイル(P28F001)を最初にインストールする必要があります。
例:リモートノードの製品ライセンスの更新方法 5>
XMA_NETWORK_LICENSE_INSTALL
Installing $SECURE.XYGATEMA.P28F001 on the remote systems License \NODE2.$SECURE.TMAOBJ.P28F001 installed $VTLH XYGATEMA 6>
E17: XMA_NETWORK_VERSIONXMA_NETWORK_VERSION マクロは、XMA_VERSION マクロのネットワークバー
ジョンです。このマクロを実行すると、メインの XMA サブボリュームのプログラム
がリモートノードのプログラムと比較されます。また、ライセンスファイルがチェッ
クされます。期限切れのライセンスまたは非同期のモジュールが検出されると、メッ
セージが表示されます。
ライセンスファイルを同期するには、XMA_NETWORK_LICENSE_INSTALLマクロを
使用します。プログラムを同期するには、[Movers Management Menu]のオプション
15:Synchronize object filesを使用します。第 4.4 節「Movers Management Menu」(85 ページ)を参照してください。
XYGATE Merged Audit®リファレンスマニュアル 付録 E: XMA ホストマクロ
XYPRO Technology Corporation 205 Proprietary and Confidential
E18: XMA_PWCOLDこのマクロでは、XMA Pathway の設定サブボリューム(XMAPW)の PWCONFIG およ
び PWSTATE ファイルに含まれた Pathway の設定情報で、Pathway が初期化および
起動されます。
これにより、XMA PathwayのすべてのMOVERを、指定した日時から起動できます。
このオプションは、XMA_PWCOLDまたはXMA_PWCOOLを使用する場合に、または
XMAPWサブボリュームからPWCOLDまたはPWCOOLを実行する場合に、[Pathway Management Menu] (83 ページ)から利用できます。会話型で、または入力パラメータ
ーを使用して、マクロを実行できます。
構文: PWCOOL (-1|##|yyyy-mm-dd:00:00:00.000000)
PWCOLD (-1|##|yyyy-mm-dd:00:00:00.000000)
入力内容は次のとおりです。
–1 = 最後に処理したファイルから開始する。
## =ある日数前から開始する(1 以上を入力する)。
yyyy-mm-dd:00:00:00.000000 = 特定の日時から開始する。
例:
上記の例では、すべての MOVER が 2011 年 3 月 1 日の最初からレコードの読み取り
を開始します。
PWCOOL 2011-03-01:00:00:00.000000
注:
E19:
OBEYファイルまたは別のマクロからPWCOOLまたはPWCOLDを使用する場
合は、マクロを変更して起動パラメータ―を指定することもできます。変更し
ないと、会話型モードでマクロが実行されます。
XMA_PWCOOLこのマクロでは、XMA Pathwayが最後のシャットダウン時の設定で再起動します。上
記の
XMA_PWCOLDを参照してください。
E20: XMA_PWSTOPこのマクロでは、サーバークラスがフリーズおよび停止し、PATHMON プロセスが
PATHCOM のシャットダウンコマンドで停止します。また、Pathway の設定情報が
PWSTATE ファイルに保存されます。PWSTATE ファイルの情報は、Pathway の再起
動時に使用されます。
XYGATE Merged Audit®リファレンスマニュアル 付録 E: XMA ホストマクロ
XYPRO Technology Corporation 206 Proprietary and Confidential
E21: XMA_PWVOLUMEこのマクロでは、Pathway の設定情報を含むサブボリュームに移動します。
E22: XMA_SQLCOMPALLXMA_SQLCOMPALL マクロでは、必須のすべての XMA オブジェクトファイルがマス
ター(Pathway)ノードおよび従属(リモート)ノードでコンパイルされます。何らかの原
因でオブジェクトファイルを再コンパイルする必要がある場合は、このマクロを実行
します。
オブジェクトファイルを(再)コンパイルする前に、Pathway を停止する必要がありま
す。
例 1:すべての XMA オブジェクトのコンパイル方法 $SECURE XYGATEMA 13> $SECURE XYGATEMA 13..
XMA_sqlcompall
Deleted MA DATABASE defines Added MA DATABASE defines Updating Database statistics ... SQLComping XYGATE SQLCI .. Running $system.system.sqlcomp /in $SECURE.XYGATEMA.XYSQLCI, out $SECURE.XMADAT.DBOUT / catalog $SECURE.XMACAT SQLComping Mamgrc .. Running $system.system.sqlcomp /in $SECURE.XYGATEMA.MAMGRC, out $SECURE.XMADAT.DBOUT/ catalog $SECURE.XMACAT SQLComping XYMOVE .. Running $system.system.sqlcomp /in $SECURE.XYGATEMA.XYMOVE, out $SECURE.XMADAT.DBOUT/ catalog $SECURE.XMACAT SQLComping B24MOVE .. Running $system.system.sqlcomp /in $SECURE.XYGATEMA.B24MOVE, out $SECURE.XMADAT.DBOUT / catalog $SECURE.XMACAT SQLComping MEASMOVE .. Running $system.system.sqlcomp /in $SECURE.XYGATEMA.MEASMOVE, out $SECURE.XMADAT.DBOU T/ catalog $SECURE.XMACAT SQLComping SFGMOVE .. Running $system.system.sqlcomp /in $SECURE.XYGATEMA.SFGMOVE, out $SECURE.XMADAT.DBOUT / catalog $SECURE.XMACAT SQLComping EMSMOVE .. Running $system.system.sqlcomp /in $SECURE.XYGATEMA.EMSMOVE, out $SECURE.XMADAT.DBOUT / catalog $SECURE.XMACAT SQLComping XYGATEMA .. Running $system.system.sqlcomp /in $SECURE.XYGATEMA.XYGATEMA, out $SECURE.XMADAT.DBOU T/ catalog $SECURE.XMACAT SQLComping ARCHIVE .. Running $system.system.sqlcomp /in $SECURE.XYGATEMA.ARCHIVE, out $SECURE.XMADAT.DBOUT / catalog $SECURE.XMACAT SQLComping MADELDBC ..
XYGATE Merged Audit®リファレンスマニュアル 付録 E: XMA ホストマクロ
XYPRO Technology Corporation 207 Proprietary and Confidential
Running $system.system.sqlcomp /in $SECURE.XYGATEMA.MADELDBC, out $SECURE.XMADAT.DBOU T/ catalog $SECURE.XMACAT SQLComping HKEEPER .. Running $system.system.sqlcomp /in $SECURE.XYGATEMA.HKEEPER, out $SECURE.XMADAT.DBOUT / catalog $SECURE.XMACAT SQLComping MQREADER .. Running $system.system.sqlcomp /in $SECURE.XYGATEMA.MQREADER, out $SECURE.XMADAT.DBOU T/ catalog $SECURE.XMACAT Copying XYGATESR to \XYS7000.$SECURE.XMAOBJ.XYGATESR ... FILES DUPLICATED: 1 Copying SFGMOVE to \XYS7000.$SECURE.XMAOBJ.SFGMOVE ... FILES DUPLICATCopying XYMOVE to \XYS7000.$SECURE.XMAOBJ.XYMOVE ... WARNING - \XYS7000.$SECURE.XMAOBJ.XYMOVE: SQL RECOMPILATION REQUIRED.FGMOVE, out \ FILES DUPLICATED: 1.zz000000/ catalog \XYS7000.$SECURE.XMACAT Running \XYS7000.$system.system.sqlcomp /in \XYS7000.$SECURE.XMAOBJ.XYMOVE, out \X YS7000.$SECURE.XMAOBJ.zz000000/ catalog \XYS7000.$SECURE.XMACAT Copying EMSMOVE to \XYS7000.$SECURE.XMAOBJ.EMSMOVE ... WARNING - \XYS7000.$SECURE.XMAOBJ.EMSMOVE: SQL RECOMPILATION REQUIRED. FILES DUPLICATED: 1 Running \XYS7000.$system.system.sqlcomp /in \XYS7000.$SECURE.XMAOBJ.EMSMOVE, out \ XYS7000.$SECURE.XMAOBJ.zz000000/ catalog \XYS7000.$SECURE.XMACAT Copying LICCHK to \XYS7000.$SECURE.XMAOBJ.LICCHK ... FILES DUPLICATED: 1 Command completed successfully All SQLCOMPs completed successfully. STOPPED: $Z1RX CPU time: 0:00:00.008
重要:
マルチモードのインストール時、XMA_SQLCOMPALLのFUPにおいて、リモ
ートシステムのXYGATESRオブジェクトファイルの方が古ければXYGATESRおよび
SRLIBオブジェクトファイルがすべてのリモートシステムに複製されますが、SRLIBオブジェクトファイルはライセンスされません。SUPER.SUPERとしてログインし、
REMFINマクロを実行する必要があります。
XYGATE Merged Audit®リファレンスマニュアル 付録 E: XMA ホストマクロ
XYPRO Technology Corporation 208 Proprietary and Confidential
E23: XMA_SYNTAX_CHECKこの構文チェックマクロでは、3 つのすべてのファイル名を指定すると、FILTERS フ
ァイルの構文チェックが実行されます。ファイル名を指定しないと、MACONF およ
び MAACL ファイルのみが検証されます。
FILTERSファイルのみをチェックする場合は、このマクロではなくXMA_FILTERS_CHECKマクロを使用します。
構文: XMA_SYNTAX_CHECK [MAACL][maconf-filename>][filter-filename>]
構文の内容は次のとおりです。
maconf- filename MACONF キーワードを含むファイルの名前。名前を入力しないと、
MACONF ファイルがチェックされます。
filter-filename FILTERS キーワードを含むファイルの名前。
[MAACL] 将来使用するファイル名のプレースホルダー。
下記の例 1 はファイル名を指定しないエントリを表します。XMA では、本番環境の
MACONF および MAACL ファイルをチェックすると見なされます。FILTERS ファイ
ルはチェックされません。
例 1:MACONF および MAACL ファイルのみの構文チェックのサンプル $SYSTEM.XYGATEMA 12> XMA 1.71 (c) 1999-2010 XYPRO XYPRO Technology \PROD1 20011231
xma_syntax_check
MACONF CHECKSUM 1327383573 MAACL CHECKSUM 705650498 No Syntax errors found $SYSTEM.XYGATEMA 13>
例 2 は、3 つのすべてのファイル名を指定するエントリを表します。この例では、
MAACL、TSTCONF、および TESTFILT ファイルの構文チェックが実行されます。
例 2:MAACL、TSTCONF、および TESTFILT ファイルの構文チェックのサンプル
XMA_SYNTAX_CHECK MAACL TSTCONF TESTFILT
XYGATE Merged Audit®リファレンスマニュアル 付録 E: XMA ホストマクロ
XYPRO Technology Corporation 209 Proprietary and Confidential
E24: XMA_UPDATE_FILTERSXMA_UPDATE_FILTERS マクロでは、現在の FILTERS ファイルの名前が OLDFILTに変更され、NEWFILT ファイルは名前が FILTERS に変更されて本番環境にインスト
ールされます。
構文 xma_update_FILTERs
下記の例 1 では、XMA_UPDATE_FILTERS マクロで NEWFILT ファイルが検索され
ます。NEWFILT ファイルが存在する場合は、本番環境の FILTERS ファイルの名前が
OLDFILT2 に変更され、NEWFILT ファイルの名前が FILTERS に変更されます。 例 1 $SYSTEM P28HHITM 29> $SYSTEM P28HHITM 29..
xma_update_FILTERs
FILES DUPLICATED: 1 Last generation is $SYSTEM.XYGATEMA.oldfilt2 FILTERS file is updated to NEWFILT contents $SECURE XYGATEMA 30>
下記の例 2 では、XMA_UPDATE_FILTERS マクロで NEWFILT ファイルが検索され
ます。NEWFILT ファイルが存在しないため、エラーメッセージが表示されます。 例 2 $DATAA P28HHITM 33> NEWFILT file is not available -- try again.
xma_update_FILTERs
注:
FILTERS ファイルを更新した後は、サーバープロセスを停止および再起動する
必要はありません。MOVER サーバークラスプログラムでは、FILTERS ファイ
ルのタイムスタンプが定期的にチェックされ、更新済みのファイルが必要に応
じて読み取られます。実行中の MOVER サーバークラスオブジェクトで更新済
みの FILTERS ファイルにエラーが検出されると、エラーメッセージが表示され
ますが、MOVER サーバークラスオブジェクトは異常終了しません。
MOVERサーバークラスでは、起動時にFILTERSファイルが読み取られます。
MOVERサーバークラスオブジェクトの起動中に構文エラーが発生すると、エ
ラーメッセージが表示され、MOVERサーバークラスが異常終了します。
MOVER サーバークラスオブジェクトでは、エラーが存在しない新しい
FILTERS ファイルが検出されるまで、エラーが存在しない最後の FILTERS フ
ァイルの情報が使用されます。
XYGATE Merged Audit®リファレンスマニュアル 付録 E: XMA ホストマクロ
XYPRO Technology Corporation 210 Proprietary and Confidential
E25: XMA_VERSIONXMA_VERSION マクロでは、マスターノードにインストールされた XMA のバージョ
ン情報およびライセンス情報が表示されます。XMA_NETWORK_VERSION マクロで
は、子ノードにインストールされた XMA のバージョン情報およびライセンス情報が
表示されます。
$SECURE XYGATEMA 3> xma_version This is version 1.00 of XYGATEMA Xypro license check XYPRO Technology \PROD1 20011231 XYPRO Technology P28-0026 20011231 \PROD2(252) \PROD3(254) \PROD1(253) --BEGIN XYPRO SIGNATURE PUBLIC-KEY: LICENSE-CREATE: 20010614-092901 CUSTOMER-NAME: XYPRO Technology CUSTOMER-NUMBER: 0026 PRODUCT: XYGATE-MA 20011231 NODE: \PROD2 0252 NODE: \PROD3 0254 NODE: \PROD1 0253 License good VPROC - T9617G03 - (30 MAR 1999) SYSTEM \PROD1 Date 13 JUL 2001, 09:39:54 COPYRIGHT TANDEM COMPUTERS INCORPORATED 1986 - 1995 $SYSTEM.XYGATEMA.XYGATEMA Binder timestamp: 11JUL2001 19:45:50 Version procedure: T9999D30_P28_XYGATEMA_100 Target CPU: TNS, TNS/R AXCEL timestamp: 11JUL2001 20:21:23
E26: XMA_VOLUMEXMA_VOLUME マクロでは、XMA インストールサブボリュームに移動します。
構文 XMA_VOLUME
XYPRO Technology Corporation 211 Proprietary and Confidential
付録F: TCLEXC
DATAFILTERTYPE = MACROFILTER を指定する場合は、下記の構造体を使用します。
この構造体のデータは、ALERT オプション RUNCMD を指定する場合も、使用できま
す。この情報は親ノードの XMA インストールサブボリュームの TCLEXC ファイルに
含まれています。
== SCHEMA PRODUCED DATE - TIME : 4/11/2001 - 17:09:16 == Definition MAPRODUCT created on 04/11/2001 at 17:09 ?Section MAPRODUCT Struct Begin STRUCT PRODUCTCODE; BEGIN CHAR BYTE(0:9); END; STRUCT PRODUCTNAME; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:49); END; End; End; == Definition MAINSTALL created on 04/11/2001 at 17:09 ?Section MAINSTALL Struct Begin STRUCT RECORDINSTALLKEY; BEGIN CHAR BYTE(0:25); END; STRUCT PRODUCTCODE; BEGIN CHAR BYTE(0:9); END; STRUCT IPADDRESS; Begin INT INDICATOR; STRUCT VALU; BEGIN CHAR BYTE(0:15); END; End; STRUCT SYSTEMNAME; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:63); END; End; STRUCT LOCATION; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:127); END; End; STRUCT DNSNAME; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:99); END; End; End;
XYGATE Merged Audit®リファレンスマニュアル 付録 F: TCLEXC
XYPRO Technology Corporation 212 Proprietary and Confidential
End; == Definition MASESSION created on 04/11/2001 at 17:09 ?Section MASESSION Struct Begin STRUCT RECORDSESSIONKEY; BEGIN CHAR BYTE(0:25); END; STRUCT RECORDINSTALLKEY; BEGIN CHAR BYTE(0:25); END; STRUCT SESSIONID; BEGIN CHAR BYTE(0:35); END; CHAR FOUNDSESSIONSTART; CHAR FOUNDSESSIONEND; STRUCT IPADDRESS; Begin INT INDICATOR; STRUCT VALU; BEGIN CHAR BYTE(0:15); END; End; STRUCT SESSIONNAME; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:39); END; End; End; STRUCT PROCESSTHREADID; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:49); END; End; End; STRUCT PROCESSTHREADID2; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:49); END; End; End; STRUCT CLIENTPROGRAM; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:49); END; End; End; STRUCT ANCESTORPROCESSTHREADID; Begin INT INDICATOR;
XYGATE Merged Audit®リファレンスマニュアル 付録 F: TCLEXC
XYPRO Technology Corporation 213 Proprietary and Confidential
STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:49); END; End; End; STRUCT DNSNAME; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:99); END; End; End; STRUCT CLIENTCURRDIR; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:199); END; End; End; End; == Definition MAAUDIT created on 04/11/2001 at 17:09 ?Section MAAUDIT Struct Begin STRUCT RECORDGMT; BEGIN CHAR BYTE(0:25); END; STRUCT GMTSEQNO; BEGIN CHAR BYTE(0:1); END; STRUCT RECORDLCT; BEGIN CHAR BYTE(0:25); END; STRUCT RECORDAUDITKEY; BEGIN CHAR BYTE(0:25); END; STRUCT RECORDSESSIONKEY; BEGIN CHAR BYTE(0:25); END; STRUCT SEQNO; BEGIN CHAR BYTE(0:8); END; CHAR OUTCOME; CHAR WARNINGMODE; CHAR TESTMODE; CHAR ALERTED; CHAR SEVERITY; STRUCT PRODUCTCODE; Begin INT INDICATOR; STRUCT VALU; BEGIN CHAR BYTE(0:9); END; End; STRUCT SUBJECT^USERNUMBER^MAJOR; Begin INT INDICATOR; STRUCT VALU; BEGIN CHAR BYTE(0:7); END; End; STRUCT SUBJECT^USERNUMBER^MINOR;
XYGATE Merged Audit®リファレンスマニュアル 付録 F: TCLEXC
XYPRO Technology Corporation 214 Proprietary and Confidential
Begin INT INDICATOR; STRUCT VALU; BEGIN CHAR BYTE(0:7); END; End; STRUCT TARGET^USERNUMBER^MAJOR; Begin INT INDICATOR; STRUCT VALU; BEGIN CHAR BYTE(0:7); END; End; STRUCT TARGET^USERNUMBER^MINOR; Begin INT INDICATOR; STRUCT VALU; BEGIN CHAR BYTE(0:7); END; End; STRUCT SUBJECTLOGIN; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:39); END; End; End; STRUCT SUBJECTSYSTEM; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:63); END; End; End; STRUCT TARGETLOGIN; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:39); END; End; End; STRUCT OBJECTTYPE; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:31); END; End; End; STRUCT OBJECTNAME; Begin INT INDICATOR; STRUCT VALU;
XYGATE Merged Audit®リファレンスマニュアル 付録 F: TCLEXC
XYPRO Technology Corporation 215 Proprietary and Confidential
Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:199); END; End; End; STRUCT OPERATION; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:127); END; End; End; STRUCT TERMINAL; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:63); END; End; End; STRUCT MESSAGEID; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:19); END; End; End; STRUCT MESSAGECODE; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:19); END; End; End; STRUCT RULENAME; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:49); END; End; End; STRUCT RESULT; Begin INT INDICATOR; STRUCT VALU; Begin
XYGATE Merged Audit®リファレンスマニュアル 付録 F: TCLEXC
XYPRO Technology Corporation 216 Proprietary and Confidential
INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:255); END; End; End; End; STRUCT USER^DATA; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:15); END; End; End; End; == Definition TACLCMD created on 04/11/2001 at 17:09 ?Section TACLCMD Struct Begin STRUCT RUNMODE; BEGIN CHAR BYTE(0:9); END; STRUCT COMMAND; BEGIN CHAR BYTE(0:511); END; STRUCT PRODUCT; Begin STRUCT PRODUCTCODE; BEGIN CHAR BYTE(0:9); END; STRUCT PRODUCTNAME; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:49); END; End; End; STRUCT INSTALL; Begin STRUCT RECORDINSTALLKEY; BEGIN CHAR BYTE(0:25); END; STRUCT PRODUCTCODE; BEGIN CHAR BYTE(0:9); END; STRUCT IPADDRESS; Begin INT INDICATOR; STRUCT VALU; BEGIN CHAR BYTE(0:15); END; End; STRUCT SYSTEMNAME; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:63); END; End; STRUCT LOCATION; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:127); END; End; STRUCT DNSNAME; Begin
XYGATE Merged Audit®リファレンスマニュアル 付録 F: TCLEXC
XYPRO Technology Corporation 217 Proprietary and Confidential
INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:99); END; End; End; End; STRUCT SESSION; Begin STRUCT RECORDSESSIONKEY; BEGIN CHAR BYTE(0:25); END; STRUCT RECORDINSTALLKEY; BEGIN CHAR BYTE(0:25); END; STRUCT SESSIONID; BEGIN CHAR BYTE(0:35); END; CHAR FOUNDSESSIONSTART; CHAR FOUNDSESSIONEND; STRUCT IPADDRESS; Begin INT INDICATOR; STRUCT VALU; BEGIN CHAR BYTE(0:15); END; End; STRUCT SESSIONNAME; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:39); END; End; End; STRUCT PROCESSTHREADID; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:49); END; End; End; STRUCT PROCESSTHREADID2; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:49); END; End; End; STRUCT CLIENTPROGRAM; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN;
XYGATE Merged Audit®リファレンスマニュアル 付録 F: TCLEXC
XYPRO Technology Corporation 218 Proprietary and Confidential
STRUCT VAL; BEGIN CHAR BYTE(0:49); END; End; End; STRUCT ANCESTORPROCESSTHREADID; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:49); END; End; End; STRUCT DNSNAME; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:99); END; End; End; STRUCT CLIENTCURRDIR; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:199); END; End; End; End; STRUCT AUDIT; Begin STRUCT RECORDGMT; BEGIN CHAR BYTE(0:25); END; STRUCT GMTSEQNO; BEGIN CHAR BYTE(0:1); END; STRUCT RECORDLCT; BEGIN CHAR BYTE(0:25); END; STRUCT RECORDAUDITKEY; BEGIN CHAR BYTE(0:25); END; STRUCT RECORDSESSIONKEY; BEGIN CHAR BYTE(0:25); END; STRUCT SEQNO; BEGIN CHAR BYTE(0:8); END; CHAR OUTCOME; CHAR WARNINGMODE; CHAR TESTMODE; CHAR ALERTED; CHAR SEVERITY; STRUCT PRODUCTCODE; Begin INT INDICATOR; STRUCT VALU; BEGIN CHAR BYTE(0:9); END; End; STRUCT SUBJECT^USERNUMBER^MAJOR;
XYGATE Merged Audit®リファレンスマニュアル 付録 F: TCLEXC
XYPRO Technology Corporation 219 Proprietary and Confidential
Begin INT INDICATOR; STRUCT VALU; BEGIN CHAR BYTE(0:7); END; End; STRUCT SUBJECT^USERNUMBER^MINOR; Begin INT INDICATOR; STRUCT VALU; BEGIN CHAR BYTE(0:7); END; End; STRUCT TARGET^USERNUMBER^MAJOR; Begin INT INDICATOR; STRUCT VALU; BEGIN CHAR BYTE(0:7); END; End; STRUCT TARGET^USERNUMBER^MINOR; Begin INT INDICATOR; STRUCT VALU; BEGIN CHAR BYTE(0:7); END; End; STRUCT SUBJECTLOGIN; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:39); END; End; End; STRUCT SUBJECTSYSTEM; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:63); END; End; End; STRUCT TARGETLOGIN; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:39); END; End; End; STRUCT OBJECTTYPE; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:31); END;
XYGATE Merged Audit®リファレンスマニュアル 付録 F: TCLEXC
XYPRO Technology Corporation 220 Proprietary and Confidential
End; End; STRUCT OBJECTNAME; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:199); END; End; End; STRUCT OPERATION; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:127); END; End; End; STRUCT TERMINAL; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:63); END; End; End; STRUCT MESSAGEID; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:19); END; End; End; STRUCT MESSAGECODE; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:19); END; End; End; STRUCT RULENAME; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:49); END; End;
XYGATE Merged Audit®リファレンスマニュアル 付録 F: TCLEXC
XYPRO Technology Corporation 221 Proprietary and Confidential
End; STRUCT RESULT; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:255); END; End; End; End; End; == Definition TACLRSP created on 04/11/2001 at 17:09 ?Section TACLRSP Struct Begin STRUCT EYECATCHER; BEGIN CHAR BYTE(0:9); END; STRUCT RESULT; BEGIN CHAR BYTE(0:9); END; STRUCT DIAGNOSTICS; BEGIN CHAR BYTE(0:511); END; End
XYPRO Technology Corporation 223 Proprietary and Confidential
付録G: データマッピング
データ選択基準は、正規化されたオーディットデータレコードの内容に基づいてオー
ディットイベントを選択するために使用します。ターゲットの製品が使用するすべて
のカラムは、フィルターによってアクションの生成に使用できます。
データ選択基準は、MOVER によってオーディットトレイルが読み取られる製品に完
全に従っています。
MOVER は、ターゲットの製品のオーディットトレイル内の各レコードに対してデー
タの正規化を行います。つまり、各フィールドの内容が適切なカラムに移動されて
XMA データベースに挿入されます。
• フィルターの作成の詳細については、第 2.3 節「フィルターの作成」(32 ページ
~)を参照してください。
• 各製品に使用されるカラムを確認するには、付録G20:「Column Usageテーブ
ル 」(280 ページ)を参照してください。
• オーディットトレイルの詳細については、適切な XYGATE 製品のマニュアルを参
照してください。
フィルターの作成方法においては、対象のイベントを一意に識別するオーディットレ
コードのフィールドが検出されます。たとえば、ユーザーが特定のXACコマンドを呼
び出すたびに電子メールを生成する場合、関連のXACオーディットレコードはコマン
ド名で一意に識別されます。コマンド名を含むカラムを確認するには、付録G9:「XAC (XYGATE Access Control)のデータマッピング」(255 ページ)に記載された
XACデータマッピングテーブルを使用します。
テーブルをチェックすると、XAC コマンドの名前がオーディット詳細テーブルの
RULENAME および OBJECTNAME カラムに存在することを確認できます。フィルタ
ーには、両方のカラムを選択できます。
特定のファイルへのアクセス試行を表示する場合は、XOS または Safeguard のデータ
マッピングテーブルでファイル名を含むフィールドを確認します。この場合は、両方
の製品でファイル名がオーディット詳細テーブルの OBJECTNAME カラムに挿入され
ます。
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 224 Proprietary and Confidential
G1: データマッピングカラムに関する一般的な注意 下記の注意は、すべての製品に該当します。特定の製品のオーディットトレイルに固
有の注意は、製品のデータマッピングテーブルで説明します。
一般的な注意 1 オーディット詳細(AUDDET)テーブルおよびオーディットセッション(AUDSESS)テー
ブルの PARTITIONKEY カラムの値は、処理中に割り当てられます。AUDDET と
AUDSESS がパーティション分割されていないと、パーティションキーが値 2 に設定
されます。いずれかのテーブルがパーティション分割されていると、2~255 の範囲
内で値がランダムに割り当てられます。
0 (ゼロ) 空のパーティションを作成できるように、省略されます。
1 変換用に予約されています。
一般的な注意 2 RECORDGMT カラムの値は、RECORDLCT および XMA_XYMVPARAMTBL の GMTパラメーターで計算されます。
一般的な注意 3 OUTCOME カラムの値は、成功または失敗の特定の原因に関係なく、すべてのアクセ
ス試行の成功または失敗に対してレポートを生成するか、アクションを実行できる正
規化済みの値です。このフィールドを取得するための実際のデータは、
MESSAGECODE カラムに含まれています。正規化済みの OUTCOME は下記のとお
りです。
1. Success
2. No Record
3. Failure。Failure はセキュリティ違反として定義されています。
4. UNKNOWN。MOVER で XYGATE または SAFEGUARD の値を変換できない場合
は、値 4 が割り当てられます。このフィールドを取得するための実際のデータは、
MESSAGECODE カラムに含まれます。
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 225 Proprietary and Confidential
一般的な注意 4: ALERTED カラムは下記のいずれかの値を含みます。
A ALERT
B
- アラートが発行されました。
Blocked5.7
- レコードはアラートの対象でしたが、BLOCKALERTSパラメータ
ーがTRUEにセットされています(詳細は、第 節「MOVERパラメーター」
(111 ページ)を参照してください)。
C Collect-Only
D
– アラート専用/収集専用の環境では、イベントでアラートを
生成する必要がある場合、データベースがCで更新されますが、実際のアラ
ートはアラート専用のMOVERで生成されるため、データベースは更新され
ません。
Duplicate
F
(重複)– レコードはアラートが発行される条件を満たしていました
が、MAXACTIONRATEで指定された時間が経過しています。
Failed
G
- 試行が失敗しました。何らかの問題が発生し、
MAXCOMPLETIONTIMEに達する前に所定のアクションを実行できないこと
を表します。
GLOBALBLOCKALERTS
N
にONが設定されています。アラートが発行され
るはずでしたが、すべてのアラートが抑止されています。
Not Eligible
O
(デフォルト)。
Old
– レコードはアラートが発行される条件を満たしていましたが、
MAXRECORDAGEで指定された値よりも古いものです。
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 226 Proprietary and Confidential
G2: カラムの説明 下の表に、カラムの内容を説明します。製品ごとの詳細については、個々の製品の表
を参照してください。
カラム タイプ 説明 SESSION.RECORDSESSIONKEY timestamp 最初のセッションローがXMAデータベ
ースに挿入される時に作成される一意
のタイムスタンプ。
SESSION.RECORDINSTALLKEY timestamp INSTALL.RECORDINSTALLKEYにリ
ンクします。
SESSION.SESSIONID char 36 オーディットを生成する製品によって
作成される一意のセッションレコー
ド。
SESSION.FOUNDSESSIONSTART char 1 セッションの開始のマーク(該当する場
合)。
SESSION.FOUNDSESSIONEND char 1 セッションの終了のマーク(該当する場
合)。
SESSION.SESSIONNAME varchar 40 オーディットを生成する製品によって
作成される一意のセッションレコー
ド。
SESSION.PROCESSTHREADID varchar 50 オーディットレコードの原因となった
イベントのプロセス名。プロセス名は
<node>.<proc_name>:<seq#>です。プ
ロセスのオブジェクトファイル名につ
いては、SESSION.CLIENTPROGRAMを参照してください。
SESSION.PROCESSTHREADID2 varchar 50 オーディットレコードの原因となった
イベントのプロセス名。プロセス名は
<ノード>.<cpu>,<pin (形式以外は
THREADIDと同じ) EMS MOVERのみ
が設定)>です。
SESSION.CLIENTPROGRAM varchar 50 オーディットレコードを発生させたプ
ログラム:SAFECOM、XYGATEAC、
TMFなど。
SESSION.ANCESTORPROCESSTHREADID varchar 50 親のSESSION.PROCESSTHREADIDのプロセス名。
SESSION.IPADDRESS char 16 ユーザーの端末/ノードに基づくIPアド
レス。
SESSION.DNSNAME varchar 100 ユーザーの端末/ノードに基づくDNS名。
SESSION.CLIENTCURRDIR varchar 200 CLIENTPROGRAMのオブジェクトフ
ァイル。
INSTALL.RECORDINSTALLKEY timestamp (実際の関連するオーディットレコード
ではなく) MOVERの作成時に作成され
た一意のセッションレコード。
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 227 Proprietary and Confidential
カラム タイプ 説明 INSTALL.PRODUCTCODE varchar 10 オーディットレコードを生成した製
品。
INSTALL.IPADDRESS char 16 イベントを生成した製品(XAC、SFGな
ど)が動作しているNonStopサーバーノ
ードのIPアドレス(したがって、イベン
トが発生したノードではない)。
INSTALL.SYSTEMNAME varchar 64 イベントを生成した製品が動作してい
るNonStopサーバーノード。
INSTALL.LOCATION varchar 200 イベントを生成した製品(XAC、B24 な
ど)が動作しているインストールサブボ
リューム(EMSのEMSディストリビュ
ーターであれば
$SYSTEM.XYGATExx)。
INSTALL.DNSNAME varchar 100 イベントを生成した製品(XAC、SFGな
ど)が動作しているNonStopサーバーノ
ードのIPアドレス(したがって、イベン
トが発生したノードではない)。
AUDIT.RECORDGMT timestamp オーディットイベントが発生したGMT時刻(製品のオーディットトレイルに記
録される)。
AUDIT.GMTSEQNO char 2 セッション内のイベントのシーケンス
番号で、RECORDGMTと結合するこ
とで、挿入時の重複エラーを回避しま
す。
AUDIT.RECORDLCT timestamp オーディットイベントが発生したロー
カル時刻(製品のオーディットトレイル
に記録される)。
AUDIT.RECORDAUDITKEY timestamp MOVERの作成時に
SESSION.RECORDINSTALLKEYにリ
ンクします(実際のオーディットレコー
ドに関連付けられるわけではありませ
ん)。
AUDIT.RECORDSESSIONKEY timestamp SESSION.RECORDSESSIONKEYにリ
ンクします。
AUDIT.SEQNO char 9 セッション内のイベントのシーケンス
番号。オーディットを生成する製品に
よって作成されます。
AUDIT.OUTCOME char 1 結果を表す 1文字(1 = 成功、2 = レコ
ードなし、3 = 失敗、4 = 未知
(AUDIT.MESSAGECODEの値から正規
化されます)。
AUDIT.WARNINGMODE char 1 Y(es)/N(o)のいずれかで、オーディッ
トレコードを生成した製品が警告モー
ドで実行中であったかどうかを表しま
す。
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 228 Proprietary and Confidential
カラム タイプ 説明 AUDIT.SEVERITY char 1 “Critical”または空白で、オーディット
レコードを生成した製品に"Critical"フラグが設定されていたかどうかを表し
ます。
AUDIT.SEVERITY char 1 “Critical”または空白で、オーディット
レコードを生成した製品に"Critical"フラグが設定されていたかどうかを表し
ます。
AUDIT.ALERTED char 1 イベントを処理したときにXMAをがア
ラートを生成したかどうかを表す 1文
字。一般的な注意 4 (225 ページ)を参
照してください。
AUDIT.PRODUCTCODE varchar 10 オーディットレコードを生成した製品
(XAC、SFGなど) (INSTALL.PRODUCTCODEにリン
ク)。
AUDIT.SUBJECT_USERNUMBER_MAJOR char 8 オーディットイベントを生成したアク
ションを実行した人のユーザーIDの 3桁のグループ番号の部分。
AUDIT.SUBJECT_USERNUMBER_MINOR char 8 オーディットイベントを生成したアク
ションを実行した人のユーザーIDの 3桁のメンバー番号の部分。
AUDIT.TARGET_USERNUMBER_MAJOR char 8 存在する場合は、オーディットイベン
トでアクションの対象となるユーザー
IDの 3桁のグループ番号の部分。
AUDIT.TARGET_USERNUMBER_MINOR char 8 存在する場合は、オーディットイベン
トでアクションの対象となるユーザー
IDの 3桁のグループ番号の部分。
AUDIT.SUBJECTLOGIN varchar 40 オーディットイベントを生成したアク
ションを実行した人のユーザー名また
はSafeguardエイリアス。
AUDIT.SUBJECTSYSTEM varchar 64 SUBJECT USERが認証されたNonStopサーバー。
AUDIT.TARGETLOGIN varchar 40 オーディットイベントでアクションの
対象となるユーザー名または
Safeguardエイリアス。
AUDIT.OBJECTTYPE varchar 32 オーディットイベントでアクションの
対象となるオブジェクトの種類(ユーザ
ーレコード、ディスクファイルなど)。
AUDIT.OBJECTNAME varchar 200 オーディットイベントでアクションの
対象となるオブジェクトの名前(ユーザ
ーID、ディスクファイル名など)。
AUDIT.OPERATION varchar 128 オーディットイベントで実行されるア
クション(ログオン、変更、削除な
ど)。
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 229 Proprietary and Confidential
カラム タイプ 説明 AUDIT.TERMINAL varchar 64 アクションを実行した人がログオンし
ている端末。
AUDIT.MESSAGEID varchar 20 オーディットレコードタイプの製品固
有の識別子。
AUDIT.MESSAGECODE varchar 20 アクションの実際の結果(パスワードが
正しくない、ログオンが成功した)。
AUDIT.RULENAME varchar 50 通常は、SUBJECTUSERのアクション
を許可または拒否するために使用され
たRULENAME。
AUDIT.USER_DATA varchar 16 Equensがオーディットレコードに追加
する、カスタマイズ可能な 16 文字の
エントリ。
AUDIT.RESULT varchar 256 オーディットイベントを説明するテキ
スト(例:"<userid> read <filename>")
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 230 Proprietary and Confidential
G3: データマッピングテーブルの使用方法 下記の図は、XMA データベースに挿入されるデータのすべてのソースのデータマッピ
ングを変換するための"キー"です。たとえば、Safeguard のデータマッピングを確認
する場合、下記の図は情報の変換方法の理解に役立ちます。
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 231 Proprietary and Confidential
G4: BASE24 のデータマッピング BASE24 のオーディット詳細テーブル
カラム タイプ レコードの内容 PARTITIONKEY 218 ページの「一般的な注意 1」を
参照
numeric 4 MOVER で生成
RECORDGMT - timestamp 「一般的な注意 2」を参照
MOVER で生成
GMTSEQNO char 2 MOVER で生成
RECORDLCT timestamp 日時
RECORDAUDITKEY timestamp MOVER で生成
RECORDSESSIONKEY timestamp MOVER で生成
SEQNO char 9 MOVER で生成
OUTCOME char 1 結果テキストが"Security Violation"を含ん
でいる場合は、4 (不明)または 3 (失敗)
WARNINGMODE char 1 TESTMODE char 1 'N' SEVERITY char 1
ALERTED char 1 - 「一般的な注意 4」を参
照 MOVER で生成
PRODUCTCODE char 10 "BASE24" SUBJECT_USERNUMBER_MAJOR char 8 BASE24 グループ番号
SUBJECT_USERNUMBER_MINOR char 8 BASE24 ユーザー番号
SUBJECTLOGIN varchar 40 アクションを実行するユーザーの
BASE24 ユーザーID
SUBJECTSYSTEM varchar 64 ユーザーが認証されたシステム(EXPANDの番号でノード名を取得)
TARGET_USERNUMBER_MAJOR char 8 TARGET_USERNUMBER_MINOR char 8 TARGETLOGIN varchar 40 ユーザー名(BASE24 IDのSECレコードに
含まれたDESCRIPTIONフィールドの内
容)。「BASE24 の注意 3」を参照。
OBJECTTYPE - オブジェクトタイプ varchar 32 ユーザーまたはファイル
OBJECTNAME - オブジェクト名 varchar 200 BASE24 ユーザー名(SECファイルレコー
ドに含まれたIDのエイリアス)。SECファ
イルが識別されない場合、
SUBJECTLOGINはこのカラムに存在し
ます。「BASE24 の注意 1」および
「BASE24 の注意 3」を参照。
OPERATION - アクティビティ varchar 128 FM-TYP「BASE24 の注意 2」を参
照。
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 232 Proprietary and Confidential
BASE24 のオーディット詳細テーブル
カラム タイプ レコードの内容 TERMINAL varchar 64 \Node + TERM-ID MESSAGEID varchar 20 MESSAGECODE varchar 20 RULENAME varchar 50
RESULT (結果) varchar 256 変更済みのSECファイルレコードの変更
前イメージおよび変更後イメージ。
他のファイルの場合、このフィールドは
空です。
「BASE24 の注意 4」を参照。
BASE24 の注意 1 ファイルの OBJECTNAME は、オーディットログの数値と XYGATEMA サブボリュー
ムの OMFOBJT ファイルの記述の一致によって決定されます。OMFOBJT ファイルを
カスタマイズした場合は、XYGATEMA サブボリュームの OMFOBJT ファイルを自分
のファイルのコピーに置き換える必要があります。
BASE24 の注意 2 FM-TYP は下記のとおり変換されます。
A = ADDED
B = CHANGE
C = CHANGE
D = DELETE
O = OPCMD
S = LOGON (APPL-CDE = 00 の場合)
(APPL-CDE = FF の場合)
BASE24 の MOVER では、FMT_TYP が不明である場合も、レコードが XMA データ
ベースに挿入されます。MOVER では、値が認識されないと、実際の値をカッコに含
む"UNKNOWN"が OPERATION カラムに挿入されます。
例: UNKNOWN (W)
この例では、オーディットレコードの FMT-TYPE は"W"です。
BASE24 の注意 3 SEC ファイルは、BASE24 ID に関する情報を含んでいます。下記の 3 つのフィール
ドでユーザーを識別できます。
USERID = グループ番号およびユーザー番号で構成されます。アクションを実
行するユーザーの USERID は、SUBJECTLOGIN カラムに存在し
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 233 Proprietary and Confidential
ます。グループ番号およびユーザー番号は、
SUBJECT_USERNUMBER_MAJOR および
SUBJECT_USERNUMBER_MINOR カラムに存在します。
ALIAS = BASE24 にログインするためのユーザー名。ALIAS は、
OBJECTNAME カラムに存在します。例:B24.00235.00000021 LINK/OPSJOE
DESCRIPTION = 実際のユーザー名を含んでいる場合があります。DESCRIPTIONは、存在する場合、TARGETLOGIN カラムに存在します。例:JOE BOBBIN
SEC ファイルが ALIAS または DESCRIPTION を含んでいない場合、USERID は
OBJECTNAME または TARGETLOGIN カラムに挿入されます。
BASE24 の注意 4 OBJECTTYPE = USER および OPERATION = CHANGE は、SEC ファイルの変更を
表します。下記のとおり、SEC レコードで変更されたフィールドごとに、変更前イメ
ージおよび変更後イメージが書式設定されます。
<ファイル名>(画面番号):<変更前の値> "to" <変更後の値>
例:APCF Screen Access(2):RADU-NNNN to RADU-YYYY
この例では、SUBJECTLOGIN カラムに定義された BASE24 ユーザーID で APCF ア
プリケーションの画面 2 を使用するための権限 R (読み取り)、A (変更)、D (削除)、お
よび U (更新)が NNNN から YYYY に変更されます。
注:
OBJECTYPE = FILE の場合、結果は空です。
ユーザーの追加または削除の場合、結果は空です。
BASE24 のオーディットセッションテーブル
カラム タイプ レコードの内容 PARTITIONKEY 218 ページの「一般的な注意 1」を参
照
numeric 4 MOVER で生成
RECORDSESSIONKEY timestamp MOVER で生成
RECORDINSTALLKEY timestamp MOVER で生成
SESSIONID char 36 Timestamp + TERM-ID FOUNDSESSIONSTART char 1 FOUNDSESSIONEND char 1 SESSIONNAME varchar 40 PROCESSTHREADID varchar 50 PROCESSTHREADID2 varchar 50 CLIENTPROGRAM varchar 50
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 234 Proprietary and Confidential
BASE24 のオーディットセッションテーブル
カラム タイプ レコードの内容 ANCESTORPROCESSTHREADID varchar 50 IPADDRESS char 16 DNSNAME varchar 100 CLIENTCURRDIR varchar 200
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 235 Proprietary and Confidential
G5: HLR データマッピング HLR のオーディット詳細テーブル
カラム タイプ レコードの内容 PARTITIONKEY 218 ページの「一般的な注意 1」を
参照
numeric 4 MOVER で生成
RECORDGMT - 「 timestamp 一般的な注意 2」を参照。
MOVER で生成(AUDIT.RECORDLCTに相当する GMT 時刻)
GMTSEQNO char 2 MOVER で生成
RECORDLCT timestamp オーディットイベントが発生したロ
ーカル時間の日時(HLR オーディット
トレイルに記録される)
RECORDAUDITKEY timestamp MOVER で生成
RECORDSESSIONKEY timestamp MOVER で生成(最初のセッションロ
ーが XMA データベースに挿入される
時に作成される一意のタイムスタン
プ)
SEQNO char 9 MOVER で生成(HLR セッション内の
レコードのシーケンス。
SESSION.SESSIONID カラムを参
照)。
OUTCOME char 1 結果テキストが"Security Violation"を含んでいる場合は、4 (不明)または 3 (失敗)
WARNINGMODE char 1 TESTMODE char 1 空白または"F"(HLRの注意 5を参照)
SEVERITY char 1
ALERTED - char 1 「一般的な注意 4」を参
照 MOVER で生成
PRODUCTCODE char 10 "HLR" SUBJECT_USERNUMBER_MAJOR char 8 SUBJECT_USERNUMBER_MINOR char 8 SUBJECTLOGIN varchar 40 アクションまたはログオンを実行し
た人の DPA ユーザーID
SUBJECTSYSTEM varchar 64 HLR オーディットトレイルが置かれ
ているノード
TARGET_USERNUMBER_MAJOR char 8 TARGET_USERNUMBER_MINOR char 8 TARGETLOGIN varchar 40
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 236 Proprietary and Confidential
HLR のオーディット詳細テーブル
カラム タイプ レコードの内容
OBJECTTYPE - オブジェクトタイプ varchar 32 操作対象のオブジェクトタイプ:
GSUB、USER、SIM、またはCGSUB
OBJECTNAME - オブジェクト名 varchar 200 変更対象のレコード:USERID、
MKEY、または KEY。 「HLRの注意 1」を参照してくださ
い。
OPERATION - アクティビティ varchar 128 DPA コマンド:ADD、READ、
DELETE、UPDATE、CHANGEKEY、LOGON、
LOGOFF、GETSESSIONINFO
TERMINAL varchar 64
MESSAGEID varchar 20 変更対象のオブジェクトのサブタイ
プを表すDPAターゲット名:
USERID、MKEY、KEY。「HLRの注
意 1」を参照してください。
MESSAGECODE varchar 20 DPA ResultCode、または<メッセー
ジドメイン>;<id>(HLRの注意 2 と 6を参照)
RULENAME varchar 50 ローのRESULTカラムに含まれるデ
ータのタイプ:PARAM、TEXT、FLAG。「HLRの注意 7」を参照して
ください。
RESULT (結果) varchar 256 イベントに関する情報 「HLRの注意
7」を参照。
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 237 Proprietary and Confidential
HLR の注意 1 – DPA エントリタイプ 操作対象のエンティティ。最も一般的な値は、USER、GSUB、SIM、または CGSUB。
エンティティタイプに基づく処理: Entity-Type = User
(DPA ユーザーID のログオン、オグオフ、または変更を表します)
DPA 識別子 値 [Notes] XMA カラム EntityType= USER 操作対象のエンティティ
タイプ AUDIT.OBJECTTYPE
Name= USERID 操作対象のオブジェクト
のタイプ AUDIT.MESSAGEID
<DPA ユーザー
名> 処理が LOGON または
LOGOFF であるかどうか AUDIT.MESSAGEID
User= <DPA ユーザー
名> 変更を実行する DPA ユ
ーザーID を表します。 操作が LOGON の場合、
このカラムは空白です。
AUDIT.SUBJECTLOGIN
Command= <処理> 実行された処理 AUDIT.OPERATION
操作が LOGONの場合
<DPA ユーザー名>はログ
オンするユーザーです。
ユーザーID は 2 つのカラ
ムに格納されます。
AUDIT.SUBJECTLOGIN AUDIT.OBJECTNAME
Value= <DPA ユーザー
名> 操作対象の DPA ユーザ
ーID AUDIT.OBJECTNAME
Property String= 設定される 1 つ
以上のパラメー
ター
設定されるパラメーター
のカンマ区切りリスト AUDIT.RESULT
"PARAM" AUDIT.RULENAME Value= <DPA ユーザー
名> 操作対象の DPA ユーザ
ーID AUDIT.OBJECTNAME
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 238 Proprietary and Confidential
Entity-Type = GSUB、CGSUB、または SIM (操作する携帯電話アカウントを表します)
DPA 識別子 値 [Notes] XMA カラム EntityType= GSUB、SIM、
CGSUB 操作対象のエンティティ
タイプ AUDIT.OBJECTTYPE
Name= KEY 操作対象のオブジェクト
のタイプ AUDIT.MESSAGEID
User= <DPA ユーザー
名> 変更を実行する DPA ユー
ザーID を表します。 AUDIT.SUBJECTLOGIN
Command= DPA Command= 実行された処理 AUDIT.OPERATION
Value= <電話番号> 操作対象の電話のアカウ
ント AUDIT.OBJECTNAME
PropertyString= 設定される 1 つ
以上のパラメー
ター
設定されるパラメーター
のカンマ区切りリスト AUDIT.RESULT
"PARAM" AUDIT.RULENAME
AUDIT.OBJECTNAME カラムは、次のように設定されます。
• EntityType = USERID の場合、値は、作業対象またはログオン/ログオフする<DPAユーザーID>です。
• TargetName = MKEY の場合、値は、作業対象の MSISDN ( SIM カード)番号です。
• TargetName = KEY の場合、値は、作業対象の IMSI (加入者の電話番号)です。
HLR の注意 2 - DPA メッセージ DPA "Messages"はエラーメッセージであり、DPA ResultCode が–1 の場合のみ存在
します。
HLR MOVER は、下表のようにメッセージを処理します。 DPA 識別子 値 [Notes] XMA カラム
DPA Message= Domain= エラーが発生し
たレコードの"部分"
AUDIT.MESSAGECODE(<domain>;<id>)
Id= エラー番号
<text>= エラーの説明 AUDIT.RESULT
"TEXT"という語 AUDIT.RULENAME
DPA ResultCode=
–1 = 失敗 0 = 成功
AUDIT.OUTCOME(MOVER によって 1 (成功)または 3 (失敗)に正規化されま
す)。
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 239 Proprietary and Confidential
エラーテキストが 256 文字を超える場合は、ローがさらに作成され、リストが続きま
す。
HLRの注意 3DPA Property Set は、ある DPA オーディットレコードに設定されるすべてのパラメ
ーターのカンマ区切りリストです。HLR MOVER は文字列全体を 256 文字セットの
AUDIT.RESULT カラムに格納するため、XMA では 1 行以上のローが存在します。1つのイベントに関連するすべてのローは、SESSION.SESSIONID と AUDIT.SEQNOの値が同じです。
– DPA Property Set
Property Set に含まれるすべてのローで、AUDIT.RULENAME に"PARAM"が設定され
ます。
HLRの注意 4HLR MOVER の作成時に、DPA アプリケーションノード ID が設定されます。このパ
ラメーターは、MOVER が処理する各オーディットレコードの
SESSION.SESSIONNAME カラムに、MOVER によって格納され、挿入されます。
– アプリケーションノードID
アプリケーションノード ID ごとに別々の HLR MOVER が存在する必要があります。
HLRの注意 5select-params は、次のとおりです。
– "select-params"
• ALT-IMSI-DIGITS
• GSM-O-CSI-ACTIVE
• ECMN-SMS-CSI-ACTIVE
• CLIR-AUTH
• CLIP-ACT
いずれかの select-param がオーディットレコードに存在すると、次のようになります。
• select-param とその値(0 または 1)だけがカンマ区切りリストとして含まれる新し
いローが作成されます。
• この"特別な"ローでは、AUDIT.RULENAME カラムに"FLAG"という語が設定され
ます。
• レコード全体のすべてのローで、AUDIT.TESTMODE カラムに"F"という文字が設
定されます。
レポート作成やアラートの目的で、次のように使用します。
1. AUDIT.RULENAME = FLAG を選択すると、Sensitive Param だけが含まれるロー
が取得されます。
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 240 Proprietary and Confidential
2. AUDIT.TESTMODE = F を選択すると、Sensitive Param が含まれるレコードのす
べてのローが取得されます。
HLRの注意 6ResultCode は、次のように結果を表します。
– DPA ResultCode
• DPA ResultCodeが–1 (失敗)の場合、Messageフィールドも存在します。「HLRの
注意 2」
• DPA ResultCodeが 0 (成功)の場合、Property Set文字列が存在します。
を参照してください。
「HLRの
注意 3」
• これ以外の ResultCode の場合は、コードが MESSAGECODE カラムに設定され、
OUTCOME は"4" (不明)に設定されます。
を参照してください。
HLR の注意 7 AUDIT.RULENAME カラムのエントリは、レコードの AUDIT.RESULT カラムのデー
タタイプを表します。
AUDIT.RULENAME AUDIT.RESULT TEXT エラーの説明
PARAM Property String FLAG Sensitive Param のみ
HLR のオーディットセッションテーブル
カラム タイプ レコードの内容 PARTITIONKEY 218 ページの「一般的な注意 1」を参照
numeric 4 MOVER で生成
RECORDSESSIONKEY timestamp MOVER で生成(最初のセッションロー
が XMA データベースに挿入される時
に作成される一意のタイムスタンプ)
RECORDINSTALLKEY timestamp MOVER で生成
SESSIONID char 36 Mover で生成(日単位でセッションが存
在し、その日の個々のレコードにシー
ケンス番号が割り当てられる。
AUDIT.SEQNO を参照)
FOUNDSESSIONSTART char 1 FOUNDSESSIONEND char 1 SESSIONNAME varchar 40 HLRアプリケーションノードID HLR
HLRの注意 4を参照
PROCESSTHREADID varchar 50
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 241 Proprietary and Confidential
HLR のオーディットセッションテーブル
カラム タイプ レコードの内容 PROCESSTHREADID2 varchar 50 CLIENTPROGRAM varchar 50 ANCESTORPROCESSTHREADID varchar 50 IPADDRESS char 16 DNSNAME varchar 100 CLIENTCURRDIR varchar 200 ターゲット HLR オーディットログの
フルパス名
SESSION.PRODUCTSYSTEM varchar 64 イベントを生成した製品が動作してい
る NonStop サーバーノード。
SESSION.PRODUCTLOCATION varchar 200 ターゲットHLRオーディットログのフ
ルパスマスク。
例:/app/hlr/NODEG/dpa*
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 242 Proprietary and Confidential
G6: EMS のデータマッピング EMS のオーディット詳細テーブル
カラム タイプ レコードの内容 PARTITIONKEY 218 ページの「一般的な注意 1」を参
照
numeric(4) MOVER で生成
RECORDGMT - 「 timestamp 一般的な注意 2」を参照。
ZEMS_TKN_GENTIME
GMTSEQNO char 2 MOVER で生成
RECORDLCT timestamp LCT(ZEMS_TKN_GENTIME)および
GMTOFFSET パラメーターで計算
RECORDAUDITKEY timestamp MOVER で生成
RECORDSESSIONKEY timestamp MOVER で生成
SEQNO char 9 生成済み
OUTCOME char 1 4 (不明)
WARNINGMODE char 1 TESTMODE char 1 'N' SEVERITY char 1 ZEMS_TKN_EMPHASIS (1 または
3)
ALERTED - char 1 「一般的な注意 4」を参
照
PRODUCTCODE char 10 MOVER で生成(EMS)
SUBJECTSYSTEM varchar 64 ZEMS_TKN_XSENDERID_PD SUBJECTLOGIN varchar 40 「EMSの注意 2」を参照 SUBJECT_USERNUMBER_MAJOR char 8
「EMSの注意 1」を参照 SUBJECT_USERNUMBER_MINOR char 8 TARGET_USERNUMBER_MAJOR char 8 TARGET_USERNUMBER_MINOR char 8 TARGETLOGIN varchar 40 SUBJECTLOGIN と常に同じ
OBJECTTYPE - オブジェクトタイプ varchar 32 ZSPI_TKN_SSID
OBJECTNAME - オブジェクト名 varchar 200 解析済みのオブジェクト名BASE24/TELNET/LISTNER
OPERATION - アクティビティ varchar 128 EMS-EVENT
TERMINAL varchar 64 「EMSの注意 3」を参照
MESSAGEID varchar 20 ZEMS_TKN_EVENTNUMBER MESSAGECODE varchar 20 RULENAME varchar 50
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 243 Proprietary and Confidential
EMS のオーディット詳細テーブル
カラム タイプ レコードの内容
RESULT (結果) varchar 256 イベントテキスト - 複数の詳細レコ
ードに適合するように分割
EMS の注意 1 A) SUBJECT_USERNUMBER_MAJOR および SUBJECT_USERNUMBER_MINOR の
場合:
1. イベントで ZEMS_TKN_PROC_DESC が ZEMS_TKN_XSENDERID_PD と同じ
である場合、イベントジェネレーターはイベントレポーターと同じであり、
ZEMS_TKN_USERID が使用されます。
2. イベントで ZEMS_TKN_PROC_DESC が ZEMS_TKN_XSENDERID_PD と異な
る場合、イベントジェネレーターはイベントレポーターと異なり、
ZEMS_TKN_USERID を使用できません。この場合は、
EMSSENDERPROCESSLOOKUP が検証されます。下記のいずれかの条件を
満たす場合は、EMS の MOVER でプロセス情報の検索が実行されます。
• ALL
• LOCALONLY (ZEMS_TKN_XSENDERID_PD のシステム名が MOVER オ
ブジェクトのシステム名と同じ)
3. 検索が成功した場合は、イベントが対象のユーザーを含みます。検索が失敗した
場合は、イベントが UNKNOWN になります。
B) TARGET_USERNUMBER_MAJOR は SUBJECT_USERNUMBER_MAJOR と常に
同じであり、TARGET_USERNUMBER_MINOR は
SUBJECT_USERNUMBER_MINOR と常に同じです。
EMS の注意 2 SUBJECTLOGIN カラムの場合は、EMSSENDERPROCESSLOOKUP が検証されま
す。下記のいずれかの条件を設定すると、EMS の MOVER でプロセス情報の検索が
実行されます。
• ALL
• LOCALONLY (ZEMS_TKN_XSENDERID_PD のシステム名が MOVER オブジェク
トのシステム名と同じ)
検索が成功した場合は、プロセスの LOGINNAME を使用します。検索が失敗した場
合は、SUBJECT_USERNUMBER_MAJOR.SUBJECT_USERNUMBER_MINOR が設
定されます。
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 244 Proprietary and Confidential
EMS の注意 3 TERMINAL カラムの場合は、EMSSENDERPROCESSLOOKUP が検証されます。下
記のいずれかの条件を満たす場合は、EMS の MOVER でプロセス情報の検索が実行
されます。
• ALL
• LOCALONLY (ZEMS_TKN_XSENDERID_PD のシステム名が MOVER オブジェク
トのシステム名と同じ)
EMS の注意 4 CLIENTPROGRAM カラムは、EMSSENDERPROCESSLOOKUP パラメーターの下
記の値に基づいて更新されます。
• EMSSENDERPROCESSLOOKUP = None
MOVER でクライアントプログラムが検索されないため、CLIENTPROGRAM は
"NULL"になります。
• EMSSENDERPROCESSLOOKUP = ALL
MOVER でクライアントプログラムが検索され、カラムが更新されます。
• EMSSENDERPROCESSLOOKUP = LOCALONLY
EMS メッセージのプロセス記述子のシステム名が MOVER のオブジェクトファイ
ルのシステム名と同じである場合は、MOVER でクライアントプログラムが検索
され、カラムが更新されます。
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 245 Proprietary and Confidential
EMS のオーディットセッションテーブル
カラム タイプ レコードの内容 PARTITIONKEY 218 ページの「一般的な注意 1」を参
照
numeric 4 MOVER で生成
RECORDSESSIONKEY timestamp MOVER で生成
RECORDINSTALLKEY timestamp MOVER で生成
SESSIONID char 36 ZEMS_TKN_XSENDERID_PD FOUNDSESSIONSTART char 1 FOUNDSESSIONEND char 1 SESSIONNAME varchar 40 PROCESSTHREADID varchar 50 ZEMS_TKN_XSENDERID_PD PROCESSTHREADID2 varchar 50 ZEMS_TKN_XSENDERID CLIENTPROGRAM varchar 50 「EMSの注意 4」を参照
ANCESTORPROCESSTHREADID varchar 50 IPADDRESS char 16 DNSNAME varchar 100 CLIENTCURRDIR varchar 200
BASE24 EMS オーディットの特殊な処理 下記のとおり、EMS の MOVER では、BASE24 のメッセージの解析方法が異なりま
す。
テーブルおよびカラム EMS の MOVER AUDIT.PRODUCTCODE テキスト"BASE24 EMS"
AUDIT.SUBJECTLOGIN BASE24 のユーザー名またはユーザー番号
AUDIT.TARGETLOGIN BASE24 ID の SEC レコードに含まれた ALIAS フィールドの
内容
AUDIT.OBJECTTYPE オブジェクトタイプ(PROCESS、DEVICE、STATION、LINKなど)
AUDIT.OBJECTNAME XPSNCPI の場合は、結果に指定したオブジェクト LOGDATER の場合は、EMSLOG の新しい名前
AUDIT.OPERATION XPSNCPI の場合は、文字列"executing command"の後の値 LOGDATER の場合は、EMS EVENT LOG HAS BEEN SWITCHED
AUDIT.MESSAGECODE SSID (ACI.LOGDATER.nnnn、ACI.XPSNCPI.nnnn など)
AUDIT.OUTCOME EMS テキストが文字列"Security Violation"を含んでいる場合
は、"3" (失敗)。他の場合は、"4"。
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 246 Proprietary and Confidential
テーブルおよびカラム EMS の MOVER SESSION.SESSIONNAME セッション番号(セッション 00001-00-00358 など)。BASE24
でユーザーセッションに割り当てられる"Ticket Number"。
AUDIT.OPERATION のシナリオ • シナリオ 1:DELIVER PROCESS <プロセス名>, "bittrace off"
処理:コマンドが"DELIVER"である場合は、OPERATION カラムの"DELIVER"で引用符内の値を連結します。
例:DELIVER bittrace off
• シナリオ 2:複数のコマンドを発行する場合: INFO STATION *, STARTED
処理:STARTED は実際にはすべてのステーションが"起動"していることを表す
INFO の修飾子であるため、"INFO"が OPERATION カラムに挿入されます。
• シナリオ 3:1 つのコマンドが複数の部分で構成される場合:CONTROL PROCESS *, PURGE, STOPPED
処理:OPERATION カラムの"CONTROL"で、すべてのコマンド修飾子を連結しま
す。
例:CONTROL, PURGE, STOPPED
• シナリオ 4:1 つのコマンドが 2 つの部分で構成される場合:ALTER STATION S1DVISA1, IAUDIT ON
処理:コマンドが"ALTER"である場合は、OPERATION カラムの"ALTER"でカン
マの後の値を連結します。
例:ALTER IAUDIT ON
ODBC/MX オーディットの特殊な処理 SEQNO および OPERATION フィールドは、SQL/MX レコードの特殊な値を含んでい
ます。
SEQNO 000000000 は、SQL/MX セッションの開始を表します。 999999999 は、SQL/MX セッションの終了を表します。
operation OPERATION カラムの値は、ODBC/MX の設定によって異なります。
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 247 Proprietary and Confidential
ODBC/MX で統計レコードが生成される場合
EMSのレコードID OPERATION
ConnectionInformation MXCS-SESSION-START SQLStatement MXCS-'x'。'x'は任意の SQL ステートメント
(SELECT、INSERT、DELETE、UPDATE など)に一致しま
す。
Session Summary MXCS-SESSION-END
XMA が生成 MXCS-SESSION-ABORT EMS の Mover では、内部テーブル Session Table で最大 500個のセッションを追跡できます。 この操作は下記のいずれかの原因で実行されます。 1. セッションが 1 時間休止している。セッションが終了し、
Session Table のエントリがメモリからクリアされる。 2. Session Table の空き容量がなくなっており、新しいセッ
ションが開始している。Session Table の最も古いセッシ
ョンが新しいセッションに再利用される。 この操作はシーケンスコードが 999999999 であるレコー
ドに実行されます。
Bypassed STATISTICS INFORMATION SQLExecDirect
ODBC/MX でトレースレコードが生成される場合
EMSのレコードID OPERATION
EnterConnect MXCS-SESSION-START EnterExecDirect MXCS-'x'。'x'は任意の SQL ステートメント(SELECT、
INSERT、DELETE、UPDATE など)に一致します。
EnterDisconnect MXCS-SESSION-END
XMA が生成 MXCS-SESSION-ABORT (上記の説明を参照)
Bypassed Enable ServerTrace EnterImpIInit ExitImpIInitExitConnect ExitExecDirect EnterFetchPerf ExitFetchPerf EnterClose ExitClose ExitDisconnect
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 248 Proprietary and Confidential
LISTNER および TELNET の特殊な処理 下記の表のとおり、EMS の MOVER では、LISTNER および TELNET のメッセージの
解析方法が異なります。
LISTNER の接続 TELNET の接続および切断
RECORDGMT RECORDLCT
SESSION-CONNECT-TIMESTAMP
OBJECTTYPE SSID SSID OBJECTNAME TCP/IP プロセスの名前:PORT TCP/IP プロセスの名前:PORT
OPERATION LISTNER-CONNECT TELNET-CONNECT または- TELNET-DISCONNECT-
MESSAGECODE LOCAL PORT LOCAL PORT TERMINAL 「EMSの注意 3」(244 PROCESS+TERM ページ)を
参照。 RULENAME SERVICE-NAME SERVICE-NAME
OSS SU (substitute user)コマンドの特別な処理 EMS MOVER は、下表に示すように、SU コマンドからのメッセージを異なる方法で
構文解析します。
OPERATION AUTHENTICATE MESSAGEID ZEMS_TKN_EVENTNUMBER
8 = 失敗 11 = 成功
XYGATE SSH Encryption (SSH)の特別な処理 EMS MOVER は、下表に示すように、XSH からの AUTHENTICATION メッセージを
異なる方法で構文解析します。
SUBJECTLOGIN TEXT の USERID
TARGETLOGIN TEXT の USERID
OBJECTNAME SSID
OPERATION AUTHENTICATE
MESSAGECODE ポート番号
AUDIT SESSION IPADDRESS TEXT の IPADDRESS
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 249 Proprietary and Confidential
HP SSH Encryption (comForte®
EMS MOVER は、下表に示すように、XSH からの AUTHENTICATION メッセージを
異なる方法で構文解析します。
SSH)の特別な処理
SUBJECTLOGIN TEXT の USERID
TARGETLOGIN TEXT の USERID
OBJECTTYPE SSID
OBJECTNAME ターゲットのユーザーID、または SFTP ファイルマスクまたは
サブシステム
OPERATION SFTP コマンドの AUTHENTICATE
RULENAME 認証方法
MESSAGECODE OPERATION = LISTEN の場合はローカルポート
OPERATION = FORWARD の場合は'宛先'ポート
AUDIT SESSION IPADDRESS TEXT の IPADDRV6
SESSIONID TEXT の comForte SESSION-LOG-ID
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 250 Proprietary and Confidential
G7: MEASURE のデータマッピング
MEASURE のオーディット詳細テーブル
カラム タイプ レコードの内容 PARTITIONKEY 218 ページの「一般的な注意 1」を参照
numeric 4
RECORDGMT - 「一般的な注意 2」 timestamp を参
照
GMTSEQNO char 2 MOVER で生成
RECORDLCT timestamp 作成時刻
RECORDAUDITKEY timestamp MOVER で生成
RECORDSESSIONKEY timestamp MOVER で生成
SEQNO char 9 システムで生成
OUTCOME - char 1 「一般的な注意 3」を参照
WARNINGMODE char 1 TESTMODE char 1 'N' SEVERITY char 1
ALERTED - char 1 「一般的な注意 4」を参照
PRODUCTCODE char 10 MEASURE SUBJECTSYSTEM varchar 64 プロセスのシステム
SUBJECTLOGIN varchar 40 変換済みの CAID (可能な場合)
SUBJECT_USERNUMBER_MAJOR char 8 CAID SUBJECT_USERNUMBER_MINOR char 8 CAID TARGET_USERNUMBER_MAJOR char 8 TARGET_USERNUMBER_MINOR char 8 TARGETLOGIN varchar 40
OBJECTTYPE - オブジェクトタイプ varchar 32 "PROCESS"
OBJECTNAME - オブジェクト名 varchar 200 プロセスのオブジェクトファイ
ル
OPERATION - アクティビティ varchar 128 "MEASURE"
TERMINAL varchar 64 プロセスのホーム端末
MESSAGEID varchar 20 MESSAGECODE varchar 20 RULENAME varchar 50 [ノード名][$または$プロセス
名].[CPU,PIN]またはUNKNOWN
RESULT (結果) varchar 256 [current-node-name.][$または$Processname][CPU,PIN]
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 251 Proprietary and Confidential
MEASURE のオーディットセッションテーブル
カラム タイプ レコードの内容 PARTITIONKEY 218 ページの「一般的な注意 1」を
参照
numeric 4
RECORDSESSIONKEY timestamp MOVER で生成
RECORDINSTALLKEY timestamp MOVER で生成
SESSIONID char 36 システムで生成(timestamp + Unique ID)
FOUNDSESSIONSTART char 1 FOUNDSESSIONEND char 1 SESSIONNAME varchar 40 PROCESSTHREADID varchar 50 [current System name].[Processname
または CPU,PIN]
PROCESSTHREADID2 varchar 50 CLIENTPROGRAM varchar 50 MEASURE の MOVER プログラムフ
ァイル
ANCESTORPROCESSTHREADID varchar 50 MEASURE の MOVER の親プロセス
IPADDRESS char 16 DNSNAME varchar 100 CLIENTCURRDIR varchar 200
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 252 Proprietary and Confidential
G8: Safeguard のデータマッピング 詳細については、第 6 章「Safeguard の選択基準」(119 ページ~)を参照してください。
Safeguard のオーディット詳細テーブル
カラム タイプ レコードの内容 PARTITIONKEY 218 ページの「一般的な注意 1」を参
照
numeric 4
RECORDGMT - timestamp 「一般的な注意 2」を
参照
GMTSEQNO char 2 MOVER で生成
RECORDLCT timestamp 日時データ
RECORDAUDITKEY timestamp MOVER で生成
RECORDSESSIONKEY timestamp MOVER で生成
SEQNO char 9 「SFG の注意 2」を参照
OUTCOME - char 1 「一般的な注意 3」を参
照 結果フラグ:'F' = 3、'U' = 4、 メッセージコード 455 の場合:OUTCOME = 2 他の場合:OUTCOME = 1
WARNINGMODE char 1 TESTMODE char 1 'N' SEVERITY char 1
ALERTED - char 1 「一般的な注意 4」を参照
PRODUCTCODE char 10 MOVER で生成
SUBJECTSYSTEM varchar 64 対象のシステム(空の場合は、設
定ファイルのシステム)
SUBJECTLOGIN varchar 40 対象のログイン名
SUBJECT_USERNUMBER_MAJOR char 8 対象のグループ番号
SUBJECT_USERNUMBER_MINOR char 8 対象のユーザー番号
TARGET_USERNUMBER_MAJOR char 8 「SFG の注意 3」を参照 TARGET_USERNUMBER_MINOR char 8 「SFG の注意 3」を参照 TARGETLOGIN varchar 40 「SFG の注意 3」を参照
OBJECTTYPE - オブジェクトタイプ varchar 32 Objecttype-s
OBJECTNAME - オブジェクト名 varchar 200 オブジェクト名
OPERATION - アクティビティ varchar 128 Operation-s
TERMINAL varchar 64 terminal
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 253 Proprietary and Confidential
Safeguard のオーディット詳細テーブル
カラム タイプ レコードの内容 MESSAGEID varchar 20 プライマリ/セカンダリのレコー
ドタイプ
MESSAGECODE varchar 20 OUTCOME コード
RULENAME varchar 50
RESULT (結果) varchar 256 Comment1-s
SFG の注意 1 Safeguard オーディットログから抽出するデータは、XSR で抽出するデータと同じで
す。
SFG の注意 2 SEQNO は下記のとおり設定されます。
• プライマリレコードには、シーケンス番号 1 が割り当てられます。
• 後続のレコードには、シーケンス番号 2 が割り当てられます。
• rec-type フィールドの実際の値は、MESSAGEID カラムに挿入されます。
• Safeguard MessageID の詳細については、第 6.4 節「Safeguard MessageID」
(125 ページ)を参照してください。
SFG の注意 3 ターゲットのユーザーフィールドは下記のとおり設定されます。OBJECTTYPE が
USER、ALIAS、または GROUP である場合は、TARGET_USERNUMBER_MAJOR、
TARGET_USERNUMBER_MINOR、および TARGETLOGIN カラムが更新されます。
SFG の注意 4 USER、ALIAS、または GROUP を含むアクティビティレポートを実行する場合は、
REMOTEPASSWORD を OBJECTTYPE に選択しないと、REMOTEPASSWORD は
変更されません。
Safeguard のオーディットセッションテーブル
カラム タイプ レコードの内容 PARTITIONKEY 218 ページの「一般的な注意 1」を
参照
numeric 4
RECORDSESSIONKEY timestamp MOVER で生成
RECORDINSTALLKEY timestamp MOVER で生成
SESSIONID char 36 プロセス名 + 端末
FOUNDSESSIONSTART char 1 FOUNDSESSIONEND char 1
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 254 Proprietary and Confidential
Safeguard のオーディットセッションテーブル
カラム タイプ レコードの内容 SESSIONNAME varchar 40 PROCESSTHREADID varchar 50 プロセス名
PROCESSTHREADID2 varchar 50 CLIENTPROGRAM varchar 50 ANCESTORPROCESSTHREADID varchar 50 IPADDRESS char 16 DNSNAME varchar 100 CLIENTCURRDIR varchar 200
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 255 Proprietary and Confidential
G9: XAC (XYGATE Access Control)のデータマッピング
XAC のオーディット詳細テーブル
カラム タイプ XAC-I XAC-O、XAC-C、XAC-E
PARTITIONKEY 218 ページの「一般的な注意 1」を参
照
numeric(4) MOVER で生成
RECORDGMT - timestamp 「一般的な注意 2」を参照
GMTSEQNO char 2 MOVER で生成 MOVER で生成
RECORDLCT timestamp 日時 日時
RECORDAUDITKEY timestamp MOVER で生成 MOVER で生成
RECORDSESSIONKEY timestamp MOVER で生成 MOVER で生成
SEQNO char 9 シーケンス番号
OUTCOME - char 1 「一般的な注意 3」を参
照 「XACの注意 1」を参照
「XACの注意 1」を参照
WARNINGMODE char 1 TESTMODE char 1 'N' 'N' SEVERITY char 1
ALERTED - char 1 「一般的な注意 4」を参
照
PRODUCTCODE char 10 MOVER で生成 MOVER で生成
SUBJECT_USERNUMBER_MAJOR char 8 グループ番号 グループ番号
SUBJECT_USERNUMBER_MINOR char 8 ユーザー番号 ユーザー番号
SUBJECTLOGIN varchar 40 ログイン名 ログイン名
SUBJECTSYSTEM varchar 64 system system TARGET_USERNUMBER_MAJOR char 8 ターゲットのグル
ープ番号
TARGET_USERNUMBER_MINOR char 8 ターゲットのユー
ザー番号
TARGETLOGIN varchar 40 ターゲットのログ
イン名
OBJECTTYPE - オブジェクトタイプ varchar 32 "XACCOMMAND" "XACCOMMAND"
OBJECTNAME - オブジェクト名 varchar 200 XAC コマンドの名
前 XAC コマンドの名
前
OPERATION - アクティビティ varchar 128 "USER COMMAND"
"USER COMMAND"
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 256 Proprietary and Confidential
XAC のオーディット詳細テーブル
カラム タイプ XAC-I XAC-O、XAC-C、XAC-E
TERMINAL varchar 64 ホーム端末 ホーム端末
MESSAGEID varchar 20 オーディットタイ
プ オーディットタイ
プ
MESSAGECODE varchar 20 コマンドステータ
ス コマンドステータ
ス
RULENAME varchar 50 XAC コマンドの名
前 XAC コマンドの名
前
RESULT (結果) varchar 256 「XACの注意 2」を参照
「XACの注意 2」を参照
XAC の注意 1 XAC の場合、MESSAGECODE カラムは XAC コマンドの実行が成功したかどうかを
表します。
フィールドが空である場合は、OUTCOME が 1 (成功)に変換されます。
テキスト(エラーメッセージ/拒否メッセージ)がフィールドに存在する場合は、
OUTCOME が 3 (失敗)に変換されます。メッセージテキストは、RESULT カラムに存
在します。
XAC の注意 2 RESULTカラムは、OUTCOMEカラムの値に関連付けられた説明を含んでいます。コ
ードおよび関連の値のリストについては、『XYGATE Access Control (XAC) リファレンスマニュアル 』(HP品番:657928)を参照してください。
XAC のオーディットセッションテーブル
カラム タイプ XAC-I XAC-O、XAC-C XAC-E
PARTITIONKEY 218 ページの「一般的な注意 1」を参照
numeric 4 MOVER で生成
RECORDSESSIONKEY timestamp MOVER で生成 MOVER で生成
RECORDINSTALLKEY timestamp MOVER で生成 MOVER で生成
SESSIONID char 36 セッション セッション
FOUNDSESSIONSTART char 1 FOUNDSESSIONEND char 1 SESSIONNAME varchar 40
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 257 Proprietary and Confidential
XAC のオーディットセッションテーブル
カラム タイプ XAC-I XAC-O、XAC-C XAC-E
PROCESSTHREADID varchar 50 子プロセスの記述
子
PROCESSTHREADID2 varchar 50 XAC プロセスの記
述子
CLIENTPROGRAM varchar 50 ANCESTORPROCESSTHREADID varchar 50 親プロセスの記述
子
IPADDRESS char 16 DNSNAME varchar 100 CLIENTCURRDIR varchar 200 ボリュームおよび
サブボリューム
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 258 Proprietary and Confidential
G10: XCM (XYGATE Supported CMON)のデータマッピング
XCM のオーディット詳細テーブル
カラム タイプ XCM-S、XCM-D、XCM-E PARTITIONKEY 218 ページの「一般的な注意 1」を参照
numeric 4
RECORDGMT - 「一般的な注意 2」を
参照 timestamp
GMTSEQNO char 2 MOVER で生成
RECORDLCT timestamp 日時
RECORDAUDITKEY timestamp MOVER で生成
RECORDSESSIONKEY timestamp MOVER で生成
SEQNO char 9 シーケンス番号
OUTCOME - 「一般的な注意 3」を参照 char 1 「XCM の注意 1」を参照 WARNINGMODE char 1 TESTMODE char 1 'N' SEVERITY char 1
ALERTED - 「一般的な注意 4」を参照 char 1
PRODUCTCODE char 10 MOVER で生成
SUBJECT_USERNUMBER_MAJOR char 8 グループ番号
SUBJECT_USERNUMBER_MINOR char 8 ユーザー番号
TARGET_USERNUMBER_MAJOR char 8 TARGET_USERNUMBER_MINOR char 8 SUBJECTLOGIN varchar 40 ログイン名
SUBJECTSYSTEM varchar 64 設定ファイルのシステム
TARGETLOGIN varchar 40
OBJECTTYPE - オブジェクトタイプ varchar 32 「XCM の注意 2」を参照
OBJECTNAME - オブジェクト名 varchar 200
OPERATION - アクティビティ varchar 128 「XCM の注意 3」を参照 TERMINAL varchar 64 ホーム端末
MESSAGEID varchar 20 オーディットタイプ
MESSAGECODE varchar 20 「XCM の注意 1」を参照 RULENAME varchar 50 暗号化(アクティビティタイプ =
PRELOGON の場合)
RESULT (結果) varchar 256
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 259 Proprietary and Confidential
XCM の注意 1 XCM の場合、MESSAGECODE は下記のとおりです。
• R" "。OUTCOME = 1 (成功)に変換されます。
• D (拒否)。OUTCOME = 3 (失敗)に変換されます。
XCM の注意 2 下記の表のとおり、OBJECTTYPE および OBJECTNAME カラムは、XCM オーディ
ットレコードの OPERATION カラム(アクティビティタイプ)のデータに基づいて更新
されます。
XCM の注意 3 XCM の場合、OPERATION カラムはアクティビティタイプを表します。
アクティビティタイプが RUN である場合は、CPU も表示されます。
アクティビティタイプが ALTPRI である場合は、優先度も表示されます。下記の表を
参照してください。
CMON のアクティビティタイプ および関連する OBJECTTYPE と OBJECTNAME
オーディットレコードのアクティビテ
ィタイプ OBJECTTYPE OBJECTNAME
LOGON "USER" ログイン名
LOGON L "USER" ログイン名
LOGOFF "USER" ログイン名
LOGOFF L "USER" ログイン名
RUN "FILE" アクティビティオブジェクト
RUN L "FILE" アクティビティオブジェクト
ALTPRI "PROCESS" アクティビティオブジェクト
ALTPRI L "PROCESS" アクティビティオブジェクト
PRELOGON "USER" アクティビティログイン
PRELOGON L "USER" アクティビティログイン
TACLCONF "TACLCONF" アクティビティデータ
OPENCMON "PROCESS" "CMON" STARTUP "PROCESS" "CMON" SHUTDOWN "PROCESS" "CMON" TAKEOVER "PROCESS" "CMON" ALIVE "PROCESS" "CMON"
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 260 Proprietary and Confidential
XCM のオーディットセッションテーブル XCM Audit Session Table
カラム タイプ レコードの内容 PARTITIONKEY 218 ページの「一般的な注意 1」を参照
numeric 4
RECORDSESSIONKEY timestamp MOVER で生成
RECORDINSTALLKEY timestamp MOVER で生成
SESSIONID char 36 Session x(12) FOUNDSESSIONSTART char 1 FOUNDSESSIONEND char 1 SESSIONNAME varchar 40 PROCESSTHREADID varchar 50 プロセス記述子
PROCESSTHREADID2 varchar 50 CLIENTPROGRAM varchar 50 リクエスターオブジェクト
ANCESTORPROCESSTHREADID varchar 50 親プロセスの記述子
IPADDRESS char 16 IP アドレス
DNSNAME varchar 100 CLIENTCURRDIR varchar 200
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 261 Proprietary and Confidential
G11: XHE (XYGATE Host Encryption)のデータマッピング
XHE のオーディット詳細テーブル
カラム タイプ レコードの内容 PARTITIONKEY 218 ページの「一般的な注意 1」を参照
numeric 4
RECORDGMT - timestamp 「一般的な注意 2」を参
照
GMTSEQNO char 2 MOVER で生成
RECORDLCT timestamp 日時
RECORDAUDITKEY timestamp MOVER で生成
RECORDSESSIONKEY timestamp MOVER で生成
SEQNO char 9 シーケンス番号
OUTCOME - char 1 「一般的な注意 3」を参照 「XHEの注意 1」を参照 WARNINGMODE char 1 警告モードのフラグ
TESTMODE char 1 テストフラグ
SEVERITY char 1
ALERTED - char 1 「一般的な注意 4」を参照
PRODUCTCODE char 10 MOVER で生成
SUBJECT_USERNUMBER_MAJOR char 8 対象のグループ番号
SUBJECT_USERNUMBER_MINOR char 8 対象のユーザー番号
TARGET_USERNUMBER_MAJOR char 8 TARGET_USERNUMBER_MINOR char 8 SUBJECTLOGIN varchar 40 対象のログイン名
SUBJECTSYSTEM varchar 64 システム名
TARGETLOGIN varchar 40
OBJECTTYPE - オブジェクトタイプ varchar 32 「XHEの注意 2」を参照
OBJECTNAME - オブジェクト名 varchar 200 オブジェクト
OPERATION - アクティビティ varchar 128 operation
TERMINAL varchar 64 MESSAGEID varchar 20 MESSAGECODE varchar 20 「XHEの注意 1」を参照 RULENAME varchar 50 EFGROUP の名前
RESULT (結果) varchar 256 コマンド
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 262 Proprietary and Confidential
XHE の注意 1 XHE の場合、D (拒否)または F (失敗)の MESSAGECODE は OUTCOME = 3 に変換さ
れます。他の MESSAGECODE は、OUTCOME = 1 (成功)に変換されます。
XHE の注意 2 XHE の場合、OBEJCTTYPE は"FILE"、"USER"、または"MISC"です。OBJECTTYPEが FILE である場合は、バイト転送時間も含まれます。
例:
FILE:000000003456:000000233
XHE のオーディットセッションテーブル
カラム タイプ レコードの内容 PARTITIONKEY 218 ページの「一般的な注意 1」を
参照
numeric 4
RECORDSESSIONKEY timestamp MOVER で生成
RECORDINSTALLKEY timestamp MOVER で生成
SESSIONID char 36 セッション
FOUNDSESSIONSTART char 1 FOUNDSESSIONEND char 1 SESSIONNAME varchar 40 PROCESSTHREADID varchar 50 PROCESSTHREADID2 varchar 50 CLIENTPROGRAM varchar 50 ANCESTORPROCESSTHREADID varchar 50 IPADDRESS char 16 IP アドレス
DNSNAME varchar 100 CLIENTCURRDIR varchar 200
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 263 Proprietary and Confidential
G12: XKM (XYGATE Key Management)のデータマッピング
XKM のオーディット詳細テーブル
カラム タイプ レコードの内容 PARTITIONKEY 218 ページの「一般的な注意 1」を参照
numeric 4
RECORDGMT - 「一般的な注意 2」を参照 timestamp
GMTSEQNO char 2 MOVER で生成
RECORDLCT timestamp 日時
RECORDAUDITKEY timestamp MOVER で生成
RECORDSESSIONKEY timestamp MOVER で生成
SEQNO char 9 シーケンス番号
OUTCOME - 「一般的な注意 3」を参照 char 1 「XKM の注意 1」を参
照 WARNINGMODE char 1 TESTMODE char 1 'N' SEVERITY char 1
ALERTED - 「一般的な注意 4」を参照 char 1
PRODUCTCODE char 10 MOVER で生成
SUBJECT_USERNUMBER_MAJOR char 8 対象のグループ番号
SUBJECT_USERNUMBER_MINOR char 8 対象のユーザー番号
TARGET_USERNUMBER_MAJOR char 8 TARGET_USERNUMBER_MINOR char 8 SUBJECTLOGIN varchar 40 対象のログイン名
SUBJECTSYSTEM varchar 64 対象のシステム
TARGETLOGIN varchar 40
OBJECTTYPE - オブジェクトタイプ varchar 32 "KEY"
OBJECTNAME - オブジェクト名 varchar 200 キーID + キーセット ID
OPERATION - アクティビティ varchar 128 operation
TERMINAL varchar 64 MESSAGEID varchar 20 MESSAGECODE varchar 20 「XKM の注意 1」を参
照 RULENAME varchar 50
RESULT (結果) varchar 256 result
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 264 Proprietary and Confidential
XKM の注意 1 XKM の場合、MESSAGECODE は下記のとおりです。
• 01 (成功)。OUTCOME = 1 (成功)に変換されます。
• 00 (失敗)。OUTCOME = 3 (失敗)に変換されます。
XKM のオーディットセッションテーブル
カラム タイプ レコードの内容 PARTITIONKEY 218 ページの「一般的な注意 1」を参
照
numeric 4
RECORDSESSIONKEY timestamp MOVER で生成
RECORDINSTALLKEY timestamp MOVER で生成
SESSIONID char 36 セッション
FOUNDSESSIONSTART char 1 FOUNDSESSIONEND char 1 SESSIONNAME varchar 40 PROCESSTHREADID varchar 50 クライアントプロセスの名前
PROCESSTHREADID2 varchar 50 CLIENTPROGRAM varchar 50 クライアントプログラムのファイ
ル
ANCESTORPROCESSTHREADID varchar 50 IPADDRESS char 16 DNSNAME varchar 100 CLIENTCURRDIR varchar 200
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 265 Proprietary and Confidential
G13: XPC (XYGATE Process Control)のデータマッピング XPC のオーディット詳細テーブル
カラム タイプ XPC-I、XPC-E、XPC-S
XPC-D
PARTITIONKEY 218 ページの「一般的な注意 1」を参
照
numeric 4 MOVER で生成
RECORDGMT - 「一般的な注意 2」を参照
timestamp
GMTSEQNO char 2 MOVER で生成 MOVER で生成
RECORDLCT timestamp 日時 日時
RECORDAUDITKEY timestamp MOVER で生成 MOVER で生成
RECORDSESSIONKEY timestamp MOVER で生成 MOVER で生成
SEQNO char 9 シーケンス番号
OUTCOME - 「一般的な注意 3」を参
照 char 1 「XPC の注意
1」を参照 「XPC の注意 1」を参照
WARNINGMODE char 1 TESTMODE char 1 'N' 'N' SEVERITY char 1
ALERTED - 「一般的な注意 4」を参
照 char 1
PRODUCTCODE char 10 MOVER で生成 MOVER で生成
SUBJECT_USERNUMBER_MAJOR char 8 グループ番号
SUBJECT_USERNUMBER_MINOR char 8 ユーザー番号
TARGET_USERNUMBER_MAJOR char 8 (プロセスオーナー)グループ番号
TARGET_USERNUMBER_MINOR char 8 (プロセスオーナー)ユーザー番号
SUBJECTLOGIN varchar 40 ログイン名
SUBJECTSYSTEM varchar 64 リモートシステ
ム
TARGETLOGIN varchar 40 (プロセスオーナー)ログイン名
OBJECTTYPE - オブジェクトタイプ varchar 32 "PROCESS" "PROCESS"
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 266 Proprietary and Confidential
XPC のオーディット詳細テーブル
カラム タイプ XPC-I、XPC-E、XPC-S
XPC-D
OBJECTNAME - オブジェクト名 varchar 200 CPU 番号、ジョブ
番号、優先度、 外部オブジェク
ト、プロセス名、
親プロセス
OPERATION - アクティビティ varchar 128 XPC コマンド
TERMINAL varchar 64 ホーム端末 ホーム端末
MESSAGEID varchar 20 オーディットタ
イプ オーディットタイ
プ
MESSAGECODE varchar 20 「XPC の注意 1」を参照
RULENAME varchar 50 PCGROUP の名
前
RESULT (結果) varchar 256 コメント
XPC の注意 1 XPC の場合、"拒否"の MESSAGECODE は OUTCOME = 3 に変換されます。他の
MESSAGECODE は、OUTCOME = 1 (成功)に変換されます。
XPC のオーディットセッションテーブル
カラム タイプ XPC-I、XPC-E、XPC-S
XPC-D
PARTITIONKEY 218 ページの「一般的な注意 1」を参
照
numeric 4 MOVER で生成
RECORDSESSIONKEY timestamp MOVER で生成 MOVER で生成
RECORDINSTALLKEY timestamp MOVER で生成 MOVER で生成
SESSIONID char 36 Session x(12) FOUNDSESSIONSTART char 1 FOUNDSESSIONEND char 1 SESSIONNAME varchar 40 PROCESSTHREADID varchar 50 プロセス記述子
PROCESSTHREADID2 varchar 50 CLIENTPROGRAM varchar 50 ANCESTORPROCESSTHREADID varchar 50 親プロセスの
記述子
IPADDRESS char 16 DNSNAME varchar 100
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 267 Proprietary and Confidential
XPC のオーディットセッションテーブル
カラム タイプ XPC-I、XPC-E、XPC-S
XPC-D
CLIENTCURRDIR varchar 200
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 268 Proprietary and Confidential
G14: XPQ (XYGATE Password Quality)のデータマッピング
XPQ のオーディット詳細テーブル
カラム タイプ レコードの内容 PARTITIONKEY 218 ページの「一般的な注意 1」を参
照
numeric 4
RECORDGMT - 「一般的な注意 2」を参照
timestamp
GMTSEQNO char 2 MOVER で生成
RECORDLCT timestamp 日時
RECORDAUDITKEY timestamp MOVER で生成
RECORDSESSIONKEY timestamp MOVER で生成
SEQNO char 9 シーケンス番号
OUTCOME - 「一般的な注意 3」を参
照 char 1 「XPQ の注意 1」を参照
WARNINGMODE char 1 TESTMODE char 1 'N' SEVERITY char 1
ALERTED - 「一般的な注意 4」を参
照 char 1
PRODUCTCODE char 10 MOVER で生成
SUBJECTSYSTEM varchar 64 システム名(空の場合は、PQCONFが存在するシステム)
SUBJECTLOGIN varchar 40 対象のログイン名
SUBJECT_USERNUMBER_MAJOR char 8 対象のグループ番号
SUBJECT_USERNUMBER_MINOR char 8 対象のユーザー番号
TARGETLOGIN varchar 40 ターゲットのログイン名
TARGET_USERNUMBER_MAJOR char 8 ターゲットのグループ番号
TARGET_USERNUMBER_MINOR char 8 ターゲットのユーザー番号
OBJECTTYPE - オブジェクトタイプ varchar 32 常に"USER"または"ALIAS"
OBJECTNAME - オブジェクト名 varchar 200 ターゲットのログイン名
OPERATION - アクティビティ varchar 128 "CHANGEPASSWORD"
TERMINAL varchar 64 ホーム端末
MESSAGEID varchar 20 MESSAGECODE varchar 20 「XPQ の注意 1」を参照
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 269 Proprietary and Confidential
XPQ のオーディット詳細テーブル
カラム タイプ レコードの内容 RULENAME varchar 50 PQGROUP
RESULT (結果) varchar 256 result
XPQ の注意 1 XPQ の場合、MESSAGECODE は下記のとおりです。
• 00 (成功)。OUTCOME = 1 (成功)に変換されます。
• 01 (失敗)。OUTCOME = 3 (失敗)に変換されます。
XPQ のオーディットセッションテーブル
カラム タイプ レコードの内容 PARTITIONKEY 218 ページの「一般的な注意 1」を参
照
numeric 4
RECORDSESSIONKEY timestamp MOVER で生成
RECORDINSTALLKEY timestamp MOVER で生成
SESSIONID char 36 Session x(12) FOUNDSESSIONSTART char 1 FOUNDSESSIONEND char 1 SESSIONNAME varchar 40 PROCESSTHREADID varchar 50 プロセス記述子
PROCESSTHREADID2 varchar 50 CLIENTPROGRAM varchar 50 リクエスターオブジェクト
ANCESTORPROCESSTHREADID varchar 50 IPADDRESS char 16 DNSNAME varchar 100 CLIENTCURRDIR varchar 200
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 270 Proprietary and Confidential
G15: XOS (XYGATE Object Security)のデータマッピング
XOS のオーディット詳細テーブル
カラム タイプ レコードの内容 PARTITIONKEY 218 ページの「一般的な注意 1」を参
照
numeric 4
RECORDGMT - 「一般的な注意 2」を
参照 timestamp
GMTSEQNO char 2 MOVER で生成
RECORDLCT timestamp 日時
RECORDAUDITKEY timestamp MOVER で生成
RECORDSESSIONKEY timestamp MOVER で生成
SEQNO char 9 シーケンス番号
OUTCOME - 「一般的な注意 3」を参
照 char 1 「XOS の注意 1」を参照
WARNINGMODE char 1 警告モードのフラグ
TESTMODE char 1 テストフラグ
SEVERITY char 1
ALERTED - 「一般的な注意 4」を参照 char 1
PRODUCTCODE char 10 MOVER で生成
SUBJECTSYSTEM varchar 64 対象のシステム(空の場合は、設
定ファイルのシステム)
SUBJECTLOGIN varchar 40 対象のログイン名
SUBJECT_USERNUMBER_MAJOR char 8 対象のグループ番号
SUBJECT_USERNUMBER_MINOR char 8 対象のユーザー番号
TARGETLOGIN varchar 40 TARGET_USERNUMBER_MAJOR char 8 TARGET_USERNUMBER_MINOR char 8
OBJECTTYPE - オブジェクトタイプ varchar 32 オブジェクトタイプ
OBJECTNAME - オブジェクト名 varchar 200 オブジェクト名
OPERATION - アクティビティ varchar 128 要求のタイプ
TERMINAL varchar 64 ホーム端末
MESSAGEID varchar 20 MESSAGECODE varchar 20 「XOS の注意 1」を参照 RULENAME varchar 50 オブジェクトグループ
RESULT (結果) varchar 256 コメント
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 271 Proprietary and Confidential
XOS の注意 1 XOS の場合、MESSAGECODE は下記のとおりです。
• 01 (許可)。OUTCOME = 1 (成功)に変換されます。
• 02 (レコードなし)。OUTCOME = 2 (レコードなし)に変換されます。
• 03 (拒否)。OUTCOME = 3 (失敗)に変換されます。
XOS のオーディットセッションテーブル
カラム タイプ レコードの内容 PARTITIONKEY 218 ページの「一般的な注意 1」を参
照
numeric 4
RECORDSESSIONKEY timestamp MOVER で生成
RECORDINSTALLKEY timestamp MOVER で生成
SESSIONID char 36 ノード + プロセス記述子
FOUNDSESSIONSTART char 1 FOUNDSESSIONEND char 1 SESSIONNAME varchar 40 PROCESSTHREADID varchar 50 プロセス記述子
PROCESSTHREADID2 varchar 50 CLIENTPROGRAM varchar 50 リクエスターオブジェクト
ANCESTORPROCESSTHREADID varchar 50 IPADDRESS char 16 DNSNAME varchar 100 CLIENTCURRDIR varchar 200
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 272 Proprietary and Confidential
G16: XSM (XYGATE Safeguard Manager)のデータマッピング
XSM のオーディット詳細テーブル
カラム タイプ レコードの内容 PARTITIONKEY 218 ページの「一般的な注意 1」を参照
numeric 4
RECORDGMT - 「一般的な注意 2」を
参照 timestamp
GMTSEQNO char 2 MOVER で生成
RECORDLCT timestamp 日時
RECORDAUDITKEY timestamp MOVER で生成
RECORDSESSIONKEY timestamp MOVER で生成
SEQNO char 9 シーケンス番号
OUTCOME - 「一般的な注意 3」を参照 char 1 OUTCOME: S = 1、F = 3
WARNINGMODE char 1 TESTMODE char 1 'N' SEVERITY char 1
ALERTED - 「一般的な注意 4」を参照 char 1
PRODUCTCODE char 10 MOVER で生成
SUBJECT_USERNUMBER_MAJOR char 8 対象のグループ番号
SUBJECT_USERNUMBER_MINOR char 8 対象のユーザー番号
TARGET_USERNUMBER_MAJOR char 8 TARGET_USERNUMBER_MINOR char 8 SUBJECTLOGIN varchar 40 対象のログイン
SUBJECTSYSTEM varchar 64 システム名
TARGETLOGIN varchar 40
OBJECTTYPE - オブジェクトタイプ varchar 32
OBJECTNAME - オブジェクト名 varchar 200
OPERATION - アクティビティ varchar 128
TERMINAL varchar 64 MESSAGEID varchar 20 MESSAGECODE varchar 20 outcome RULENAME varchar 50
RESULT (結果) varchar 256 result
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 273 Proprietary and Confidential
XSM のオーディットセッションテーブル
カラム タイプ レコードの内容 PARTITIONKEY 218 ページの「一般的な注意 1」を参
照
numeric 4
RECORDSESSIONKEY timestamp MOVER で生成
RECORDINSTALLKEY timestamp MOVER で生成
SESSIONID char 36 セッション
FOUNDSESSIONSTART char 1 FOUNDSESSIONEND char 1 SESSIONNAME varchar 40 PROCESSTHREADID varchar 50 PROCESSTHREADID2 varchar 50 CLIENTPROGRAM varchar 50 ANCESTORPROCESSTHREADID varchar 50 IPADDRESS char 16 IP アドレス
DNSNAME varchar 100 CLIENTCURRDIR varchar 200
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 274 Proprietary and Confidential
G17: XSP (XYGATE Combined Spoolcom Peruse)のデータマッピング
XSP のオーディット詳細テーブル
カラム タイプ レコードの内容 PARTITIONKEY 218 ページの「一般的な注意 1」を参
照
numeric 4
RECORDGMT - 「一般的な注意 2」を参照
timestamp
GMTSEQNO char 2 MOVER で生成
RECORDLCT timestamp 日時データ
RECORDAUDITKEY timestamp MOVER で生成
RECORDSESSIONKEY timestamp MOVER で生成
SEQNO char 9
OUTCOME - 「一般的な注意 3」を参
照 char 1 OUTCOME:N=3 Y=1
WARNINGMODE char 1 TESTMODE char 1 'N' SEVERITY char 1
ALERTED - 「一般的な注意 4」を参
照 char 1
PRODUCTCODE char 10 MOVER で生成
SUBJECT_USERNUMBER_MAJOR char 8 グループ番号
SUBJECT_USERNUMBER_MINOR char 8 ユーザー番号
TARGET_USERNUMBER_MAJOR char 8 TARGET_USERNUMBER_MINOR char 8 SUBJECTLOGIN varchar 40 ログイン名
SUBJECTSYSTEM varchar 64 system TARGETLOGIN varchar 40
OBJECTTYPE - オブジェクトタイプ varchar 32 "SPOOLER"
OBJECTNAME - オブジェクト名 varchar 200 "SPOOLER OBJECT"
OPERATION - アクティビティ varchar 128 コマンド
TERMINAL varchar 64 terminal MESSAGEID varchar 20 XSP-I/XSP-D/XSP-E MESSAGECODE varchar 20 outcome RULENAME varchar 50
RESULT (結果) varchar 256 outcome
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 275 Proprietary and Confidential
XSP のオーディットセッションテーブル
カラム タイプ レコードの内容 PARTITIONKEY 218 ページの「一般的な注意 1」を参照
numeric 4
RECORDSESSIONKEY timestamp MOVER で生成
RECORDINSTALLKEY timestamp MOVER で生成
SESSIONID char 36 Session x(12) FOUNDSESSIONSTART char 1 FOUNDSESSIONEND char 1 SESSIONNAME varchar 40 PROCESSTHREADID varchar 50 PROCESSTHREADID2 varchar 50 CLIENTPROGRAM varchar 50 ANCESTORPROCESSTHREADID varchar 50 IPADDRESS char 16 DNSNAME varchar 100 CLIENTCURRDIR varchar 200
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 276 Proprietary and Confidential
G18: XTR (XYGATE Transaction Router)のデータマッピング
XTR のオーディット詳細テーブル
カラム タイプ レコードの内容 PARTITIONKEY 218 ページの「一般的な注意 1」を参
照
numeric 4
RECORDGMT - 「一般的な注意 2」を
参照 timestamp
GMTSEQNO char 2 MOVER で生成
RECORDLCT timestamp 日時
RECORDAUDITKEY timestamp MOVER で生成
RECORDSESSIONKEY timestamp MOVER で生成
SEQNO char 9 シーケンス番号
OUTCOME - 「一般的な注意 3」を参
照 char 1 「XTR の注意 1」を参照
WARNINGMODE char 1 TESTMODE char 1 'N' SEVERITY char 1
ALERTED - 「一般的な注意 4」を参照 char 1
PRODUCTCODE char 10 MOVER で生成
SUBJECT_USERNUMBER_MAJOR char 8 対象のグループ番号
SUBJECT_USERNUMBER_MINOR char 8 対象のユーザー番号
TARGET_USERNUMBER_MAJOR char 8 TARGET_USERNUMBER_MINOR char 8 SUBJECTLOGIN varchar 40 対象のログイン
SUBJECTSYSTEM varchar 64 システム名
TARGETLOGIN varchar 40
OBJECTTYPE - オブジェクトタイプ varchar 32
OBJECTNAME - オブジェクト名 varchar 200
OPERATION - アクティビティ varchar 128
TERMINAL varchar 64 MESSAGEID varchar 20 MESSAGECODE varchar 20 outcome RULENAME varchar 50
RESULT (結果) varchar 256 result
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 277 Proprietary and Confidential
XTR の注意 1 XTR の OUTCOME コードは下記の 4 つです。
G (許可) TRACL ファイルに定義されたルールに基づいてアクセスが許可さ
れました。
D (拒否) TRACL ファイルに定義されたルールに基づいてアクセスが拒否さ
れました。
S (成功) マクロの実行、ファイルの作成など、いずれかの GUI に代わって
実行された XTR の操作が失敗しました。
F (失敗) マクロの実行、ファイルの作成など、いずれかの GUI に代わって
実行された XTR の操作が失敗しました。
XMA の正規化済みの OUTCOME = 3 (失敗)を選択すると、D と F の両方が含まれます。
XMA の正規化済みの OUTCOME = 1 (成功)を選択すると、G と S の両方が含まれま
す。
XTR のオーディットセッションテーブル
カラム タイプ レコードの内容 PARTITIONKEY 218 ページの「一般的な注意 1」を参
照
numeric 4
RECORDSESSIONKEY timestamp MOVER で生成
RECORDINSTALLKEY timestamp MOVER で生成
SESSIONID char 36 セッション
FOUNDSESSIONSTART char 1 FOUNDSESSIONEND char 1 SESSIONNAME varchar 40 PROCESSTHREADID varchar 50 PROCESSTHREADID2 varchar 50 CLIENTPROGRAM varchar 50 ANCESTORPROCESSTHREADID varchar 50 IPADDRESS char 16 IP アドレス
DNSNAME varchar 100 CLIENTCURRDIR varchar 200
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 278 Proprietary and Confidential
G19: XUA (XYGATE User Authentication)のデータマッピング
XUA のオーディット詳細テーブル
カラム タイプ レコードの内容 PARTITIONKEY 218 ページの「一般的な注意 1」を参照
numeric 4
RECORDGMT - 「一般的な注意 2」を
参照 timestamp
GMTSEQNO char 2 MOVER で生成
RECORDLCT char 26 日時データ
RECORDAUDITKEY MOVER で生成
RECORDSESSIONKEY timestamp MOVER で生成
SEQNO char 9 シーケンス番号
OUTCOME - 「一般的な注意 3」を参照 char 1 1 - 成功、2 - レコードなし、
3 - 失敗
WARNINGMODE char 1 TESTMODE char 1 テストフラグ
SEVERITY char 1
ALERTED - 「一般的な注意 4」を参照 char 1
PRODUCTCODE char 10 XYGATEUA SUBJECT_USERNUMBER_MAJOR char 8 対象のグループ番号
SUBJECT_USERNUMBER_MINOR char 8 対象のユーザー番号
TARGET_USERNUMBER_MAJOR char 8 ターゲットのグループ番号
TARGET_USERNUMBER_MINOR char 8 ターゲットのユーザー番号
SUBJECTLOGIN varchar 40 対象のログイン名
SUBJECTSYSTEM varchar 64 対象のシステム
TARGETLOGIN varchar 40 ターゲットのログイン名
OBJECTTYPE - オブジェクトタイプ varchar 32 USER/ALIAS
OBJECTNAME - オブジェクト名 varchar 200 ターゲットのログイン名
OPERATION - アクティビティ varchar 128 AUTHENTICATE
TERMINAL varchar 64 ホーム端末
MESSAGEID varchar 20 N/A MESSAGECODE varchar 20 result RULENAME varchar 50 UAGROUP RESULT-details of OUTCOME varchar 256 OUTCOME + コメント
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 279 Proprietary and Confidential
XUA のオーディットセッションテーブル カラム タイプ レコードの内容 PARTITIONKEY 218 ページの「一般的な注意 1」を参照
numeric 4
RECORDSESSIONKEY timestamp MOVER で生成
RECORDINSTALLKEY timestamp MOVER で生成
SESSIONID char 36 FOUNDSESSIONSTART char 1 FOUNDSESSIONEND char 1 SESSIONNAME varchar 40 PROCESSTHREADID varchar 50 プロセス記述子
PROCESSTHREADID2 varchar 50 親プロセスの記述子
CLIENTPROGRAM varchar 50 リクエスターオブジェクト
ANCESTORPROCESSTHREADID varchar 50 親オブジェクト
IPADDRESS char 16 IP アドレス
DNSNAME varchar 100 CLIENTCURRDIR varchar 200
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 280 Proprietary and Confidential
G20: Column Usage テーブル
カラム
XA
C-P
06
XPC
-P07
XC
M-P
08
XSP
-P09
XPQ
-P15
XO
S-P1
9
XU
A-P
25
XSM
-P26
XK
M-P
32
XH
E-P3
9
XTR
-P46
BA
SE24
EM
S
MEA
SUR
E
SFG
PARTITIONKEY
RECORDGMT
GMTSEQNO
RECORDLCT X X X X X X X X X X X X X X X
RECORDAUDITKEY
RECORDSESSIONKEY
SEQNO X X X O X X X O X X X X
OUTCOME X X X X X X X X X X X X X
WARNINGMODE X X
TESTMODE X X X X
SEVERITY
ALERTED
PRODUCTCODE
SUBJECTSYSTEM X X X X X X X X X X X X X X X
SUBJECTLOGIN X X X X X X X X X X X X X X X
SUBJECT_USERNUMBER_MAJOR X X X X X X X X X X X X X X X
SUBJECT_USERNUMBER_MINOR X X X X X X X X X X X X X X X
TARGETLOGIN X X X X X
TARGET_USERNUMBER_MAJOR X X X X X
TARGET_USERNUMBER_MINOR X X X X X
OBJECTTYPE - オブジェクトタイプ X X X X X X
OBJECTNAME - オブジェクト名 X X X X X X X X X X X
OPERATION - アクティビティ X X X X X X X X X X
TERMINAL X X X X X X X O X X X X
MESSAGEID X X X X X
MESSAGECODE X X X X X X X X X X X X O X
RULENAME X X X X X X X X
RESULT (結果) X X X X X X X X X X X X
PARTITIONKEY
RECORDSESSIONKEY
RECORDINSTALLKEY
SESSIONID X X X X X X X X X X X X X
FOUNDSESSIONSTART
FOUNDSESSIONEND
XYGATE Merged Audit®リファレンスマニュアル 付録 G: データマッピング
XYPRO Technology Corporation 281 Proprietary and Confidential
カラム
XA
C-P
06
XPC
-P07
XC
M-P
08
XSP
-P09
XPQ
-P15
XO
S-P1
9
XU
A-P
25
XSM
-P26
XK
M-P
32
XH
E-P3
9
XTR
-P46
BA
SE24
EM
S
MEA
SUR
E
SFG
IPADDRESS X X X X
SESSIONNAME
PROCESSTHREADID X X X X X X X X X X
PROCESSTHREADID2 X X X
CLIENTPROGRAM X X X X X X X
ANCESTORPROCESSTHREADID X X X X X
DNSNAME
CLIENTCURRDIR X
キー
システムまたは MOVER で生成
N/A O
XYPRO Technology Corporation 283 Proprietary and Confidential
用語集
本用語集では、ファイル、マクロなどの XMA コンポーネント、および MACONF フ
ァイルと FILTERS ファイルで使用されるキーワードについて説明します。
ADELMAC マクロ ADELMACマクロは日付によるアーカイブセットの削除プロセスを指定した間隔で自
動的に実行できるように実装されています。詳細については、付録E:「XMAホストマ
クロ」(189 ページ~)を参照してください。
ARCMAC ファイル ARCMACはアーカイブバッチジョブのサンプルです。このサンプルは、XMAデータ
テーブルをアーカイブする場合、環境に応じてカスタマイズします。詳細については、
付録E:「XMAホストマクロ 」(189 ページ~)を参照してください。
DISCOVER ファイル DISCOVER ファイルは、MOVER に関する設定情報を含んでいます。また、
XMA_MANAGER で作成および管理されます。このファイルは、変更しないでくださ
い。
DISCOVRA ファイル DISCOVRA ファイルは、アラート専用の MOVER に関する設定情報を含んでいます。
また、XMA_MANAGER で作成および管理されます。このファイルは、変更しないで
ください。
EMSBUILD マクロ システムテンプレートに基づくテンプレートファイルおよび EMSTEMP ファイルを作
成するマクロ。
EMSDDL ファイル XMA の EMS メッセージの DDL レイアウト。
EMSTEMP ファイル XYGATEMA の EMS メッセージのテンプレートレイアウト。
EMS のテンプレートおよびマクロ EMS のメッセージ形式テンプレートでは、EMS に書き込まれるアラートおよびプロ
グラムメッセージからの出力を顧客が必要に応じてトークン化および整理できます。
XYGATE Merged Audit®リファレンスマニュアル 用語集
XYPRO Technology Corporation 284 Proprietary and Confidential
このカスタマイズを実行できるように、下記の 3 つのファイルがインストール時に提
供されます。
EMSBUILD システムテンプレートに基づくテンプレートファイルおよび
EMSTEMP ファイルを作成するマクロ。
EMSDDL EMS メッセージの DDL レイアウト。
EMSTEMP XYGATEMA の EMS メッセージのテンプレートレイアウト。
FILTERS ファイルの EVALUATE_MSG 1.71 より前のリリースでは、レコードがフィルターの条件を満たすと、評価が停止し
ます。レコードが複数の基準に一致する方がよい場合があります。このキーワードは
評価が継続する必要がある場合を表します。
EVALUATE_MSG (CONTINUE|STOP)
デフォルト値:キーワードを省略した場合、デフォルト値は STOP です。
位置:STATUS の直下。
構文チェック:ACTIONTYPE に IGNORE を指定すると、EVALUATE_MSG に
CONTINUE を指定できません。
FILTERS ファイル オーディットおよびプロセスの親データの収集中に各種の MOVER サーバークラスで
使用されるルールセットを含むファイル。このルールセットは、2 つのカテゴリーに
分類されます。1 つ目のカテゴリーは統合 SQL データベースに挿入しないオーディッ
トデータです。2 つ目のカテゴリーはアラートです。指定したイベントが検出される
と、アラートが発行されます。アラートは、TCP/IP Syslog または EMS コレクターに
電子メールで発行するか、指定したカスタムの処理で発行できます。詳細については、
第 2 章「フィルターと FILTERS ファイルの構成」(27 ページ~)を参照してください。
FILTSAMP ファイル FILTSAMP ファイルはインストールで使用する場合がある各種のサンプルフィルター
を含んでいます。このファイルの上部はフィルターおよびアラートのプロセスに追加
された新機能に関する情報も含んでいます。XMA を最初にインストールする場合、
FILTERS ファイルと FILTSAMP ファイルの内容は同じです。インストール済みの
XMA を更新し、既存の FILTERS ファイルをそのままにすると、FILTSAMP のみが更
新されます。
HKEEPER サーバークラス 下記の HOUSEKEEPERサーバークラスを参照してください。
HOUSEKEEPER サーバークラス HOUSEKEEPER サーバークラスでは、下記のタスクが管理されます。
XYGATE Merged Audit®リファレンスマニュアル 用語集
XYPRO Technology Corporation 285 Proprietary and Confidential
• 収集専用の MOVER の起動(設定済みの場合)
• クリーンアッププロセスの覚醒(設定済みの場合)
収集のみのMOVERの"覚醒"時間を変更するには、[Movers Management Menu]のオプ
ション 20 (85 ページ)を使用し、表示されるサブメニューでオプション 10:Setup collect-only server window (95 ページ)を使用します。
クリーンアップパラメーターを変更するには、[Database Menu]のオプション 5:List Archive tasks (89 ページ)を使用します。
MOVER の基準キーワード LOCATION MOVER のターゲット製品のボリュームおよびサブボリューム。同じ XYGATE 製品の
複数のコピーが同じシステムに存在し、インストール済みの 1 つの製品からイベント
のアラートを生成する場合は、製品の LOCATION を指定するだけで十分です。
LOCATION キーワードが存在しない場合は、インストール済みのすべての製品の
MOVER でオーディットイベントがフィルターと比較されます。
MAACL ファイル MAACL ファイルは他の XYGATE 製品との標準化専用に存在します。このファイルは、
XMA でまったく使用されません。
MAHELP ファイル ホストで XMA の管理およびレポートの実行に使用できるマクロのリストを含んでい
ます。
MAIL_LOCAL_DOMAIN ACTIONTYPE が MAIL であるフィルターでは、MAIL_LOCAL_DOMAIN キーワードに
メールドメインを定義する必要があります。このキーワードはメールアラートのオプ
ションです。Lotus など一部のメールサーバーには、ローカルのドメイン名が必要で
す。Microsoft Outlook には、ドメイン名が不要です。詳細については、メール管理者
にお問い合わせください。
MAMGRC ファイル MAMGRC は、XMA_MANAGER のオブジェクトファイルです。
MSTRNODE MSTRNODE ファイルは、XMA_MANAGER で作成および管理されます。リモートノ
ードのオブジェクトファイルサブボリューム(XMAOBJ)に置かれ、XYGATEMA サブ
ボリュームのロケーションが格納されます。
このファイルは編集ファイルですが、変更しないでください。更新する場合は、292ページに記載されている XMA_MANAGERマクロを必ず使用します。
XYGATE Merged Audit®リファレンスマニュアル 用語集
XYPRO Technology Corporation 286 Proprietary and Confidential
MEASMOVE ファイル MEASMOVE は、MEASURE の MOVER のオブジェクトファイルであり、プロセスの
親データを MEASURE で収集します。
MGRSETUP ファイル MGRSETUP ファイルは、XMA_MANAGER の最初の実行の一部として作成されます。
XMA 環境を記述するパラメーターを格納するために使用され、XMA_MANAGER が使
用します。
このファイルは編集ファイルですが、変更しないでください。更新する場合は、292ページに記載されている XMA_MANAGERマクロを必ず使用します。
MOVER 作成コマンドファイル このコマンドファイルは、検出プロセスによって作成されます。このファイルには、
XYGATE 製品インストール環境の SAFEGUARD、EMS、BASE24 の MOVER と、
MEASURE の親データを追加する MOVER の全リストが含まれます。
注:
このファイルを実行すると、DISCOVER という名前のファイルが作成されます。
DISCOVER ファイルには、実際に作成された MOVER に関する情報だけが含まれま
す。
Discoverプロセスでは、HLR MOVERは作成されません。
注:
詳細については、
実行が正常に終了すると、コマンドファイルは削除されます。コピーを残して
おく場合は、コマンドを実行してMOVERを作成する前にコピーを作成してお
く必要があります。
第 5 章「MOVER の構成」(93 ページ~)を参照してください。
MOVER MOVER はサーバークラスです。また、各種の製品のオーディットファイルを読み取
り、アラートを生成し、XMA データベースを更新するプロセスです。
MOVER には、次の 3 つのタイプがあります。
1. アラート専用の MOVER。アラートが生成されるだけです。XMA データベースは
更新されません。
2. 収集専用の MOVER。XMA データベースが更新されるだけです。アラートは生成
されません。
3. アラートの生成と XMA データベースの更新の両方を実行する、通常(アラートと
収集の組み合わせ)の MOVER。
MOVER の種類は下記の 6 つです。
XYGATE Merged Audit®リファレンスマニュアル 用語集
XYPRO Technology Corporation 287 Proprietary and Confidential
1. XYGATE の MOVER。XYGATE モジュールで作成されたオーディットトレイルが
読み取られます。
2. Safeguard の MOVER。Safeguard オーディットトレイルが読み取られます。
3. EMS の MOVER。EMS ログが読み取られます。
4. BASE24 の MOVER。OMF ファイルが読み取られます。
5. HLR MOVER。HLR/DPA オーディットデータが読み取られます。
6. MEASURE の MOVER。MEASURE ログが読み取られます。
詳細については、第 5 章「MOVER の構成」(93 ページ~)を参照してください。
MOVER の基準キーワード SYSTEM MOVER のターゲット製品が存在する NonStop ノードを指定するには、フィルターで
SYSTEM キーワードを使用します。ある特定のシステムからのアラート(または他の
アクション)を受信する場合に、SYSTEM を指定します。このキーワードを指定しな
いと、すべてのノードの MOVER がターゲット製品のオーディットイベントとフィル
ターを比較します。
NEWINST ファイル このファイルは、XMA サブボリュームに存在すると、SQL 環境が作成されていない
ことを XMA_MANAGER に通知するマーカーとして動作します。インストールプロセ
スによって作成され、XMA_MANAGER の最初の実行後に削除されます。このファイ
ルでは、XMA の SQL 環境の作成が成功します。
NEWTBLS NEWTBLS ファイルはサイズ情報など、XMA の SQL テーブルを作成するためのすべ
てのパラメーターを含んでいます。テーブルを最初に作成する前にテーブルのサイズ
を大きくする場合は、このファイルの適切なパラメーターを変更します。詳細につい
ては、第 7 章「XMA データベースの管理」(131 ページ~)を参照してください。
PARSAMP マクロ このファイルはオーディットセッションテーブルおよびオーディット詳細テーブルを
パーティション分割する SQLCI コマンドのサンプルを含んでいます。
詳細については、付録E:「XMAホストマクロ」(189 ページ~)を参照してください。
MOVER の基準キーワード PRODUCT このキーワードを使用して、必要とする MOVER のターゲット製品を指定します。下
記の完全な製品名を入力します。
• BASE24
XYGATE Merged Audit®リファレンスマニュアル 用語集
XYPRO Technology Corporation 288 Proprietary and Confidential
• EMS
• HLR
• MEASURE
• SAFEGUARD
• XYGATExx
PWSTATE ファイル PWSTATE ファイルは、PWSTOP マクロまたは XMA_MANAGER で XMA Pathwayを停止すると、作成されます。Pathway の現在の設定パラメーターが保持されます。
この情報は、XMA_MANAGER の PWCOOL マクロで Pathway を再起動すると、使用
されます。
REMFIN マクロ リモート(非Pathway)ノードでXMAのインストールを完了するには、このマクロを使
用します。このマクロは、XMA_FINISH_INSTALLに相当します。詳細については、
付録E:「XMAホストマクロ 」(189 ページ~)を参照してください。
REMNODES REMNODES ファイルは、XMA_MANAGER で作成および管理されます。また、
MOVER が実行されているリモートノードおよび XMA カタログと MOVER のオブジ
ェクトファイルの保存先のリストを含んでいます。
このファイルは編集ファイルですが、変更しないでください。更新する場合は、292ページに記載されている XMA_MANAGERマクロを必ず使用します。
SFGMOVE ファイル SFGMOVE は、Safeguard の MOVER のオブジェクトファイルです。Safeguard オー
ディットレコードは、データを正規化して XMA データベースに追加する XYGATESRプログラムで読み取られます。
SIEM Security Information and Event Management(セキュリティ情報とイベント管理)。
SNMP_TRAPDEST ACTIONTYPE が SNMP TRAP であるフィルターでは、SNMP_TRAPDEST キーワー
ドにターゲットの SNMP プロセスの IP アドレスおよびポートを定義する必要があり
ます。ポート番号はオプションです。ポート番号を指定しないと、ポート 162 が使用
されます。
XYGATE Merged Audit®リファレンスマニュアル 用語集
XYPRO Technology Corporation 289 Proprietary and Confidential
SNMP_IPPROCESS ACTIONTYPE が SNMP TRAP であるフィルターでは、SNMP_IPPROCESS キーワー
ドに定義済みのポートの TCP/IP プロセスの名前を定義する必要があります。
SNMP_TRAPNUMBER ACTIONTYPE が SNMP TRAP であるフィルターでは、このオプションのキーワード
が使用されて、選択したカスタムのイベント番号が SNMP_TRAP に送信されるメッ
セージに含まれます。値の範囲は、0~32767 です。
SNMP_COMMUNITY ACTIONTYPE が SNMP TRAP であるフィルターでは、SNMP_COMMUNITY キーワ
ードが使用されて、SNMP のコミュニティ名が指定されます。デフォルト値は
PUBLIC です。メッセージの宛先には、異なる COMMUNITY 名が必要です。この要
件はセキュリティ機能です。
SNMP_MESSAGE ACTIONTYPE が SNMP TRAP であるフィルターでは、SNMP_MESSAGE キーワー
ドに SNMP_TRAP アラートとして送信する実際のメッセージを定義する必要があり
ます。テキストとデータ置換トークンの組み合わせを使用できます。メッセージの長
さは、230 文字以下です。
SQLSRV_FTPADDRESS キーワード この MACONF キーワードは、XYGATE Report Manager および XYGATE Configuration Manager の新しい GUI が導入されたため、廃止されました。
SQLSRV_FTPPORT キーワード この MACONF キーワードは、XYGATE Report Manager および XYGATE Configuration Manager の新しい GUI が導入されたため、廃止されました。
SQLSRV_REQUEST_SUBVOL キーワード この MACONF キーワードは、XYGATE Report Manager および XYGATE Configuration Manager の新しい GUI が導入されたため、廃止されました。
TACLSEG コンパイル済みの TACL セグメントファイルは、HP NonStop ホストで XMA 環境を
生成および管理し、XMA レポートを実行する XMA マクロのライブラリを含んでいま
す。このマクロセグメントは、XMA 環境を管理するか、XMA レポートを実行する他
の TACL ユーザーに追加する必要があります。
XYGATE Merged Audit®リファレンスマニュアル 用語集
XYPRO Technology Corporation 290 Proprietary and Confidential
UPDSTAT マクロ このマクロでは、XMAのSQLテーブルに対して統計の更新が行われます。このマクロ
は、Netbatchで定期的なジョブとして実行できます。このファイルを変更する必要は
ありません。詳細については、付録E:「XMAホストマクロ」(189 ページ~)を参照し
てください。
XACCODE ファイル XACCODE ファイルは、XYGATEAC オーディットファイルのメッセージ変換に使用
されます。また、XAC の MOVER で使用されます。このファイルは、XYGATEAC の
結果コードおよび説明のリストを含んでいます。このファイルは、XYPRO Technology が管理しています。このファイルは、変更しないでください。
XMA (SQL)データベース SQLデータベースの詳細については、データベーステーブルの付録B:と付録C:および
付録G:のデータマッピングを参照してください。XMAデータベースの上位は下記のテ
ーブルで構成されます。
• 管理テーブル(付録B:)
このテーブルセットは、XMA Pathway のサーバークラスに関する設定およびプロ
セスの管理情報を含んでいます。
• データテーブル(付録C:)
このテーブルセットはオーディットおよびプロセスの統合親データを含んでいま
す。このテーブルセットは、パーティション分割できます。また、システムが
SQL カタログの 3.50 以降をサポートできる場合は、サイズが 2 ギガバイトを超過
するテーブルを FORMAT 2 オプションで作成できます。
XMA マクロ すべてのXMAマクロを含むTACLセグメントXMA_SEGを追加するには、XMAマクロ
を使用します。詳細については、付録E:「XMAホストマクロ」(189 ページ~)を参照
してください。
XMAHELP マクロ XMA セグメントを追加した後に、「XMAHELP」または「XMA_HELP」と入力する
と、XMA マクロおよび使用方法の概要のリストが表示されます。
XMA_AUDIT_REPORT マクロ XMA_AUDIT_REPORT マクロは、NonStop サーバー(XMA_REPORT)と Report Manager の GUI のいずれで実行されても、ホストオーディットレポートに指定したレ
ポート選択基準で、SQLCI レポートを生成します。
このマクロを XMA_DATETIME_MAKEマクロ(198 ページ)と組み合わせると、バッチ
に送信できるレポートジョブを作成するか、OBEYファイルとして、またはSQLCIレ
XYGATE Merged Audit®リファレンスマニュアル 用語集
XYPRO Technology Corporation 291 Proprietary and Confidential
ポートのTACLマクロの一部としてTACLプロンプトでアドホックレポートを実行でき
ます。OBEYファイルとTACLマクロは、いずれもバッチジョブにすることができます。
詳細については、付録E:「XMAホストマクロ」(189 ページ~)を参照してください。
XMA_DATETIME_MAKEマクロでは、過去の日付が計算されます。このマクロは、
XYGATEMAのカスタマイズ済みのバッチレポートで使用されます。たとえば、毎日
レポートマクロの日付を変更せずに前日のアクティビティの日次バッチレポートを実
行できる変動日付の作成に使用されます。詳細については、付録E:「XMAホストマク
ロ 」(189 ページ~)を参照してください。
XMA_DBVOLUME マクロ XMA セグメントを追加した後に、「XMA_DBVOLUME」と入力すると、XMA データ
ベーステーブルを含むサブボリュームに移動します。デフォルトのサブボリューム名
は、XMADAT です。
XMA_EDIT_FILTERS マクロ XMA_EDIT_FILTERSはホストでFILTERSファイルを編集する推奨される方法です。
このマクロでは、FILTERSファイルのコピーNEWFILTが作成されます。このファイ
ルでは、すべての変更を実行します。このマクロを終了すると、ファイルの構文チェ
ックが自動的に実行されます。エラーが存在しないと、本番環境へのファイルの配置
を確認するメッセージが表示されます。"Yes"の場合は、ファイル名が変更されます。
"No"の場合は、XMA_UPDATE_FILTERSマクロ(209 ページ)を使用すると、後で本番
環境にファイルを配置できます。
XMA_FILTERS_CHECK マクロ XMAセグメントを追加した後に、「XMA_FILTERS_CHECK」と入力すると、
FILTERSファイルの構文およびキーワードの値が評価されます。エラーが検出される
と、エラーの内容と行番号が表示されます。MAIL_BODYファイルもチェックされま
す。詳細については、付録E:「XMAホストマクロ」(189 ページ~)を参照してくださ
い。
XMA_INSTALL_LICENSE マクロ XMAセグメントを追加した後に、「XMA_INSTALL_LICENSE」と入力すると、XMAライセンス(P28F001)が手動で更新されます。マスターノードに新しいライセンスを
インストールすると、XMA_NETWORK_LICENSE_INSTALLで、すべての子ノードに
新しいライセンスをプッシュできます。詳細については、付録E:「XMAホストマク
ロ 」(189 ページ~)を参照してください。
XMA_NETWORK_LICENSE_INSTALL マクロ XMAセグメントを追加した後に、「XMA_NETWORK_LICENSE_INSTALL」と入力
すると、新しいXYGATEMAライセンス(P28F001)がすべての子ノードに手動でプッシ
ュされます。マスターノードに最初に新しいライセンスをインストールするには、
XYGATE Merged Audit®リファレンスマニュアル 用語集
XYPRO Technology Corporation 292 Proprietary and Confidential
XMA_INSTALL_LICENSEマクロを実行する必要があります。詳細については、付録
E:「XMAホストマクロ」(189 ページ~)を参照してください。
XMA_LOAD_DEFINES マクロ XMAセグメントを追加した後に、「XMA_LOAD_DEFINES」と入力すると、SQLデータベースにDEFINESがロードされます。詳細については、付録E:「XMAホストマ
クロ」(189 ページ~)を参照してください。
XMA_MANAGER マクロ XMA_MANAGERマクロは、XMA Pathwayを設定および管理するための主要ツールで
す。このツールでは、MOVERサーバークラスを作成および管理し、データベースを
管理します。詳細については、付録E:「XMAホストマクロ」(189 ページ~)を参照し
てください。
XMA_NETWORK_VERSION マクロ XMAセグメントを追加した後に、「XMA_NETWORK_VERSION」と入力すると、子
ノードのXMAコンポーネントのバージョン情報およびライセンス情報が表示されます。
また、オブジェクトファイルとマスターXMAサブボリュームが比較されます。詳細に
ついては、付録E:「XMAホストマクロ」(189 ページ~)を参照してください。
XMA_PWCOLD マクロ XMAセグメントを追加した後に、「XMA_PWCOLD」と入力すると、XMA Pathwayの設定サブボリュームのPWCONFIGおよびPWSTATEファイルに含まれた設定情報で、
Pathwayが初期化および起動されます。デフォルトのサブボリューム名は、XMAPWです。詳細については、付録E:「XMAホストマクロ」(189 ページ~)を参照してくだ
さい。
XMA_PWCOOL マクロ XMAセグメントを追加した後に、「XMA_PWCOOL」と入力すると、XMA Pathwayが最後のシャットダウン時の設定で再起動します。詳細については、付録E:「XMAホストマクロ」(189 ページ~)を参照してください。
XMA_PWSTOP マクロ XMAセグメントを追加した後に、「XMA_PWSTOP」と入力すると、MOVERサーバ
ークラスがフリーズおよび停止し、PATHMONプロセスがPATHCOMのシャットダウ
ンコマンドで停止します。また、Pathwayの設定情報がPWSTATEファイルに保存さ
れます。詳細については、付録E:「XMAホストマクロ」(189 ページ~)を参照してく
ださい。
XYGATE Merged Audit®リファレンスマニュアル 用語集
XYPRO Technology Corporation 293 Proprietary and Confidential
XMA_PWVOLUME マクロ XMAセグメントを追加した後に、「XMA_PWVOLUME」と入力すると、Pathwayの設定情報を含むサブボリュームに移動します。デフォルトのサブボリューム名は、
XMAPWです。詳細については、付録E:「XMAホストマクロ」(189 ページ~)を参照
してください。
XMA_REPORT マクロ XMA セグメントを追加した後に、「XMA_REPORT」と入力すると、XMA データベ
ースに SQL クエリを生成するための選択基準のメニューが表示されます。レポート
はスプーラーに送信されます。
注:
XMA_SYNTAX_CHECK マクロ
XMA_REPORTマクロでは、SQLCIクエリとレポートライターの機能でレポー
トが生成されます。使用するインストール環境でSQLCIにライセンスが付与さ
れていないと、これらのマクロを使用できません。
XMAセグメントを追加した後に、「XMA_SYNTAX_CHECK」と入力すると、
MACONFファイルの構文チェックが実行されます。詳細については、付録E:「XMAホストマクロ」(189 ページ~)を参照してください。
XMA_UPDATE_FILTERS マクロ XMAセグメントを追加した後に、「XMA_UPDATE_FILTERS」と入力すると、現在
のFILTERSファイルの名前がOLDFILTxxに変更され、NEWFILTファイルは名前が
FILTERSに変更されて本番環境にインストールされます。詳細については、付録E:「XMAホストマクロ」(189 ページ~)を参照してください。
XMA_UNINSTAL 以前、アンインストール処理は、XMA_MANAGER でしか実行できませんでした。こ
のため、XMA 環境が破損している場合は、問題が発生する可能性がありました。この
結果、XMA_MANAGER が実行されませんでした。XMA_UNINSTALL マクロでは、
この問題が解決されています。
XMA_VERSION マクロ XMAセグメントを追加した後に、「XMA_VERSION」と入力すると、マスターノード
にインストールされたXMAのバージョン情報およびライセンス情報が表示されます。
XMA_NETWORK_VERSIONマクロでは、子ノードにインストールされたXMAのバー
ジョン情報およびライセンス情報が表示されます。詳細については、付録E:「XMAホストマクロ」(189 ページ~)を参照してください。
XMA_VOLUME マクロ XMAセグメントを追加した後に、「XMA_VOLUME」と入力すると、XMAインストー
ルサブボリュームに移動します。デフォルトのサブボリューム名は、XYGATEMAで
XYGATE Merged Audit®リファレンスマニュアル 用語集
XYPRO Technology Corporation 294 Proprietary and Confidential
す。詳細については、付録E:「XMAホストマクロ」(189 ページ~)を参照してくださ
い。
XMA_HELP マクロ 「トラブルシューティング 」の章(143 ページ~)のXMAHELPを参照してください。
XYGATEMA MACONF ファイルの構文チェックを実行するプロセスのオブジェクトファイル。
XYGATESR XYGATESR は、Safeguard オーディットレコードを正規化して XMA データベースに
追加するプログラムのオブジェクトファイルです。SRLIB という名前の関連プログラ
ムがあり、これについてもライセンスする必要があります。XYGATESR プログラム
と SRLIB プログラムは、SFGMOVE プログラムと連携して動作します。
XYMOVE XYMOVE は、XYGATE 製品のオーディットトレイルからデータを収集する MOVERのオブジェクトファイルです。次の 2 つのオプションで実行できます。
• CHECKFILTERS は、FILTERS ファイルの構文チェックを実行します。
• XYGATEVER は、XYGATE 製品のサポート対象のバージョンのリストを生成しま
す。
アーカイブマクロ アーカイブマクロでは、アクティブな XMA の SQL データベースからデータが削除さ
れ、アーカイブテーブルセットに情報が挿入されます。このプロセスは、マクロを呼
び出すバッチジョブを作成すると自動化できます。XYGATEMA サブボリュームの
ARCMAC ファイルはカスタムのファイルを作成するためのテンプレートとして使用
できるバッチジョブのサンプルです。詳細については、「ARCMAC ファイル」およ
び第 5 章「MOVER の構成」(93 ページ~)も参照してください。
アラート専用の MOVER アラート専用の MOVER では、アラートが生成されるだけです。XMA データベース
は更新されません。通常、アラート専用の MOVER は、XMA データベースの更新に
必要な EXPAND トラフィックがリモートノードで連続しないように作成されます。
アラート専用の MOVER は収集専用の MOVER と同時に作成されます。収集専用の
MOVER はオフピーク時間帯に"覚醒"して、XMA データベースの当日のオーディット
イベントを更新し、"スリープ"状態になります。
XYGATE Merged Audit®リファレンスマニュアル 用語集
XYPRO Technology Corporation 295 Proprietary and Confidential
コマンド検出ファイル 「MOVER作成コマンドファイル 」(286 ページ)を参照してください。
収集ウィンドウ このウィンドウは、収集専用のサーバークラスが"覚醒"してXMAデータベースを更新
する場合、およびMOVERが"スリープ"に戻る場合に使用されます。収集専用の
MOVERを作成すると、インストール中に収集ウィンドウを指定するように指示され
ます。収集時間を変更するには、[Movers Management Menu]のオプション Alert-Only/Collect-Only/Regular Moversを使用します。
収集専用の MOVER 収集専用の MOVER では、XMA データベースが更新されるだけです。アラートは生
成されません。通常、収集専用の MOVER はアラート専用の MOVER と同時に作成さ
れます。アラート専用の MOVER はリモートノードのアクティビティのアラートを生
成します。通常、収集専用の MOVER は、XMA データベースの更新に必要な
EXPAND トラフィックがリモートノードで連続しないように作成されます。また、オ
フピーク時間帯に"覚醒"して XMA データベースの当日のオーディットイベントを更新
し、"スリープ"状態になります。
データ選択基準 正規化済みのデータレコードの内容に基づいてオーディットイベントを選択するには、
データ選択基準を使用します。ターゲット製品に使用されるすべてのフィールドは、
フィルターでアラートまたはアクションの生成に使用できます。たとえば、ファイル
にアクセスしようとして失敗した場合にアクションを実行するには、次のようにしま
す。
• AUDIT.OUTCOME カラムを使用して、このフィールドが拒否を表しているオーデ
ィットレコードを選択します。
• AUDIT.OBJECTTYPE カラムを使用して、このフィールドがファイルアクセスに
関連していることを表しているオーディットレコードを選択します。
詳細については、第 2 章「フィルターと FILTERS ファイルの構成」(27 ページ~)を参照してください。
フィルター フィルターは、XMA の制御の単位です。フィルターは、次の 2 つの機能を実行します。
• XMA データベースに挿入するデータを指定する。
• フィルターの選択基準に一致するイベントが発生した場合にアクションを実行す
る。
フィルターは下記の 2 つのメインセクション、つまりフィルター定義の論理グループ
で構成されます。
XYGATE Merged Audit®リファレンスマニュアル 用語集
XYPRO Technology Corporation 296 Proprietary and Confidential
• 有用でないオーディットデータをブロックするフィルターおよび IGNORE フィル
ターを含むセクション 1。
• オーディットデータを処理するフィルターを含むセクション 2。
「フィルターキーワードACTIONTYPE」(296 ページ)を参照してください。
フィルターキーワード ACTIONTYPE ACTIONTYPE キーワードでは、フィルターの選択基準に一致するイベントの検出時
に生成されるアラートのタイプが指定されます。ACTIONTYPE は下記のとおりです。
ALERT EMS のアラート。
IGNORE イベントが XMA データベースに追加されません。
IPALERT メッセージが IP アドレス(通常は Syslog)に送信されます。
MAIL 電子メールアラート。
RUNCMD 指定したマクロが呼び出されます。
SETDATA データがオーディット詳細テーブルの USER_DATA カラムに入力
されます。
SNMPTRAP メッセージが SNMP トラップに送信されます。
1 つのフィルターは必要に応じて複数の ACTIONTYPE を含む場合がありますが、
IGNORE は常に最後の ACTIONTYPE である必要があります。
フィルターキーワード ALERT ACTIONTYPE が ALERT である場合は、フィルターの選択基準に一致するイベントが
検出されると、EMS メッセージが送信されます。ALERTTARGET、ALERTSEVERITY、ALERTEMSEVENTNUMBER、および ALERTSTRING も参照し
てください。
フィルターキーワード ALERTTARGET ACTIONTYPEがALERTであるフィルターでは、ALERTTARGETキーワードにEMSメッセージの送信先を定義する必要があります。通常、この送信先はEMSコレクターで
す。この送信先を選択すると、親ノードに存在する 1 つの専用のEMSコレクターにネ
ットワーク上のすべてのノードのすべてのアラートを送信できます。この場合は、マ
スターノードの名前を入力します。デフォルトは \<ノード>.$0
複数のコレクターにアラートを送信する場合は、ALERTTARGET ごとにフィルター
を作成する必要があります。
です。<ノード>はMOVERが実行されているノードです。
構文:
{\SYSTEM.$0|<terminal id>}
XYGATE Merged Audit®リファレンスマニュアル 用語集
XYPRO Technology Corporation 297 Proprietary and Confidential
フィルターキーワード ALERTSEVERITY ACTIONTYPE が ALERT であるフィルターでは、EMS でメッセージを重要とマーク
するかどうかが ALERTSEVERITY キーワードで決定されます。重要度を割り当てな
いと、デフォルト値 NONCRITICAL が使用されます。 構文: ALERTSEVERITY {CRITICAL|NONCRITICAL}
フィルターキーワード ALERTEMSEVENTNUMBER ACTIONTYPE が ALERT であるフィルターでは、専用のイベント番号が
ALERTEMSEVENTNUMBER キーワードで EMS メッセージに割り当てられます。値
の範囲は、1000~32767 です。このパラメーターはオプションです。イベント番号を
割り当てないと、デフォルト値 101 が使用されます。 構文: ALERTEMSEVENTNUMBER <number>
フィルターキーワード ALERTSTRING ACTIONTYPE が ALERT であるフィルターでは、EMS メッセージ"タイトル"がALERTSTRING キーワードで作成されます。指定した ALERTSTRING には、データ
置換トークンを含むことができます。
このキーワードでは、Syslog に送信されるデータ(テキスト)が定義されます。このデ
ータ(テキスト)は、テキストとデータ置換トークンの組み合わせにすることができま
す。長さは 127 文字以下です。127 文字を超過するメッセージは切り捨てられるため、
127 文字を超過するメッセージの場合は ALERTSTRING キーワードを追加します。デ
フォルトはオーディット詳細テーブルの RESULT カラムです。
構文: ALERTSTRING <string>
フィルターキーワード ALERTTOKENS このキーワードはオーディット詳細テーブルおよびオーディットセッションテーブル
のカラムのリストです。
デフォルトはオーディット詳細テーブルおよびオーディットセッションテーブルのす
べてのデータです。 構文: ALERTTOKENS <column>...< column > ALERTTOKENSEND
フィルターキーワード IPALERT ACTIONTYPE が IPALERT である場合は、フィルターの選択基準に一致するイベント
が検出されると、TCP/IP アドレスまたは Syslog コンソールにアラートメッセージが
送信されます。ALERTSTRING、IPALERT_ADDRESS、IPALERT_PORT、IPALERT_PREFIX、および IPALERT_PROCESS も参照してください。
XYGATE Merged Audit®リファレンスマニュアル 用語集
XYPRO Technology Corporation 298 Proprietary and Confidential
フィルターキーワード IPALERT_ADDRESS ACTIONTYPE が IPALERT であるフィルターでは、IPALERT_ADDRESS キーワード
に XMA による Syslog の文字列の送信先である TCP/IP アドレスを定義する必要があ
ります。このキーワードは、IPALERT アクションに必要です。
フィルターキーワード IPALERT_PORT ACTIONTYPE が IPALERT であるフィルターでは、IPALERT_PORT キーワードに
XMA による Syslog の文字列の送信先であるリモートシステムのポートを定義する必
要があります。このキーワードは、IPALERT アクションに必要です。予期される値は
ポート 25 です。
フィルターキーワード IPALERT_PREFIX ACTIONTYPE が IPALERT であるフィルターでは、IPALERT_PREFIX キーワードに
Syslog メッセージに追加されるプレフィックスを定義する必要があります。この接頭
辞はオプションであり、長さは 79 文字以下です。SYSLOGQ 以外のメッセージの場
合、長さは 40 文字以下です。データ置換トークンは、指定できません。
フィルターキーワード IPALERT_PROCESS ACTIONTYPE が IPALERT であるフィルターでは、IPALERT_PROCESS キーワード
に IPALERT メッセージの送信先のポートを管理する TCP/IP プロセスを定義する必要
があります。
フィルターキーワード MAIL ACTIONTYPE が MAIL である場合は、フィルターの選択基準に一致するイベントが検
出されると、電子メールメッセージが送信されます。MAIL_SRV、MAIL_PORT、MAIL_LOCAL_DOMAIN、MAIL_FROM、MAIL_TO、MAIL_SUBJECT、および
MAIL_BODY も参照してください。
フィルターキーワード MAIL_BODY ACTIONTYPE が MAIL であるフィルターでは、MAIL_BODY キーワードに XMA で電
子メールの本文として使用される編集ファイルの保存先を定義する必要があります。
メッセージの外観を書式設定し、テキストとデータ置換トークンの組み合わせを使用
できます。ファイルサイズは、100Kb 以下です。
MAIL_BODY キーワードはオプションです。このキーワードを省略すると、テーブル
の内容全体が電子メールの本文に挿入されます。
FILTERS ファイルの構文チェック時は、テンプレートファイルが存在する必要があり、
内容の構文エラーもチェックされます。
以前は、MAIL_BODY が受け付ける形式は、ファイル名、またはノード名を含む完全
修飾ファイル名の 2 つだけでした。
XYGATE Merged Audit®リファレンスマニュアル 用語集
XYPRO Technology Corporation 299 Proprietary and Confidential
\NODE.$VOL.SUBVOL.FILENAME および FILENAME
現在は、完全修飾されていないファイル名も、フィルターのロケーションまたはオブ
ジェクトファイルのロケーションを使用して、次の規則に従って拡張されるようにな
りました。
• フィルターとオブジェクトファイルが同じノードにある場合は、FILTERS ファイ
ルのロケーションを使用して拡張され、それ以外の場合は、構文チェックの実行
に使用されるオブジェクトファイルのロケーションを使用して拡張されます。
フィルターキーワード MAIL_FROM ACTIONTYPE が MAIL であるフィルターでは、MAIL_FROM キーワードに電子メー
ルアラートの送信元の電子メールアドレスを定義する必要があります。このアドレス
が有効な電子メールアドレスである必要はありません。
フィルターキーワード MAIL_PORT ACTIONTYPE が MAIL であるフィルターでは、MAIL_PORT キーワードに電子メール
の送信に使用される HP NonStop サーバーのポートを定義する必要があります。デフ
ォルトのメールポートは、25 です。
フィルターキーワード MAIL_SRV ACTIONTYPE が MAIL であるフィルターでは、MAIL_SRV キーワードにターゲット
メールサーバーの名前を定義する必要があります。このキーワードはメールアラート
に必須です。システムの管理者から必要な情報を入手してください。
フィルターキーワード MAIL_TO ACTIONTYPE が MAIL であるフィルターでは、MAIL_TO キーワードに電子メールア
ラートの送信先の電子メールアドレスを定義する必要があります。1 つ以上の有効な
電子メールアドレスが必要です。複数の電子メール送信先を定義するには、MAIL_TOキーワードを複数回繰り返します。
フィルターキーワード MAIL_IPPROCESS ACTIONTYPE が MAIL であるフィルターでは、MAIL_IPPROCESS キーワードに
SMTP ゲートウェイで使用される TCP/IP プロセスを定義する必要があります。この
キーワードはメールアラートに必須です。システムの管理者から必要な情報を入手し
てください。
フィルターキーワード MAIL_SUBJECT ACTIONTYPE が MAIL であるフィルターでは、MAIL_SUBJECT キーワードに電子メ
ールの件名を定義する必要があります。データ置換トークンを使用できます。このキ
ーワードはメールアラートに必須です。
XYGATE Merged Audit®リファレンスマニュアル 用語集
XYPRO Technology Corporation 300 Proprietary and Confidential
フィルターキーワード MAXACTIONRATE MAXACTIONRATE キーワードは、EMS スロットルのように動作します。このキーワ
ードには、同じ状況が発生した場合の通知の受信頻度を指定できます。その場合にも、
アクティビティは XMA データベースに書き込まれます。このフィールドによって制
御されるのは、生成されるアラートの数だけです。
このパラメーターを省略すると、アクティビティの発生頻度にかかわらず、該当する
レコードに対してアラートまたはアクション(あるいは両方)が発生します。
注: MAXACTIONRATEに関連する情報は、MOVERサーバークラスオブジェクト内
のコンテキストに格納されます。MOVERサーバークラスを停止および再起動
すると、追加のメッセージが生成される場合があります。FILTERSファイルを
変更すると、MAXACTIONRATEカウンターもリセットされます。
注:
第 6 章
MAXACTIONRATEは、実際のイベントの内容ではなく、同じFILTERの「ヒッ
ト」数が基準になります。たとえば、MAXACTIONRATEを短い時間に設定し、
ファイルを実行して複数のユーザーをSAFECOMで追加すると、ADDイベント
のたびにアラートは発生しません。MESSAGEIDやMESSAGECODEのような
Safeguard選択基準を使用してSafeguardアラートが生成されるレコードを制限
するとよいでしょう。詳細については、 「Safeguardの選択基準」(119ページ~)を参照してください。
構文: MAXACTIONRATE <seconds>
例: MAXACTIONRATE 300
上記の例では、同じフィルターを使用して過去 5 分間(5 分 x 60 秒/分)にイベントが生
成されないと、アラートが作成されます。
フィルターキーワード MAXRECORDAGE MAXRECORDAGE キーワードによって、古くなって問題にする必要がないイベント
に対するアラートを抑止できます。通常、このキーワードは、MOVER が何らかの理
由で停止していて、履歴データを XMA データベースに追加している状況でのみ、役
割を果たします。たとえば、あるユーザーが SUPER.SUPER として直接ログオンし
たことを示すレコードがあるものの、それが先週のイベントであるならば、アラート
を受け取る必要はないでしょう。このような状況では、レポートを実行してそれらの
イベントを確認する方が、現実的な方法です。
このパラメーターを省略すると、アクティビティの実行からの経過時間にかかわらず、
該当するすべてのレコードに対してアラートまたはアクション(またはその両方)が発
生します。 構文: MAXRECORDAGE <seconds>
XYGATE Merged Audit®リファレンスマニュアル 用語集
XYPRO Technology Corporation 301 Proprietary and Confidential
例: MAXRECORDAGE 3600
上記の例では、識別済みのアクティビティの実行からの経過時間が 1 時間(60 分 x 60秒/分)以内である場合のみ、アラートが生成されるか、アクションが実行されます。
フィルターキーワード MAXCOMPLETIONTIME MAXCOMPLETIONTIME キーワードには、ACTIONTYPE が RUNCMD である場合の
タイムアウトパラメーターが設定されます。RUNCMD ブロックに指定した処理を指
定した時間で完了できない場合は、エラーメッセージが生成され、処理が続行します。
このパラメーターのデフォルト値は、300 秒(5 分)です。 構文: MAXCOMPLETIONTIME <seconds>
例: MAXCOMPLETIONTIME 120
上記の例では、2 分(2 分 x 60 秒/分)後にエラーメッセージが生成され、処理が続行し
ます。
フィルターキーワード RUNCMD この ACTIONTYPE では、カスタムプロセスを実行できます。また、TACL (非ブロッ
クモード)から実行できるプロセスを含みます。
ACTIONTYPE が RUNCMD である場合は、MAXCOMPLETIONTIME を常に設定する
必要があります。MAXCOMPLETIONTIME を設定しないと、MOVER で後続のオーデ
ィットレコードを引き続き処理できません。
実行するすべての処理は、RUNCMDDEFBEGINキーワードとRUNCMDDEFENDキー
ワードの間に記述する必要があります。構造体TCLEXCの情報は、指定したカスタム
処理の実行中に取得できます。この構造体の詳細については、付録E:「XMAホストマ
クロ」(189 ページ~)を参照してください。
フィルターキーワード SETDATA この ACTIONTYPE では、フィルターの選択基準に一致するイベントが検出されると、
オーディット詳細テーブルの USER_DATA カラムに定義済みの文字列が入力されま
す。文字列の長さは、16 文字以下です。
カラムの内容は、レポートを実行するための選択基準として使用できますが、フィル
ター自体でデータがカラムに追加されるため、フィルター選択基準として使用できま
せん。 構文: ACTION_BEGIN ACTIONTYPE SETDATA
XYGATE Merged Audit®リファレンスマニュアル 用語集
XYPRO Technology Corporation 302 Proprietary and Confidential
AUDIT.USER_DATA <string> ACTION_END
例: ACTION_BEGIN ACTIONTYPE SETDATA AUDIT.USER_DATA SFG-Config ACTION_END
この例では、フィルターの選択基準に一致するオーディットレコードが検出されるた
びに、オーディット詳細テーブルの USER_DATA カラムに文字列"SFG-Config"が挿
入されます。この場合は、Safeguard の設定に変更を反映する Safeguard オーディッ
トイベントがフィルターで選択されます。
フィルターキーワード SNMP TRAP ACTIONTYPE が SNMP TRAP であるフィルターでは、フィルターの選択基準に一致
するイベントが検出されると、定義済みの SNMP TRAP にメッセージが送信されます。
SNMP_TRAPDEST、SNMP_IPPROCESS、SNMP_TRAPNUMBER、
SNMP_COMMUNITY、および SNMP_MESSAGE も参照してください。
XYPRO Technology Corporation 303 Proprietary and Confidential
索引
A
ALERTSTRING ............ 45, 47, 48, 61, 66, 297
ArcSight アダプター ...................................... 14
AutoInstall スクリプト ...................................... 1 デフォルト値とユーザー定義値 ..................... 3 デフォルト値またはデフォルトロケーション ..... 4 実行 ........................................................... 7
AutoInstall スクリプト:XMA のアンインストール
................................................................ 23
C
CNVRTIP プログラム ................................... 22
Column Usage テーブル ............................ 280
D
Database Management Menu ..................... 88
E
EMS アラート ............................................... 45
EVALUATE_MSG キーワード ...................... 33
F
FILTERS:構成 ............................................ 27
FILTERS ファイル:ノード条件処理 ................ 57
FILTERS ファイル:編集 ............................... 27
I
IGNORE アクション ...................................... 46
IPALERT ..................................................... 60
IWIZARD スクリプト .................................. 8, 23
M
MEASURE の MOVER テーブル ................. 160
MOVER 追加方法 ...................................................97
MOVER:BASE24 ...................................... 108
MOVER:HLR ............................................ 109
MOVER:MEASURE のテーブル ................. 160
MOVER:サーバークラスの命名規則 .............96
MOVER:タイプ .............................................93
MOVER:タイプの変更 ..................................95
MOVER:ハウスキーピングサーバー ........... 104
MOVER:パラメーター ................................. 111
MOVER:メールキューサーバー................... 104
MOVER:埋め込みサーバークラス ............... 104
MOVER:時間範囲 ..................................... 116
MOVER:検出を使用した自動構成 ................97
MOVER:構成 ..............................................93
MOVER:起動 ............................................ 205
MOVER:選択キーワード ..............................34
Movers Management Menu .........................85
P
Pathway Management Menu .......................84
PCI 要件 ................................ xxi, 60, 109, 188
R
Report Selection 画面 ............................ 70, 80
XYGATE Merged Audit®リファレンスマニュアル
索引
XYPRO Technology Corporation 304 Proprietary and Confidential
S
Safeguard MessageID ............................................ 125
Safeguard:EMS エラーメッセージ ............... 127
Safeguard:OBJECTTYPE ........................ 119
Safeguard:メッセージコード ........................ 121
Safeguard:操作 ........................................ 120
Safeguard:選択基準 ................................. 119
SETDATA アクションの構成 ......................... 53
SIEM:Log Adapter のインストール ............... 14
SIEM:XYGATEMA の構成 .......................... 60
SIEM:通信のトラブルシューティング ............. 64
SLSENDER ........................................ 60, 105
SNMP TRAP アラート .................................. 54
SRLIB ファイル.................. 21, 87, 98, 193, 207
SYSLOGQ .................................................. 60
SYSLOGQ:フィルターの構成 ....................... 62
SYSLOG アラート:TCP/IP ........................... 47
SYSLOG アラート:UDP ............................... 46
SYSLOG メッセージ ..................................... 65
T
TCLEXC........................................ 40, 53, 211
TMF 関連のパラメーター ............................ 116
U
Uninstall Menu ............................................ 91
UPD フィルターの構成 .................................. 62
X
XMA Manager ............................................. 83
Database Management Menu ..................88 Movers Management Menu ......................85 Pathway Management Menu ....................84 Uninstall Menu ..........................................91
XMA Manager:Management Main Menu .....83
XMA Manager:XMA オーナーとしての実行 ...91
XMA_EDIT_FILTERS ..................................28
XMA_REPORT マクロ .................. 69, 195, 293
XMAHELP/XMA_HELP ............................. 143
XMA オーディットレポート:生成 ......................69
XMA コンポーネント...................................... xxi
XMA データベース:データテーブルのサイズ変更
............................................................... 139
XMA データベース:パーティショニング ......... 140
XMA データベース:古いレコードの削除 ....... 131
XMA データベース:日常的な管理 ................ 137
XMA データベース:管理.............................. 131
XMA のアップグレード:AutoInstall の使用 ......16
XMA のアップグレード:データベースの変換 ...22
XMA のアンインストール:自動アンインストール
の実行 ......................................................23
XMA のインストール ....................................... 1 AutoInstall デフォルト値とユーザー定義値 . 3 AutoInstall の使用 ...................................... 1
XMA のインストール:Autoinstall、実行 ........... 7
XMA のインストール:GUI/PC 製品 ................25
XMA のインストール:MOVER 選択キーワード34
XMA のインストール:レポートの生成 .............26
XMA のインストール:自動アンインストールの実
行 .............................................................23
XMA ホストマクロ ........................................ 189
XYGATE Merged Audit®リファレンスマニュアル
索引
XYPRO Technology Corporation 305 Proprietary and Confidential
XMA ホストマクロ:ADELMAC .................... 189
XMA ホストマクロ:ARCMAC ...................... 190
XMA ホストマクロ:CLEANDB ..................... 191
XMA ホストマクロ:EMSBUILD ................... 192
XMA ホストマクロ:PARSAMP .................... 192
XMA ホストマクロ:REMFIN ........................ 193
XMA ホストマクロ:UPDSTAT ..................... 194
XMA ホストマクロ:XMA_AUDIT_REPORT . 195
XMA ホストマクロ:XMA_DATETIME_MAKE .............................................................. 198
XMA ホストマクロ:XMA_DBVOLUME ........ 199
XMA ホストマクロ:XMA_EDIT_FILTERS ... 200
XMA ホストマクロ:XMA_FILTERS_CHECK 201
XMA ホストマクロ:XMA_INSTALL_LICENSE .............................................................. 203
XMA ホストマクロ:XMA_LOAD_DEFINES . 203
XMA ホストマクロ:
XMA_NETWORK_FILTERS_CHECK .... 204
XMA ホストマクロ:
XMA_NETWORK_LICENSE_INSTALL . 204
XMA ホストマクロ:
XMA_NETWORK_VERSION ................. 204
XMA ホストマクロ:XMA_PWCOLD ............ 205
XMA ホストマクロ:XMA_PWCOOL ............ 205
XMA ホストマクロ:XMA_PWSTOP ............. 205
XMA ホストマクロ:XMA_PWVOLUME ....... 206
XMA ホストマクロ:XMA_SQLCOMPALL .... 206
XMA ホストマクロ:XMA_SYNTAX_CHECK 208
XMA ホストマクロ:XMA_UPDATE_FILTERS .............................................................. 209
XMA ホストマクロ:XMA_VERSION ............. 210
XMA ホストマクロ:XMA_VOLUME .............. 210
XYGATESR モジュール .................. 12, 98, 207
オ
オーディットロギングアプライアンス:XMA データ
の送信 ......................................................60
オーディットログアプライアンス:通信 ............ 144
オーディットログウェアハウス:データ解析 ..... 147
カ
管理テーブル .............................................. 153
ク
クイックリファレンス ....................................... xiii
サ
サーバークラスの命名規則 ............................96
デ
データテーブル............................................ 171
データマッピング ......................................... 223 Column Usage テーブル .......................... 280 XKM ....................................................... 263 XOS ....................................................... 270 XPC ........................................................ 265 XPQ ....................................................... 268 XSM ....................................................... 272 XTR ........................................................ 276 XUA ........................................................ 278
データマッピング:BASE24 .......................... 231
データマッピング:EMS ................................ 242
データマッピング:HLR ................................. 235
データマッピング:MEASURE ...................... 250
XYGATE Merged Audit®リファレンスマニュアル
索引
XYPRO Technology Corporation 306 Proprietary and Confidential
データマッピング:Safeguard ....................... 252
データマッピング:XAC ................................ 255
データマッピング:XCM ............................... 258
データマッピング:XHE ................................ 261
データマッピング:XSP ................................ 274
データマッピング:テーブルの使用方法 ........ 230
電子メールアラート ....................................... 48
ト
トラブルシューティング ........................ 117, 143
ハ
ハウスキーピングサーバー ......................... 104
フ
フィルター ..................................................... 27
フィルター:オーディットロギングアプライアンス 60
フィルター:サンプル .................................... 179
フィルター:フィルターの作成 .......................... 32
フィルター:構文 ............................................ 29
マ
マクロ .......................... See XMA Host Macros
メ
メールキューサーバー................................. 104
レ
レポート:カスタムの作成 ............................. 195