xygate merged audit®リファレンスマニュアル

XYGATE Merged Audit®

リファレンスマニュアル

HP 品番： 628976-004J 出版年月：2012 年 6 月版：J06.03 およびそれ以降の J シリーズ RVU。H06.03 およびそれ以降の J シリーズ RVU。G06.10 およびそれ以降の G シリーズ

RVU。

© Copyright 2012 Hewlett-Packard Development Company, L.P

免責事項

本書で取り扱っているコンピューターソフトウェアは秘密情報であり、その保有、使用、または複製には、HP から使用許諾を得る必要があります。

FAR12.211 および 12.212 に従って、商業用コンピューターソフトウェア、コンピューターソフトウェアドキュメンテーション、および商業用製品の

技術データ(Commercial Computer Software, Computer Software Documentation, and Technical Data for Commercial. Items)は、ベンダー標準の商業用使用許

諾のもとで米国政府に使用許諾が付与されます。

本書の内容は、将来予告なしに変更されることがあります。HP 製品およびサービスに対する保証については、当該製品およびサービスの保証規定書

に記載されています。本書のいかなる内容も、新たな保証を追加するものではありません。本書の内容につきましては万全を期しておりますが、本

書中の技術的あるいは校正上の誤り、省略に対して、いかなる責任も負いかねます。

本書に記載されている情報を国外に持ち出すときは、米国商務省の認可を必要とする場合があります。

Microsoft、Windows、および Windows NT は米国における Microsoft Corporation の登録商標です。

Intel、Pentium、および Celeron は、米国およびその他の国における Intel Corporation またはその子会社の商標または登録商標です。

Java は米国における Sun Microsystems, Inc.の商標です。

Motif、OSF/1、UNIX、X/Open、および"X"デバイスは米国およびその他の国における The Open Group の登録商標です。IT DialTone および The Open Group は米国およびその他の国における The Open Group の商標です。

Open Software Foundation、OSF、OSF のロゴ、OSF/1、OSF/Motif、および Motifは The Open Software Foundation, Inc.の商標です。OSFは、この OSF に

関する資料について、商業性および特定目的への適合性に関する黙示的保証などを含めて、いかなる種類の保証も行いません。OSF は、本書中の誤

り、あるいは本書の設置、性能、あるいは使用によって生じた付随的、派生的な損害に関して一切責任を負いません。

© 1990, 1991, 1992, 1993 Open Software Foundation, Inc. The OSF documentation and the OSF software to which it relates are derived in part from materials supplied by the following:© 1987, 1988, 1989 Carnegie-Mellon University.© 1989, 1990, 1991 Digital Equipment Corporation.© 1985, 1988, 1989, 1990 Encore Computer Corporation.© 1988 Free Software Foundation, Inc. © 1987, 1988, 1989, 1990, 1991 Hewlett-Packard Company.© 1985, 1987, 1988, 1989, 1990, 1991, 1992 International Business Machines Corporation.© 1988, 1989 Massachusetts Institute of Technology.© 1988, 1989, 1990 Mentat Inc. © 1988 Microsoft Corporation.© 1987, 1988, 1989, 1990, 1991, 1992 SecureWare, Inc. © 1990, 1991 Siemens Nixdorf Informationssysteme AG.© 1986, 1989, 1996, 1997 Sun Microsystems, Inc. © 1989, 1990, 1991 Transarc Corporation.OSF software and documentation are based in part on the Fourth Berkeley Software Distribution under license from The Regents of the University of California.OSF acknowledges the following individuals and institutions for their role in its development:Kenneth C.R.C. Arnold, Gregory S. Couch, Conrad C. Huang, Ed James, Symmetric Computer Systems, Robert Elz.© 1980, 1981, 1982, 1983, 1985, 1986, 1987, 1988, 1989 Regents of the University of California.

Copyright © 2012 XYPRO Technology Corporation.All rights reserved.

本書および本書に記載されているソフトウェアはライセンス契約または機密保持契約の下に提供されます。本ソフトウェアは、契約条件に従う場合

にのみ使用または複製できます。本書の使用には契約条件の受諾が必要です。本書のいかなる部分に対しても、XYPRO Technology Corporation の書面

による同意なしに、いかなる目的でも、複製、検索システムへの保存、および複写、記録、別のプログラミング言語への変換など、電子的または機

械的な形式あるいは手段による送信を行うことはできません。-

商標 XYGATE および XYPRO は、XYPRO Technology Corporation の登録商標です。その他のすべてのブランドまたは製品名、商標、または登録商標は、そ

れぞれの所有者に帰属します。

出版履歴

ソフトウェアバージョン

説明出版年月

1.71 新しいテンプレート向けに再フォーマット、章および付録の構成を変更。 2010 年 8 月

1.71 フォーマットを更新し、Acrobat のブックマークを追加。 2010 年 8 月

1.71 XMI のインストール手順を追加し、第 1 章を再編成。 2010 年 10 月

1.80 HLR MOVER を追加し、QA を更新。新しい『Using XMI』のドキュメントで XMI を改

訂。 2011 年 5 月

1.83 「SIEM Log Adapterのインストール」を追加。付録A「MACONFファイル」を追加、」

を追加。付録G2:「カラムの説明」を追加 2011 年 11 月

1.90 メッセージIDの選択をXMA_REPORTマクロに追加(§3.1)、項目 17 の選択をD/bMMに追

加( 4.5§ )、MOVERサーバークラスパラメーターの格納方法を変更( 5.7§ )、両方のTMF関連

のパラメーター( 5.7.2§ )のデフォルトを変更、PRIORITYキーワードを改訂( A8:付録 )、一

般的な注意 1 を更新( G1:付録 )、XYGATE SSHの特別な処理に関する段落を追加(G6:

付録

2012 年 2 月

)、XYGATESRの用語集の定義を更新(294 ページ)。

1.95 1.95 より前のXMAバージョンのアップグレードを追加（§1.5)、FILTERファイルのバージ

ョン番号に関する注意を追加( 2.1§ )、 2.6§ から 2.6.3§ までの更新、PRIORITYキーワード

は廃止(付録 A8:

2012 年 6 月

)、QC D/Bについて全体を更新。

目次

XYPRO Technology Corporation v Proprietary and Confidential

よく使用するタスクのクイックリファレンス ..................................................................................... xiii

はじめに ......................................................................................................................... xix

XMAコンポーネント ............................................................................................. xxi

XMAにおけるPCI要件の分類 ............................................................................. xxi

一般構文表記 ................................................................................................... xxii

その他のXYPROリファレンスマニュアル ............................................................ xxiv

第 1 章 XMAのインストール .............................................................................................. 1

1.1 インストール手順を開始する前に ................................................................. 1

1.2 自動インストールスクリプトを使用したXMAのインストール ............................ 11.2.1 AutoInstallスクリプトによるインストールの準備 ............................. 11.2.2 AutoInstallスクリプトツールの使用 .............................................. 61.2.3 AutoInstallスクリプトの実行を開始する前に ................................. 71.2.4 AutoInstallスクリプトの実行 ........................................................ 8

1.3 SIEM Log Adapterのインストール ..............................................................141.3.1 ArcSightアダプター ...................................................................141.3.2 アダプターのインストール ...........................................................14

1.4 AutoInstallを使用したXMAまたはXTRのアップグレード ...............................161.4.1 AutoInstallアップグレードスクリプトの実行 ..................................17

1.5 アップグレードに関する留意事項 ................................................................221.5.1 CNVRTIPを使用したデータベース変換 ......................................22

1.6 Auto Uninstallを使用したXMAまたはXTRのアンインストール ......................231.6.1 AutoUninstallスクリプトの準備 ...................................................231.6.2 GUI/PC製品のインストール .......................................................25

1.7 XYGATE Report Manager (XRM)を使用してレポートを生成する ................26

第 2 章フィルターとFILTERSファイルの構成 ....................................................................27

2.1 FILTERSファイルの編集方法 ....................................................................27

2.2 フィルターの構文 .......................................................................................292.2.1 論理ANDと論理OR ...................................................................30

XYGATE Merged Audit®リファレンスマニュアル目次

XYPRO Technology Corporation vi Proprietary and Confidential

2.3 フィルターの作成 .......................................................................................322.3.1 手順 1. フィルターの名前を指定する ...........................................322.3.2 手順 2. フィルターのステータスをセットする .................................322.3.3 手順 3:EVALUATE_MSGキーワードをセットする ........................332.3.4 手順 4. フィルターのMOVERを定義する .....................................342.3.5 手順 5. フィルターのデータ選択基準を定義する ..........................372.3.6 手順 6. FILTERのアクションを定義する ......................................432.3.7 手順 7. FILTERSファイルの構文チェック ....................................562.3.8 手順 8. アラートをテストする .......................................................57

2.4 FILTERSファイルでのノード条件処理 .........................................................572.4.1 ノード条件演算子 ......................................................................57

2.5 メールアラート、IPALERTアラート、SNMPアラートのTCP/IPプロセスを指定す

る ................................................................................................................592.5.1 手順 1. WHOコマンドを実行する ................................................592.5.2 手順 2. INFO PROCESSを実行する .........................................59

2.6 XMAデータのオーディットロギングアプライアンスへの送信 ..........................602.6.1 SIEM実装のためのフィルターの構成 ..........................................612.6.2 UDPでデータを送信するフィルターの構成 ..................................622.6.3 SYSLOGQフィルターの構成 ......................................................622.6.4 SIEMアプライアンスとの通信のトラブルシューティング .................642.6.5 XMA SYSLOGメッセージの構文解析 .........................................65

第 3 章 XRMを使用したレポートの生成 ............................................................................69

3.1 XMA_REPORTを使用したオーディットレポートの生成 ................................69

3.2 オーディットサブボリュームの選択 ..............................................................70

3.3 日付範囲、時刻範囲、またはその両方による選択 .......................................71

3.4 対象のユーザーIDによる選択 ....................................................................71

3.5 対象のログイン名による選択 .....................................................................72

3.6 システムによる選択 ...................................................................................73

3.7 対象の端末による選択 ..............................................................................73

3.8 対象のオブジェクトタイプによる選択 ...........................................................74

3.9 オブジェクト名による選択 ...........................................................................74

3.10 操作による選択 .........................................................................................75

3.11 結果による選択 .........................................................................................76

3.12 ファイルの出力先の選択 ............................................................................76

3.13 レポートのソート順の選択 ..........................................................................77


XYPRO Technology Corporation vii Proprietary and Confidential

3.14 ルール名による選択 ..................................................................................77

3.15 XYGATE製品コードによる選択 ..................................................................78

3.16 ALERTEDカラムによる選択 ......................................................................78

3.17 RESULTカラム内のテキストによる選択 ......................................................79

3.18 メッセージコードによる選択 ........................................................................79

3.19 メッセージIDによる選択 .............................................................................79

3.20 レポートの実行 ..........................................................................................79

3.21 アーカイブテーブルからのレポートの実行 ...................................................81

第 4 章 XMA_MANAGERの使用 ....................................................................................83

4.1 はじめに ...................................................................................................83

4.2 XYGATEMA Management Main Menu .....................................................834.3 Pathway Management Menu ...................................................................834.4 Movers Management Menu .....................................................................854.5 Database Management Menu ..................................................................884.6 Uninstall Menu .........................................................................................914.7 XMA_MANAGERナビゲーションヒント .......................................................91

4.8 XMA_MANAGERのXMAオーナーとしての実行 .........................................91

第 5 章 MOVERの構成 ...................................................................................................93

5.1 MOVERタイプ ...........................................................................................935.1.1 アラート専用のMOVER .............................................................935.1.2 収集専用のMOVER ..................................................................935.1.3 標準(アラートと収集の組み合わせ) ............................................945.1.4 MOVERタイプの変更 ................................................................955.1.5 異なるサーバータイプを管理するツール ......................................95

5.2 MOVER追加前の決定事項 .......................................................................955.2.1 MOVERサーバークラスの命名規則 ...........................................965.2.2 XMA_MANAGERナビゲーションヒント .......................................97

5.3 MOVERの追加方法 ..................................................................................975.3.1 検出を使用したMOVERの自動構成 ...........................................975.3.2 リモートカタログの作成 ............................................................ 103

5.4 埋め込みサーバークラス .......................................................................... 1045.4.1 ハウスキーピングサーバー(HKEEPER) ................................... 1045.4.2 メールキューサーバー(MQREADER) ....................................... 104


XYPRO Technology Corporation viii Proprietary and Confidential

5.4.3 syslog送信サーバー(SLSENDER) .......................................... 1055.4.4 IPアドレス解決(IPRESLVR) .................................................... 107

5.5 BASE24 MOVER ................................................................................... 1085.5.1 BASE24 EMSテンプレート ....................................................... 108

5.6 HLR MOVER ......................................................................................... 1095.6.1 重要な注意事項 ...................................................................... 111

5.7 MOVERパラメーター ............................................................................... 1115.7.1 MEASURE関連のパラメーター ................................................ 1155.7.2 TMF関連のパラメーター .......................................................... 116

5.8 時間範囲 ................................................................................................ 116

5.9 MOVERに関する問題のトラブルシューティング ........................................ 117

第 6 章 Safeguardの選択基準 ..................................................................................... 119

6.1 Safeguard OBJECTTYPE ...................................................................... 119

6.2 Safeguardの操作 ................................................................................... 120

6.3 Safeguardメッセージコード ...................................................................... 121

6.4 Safeguard MessageID ........................................................................... 1256.5 SafeguardのEMSエラーメッセージ ........................................................... 127

第 7 章 XMAデータベースの管理 .................................................................................. 131

7.1 古いレコードの削除 ................................................................................. 1317.1.1 選択的なアーカイブおよびクリーンアップ ................................... 1317.1.2 XMAデータベースのアーカイブ ................................................ 1347.1.3 クリーンアップによる古いデータレコードの削除 .......................... 136

7.2 データベースの日常的な管理 ................................................................... 1377.2.1 FUPリロードの実行 ................................................................. 1387.2.2 Update Statistics .................................................................... 138

7.3 データテーブルのサイズ変更 ................................................................... 1387.3.1 テーブルのデフォルトサイズ ..................................................... 1397.3.2 サイズの設定方法 ................................................................... 139

7.4 XMAデータベースのパーティション分割 .................................................... 140

第 8 章トラブルシューティング ....................................................................................... 143

8.1 XMAHELP/XMA_HELP .......................................................................... 1438.1.1 XYMOVEの機能 ..................................................................... 1438.1.2 XYMOVEのCHECKFILTERSオプション .................................. 143


XYPRO Technology Corporation ix Proprietary and Confidential

8.1.3 XYMOVEのXYGATEVERオプション ....................................... 144

8.2 オーディットログアプライアンスシステムとの通信 ....................................... 1448.2.1 IPALERTフィルターのステータスがアクティブであることの確認 .. 1448.2.2 PathwayおよびMOVERが実行中であることの確認 .................. 1458.2.3 ログウェアハウスへのSyslogテストメッセージの送信 ................. 1468.2.4 ログウェアハウスシステムへのPing .......................................... 146

8.3 オーディットログウェアハウスのデータ解析 ............................................... 147

付録A: MACONFファイル ............................................................................................. 149

A1: MACONFファイルのキーワード ................................................................ 149

A2: COLLECTOR ......................................................................................... 149A3: COMPANY_NAME ................................................................................ 150A4: HOMETERM .......................................................................................... 150A5: MACRO_NAME ..................................................................................... 150A6: PATHMON_NAME ................................................................................ 151A7: PERUSE_OBJECT ................................................................................ 151A8: PRIORITY .............................................................................................. 151

付録B: 管理テーブル .................................................................................................... 153

B1: XYGATEのMOVER設定テーブル ........................................................... 154

B2: XYGATEのMOVER状態テーブル ........................................................... 156

B3: EMSのMOVERテーブル = XMA__EMSMVTBL ...................................... 158

B4: EMSのMOVERパラメーターテーブル = XMA_EMSMVPARAMSTBL ....... 158

B5: EMSのMOVER状態テーブル = XMA_EMSMVSTATETBL ...................... 159

B6: MEASUREのMOVERテーブル ............................................................... 159

B7: SafeguardのMOVERテーブル = XMA_SFGMVTBL ................................ 161

B8: SafeguardのMOVERパラメーターテーブル = XMA_SFGMVPARAMSTBL

... .............................................................................................................. 161

B9: SafeguardのMOVER状態テーブル ......................................................... 161

B10: BASE24 MOVERテーブル ...................................................................... 163

B11: BASE24 パラメーターテーブル ................................................................. 164

B12: BASE24 状態テーブル ............................................................................ 164

B13: TCP/IP Syslogテーブル .......................................................................... 166

B14: HLR MOVERテーブル ............................................................................ 166


XYPRO Technology Corporation x Proprietary and Confidential

B15: HLRパラメーターテーブル ........................................................................ 166

B16: HLR状態テーブル ................................................................................... 167

B17: アーカイブテーブル .................................................................................. 167

B18: PARAMSテーブル .................................................................................. 169

B19: SESSIONOIPテーブル ........................................................................... 169

付録C: データテーブル .................................................................................................. 171

C1: ファイルのパーティション分割 ................................................................... 171

C2: XYGATE製品構成テーブル ..................................................................... 171

C3: ServerclassNAME .................................................................................. 171C4: XYGATE製品のインストール先 ................................................................ 172

C5: AUDITFILEMASK <ファイル名マスク> .................................................... 172

C6: AUDITFILECODE <ファイルコード> ........................................................ 173

C7: オーディット製品テーブル = XMA_AUDPRODUCTTBL ............................ 173

C8: オーディットインストールテーブル = XMA_AUDINSTALLTBL .................... 173

C9: オーディットセッションテーブル = XMA_AUDSESSIONTBL ...................... 173

C10: オーディット詳細テーブル = XMA_AUDITDETAILTBL .............................. 175

C11: XMAテーブルの手動削除 ........................................................................ 175

付録D: サンプルフィルター ............................................................................................ 179

D1: $CMONの"I'm Alive"メッセージの除外 ..................................................... 179

D2: XPCのステータスコマンドの除外 .............................................................. 180

D3: 自身のユーザーデータベースを読み取るSafeguardの除外 ....................... 181

D4: SafeguardのNo Recordの除外 ............................................................... 182

D5: XOSのNo Recordの除外 ........................................................................ 183

D6: XOSの仮定テストの除外 ......................................................................... 184

D7: XPQによるSUPER.SUPERのパスワード変更のアラート .......................... 185

D8: 不明なユーザーがSUPER.SUPERとして直接ログインした場合のアラート . 186

D9: "–255"を含むXACコマンドのアラート ........................................................ 187

D10: セキュリティ関連のBASE24 EMSイベントの選択 ...................................... 188

付録E: XMAホストマクロ ............................................................................................... 189

E1: ADELMAC ............................................................................................. 189


XYPRO Technology Corporation xi Proprietary and Confidential

E2: ARCMAC ............................................................................................... 190E3: CLEANDB .............................................................................................. 191E4: EMSBUILD ............................................................................................ 192E5: PARSAMP ............................................................................................. 192E6: REMFIN ................................................................................................. 192E7: UPDSTAT .............................................................................................. 194E8: XMA_AUDIT_REPORT ......................................................................... 195E9: XMA_DATETIME_MAKE ....................................................................... 198E10: XMA_DBVOLUME ................................................................................. 199E11: XMA_EDIT_FILTERS ............................................................................ 200E12: XMA_FILTERS_CHECK ........................................................................ 201E13: XMA_INSTALL_LICENSE ..................................................................... 203E14: XMA_LOAD_DEFINES .......................................................................... 203E15: XMA_NETWORK_FILTERS_CHECK .................................................... 203E16: XMA_NETWORK_LICENSE_INSTALL ................................................. 204E17: XMA_NETWORK_VERSION ................................................................. 204E18: XMA_PWCOLD ..................................................................................... 205E19: XMA_PWCOOL ..................................................................................... 205E20: XMA_PWSTOP ..................................................................................... 205E21: XMA_PWVOLUME ................................................................................ 206E22: XMA_SQLCOMPALL ............................................................................. 206E23: XMA_SYNTAX_CHECK ........................................................................ 208E24: XMA_UPDATE_FILTERS ...................................................................... 209E25: XMA_VERSION ..................................................................................... 210E26: XMA_VOLUME ...................................................................................... 210

付録F: TCLEXC .......................................................................................................... 211

付録G: データマッピング ................................................................................................ 223

G1: データマッピングカラムに関する一般的な注意 .......................................... 224

G2: カラムの説明 .......................................................................................... 226

G3: データマッピングテーブルの使用方法 ....................................................... 230

G4: BASE24 のデータマッピング .................................................................... 231

G5: HLRデータマッピング ............................................................................... 235

G6: EMSのデータマッピング .......................................................................... 242


XYPRO Technology Corporation xii Proprietary and Confidential

G7: MEASUREのデータマッピング ................................................................. 250

G8: Safeguardのデータマッピング .................................................................. 252

G9: XAC (XYGATE Access Control)のデータマッピング ................................. 255

G10: XCM (XYGATE Supported CMON)のデータマッピング ............................ 258

G11: XHE (XYGATE Host Encryption)のデータマッピング ............................... 261

G12: XKM (XYGATE Key Management)のデータマッピング ............................ 263

G13: XPC (XYGATE Process Control)のデータマッピング ............................... 265

G14: XPQ (XYGATE Password Quality)のデータマッピング ............................. 268

G15: XOS (XYGATE Object Security)のデータマッピング ................................ 270

G16: XSM (XYGATE Safeguard Manager)のデータマッピング ......................... 272

G17: XSP (XYGATE Combined Spoolcom Peruse)のデータマッピング ............ 274

G18: XTR (XYGATE Transaction Router)のデータマッピング .......................... 276

G19: XUA (XYGATE User Authentication)のデータマッピング ......................... 278

G20: Column Usageテーブル .......................................................................... 280

用語集 ........................................................................................................................ 283

索引 ........................................................................................................................ 303

XYPRO Technology Corporation xiii Proprietary and Confidential

よく使用するタスクのクイックリファレンス

XMA マクロを使用して、すべての XMA マクロが含まれる XMA_SEG TACL セグメントを付加

します。付録 E:｢XMA ホストマクロ｣(189 ページ～)を参照してください。


No. タイプタスク手順

1. Pathway Pathwayが実行中か

どうかを確認する TACL から、次のように入力します。status $<Pathway name>

2. Pathway Stop [Pathway Menu]のオプション 3 (83 ページまたは 205 ペ

ージのXMA_PWSTOP)を選択します。

3. Pathway Cold Start [Pathway Menu]のオプション 1 (83 ページ、または 205ページのXMA_PWCOLD)を選択します。

4. Pathway Cool Start [Pathway Menu]のオプション 2 (83 ページ、または 205ページのXMA_PWCOOL)を選択します。

5. MOVER MOVER のオーディ

ットファイルターゲ

ットを決定する

[Movers Menu]のオプション 3 (85 ページ)を選択しま

す。

6. MOVER MOVER が予期せず

停止した理由を調べ

る

次の点を確認してください。 1) [Movers Menu]のオプション 4 (85 ページ)を選択し

てエラーメッセージを表示します。 2) MOVERに関する問題のトラブルシューティング

(117 ページ)。 3) EMS ログに出力されているエラーメッセージ。 4) XYGATEMA サブボリュームと XMA*サブボリュー

ムの SAVEABEND ファイル。

7. MOVER MOVER のオーディ

ットファイルのター

ゲットを変更する

次の 3 つの手順を実行します(85 ページ)。 1) [Movers Menu]のオプション 6 で MOVER を停止す

る。 2) [Movers Menu]のオプション 14 で MOVER を削除す

る。 3) [Movers Menu]のオプション 7 で、正しいオーディ

ットファイル情報で新しい MOVER を追加する。

XYGATE Merged Audit®リファレンスマニュアルよく使用するタスクのクイックリファレンス

XYPRO Technology Corporation xiv Proprietary and Confidential



8. MOVER MOVER のステータ

スを確認する、また

は、MOVER が実行

中かどうかを確認す

る

[Movers Menu]のオプション 4 (85 ページ)を選択して 1つのMOVERのステータスを確認します。

9. MOVER MOVER が最後に処

理したオーディット

レコードの製品

[Movers Menu]のオプション 3 (85 ページ)を選択して情

報を表示します。

10. MOVER MOVER の優先度を

変更する次の 3 つの手順を実行します(85 ページ)。 1) [Movers Menu]のオプション 6 で MOVER を停止す

る。 2) [Movers Menu]のオプション 13 で優先度やそれ以外

のパラメーターを変更する。 3) [Movers Menu]のオプション 5 で MOVER を起動す

る。

11. MOVER 個別の MOVER を起

動する [Movers Menu]のオプション 5 (85 ページ)を選択しま

す。

12. MOVER すべての MOVER を

起動する Pathwayが実行中であれば、[Pathway Menu]のオプショ

ン 2 を選択し、「Y(es)」を選択してすべてのMOVERを

起動します(83 ページ)。 Pathwayがすでに実行中であれば、停止して再起動でき

ます。

13. MOVER Pathwayを停止し、

再起動する停止するには、[Pathway Menu]のオプション 3 (83 ペー

ジ)を選択します。再起動するには、[Pathway Menu]のオプション 2 (83 ペ

ージ)を選択します。

14. MOVER 個別の MOVER を停

止する次の 2 つの方法があります。 1) [Pathway Menu]のオプション 6 (83 ページ)を選択し

ます。 2) [Movers Menu]のオプション 6 (85 ページ)を選択しま

す。

15. MOVER アラーム専用、収集

専用、または標準の

MOVER を表示、停

止、または起動する

[Movers Menu]のオプション 20 ( 85 ページ)を選択しま

す。


XYPRO Technology Corporation xv Proprietary and Confidential



16. MOVER 新しい MOVER に読

み取られる最初のオ

ーディットレコード

の日付と時刻を変更

する


す。

17. MOVER MOVER の CPU ビ

ジーパーセント値を

変更する


す。

18. MOVER MOVER をアラート

専用から収集専用

に、あるいはその逆

に変更する


す。

19. HouseKeeper Cleanup を実行する

時刻を変更する [Database Menu]のオプション 4 (88 ページ)を選択しま

す。

20. HouseKeeper 収集専用の MOVERの収集ウィンドウを

変更する


す。

21. HouseKeeper SYSLOG キューの

クリーンアップを実

行する時刻を変更す

る

[Database Menu]のオプション 15 (88 ページ)を選択し

ます。

22. MailQueue MailQueue サーバー

クラスをセットアッ

プする


す。

23. SLSENDER XMA データを Auditロギングアプライア

ンスに送信する

第 2.6 節「XMAデータのオーディットロギングアプライ

アンスへの送信」(60 ページ)を参照してください。

24. SLSENDER イベントを SIEM に

再送する [Database Menu]のオプション 13 (88 ページ)を選択し

ます。

25. SLSENDER 不要になったイベン

トを SYSLOG キュ

ーから削除する

[Database Menu]のオプション 14 (88 ページ)を選択し

ます。

26. Database データテーブルを

FUP RELOAD する「FUPリロードの実行」、138ページ。


XYPRO Technology Corporation xvi Proprietary and Confidential



27. Database UPDATE STATISTICS

注： update statistics を実行する前に、Pathwayを停止

する必要があります。 1) [Pathway Menu]のオプション 3 (83 ページ)を停止し

ます。 2) [Database Menu]のオプション 1 (88 ページ)を選択し

ます。

28. Database TMF オーディットパ

ラメーターを表示ま

たは変更する

[Database Menu]のオプション 12 (88 ページ)を選択す

ると、TMFオーディットパラメーターを表示または変更

できます。

29. Database パーティション分割第 7.4 節「XMAデータベースのパーティション分割」

(140 ページ)を参照してください。

30. Database サイズ変更第 7.3 節「データテーブルのサイズ変更」(138 ページ)を参照してください。

31. Database バージョン 1.95 よ

り前の XMA のアッ

プグレード

第 1.5 節「アップグレードに関する留意事項」(22 ペー

ジ)を参照してください。

32. 管理新しいライセンスを

Pathwayノードにイ

ンストールする

XYGATEサブボリュームが存在する各ノードで

XMA_INSTALL_LICENSEマクロ(203 ページ)を実行しま

す。

33. 管理新しいライセンスを

リモートノードにイ

ンストールする

XYGATEサブボリューム内のライセンスをアップグレー

ドしたら、XMA_NETWORK_LICENSE_INSTALLマク

ロ(204 ページ)を実行します。

34. 管理 XMA ソフトウェア

をアップグレードす

る

第 1.4.1 節「AutoInstallアップグレードスクリプトの実

行」(17 ページ)を参照してください。

35. 管理すべての XMA オブ

ジェクトを SQL コ

ンパイルする

XMA_SQLCOMPALLマクロ(206 ページ)を実行して、ま

ず初めにセグメントが関連付けられていることを確認し

ます。

36. 管理 1 つの XMA オブジ

ェクトを SQL コン

パイルする

1) XMA サブボリュームに移動します。

2) XMA マクロをロードします。 volume $<vol>.xygatema

3) データベーステーブルの DEFINE をロードします。 run $<vol>.xygatema.xma install

4) SQL コンパイルしたいオブジェクトに対して

SQLCOMP を実行します。

XMA_load_defines

Run $system.system.sqlcomp/in <program>,out $s.#out/catalog xma_cat


XYPRO Technology Corporation xvii Proprietary and Confidential



37. Uninstall XMA インストール

環境を完全に削除す

る

第 1.6節「Auto Uninstallを使用したXMAまたはXTRのア

ンインストール」(23ページ)を参照してください。

38. Uninstall XMA オブジェクト

をリモートノードか

ら削除する

[Uninstall Menu]のオプション 1 (91 ページ)を選択しま

す。

XYPRO Technology Corporation xix Proprietary and Confidential

はじめに

XYGATE Merged Audit® (XMA)は、すべてのXYGATE製品、EMS、SAFEGUARD、

BASE24、およびHLRのオーディットトレイルを、中央に位置するNonStop SQLのテ

ーブルセットに統合します。また、MEASUREによってデータが収集されることで、

プロセスの親子関係からみた情報把握を可能にしています。その結果、お客様のシス

テムにおいてユーザーが実行するすべてのアクションを、誰が、いつ、どこで実行し

たかまで正確に把握できる、一元的な参照窓口を提供します。

XYPROではXMAの開発にあたり、HP NonStop™

• NonStop S QL データベースを、すべての XYGATE、EMS、SAFEGUARD、HLR、

および BASE24 のセキュリティ関連のオーディット情報の包括的なリポジトリと

して使用します。

システムのセキュリティイベントを

統合的に把握しかつ使いやすくて柔軟性の高いレポート機能を求める顧客の要求に応

えることを目指しました。この要件には次のようなものがあります。

XYGATE Merged Audit®リファレンスマニュアルはじめに

XYPRO Technology Corporation xx Proprietary and Confidential

• 複数の HP NonStop サーバーのオーディット情報を 1 つのデータベースに統合す

ることで、ネットワーク全体において TACL ユーザーのアクティビティを把握し、

HP NonStop オブジェクトのセキュリティが確保されます。

• 柔軟性の高いフィルタリングメカニズムによって指定したイベントを監視し、そ

のイベントが検出されるとすぐにアクションを実行できます。実行できるアクシ

ョンには、SMTP を使用した、EMS や SYSLOG への、また電子メール経由によ

るアラートの送信や、指定したカスタム処理の実行などがあります。

• フィルタリングメカニズムによって、ユーザーにとって最も重要なアクティビテ

ィだけを抽出できます。

• レポート作成機能のカスタマイズ。

• 事前定義済みの豊富なレポートが用意されているため、レポートの内容、詳細レ

ベル、およびソート順を、チェックボックスを選択するだけの簡単な操作で選択

できます。

• HP NonStop サーバーの技術的な専門知識がほとんどあるいはまったく持たない監

査担当者やセキュリティ管理者も簡単に使用できます。


XYPRO Technology Corporation xxi Proprietary and Confidential

XMA コンポーネント XMA は、MOVER と呼ばれる一連の Pathway サーバークラスで構成されます。デー

タを収集する各ノードのアプリケーションごとに MOVER を構成する必要があります。

第 4 章に記載されている XMA_MANAGER により、構成と管理のプロセスが容易にな

ります。

ネットワーク内のすべてのノードのデータが、1 つの中央 SQL データベースに統合さ

れます。MOVER の構成と管理で使用される SQL テーブルも存在します。MOVER サ

ーバークラスオブジェクトによって、中央の収集ポイントにデータが送受信されます。

MOVER サーバークラスは、中央の 1 つのノードで動作する Pathway から制御されま

す。

重要： HP による SQL のライセンスがない HP N onStop サーバーの場合は、XMA は、

ランタイムライセンスでコンパイルされ、一定の制限内でのみ利用可能です。このと

き利用できない唯一の機能は、ホストベースのレポート作成機能です。その場合であ

っても、Report Manager G UI を使用することで、Audit Pr o レポートを実行できます。

XYGATE Merged Audit 環境では、以下の主要コンポーネントを使用して、データを

構成、管理、および格納します。各コンポーネントの詳細については、用語集の説明

を参照してください。

EMS のテンプレートおよびマクロ

FILTERS ファイル

FILTSAMP ファイル

MACONF ファイル

MAMGRC ファイル

MGRSETUP ファイル

NEWTBLS

REMNODES

XMA (SQL)データベース

XMA における PCI 要件の分類 PCI 要件を分類するのは簡単なことではありません。XYPRO Technology 社では、次

の規則に従って、PCI 要件番号にレポートを割り当てています。


XYPRO Technology Corporation xxii Proprietary and Confidential

• PCI 2.2.3 はセキュリティ構成を表すものとみなされます。したがって、

Safeguard グローバル、ファイル、プロセス、およびデバイスのセキュリティと、

XYGATE のすべての構成ファイルの管理(作成または変更)は、このカテゴリに分

類されます。ファイル保護のルールの管理は PCI 2. 2.3 要件にレポートされますが、

ファイルに対する実際のアクセスを記録するレポートは、ファイルの種類によっ

てそれ以外の要件に分類されます。たとえば、カード所有者のデータへのアクセ

スは 10.2.1 に分類されますが、ネットワーク構成ファイルへのアクセスは 10.2 に

分類されます。

• PCI 8 .2 はユーザー構成の参照とみなされるため、User レコードと Alias レコード、

さらにはユーザーに関連する Safeguard のグローバルパラメーターに対する変更

は、このカテゴリに分類されます。ログオン等を制御する値に対する変更は、こ

のカテゴリに分類されます。フリーズしたまたはタイムアウトが発生した ID の実

際のログオンと証明は、PCI 8.5 等のその他の要件に分類されます。

• それ以外の PCI 関連のフィルターやレポートの命名スキーマは、自己説明型で、

PCI 2.2.3 を参照する(PCI 2.2.3 によって監視される)ルールによってセキュリティ

が規定されるオブジェクトのアクセスに関連するものとみなされます。

フィルターおよび Audit Pro レポートの名前はどちらも、ユーザーによるカスタマイ

ズが可能です。

一般構文表記本マニュアルにおける構文表記の規則は以下のとおりです。

大文字のアルファベット。

MAXATTACH

大文字のアルファベットは、キーワードや予約語を表しま

す。記載されているとおりに入力してください。カッコで囲まれていない項目は、必

須項目です。次に例を示します。

< > 大なり/小なり記号

RUN $<VOL.SUBVOL>.XMA INSTALL

。小なり記号と大なり記号で囲まれている項目は、ユーザーが

指定する変数項目です。小なり記号と大なり記号を付けずに入力してください。たと

えば、関数の構文を次のように表記します。

使用するシステムで<VOL.SUBVOL>が$SYSTEM.XYGATEMA であるとすると、実際

のコマンドは次のようになります。 RUN $SYSTEM.XYGATEMA.XMA INSTALL

[ ]大カッコ

TERM [\<system-name>.]$<terminal-name>

。大カッコで囲まれている項目は、オプションの構文項目です。次に例を

示します。

INT[ERRUPTS]


XYPRO Technology Corporation xxiii Proprietary and Confidential

大カッコで囲まれた一連の項目は、それらの中から 1 つの項目を選択できる(あるいは、

何も選択しない)ことを表します。このリスト内の項目は、各リストの横に大カッコ付

きで縦並びに記載されているか、大カッコの対に囲まれて垂直線で区切られて横並び

に記載されます。次に例を示します。 FC [ <num> ] [ <-num> ] [ <text> ] K [ X | D ] <address-1>

{ }中カッコ

LISTOPENS PROCESS { $<appl-mgr-name> }

。中カッコで囲まれた一連の項目は、それらのリストの中から必ず 1 つを

選択する必要があることを表します。このリスト内の項目は、各リストの横に中カッ

コ付きで縦並びに記載されているか、中カッコの対に囲まれて垂直線で区切られて横

並びに記載されます。次に例を示します。

{ $<process-name> } ALLOWSU { ON | OFF }

| 垂直線

INSPECT { OFF | ON | SAVEABEND }

。垂直線は、大カッコまたは中カッコで囲まれた横並びのリストで選択肢で

ある項目を区切るために使用されます。次に例を示します。

… 省略記号

M <address-1> [ , <new-value> ]...

。大カッコまたは中カッコのすぐ後に続く省略記号は、囲まれている一

連の構文項目を何度でも繰り返せることを表します。次に例を示します。

[ - ] {0|1|2|3|4|5|6|7|8|9}...

1 つの構文項目のすぐ後に続く省略記号は、その構文項目を何度でも繰り返せること

を表します。次に例を示します。 "s-char..."

句読点記号

<error> := NEXTFILENAME ( <file-name> ) ;

。カッコ、カンマ、セミコロン、および上記に記載されていない記号につ

いては、記載されているとおりに入力する必要があります。次に例を示します。

LISTOPENS SU $<process-name>.#<su-name>

大カッコや中カッコのような記号で囲まれている引用符は、その記号が必須文字であ

ることを表します。記載されているとおりに入力する必要があります。次に例を示し

ます。 "[" <repetition-constant-list> "]"

項目のスペーシング

CALL STEPMOM ( <process-id> ) ;

。項目と項目の間に表示されるスペースは、項目のうちの 1 つが

カッコあるいはカンマなどの句読記号である場合を除き、必須です。次に例を示しま

す。


XYPRO Technology Corporation xxiv Proprietary and Confidential

2 つの項目の間にスペースがない場合、スペースは許可されていません。次の例では、

ピリオドとその他の項目の間でスペースを使用することは許可されていません。 $<process-name>.#<su-name>

太字のテキストは、コマンドラインの特定のプロンプトへのユーザー入力、キーボー

ド上の文字または記号、およびGUIのラジオボタンおよびナビゲーションボタンを表

しています。

プレーンイタリック。

その他の XYPRO リファレンスマニュアル

斜体は、文書の名前またはタイトル、画面名、またはコマンド

ラインアクションの表示やスクリプトテキストを表します。

XYGATE の Microsoft Windows クライアントの多くは、XMA データベースからレポ

ートを作成して、NonStop システムからのアラートを監視したり、ホスト XYGATEモジュールの構成を変更したりするために使用できます。クライアントコンポーネン

トのリファレンスマニュアルは、XYGATE Online He lp ( XOH)パッケージの一部です。

ホストシステムにXMAをインストールした後、IXOHEXEファイルを検索し、FTP経由でPCワークステーションにバイナリモードでダウンロードし、名前

を XOHINST.EXE

XOHINST.EXE ファイルをダブルクリックして XOH インストールプロセスを起動し、

画面上のプロンプトに従って操作します。

に変更してPC上に保存します。

XOH のインストールが完了したら、[XYGATE Documentation]というデスクトップシ

ョートカットを見つけてダブルクリックし、一連の XYGATE マニュアルを表示しま

す。

下記のマニュアルは、XMA に接続している XYGATE クライアントの操作方法を説明

しています。

• XYGATE Security Event Monitor (XEM)

• 『

。XRMクライアントを使用すると、

NonStopシステムのアクティビティに関するアラートを監視できます。

XYGATE Configuration and Audit Reporting

• XRM クライアントを使用すると、NonStop システムのアクティビティに関するレ

ポートを実行できます。

』(XRM、XCF、およびXTRについ

て説明しています。)

• XCF クライアントを使用すると、XMA およびその他の XYGATE ホストモジュー

ルのデフォルト構成を変更できます。

XYPRO Technology Corporation 1 Proprietary and Confidential

第1章 XMA のインストール

本章では、AutoInstall スクリプトを使用して XYGATE Merged Audit (XMA)ファイル

をインストールする手順について説明します。AutoInstall スクリプトの実行は、ガイ

ド付きのインストール手順であり、特に記載されている部分を除き、SUPER コマン

ドラインの最小限の入力でインストールが行えます。

1.1 インストール手順を開始する前にインストール手順を開始する前に、次の情報が揃っていることを確認してください。

• PC の管理者権限

• TACL サービスの名前

• SUPER.SUPER ID、または SUPER.SUPER のエイリアス

• XYGATE 製品をインストールする NonStop サーバーの TCP/IP アドレスまたはホ

スト名

1.2 自動インストールスクリプトを使用した XMA のインストール AutoInstall スクリプトは、デフォルトの実行時パラメーター(後で変更できます)を提

供することで、それぞれの XMA サーバーを簡単にインストールできるように設計さ

れています。

XMA を配布された HP SUT からインストールする場合は、分散サブボリューム(DSV)に、インストール/アップグレードスクリプトとアンインストールスクリプトが含まれ

ています。既存のサーバーソフトウェアのアップグレード時には、AutoInstall スクリ

プトによって現行の環境が検索され、プログラムが最新バージョンにアップグレード

されますが、パラメーターとデータリポジトリは維持されます。

1.2.1 AutoInstall スクリプトによるインストールの準備 AutoInstall スクリプトは、次のタスクを自動的に実行します。

• XYGATEMA 製品ソフトウェアをインストールする。

• XYGATETR 製品ソフトウェアをインストールする。

• XYGATE XMA 環境と XYGATE XTR 環境を、デフォルト値を使用して構成する。

• XYGATEMA SQL カタログと関連する SQL テーブルを作成する。

• XYGATEMA Pathway 環境を作成する。

• XYGATEMA Pathway を起動し、Pathway サーバーを起動する。

XYGATE Merged Audit®リファレンスマニュアル第 1 章 XMA のインストール


• GUI 製品から XYGATETR への接続用の LISTNER プロセスを起動する(オプショ

ン)。

AutoInstall のためにユーザーが定義する必要がある構成値- XE "XMA のインストー

ル:AutoInstall のユーザー定義値" AutoInstallスクリプトを使用する場合は、表 1に記載されているユーザー定義値を指

定するオプションがあります。値を指定しないと、AutoInstallは、表 2に記載されて

いるデフォルト値を使用します。必要に応じて、ユーザー定義値に関して、システム

管理者に問い合わせてください。表 1：AutoInstall のためにユーザーが定義する必要がある入力値-

AutoInstall スクリプトに対して指定する情報値

SQL カタログとテーブル用の TMF オーディット対象ボリューム/サブボリューム名

Pathwayプロセス用の一意の<4 文字>の名前(たとえば、$ZXMA)

XMA 用にインストールされるソフトウェアの一意の$VOL.SVOL

XTR 用にインストールされるソフトウェアの一意の$VOL.SVOL

TCP/IP LISTNER プロセスのポート番号(1025～32000)

XMA を実行するためにアクセスを必要とする追加のユーザーまた

はエイリアス(オプション)



AutoInstall のデフォルト構成値

必要に応じて、競合や留意すべき点がないかどうかを、システム管理者に問い合わせ

てください。これらの値は、AutoInstall スクリプトの終了後に変更できます。表 2：ユーザー定義値のデフォルト

構成ファイ

ル構成設定デフォルト値またはユーザー定義値

すべてのファイルの格納に参照される$VOL

現行の$VOL | <user-value>

SQL テーブルの一意のサブボリューム

名 XMADAT | <user-value>

XMA 用にインストールされるソフトウ

ェアの一意のサブボリューム XYGATEMA | <user-value>

XTR 用にインストールされるソフトウ

ェアの一意のサブボリューム XYGATETR | <user-value>

Pathwayプロセス用の一意の<4 文字>の名前(たとえば、$ZXMA)

$XMA# | <user-value>

TCP/IP LISTNER プロセスのポート番

号(1025～32000) 1120 | <user-value>

XMA を実行するためにアクセスを必要

とする追加のユーザーまたはエイリア

ス(オプション)

スクリプトのオーナー + SUPER.SUPER + それ以外の<user-values>

MACONF XMA PATHMON_NAME $???? | <user-value>



表 3は、デフォルトの構成値と、AutoInstallスクリプトによって自動的に生成される

ファイルロケーションです。表 3：AutoInstall によって割り当てられるデフォルト値またはデフォルトロケーション-

構成ファイ

ル構成設定 AutoInstall スクリプトによって

割り当てられるデフォルト値また

はロケーションインストール専用のステージングサブボ

リューム。インストール終了後に削除さ

れます。

P46DSDST

SQL カタログの一意のサブボリューム名 XMACAT

Pathway構成ファイルの一意のサブボリ

ューム XMAPW

MACONF XMA MACRO_NAME XMA MACONF XMA PERUSE_OBJECT (利用可能な

PERUSE オブジェクトから選択) $SYSTEM.SYSTEM.PERUSE

MACONF XMA HOME_TERM (利用可能な標準ホー

ム端末から選択) $VHS $ZHOME $YMIOP.#CLCI

MACONF XMA COLLECTOR (利用可能なスプーラ

ーコレクターから選択) $S

MACONF XMA プロセスの優先度 30

TRCONF XTR MACRO_NAME XTR TRCONF XTR オーディットトレイルファイルの場

所 $VOL.XYGATETR.AUDIT

TRCONF XTR オーディットパラメーター(AUDIT_ACCESS_PASS + AUDIT_ACCESS_FAIL)

ON

TRCONF XTR オプション USER_SWITCH ON

TRCONF XTR プロセスの優先度 152

TRCONF XTR HOME_TERM (利用可能な標準ホー

ム端末から選択) $VHS $ZHOME $YMIOP.#CLCI

TRCONF XTR PERUSE_OBJECT (利用可能な

PERUSE オブジェクトから選択) $SYSTEM.SYSTEM.PERUSE

TRCONF XTR COLLECTOR (利用可能なスプーラ

ーコレクターから選択) $S

TRCONF XTR ワーキングサブボリューム $VOL.XYGATETR

TRCONF XTR オプション MAX_TASK_COUNT 5

TRCONF XTR オプション REPORT_OWNER 0,0

TRCONF XTR オプション TR_MASTER_SUBVOL $VOL.XYGATETR



構成ファイ

ル構成設定 AutoInstall スクリプトによって

割り当てられるデフォルト値また

はロケーション TRCONF XTR 暗号化オプション OFF

TRCONF XTR SSL オプション OFF

TRCONF XTR 監視/デバッグオプション OFF

TRACL XTR/XMA $OWNER 認証ユーザースクリプトを実行するオーナー + SUPER.SUPER

TRACL XTR オプション TR_INSTALLATION IP + ポート番号

PWCOLD Pathwayスタートアップマクロ $VOL.XMAPW

PWSTOP Pathwayシャットダウンマクロ $VOL.XMAPW

PWCOOL Pathwayクールスタートマクロ $VOL.XMAPW

PWCONFIG

Pathway一般構成設定 $VOL.XMAPW

PATHWAY OWNER の Pathway構成設定スクリプトの PAID

PATHWAY SECURITY の Pathway構成

設定 “O”

CPU の Pathway構成設定セットされない(Pathway のデフ

ォルトにセットされる)

MACONF HOMETERM の PATHWAY プロセス MACONF に定義されている値

PWSTATE

Pathwayサーバー構成設定 $VOL.XMAPW

OWNER の Pathway構成設定スクリプトの PAID

SECURITY の Pathway構成設定 “O”

TMF の Pathway構成設定 ON

PRI の Pathway 構成設定 100

HOMETERM の Pathway 構成設定 MACONF に定義されている値

CPU の Pathway構成設定セットされない(Pathway のデフ

ォルト)

FILTERS フィルター情報を Pathway サーバーに設

定するための XMA ルールファイル $VOL.XYGATEMA

PATHCTL Pathway実行時構成ファイル名 $VOL.XMAPW

PWLOG Pathwayログファイル名 $VOL.XMAPW



1.2.2 AutoInstall スクリプトツールの使用この節では、インストール時のプロンプトやユーザーのアクションを表すために使用

する、特定のフォーマットを説明します。AutoInstall スクリプトを実行する前に、こ

こで説明する表記方法を理解しておいてください。

• 表示されるテキストとスクリプトのテキストは、斜体で表記します。

• プロンプトに対してユーザーが入力する部分は、太字で表記します。

• 垂直に並んだ 3 つの点は、本書の紙面の都合によって出力が省略されているこ

とを表します。

• Enter キーは、標準記号↵で表します。

• AutoInstall スクリプトの実行中に、一部の機能を実行するために別の TACL セッ

ションが必要になることがあります。次に示すように、枠で囲まれたテキストは、

必要なコマンドを実行する別の TACL セッションを表します。

TACL>

例： FUP PURGE $MYVOL.P46DSDST.* !

TACL>

-または-

スクリプトのプロンプトには、デフォルト値が表示されます。使用されるデフォルト

ボリュームは、スクリプトを実行しているボリュームです。デフォルトサブボリュー

ムは、製品を表す有効な名前がスクリプトによって指定されています。

FUP RENAME $MYVOL.P46DSDST.*, $MYVOL.O46DSDST.*

スクリプトのプロンプトには、小なり記号と大なり記号 <>で囲まれたデフォルト値

が表示されます。何も入力せずに Enter ( ↵ )を押すと、AutoInstall スクリプトは、表

示されているデフォルト値を使用します。

Enter XTR volume <$DAT90>? ↵

例：

上記の例では、デフォルトの XTR ボリュームである$DAT90 を受け入れています。

入力された値が有効でない場合は、スクリプトによって画面にエラーが表示されます。

その場合には、有効な値を入力し直すことができます。

Enter XTR volume <$DAT90>?Zmywrk 例：

Invalid volume entry, try again Invalid response

任意のプロンプトで Ctrl+Y を押すことで、スクリプトを終了できます。スクリプト

を停止すると、インストールまたはアップグレードが途中で終了することになります。

IWIZARD プログラムを再実行することで、スクリプトを再び開始できます。前回停

止したところから再開が試行されます。



Enter XMA volume <$VTOI>?EOF!

例：

$VTOI ZIMYXMA 6>

1.2.3 AutoInstall スクリプトの実行を開始する前にこの AutoInstall スクリプトを実行する前に、作業を進める準備とこの節の先頭に記載

されている表の構成値の見直しが完了しており、｢AutoInstall スクリプトツールの使

用｣に関する説明をよく読んだことを確認してください。

1. 分散サブボリューム(DSV)の場所を確認します。このサブボリュームのデフォルト

名は ZXYPROMA で、SUT からサーバーに"Z"タイプのファイルがコピーされるデ

ィスク上になります。

AutoInstall スクリプトを DSV から実行しないでください。SUT からの OS のイン

ストールのたびに DSV が置き換えられるためです。新しいインストールロケーシ

ョンのサブボリューム名を決め、そのロケーションを現行ボリュームに設定しま

す。

TACL> VOLUME [$NEWVOL].IXYPROMA

構文：

TACL> VOLUME $MYVOL.IXYPROMA 例：

2. DSV を新しいインストールのステージングロケーションに複製します。

$MYVOL IXYPROMA 3> FUP DUP [$VOL].ZXYPROMA.*,[$VOL].[NEWSVOL].*,PURGE,SAVEALL

構文：

$MYVOL IXYPROMA 3>

例：

3. IP28F001 ライセンスファイルが$VOL.ZXYPROMA サブボリュームにあることを

確認します。

FUP DUP $DSCSCM.ZXYPROMA.*,$MYVOL.IXYPROMA.*,PURGE,SAVEALL

4. これで、AutoInstall スクリプトを起動する準備ができました。このスクリプトで

入力するよう要求される質問を見直し、それに対する答えをシステム管理者から

入手します。

5. ファイル IXYBIN を OBEY して実行形式ファイルを解凍することで、自動インス

トールスクリプトを実行できる状態にします。

$MYVOL IXYPROMA 4> OBEY IXYBIN

構文：

$MYVOL IXYPROMA 4> OBEY IXYBIN 例：



DSV で配布されるファイルとプログラムが含まれる自己解凍 IXYBIN ファイルを

解凍することで、インストールを開始します。次に示す例で垂直に並んだ 3 つの

点は、本書の紙面の都合によって出力が省略されていることを表します。 #FRAME #PUSH #INFORMAT #SET #INFORMAT TACL

Copyright XYPRO TECHNOLOGY CORPORATION UNPAK'ing SELF EXTRACTING OBEY FILE ...

1.2.4 AutoInstall スクリプトの実行

UNPAK Complete.RUN IWIZARD to install.

インストール作業で必要なライセンス付与の作業を別の TACL セッションで実行する

際に、SUPER.SUPER (または、SUPER.SUPER のエイリアス)へのアクセスが必要

になります。この要件については、AutoInstall スクリプトから通知され、本書にも記

載されています。

注： AutoInstall スクリプトは、ユーザーが特定のアクションの実行を要求されたた

めに別の TACL セッションを開始すると、プロンプトを表示した状態で待機し

ます。このプロンプトに応答すると、そのアクションの後のスクリプトの処理

が続行されます。ただし、ユーザーが AutoInstall スクリプトを何らかの理由で

停止する場合は、下記のように、RUN コマンドでリスタートする必要がありま

す。そうすることで、停止したところからインストールが継続されます。

IWIZARD スクリプトを開始します。

$MYVOL IXYPROMA 5> RUN IWIZARD 例：

Initializing config file ...

Done initializing config file.

Warning:Access to SUPER.SUPER (or an alias to SUPER.SUPER) may be required to complete the installation of each XYGATE product.

During the installation, if the need for SUPER.SUPER arises, the installation will be paused and the user will be asked to issue specific commands from another TACL prompt while logged on as SUPER.SUPER (or an alias to SUPER.SUPER), after which the installation can continue.

Are you ready to continue ?Y

If these commands cannot be issued by SUPER.SUPER (or an alias to SUPER.SUPER) at the time of the initial installation, the user has the option to stop the installation.The next time the user runs the IWIZARD, the installation process will continue from the point where it was stopped.

AutoInstallスクリプトは、インストール済みのXMA環境を検索し、見つかった環境を

次のように表示します。このスクリプトをこれらの環境のいずれかをアップグレード



するために実行する場合は、第 1.4.1 節｢AutoInstallアップグレードスクリプトの実

行｣( 17 ページ)を参照してください。 Establishing product locations ... Discovering XMA ($*.*) ...

Discovery complete.

SEL LOCATION VERSION OWNER AVAILABILITY --- ----------------- ------- ----------------- ------------ 1) $SYSTEM.XYGATEMA 1.70 SUPER.SUPER Not Available

2) $DATA1.XYGATEMA 1.54 XMA.OWNER Not Available

5) $ARC.XYGATEMA 1.54 XYPRO.HARRIET Not Available P) Prompt for new location Available

Enter available selection:

次のいずれかの条件が当てはまる場合、今回が新規インストールとなります。

• 該当する環境が見つからない、または、

• 利用可能な該当する環境が見つからない、または、

• 新しい環境をインストールする必要がある

既存の環境が見つかった場合は、P

Enter available selection:P

オプションを選択して新しい環境をインストール

します。

表 1の値を参考にして、ボリューム名を入力するか、プロンプトに表示されるデフォ

ルトボリュームを受け入れます。 Enter XMA volume <$MYVOL>? ↵

次にサブボリューム名をプロンプトに入力します。XYGATEMA や XMAPROD という

ような名前を XMA サブボリュームに使用すると、区別しやすくなります。 Enter XMA subvol?<XYGATEXM> ? ↵

AutoInstall スクリプトは、インストール済みの XTR 環境を検索し、見つかった環境を

次のように表示します。 -------------------------------------------------------------------------------

The XYGATE Transaction Router (XTR) is used to provide communication between XYGATE GUI products and their HP NonStop server counterparts.The transaction router provides the connection between the PC and the NonStop host via a LISTNER.

One installation of XTR can be utilized by all the XYGATE GUI products, so you only need to configure one port on each host even if you are using more than one XYGATE GUI product.

Discovering XTR ($*.*) ...

Discovery complete.

SEL LOCATION VERSION OWNER AVAILABILITY



--- ----------------- ------- --------------- ------------ 1) $SYSTEM.TR152 1.52 QA.JOE Not Available 2) $SYSTEM.XYGATETR 1.53 SUPER.SUPER Not Available

3) $DATA1.XYGATETR 1.53 XMA.OWNER Not Available

5) $DATAA.XYGATETR 1.52 XYPRO.TRACY Not Available

次のいずれかの条件が当てはまる場合、今回が新規インストールになります。

P) Prompt for new location Available

• 該当する環境が見つからない、または、

• 利用可能な該当する環境が見つからない、または、

• 新しい環境をインストールする必要がある

既存の環境が見つかった場合は、P

Enter available selection:

オプションを選択して新しい環境をインストール

します。

P

表 1

Enter XTR volume <$MYVOL>? ↵

の値を参考にして、ボリューム名を入力するか、プロンプトに表示されるデフォ

ルトボリュームを受け入れます。

次に、XTR サブボリューム名をプロンプトに入力します。XYGATETR や XTRPRODというような名前を XTR サブボリュームに使用すると、このサブボリュームを区別

しやすくなります。

Enter XTR subvol <XYGATETR> ?

Product locations established. Performing verifications ...

AutoInstall スクリプトによって、選択された場所が検証されます。古いインストール

ステージングロケーションがある場合は、手動でパージする必要があります。

Verifications complete.

Files already exist in the location where the XTR product unpacks to:

$MYVOL.P46DSDST

You must purge the files on this subvol before continuing.

ここではまだ、プロンプトに応答を入力しないでください。

Are you ready to continue <Y/N>?

上記のプロンプトは、表示される場合とされない場合があります。表示された場合は、

ここで、P46DSDSTサブボリュームをパージするか、名前を変更する必要があります

別の TACL セッションを起動し、次の例に示すように、パージまたは名前の変更を実

行します。

。



TACL>

例： FUP PURGE $MYVOL.P46DSDST.* !

TACL>

-または-

パージまたは名前の変更が完了したら、プロンプトに｢Y｣を入力して続行します。


Are you ready to continue <Y/N>?Y

今回が新規インストールである場合は、SQL データベースの場所を指定するよう要求

されます。この SQL データベースは、TMF オーディット対象ボリュームに置く必要

があります。

Enter XMA database TMF Audited volume <$MYVOL>? ↵ Enter XMA database subvol <XMADAT>? ↵

Unpaking products: Unpaking XTRBIN ... Unpak of XTRBIN complete. Unpaking products complete. Installing products: Verifying the system catalog can be written to ... Verified the system catalog can be written to.

Pathway 環境の 4 文字以下の名前を指定します。デフォルトは、$XMA または$XMA#です。

Installing XMA from $MYVOL.IXYPROMA...

What process name do you want for the Pathmon <$XMA>? ↵

Customizing XMA ... Customization of XMA complete. Install of XMA complete. Installing XTR from $MYVOL.P46DSDST ...

Customizing XTR ...

Only <your userid> and SUPER.SUPER will be authorized to use XYGATE GUI programs.You can optionally authorize additional users and aliases by entering them at the next two prompts.

今回が新規インストールである場合は、この環境にアクセスできる追加のユーザー/エイリアス（最大 90 文字）を入力するよう要求されます。追加するユーザーがあれば、

AutoInstall スクリプトによってこの環境に対するアクセスリストに追加されます。

Pressing enter without providing additional users or aliases means no additional users or alias will be authorized.

Enter user id's, separated by spaces <>?XYPRO.JAMES QA.DENNIS Enter aliases, separated by spaces <>? ↵

今回が新規インストールである場合は、ポート番号を入力するよう要求されます。ポ

ート番号によって、TCP/IP 通信プログラムを使用して PC/GUI 製品からアクセスでき

るようにセットアップできるようになります。ポート番号は、1025～32000 である必



要があります。ポート番号を指定したら、その番号を必ずメモしておいてください。

後で GUI 製品から接続する場合に、この番号が必要になります。

What port do you want to use to communicate with GUI products <1120>? 11211

Customization of XTR complete. Install of XTR complete.

Install of products complete.

Newly installed XYGATE products have not been licensed via SUPER.SUPER.

Please go to another TACL session, logon as SUPER.SUPER or an alias of SUPER.SUPER, and

RUN $MYVOL.IXYPROMA.LICENSE

You may continue when this has been done.

If you decide not to continue, the next time the wizard is run, it will continue here, where you last stopped.


Are you ready to continue ?

SUPER ログオンを使用して別の TACL セッションを起動し、次の例に示すように、

必要なライセンス付与を実行します。

TACL>

例： RUN $MYVOL.IXYPROMA.LICENSE

Licensing $MYVOL.XYGATEMA.XYGATESR Licensing $MYVOL.XYGATEMA.ADOPT

TACL>

Licensing $MYVOL.XYGATEMA.USERINFO

Logoff as the SUPER.SUPER or SUPER alias

ライセンス付与が完了したら、｢Y｣を入力して続行します。

.


Establishing product locations ... Product locations established. Performing verifications ... Verifications complete. Installing products: Install of products complete. Performing products syntax check ... Products syntax check complete. Starting XMA ... XMA started. Verifying XMA is listed in XTR TRACL file ...

Done verifying XMA is listed in XTR TRACL file.

XYGATE GUIs use a LISTNER process to connect to the host.

You may choose to have a XYGATE LISTNER started now.



WARNING:The XYGATE LISTNER is intended for testing your XYGATE/TR configuration.This XYGATE LISTNER process may disappear.To assign a permanent LISTNER, add the following to $SYSTEM.ZTCPIP.PORTCONF and restart the HP LISTNER.

GUI/PC モジュールによるポート接続は、次の情報を使用して、システムの

PORTCONF ファイルに永続的にセットアップできます。ポートがこの方法で定義さ

れると、システムのコールドロードや TCP/IP の再起動のたびに再起動されます。

WARNING:The start listner macro is intended for testing your XYGATE/TR configuration.For production usage, you must use the HP Listner by making entries in your PORTCONF.

11211 $MYVOL.XYGATETR.XYGATETR -SERVER

今回が新規インストールである場合は、PC/GUI 製品からの接続のための LISTNER プ

ロセスを起動するよう要求されます。LISTNER の起動が XMA 製品のサーバーの部分

にとって必須ではありません。任意の段階で起動できます。現時点で起動すると、ス

クリプトで前に入力したポート番号に結び付けられます。

Would you like to start the XYGATE LISTNER now ?

このスクリプトや PORTCONF によって LISTNER がセットアップされていないと、

GUI/PC モジュールが接続できなくなります。LISTNER の詳細は、『GUI Product User Guide』を参照してください。

Y

XYLISTEN has bound to port : 11211 Listner process $X491 started. Taking inventory ... Taking inventory complete.

最後に、ステータス画面に現行の XMA 環境が表示されます。

Validating the installation ...

XMA is currently started (Pathmon process $XMA).

Product Distribution Version Installed Version -------- -------------------- ----------------- XMA 1.71 1.71

XTR 1.53 1.53

Listner is running and listening on port 11211.

----------------------------------------------------------------- Validation finished.If no errors were reported, and the information shown was as expected, the installation was validated.

これで、XMA ファイルの AutoInstall インストールは終了です。AutoInstall スクリプト

によって、SQL 環境が作成されました。

-----------------------------------------------------------------



1.3 SIEM Log Adapter のインストール XYGATE Merged Audit 製品は、インストール可能な 1 つ以上のアダプターとともに

出荷されており、アダプターによって、収集されたオーディットデータが特定の IP ア

ドレスのデバイスに"syslog"されます。それぞれのアダプターが、特定の SIEM デバ

イスのメッセージにフォーマットされるようにエンコードされています。追加アダプ

ターも利用できます。

注：アプライアンスの構成に関する詳しい手順は、RSA enVisionのマニュアルおよ

びリリースノート 20110503-142122

1.3.1 ArcSight アダプター


ArcSight SIEMでコードが正しく構文解析されていることを確認する場合は、

ArcSight®

バージョン 1.95 の段階で、XMA は IPV6 アドレスに対応しています。ArcSight ログ

アダプターがインストールされていて、XMA をアップグレードする場合は、以下のイ

ンストール手順に従って、ログアダプターもアップグレードする必要があります。

の担当者にお問い合わせください。

1.3.2 アダプターのインストールアダプターのインストールに使用する以下の情報を入手する必要があります。

プロンプト説明

XYGATE Merged Audit 製品をインストールするロ

ケーションに複数のアダプターがある場合は、イ

ンストールするアダプターを選択するよう要求さ

れます。インストールできるアダプターが 1 つだ

けであれば、そのアダプターが自動的に選択さ

れ、それ以外の場合は、利用可能なアダプターの

みが自動的に選択されます。

Selection

XYGATE Merged Audit が SIEM デバイス用の形式

の syslog メッセージを渡す SIEM デバイスの IP ア

ドレスです。

Enter SIEM Device IP address <xxx.xxx.xxx.xxx>?

SIEMデバイスのIPアドレスにアクセスするための

TCP/IPプロセスの名前です。値を入力せず

に

Enter TCP/IP process name <$ZTCP2>?

Enterを押すと、大なり小なり記号< >の間にデ

フォルト値が表示されます。このデフォルト値

は、現在のTACLプロセスのdefine =TCPIP^PROCESS^NAMEの値か、defineが存在

しない場合は、インストール手順を実行する

TELSERVプロセスの転送プロセスです。



プロンプト説明

XYGATE Merged Audit のインストール環境にリモ

ートノードが存在する場合は、各リモートノード

で SIEM デバイスの IP アドレスにアクセスできる

ようにするために、TCP/IP プロセスの名前を入力

する必要があります。このデフォルト値は、現在

の TACL プロセスの define =TCPIP^PROCESS^NAME の値か、define が存在

しない場合は、インストール手順を実行する

TELSERV プロセスの転送プロセスです。

Enter TCP/IP process name for remote node \XYS7000 <$ZTC0>?

インストールするアダプターを XYGATE Merged Audit 製品ソフトウェアとは別に入

手した場合は、そのアダプターに付属しているインストール手順に従ってください。

XYGATE Merged Audit 製品に付属しているアダプターをインストールする場合は、

XYGATE Merged Audit 製品をインストールした場所にボリュームを設定し、TACL か

ら LAF を実行します。サンプルダイアログを下記に示します。

$SYSTEM.XYGATEMA 1>

RUN LAF

XYGATEMA Adapter Installer version 1.14. Checking owner, version, and installed filter ... Checks complete. Sel File Description --- -------- ------------------------------------------------------------------ 1 LAFARC ArcSight Log Adapter Filters - Version 1.02 Selection ?1 Enter TCP/IP process name <$ZTCP2>? ↵

Enter SIEM Device IP address <xxx.xxx.xxx.xxx>?10.1.1.x

Pinging 10.1.1.x using $ZTCP2 ... Ping of 10.1.1.x succeeded.

XYGATE Merged Audit のインストール環境にリモートノードが含まれる場合は、リ

モートノードごとに次のダイアログが表示されます。

Enter TCP/IP process name for remote node \XYS7000 <$ZTC0>?Pinging 10.1.1.x using \XYS7000.$ZTCP2 ...

$ZTCP2

Ping of 10.1.1.x using \XYS7000.$ZTCP2 succeeded.

LAF アダプターのインストーラーによって、FILTERS ファイルのコピーにアダプター

がインストールされます。

Building filter.This may take several minutes ...

作成される FILTERS のコピーで構文チェックが実行されます。エラーがなければ、

元の FILTERS ファイルの名前が変更されてバックアップになり、コピーの名前が変

更されて新しい FILTERS ファイルになります。エラーがある場合は、LOGFILT を見

直してエラーを特定するよう指示が出ます。

Filter built. To back out changes, replace FILTERS with OLDFLT01.



$SYSTEM.XYGATEMA 2>

1.4 AutoInstall を使用した XMA または XTR のアップグレード本節では、AutoInstall スクリプトを使用したアップグレード手順を説明します。

重要： 1.51.95 より前のバージョンからXMAをアップグレードする場合は、第節「ア

ップグレードに関する留意事項」(22 ページ～)の追加の手順についてもお読みくださ

い。

1. 分散サブボリューム(DSV)の場所を確認します。このサブボリュームのデフォルト

名は ZXYPROMA であり、SUT からサーバーに"Z"タイプのファイルがコピーされ

るディスク上になります。

AutoInstall スクリプトを DSV から実行しないでください。その理由は、SUT のオ

ペレーティングシステムの各インストールで DSV が置き換えられるためです。

XMA インストールステージングロケーションを確認するか、新しいステージング

ロケーションを決め、そこをデフォルトボリュームに設定します。


構文：

TACL>

例：

VOLUME $MYVOL.IXYPROMA

2. 古いインストールステージングサブボリュームをパージします。

最初のインストールステージングサブボリュームロケーションが分かっている場

合は、すべてのファイルをパージすることで古いインストールステージングファ

イルを削除します。新しいステージングロケーションを選択した場合は、この手

順を飛ばしてください。

$MYVOL IXYPROMA 3>

構文： FUP PURGE [$VOL].[NEWSVOL].* !

$MYVOL IXYPROMA 3>

例：

3. DSV を新しいロケーションに複製します。

FUP PURGE $MYVOL.IXYPROMA.* !

最初のインストールステージングサブボリュームロケーションが分かっている場

合は、FUP の PURGE オプションを使用して上書きします。そうすることで、イ

ンストール済みの環境が確実に最新の製品へと正しくアップグレードされます。



$MYVOL IXYPROMA 3> FUP DUP [$VOL].ZXYPROMA.*,[$VOL].[NEWSVOL].*,PURGE,SAVEALL

構文：

$MYVOL IXYPROMA 3>

例：

4. これで、自動インストールスクリプトを開始する準備ができました。このスクリ

プトで入力するよう要求される質問を見直し、それに対する答えをシステム管理

者から入手します。

FUP DUP $DSCSCM.ZXYPROMA.*,$MYVOL.IXYPROMA.*,PURGE,SAVEALL

5. ファイル IXYBIN を OBEY して実行形式ファイルを解凍することで、自動インス

トールスクリプトのファイルを利用できる状態にします。

$MYVOL IXYPROMA 4> OBEY IXYBIN

構文：

$MYVOL IXYPROMA 4>

例：

OBEY IXYBIN

#FRAME #PUSH #INFORMAT #SET #INFORMAT TACL

Copyright XYPRO TECHNOLOGY CORPORATION

1.4.1 AutoInstall アップグレードスクリプトの実行

UNPAK'ing SELF EXTRACTING OBEY FILE ...

アップグレード作業で必要なライセンス付与の作業を別の TACL セッションで実行す

る際に、SUPER.SUPER (または、SUPER.SUPER のエイリアス)へのアクセスが必

要になります。この要件については、AutoInstall スクリプトから通知され、この手順

にも記載されています。

注： AutoInstall スクリプトは、ユーザーが特定のアクションの実行を要求されたた

めに別の TACL セッションを開始すると、プロンプトを表示した状態で待機し

ます。このプロンプトに応答すると、そのアクションの後のスクリプトの処理

が続行されます。ただし、ユーザーが AutoInstall スクリプトを何らかの理由で

停止する場合は、下記のように、RUN コマンドでリスタートする必要がありま

す。そうすることで、停止したところからアップグレードが継続されます。

IWIZARD スクリプトを開始します。

$MYVOL IXYPROMA 5>

例： RUN IWIZARD

Initializing config file ...

Done initializing config file.

Warning: Access to SUPER.SUPER (or an alias to SUPER.SUPER) may be required to complete the installation of each XYGATE product.

During the installation, if the need for SUPER.SUPER arises, the installation will be paused and the user will be asked to issue specific



commands from another TACL prompt while logged on as SUPER.SUPER (or an alias to SUPER.SUPER), after which the installation can continue.


If these commands cannot be issued by SUPER.SUPER (or an alias to SUPER.SUPER) at the time of the initial installation, the user has the option to stop the installation.The next time the user runs the IWIZARD, the installation process will continue from the point where it was stopped.

AutoInstall スクリプトは、インストール済みの XMA 環境を検索し、見つかった環境

を次のように表示します。

Y

Establishing product locations ... Discovering XMA ($*.*) ... Discovery complete. SEL LOCATION VERSION OWNER AVAILABILITY --- ----------------- ------- ----------------- ------------ 1) $SYSTEM.XYGATEMA 1.70 SUPER.SUPER Not Available 2) $DATA1.XYGATEMA 1.54 XMA.OWNER Not Available

3) $MYVOL.XYGATEMA 1.54 MY.OWNER Available

5) $ARC.XYGATEMA 1.54 XYPRO.HARRIET Not Available

今回がアップグレードである場合は、アップグレードする既存の環境の番号(SEL 見

出しの下)を選択します。使用しているユーザーID がオーナーとなる環境のみをアッ

プグレードできます。それ以外の環境は、参考として表示されます。


Enter available selection: 3

Updating config ...

AutoInstall スクリプトは、インストール済みの XTR 環境を検索し、見つかった環境を

次のように表示します。

Config updated.

-------------------------------------------------------------------------------

The XYGATE Transaction Router (XTR) is used to provide communication between XYGATE GUI products and their HP NonStop server counterparts.The transaction router provides the connection between the PC and the NonStop host via a LISTNER.

One installation of XTR can be utilized by all the XYGATE GUI products, so you only need to configure one port on each host even if you are using more than one XYGATE GUI product.

Discovering XTR ($*.*) ...

Discovery complete.

SEL LOCATION VERSION OWNER AVAILABILITY --- ----------------- ------- --------------- ------------ 1) $SYSTEM.TR152 1.52 QA.JOE Not Available 2) $SYSTEM.XYGATETR 1.53 SUPER.SUPER Not Available 3) $DATA1.XYGATETR 1.53 XMA.OWNER Not Available

4) $MYVOL.XYGATETR 1.53 MY.OWNER Available



5) $DATAA.XYGATETR 1.52 XYPRO.TRACY Not Available

今回がアップグレードである場合は、アップグレードする既存の環境の番号を選択し

ます。使用しているユーザーID がオーナーとなる環境のみをアップグレードできます。

それ以外の環境は、参考として表示されます。


Enter available selection: 4

Updating config ...

Config updated.

Product locations established.

インストール済みの製品のバージョンがスクリプトによってインストールされるバー

ジョン以降である場合には、その製品のアップグレードはスキップされます。

Performing verifications ...

Available version of XTR is not higher than the installed version. XTR installation skipped. Available version of XMA is not higher than the installed version. XMA installation skipped. Verifying XMA is listed in XTR TRACL file ...

インストールしたソフトウェアがすでに古いバージョンになっていると、スクリプト

は、製品のアップグレードを試行します。

Done verifying XMA is listed in XTR TRACL file.

AutoInstall スクリプトによって、選択された場所が検証されます。古いインストール

ステージングロケーションがある場合は、手動でパージする必要があります。

Files already exist in the location where the XTR product unpacks to:

$MYVOL.P46DSDST

You must purge the files on this subvol before continuing.



上記のプロンプトは、表示される場合とされない場合があります。表示された場合は、

ここで、P46DSDSTサブボリュームをパージするか、名前を変更する必要があります

別の TACL セッションを起動し、次の例に示すように、パージまたは名前の変更を実

行します。

。

TACL> FUP PURGE $MYVOL.P46DSDST.* ! 例：

TACL>

-または-

パージまたは名前の変更が完了したら、プロンプトに｢Y｣を入力して続行します。




Are you ready to continue <Y/N>?Y

Unpaking products: Unpaking XTRBIN ... Unpak of XTRBIN complete. Unpaking products complete. Installing products: Verifying the system catalog can be written to ...

インストール済みのソフトウェアが現行バージョンより古いと、スクリプトからそれ

を通知するメッセージが表示され、アップグレードが実行されます。XTR ソフトウェ

アのアップグレードでは、この機能を実行するために、いずれかのインストールプロ

グラムのライセンスが必要です。

Verified the system catalog can be written to.

Comparing installed version of XTR to available version ... A higher version of XTR was found.

XTR will be upgraded.

$MYVOL.P46DSDST.IADOPTN4 is not licensed.

Cannot continue until these files are licensed by SUPER.SUPER. Please go to another TACL session, logon as SUPER.SUPER, and license these

files.You may continue when this has been done.

If you decide not to continue, the next time the wizard is run, the wizard

will continue where you last stopped.

To license these files, enter the following commands:

FUP LICENSE $MYVOL.P46DSDST.IADOPTN4




必要なライセンス付与を実行します。

例：

TACL> TACL>

FUP LICENSE $MYVOL.P46DSDST.IADOPTN4




Establishing product locations ... Product locations established. Performing verifications ... Verifications complete. Installing products: Verifying the system catalog can be written to ... Verified the system catalog can be written to. Comparing installed version of XTR to available version ...



A higher version of XTR was found. XTR will be upgraded. Installing XTR from $MYVOL.P46DSDST ... Install of XTR complete.

Install of products complete.

XTR has not been finished via SUPER.SUPER.

Please go to another TACL session, logon as SUPER.SUPER, and RUN $MYVOL.XYGATETR.XTR INSTALL

XTR_FINISH_INSTALL

You may continue when this has been done.

If you decide not to continue, the next time the wizard is run, it will

start here, where you last stopped.




ライセンス付与を実行します。実際のライセンス付与の手順は、インストールあるい

はアップグレードする製品によって異なります。

SUPERログオンにより、XMAのみに対してライセンスを付与します。

TACL>

例：

TACL> RUN $MYVOL.XYGATEMA XMA INSTALL

Licensing $MYVOL.XYGATEMA.SRLIB

XMA_FINISH_INSTALL

TACL> Logoff as the SUPER.SUPER or SUPER alias

SUPERログオンにより、XTRのみに対してライセンスを付与します。

TACL>

例：

TACL> RUN $MYVOL.XYGATETR XTR INSTALL

Licensing $MYVOL.XYGATETR.ADOPT

XTR_FINISH_INSTALL

Licensing $MYVOL.XYGATETR.USERINFO

TACL>

または、次のマクロを使用します。


SUPERログオンにより、XTRとXMAの両方にライセンスを付与します。

TACL>

例：

Licensing $MYVOL.XYGATEMA.SRLIB

RUN $MYVOL.IXYPROMA.LICENSE

Licensing $MYVOL.XYGATEMA.ADOPT



Licensing $MYVOL.XYGATEMA.USERINFO

TACL>




最後に、ステータス画面に現行の XMA 環境が表示されます。

XMA is currently started (Pathmon process $XMA).

Product Distribution Version Installed Version -------- -------------------- ----------------- XMA 1.71 1.71

XTR 1.53 1.53

Listner is running and listening on port 11211.

----------------------------------------------------------------- Validation finished.If no errors were reported, and the information shown was as expected, the installation was validated.

1.5 アップグレードに関する留意事項

-----------------------------------------------------------------

バージョン 1.95 より前の XMA をアップグレードすると、インストールの

XMA_MANAGER の部分で、Audit Session テーブルが更新されます。IPV6 形式の長

いアドレスに対応するために、新しい IPADDRV46 という名前のカラムが AUDSESSテーブルに追加されます。以降は、すべての IP アドレスがこのカラムに格納されます。

アップグレード後は、古い IP アドレスの情報(アップグレード前の情報)を、XMA レ

ポートですぐには利用できなくなります。この情報を利用できるようにするために、

CNVRTIP という名前の変換プログラムが提供されます。

1.5.1 CNVRTIP を使用したデータベース変換 AUDSESS テーブルの長くなった IPV6 形式アドレスに対応するために、CNVRTIP 変

換プログラムが提供されています。このプログラムは、IPADDRESS カラムから

IPADDRV46 カラムにデータを移動します。初期インストールと、インストールの

XMA_MANAGER の部分の両方を実行して XMA インストールのアップグレードを完

了しないと、このプログラムを実行できません。

注： XMA Pathway MOVERが実行中であっても、CNVRTIPを実行できます。

RUN $<vol>.XYGATEMA.CNVRTIP /out $s.#cnvrt/

構文：



カスタムのクリーンアップまたはアーカイブのパラメーター(オプション 17)がXMA_MANAGER の[Database Management Menu] (第 4.5 節(88 ページ)で構成されて

いると、CNVRTIP プログラムは、指定されたトランザクションサイズ、トランザク

ションタイムアウト、および CPU ビジーの値を使用します。構成されていない場合、

プログラムは次の値を使用します。

• Transaction Size (トランザクションサイズ)： 500

• Transaction Timeout (トランザクションタイムアウト)： 120

• CPU Busy Percent (CPU ビジー率)： 30

データベースが大きい場合は、変換に時間がかかります。変換の結果は、指定したス

プーラーロケーションに出力され、XMADAT サブボリュームの ARCLOG テーブルに

記録されます。

注：

1.6 Auto Uninstall を使用した XMA または XTR のアンインストール

変換を実行すると、AUDSESSテーブルの各ローの長さが 46 バイト長くなりま

す。十分な領域が割り当てられていることを確認してください。

AutoUninstall スクリプトは、XMA および XTR のサーバープログラム、ファイル、お

よび SQL テーブルを簡単に削除できるように設計されています。IWIZARD を実行し

て XMA 環境や XTR 環境をインストールあるいはアップグレードし、その XMA 環境

や XTR 環境を完全に削除する場合のみ、このスクリプトを使用してください。

1.6.1 AutoUninstall スクリプトの準備 AutoUninstall スクリプトは、次の手順に従って、実行中のすべてのモジュールをアン

インストールしようとします。

• XYGATEMA によってインストールされた製品ソフトウェアをアンインストールす

る。

• XYGATETR によってインストールされた製品ソフトウェアをアンインストールす

る。

• XYGATEMA SQL カタログと関連する SQL テーブルを削除する。

• XYGATEMA Pathway 環境を停止する。

• XYGATEMA Pathway 環境を削除する。

• GUI 製品から XYGATETR への接続のための LISTNER プロセスを停止する。

1. XMA 製品の AutoInstall スクリプトが実行されたインストールサブボリュームに移

動します。


構文：



TACL>

例：

2. UNIWIZ スクリプトが存在しない場合は、次のコマンドを使用してソフトウェアを

解凍し、スクリプトを利用できるようにします。


TACL> OBEY IXYBIN

3. UNIWIZ スクリプトを、パラメーターY を指定して開始します。

TACL> RUN UNIWIZ Y 例：

UNIWIZ スクリプトがアンインストールを実行するためには、パラメーター｢Y｣を指定する必要があります。このパラメーターは、このツールが誤って使用される

のを防止するためのものです。スクリプトによって、前回の IWIZARD 自動インス

トールツールの実行時に XTR および XMA のインストールに指定されたロケーシ

ョンが表示されます。それ以外の場合は、アンインストールするインストールロ

ケーションを入力するよう要求されます。

重要：表示されるロケーションのすべてのファイルがパージされます。この処理

が正しいのかどうかを確認するプロンプトが表示されるので、正しいことを確認

してから続行してください。この確認を怠ると、削除するつもりのなかった他の

製品インストール環境に属しているファイルが誤って削除されてしまう可能性が

あります。

Examining environment ...

Done examining environment.

XYGATE XTR and XMA Products Uninstall WARNING: This will remove ALL files from the following locations, even if the

product was not recently installed or upgraded:

XTR Installed files on \X.$MYVOL.XYGATETR XTR Unpak'd files on \X.$MYVOL.P46DSDST XMA Installed files on \X.$MYVOL.XYGATEMA XMA Tables on \X.$MYVOL.XMADAT XMA Catalog on \X.$MYVOL.XMACAT


XMA Pathway files on \X.$MYVOL.XMAPW

これらの XMA 環境および XTR 環境をアンインストールする場合は、｢Y｣を入力し

て続行します。このアンインストールプロセスは、完了するのに数分かかること

があります。 Are you ready to continue <Y/N>?Y

Working ... Detaching segment ... Removing XTR Installed files on \X.$MYVOL.XYGATETR ...



Removing XTR Unpak'd files on \X.$MYVOL.P46DSDST ... Removing XMA Installed files on \X.$MYVOL.XYGATEMA ... Removing XMA Tables on \X.$MYVOL.XMADAT ... Removing XMA Catalog on \X.$MYVOL.XMACAT ... Removing XMA Pathway files on \X.$MYVOL.XMAPW ... Checking results ...

1.6.2 GUI/PC 製品のインストール

Done.

XMA を配布された HP SUT からインストールする場合は、分散サブボリューム(DSV)に、オプションでインストールできる GUI/PC 製品のバイナリファイルが含まれてい

ます。XMA 製品に含まれているこれらの GUI/PC 製品は、次のタスクを実行します。

• SQL オーディットリポジトリの既定フォーマットやカスタムフォーマットのレポ

ート作成(IXRGEXE)

• XMA 環境の構成変更(IXCFEXE)

• オーディット対象情報のアラートや監視の GUI 表示(IXEMEXE)

• GUI 情報サポートツール(IXGIEXE)

• XYGATE 製品のオンラインヘルプ情報の表示(IXOHEXE)

注：各製品については『XYGATE User Guide

1. インストールまたはアップグレードの実施に使用されたインストールステージン

グロケーションを調べ、そこをデフォルトボリュームに設定します。

』を、PCへのインストールについて

は本章の先頭に記載されている留意事項と手順を参照してください。


構文：

TACL>

例：

2. 下記に示す各ファイルを、任意のバイナリファイル転送方法(たとえば、FTP や

IXF)を使用して、次のステージングサブボリュームから PC に BINARY オプショ

ンを指定してアップロードします。サーバーファイルの名前を、拡張子.EXE を付

けて変更します。これらのバイナリファイルは、PC 上の任意のフォルダに保存で

きます。


$MYVOL.IXYPROMA.IXCFEXE -> IXCF.EXE $MYVOL.IXYPROMA.IXEMEXE -> IXEM.EXE $MYVOL.IXYPROMA.IXGIEXE -> IXGI.EXE $MYVOL.IXYPROMA.IXRGEXE -> IXRG.EXE $MYVOL.IXYPROMA.IXOHEXE -> IXOH.EXE



3. 各.EXE を実行すると、ソフトウェアが PC 上にインストールされます。GUI での

インストールの実行の詳しい手順については、『XYGATE User’s Guide and Reference Manual』を参照してください(このマニュアルを始めとする XYPRO の

マニュアルを入手する方法については、本マニュアルの「その他の XYPRO リフ

ァレンスマニュアル」の節を参照してください)。

1.7 XYGATE Report Manager (XRM)を使用してレポートを生成する XYGATE Report Manager (XRM)を使用して、PC 上で XMA オーディットレポートを

生成できます。GUI には、次の 2 つのオプションがあります。

• ノードを特定したホストベースのレポート(HP の SQL ライセンスがないノードで

は利用できません)。これらのレポートは、バッチモードまたはアドホックモード

で実行でき、PC で表示します。

• Audit PRO PC ベースレポート。これらのレポートは、PC からアドホックでのみ

実行でき、PC で表示します。

注：

XRMレポートの作成時には背後でSQLCIクエリが実行されるため、レポートが

スプーラーに出力されないことがあります。これは、クエリに一致するデータ

がなければ出力を生成しないというSQLCIの動作によるものです。


第2章フィルターと FILTERS ファイルの

構成

フィルターは、XMA の制御の単位です。フィルターは、次の 2 つの機能を実行します。

• XMA データベースに書き込むものを決定する。

• FILTER の選択基準に一致するイベントが発生した場合に、1 つ以上のアクション

を始動する。

注：付録 D:に、多数のサンプルフィルターが記載されています。

フィルターは、XYGATEMA サブボリューム内の EDIT ファイルである FILTERS ファ

イル内に置かれます。XMA Pathway ごとに 1 つの FILTERS ファイルが存在します。

すべての MOVER サーバークラスが同じ FILTERS ファイルを共有します。

各 MOVER が FILTERS ファイルをメモリにロードし、読み取ったすべてのオーディ

ットイベントを、MOVER として指定されている各フィルターの選択基準と比較しま

す。

MOVER はいずれも、FILTERS ファイルが変更されているかどうかを定期的にチェッ

クします。変更されている場合は、各 MOVER が FILTERS ファイルをメモリに読み

込みます。各 MOVER は、FILTERS ファイルの新しいバージョンのロード時に、

CHECKSUM EMS メッセージを生成します。したがって、ユーザーは XMA を使用し

て、MOVER による FILTERS ファイルのロードを監視できます。

MOVERS は、XMA データベースに挿入するためのフォーマットにオーディットレコ

ードを変更してから、変更後のオーディットレコードを FILTERS ファイルと比較し

ます。こうすることで、FILTERS 内の Audit Detail テーブルと Audit Session テーブ

ルのカラムの内容に基づき、オーディットレコードを選択できるようになります。

注： FILTERS ファイル内での出現順にフィルターが処理されます。現行のレコード

にすべての基準が一致するフィルター定義が見つかると、検索を停止します。

そのため、あるイベントの出現によって複数のアクションが始動するようにす

るには、それらのアクションをすべて、1 つのフィルター定義に入れる必要が

あります。

2.1 FILTERS ファイルの編集方法 XYGATE Configuration Manager GUIを使用するか、ホスト上でXMA_EDIT_FILTERSマクロを使用することで、FILTERSファイルを編集できます。XMA_EDIT_FILTERS

XYGATE Merged Audit®リファレンスマニュアル第 2 章フィルターと FILTERS ファイルの構成


マクロの使用に関する詳しい手順については、付録 E11:(200 ページ)を参照してくだ

さい。

XYGATE Configuration Manager を使用した FILTERS ファイルの編集デスクトップ上の XCF アイコンをクリックします。XYGATEMA サブボリューム内に

は、FILTERS ファイルが 5 つ保持されます。これらのファイルの命名規則は、

OLDFILTnn (nn は 1 ずつ加算)です。

Configuration Manager の使用に関する詳しい情報については、『XGATE Configuration and Report Manager User Manual』を参照してください(このマニュア

ルを始めとする XYPRO のマニュアルを入手する方法については、本マニュアルの

「その他の XYPRO リファレンスマニュアル」の節を参照してください)。

NonStop ホスト上の FILTERS ファイルの編集 FILTERS ファイルを変更する場合は必ず、XMA_EDIT_FILTERS マクロを使用してく

ださい。このマクロによって本番ファイルのコピーが作成され、このコピーをユーザ

ーが変更します。EDIT を終了すると、新しいファイルの構文チェックが実行され、

エラーが検出されなければ、この一時ファイルを本番へと移行するように要求されま

す。XYGATEMA サブボリューム内には、このファイルが 5 つ保持されます。これら

のファイルの命名規則は、OLDFILTnn (nn は加算される 2 桁の番号)です。

XMA_EDIT_FILTERS マクロによって EDIT に移行し、EDIT プロンプト(*)から XVS <行番号>と入力することで XVS に移行するか、T と入力することで TEDIT に移行する

こともできます。

注：

*l1/20

FILTERSファイルを編集する場合は、FILTERSファイルの 1 行目にバージョン

番号が記述されている必要があります。この行を削除しないでください。

1 VERSION 102 2 3 4 !*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+**+*+*+*+*+*+*+*=! 5 ! A T T E N T I O N =! 6 ! Starting from XMA 1.70 release, a more stripped =! 7 ! down filter file is created when first installed. =! 8 ! The IFILTERS will overlay the FILTERS file. =! 9 =! 10 ! The less stripped down IFILTSAM will overlay =! 11 ! the FILTSAMP file. =! 12 !*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+**+*+*+*+*+*+*+*=! 13 14 !===================================================================== 15 !Notes 16 ! 1. Information you need to customize has been enclosed 17 ! by < > (Such as \<NODE>, <VOL>, <SUBVOL> ) 18 19 ! 2. The exclamation point (!) is the comment character.If you 20 ! use the ! in an ALERTSTRING or Mail Subject, everything



2.2 フィルターの構文フィルターは、次の 3 つの部分で構成されます。

• MOVER 選択

• DATA 選択

• ACTION 選択

厳密な構文に従ってフィルターを記述する必要があります。どのフィルターも FILTERDEFBEGIN キーワードで開始し、フィルター名もここに記

述します。どのフィルターも FILTERDEFEND キーワードで終了します。これら 2 つ

のキーワードの間に、MOVER、DATA、および ACTION 選択パラグラムが入ります。

FILTERDEFBEGIN $Sample-Filter

フィルターの構文：

STATUS INACTIVE <MOVER selection criteria paragraphs> <data selection criteria paragraphs> <action definition paragraphs> FILTERDEFEND

MOVER選択部は、MOVER_BEGINキーワードで開始し、MOVER_ENDキーワードで

終了します。これら 2 つのキーワードの間に、1 つ以上のMOVERを選択するための 1つ以上の｢パラグラフ｣を置くことができます。これらのパラグラフはいずれも、

MOVER_SELECT_BEGINキーワードで開始し、MOVER_SELECT_ENDキーワード

で終了します。MOVER選択キーワードはすべて、これら 2 つのキーワードの間に記

述する必要があります。

MOVER_BEGIN

MOVER選択の構文

MOVER_SELECT_BEGIN <MOVER selection criteria keywords here> MOVER_SELECT_END MOVER_END

DATA選択部は、DATA_BEGINキーワードで開始し、DATA_ENDキーワードで終了

します。これら 2 つのキーワードの間に、1 つ以上のデータ基準セットを選択するた

めの 1 つ以上の｢パラグラフ｣を置くことができます。これらのパラグラフはいずれも、

DATA_SELECT_BEGINキーワードで開始し、DATA_SELECT_ENDキーワードで終

了します。各オーディットイベントに対応するDATA選択キーワードはすべて、これ

ら 2 つのキーワードの間に記述する必要があります。

DATA_BEGIN

DATA選択の構文

DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER <audit record selection criteria keywords here> DATA_SELECT_END DATA_END



ACTION選択部は、ACTIONCOLL_BEGINキーワードで開始し、ACTIONCOLL_ENDキーワードで終了します。これら 2 つのキーワードの間に、1 つ以上のACTIONを選

択するための 1 つ以上の｢パラグラフ｣を置くことができます。これらのパラグラフは

いずれも、ACTION_BEGINキーワードで開始し、ACTION_ENDキーワードで終了し

ます。対応するACTION選択キーワードはすべて、これら 2 つのキーワードの間に記

述する必要があります。

ACTIONCOLL_BEGIN

ACTION選択の構文

ACTION_BEGIN <action definition keywords here> MAXRECORDAGE 43200 ACTION_END ACTIONCOLL_END FILTERDEFEND

FILTERS ファイル内では、各キーワードを個別の行に記述する必要があります。

2.2.1 論理 AND と論理 OR MOVERまたはDATA選択パラグラフ内では、論理AND (!and

例 1 では、オーディットイベントが指定した OPERATION と TARGETLOGIN ユーザ

ー名、TERMINAL、および RESULT テキストを満たしていると、アクションが始動

します。

)でいくつかの基準を結

合します。オーディットイベントに指定したACTIONを始動するには、そのオーディ

ットイベントがすべての基準を満たしている必要があります。

DATA_BEGIN

例 1：パラグラフ内で複数の選択基準を指定する方法

DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OPERATION LIKE "(AUTHENTICATE|VERIFYUSER)" !and … AUDIT.TERMINAL NOTCONTAIN "#HLPR1" !and … AUDIT.MESSAGEID LIKE "(51|55)" !and … AUDIT.TARGETLOGIN = SUPER.SUPER DATA_SELECT_END

複数のMOVERまたはDATA選択パラグラフが存在する場合は、パラグラフの間に論理

OR (!or

例 2：MOVER は、XYGATECM、Safeguard、または XYGATEUA のオーディットト

レイルを読み取ると、このフィルターをチェックします。

)を記述します。

FILTERDEFBEGIN $LOGON-ALERTS

例 2：複数のMOVERを指定する方法

MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = XYGATECM



MOVER_SELECT_END !or … MOVER_SELECT_BEGIN PRODUCT = SAFEGUARD MOVER_SELECT_END !or … MOVER_SELECT_BEGIN PRODUCT = XYGATEUA MOVER_SELECT_END MOVER_END

演算子を使用すると、指定した選択基準に一致するレコードを対象に入れることも、

あるいは除外することもできます。

演算子後続の要素

オーディットレコード内のカラムの内容で、対象とする、

あるいは対象から除外する部分だけを記述する、引用符で

囲まれた文字列。

CONTAINS / NOTCONTAIN

オーディットレコード内のカラムの、対象とする、あるい

は対象から除外する内容全体と一致する、引用符で囲まれ

た正規表現。

LIKE / NOTLIKE

等号。オーディットレコード内のカラムの内容が選択基準

と完全に一致する必要があります。 =

不等号。オーディットレコード内のカラムの内容が対象か

ら除外する基準と完全に一致する必要があります。 <>

より小さい(未満)。 <

より小さいか等しい(以下)。 <=

より大きい。 >

より大きいか等しい(以上)。 >=

AUDIT.OPERATION = VERIFYUSER

例：演算子

AUDIT.OUTCOME <> 3 AUDIT.OPERATION LIKE "(VERIFYUSER|AUTHENTICATE)" AUDIT.OBJECTNAME NOTLIKE "$SYSTEM\.SYSTEM\.(USERID|USERIDAK|USERIDAX)" AUDIT.RESULT CONTAINS "Failed Logon count 2 to 3" AUDIT.RESULT NOTCONTAIN "Last Mod Time"

LIKEまたはNOTLIKEを使用する場合は、必ず正規表現形式のワイルドカードを使用

する必要があります。Guardian形式のワイルドカードは使用できません。また、正規

表現では大文字と小文字が区別されるので注意してください。正規表現の"構築"とテ

ストに関する詳細は、『XYGATE Regular Expressions

その他のXYPROリファレンスマニュアル

』マニュアルを参照してくだ

さい(このマニュアルを始めとするXYPROのマニュアルを入手するには、本マニュア

ルの「」の節を参照してください)。

CONTAINS または NOTCONTAIN を使用する場合は、対象とする、あるいは対象か

ら除外するオーディットレコードに実際に含まれる語と、大文字と小文字の区別を含



めて完全に一致する必要があります。たとえば、"Last Mod Time"という見出しでも大

文字と小文字が区別されるので注意してください。

2.3 フィルターの作成注：新しいフィルターを作成する一番簡単な方法は、既存のフィルターのコピーから

始めることです。この方法であれば、構文を間違えることがないため、正しい

選択基準の指定に集中できます。

フィルターの作成では、次の 8 つの基本手順が必要です。

手順 1. フィルターの名前を指定する

手順 2. フィルターのステータスをセットする

手順 3:EVALUATE_MSGキーワードをセットする

手順 4. フィルターのMOVERを定義する - 選択したイベントを検出します。

手順 5. フィルターのデータ選択基準を定義する - 対象とするオーディットイベント

を一意にします。

手順 6. FILTERのアクションを定義する - イベント発生時のアクションです。

手順 7. FILTERSファイルの構文チェック

手順 8. アラートをテストする - 通信パラメーターが正しいことをテストします。

2.3.1 手順 1. フィルターの名前を指定するどのフィルター定義にも名前が必要です。名前の形式は次のとおりです。

• ドル記号($)で開始すること。

• 長さは 32 文字以下の英数字。

• 英数字、ハイフン(-)、アンダースコア(_)、およびピリオド(.)を使用できる。

FILTERDEFBEGIN $SCF_255_ALERTS

例：

$IGNORE-UNWANTED-SFG-CODES $SfgConfigChgs.EMS.Alert

2.3.2 手順 2. フィルターのステータスをセットするどのフィルター定義にもステータスが存在します。ステータスによって、フィルター

がアクティブまたは非アクティブになります。フィルターが非アクティブであれば、

MOVER はそのフィルターを無視するため、オーディットイベントと比較されません。



STATUS {ACTIVE|INACTIVE}

構文：

注：どのようなステータスであっても、すべてのフィルターの構文エラーがチェッ

クされます。

2.3.3 手順 3:EVALUATE_MSG キーワードをセットする EVALUATE_MSG キーワードは、MOVER が選択基準に一致する別のフィルターを

FILTERS ファイルに検索するかどうかを決定します。次のオプションがあります。

STOP フィルター内の条件を満たすレコードが見つかったら、評価を停止

します。これがデフォルト値です。このキーワードを省略すると、

デフォルトは STOP です。

CONTINUE MOVER は、最初のフィルターに定義されている ACTION を実行し、

さらに、選択基準を満足する別のフィルターの検索を継続します。

ACTIONTYPE に IGNORE を指定すると、EVALUATE_MSG に CONTINUE を指定で

きません。

たとえば、EMAIL または EMS のアラートを送信し、SYSLOGQ にもイベントを送信

したい場合には、EVALUATE_MSG を CONTINUE にセットしてください。

EVALUATE_MSG (CONTINUE|STOP)

構文：

FILTERDEFBEGIN $XYGATEMA-EMS-MSGS

例：

STATUS INACTIVE EVALUATE_MSG CONTINUE MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = EMS MOVER_SELECT_END MOVER_END DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OBJECTNAME CONTAINS "XYPRO.28" AUDIT.RESULT NOTCONTAIN "CHECKSUM" DATA_SELECT_END DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OBJECTNAME CONTAINS "PATHWAY" AUDIT.MESSAGEID = 1120 ! Insert the correct XMA pathway process name(s): AUDIT.RESULT LIKE "^.*$XMA.*" DATA_SELECT_END DATA_END ACTIONCOLL_BEGIN ACTION_BEGIN ACTIONTYPE SETDATA AUDIT.USER_DATA XMA'S ems msg ACTION_END



!= Add other desired ACTIONs here ACTIONCOLL_END FILTERDEFEND

2.3.4 手順 4. フィルターの MOVER を定義する多くの場合は、PRODUCT キーワードのみを使用して MOVER を選択しますが、ター

ゲットの製品が置かれたノードとその製品を実行しているサブボリュームも選択でき

ます。

MOVER サーバークラスは、実際には、各種オーディットトレイルを読み取り、その

レコードを XMA データベースに転送し、ユーザーによって定義されたアクションを

生成するプログラムです。各 MOVER が、オーディットイベントを FILTERS ファイ

ル内のフィルターと比較します。

フィルター内では、ユーザーが MOVER 選択基準を使用して、どの MOVER がオーデ

ィットレコードをフィルターの選択基準と比較してアクションを実行するかどうかを

判断するかを制御します。

MOVER 選択基準はフィルター内ではオプションですが、すべてのフィルターに

MOVER を定義することで、一部の処理のオーバーヘッドが軽減されます。これは、

フィルターで MOVER が指定されていなければ、すべての MOVER がオーディットイ

ベントをフィルターと比較するためです。

MOVER を指定すると、選択した製品のその MOVER だけが、オーディットイベント

をそのフィルターと比較します。

MOVER 選択基準でノードを指定しないと、すべてのノード上のその製品の MOVERがそのフィルターを使用します。

ノードを指定すると、指定したそのノード上のその製品の MOVER だけがそのフィル

ターを使用します。

<MOVER keyword> <operator> <MOVER selection criteria>

構文：

MOVER 選択キーワード MOVER 選択基準は全体として、MOVER がオーディットトレイルを読み取る製品が

ベースになります。MOVER には、次の 3 つの選択基準があります。

PRODUCT このキーワードを使用して、必要とする MOVER のターゲット製品

を指定します。下記の完全な製品名を入力します。

BASE24

EMS

HLR

MEASURE



SAFEGUARD

XYGATExx

FILEMAINT

SYSTEM ターゲット製品が置かれている NonStop サーバーのノード。一部

のシステムからのみアラートが発行されるようにしたい場合は、そ

のシステムだけを指定します。

LOCATION 上記で指定したターゲット製品のボリュームとサブボリュームの場

所。XYGATE 製品の複数のコピーが同じノード上に存在し、ある

インストール環境からのイベントだけに対してアラートが発行され

るようにしたい場合には、その製品の場所だけを指定します。

PRODUCT だけを選択すると、すべてのノード上の指定したターゲット製品のすべて

の MOVER がそのフィルターを使用することになります。

例 1 では、1 つの MOVER パラグラフを使用して、XYGATECM MOVER を指定しま

す。すべてのノード上のすべての XCM MOVER がこのフィルターを使用します。

FILTERDEFBEGIN $QA-XYGATEAC

例 1：特定の製品のMOVERを指定する方法

MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = XYGATECM MOVER_SELECT_END

例 2 では、2 つの MOVER パラグラフを使用して、2 つのノードの CMON イベントを

選択します。一部のノードからの CMON イベントだけを監視する場合に、この方法

を使用します。各パラグラフに SYSTEM 基準が指定されていて、それぞれに

MOVER_SELECT_BEGIN キーワードと MOVER_SELECT_END キーワードがあるこ

とに注意してください。パラグラフ間に論理‘OR’が指定されています。したがって、

CMON イベントが\NODE1 または\WIRE で発生すると、このフィルターがチェックさ

れます。

FILTERDEFBEGIN $XCM-NODE1-N0DE2

例 2：複数のノードが存在し、2 つのノードだけにMOVERを指定する方法

MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = XYGATECM SYSTEM = \NODE1 MOVER_SELECT_END ! or … MOVER_SELECT_BEGIN PRODUCT = XYGATECM SYSTEM = \WIRE MOVER_SELECT_END

例 3 のフィルターは、XAC のテストインストール環境で XAC コマンドを実行しよう

として成功した場合に(OUTCOME = 1)、XMA データベースに書き込まれないように

する(ACTIONTYPE = IGNORE)ために作成されました。コマンドが失敗した場合のみ、



XMA データベースに書き込まれます。テスト環境を本番環境と区別するための基準は、

ターゲット製品の LOCATION です。

XAC のテストインストール環境のいかなるオーディットも必要としない場合は、その

インストール環境のオーディットファイルを読み取る MOVER を作成しないでくださ

い。

FILTERDEFBEGIN $QA-XYGATEAC

例 3：特定の製品インストール環境にMOVERを指定する方法

MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = XYGATEAC LOCATION = $SECURE.XACQA MOVER_SELECT_END MOVER_END DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OUTCOME = 1 DATA_SELECT_END DATA_END ACTIONCOLL_BEGIN ACTION_BEGIN ACTIONTYPE IGNORE ACTION_END ACTIONCOLL_END FILTERDEFEND

例 4 では、各 MOVER が対応するすべてのオーディットイベントをこのフィルターと

比較するため、どの MOVER であっても、失敗時(AUDIT.OUTCOME = 3)に ACTIONが生成されます。

FILTERDEFBEGIN $ALERT-ON-FAILURE

例 4：MOVERを指定しないフィルター

DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OUTCOME = 3 DATA_SELECT_END DATA_END

FILEMAINT FILEMAINTキーワードは選択的なアーカイブまたはクリーンアップ

の実装に使用されます。MOVER = FILEMAINTのフィルターには、

RETAINのACTIONTTYPEも必要です。ArchiveプロセスとCleanupプロセスは、FILTERのRETAIN_DAYSとRETAIN_MONTHSのキー

ワード値をチェックして、データ選択基準に一致するレコードを処

理します。詳細は、第 7.1.1 節｢選択的なアーカイブおよびクリーン

アップ｣(131 ページ)を参照してください。



2.3.5 手順 5. フィルターのデータ選択基準を定義するフィルターのデータ選択基準を、実行するオーディットイベントが一意になるように

指定します。データ選択基準は、MOVER でオーディットトレイルが読み取られる製

品に完全に基づいています。

• 各製品にどのカラムが使用されるかについては、｢Column Usage テーブル｣(280ページ)を参照してください。

• 各製品で、どの情報が Audit Detail テーブルと Audit Session テーブルの各カラム

にセットされるかについては、付録 G:｢データマッピング｣(223 ページ～)を参照

してください。

どのような場合にも、作成しようとするフィルターと似ている既存のフィルターを用

いて始めるのが、最も簡単な方法です。XMA のインストール時に作成されるデフォル

トの FILTERS ファイルと FILTSAMP ファイルには、テンプレートとして利用できる

便利な例が含まれています。

例 1 では、OPERATION に基づいてイベントを選択します。EMS MOVER によって

検索されるように構成することで、TELNET イベントと LISTNER イベントを利用で

きます。

FILTERDEFBEGIN $TELNET-LISTNER

例 1：TELNETイベントとLISTNERイベントを選択する

MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = EMS MOVER_SELECT_END MOVER_END DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OPERATION = TELNET-CONNECT DATA_SELECT_END ! or … DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OPERATION = TELNET-DISCONNECT DATA_SELECT_END ! or … DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OPERATION = LISTNER-CONNECT DATA_SELECT_END DATA_END

正規表現を使用して 3 つのパラグラフを 1 つに連結することもできます。 FILTERDEFBEGIN $TELNET-LISTNER MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = EMS MOVER_SELECT_END MOVER_END DATA_BEGIN DATA_SELECT_BEGIN



FILTERTYPE STRINGFILTER AUDIT.OPERATION LIKE "(LISTNER-CONNECT|TELNET-CONNECT|TELNET-DISCONNECT)" DATA_SELECT_END DATA_END

EMS MOVER を除くすべての MOVER のデフォルトの動作では、対応する製品のオ

ーディットトレイル内に見つかったすべてのレコードが XMA データベースに書き込

まれます。したがって、FILTERS ファイルが空であれば、MOVER が存在するすべて

の製品(EMS を除く)のすべてのオーディットレコードが、XMA データベースにその

ままレコードとして追加されます。フィルターを追加して指示しない限り、EMS MOVER はデータベースに何も書き込みません。

注： EMS MOVER の動作は他の MOVER とは異なります。EMS メッセージは大量

であるため、フィルターでイベントを指定しない限り、EMS オーディットは

XMA データベースに書き込まれません。

レコードを XMA データベースに書き込む以外の処理を実行するように MOVER に指

示するには、フィルターを作成します。たとえば、データベースに何かが追加されな

いようにするには、ACTIONTYPE が IGNORE のフィルターを作成します。この

IGNORE のフィルターの選択基準と一致するオーディットイベントはデータベースに

は書き込まれませんが、それ以外のオーディットイベントはデータベースに書き込ま

れます。

正規化されたオーディットデータレコードの内容に基づいてオーディットイベントを

選択するには、データ選択基準を使用します。MOVER では、ターゲット製品のオー

ディットトレイルで各レコードのデータが正規化されます。つまり、各フィールドの

内容が適切なカラムに移動して、XMA データベースに挿入されます。ターゲット製品

に使用されるすべてのカラムは、フィルターでアクションの生成に使用できます。

<table name>.<column name> <operator> <value to trigger the action>

構文：

table name 最もよく使用されるのは、AUDIT と SESSION の 2 つのテーブル名

です。

1 つのオーディットイベントに対して 1 つの SESSION エントリが

オーディットセッション(AUDSESS)テーブルエントリに生成され、

オーディット詳細テーブル(AUDDET)の複数の詳細レコードと 1 対

多に対応します。

column name レコードの選択に使用するデータが含まれるカラムの名前。

operator =、<>、LIKE、NOTLIKE、CONTAINS、NOTCONTAINなど。31ページの演算子リストを参照してください。

値オーディットトレイルの対象とする、あるいは対象から除外するた

めに使用する、カラム内容の全体あるいは一部。



FILTERTYPES 使用できるフィルタータイプは、STRINGFILTER、NOFILTER、および

MACROFILTER です。

STRINGFILTER

AUDITSESSION データ選択で"SESSION"として指定。

タイプはMOVERに対し、次のテーブル内の 1 つ以上のフィールドの

内容に基づいて選択することを指示します。

AUDITDETAIL データ選択で"AUDIT"として指定。

AUDITPRODUCT データ選択で"PRODUCT"として指定。

AUDITINSTALL データ選択で"INSTALL"として指定。

STRINGFILTER は、最もよく使用される FILTERTYPE です。

NOFILTERは_nullフィルターです。すべてのデータレコードがこのFILTERTYPEに一

致します。指定したMOVERのすべてのイベントを収集する場合のみこのフィルター

を使用することを推奨します。

DATA_BEGIN

例

DATA_SELECT_BEGIN FILTERTYPE NOFILTER DATA_SELECT_END DATA_END

MACROFILTER

この処理については、次のような制約があります。

。カラムの内容を指定する以外にも、マクロを使用するで、オーディ

ットレコードのさらに高度な選択が可能になります。データが含まれる構造体がテー

ブルAUDITSESSIONとAUDITDATAに挿入され、AUDITPRODUCT情報と

AUDITINSTALL情報がTACL変数要求内のこのマクロに渡されます。

• TACL のマクロまたはルーチンである必要があります。TACL のマクロまたはルー

チンでは、端末に何かを書き込まないのであれば、非ブロックモードの任意のプ

ログラムを内部で実行できます。ただし、スプーラーに出力を書き込むことはで

きます。

• MATCH または NOMATCH の値を返す必要があります。

• MACROFILTER の処理でエラーが発生すると、EMS コンソールにエラーが書き込

まれ、処理は続行します。同じエラーが再び発生すると、次に実行が成功するま

で、レポートは作成されません。TACL サーバーが異常終了するような重大なエラ

ーであると、MOVER によって、TACL サーバーの再起動が 5 回試行されます。そ

して、5 回目に TACL サーバーの再起動を試行した後に、MOVER が異常終了しま

す。



DATA_BEGIN

例 1：マクロフィルターTACLルーチンの例

DATA_SELECT_BEGIN FILTERTYPE MACROFILTER MAXCOMPLETIONTIME 300 MACRODEFBEGIN \NODE1.$SYSTEM.XYGATEMA.ACFILT MACRODEFEND DATA_SELECT_END DATA_END

このフィルターによって、次のマクロが呼び出されます。

?TACL ROUTINE

例 2：Macrofilter TACL Routine

#frame [#if ("[request:audit:rulename:valu:val:byte(0:6)]" '=' "FUP-255" or & "[request:audit:rulename:valu:val:byte(0:7)]" '=' "TACL-255" or & "[request:audit:rulename:valu:val:byte(0:10)]" '=' "SAFECOM-255" ) and & "[request:audit:MESSAGECODE:valu:val:byte(0:4)]" '=' "XAC-I" |then| #result MATCH |else| #result NOMATCH ] #unframe

上記の例 2 で、AUDIT DETAIL テーブルの RULENAME カラムの値が FUP-255、TACL-255、または SAFECOM-255 で、AUDIT DETAIL テーブルの MESSAGECODEカラムの値が XAC-I であると、MATCH という値が返されます。

TCLEXC DATAFILTERTYPE = MACROFILTER が指定されると、構造体 TCLEXC が使用され

ます。この構造体には、フィルタリングの目的で現在検査されているレコードの、

Audit Session、Audit Detail、Installation、および Product テーブルからの情報が格納

されます。この構造体のデータは、ACTIONTYPE RUNCMD が指定された場合にも使

用できます。TCLEXC ファイルは、Pathway ノードの XMA サブボリュームに置かれ

ます。詳細については、付録 F:「TCLEXC」(211 ページ～)を参照してください。

ログオン監視のための選択基準の選択すべてのユーザーのログオン時にメールが生成されるようにしたいとします。そのた

めには、ACTIONTYPE が MAIL のフィルターを作成します。また、ログオンを監視す

るため、MOVER は、Safeguard または XYGATEUA ということになります。この例

の場合は、Safeguard を使用します。ログオンイベントを一意にするデータ選択基準

は、OPERATION です。ユーザーのログオン時に、Safeguard によって、

VERIFYUSER の OPERATION でオーディットレコードが生成されます。すべてのロ

グオンを監視したいので、必要な選択基準は OPERATION だけとなります。どのユー

ザーのログオン時にも、また、そのログオンが成功したかどうかにかかわらず、XMAによってメールが生成されます。

DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OPERATION = VERIFYUSER



DATA_SELECT_END

ただし、ログオンが成功するたびにメールが送信されると大量のメールが発生するこ

とになるため、この方法を見直し、すべてのログオンの日次レポートを作成するので

はなく、失敗したログオンだけをリアルタイムで監視することにします。そのために

は、失敗したログオンだけを選択する、2 つ目の基準を追加する必要があります。失

敗したログオンを一意に識別できるのは、失敗を表す、OUTCOME = 3 です。こうす

ることで、誰かがログオンを試行したものの失敗するたびに、XMA によってメールが

生成されるようになります。この場合にも、成功または失敗のどちらであるかにかか

わらず、すべてのログオンが XMA データベースに書き込まれます。

DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OPERATION = VERIFYUSER AUDIT.OUTCOME = 3 DATA_SELECT_END

パスワードが正しくないためにユーザーID がフリーズされた場合だけ通知されるよう

にしたいとします。このイベントは、RESULT カラムのテキストを次のようにするこ

とで、一意になります。

WRONG-PASSWORD Logon Fail count 2 to 3

Safeguard のグローバル AUTHENTICATE-MAXIMUM-ATTEMPTS を 3 にセットする

と、"Logon Fail count 2 to 3"というテキストが含まれるレコードだけを選択すること

になります。その理由は、このイベントによって、Safeguard がそのユーザーID をフ

リーズするためです。これで、パスワードが正しくないためにユーザーID がフリーズ

されるたびに、XMA によってメールが生成されます。この場合にも、成功または失敗

のどちらであるかにかかわらず、すべてのログオンが XMA データベースに書き込ま

れます。

DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OPERATION = VERIFYUSER AUDIT.OUTCOME = 3 AUDIT.RESULT CONTAINS " Logon Fail count 3 to 4" DATA_SELECT_END

注： RESULT フィールド内のテキストでは大文字と小文字が区別されます。オーデ

ィットレコードに出力されるとおりにテキストを入力する必要があります。正

確なテキストを確認するには、Report Manager GUI から Audit Pro レポートを

実行して、｢生の｣データを表示します。

ユーザーが 1 つ以上の特定の特権 ID に直接ログオンしようとした場合だけ通知され

るようにするには、どうすれば良いのかを考えてみます。その場合には、3 つ目の基

準を追加して、監視する必要がある ID を定義する必要があります。この場合には、

ユーザーID そのものによってオーディットレコードが一意になります。ログオンされ

るユーザーID を識別するデータは、4 つのカラム：OBJECTNAME、TARGETLOGIN (ユーザー名)、TARGET_USERNUMBER_MAJOR (グループ番号)、および



TARGET_USERNUMBER_MINOR (メンバー番号)に入ります。OBJECTNAME カラ

ムには、ユーザー名とユーザー番号の両方が入ります。

DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OPERATION = VERIFYUSER AUDIT.OBJECTNAME CONTAINS "255,255" DATA_SELECT_END

SUPER.SUPER でのログオンが試行されるたびに、成功したか失敗したかにかかわら

ず、上記の基準がメールで送信されます。この場合にも、すべてのログオン試行が

XMA データベースに書き込まれます。

XAC アクティビティ監視のための選択基準の選択ユーザーが特定のXACコマンドを呼び出すたびにEMSメッセージが生成されるように

する場合は、コマンド名そのものによってイベントが一意になります。そのため、

XACデータマッピングテーブル(255 ページ)を使用して、どのカラムにコマンド名が

含まれるのかを判断することになります。ここでデータマッピングテーブルをチェッ

クすると、コマンド名がRULENAMEカラムとOBJECTNAMEカラムの両方に入ってい

るのがわかります。フィルターには、両方のカラムを選択できます。適切な演算子を

使用すれば、ユーザーが呼び出すたびにメールが送信されるようにしたXACコマンド

名を定義することになります。

あるコマンドが使用されたらアラートを受け取るようにするには、=(等号)演算子とそ

のコマンドの正確な名前を使用します。 DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.RULENAME = TACL-255 AUDIT.MESSAGEID = XAC-I DATA_SELECT_END

複数の(ただし、すべてではない) XAC コマンドに対してアラートを受け取るようにす

る場合は、いくつかのオプションがあります。個々のコマンドを列挙する方法があり

ます。 AUDIT.RULENAME LIKE "(TACL-255|SCF-255|EDIT-255)"

利用可能なコマンド名の命名規則がある場合は、ワイルドカードも使用できるでしょ

う。 AUDIT.RULENAME CONTAINS "-255"

SUPER.SUPER として実行する XAC コマンドを誰かが呼び出した場合に通知される

ようにしたいのであれば、TARGETLOGIN カラムまたは

TARGET_USERNUMBER_MAJOR カラムと TARGET_USERNUMBER_MINOR カラ

ムに対する選択という方法があります。 AUDIT.TARGET_USERNUMBER_MAJOR = 255 AUDIT.TARGET_USERNUMBER_MINOR = 255

- または -



AUDIT.TARGETLOGIN = SUPER.SUPER

2.3.6 手順 6. FILTER のアクションを定義するオーディットイベントの選択が完了したら、イベントが検出されるたびに XMA によ

って実行されるようにするアクションを定義します。ACTION パラグラフは MOVERに対し、オーディットレコードが DATA 選択基準を満たしている場合に何を実行する

かを指示します。実行されるアクションは、ACTIONTYPE キーワードによって決定

されます。

ACTIONTYPE = {actiontype}

構文：

ACTIONTYPE は下記のとおりです。

ALERT EMS メッセージを生成する

IGNORE レコードを破棄し、XMA データベースに書き込まない

IPALERT 選択されたメッセージを SYSLOG に送る

MAIL 選択されたメッセージをメールで送信する

RETAIN 条件付きでアーカイブまたはクリーンアップを実行する

RUNCMD 定義されているマクロを実行する

SETDATA 定義されている文字列を XMA データベースの USER_DATA カラム

に挿入する

SNMPTRAP 選択されたメッセージを SNMPTRAP に送る

SYSLOGQ メッセージを SYSLOGQ テーブルに送る

RETAINキーワードを使用して、選択付きのアーカイブまたはクリーンアップを実装

します。MOVER = FILEMAINTのフィルターには、RETAINのACTIONTTYPEも必要

です。ArchiveプロセスとCleanupプロセスは、FILTERのRETAIN_DAYSとRETAIN_MONTHSのキーワード値をチェックして、データ選択基準に一致するレコ

ードを処理します。詳細は、第 7.1.1 節｢選択的なアーカイブおよびクリーンアップ｣


同じイベントに複数のアラートが発行されるのを回避する一定の時間内に同じフィルターから複数のアラートが発行されないようにするには、

MAXACTIONRATE キーワードを使用します。

MAXACTIONRATE キーワードは、EMS スロットルのように動作します。このキーワ

ードには、同じ状況が発生した場合の通知の受信頻度を指定できます。その場合にも、

アクティビティは XMA データベースに書き込まれます。このフィールドによって制

御されるのは、生成されるアラートの数だけです。



このパラメーターを省略すると、アクティビティの発生頻度にかかわらず、該当する

レコードに対してアラートまたはアクション(あるいは両方)が発生します。

注： MAXACTIONRATE に関連する情報は、MOVER サーバークラスオブジェクト

内のコンテキストに格納されます。MOVER サーバークラスを停止および再起

動すると、追加のメッセージが生成される場合があります。FILTERS ファイル

を変更すると、MAXACTIONRATE カウンターもリセットされます。

MAXACTIONRATEは、実際のイベントの内容ではなく、同じFILTERの｢ヒッ

ト｣数が基準になります。したがって、MAXACTIONRATEを短い時間に設定し、

ファイルを実行して複数のユーザーをSAFECOMで追加すると、ADDイベント

のたびにアラートは発生しません。MESSAGEIDやMESSAGECODEのような

Safeguard選択基準を使用してSafeguardアラートが生成されるレコードを制限

するのも良い方法です。詳細は、第 6 章「Safeguardの選択基準」(119 ページ)を参照してください。

MAXACTIONRATE <seconds>

構文：

MAXACTIONRATE 300

例：

この例では、同じフィルターを使用して過去 5 分間(5 分 x 60 秒/分)にイベントが生成

されると、アラートが作成されます。

履歴イベントに対するアラートの抑止古いオーディットイベントに対してアラートが生成されないようにするには、

MAXRECORDAGE キーワードを使用して、指定した期間が経過したイベントに対す

るアラートを抑止します。ACTIONTYPE = IGNORE の場合であっても、すべてのイ

ベントが XMA データベースに書き込まれます。

MAXRECORDAGE キーワードによって、古くなって問題にする必要がないイベント

に対するアラートを抑止できます。このキーワードは通常、MOVER が何らかの理由

で停止していて、履歴データを XMA データベースに追加している状況でのみ、役割

を果たします。たとえば、あるユーザーが SUPER.SUPER として直接ログオンした

ことを示すレコードがあるものの、それが先週のイベントであるならば、アラートを

受け取る必要はないでしょう。このような状況では、レポートを実行してそれらのイ

ベントを確認する方が、現実的な方法です。

このパラメーターを省略すると、アクティビティの実行からの経過時間にかかわらず、

該当するすべてのレコードに対してアラートまたはアクション(またはその両方)が発

生します。

MAXRECORDAGE <seconds>

構文：



MAXRECORDAGE 3600

例：

上記の例では、識別済みのアクティビティの実行からの経過時間が 1 時間(60 分 x 60秒/分)以内である場合のみ、アラートが生成されるか、アクションが実行されます。

ACTIONTYPE = ALERT によって定義される EMS アラート EMS アラートを生成するには、該当するフィルターの次のパラメーターを構成する必

要があります。

ALERTTARGET {\<system.$0

ALERTSEVERITY

} - MOVERがEMSメッセージを送信す

るEMSコレクターを定義します。デフォルトは、ロ

ーカルノード上の$0 です。Pathwayノード名を入力

することで、ネットワーク上のすべてのノードに対す

るすべてのアラートを、Pathwayノード上の置かれて

いるEMSコレクターに送信できます。

{CRITICAL | NONCRITICAL

ALERTEMSEVENTNUMBER

} - このメッセージをEMS内で｢CRITICAL｣(重大)として処理するかどうかを指

示します。デフォルトはNONCRITICALです。

EMS メッセージに対してイベント番号を割り当てる

ことができます。値の範囲は、1000～32767 です。

このパラメーターはオプションです。デフォルト値は

101 です。

ALERTSTRING メッセージの｢見出し｣テキストです。デフォルト値

は、AUDIT.RESULT カラムの内容です。Data Substitution Token (データ置換トークン)も使用でき

ます。

ALERTTOKENs ユーザーが EMS 内の詳細トークンを表示した場合

に、audit detail、audit session、installation、および

product の各テーブルから表示するカラムのリストで

す。

注：個々のトークンが表示されるようにするには、XYGATE 製品の EMS トークン

をシステムの EMS テンプレート内に構築する必要があります。

例 1 は、EMS アラートの例です。EMS コレクター\PROD.$0 にメッセージが送信さ

れます。メッセージには CRITICAL (重大)というマークが付きます。“XAC SCF-255 invoked”というメッセージが、SQL データベースからの情報(コマンドを呼び出した

ユーザーのログイン名(SUBJECTLOGIN)、タイムスタンプ(RECORDLCT)、起点シス

テム、使用された端末、IP アドレス、および AUDIT.RESULT フィールドの内容)と一

緒に表示されます。



ACTIONCOLL_BEGIN

例 1：EMSアラートのACTIONパラグラフの例

ACTION_BEGIN ACTIONTYPE ALERT ALERTTARGET \PROD.$0 ALERTSEVERITY NONCRITICAL ALERTSTRING XAC SCF-255 invoked ALERTTOKENSBEGIN ! BODY OF EMS MESSAGE: AUDIT.SUBJECTLOGIN AUDIT.RECORDLCT AUDIT.TERMINAL SESSION.IPADDRESS AUDIT.RESULT ALERTTOKENSEND ACTION_END ACTIONCOLL_END

ACTIONTYPE = IGNORE によって定義される IGNORE アクション IGNORE アクションは MOVER に対し、DATA 選択基準に一致するオーディットレコ

ードを、XMA データベースには書き込まずに破棄するように指示します。

複数のアクションを実行する場合は、IGNORE を必ず最後に指定してください。

IGNORE が見つかると、MOVER は、オーディットレコードの処理を停止します。

IGNORE で構成すべきパラメーターはありません。

ACTIONTYPE = IPALERT によって定義される UDP SYSLOG アラート SYSLOG (IPALERT)アラートを生成するには、該当するフィルターの次のパラメータ

ーを構成する必要があります。

IPALERT_ADDRESS SYSLOG 宛てに XMA が文字列を送信する TCP/IP アドレ

スを定義します。このキーワードは、IPALERT アクショ

ンに必要です。

IPALERT_PORT SYSLOG 宛てに XMA が文字列を送信するリモートシステ

ム上のポートを定義します。このキーワードは、IPALERTアクションに必要です。予期されるポートの値は 514 です。

IPALERT_PREFIX SYSLOG メッセージの先頭に付加する接頭辞を定義しま

す。この接頭辞はオプションであり、長さは 79 文字以下

です。SYSLOGQ 以外のメッセージの場合、長さは 40 文

字以下です。データ置換トークンは、指定できません。

IPALERT_PROCESS IPALERT_PORT と通信してメッセージを送信する

TCP/IP プロセスを定義します。



IPALERT_PORT SYSLOG 宛てに XMA が文字列を送信するリモートシステ

ム上のポートを定義します。このキーワードは、IPALERTアクションに必要です。予期されるポートの値は 514 です。

IPALERT_PREFIX SYSLOG メッセージの先頭に付加する接頭辞を定義しま

す。この接頭辞はオプションであり、長さは 79 文字以下

です。SYSLOGQ 以外のメッセージの場合、長さは 40 文

字以下です。データ置換トークンは、指定できません。

IPALERT_PROCESS IPALERT_PORT と通信してメッセージを送信する

TCP/IP プロセスを定義します。

IPALERT_MSGDELIMITER (必須) 次の値です。 CR LF CRLF NULL

ALERTSTRING このキーワードでは、Syslog に送信されるデータ(テキス

ト)が定義されます。このデータ(テキスト)は、テキストと

データ置換トークンの組み合わせにすることができます。

長さは 127 文字以下です。127 文字を超過するメッセージ

は切り捨てられるため、127 文字を超過する場合は

ALERTSTRING キーワードを追加します。

ACTIONTYPE = MAIL によって定義されるメールアラート EMAIL アラートを生成するには、該当するフィルターの次のパラメーターを構成する

必要があります。

MAIL_SRV 使用するメールサーバーの名前です。メールシステムの管

理者から必要な情報を入手してください。

MAIL_PORT デフォルトのメールポートは、25 です。

MAIL_LOCAL_DOMAIN Lotus などの一部のメールサーバーでは、ローカルドメイ

ン名が必要です。詳細については、メール管理者にお問い

合わせください。

MAIL_FROM 送信元として表示される電子メールアドレス。このアドレ

スが有効な電子メールアドレスである必要はありません。

MAIL_TO メッセージの送信先であるメールアドレス。1 つ以上の有

効な電子メールアドレスが必要です。複数の送信先を指定

するには、複数の MAIL_TO 行を追加して、MAIL_TO の 1行に 1 つの送信先を指定します。(SPAM フィルターによ

って MXA からのメッセージがブロックされないことを確

認してください。)宛先の電子メールアドレスと必要なオ

プションを接頭辞として指定することで、CC:オプション

と BCC:オプションを使用して電子メールを送信すること

もできます。



MAIL_IPPROCESS SMTP ゲートウェイと通信する TCP/IP プロセスの名前。

システムの管理者から必要な情報を入手してください。

MAIL_SUBJECT メールの件名の行に表示したいデータまたはテキストを定

義します。このデータ(テキスト)は、テキストとデータ置

換トークンの組み合わせにすることができます。

MAIL_BODY このキーワードはオプションです。テンプレートを構成す

ることで、メールのカスタムメッセージを作成できます。

このキーワードを指定する場合は、有効なファイル名を指

定する必要があります。FILTERS ファイルによる構文エ

ラーのチェック時に、テンプレートファイルが存在する必

要があります。このファイルには、テキストと Data Substitution Token (データ置換トークン)の組み合わせを

使用できます。このキーワードを省略すると、テーブルの

内容全体が電子メールの本文に挿入されます。テンプレー

トファイルの最大サイズは、100KB です。XMA には、

MTLICEX とい名前のサンプルのメール本文が付属してい

ます。

MAIL_TEXT MAIL_TEXT キーワードと MAIL_TEXT_END キーワード

を使用することで、FILTERS ファイルにメール本体の内

容を指定できます。2 重引用符で囲んで、1 行以上のメッ

セージを指定します。代入変数をテキストと一緒に使用で

きます。MAIL_TEXT が指定されていると、MAIL_BODYは使用されません。

MAIL_TEXT_END FILTERS ファイルで指定するメール本体テキストの末尾

を指定するために使用します。

以下の例 3 は、MAILアラートの例です。メールは、セキュリティメールボックスに送

信されます。メッセージには、XMA-<user name> altered <object altered>とい

う件名が付けられます。MAILSAFEファイルに作成されたメッセージが、メッセージ

の本文に表示されます。

ACTION_BEGIN

例 3：EMAILアラートのACTIONパラグラフの例

ACTIONTYPE MAIL MAIL_SRV mail.bankofcochran.com MAIL_PORT 25 MAIL_FROM [email protected] MAIL_TO [email protected] MAIL_IPPROCESS $ZTCP2 MAIL_SUBJECT XMA-|(AUDIT.SUBJECTLOGIN)|altered|(AUDIT.OBJECTNAME)| MAIL_BODY \X.$SECURE.XYGATEMA.MAILSAFE ACTION_END

以下の例 4 は、MAILアラートの例です。メールは、セキュリティメールボックスに送

信されます。メッセージには、XMA-<user name> altered <object altered>とい



う件名が付けられます。MAIL_TEXTキーワードとMAIL_TEXT_ENDキーワードで指

定したメッセージは、メッセージの本文に表示されます。

ACTION_BEGIN

例 4：インラインテキストを使用したEMAILアラートのACTIONパラグラフの例

ACTIONTYPE MAIL MAIL_SRV mail.bankofcochran.com MAIL_PORT 25 MAIL_FROM [email protected] MAIL_TO [email protected] MAIL_IPPROCESS $ZTCP2 MAIL_SUBJECT XMA-|(AUDIT.SUBJECTLOGIN)|altered|(AUDIT.OBJECTNAME)| MAIL_TEXT “****************************************************************” “This is to inform you of the following:” “|(audit.result)|” “ “ “Please contact [email protected] for information regarding” “obtaining a new license” “ “ “***************************************************************” MAIL_TEXT_END ACTION_END

RETAIN (選択アーカイブ、選択クリーンアップ)アクションの構成 XMAデータベースに一定期間残しておきたいレコードを、ACTIONTYPE = RETAINで

定義できます。詳細は、第 7.1.1 節｢選択的なアーカイブおよびクリーンアップ｣(131ページ)を参照してください。

アーカイブプロセスおよびクリーンアッププロセスでは、PRODUCT が FILEMAINTである MOVER 段落を含むフィルターがチェックされます。ACTIONTYPE が

RETAIN の MOVER パラグラフが見つかると、RETAIN_DAYS キーワードまたは

RETAIN_MONTHS キーワードの値をチェックしてから、XMA データベース内のフィ

ルターのデータ選択基準に一致するオーディットレコードを処理します。

RETAIN パラメーターは、次のとおりです。

RETAIN フィルターのデータ選択基準に一致するオーディットレコ

ードを保持する期間を定義する ACTIONTYPE。

RETAIN_DAYS フィルターの選択基準に一致するオーディットレコードを

アーカイブまたはクリーンアップで削除する前に、XMAデータベースに保持する日数。

日数を 1～5500 (15 年)までの数値で入力するか、｢永遠に

削除されない｣ことを表す–1 を指定します。

RETAIN_MONTHS フィルターの選択基準に一致するオーディットレコードを

アーカイブまたはクリーンアップで削除する前に、XMAデータベースに保持する月数。

数字 1～180 (15 年)または-1 (削除しない)で月数を入力し

ます。



PRODUCT が FILEMAINT であるフィルターには、他の MOVER 段落を追加できませ

ん。

重要： RETAIN_DAYS キーワードと RETAIN_MONTHS キーワードは、相互に排他

的です。同じフィルター内ではどちらか一方だけを使用でき、両方は使用できません。

例 4 は、アーカイブとクリーンアップを選択するための ACTION 構成の例です。

RETAIN_DAYS が-1 にセットされているため、フィルターの選択基準に一致するデー

タレコードが XMA データベースから削除されることはありません。

ACTION_BEGIN

例 4：アーカイブとクリーンアップを選択するACTIONパラグラフの例

ACTIONTYPE RETAIN RETAIN_DAYS -1 ACTION_END

RUNCMD アクションの構成 RUNCMD アクションを使用すると、DATA 選択基準に一致するオーディットイベン

トの発生時に、TACL コマンドまたは TACL マクロを起動できます。たとえば、パス

ワードが正しくなかったためにフリーズされている SUPER.SUPER または

SEC.ADMIN のフリーズを解除するマクロを XMA が自動的に実行するようにしたい場

合があります。あるいは、新しい OSS ユーザーの追加時に適切な INITIAL DIRECTORY を自動的に作成し、セキュリティを設定したい場合があります。

MOVER の構文解析ルーチンは、RUNCMDDEFBEGIN と RUNCMDDEFEND の間の

パラグラフ内の複数の TACL マクロを受け付けます。メモリ不足以外には、コマンド

の数に制限はありません。コマンドは、カンマ区切りリスト内に連結して記述します。

実行するコマンドの数が 4～5 個を超える場合は、TACL マクロを作成することが最善

の方法となります。その TACL マクロを、1 つの RUNCMD エントリによって実行で

きます。

1 行の最大サイズは 238 バイトで、これが、FILTERS プログラムが読み込むことがで

きる行の最大長にもなります。

注： TACL からの出力をファイルまたはスプーラーにリダイレクトする必要があり

ます。MOVER がサービスコマンドを起動する TACL には、端末が存在しませ

ん。

ACTION_BEGIN

構文：

ACTIONTYPE RUNCMD MAXCOMPLETIONTIME <seconds> RUNCMDDEFBEGIN $<volume>.<subvolume>.<macro filename> RUNCMDDEFEND ACTION_END



例 5 は、すべての出力をスプーラーにリダイレクトするマクロの例です。このマクロ

によって、<date and time> "Macro1 has fired"という 1 行がスプーラーに送信されま

す。

?tacl macro

例 5：出力をスプーラーに送信するマクロの例

== Save the current #out parameter by "pushing" it. #push #out == Direct all TACL terminal output to the Spooler. #set #out $s.#mac1 == The next command writes a single line to the spooler. #output [#contime [#timestamp]] Macro1 has fired. == The next command returns TACL's output to its original state. #pop #out

例 6 は、RUNCMD アクションの例です。MOVER は ARUNCMD という名前のマクロ

を TACL に渡し、TACL からのマクロの実行が成功したという応答を待機します。

ACTION_BEGIN

例 6：TACLマクロを起動するRUNCMDの例

ACTIONTYPE RUNCMD MAXCOMPLETIONTIME 300 RUNCMDDEFBEGIN $SECURE.XYGATEMA.ARUNCMD RUNCMDDEFEND ACTION_END

例 7 は、2 つの TACL マクロを実行する RUNCMD アクションの例です。MOVER は

2 つのコマンドを TACL に渡し、TACL からのコマンドの実行が成功したという応答

を待機します。

ACTIONCOLL_BEGIN

例 7：複数のTACLコマンドを起動するRUNCMDの例

ACTION_BEGIN ACTIONTYPE RUNCMD MAXCOMPLETIONTIME 300 RUNCMDDEFBEGIN run $secure.secmacs.macro1 run $secure.secmacs.macro2 RUNCMDDEFEND ACTION_END ACTIONCOLL_END

MAXCOMPLETIONTIME MOVER が RUNCMD ステートメントを起動すると、連結されたコマンドが TACL に

送信され、実行されます。そして、MOVER は、コマンドを実行したという TACL か

らの応答を待機します。MOVER が応答を待機する秒数は、MAXMPLETIONTIME に

よって決まります。TACL からの応答が返される前にこの時間が経過すると、エラー

カウンターが加算され、エラーメッセージが生成され、MOVER は処理を継続して、

次に到着するオーディットレコードの処理します。

MAXCOMPLETIONTIME キーワードによって、マクロが完了しない場合のタイムアウ

トが設定されます。この時間内にマクロが完了しないと、MOVER が RUNCMD ステ



ートメントの再実行を 5 回試行します。TACL にコマンドを実行させようとしてエラ

ーが 5 つ発生すると、MOVER が異常終了します。

注： MAXCOMPLETIONTIME で定義された時間内は、MOVER が実際に待機状態に

なり、他のいかなる処理も実行しません。したがって、現実的に可能な限り小

さい値にタイムアウトを設定してください。

TCLEXC 構造体 TCLEXC には、フィルタリングの目的で現在検査されているローの、Audit Session、Audit Detail、Installation、および Product テーブルからの情報が格納されま

す。ACTIONTYPE RUNCMD を指定すると、構造体 TCLEXC を使用できます。この

情報は、Pathway ノードの XMA サブボリューム内の TCLEXC ファイルに格納されま

す。この構造体のフォーマットについては、付録 F:｢TCLEXC｣(211 ページ～)を参照


SETDATA アクションの構成 SETDATA アクションを使用して、AUDIT テーブルの USER_DATA カラムにテキス

トを挿入します。そして、そのテキストを、オーディットレポートの選択規準として

使用することや、オーディットレポートに表示することができます。

SETDATA を使用するには、AUDIT テーブルの USER_DATA カラムに挿入するテキ

ストを入力します。

USER_DATA {text string}

構文：

引用符は必要ありませんが、引用符を挿入しても構いません。

テキスト文字列には、最大で 16 文字を指定できます。

例 8 は、SETDATA アクションの例です。テキスト"Priv User"が、AUDIT テーブルの

USER_DATA カラムに挿入されます。この情報を、レポート生成の選択基準として利

用できます。たとえば、特権 ID で何かを実行するすべてのフィルターにこのエント

リがあるのであれば、この文字列によってレコードを選択したオーディットレポート

を実行することで、特権付きのユーザーID に関連するすべてのアクティビティが含ま

れるレポートを作成できます。

ACTION_BEGIN

例 8：SETDATAパラグラフの例

ACTIONTYPE SETDATA AUDIT.USER_DATA Priv user ACTION_END

一部のユーザーはフィルター名の省略形を挿入し、アラートを生成したフィルターに

基づいてレコードを作成できるようにしています。



ACTIONTYPE = SNMPTRAP によって定義される SNMP TRAP アラート SNMP アラートを生成するには、該当するフィルターの次のパラメーターを構成する


SNMP_TRAPDEST SNMP プロセスの IP アドレスとポートが含まれます。ポ

ート番号はオプションです。SNMP TRAP のデフォルトの

ポート番号は 162 です。デフォルトを使用していない場合

は、正しい番号を入力します。例： 192.168.1.1:1062.

SNMP_IPPROCESS SNMP TRAP が置かれているコンピューターと通信する

TCP/IP プロセスの名前です。

SNMP_TRAPNUMBER ユーザーが割り当てる番号です。値の範囲は 0～32767 で

す。

SNMP_COMMUNITY このキーワードのデフォルト値は PUBLIC です。メッセー

ジの宛先には、異なる COMMUNITY 名が必要です。この

要件はセキュリティ機能です。

SNMP_MESSAGE 送信するメッセージです。230 文字以下です。置換トーク

ンを使用できます。

例 9 は、SNMP TRAP アラートの例です。メッセージが、TCP/IP プロセス$ZTCP2経由で、IP アドレス 10.90.90.12 のポート 162 に送信されます。このメッセージには、

AUDIT.RECORDLCT、AUDIT.OPERATION、および AUDIT.RESULT カラムの内容が

含まれます。

ACTION_BEGIN

例 9：SNMP TRAPアラートのACTIONパラグラフの例

ACTIONTYPE SNMPTRAP SNMP_TRAPDEST 10.90.90.12:162 SNMP_IPPROCESS $ztcp2 SNMP_TRAPNUMBER 1001 SNMP_COMMUNITY PUBLIC SNMP_MESSAGE |(AUDIT.RECORDLCT)|-|(AUDIT.OPERATION)| |(AUDIT.RESULT)| ACTION_END

複数のアクションの指定一致が検出された場合に複数のアクションを実行するように指定できます。アクショ

ンごとに固有のパラグラフを記述します。いずれかのアクションが IGNORE である場

合は、フィルター内の最後に記述する必要があります。

上記の例 10 は、3 つの ACTIONTYPE があるフィルターの例です。一致するオーディ

ットイベントが発生すると、EMS メッセージが生成され、メールが送信され、

AUDIT.USER_DATA カラムが"Sfg Config"にセットされます。

ACTIONCOLL_BEGIN

例 10：複数のアクションを構成する方法

!Action 1 - Send EMS message ACTION_BEGIN ACTIONTYPE ALERT ALERTTARGET \X.$0



ALERTSEVERITY NONCRITICAL ALERTSTRING |(AUDIT.SUBJECTLOGIN)|altered|(AUDIT.OBJECTNAME)| ALERTTOKENSBEGIN ! BODY OF EMS MESSAGE: AUDIT.SUBJECTLOGIN AUDIT.RECORDLCT AUDIT.TERMINAL AUDIT.RESULT ALERTTOKENSEND ACTION_END !Action 2 – Set data in "User_data column" ACTION_BEGIN ACTIONTYPE SETDATA AUDIT.USER_DATA "Sfg Config" ACTION_END !Action 3 - Send email message ACTION_BEGIN ACTIONTYPE MAIL MAIL_SRV mail.bankofcochran.com MAIL_PORT 25 MAIL_FROM [email protected] MAIL_TO [email protected] MAIL_IPPROCESS $ZTCP2 MAIL_SUBJECT XMA-|(AUDIT.SUBJECTLOGIN)|altered|(AUDIT.OBJECTNAME)| MAIL_BODY \X.$SECURE.XYGATEMA.MAILSAFE ACTION_END ACTIONCOLL_END FILTERDEFEND

アラートの追跡 Audit Detail テーブルには、レポート作成の目的に使用される ALERTED という名前の

カラムがあります。このカラムには、アラートのステータスを表す 1 文字のフラグが

含まれます。

ALERTED カラムは下記のいずれかの値を含みます。

値説明 A Alert - アラートが発行された。

B Blocked - レコードはアラートの対象でしたが、BLOCKALERTSパラメータ

ーがTRUEにセットされていました(詳細は、第 5.7 節の「MOVERパラメータ

ー」(111 ページ)を参照してください)

C Collect-Only(収集専用)– アラート専用/収集専用の環境では、あるイベントに

よってアラートが生成されたものの、実際のアラートはアラート専用の

MOVER によって生成されたものでデータベースが更新されていない場合に、

コレクターが C を設定してデータベースを更新します。

D Duplicate(重複)– レコードはアラートが発行される条件を満たしていました

が、MAXACTIONRATE で指定された時間が経過しています。

F Failed(失敗) – 試行が失敗しました。何らかの問題が発生し、

MAXCOMPLETIONTIME に達する前に所定のアクションを実行できないこと

を表します。



値説明 G GLOBALBLOCKALERTS に ON が設定されています。アラートが発行され

るはずでしたが、すべてのアラートが抑止されています。

N Not Eligible (対象外) (デフォルト)

O Old– レコードはアラートが発行される条件を満たしていましたが、

MAXRECORDAGE で指定された値よりも古いものです。

注： MAXRECORDAGE、MAXACTIONRATEによって、発生するアラートとアクシ

ョンの数を制御できます。これらのパラメーターの説明は、第 2 章(43 ページ)の｢手順 6. FILTERのアクションを定義する｣という見出しの下に記載されてい

ます。

2.3.7 手順 7. FILTERS ファイルの構文チェック FILTERS ファイルの本番コピーを使用すると、各 MOVER サーバークラスオブジェ

クトがプログラムの最初の起動時に FILTERS ファイルを読み取ろうとするため、

MOVER の処理に影響を与えます。FILTERS ファイルのコピーを変更し、構文チェッ

クが成功してから新しいバージョンへと移行することを推奨します。この作業に使用

できるマクロ XMA_EDIT_FILTERS、XMA_UPDATE_FILTERS の説明は、付録 E:｢XMA ホストマクロ｣(189 ページ～)に記載されています。

注：ステータスが非アクティブであるものも含め、すべてのフィルター定義の構文

エラーがチェックされます。

XMA_FILTERS_CHECK マクロを使用して、FILTERS ファイルの構文をチェックし

てください。

XMA_FILTERS_CHECK [filename]

構文

ファイル名を指定するこのオプションによって、FILTERS ファイルの一時的なバージ

ョンを作成できるため、本番環境に移行する前の見直しと評価が可能です。ファイル

名を入力しないと、本番の FILTERS ファイルがチェックされます。

>RUN XYMOVE CHECKFILTERS tempfilt

XMA 1.71 (c) 1999-2010 XYPRO XYPRO \PROD1 20011231

CHECKFILTERSLからの出力例：

FILTERS CHECKSUM 1141462806 No syntax errors found

各 MOVER は、起動時に FILTERS ファイルを読み込みます。構文エラーが検出され

ると、エラーメッセージが表示され、MOVER サーバークラスが異常終了します。

MOVER は、FILTERS ファイルのタイムスタンプを定期的にチェックし、必要があれ

ば更新された FILTERS ファイルを読み取ります。すでに実行中である MOVER が更



新された FILTERS ファイルにエラーを検出すると、エラーメッセージが表示されま

すが、異常終了しません。メモリ内に最後にロードされた FILTERS ファイルの情報

を使用して、処理を続行します。

2.3.8 手順 8. アラートをテストするテストによって、EMS パラメーター、EMAIL パラメーター、SYSLOG パラメーター、

および SNMP_TRAP パラメーターが正しく構成されていることを確認できます。パ

ラメーターが正しければ、XMA によって、"XMA Test Message"が所定の出力先に送

信されます。

XMA_MANAGERの[Movers Management Menu]のオプション 16：Test basic Alerts

2.4 FILTERS ファイルでのノード条件処理

(85 ページ)を使用すると、必要なパラメーターを設定し、テストメッセージを生成で

きます。

特定の XMA Pathway 内のすべての MOVER が FILTERS ファイルを共有します。そ

の Pathway 内の MOVER がリモートノード上で実行中で Pathway ノードにデータを

送信している場合は、それらのリモートには異なる TCP/IP プロセスや EMS コレクタ

ーを指定したいこともあるでしょう。あるいは、すべてのノードではなく、一部のノ

ードからのイベントに対してのみ、アクションを実行したいこともあるでしょう。

1 つの XMA Pathway によってオーディットデータが収集される NonStop サーバーノ

ードのサブセットに対して一意である FILTERS ファイルパラメーターをカスタマイ

ズするには、ノード条件ステートメントを使用します。

ノード条件ステートメントとは、｢この MOVER が実行中の現行ノードの名前が指定

されたノード名またはパターンと一致したら、このフィルター、キーワード、または

選択基準をオーディットレコードの処理時に入れる。ノード名が一致しなければ、こ

の FILTER、キーワード、または選択基準をオーディットレコードの処理時に入れな

い｣というクエリです。

#IF @NODE <conditional operator> "<node name or pattern>"

構文：

… text to be included if condition is met … #ENDIF

2.4.1 ノード条件演算子条件演算子は指定のノード名の評価方法を定義します。

= 指定のノードと xxACL ファイルがロードされるノードの間の完全な一致。ワイ

ルドカード以外のノード名のみを指定できます。名前が一致する場合は、製品

およびノードの条件テキストが評価されます。

NODE = "\WIRE" は、\WIREのみに一致します。



<> 指定のノードと xxACL ファイルがロードされるノードの間の完全な一致。ワイ

ルドカード以外のノード名のみを指定できます。名前が一致する場合は、製品

およびノードの条件テキストが無視されます。

NODE <> "\DEV"

LIKE

は、\DEV以外のノードに一致します。

追加するノード名をワイルドカードで指定する場合は、LIKEを使用します。正

規表現形式のワイルドカードを使用する必要があります。『XYGATE Regular Expressions

その他のXYPROリファレンス

マニュアル

』マニュアルを参照してください(このマニュアルを始めとする

XYPROのマニュアルを入手するには、本書の「

」の節を参照してください)。現在のノード名が正規表現のパターン

に一致する場合は、製品およびノードの条件テキストが評価されます。

NOTLIKE 除外するノード名をワイルドカードで指定する場合は、NOTLIKEを使用しま

す。正規表現形式のワイルドカードを使用する必要があります。（『XYGATE Regular Expressions

』を参照してください。）現在のノード名が正規表現のパ

ターンに一致する場合は、製品およびノードの条件テキストが無視されます。

下記の例 1 で、この FILTER を使用する MOVER がノード\DEV01 で実行中である場

合は、TCP/IP プロセス$ZTC0 経由でメールアラートが送信されます。MOVER が

\PROD1 で実行中であれば、TCP/IP プロセス$ZTCP2 を使用します。

ACTION_BEGIN

例 1：異なるノード上の異なるTCP/IPプロセスを指定する方法

ACTIONTYPE MAIL MAIL_SRV mail.xypro.com MAIL_PORT 25 MAIL_FROM [email protected] MAIL_TO [email protected] #IF @NODE = "\DEV01" MAIL_IPPROCESS $ZTC0 #ENDIF #IF @NODE = "\PROD1" MAIL_IPPROCESS $ZTCP2 #ENDIF MAIL_SUBJECT XMA-|(AUDIT.SUBJECTLOGIN)| INVOKED |(AUDIT.RULENAME)| ! MAIL_BODY \X.$VTLH.P28v160.MAILSAFE ! To prevent alerts on old events, enter MAXRECORDAGE value in SECONDS ! 1 hour = 3600 (60sec x 60min) MAXRECORDAGE 3600 ! 1 hour ACTION_END

下記の例 2 で、この FILTER を使用する MOVER が実行中であるノードの名前が

"\PROD"で始まる場合は、選択基準に一致するイベントの検出時に、メッセージが

EMS に書き込まれます。この FILTER を使用するそれ以外のノードで実行中の

MOVER については、EMS にメッセージは書き込まれません。実行中のノードにかか

わらず、すべての MOVER によって、XMA データベースの USER_DATA カラムに

｢特権アクション｣が追加されます。



ACTIONCOLL_BEGIN

例 2：全ノードではなく、一部のノードでのイベントに対してEMSアラートを送信する方法

#IF @NODE LIKE "^\\PROD.*" ACTION_BEGIN ACTIONTYPE ALERT ALERTTARGET $0 ALERTSEVERITY CRITICAL ALERTEMSEVENTNUMBER 1001 ALERTSTRING Log down to SUPER.SUPER ALERTTOKENSBEGIN AUDIT.OPERATION AUDIT.OBJECTNAME AUDIT.SUBJECTLOGIN AUDIT.OUTCOME ALERTTOKENSEND MAXRECORDAGE 7200 ! 2 hours ACTION_END #ENDIF ACTION_BEGIN ACTIONTYPE SETDATA AUDIT.USER_DATA XYGATE Priv action ACTION_END != Add other desired ACTIONs here ACTIONCOLL_END

2.5 メールアラート、IPALERT アラート、SNMP アラートの TCP/IP プ

ロセスを指定する

2.5.1 手順 1. WHO コマンドを実行する各種アラートを送信する TCP/IP プロセスを調べるには、まず初めに、TACL プロン

プトから WHO コマンドを実行します。

\NSKIT06 $DATA08.XYPRO 8> who Home terminal: $ZTN5.#PTJVU1J ?- TACL process: \NSKIT06.$X9NH Primary CPU: 2 (NSE-A) Backup CPU: 3 (NSE-A) Default Segment File: $DATA08.#0001196 Pages allocated: 266 Pages Maximum: 1036 Bytes Used: 17072 (0%) Bytes Maximum: 2121728 Current volume: $DATA08.XYPRO Saved volume: $DATA08.XYPRO Userid: 142,4 Username: XYPRO.DEV Security: "GGGO" Logon name: XYPRO.DEV

2.5.2 手順 2. INFO PROCESS を実行する次に SCF に移行して、プロセス名に対して INFO PROCESS を実行します。

\NSKIT06 $DATA08.XYPRO 1>scf SCF - T9082H01 - (04DEC06) (15NOV06) - 05/21/2008 09:48:22 System \NSKIT06 (C) 1986 Tandem (C) 2006 Hewlett Packard Development Company, L.P. (Invoking \NSKIT06.$DATA08.XYPRO.SCFCSTM) 1-> info process $ztn5,detail



TELSERV Detailed Info PROCESS \NSKIT06.$ZTN5 PCPU...................1 BCPU................... 0 PPIN...................189 BPIN................... 725 TACL...................ON Transport Process.....$ZTC5 ?- *Menu...................ON Transport Type.........TCP/IP *Timeout Value..........N/A Port................... 23 *Banner Timeout Value...N/A Total Services......... 2 *Max Terminals..........512 Total Terminals........ 8 Program................\NSKIT06.$SYSTEM.SYS01.TELSERV *CPU List............... 0 ,1 ,2 ,3 ,4 ,5 ,6 ,7 ,8 ,9 ,10 ,11 ,12 ,13 ,14 ,15 *DROPCR.................ON

転送プロセス名を、次のプロセスのプロセス名として入力してください。

• IPALERT_IPPROCESS

• MAIL_IPPROCESS

• SNMP_IPPROCESS

2.6 XMA データのオーディットロギングアプライアンスへの送信 XYGATEMA を構成してオーディットデータを SIME (Security Information and Event Management)アプライアンスに送信するようにするには、SYSLOGQ または

IPALERT のいずれかの ACTIONTYPE の 1 つ以上のフィルターを構成する必要があり

ます。

SYSLOGQ を選択する理由 SYSLOGQ アクションによって、オーディットデータが TCP/IP 経由で SIEM に送信

されます。PCI の要件によって NonStop サーバーのオーディットトレイルファイルを

中央サーバーにバックアップする場合には、この方法を推奨します。

SYSLOGQ の場合には、MOVER がキューに送信したレコードを、SLSENDER サー

バークラスが処理します。

SLSENDER は NonStop サーバー上の現行ポートをオープンすると、キューを継続し

て処理し、メッセージをポートに送信します。

SYSLOGQ イベントは｢再生可能｣であるため、何らかの理由で SIEM アプライアンス

にアクセスできない場合も、オーディットレコードを再送できます。

IPALERT を選択する理由 IPALERT アクションによって、オーディットデータが UDP 経由で SIEM に送信され

ます。IPALERT は、現段階では UDP syslog 入力のみを受け付ける HP CLW アプラ

イアンスに必要です。



IPALERT アクションでは、個々の MOVER が現行ポートをオープンして処理中の

個々のオーディットレコードを送信し、その後にポートをクローズします。

オーディットイベントは、簡単には再送できません。

2.6.1 SIEM 実装のためのフィルターの構成 2 つのサンプル IPALERT フィルターと 2 つのサンプル SYSLOGQ フィルターが、

XYGATEMA サブボリュームの FILTSAMP ファイルにあります。どちらのタイプでも、

1 つは、EMS 以外のすべての MOVER によって収集されたオーディット情報を送信す

るフィルターです。もう 1 つは、EMS MOVER によって収集されたオーディット情報

を送信するフィルターです。

EMS イベントのフィルターが他とは別に用意されているのは、EMS ログには多くの

種類のメッセージが含まれていて、セキュリティ関連の一部の EMS メッセージだけ

を SIEM に送信したいこともあるためです。

選択したイベントだけが送信されるようにするには、｢EMSのみ｣のフィルターに 1 つ

以上のデータ選択パラグラフを追加してから、ステータスをアクティブに変更します。

詳細は、第 2.3.5 節｢手順 5. フィルターのデータ選択基準を定義する｣(37 ページ)を参

照してください。

いずれの SYSLOG フィルターでも、SIEM に関する情報を定義する必要があります。

IPALERT_ADDRESS ターゲット SIEM アプライアンスの IP アドレス。

IPALERT_PORT アプライアンスの受信ポート。

IPALERT_PREFIX syslog プロトコル接頭辞。使用している SIEM によって、

必須である場合も必須ではない場合もあります。

NonStop サーバーに関する次の情報も定義します。

IPALERT_PROCESS メッセージを送信する NonStop サーバー上の TCP/IP プロ

セスを入力する必要があります。

オプションのキーワードは、以下のとおりです。

IPALERT_SET_ALERTED IPALERT_SET_ALERTEDキーワードを使用すると、

ALERTEDフラグを N以外の値に設定するかどうかを指定

できます。このオプションは、指定されているフィルター

にのみ適用されます。EVALUATE_MSGを使用していて、

別のアラートタイプが生成されると、フラグは A

ALERTSTRING キーワードによって、オーディットレコード内のどの情報が SIEM に

送信されるかが決定します。デフォルトのフィルターは、すべての XYGATEMA デー

タテーブルのすべてのカラムを予め設定された順序で SIEM に送信するように設計さ

れています。

に設定さ

れます。



重要：

2.6.2 UDP でデータを送信するフィルターの構成

これらのフィルターに定義されている順序やトークンを変更しないでください。

SIEMは、デフォルトのFILTERSファイルに定義されている順序でこれらのカラムを

解析してデータベースに格納するようにプログラミングされています。

UPD でデータを転送する、FILTSAMP ファイルの IPALERT アクションのフィルター

は、以下のとおりです。 $UDP-ALL-EVENTS-EXCEPT-EMS $UDP-EMS-EVENTS-ONLY

CLW の場合：

1. IPALERT_PORT を入力します。

通常は 514 ですが、これ以外の番号であることもあります。SIEM 管理者に確認し

てください。

IPALERT_PORT 514

2. IPALERT_PREFIX を入力します。

このキーワードはオプションです。指定する場合は、文字列テキストまたは標準

の syslog 接頭辞を指定します。何らかの接頭辞が必要かどうかを、SIEM 管理者

に確認してください。

3. syslog メッセージを送信する NonStop サーバーの TCP/IP プロセスの名前を入力

します。

IPALERT_PROCESS $ZCT0

4. CLW の IP アドレスを入力します。

IPALERT_ADDRESS 10.1.1.27

5. [Movers Management Menu]のオプション 16 (121 ページを参照)を使用して、パ

ラメーターをテストします。

XYGATEMA によってテストメッセージが CLW に送信され、パラメーターが正し

く、ファイアウォールに関する問題が発生しないことが確認されます。

6. 一方または両方の CLW フィルターのステータスを ACTIVE に変更します。

XYGATEMA は、CLW へのオーディット情報の送信を開始します。

2.6.3 SYSLOGQ フィルターの構成 TCP/IP 経由でデータを受信できる、SIEM のデフォルト FILTERS ファイルの

SYSLOGQ アクションのフィルターは、以下のとおりです。



$SYSLOGQ-ALL-EVENTS-EXCEPT-EMS $SYSLOGQ-EMS-EVENTS-ONLY

TCP/IP 経由でデータを SIEM に送信する場合は、次のように、フィルターの

ACTIONTYPE を SYSLOGQ に設定します。

ACTIONTYPE SYSLOGQ

SLSENDERサーバークラスが構成され、XMA Pathwayで実行中であることを確認す

る必要もあります。SYSLOGQサーバーは、[Movers Management Menu]のオプショ

ン 18 (85 ページ)で構成します。

1. IPALERT_PORT を入力します。

通常は 514 ですが、これ以外の番号であることもあります。SIEM 管理者に確認し

てください。

IPALERT_PORT 10.1.1.27

2. IPALERT_PREFIX を入力します。

このキーワードはオプションです。指定する場合は、文字列テキストまたは標準

の syslog 接頭辞を指定します。何らかの接頭辞が必要かどうかを、SIEM 管理者

に確認してください。

3. syslog メッセージを送信する NonStop サーバーの TCP/IP プロセスの名前を入力

します。

IPALERT_PROCESS $ZCT0

4. SIEM の IP アドレスを入力します。

IPALERT_ADDRESS 10.1.1.27

5. IPALERT_MSGDELIMITER を入力します。

このキーワードは必須です。各オーディットレコードの末尾に挿入される文字を

決定します。使用する SIEM で必要な値を、SIEM 管理者に確認してください。有効な値は、CR、LF、CRLF、NULL です。

IPALERT_MSGDELIMITER CR

6. [Movers Management Menu]のオプション 16 (85 ページを参照)を使用して、パラ

メーターをテストします。

XYGATEMA によってテストメッセージが SIEM に送信され、パラメーターが正し

く、ファイアウォールに関する問題が発生しないことが確認されます。

7. 一方または両方の SYSLOGQ フィルターのステータスを ACTIVE に変更します。

XYGATEMA は、SIEM へのオーディット情報の送信を開始します。



2.6.4 SIEM アプライアンスとの通信のトラブルシューティングこの節では、SIEM アプライアンスとの通信の NonStop (XYGATEMA)側のトラブルシ

ューティングについて説明します。

1. IPALERT/SYSLOGQ F ILTER のステータスがアクティブであることを確認します。

NonStopサーバー上でXMA_EDIT_FILTERS(200 ページ)を使用するか、XYGATE Configuration Manager GUIを使用して、FILTERSファイルを見直します。

2. Pathway と MOVER が実行中であることを確認します。

a. XYGATEMA の Pathway プロセス名(デフォルト名は$XMA)に対して status を実

行します。

2> System \NODEA

status $xma

Process Pri PFR %WT Userid Program file Hometerm $XMA 0,209 145 001 255,255 $SYSTEM.SYSTEM.PATHMON $VHS Swap File Name: $SYSTEM.#0 Current Extended Swap File Name: $SYSTEM.#0 $XMA B 1,68 145 001 255,255 $SYSTEM.SYSTEM.PATHMON $VHS Swap File Name: $SYSTEM.#0 Current Extended Swap File Name: $SYSTEM.#0

b. [Pathway Management Menu]のオプション 4：Quick Server Status

3. TCP/IP でデータを送信する場合は、SLSENDER サーバーのステータスをチェッ

クします。

(83 ページ)、またはPATHCOMを使用して、MOVERのステータスを確認します。

a. Pathway で、次のように行います。

2 > pathcom $XMA $Z94W: PATHCOM - T8344H01 - (01FEB10) (C)1980 Tandem (C)2005-2008,2010 Hewlett Packard Development Company, L.P. =status server slsender SERVER #RUNNING ERROR INFO SLSENDER 1

b. XMA_MANAGER の[Movers Management Menu]のオプション 21 を実行します。

4. テスト用の IPALERT/SYSLOGQ メッセージを SIEM に送信します。

a. [Movers Management Menu]のオプション 16：Test basic Alerts

b. 該当する番号と入力された値を選択することで、メッセージを送信するSIEMと

NonStop TCP/IPプロセスに正しいIPアドレスとポートをセットします。設定が終

わったら、｢

(85 ページ)を使用します。

R: Run｣を選択してテストメッセージを開始します。



5. SIEM に対して PING を実行します。

a. TACLで「info define *

b. DEFINE を変更して IPALERT/SYSLOGQ の TCPIP プロセスを指すようにする

には、次のように入力します。

」を実行して現在のTCP/IPプロセスの定義を確認し

ます。TCP/IPプロセスがIPALERT/SYSLOGQ FILTERSに構成されているものと

同じでない場合は、現行セッションでIPALERT/SYSLOGQのTCP/IPプロセスに対

してDEFINEをセットします。

$$DATA04.XYGATEMA 21> alter define =tcpip^process^name,file $ztc2

c. ログウェアハウスに対して PING を実行します。

$$DATA04.XYGATEMA 22> ping 10.1.1.27 PING 10.1.1.83:56 data bytes 64 bytes from 10.1.1.27:icmp_seq=0. time=29. ms 64 bytes from 10.1.1.27:icmp_seq=1. time=10. ms 64 bytes from 10.1.1.27:icmp_seq=2. time=10. ms 64 bytes from 10.1.1.27:icmp_seq=3. time=10. ms ----10.1.1.83 PING Statistics---- 4 packets transmitted, 4 packets received, 0% packet loss round-trip (ms) min/avg/max = 10/14/29 $$DATA04.XYGATEMA 23>

このテストによって、XYGATEMA が有効な TCP/IP プロセス経由で有効なア

ドレス(ログウェアハウス)にデータを送信しているのを確認できます。

6. SIEM に送られるメッセージをスニファーで確認します。

可能であれば、スニファーを使用して、NonStop サーバーからメッセージが送信

されてくるかどうかを確認します。問題があれば、SIEM に対するトラブルシュー

ティングによって、メッセージが受信あるいは処理されない理由を突き止める必

要があります。

2.6.5 XMA SYSLOG メッセージの構文解析開発者がXMA SYSLOGメッセージを構文解析してRSA enVision®、LogLogic®

• XRM レポートの出力を送信することで得られるスプレッドシートには、サイトで

使用しているすべての製品からのオーディット情報が出力されます。

、HP CLWなどの外部のオーディットウェアハウスシステムに渡す場合には、次の情報を提

供できます。

• ログウェアハウスに送信されるトークンの順番と内容(下表を参照してください)。

• 作成されるスプレッドシート内のトークンと列見出しの関係。

テスト期間中はテスト用 FILTERS (TFILTERS)ファイルを XYGATEMA サブボリュー

ムに置くことで、プログラマーが構文解析をテストできます。



TFILTERS ファイルに含まれるテスト版の IPALERT フィルターは、ログウェアハウ

スにカラムの内容を送信するかわりに、要素(トークン)のシーケンス番号と列見出し

を送信するため、構文解析したデータがデータベース内の正しいカラムに渡されるの

を検証できます。

IPALERT FILTER 経由で送信されるトークンの順番と内容

IPALERT フィルターからの番号付き要素 GUI Report Manager

ALERTSTRING @0 (存在しない)

ALERTSTRING @ E2 SESSION.RECORDSESSIONKEY (存在しない) = 空

ALERTSTRING @ E3 SESSION.RECORDINSTALLKEY (存在しない) = 空

ALERTSTRING @ E4 SESSION.SESSIONID セッション ID

ALERTSTRING @ E5 SESSION.FOUNDSESSIONSTART Found Session Start (セッシ

ョン開始が見つかった)

ALERTSTRING @ E6 SESSION.FOUNDSESSIONEND Found Session End (セッショ

ン終了が見つかった)

ALERTSTRING @ E7 SESSION.SESSIONNAME セッションの DNS 名

ALERTSTRING @ E8 SESSION.PROCESSTHREADID プロセス ID

ALERTSTRING @ E9 SESSION.PROCESSTHREADID2 関連プロセス ID

ALERTSTRING @ E10 SESSION.CLIENTPROGRAM クライアントプログラム

ALERTSTRING @ E11 SESSION.ANCESTORPROCESSTHREADID

親プロセス ID

ALERTSTRING @ E12 SESSION.IPADDRESS IP ALERTSTRING @ E13 SESSION.DNSNAME DNS 名

ALERTSTRING @ E14 SESSION.CLIENTCURRDIR 現行ディレクトリ

ALERTSTRING @ E15 INSTALL.RECORDINSTALLKEY (存在しない) = E3

ALERTSTRING @ (INSTALL.PRODUCTCODE)| 製品コード

ALERTSTRING @ E17 INSTALL.IPADDRESS IP ALERTSTRING @ E18 INSTALL.SYSTEMNAME 製品のシステム

ALERTSTRING @ E19 INSTALL.LOCATION 製品の場所

ALERTSTRING @ E20 INSTALL.DNSNAME DNS 名

ALERTSTRING @0 (Excel にはなし)

ALERTSTRING @ |(AUDIT.RECORDGMT)| GMT 日時

ALERTSTRING @ E23 AUDIT.GMTSEQNO GMT シーケンシャル番号

ALERTSTRING @ |(AUDIT.RECORDLCT)| 日時

ALERTSTRING @ E25 AUDIT.RECORDAUDITKEY オーディットキー

ALERTSTRING @ E26 AUDIT.RECORDSESSIONKEY (存在しない) = E2

ALERTSTRING @ E27 AUDIT.SEQNO シーケンシャル番号



IPALERT FILTER 経由で送信されるトークンの順番と内容 ALERTSTRING @ E28 AUDIT.OUTCOME outcome ALERTSTRING @ E29 AUDIT.WARNINGMODE Warning Mode ALERTSTRING @ E30 AUDIT.TESTMODE テストモード

ALERTSTRING @ E31 AUDIT.SEVERITY 重要度

ALERTSTRING @ E32 AUDIT.ALERTED alerted ALERTSTRING @ E33 AUDIT.PRODUCTCODE 製品コード

ALERTSTRING @ E34 AUDIT.SUBJECT_USERNUMBER_MAJOR

対象グループ番号

ALERTSTRING @ E35 AUDIT.SUBJECT_USERNUMBER_MINOR

対象ユーザー番号

ALERTSTRING @ E36 AUDIT.TARGET_USERNUMBER_MAJOR

ターゲットグループ番号

ALERTSTRING @ E37 AUDIT.TARGET_USERNUMBER_MINOR

ターゲットユーザー番号

ALERTSTRING @ E38 AUDIT.SUBJECTLOGIN 対象ログオン

ALERTSTRING @ E39 AUDIT.SUBJECTSYSTEM 対象システム

ALERTSTRING @ E40 AUDIT.TARGETLOGIN ターゲットログイン

ALERTSTRING @ E41 AUDIT.OBJECTTYPE オブジェクトタイプ

ALERTSTRING @ E42 AUDIT.OBJECTNAME オブジェクト名

ALERTSTRING @ E43 AUDIT.OPERATION operation ALERTSTRING @ E44 AUDIT.TERMINAL terminal ALERTSTRING @ E45 AUDIT.MESSAGEID Message ID ALERTSTRING @ E46 AUDIT.MESSAGECODE メッセージコード

ALERTSTRING @ E47 AUDIT.RULENAME rulename ALERTSTRING @ E48 AUDIT.USER_DATA ユーザーデータ

ALERTSTRING @ E49 AUDIT.RESULT result

注： FILTERSファイル内のTOKENSの順番を変更する場合は、テーブルも同じよう

に変更するようにプログラマーに依頼してください。


第3章 XRM を使用したレポートの生成

XYGATE Audit Report Manager (XRM)は、Safeguard Reports製品などのホストベー

スのXYGATEレポートマクロを実行するためのグラフィカルユーザーインターフェイ

ス(GUI)です。この章では、XMAデータベースからレポートを生成する手順のみを説

明します。XRM製品のすべてのリファレンスは、『XYGATE Configuration and Audit Reporting Reference Manual

その他のXYPROリファレ

ンスマニュアル

』を参照してください(このマニュアルを始めとする

XYPROのマニュアルを入手する方法については、本書の「

」を参照してください)。

XMA_REPORT マクロは、SQLCI のクエリとレポートライターの機能を使用してレポ

ートを生成します。使用するインストール環境で SQLCI にライセンスが付与されて

いないと、これらのマクロを使用できません。

3.1 XMA_REPORT を使用したオーディットレポートの生成 XMA_REPORT マクロは、TACL セッションから XMA オーディットレポートを生成

します。次ページに記載するように、[Report Selection]画面に、変更可能なすべての

選択基準が表示されます。これらの選択基準を変更することで、レポートに出力され

るオーディットレコードを絞り込むことができます。

選択基準を変更するには、変更したい項目を表す文字を入力します。必要なすべての

選択基準を設定したら、｢Z｣または｢ZP｣を選択してレポートを生成します。

Z レポートを生成し、TACLプロンプトに戻ります。

ZP

構文：

レポートを生成し、PERUSEを開きます。PERUSEを終了すると、直前のエン

トリが保持された状態で[Report Selection]画面が再度表示されます。必要であれば、

選択基準を変更して別のレポートを生成できます。

XMA_REPORT [-D]

注：

エラーがない場合でも SQLCI の実行を強制表示させる場合は、このマクロで–D オプ

ションを使用して表示を強制的に行います。

このマクロで生成されたSQLCIの実行中にエラーが発生した場合は、エラー指

示子を含むマクロの内容全体が表示されます。

XYGATE Merged Audit®リファレンスマニュアル第 3 章 XRM を使用したレポートの生成


例： $SYSTEM XYGATEMA 5> Choose an option:

xma_report

A: Audit Subvolume :$SYSTEM.XMADAT B: Report date range :2010-07-09 00:00 to 2010-07-09 23:59 C: Subject Userid :*.* D: Subject Login Name :* E: Subject System :* F: Subject Terminal :* G: Object Type :* H: Object Name :* I: Operation :* J: Outcome (All,S,F,N) :ALL K: Output file :$S.#XYGATE.XMAREP L: Sort order :TIME M: Rule Name :* N: Product Code :* O: Alerted :Both P: Result :* Q: Message Code :* R: Message ID :* X: Exit the report macro Z: Run the audit report ZP: Run the audit report and go into PERUSE and return here Hit Break or Control-Y to terminate Selection?

[Report Selection]画面が表示されたら、変更したい項目の文字を入力します。変更は

1 項目ずつ行います。入力するごとに、[Report Selection]画面が再表示され、それま

でにした選択の内容が表示されます。

すべての選択基準を指定し終えたら、「Z」または「ZP

[Report Selection]画面を閉じるには、｢

」を選択してレポートを生成

します。

X｣を選択するか、Breakまたは Ctrl-Y

3.2 オーディットサブボリュームの選択

を押しま

す。

このサブボリュームは、XMA SQLデータベースのある場所です。多くの場合、デー

タベースは 1 つだけ存在します。現在使用している以外のSQLデータベースを選択す

るには、｢A

Selection?a

｣を選択します。

Name of audit subvol ?$dataa.p28dvdat

[Report Selection]画面が再度表示され、指定したオーディットファイルが表示されま

す。 A:Audit subvolume :$dataa.p28dvdat



3.3 日付範囲、時刻範囲、またはその両方による選択 XMA レポートの対象範囲を、選択した期間内に絞り込むことができます。

開始日(「from」)と終了日(「to」)を、YYYY-MM-DD 形式で入力します。日付の先頭

部分を省略すると、デフォルトでは、当日の日付が使用されます。つまり、実行して

いる日が 2010 年 12 月 13 日で、日付に 12 と入力すると、使用される日付は 2010 年

12 月 12 日となります。

開始時刻(「from」)と終了時刻(「to」)を、HH:MM 形式（24 時間形式）で入力します。

日付、時刻、またはその両方の範囲を変更するには、｢B｣を選択します。 Selection?b If the leading portion of a date is omitted it will default to today's date, I.E. if today is 13.01.95 and a date of 12 is entered, a date of 12.01.95 will be used From date <2001-07-20>? 19 From time <00:00>? To date <2001-07-20> ?19 To time <23:59> ?

[Report Selection]画面が再度表示され、指定した日付範囲が示されます。 B:Report date range :19.07.01 00:00 to 19.07.01 23:59

3.4 対象のユーザーID による選択対象のユーザーID は、レポートに含まれるアクティビティおよびアクセスを実行する

ユーザーの HP NonStop ユーザーID です。HP NonStop のグループ名、ユーザー名、

グループ番号、ユーザー番号のいずれかを入力できます。

エイリアスのレポートを作成する場合は、｢D｣(ログイン名)を使用します。

レポートに追加するユーザーID を選択するには、「C」と入力します。例： Selection?c Enter the user(s) to run the report for.The valid input for user is one of the following: #,# GROUP.GROUP.USER . User < . >?222,77

[Report Selection]画面が再度表示され、入力した選択内容が示されます。 C:Subject userid :222,77



3.5 対象のログイン名による選択ログイン名は、レポートに含まれるアクティビティおよびアクセスを実行するユーザ

ーの HP NonStop の group name.user name、または Safeguard エイリアスです。デ

フォルトは「アスタリスク(*)」であり、すべてのログイン名が含まれます。

注：ログイン名では大文字と小文字が区別されます。検索するオブジェクト名が小文

字を含んだエイリアスである場合を除き、大文字を使用する必要があります。

カンマで区切ったリストにログイン名を入力することにより、レポート対象を 1 人の

ユーザー、あるいはそれ以上の特定のユーザーに絞り込むことができます。

注：カンマの前後にスペースを入れないでください。

例 1 は、ログイン名 XYPRO.TARRANZ

例 1：XYPRO.TARRANZ

のすべてのオーディットエントリを検出します。

例 2 は、ログイン名 XYPRO.TARRANZ、エイリアス tlh

例 2：XYPRO.TARRANZ,tlh

のすべてのオーディットエント

リを検出します。

NOTステートメントを使用すれば、特定のユーザーを除外することもできます。NOTステートメントは、選択した最初のログイン名の後に続けます。たとえ

ば、XYPRO.LYLE

XYPRO.NOT XYPRO.LYLE.

を除くすべてのXYPROユーザーのアクティビティに関するレポート

を作成する場合は、次のように入力します。

ログオン名をカンマで区切って入力すると、複数のユーザーを除外できます。

例 3 は、XYPRO.TARRANZ

例 3：XYPRO. not XYPRO.TARRANZ

を除いたXYPROグループのユーザーの全オーディットエン

トリを検出します。

例 4 は、XYPRO.TARRANZ、エイリアス tlh

例 4：XYPRO. not XYPRO.TARRANZ,tlh

を除いたXYPROグループのユーザーの全

オーディットエントリを検出します。

以下の「ワイルドカード指定」規則を使うこともできます。

• ログイン名を示す文字列の先頭にアスタリスク(*)を置くと、入力した文字列を含

むすべてのログイン名がレポートに追加されます。

• ログイン名を表す文字列の最後にアスタリスク(*)を置くと、前述のすべての例と

同様に、入力した文字列から始まるすべてのログイン名がレポートに追加されま

す。



• 先頭や末尾にアスタリスクを使用しない文字列を入力すると、前述の例 3 と例 4の NOT ステートメントで示しているとおり、入力した文字列に完全に一致するロ

グオン名のみが追加されます。

レポートに追加するログイン名を選択するには、｢D｣を選択します。例 5：

Selection? d Enter case sensitive login names separated by commas. A leading * on a login name will match any login names that contain the specified string. A trailing * will match any login names that start with the specified string. The NOT keyword can be used: <loginname list> NOT <loginname list> Login name < >? XYPRO.TARRANZ, tlh

[Report Selection]画面が再度表示され、入力した選択内容が示されます。 D: Subject Login name : XYPRO.TARRANZ, tlh

3.6 システムによる選択 XMA は、複数のノードからデータを収集し、1 つの一元的なデータベースに統合しま

す。ネットワーク上の 1 つのノードからの情報を表示したいこともあるでしょう。有

効な 1 つのノード名を入力できます。

レポートに追加するシステムを選択するには、｢E｣と入力します。 Selection?e Subject system < >?\PROD2

[Report Selection]画面が再度表示され、入力した選択内容が示されます。 E:Subject System :\PROD2

3.7 対象の端末による選択レポートは、選択した端末または端末グループで実行された処理に限定できます。有

効な端末名またはアスタリスク(*)を入力すると、すべての端末を追加できます。

デフォルトの｢アスタリスク(*)｣は、すべての端末が対象になります。次のように、レ

ポートに追加する端末を選択するには「F」を選択します。例：$ZTNP 例：$B1.#D1

[SUBJECT USERID]フィールドの説明にあるのと同じワイルドカード指定の規則に従

えば、端末名の一部を入力することもできます。直前にアスタリスク(*)を付けて端末

名の一部を入力すると、そのエントリを含むすべての端末がレポートに追加されます。

たとえば、「$B1.#*」と入力すると、これらの文字によって特定されたすべての端末



($B1.#A7や $B1.#D2

Selection?f

など)がレポートに追加されます。また、NOTステートメントを

使用して特定の端末をレポートから除外することもできます。

Enter terminal names separated by commas. A leading * on a terminal will match any terminals that contain the specified string. A trailing * will match any terminals that start with the specified string. The NOT keyword can be used: <terminal list> NOT <terminal list> Terminal < >?#PTYJAC1

[Report Selection]画面が再度表示され、入力した選択内容が示されます。 F:Subject Terminal :#PTYJAC1

3.8 対象のオブジェクトタイプによる選択レポートの対象を、オブジェクトの 1 つのタイプに絞り込めます。有効なオブジェク

ト名またはアスタリスク(*)を入力すると、すべてのオブジェクトを追加できます。

レポートに追加するオブジェクトタイプを選択するには、「G」を選択します。 Selection?g Enter object types separated by commas. A leading * on an object type will match any object types that contain the specified string. A trailing * will match any object types that start with the specified string. The NOT keyword can be used: <object list> NOT <object list> Object Type < >?process

[Report Selection]画面が再度表示され、入力した選択内容が示されます。 G:Object Type :PROCESS

3.9 オブジェクト名による選択レポートの対象を、1 つのオブジェクトに、またはオブジェクト名を入力することで

特定のオブジェクトに絞り込めます。デフォルトはアスタリスク(*)で、すべてのオブ

ジェクトが対象になります。

注：他のフィールドとは異なり、オブジェクト名のエントリでは大文字と小文字が

区別されます。オブジェクト名が小文字を含んだエイリアスである場合を除き、

大文字を使用する必要があります。

レポートに追加するオブジェクト名を選択するには、「H」を選択します。

Selection?h Enter case sensitive object names separated by commas. A leading * on an object name will match any object names that



contain the specified string. A trailing * will match any object names that start with the specified string. The NOT keyword can be used: <object list> NOT <object list> Object Name < >? P09F001, P

[Report Selection]画面が再度表示され、入力した選択内容が示されます。 H: Object Name : P09F001, P

カンマで区切ったリストにオブジェクト名を入力することにより、レポート対象を 1つ、あるいはそれ以上の特定のオブジェクトに絞り込むことができます。

注：:

例 1 では、オブジェクト名としてプロセス

カンマの前後にスペースを入れないでください。

$XSR

例 1：$XSR

のすべてのオーディットエントリが

検出されます。

例 2 では、オブジェクト名としてプロセス $XSRと $XYOP

例 2：$XSR,$XYOP

のすべてのオーディットエ

ントリが検出されます。

NOTステートメントを使用すれば、特定のオブジェクトを除外することもできます。

NOTステートメントは、選択した最初のオブジェクト名の後に続けます。たとえば、

EDITプログラムを除く $SYSTEM.SYSTEM上のすべてのファイルに対するアクセスをレ

ポートに追加するには、「$SYSTEM.SYSTEM. NOT $SYSTEM.SYSTEM.EDIT

対象から除外するオブジェクト名をカンマで区切って入力すると、複数のオブジェク

トを除外できます。例 3 では、

」と入

力します。

$SYSTEM.SYSTEM

例 3：$SYSTEM.SYSTEM.NOT $SYSTEM.SYSTEM.EDIT,$SYSTEM.SYSTEM.FUP

内のEDITとFUPを除くすべてのオー

ディットエントリが検出されます。

3.10 操作による選択 PURGE や REVOKE など、特定の操作のみにレポートを絞り込むことができます。複

数の操作をカンマで区切ることで、1 行にまとめることができます。エントリには大

文字小文字の区別はありません。例： Operation < >?license,progid

上記の例では、LICENSE あるいは PROGID の OPERATION の操作のオーディットエ

ントリをすべて検出します。

デフォルトの｢*｣は、すべての操作が対象になります。レポートに追加する操作を選択

するには、「I」を選択します。



例： Selection? I Enter operation names separated by commas. A leading * on an operation will match any operations that contain the specified string. A trailing * will match any operations that start with the specified string. The NOT keyword can be used: <operation list> NOT <operation list> Operation < >?READ

[Report Selection]画面が再度表示され、入力した選択内容が示されます。 I: Operation :READ

3.11 結果による選択 XYGATE 製品と Safeguard で使用されるさまざまな結果や結果コードはすべて、3 つ

の値の SUCCESS、NORECORD、FAILURE のいずれかにマッピングされています。

レポートを 1 つの結果だけに絞り込めます。

レポートに追加する結果を選択するには、｢J｣を選択します。

Selection?j Enter the type of Access Results to include in the report: Result (All,Success,Failure,Norecord) <ALL>?NORECORD

[Report Selection]画面が再度表示され、入力した選択内容が示されます。 J: Outcome (All,S,F,N) :NORECORD

3.12 ファイルの出力先の選択 XMA_REPORTマクロでは、ジョブを作成し、そのジョブをスプーラーに配置します。

デフォルトのロケーションは、$S.#XYGATE.XMAREP

デフォルトのスプーラーコレクターは、MACONF ファイルに定義されている

です。

COLLECTOR(149 ページ)です。スプール先を変更するには、「K」を選択します。

例： Selection? k Output file <$S.#XYGATE.XMAREP>?$s.#xygate.xmawe

[Report Selection]画面が再度表示され、入力した選択内容が示されます。 k: Output file :$s.#xygate.xmawe



3.13 レポートのソート順の選択要件に最適のレポート形式を選択できます。XMA では、ソートオプションの USER、

LOGINNAME、TIME、OBJECT、PORT を利用できます。

USER オーディットエントリは、ユーザー別および時間別にグループ化さ

れます。

LOGINNAME オーディットエントリは、ログイン名別および時間別にグループ化

されます。

TIME オーディットエントリを、正確な時系列順で表示します。

OBJECT オーディットエントリは、オブジェクト別および時間別にグループ

化されます。

PORT オーディットエントリは、端末名でグループ化されます。

デフォルトは TIME です。使用するソートタイプを変更するには、「L」を選択して、

希望するソート順の最初の文字を入力します。 Selection?l Report sort order (USER,LOGINNAME,TIME,OBJECT,PORT) <TIME>?o

[Report Selection]画面が再度表示され、入力した選択内容が示されます。 L: Sort order :OBJECT

3.14 ルール名による選択ルール名を指定することで、選択を絞り込めます。Audit Detail テーブル内のカラム

RULENAME に、一致する値が検索されます。製品が XAC である場合は、カラム名で

す。製品が XPQ である場合は、PQGROUP によって検索できます。ルール名を指定

するには、｢M｣を選択し、XAC コマンド名や PQGROUP などの検索基準を入力しま

す。

Selection? m Enter a rule name. A leading * will match any rules that contain the specified string. A trailing * will match any rules that start with the specified string. Rule Name < >FUP-255

[Report Selection]画面が再度表示され、入力した選択内容が示されます。 M: Rule Name :FUP-255



3.15 XYGATE 製品コードによる選択 1 つ以上の XYGATE 製品からのデータに検索を絞り込めます。

1 つ以上の製品または SAFEGUARD を指定するには、｢N｣を選択し、対象とする、あ

るいは対象から除外する製品のグループを指定します。

Selection?n Enter Product Codes separated by commas. Enter a ? to display a list of product codes. You can specify XYGATE products as either XYGATExx or just xx. You can specify SAFEGUARD as S. The NOT keyword can be used: <product list> NOT <product list> Product Codes <*>?? XYGATEAC XYGATEPC XYGATECM XYGATESP XYGATEPQ XYGATEOS XYGATEMA XYGATEEF XYGATESM SAFEGUARD

疑問符(?)を入力すると、指定できる製品のリストが表示されます。 Product Codes <*>?NOT SAFEGUARD

ここでは、Safeguard からのデータを除外するように選択しました。[Report Selection]画面が再度表示され、入力した選択内容が示されます。

N: Product Code :NOT SAFEGUARD

3.16 ALERTED カラムによる選択 Audit Detail テーブルの ALERTED カラムの値に基づいて、レポート作成のデータを絞

り込めます。レポート内の ALERTED データを指定するには、｢O｣を選択します。

Selection?o Do you want to include Alerted (A), non-alerted (N) or Both (B) Type of results (A,N,B) <Both>?

内容は次のとおりです。

A–Alerted アラートが発行される原因となったレコードだけを選択します。

N–Non-Alerted アラートが発行される原因となっていないレコードだけを選択しま

す。

B–BOTH アラートが発行される原因になったかどうかにかかわらず、すべて

のレコードを選択します。

ここでは、ALERTED を表す｢A｣を選択しました。[Report Selection]画面が再度表示

され、入力した選択内容が示されます。 O: Alerted :Alerted



3.17 RESULT カラム内のテキストによる選択 Audit Detail テーブルの RESULT カラムの値に基づいて、レポート作成のデータを絞

り込めます。 Selection?p Enter case-sensitive results separated by commas. A leading * on a result will match any results that contain the specified string. A trailing * will match any results that start with the specified string. The NOT keyword can be used: <result list> NOT <result list> Result <*>?

たとえば、ユーザーの最終ログオン日が変更されたという注記がある Safeguard レコ

ードを除外する場合は、次のように入力します。 * NOT * NOT Last Logon Date

3.18 メッセージコードによる選択 Audit Detail テーブルの Message Code カラムの値に基づいて、レポート作成のデー

タを絞り込めます。 : Message Code :*

3.19 メッセージ ID による選択 Audit Detail テーブルの Message ID カラムの値に基づいて、レポート作成のデータを

絞り込めます。

3.20 レポートの実行すべての選択基準を指定し終えたら、「Z」または「ZP」を選択してレポートを作成

します。

Z レポートを生成し、TACL プロンプトに戻ります。

ZP レポートを生成し、PERUSE を開きます。PERUSE を終了すると、直前のエン

トリが保持された状態で[Report Selection]画面が再度表示されます。別のレポートを

作成したい場合は、選択基準を変更できます。

レポートを実行して TACL プロンプトに戻るレポートを実行して、TACL プロンプトに戻るには、「Z」を選択します。 Selection?z SQL Conversational Interface - T9191D46 - (31MAR01) COPYRIGHT HP COMPUTER CORPORATION 1987-2001 --- 30887 row(s) selected.



End of SQLCI Session 25>

レポートの実行および PERUSE の直接起動「ZP」を選択してレポートを作成すると、XMA によってレポートが生成され、ユー

ザーは選択したスプールコレクターの PERUSE に直接移動します。レポートの内容

確認、印刷、またはファイルへの書き込みを終えて EXIT と入力すると、ユーザーは

XMA の[Report Selection]画面に戻ります。この画面では直前の選択基準が保持された

状態となっています。基準を変更して新たにレポートを作成できます。

Selection? zp SQL Conversational Interface - T9191D46 - (31MAR01) COPYRIGHT HP COMPUTER CORPORATION 1987-2001 --- 14979 row(s) selected. End of SQLCI Session XYGATESP 3.12 (c) 1994-2001 XYPRO XYPRO \PROD1 20990427 Job Batch State Pages Copies Pri Hold Location Report 5516 Ready 1873 1 4 #XYGATE XMAREP XYPRO HARRIET _exit Choose an option: A: Audit subvolume :$dataa.p28dvdat B: Report date range :2001-07-18 00:00 to 2001-07-18 12:00 C: Subject Userid : . D: Subject Login name : E: Subject System : F: Subject Terminal : G: Object Type : H: Object Name : I: Operation : J: Outcome (All,S,F,N) :ALL K: Output file :$S.#XYGATE.XMAREP L: Sort order :TIME M: Rule Name : N: Product Code :* O: Alerted :Both P: Result :* Q: Message Code :* R: Message ID :* X: Exit the report macro Z: Run the audit report ZP: Run the audit report and go into PERUSE and return here Hit Break or Control-Y to terminate Selection?

[Report Selection]画面を閉じるには、｢X｣を選択するか、Breakまたは Ctrl-Y

を押し

てTACLプロンプトに戻ります。



3.21 アーカイブテーブルからのレポートの実行ホストマクロを使用することで、アーカイブテーブルからのレポートが可能です。そ

のためには、xma_report を実行する前に、以下の define を環境に追加する必要があ

ります。 Add define =xma_report_auddet_table, class map, file $vol.subvol.D##### Add define =xma_report_audses_table,class map, file $vol.subvol.S##### add define =xma_report_audlcind_table , class map,file $vol.subvol.DI#####

#####

例：

はARCHIVE IDです。

VHLH XYGATEMA 104> info define =xma* $SEC XYGATEMA 104.. Define Name =XMA_REPORT_AUDDET_TABLE CLASS MAP FILE \X.$SEC.P28195A.D25387 Define Name =XMA_REPORT_AUDLCIND CLASS MAP FILE \X.$SEC.P28195A.DI25387 Define Name =XMA_REPORT_AUDSES_TABLE CLASS MAP FILE \X.$SEC.P28195A.S25387 $SEC XMAARC 139>xma_report

Choose an option: A: Tables :\X.$SEC.XMAARC.S13014 :\X.$SEC.XMAARC.D13014 B: Report date range :2008-11-12 00:00 to 2008-11-12 23:59 C: Subject Userid :*.* D: Subject Login Name :* E: Subject System :* F: Subject Terminal :* G: Object Type :* Reporting from live files: $SEC XMAARC 141> xma_report $SEC XMAARC 141..

Choose an option: A: Audit Subvolume :$SEC.XMADAT B: Report date range :2008-11-12 00:00 to 2008-11-12 23:59 C: Subject Userid :*.* D: Subject Login Name :* E: Subject System :*


第4章 XMA_MANAGER の使用

XMA_MANAGER は、XMA サブシステムを管理する、NonStop ホストベースのユー

ザーインタフェースです。メニュー形式のこのインタフェースを使用すると、次の作

業を実行できます。

• Pathway とそのコンポーネントを構成する。

• Pathway とそのコンポーネント(MOVER (サーバークラス)など)を監視し、管理す

る。

• データベースのアーカイブとクリーンアップを管理する。

4.1 はじめに XMA_MANAGER を実行する前に、XMA TACL セグメントを現行の TACL セッション

に関連付ける必要があります。XMA 環境で定期的に保守作業を実行するすべてのユー

ザーの TACLCSTM に、次の行を追加してください。構文

RUN $<VOL.SUBVOL>.XMA INSTALL

<VOL.SUBVOL>は、Pathway を実行する NonStop サーバー上の XMA インストール

ロケーションです。

注：

4.2 XYGATEMA Management Main Menu

構成作業やレポート作成は常に、Pathwayが実行中のノード(Pathwayノード、ま

たはマスターノードと呼びます)で実行することになります。

TACL プロンプトから次のコマンドを入力して、XMA_MANAGER マクロを実行しま

す。 25>

こうすることで、各種マクロがロードされ、XMA データベースが定義されてから、次

の[XYGATEMA Management Main Menu]が表示されます。

XMA_MANAGER

XYGATEMA Management Main Menu v1.95 * * * * * * * * * * * * * * * * * * 1: Pathway 2: Movers 3: Database 4: Uninstall X: Exit Selection?

XYGATE Merged Audit®リファレンスマニュアル第 4 章 XMA_MANAGER の使用


4.3 Pathway Management Menu Main Menu Selection?プロンプト(83 ページ)に「1

Pathway Management Menu

」と入力し、[Pathway Management Menu]を表示します。

* * * * * * * * * * * * 1: Cold Start 2: Cool Start 3: Stop 4: Quick Server Status 5: Start Serverclass 6: Stop Serverclass X: Exit from this menu

次の表は、[Pathway Management Menu]で選択できるオプションの説明です。

選択オプション説明 1: Cold Start XMA PATHWAY をコールドスタートします。

2: Cool Start XMA PATHWAY をクールスタートします。

3: Stop • Pathway構成情報を PWSTATE ファイルに保

存します。 • すべてのサーバークラスをフリーズし、停止し

ます。 • PATHCOM の SHUTDOWN コマンドを使用し

て PATHMON プロセスを停止します。

4: Quick Server Status すべての MOVER のステータスを同時に確認しま

す。

5: Start Serverclass 1 つの MOVER を開始します。

6: Stop Serverclass 1 つの MOVER を停止します。

X:Exit from this menu [Pathway Management Menu]を終了します。



4.4 Movers Management Menu XMA_MANAGER の[Movers Management Menu]を使用して、ローカルノードとリモ

ートノードの Pathway のすべての MOVER サーバークラスを作成し、管理します。

Main Menu Selection?プロンプト(83 ページ)に「2

第 5 章

」と入力し、以下の[Movers Management Menu]を表示します。MOVERの各種管理オプションに関する詳細は、

｢MOVERの構成｣(93 ページ～)に記載されています。

この[Movers Management Menu]によって、FILTER に構成する ACTION を生成する

ために XMA と SNMP TRAP、SYSLOG、電子メール、および EMS との通信を検証

することもできます。

Movers Management Menu *********************************** 1: Discover Mover targets 2: List 3: Info 4: Status 5: Start 6: Stop 7: Add <All Steps> 8: Add <Database only step> 9: Add <Remote Node only step> 10: Add <Pathway only step> 11: Duplicate existing MOVER 12: Alter Database params 13: Alter Pathway params 14: Delete 15: Synchronize object files 16: Test basic Alerts 17: Configure mail queue server 18: Configure SysLog Send server 19: Configure IP Resolver server 20: Alert-Only/Collect-Only/Regular Movers 21: Maintain Administrative Servers X: Exit

次の表は、[Movers Management Menu]で選択できるオプションの説明です。

選択オプション説明 1: Discover Mover targets このオプションを使用すると、1 つ以上のノード上

のすべての XYGATE 製品、Safeguard、EMS、BASE24、および Measure のインストール環境が

検出されます。このオプションによって作成され

るコマンドを使用すると、MOVER サーバークラ

スの構成を自動化できます。

2: List このオプションを使用すると、1 つの製品(すなわ

ち、XYGATEAC、BASE24、または Safeguard)に構成されているすべての MOVER サーバークラス

のリストが表示されます。



選択オプション説明 3: Info このオプションを使用すると、MOVER および

PARAMETER テーブルのエントリや Pathway構成

を含む、1 つの MOVER サーバークラスの情報が

表示されます。このオプションによって、MOVERが処理した最後のオーディットレコードを確認で

きます。

4: Status このオプションを使用すると、1 つの MOVER サ

ーバークラスの、Pathway のステータスやデータ

ベースエントリを含むステータスが表示されま

す。

5: Start このオプションを使用して、1 つの MOVER サー

バークラスを起動します。MOVER サーバークラ

スの起動時には、データ収集のための BEGINLCTを指定するオプションを使用できます。

6: Stop このオプションを使用して、1 つの MOVER サー

バークラスを停止します。

7: Add <All Steps> このオプションを使用して、新しい MOVER サー

バークラスを作成します。次の点に注意してくだ

さい。 • Pathwayが存在するノード以外のノードに

MOVER サーバークラスが追加されると、関連

するオブジェクトファイル、カタログ、および

ライセンスファイルがリモートノードに移動さ

れます。 • このオプションによって、MOVERサーバーク

ラスのPARAMETERテーブルは更新されませ

ん。オプション 12を使用してパラメーターを

セットする必要があります。

8: Add <Database only step> このオプションを使用して、MOVER サーバーク

ラスの情報を所定の MOVER データベーステーブ

ルに追加します。

9: Add <Remote Node only step> このオプションを使用して、リモート MOVER を

作成します。SQL カタログが作成され、所定の

MOVER オブジェクトファイルとライセンスがリ

モートノードにコピーされます。また、MOVERサーバークラスオブジェクトが SQL コンパイルさ

れます。

10: Add <Pathway only step> このオプションによって、MOVER サーバークラ

スが XMA Pathway に追加されますが、構成全体は

完成しません。



選択オプション説明 11: Duplicate existing MOVER このオプションを使用して、同じノード上に同じ

種類の 2 つ目のMOVERサーバークラスを作成しま

す。たとえば、XACの本番環境とQAインストール

が存在する場合には、最初のMOVERをオプショ

ン 1 7またはのいずれかを使用して構成し、その構

成を 2 つ目のインストール環境に｢クローン｣複製

できます。ターゲットオーディットファイルの変

更が必要になります。

12: Alter Database params このオプションを使用して、1 つの MOVER サー

バークラスの所定の PARAMETER テーブル内のパ

ラメーターを追加、変更、または削除します。 MOVER サーバークラスのデータベース関連パラ

メーターを変更すると、サーバークラスを停止し

て再起動することで変更を有効にするように要求

されます。

13: Alter Pathway params このオプションを使用して、1 つの MOVER サー

バークラスの Pathway関連パラメーターを追加、

変更、または削除します。

14: [Delete] MOVER サーバークラスを Pathwayから削除しま

す。この機能を使用すると、所定の MOVER テー

ブル内の削除した対応する MOVER サーバークラ

スのローの DELETED カラムが'Y'にセットされま

す。 MOVER を完全に削除することもできます。その

場合には、MOVER に対するすべての参照が

MOVER テーブルから削除されます。

15: Synchronize object files リモートノード上のオブジェクトファイルを

Pathwayノード上のバージョンに一致させます。 (O)utdated を選択すると、プログラムオブジェク

トをマスターノードからリモートノードにコピー

することで、最新ではないすべてのプロジェクト

オブジェクトが更新されます。そして、更新され

たプログラムオブジェクトが SQL 再コンパイルさ

れます。 (A)ll を選択すると、すべてのプログラムオブジェ

クトをマスターノードから該当するリモートノー

ドにコピーすることで、すべてのノードを同期化

します。最新である場合であっても、すべてのオ

ブジェクトモジュールが SQL 再コンパイルされま

す。注：リモートノード上にコピーされた後に、



選択オプション説明 SRLIBオブジェクトファイルにライセンスは再付

与されません。リモートノード上のオブジェクト

ファイルにライセンスを付与するには、REMFINマ

クロを実行する必要があります。

16: Test basic Alerts このオプションを使用して、FILTERS内の

EMAIL、IP、EMS、およびSNMPTRAPのアクショ

ンの構成をテストします。アラートの構成とテス

トに関する詳細は、第 2.3.6 節(43 ページ～)を参照

してください。メールサーバーのアドレスや DNS 名、TCP/IP プ

ロセス名、および SYSLOG コンソールアドレスに

関する情報は、システム管理者にお問い合わせく

ださい。

17: Configure mail queue server このオプションを使用して、NonStopサーバーの

メールサーバーとの通信に必要となるパラメータ

ーを構成します。メールアラートの構成とテスト

に関する詳細は、第 2.3.6 節(43 ページ～)を参照し

てください。

18: Configure SysLog Send server このオプションを使用して、キューに挿入された

レコードを読み取ります。主な用途は、外部のア

プライアンスへの格納です。

19: Configure IP Resolver server このオプションを使用して、Safeguard オーディッ

トレコードの IP アドレスを解決します。

20: Alert-Only/Collect-Only/Regular Movers

このオプションを使用して、MOVER の種類を管

理し、収集のみの MOVER の Collection Window(収集期間)を構成します。

21: Maintain Administrative Servers このオプションを使用して、管理サーバーのステ

ータスを監視します。このオプションでは、管理

サーバーを起動/停止することもできます。

X:Exit [Movers Management Menu]を終了します。

4.5 Database Management Menu XMA_MANAGER の[Database Management Menu]のオプションを使用して、XMA デ

ータベースを管理します。

Main Menu Selection?プロンプト(83 ページ)に「3

第 7 章

」と入力し、以下の[Database Management Menu]を表示します。データベースの各種管理オプションに関する詳細

は、｢XMAデータベースの管理｣(131 ページ～)に記載されています。

Database Management Menu * * * * * * * * * * * * * 1: Update Statistics 2: Percent full for Database Tables



3: Cleanup Database 4: Auto cleanup setup 5: List Archive tasks 6: Start an Archive task 7: Restart a stopped Archive task 8: Archive task Status 9: Stop an Archive task 10: Delete an archive by archive id 11: Delete an archive by archive end date 12: Control auditing of detail/session tables 13: Resend Syslog Messages 14: Cleanup Syslog Queue 15: Auto Cleanup Syslog Queue 16: Auto Archive Setup 17: Alter Cleanup/Archive Params X: Exit

次の表は、[Database Management Menu]で選択できるオプションの説明です。

メニュー項目説明 1: Update Statistics このオプションを使用して、XMAデータベース内の

選択したSQLテーブルに対するSQL の統計の更新を

開始します。この機能を定期的に実行することで、

SQLクエリのパフォーマンスが向上します。Update Statisticsを実行する前に、Pathwayを停止する必要

があります。詳細は、この章の第 7.2 節(137 ペー

ジ)を参照してください。

2: Percent full for Database Tables

このオプションを使用すると、指定したしきい値パ

ーセントより大きい SQL テーブルを特定できま

す。

3: Cleanup Database このオプションを使用して、AUDIT SESSION テー

ブルと AUDIT DETAIL テーブルからローを削除しま

す。次の 2 つのオプションがあります。 1) 日付範囲内のローを削除する 2) AUDIT SESSION テーブルと AUDIT DETAIL テ

ーブルから完全にデータをパージする詳細は、第 7.1 節｢古いレコードの削除｣(131 ペー

ジ)を参照してください。注： Cleanupプロセスでは、削除するデータのアー

カイブは作成されません。削除するデータのアーカ

イブが必要な場合は、Cleanupではなく、Archiveプロセスを使用してください。

4: Auto cleanup setup クリーンアップパラメーターを指定します。

5: List Archive tasks すべてのアーカイブセットのリストが表示されま

す。

6: Start an Archive task このオプションを使用して、新しいアーカイブの開

始時刻、終了時刻、アーカイブの場所、およびオプ

ションの説明を設定することで、手動でアーカイブ

を開始します。



メニュー項目説明 7: Restart a stopped Archive task このオプションを使用して、以前に停止した 1 つま

たはすべてのアーカイブプロセスを再起動します。

8: Archive task Status このオプションを使用して、アーカイブプロセスの

ステータスをチェックします。

9: Stop an Archive task このオプションを使用して、実行中のアーカイブプ

ロセスを停止します。

10: Delete an archive by Archive ID このオプションを使用して、不要になったアーカイ

ブを削除します。オプション 4 を使用して入手でき

る、Archive ID が必要です。

11: Delete an archive by archive end dates

このオプションを使用して、Archive ID ではなく、

アーカイブの日付によって、不要になったアーカイ

ブを削除します。このオプションを選択すると、サブメニューが表示

されます。表示される日付は、最も古いアーカイブ

の End Date and Time (終了日時)です。この End Date (終了日付)に基づいて、アーカイブデータが削

除されます(ARCHIVE の作成日ではありません)。し

たがって、2007 年 9 月 14 日より古いすべてのアー

カイブを削除するには、たとえば、「2007-09-14」と入力します。

12: Control auditing of detail/session tables

このオプションを使用して、TMF がアーカイブされ

た AUDIT SESSION テーブルと AUDIT DETAIL テ

ーブルを監査するかどうかを制御します。

13: Resend Syslog Messages このオプションを使用して、指定した期間内に生成

された SYSLOG メッセージを再送します。

14: Cleanup Syslog Queue このオプションを使用して、SYSLOGQ テーブルか

らすべてのレコードを削除します。

15: Auto Cleanup Syslog Queue このオプションを使用して送信されたメッセージと

送信されていないメッセージの保存日数を指定する

ことで、SYSLOG テーブルの日次クリーンアップジ

ョブをスケジュールできます。

16: Auto Archive Setup このオプションを使用して、月次または週次で実行

するアーカイブプロセスをスケジュールします。ま

た、アーカイブパラメーターも指定できます。

17: Alter Cleanup/Archive Params このオプションを使用して、Cleanup および

Archive の実行時パラメーターを変更します。次の

オプションを利用できます。 1: Transaction Size 2: Transaction Timeout 3: Time Block Size 4: CPU Busy Percent 5: Debug Terminal

X: Exit [Database Management Menu]を終了します。



4.6 Uninstall Menu Main Menu Selection?プロンプト(83 ページ)に「4」と入力し、以下の[Uninstall Menu]を表示します。 Uninstall Menu * * * * * * * * 1: Uninstall Remote Node 2: Uninstall All X: Exit Selection ?

4.7 XMA_MANAGER ナビゲーションヒント通常は、実行したいタスクのメニューオプションを選択します。多くの場合は、文字

または数字が付いたいくつかのオプションが表示されます。いずれかのオプションの

値を変更するには、この文字または数字を選択し、変更を加えます。オプションが正

しければ、｢R(un)｣を入力してタスクを実行します。前のメニューに戻る(または、

XMA_MANAGERを抜ける)には、｢X｣を入力します。

Ctrl+Y 前のメニューに戻ります。たとえば、オプション 1: Update Statisticsを[Database Management Menu]から選択したものの、そ

の機能を実行しないことにした場合は、Ctrl+Yを押して[Database Management Menu]に戻ります。

Ctrl+Break

4.8 XMA_MANAGER の XMA オーナーとしての実行

XMA_MANAGERを終了し、TACLプロンプトに戻ります。

XMA_MANAGER は、XMA モジュールのオーナーID として実行する必要があります。

XAC がシステムで実行中であれば、次のコマンドを ACACL ファイルに追加すること

で、作業が容易になります。 XMA_MANAGER を所定の ID として実行する XAC コマンドの例

COMMAND XMA_MANAGER !This command is designed for User who administer XMA. DESCRIPTION "Runs XMA_MANAGER as the XMA owner ID" USER <XYGATEMA owner> ! <ID that owns XMA> OBJECT $SYSTEM.SYSNN.TACL ACL <user list> ! User allowed to use XMA_MANAGER SUPPRESSUNTILPROMPT NOCOPYRIGHT QUIET START_LOGGED_ON INPUT "#SET #BREAKMODE DISABLE" INPUT "RUN $<vol>.XYGATEMA.XMA INSTALL" ! XMA's vol and subvol INPUT "XYGATEAC_RUN_MACRO -exit xma_manager -PLAIN -BREAK" PASSONTIMEOUT OFF OPENSBYOBJECTS \*.$*.*.* TRACKVOLUME

次の処理を必ず実行します。



1. XMA インストール環境のオーナーであるユーザーID を USER キーワードの引数

として入力します。

2. XMA_MANAGER を実行できるユーザーID/エイリアスを ACL キーワードの引数と

して入力します。XMA インストール環境の正しいボリューム/サブボリュームを

INPUT の 2 行目の引数として入力します。


第5章 MOVER の構成

MOVER は、製品のオーディットトレイルを読み取ってそのレコードを XMA データ

ベースへと移動するプログラムです。1 つの MOVER が 1 つのオーディットトレイル

を読み取るため、結果として、1 ノードの 1 製品ごとに 1 つ以上の MOVER が存在し

ます。第 4 章「XMA_MANAGER の使用」(83 ページ～)に、XMA_MANAGER を使用

して MOVER を管理する手順が記載されています。

たとえば、3 つのノードに XAC が存在する場合には、3 つ以上の XAC が存在します。

アラート専用の MOVER と収集のみの MOVER をリモート(マスターではないノード)に置くことにした場合は、リモートノードごとに 2 つ、すなわち、1 つはアラート、1つはマスターノード上のデータベースを所定の時間に更新する XAC MOVER が存在

します。

MOVER はさらに、読み取ったオーディットイベントを FILTER と比較します。

FILTER には、DATA 選択基準に一致するイベントが検出された場合に実行するアク

ションが記述されています。

5.1 MOVER タイプ MOVER には、次の 3 つのタイプがあります。

• アラート専用

• 収集専用

• 標準(アラートと収集の組み合わせ)

5.1.1 アラート専用の MOVER アラート専用と指定されたサーバークラスは、アラートを発行しますが、XMA データ

ベースにレコードを挿入しません。

5.1.2 収集専用の MOVER 収集専用のサーバーは、本番環境で処理が集中する時間帯に、リモートノードとマス

ターノードの間の EXPAND トラフィックを回避する目的で作成されました。データ

ベースのトラフィックは実際にはマスターノードで発生するため、すべてのサーバー

は、マスターノードの LCT に基づいて収集する(かつ、データベース挿入を実行する)必要があります。

収集専用と指定されたサーバークラスは、指定された収集期間以外は"休止"します。

データをXMAデータベースに挿入しますが、アラートは発行しません。この動作を上

書きすることもできます。[Movers Management Menu]のオプション 20 (85 ページ)を

XYGATE Merged Audit®リファレンスマニュアル第 5 章 MOVER の構成


使用して、すべてのMOVERの"覚醒"時間を変更できます。個々のMOVERの"覚醒"時間は、表示されるサブメニューのオプション 10 (95 ページ)で上書きできます。

収集のみの MOVER はアラートを生成しませんが、オーディットイベントの

FILTERS ファイルとのチェックは実行され、アラートが生成されることになるレコー

ドには"C"とマークされます。値"C"は、Collect-Only(収集のみ)サーバークラスによっ

てアラートとして識別されたという意味です。

HKEEPER サーバークラスは、収集のみの MOVER の覚醒を処理します。マスターノ

ード上の LCT に基づいて収集期間が設定されます。リモートの収集のみのサーバーは、

マスターノードの LCT に基いて覚醒し、シャットダウンされます。

注：

収集のみの MOVER とオーディットファイルおよび HKEEPER とのやりとり

収集のみのサーバークラスを｢収集期間｣の外側で実行したい場合は、自動起動/シャットダウンプロセスからこのサーバークラスを省略するようにパラメータ

ーをセットします。

どの MOVER も同じ方法でオーディットトレイルファイルを参照します。収集のみの

MOVER が構成されていると、HKEEPER によって起動され、停止されます。オーデ

ィットトレイルファイルを読み取る方法は、他の MOVER と同じです。収集のみの

MOVER は、アラートには使用されず、XMA オーディットテーブルへのイベントの記

録にのみ使用されます。

MOVER は、処理中に、MOVER が EOF に達し、書き込みのオープナーが存在しない

という 2 つの条件を満たすと、オーディットトレイルを閉じます。結果は、次のよう

になります。

• MOVER が EOF に達し、書き込みのオープナーが存在すると、MOVER は引き続

き、レコードの読み取りを試行し、書き込みのオープナーをチェックします。

• MOVER が EOF に達し、書き込みのオープナーが存在しないと、MOVER は自分

の読み取りのオープナーを閉じます。この段階で、参照する必要があるオーディ

ットトレイルファイルが存在するかどうかを(状態テーブルを使用して)チェックし

ます。結果は、次のようになります。

1. 参照する必要があるレコードがあるオーディットトレイルファイルが存在しない

場合は、サイクルが再び開始します。

2. 参照する必要があるオーディットトレイルファイルが存在しない場合は、

MOVER は"スリープ"状態になります。MOVER は、1～3 分ごとに"覚醒"しま

す。この 1～3 分ごとの動作は、システムリソースを考慮したランダムな数を

使用して、プログラムによって実行されます。その目的は、複数の MOVER が

同時に"覚醒"しないようにすることです。

5.1.3 標準(アラートと収集の組み合わせ) 標準とは、アラートも生成し、データベースも更新するサーバークラスのことです。

多くの場合、マスターノード上のすべての MOVER は、EXPAND トラフィックが問

題になることはないため、これらの両方を実行します。



リモートノード上の Safeguard オーディットトレイルを再構成することで収集のみの

サーバークラスが覚醒して XMA データベースを更新するまでにすべての Safeguardのアクティビティが確実に保持されるようにできないと、Safeguard MOVER がアラ

ートの生成とリアルタイムでのデータベースの更新の両方を実行することになると考

えられます。Safeguard オーディットプールの MAXFILES、EXTENTSIZE、および

MAXENTENTS を拡張する方法については、HP の Safeguard 関連マニュアルを参照


5.1.4 MOVER タイプの変更 MOVERのタイプを変更する場合は、[Movers Management Menu]のオプション 12：Alter Database params (85 ページ)を使用します。

注：

6 新しい構成を有効にするには、[Movers Management Menu]でサーバークラス

を停止し(オプション )、再起動する(オプション 5)必要があります。パラメー

ターを変更した場合も、サーバークラスを停止して再起動するよう要求されま

す。

5.1.5 異なるサーバータイプを管理するツール [Movers Management Menu]のオプション 20：Alert-Only/Collect-Only/Regular Movers

以下のサブメニューを使用すると、MOVER をタイプごとに表示し、起動/停止できま

す。さらに、収集専用のサーバークラスの"覚醒"時刻を変更できます。

(85 ページ)を選択すると、異なるMOVERタイプを管理できます。

指定できる覚醒時刻は、1 日に 1 回だけです。例 Selection ?20

Please select an option :

<--- 20: Alert-Only/Collect-Only/Regular Movers

1: List all alert-only servers 2: List all collect-only servers 3: List all regular servers 4: Start all alert-only servers 5: Start all collect-only servers 6: Start all regular servers 7: Stop all alert-only servers 8: Stop all collect-only servers 9: Stop all regular servers 10: Setup collect-only server window X: Exit

5.2 MOVER 追加前の決定事項これまでに 1 つ以上の MOVER を 1 つのテストノードに起動し、XMA の理解を深め

てきました。ここからは、本番構成の設計に着手します。



アラート専用の MOVER と収集専用の MOVER が必要なのか、あるいは、各 MOVERがアラートとデータベースの更新の両方を実行するようにしたいのかを決定します。

5.2.1 MOVER サーバークラスの命名規則 MOVER の命名規則を決めます。名前によって、少なくとも、MOVER が読み取る製

品オーディットトレイルとその製品が置かれているノードが分かるようにします。デ

フォルトの命名規則は次のとおりです。

例 1：デフォルトの MOVER サーバークラス名の例

<3文字の製品コード>-<ノード名>-<2文字のシーケンス番号>

SFG-DEV1-01 XAC-DEV1-01 XPQ-DEV1-01 XUA-DEV1-01 EMS-PROD1-01 MM-PROD1-01

2 つ目の Safeguard MOVER が\PROD1 に追加されている場合には、XMA によって、

SFG-DEV1-02 というような名前が割り当てられます。

作成時に、各 MOVER サーバークラスの名前を選択してください。MOVER がアラー

ト専用なのか、データベースの更新(収集)専用なのか、あるいは両方を実行するのか

を表す名前を使用する場合もあります。例 2：カスタマイズされた MOVER サーバークラス名の例

XAC-DEV1-B1 XUA-DEV1-B1 SFG-DEV1-B1 XAC-PROD1-A1 XAC-PROD1-C1 XUA-PROD1-A1 XUA-PROD1-C1 SFG-PROD1-B1

上記の例 2 では、A#というシーケンス番号を使用してアラート専用の MOVER を表し、

C#というシーケンス番号を使用して収集専用の MOVER を表し、B#を使用してアラ

ートと収集の両方を実行する MOVER を表すことにしました。\DEV1 で XMA Pathway が実行中であると仮定します。

\DEV1 には XAC MOVER と XAC-DEV-B1 が存在し、どちらも、アラートと収集を実

行します。また、アラートと収集の両方(Both)を実行する XUA MOVER、XUA-DEV-B1 が存在します。さらに、Safeguard MOVER の SFG-DEV-B1 が存在し、アラート

と収集の両方(Both)を実行します。

\PROD には次の MOVER が存在します。

MOVER 説明

アラート専用の XAC MOVER

XAC-PROD1-A1。常時実行し、アラートをほぼリアルタイ

ムで生成します。



MOVER 説明

収集専用の XAC MOVER XAC-PROD1-C1。構成された時刻に起動し、その日の XACオーディットアクティビティを\DEV1 上のデータベースに

書き込みます。

アラート専用の XUA MOVER、XUA-PROD1-A1

常時実行し、アラートをほぼリアルタイムで生成します。

収集専用の XUA MOVER XUA-PROD1-C1。構成された時刻に起動し、その日の XUAオーディットアクティビティを\DEV1 上のデータベースに

書き込みます。

Safeguard MOVER SFG-PROD1-B。アラートと収集の両方を実行します。

注：

5.2.2 XMA_MANAGER ナビゲーションヒント

検出オプションを使用する場合は、MOVERサーバークラスの名前を選択でき

ません。MOVERにデフォルト名が割り当てられます。

通常は、実行するタスクのメニューオプションを選択します。多くの場合は、数字が

付いたいくつかの別のオプションが表示されます。いずれかのオプションの値を変更

するには、この文字を選択し、変更を加えます。オプションが正しければ、｢R

｢

(un)｣を入力してタスクを実行します。

X｣を押すと、前のメニューに戻ります(または、XMA_MANAGERを終了します)。

Ctrl+Yを押すと、前のサブメニューに戻ります。

Ctrl+Break

5.3 MOVER の追加方法

を押すと、XMA_MANAGERに戻ります。

次の 2 つの方法でMOVERを追加できます(第 4.4 節「Movers Management Menu」(85 ページ)も参照)。

Discover [Movers Management Menu]のオプション 1 を使用します。このオ

プションは、Safeguard、EMS、BASE24、および Measure と、

NonStop サーバー上のすべての XYGATE 製品を検出します。

MOVER 設定が構成され、その内容は EDIT ファイルに保持されま

す。たとえば、実際に作成する MOVER を選択したり、MOVER サ

ーバークラス名を変更したりします。

Manually オプション 7 を選択し、要求される情報を指定することで、

MOVER を手動で作成できます。実行する MOVER ごとにオプショ

ン 7 を使用する必要があります。

5.3.1 検出を使用した MOVER の自動構成 Discoverオプション(1を選択)は、Safeguard、EMS、BASE24、およびMeasureと、

NonStopサーバー上のすべてのXYGATE製品を検出します。MOVER設定が構成され、



その内容はコマンドファイルと呼ばれるEDITファイルに保持されます。このファイル

を編集すれば、実際に作成するMOVERを選択することも、製品サブボリューム用の

異なる命名規則のMOVERをさらに追加することもできます。

注：

この検出プロセスでは、次のような手順が実行されます。

DISCOVER (検出)プロセスによって作成されたコマンドファイルを実行する前

に、XMA Pathwayが実行中である必要があります。

1. 1 つ以上のノード上のターゲット製品を検出します。

2. コマンドファイルを作成します。

3. コマンドファイルを編集します(オプション)。

4. コマンドファイルを実行して、MOVER を作成します。

注：すべてのノードで XYGATESR オブジェクトファイルにライセンスを付与する

必要があります。このオブジェクトファイルは、XMA データベースに挿入する

Safeguard オーディットデータを正規化するために使用され、SRLIB という名

前の付随ファイルを全ノードでライセンスする必要があります。REMFIN とい

う名前のマクロが提供されており、このプロセスに利用できます。リモートの

Safeguard MOVER を作成すると、このタスクを実行するよう要求されます。

MOVER 作成コマンドファイルこのコマンドファイルは、検出プロセスによって作成されます。このファイルには、

XYGATE 製品インストール環境の SAFEGUARD、EMS、BASE24 の MOVER と、

MEASURE の親データを追加する MOVER の全リストが含まれます。

注： Discover プロセスでは、HLR MOVER は作成されません。

このファイルを実行すると、DISCOVER という名前のファイルが作成されます。

DISCOVER ファイルには、実際に作成された MOVER に関する情報だけが含まれま

す。

注：

検出処理の間に、コマンドファイルを見直して変更する機会があります。たとえば、

Measure MOVERを作成しない場合は、INSTALL値を

実行が正常に終了すると、コマンドファイルは削除されます。コピーを残して

おく場合は、コマンドを実行してMOVERを作成する前にコピーを作成してお

く必要があります。

N(o)から Y

注： MOVERのINSTALLキーワードのデフォルト値は

(es)に変更します。

いずれかのXYGATE製品の 2 つ目のMOVERを追加したい場合は、既存のエントリを

複製してターゲットオーディットトレイル情報を正しいノード、ボリューム、サブボ

リューム、およびファイルマスクに変更することで追加できます。

N(o)です。



MOVER 作成コマンドファイルの実行時に、MOVER 管理テーブルがコマンドファイ

ル内に含まれる情報によって更新されます。

検出処理の例まず初めに、MOVER作成コマンドファイルを作成します。[Movers Management Menu]のオプション 1 (85 ページ)を選択します。このオプションを選択すると、

[Discover Menu]が表示されます。まず初めに製品を検出するノードを入力するプロン

プトが表示されます。すべてのノードまたは 1 つのノードでの検出を選択できます。

検出プロセスの間に、さらに多くのノードや製品サブボリュームマスクを選択できる

機会があります。

この節は、初めて XMA をインストールした直後に、MOVER サーバークラスをいく

つか追加する作業を実行することを前提として説明します。検出コマンドファイルの作成： Selection ?

1

Do you want to discover for alert-only movers - y or n <N>- <enter>

注：

Please select an option :

XMAデータベースをホスト上でまったく使用しない場合を除き、アラート専用

のMOVERを作成しないでください。｢N｣を受け入れます。

1: Create a new command file 2: Load and run an existing command file X: Exit

注：オプション 1

Selection ?

を選択すると、ファイル名を入力するよう要求されます。ファイ

ル名として"DISCOVER"を指定しないでください。これは、このプロセスでこ

の後に、XMAによってこの名前のファイルが作成されるためです。

Please enter new (nonexistent) command file ->newmvr 1

ファイル名を入力すると、次のメッセージが表示されます。 Loading saved discovery file ... Enter 'D' to discover new installations 'X' to exit and build command file <D>-> <enter>

利用可能な NonStop ノードのリストが表示されます。 Discovering nodes on the expand network ... \PROD2 \PROD1 \PROD3 Please enter node to discover installations on (* for all nodes) <*>-> \PROD1



NODE または ALL を選択するように要求されます。後で、他のノードを選択する機会

があります。

ノードの選択が終わったら、ノード全体あるいは現行の XYGATE 製品インストール

環境だけのいずれを検索したいのかを尋ねるプロンプトが表示されます。ワイルドカ

ードの$VOLUME.SUBVOLUME マスクを入力すると、検索を限定できます。検索テ

ンプレートを入力すると、検出プロセスが開始します。 Please enter <vol>.<subvol> mask to discover installations on ($*.* for all) <$*.*>-> $system.xygate* Discovering all installations on node \PROD2 for $system.xygate* ... Checking \PROD2.$SYSTEM.XYGATESP.P09F001 ... Selecting \PROD2.$SYSTEM.XYGATESP (XSP) Checking \PROD2.$SYSTEM.XYGATEAC.P06F001 Selecting \PROD2.$SYSTEM.XYGATEAC (XAC) Checking \PROD2.$SYSTEM.XYGATEPC.P07F001 Selecting \PROD2.$SYSTEM.XYGATEPC (XPC) Checking \PROD2.$SYSTEM.XYGATECM.P08F001 Selecting \PROD2.$SYSTEM.XYGATECM (XCM) Checking \PROD2.$SYSTEM.XYGATEPQ.P15F001 Selecting \PROD2.$SYSTEM.XYGATEPQ (XPQ) Checking \PROD2.$SYSTEM.XYGATEOS.P19F001 Selecting \PROD2.$SYSTEM.XYGATEOS (XOS) Checking \PROD2.$SYSTEM.XYGATETR.P46F001 Selecting \PROD2.$SYSTEM.XYGATETR (XTR) ...

注：検索が完了すると、次のメッセージが表示されます。

Enter 'D' to discover new installations 'X' to exit and build command file <D>->

以前に 1 つのノードで｢検出｣を選択した場合は、新しいノード名をここで入力し、そ

のときのプロセスを繰り返します。それ以外の場合は、｢X｣を選択して検索モードを

抜け、コマンドファイルを構築します。いくつかのプロンプトが表示されます(ここに

参考のために記載されているのは、\PROD3 の場合のプロンプトです)。

x

Checking availability and license for \PROD2... Checking availability and license for \PROD1... Checking availability and license for \PROD3...

作成する MOVER のホーム端末を選択します。 Please enter hometerm for MOVERs on \PROD3 <\PROD2.$VHS>->

Safeguard の"No Record" (レコードなし)オーディットを XMA データベースに追加す

るかどうかを決定します。この値は、必要があれば後から変更できます。警告モード

では、Safeguard によって、すべてのファイルアクセスルールが"No Record" (レコー

ドなし)に変換されます。 Do you want to skip safeguard norecords on \PROD3 - y or n <Y>-> <enter>



Safeguard の"Read Detail" (読み取りの詳細)オーディットを XMA データベースに追加

するかどうかを決定します。この値は、必要があれば後から変更できます。 Would you like to select read detail records on \PROD3 - y or n <N>-

収集専用の MOVER は、夜間の指定された時刻に XMA データベースを更新しますが、

アラートは生成しません。

Do you want the servers to default to collect-only - y or n <N>-> <enter>

MOVER が処理を開始するターゲットオーディットレコードの日付を指定するオプシ

ョンがあります。特定の日付や経過日数を指定できます。日付を指定しないと、

MOVER は各 XYGATE 製品の最も古いオーディットレコードに遡り、それ以降に発生

したすべてのイベントを XMA データベースに追加します。

次の例では、すべての製品で 10 日前以降のオーディットレコードを追加することを

選択します。具体的な日付も入力できます。 Do you want to specify a particular time from which data collection should begin instead of the MOVER defaults <N> ->

y

To start data collection from the beginning of existing audits, enter -1. To start data collection from a certain number of days ago, enter a number greater than 1. To start data collection from a specific date onwards, enter a date in the format yyyy-mm-dd. Enter value <-1>->Data collection start date will be set to 2008-05-20:00:00:00.000000.

10

ここで、リモート(非マスター)ノード上に常駐する製品の MOVER をリモートノード

上あるいはローカル(マスター)ノード上のどちらで実行するのかを決める必要があり

ます。MOVER をリモートノード上で実行すると、Expand 経由で XMA データテーブ

ルへとデータが渡されます。MOVER をローカルノード上で実行すると、Expand 経

由でリモートノードからデータを取得します。どちらの場合も、すべての MOVER が

XMA Pathway の一部になります。

リモート(非マスター)ノード上に常駐する製品の MOVER をリモートノード上で実行

し、データをローカル(マスター)ノードに渡す場合は、｢Y｣と入力します。

MOVER をローカルノード上で実行し、リモートノードから Expand 経由でデータを

取得するには、｢N｣と入力します。 Do you want to push MOVER object files to \PROD3 - y or n <Y>-> Please enter the volume at \PROD3 where the catalog should be created <$DATA4>-> Please enter the subvolume at \PROD3 where the catalog should be created <XMACAT>- > Please enter the volume at \PROD3 where the objects should be installed <$DATA4>-> Please enter the subvolume at \PROD3 where the objects should be installed <XYGATEMA>- >



Building command file ...

ここでターゲット製品が検出されるため、この手順には、時間が少しかかります。

MOVER の作成コマンドファイルが構築されると、次のプロンプトが表示されます。 Please examine MOVER addition commands that have been set up in the file NEWMVR

ここで、コマンドファイルの内容を見直して、変更することができます。詳細は、前

出の｢MOVER作成コマンドファイル｣(98 ページ)を参照してください。

重要：コマンドファイルは、実行後に削除されます。そのため、コピーを残してお

きたい場合は、コマンドを実行して MOVER を構築する前に、ファイルをコピーする


コマンドファイルの内容の確認が終了して EDIT を抜けると、次のプロンプトが表示

されます。 Enter 't' to go into tedit, CTRL-Y to exit the editor. TEXT EDITOR - T9601D20 - (01JUN93) CURRENT FILE IS $DATAB.XYGATEMA.NEWMVR * Enter 'y' when ready to add MOVERs or 'n' to abort<Y>->

製品｢検出｣プロセスで新しいノードを選択するには、｢N

｢

｣を入力します。

Y

追加されたすべての MOVER サーバークラスに関する情報は、XYGATEMA サブボリ

ューム内の DISCOVER という名前のファイルに格納されます。このファイルは参照

目的のものであり、コマンドファイルとしては使用できません。

｣を入力すると、MOVERが作成されます。MOVERサーバークラスをノードに初め

て追加する場合は、この手順に時間がかかります。これは、SQLカタログと所定のオ

ブジェクトが追加され、プログラムオブジェクトがSQLコンパイルされるためです。

MOVER サーバークラスを追加できたら、[Movers Management Menu]のオプション

を使用して Pathway や MOVER のパラメーターを変更できます。この方法について

は、第 4 章「XMA_MANAGER の使用」(83 ページ)で詳しく説明します。

｢N

既存の検出コマンドファイルの実行

｣と入力すると次のプロンプトが表示され、それ以外の場合は、コマンドファイル

を使用してINSTALL:“Y”にセットされているすべてのインストール環境のMOVERサー

バークラスが作成されます。(既存のMOVER作成コマンドファイルを実行する手順に

ついては、｢｣を参照してください。)

Enter 'y' when ready to add MOVERs or 'n' to abort<Y>->Command file NEWMVR has been retained.

n

Press Return to continue...



既存の検出コマンドファイルの実行コマンドファイルの作成時にMOVERを作成することを選択しない場合は、[Movers Management Menu]のオプション 1 を選択することで、後からファイルを実行できま

す(85 ページ)。このオプションを選択すると、[Discover Menu]が表示されます。 Selection ?

1

Please select an option : 1: Create a new command file 2: Load and run an existing command file X: Exit

オプション 2 を選択すると、既存のコマンドファイルの名前を要求するプロンプトが

表示されます。

Selection ?Please enter an existing command file ->

2

Command file NEWMVR loaded. NEWMVR

Enter 'y' when ready to add MOVERs or 'n' to abort <Y>->

プロンプトに｢Y｣と応答すると、コマンドファイルが実行され、MOVER が作成され

ます。MOVER サーバークラスをノードに初めて追加する場合は、SQL カタログと所

定のオブジェクトが追加され、プログラムオブジェクトが SQL コンパイルされます。

y

追加されたすべての MOVER サーバークラスに関する情報は、XYGATEMA サブボリ

ューム内の DISCOVER という名前のファイルに格納されます。この DISCOVER ファ

イルをコマンドファイルとして使用することはできません。XMA によって使用される

ファイルであり、変更しないでください。

注：入力ファイルは使用後に削除されます。追加の MOVER サーバークラスを検出

オプションを使用して追加する場合は、新しいコマンド入力ファイルを作成す

る必要があります。MOVER の実際の作成時に作成された DISCOVER ファイル

を使用しても、まったく同じ MOVER サーバークラスが作成される保証はあり

ません。

これで、MOVER の初期セットを作成できました。

5.3.2 リモートカタログの作成 MOVER サーバークラスをリモートノードに追加する場合は、SQL カタログを手動で

追加することも、XMA_MANAGER を使用することもできます。例：

Adding SFG-SIMI-01... Setting up catalog and MOVER at \WIRE ... MA Manager at \PROD1 running as SEC.ADMIM would need to remotely create a catalog at \WIRE.$DISCB.XMACAT which may be denied due to security violation. Enter 'y' if you want MA Manager to create the catalog. Enter 'n' if you will be creating the catalog manually ->n



Getting catalog version ... Running $SYSTEM.SYSTEM.SQLCI /inv commandin, out \WIRE.$DISCB.XMAOBJ.zz000000/ Getting catalog version ... Running \WIRE.$SYSTEM.SYSTEM.SQLCI /inv commandin,out\WIRE.$DISCB.XMAOBJ.zz000000/ You would need to create the catalog yourself at \WIRE.$DISCB.P28HH0CT. Log on to \WIRE as SEC.ADMIM and then type in : SQLCI CREATE catalog \WIRE.$DISCB.XMACAT; Press return after completing the above steps...

重要：

5.4 埋め込みサーバークラス

リモートノードー上に作成するSQLカタログはマスターノード上のカタログ

と同じバージョンである必要があります。

Pathway には、次の 4 つのサーバークラスが自動的に構成されます。

• ハウスキーピングサーバー

• メールキューサーバー

• syslog 送信サーバー

• IP アドレス解決

5.4.1 ハウスキーピングサーバー(HKEEPER) ハウスキーパーサーバー(HKEEPER)と syslog 送信サーバーは、Pathway の起動時に

自動的に起動されます。

HKEEPER という名前のサーバークラスは、収集専用の MOVER の覚醒と、収集ウィ

ンドウの最後のシャットダウンを処理します。このサーバークラスは自動的に作成さ

れ、Pathway によって自動的に起動されます。

HKEEPER は、データベースのクリーンアップも起動します。

5.4.2 メールキューサーバー(MQREADER) メールキューサーバー(MQREADER)は、XMA によって発行できるメールアラートを

サポートします。メールアラートをすぐに配達できない場合、メッセージはメールキ

ューに入ります。MQREADER は、キューを読み取って、メッセージを再送しようと

します。

MQREADER サーバークラスは、新規インストールと XMA のバージョンアップグレ

ードの両方で、XMA Pathway に自動的に追加されます。そして、Pathway の起動時

に XMA_MANAGER によって自動的に起動されます。



注：

例：[Movers Management Menu]の Mail Queue Reader 構成

MQREADERパラメーターが構成されていないと、MQREADERが実行されませ

ん。

Selection ?17 <-- Configure mail queue server To modify any of the items below choose an option otherwise select R to continue : 1: Mail server :mail.server.com 2: Port :25 3: IP Process :$ZTCP 4: Local domain name :prod1.bankco.com 5: Maximum retries :10 6: Retry delay :300 X: Exit R: Run Selection ?

不達メールの通知 MQREADER は、24 時間ごとに 1 回、不達メッセージがメールキューに残っていない

かどうかをチェックします。不達メッセージがキュー内に｢残されている｣と、EMS に

メッセージが送信されます。

5.4.3 syslog 送信サーバー(SLSENDER) SYSLOG MOVER は、入力キューからレコードを読み取り、そのレコードを外部の

IP アドレスとポートに TCP/IP 経由で送信します。Safeguard、XYGATE、EMS、BASE24、HLR、または Measure の MOVER から、レコードがキューに追加されます。

SLSENDER MOVER サーバークラスの 1 つで、Pathway の新規インストール時

またはアップグレード時に、自動的に追加されます。XMA Pathway の起動時に、HKEEPER や MQREADER と一緒に自動的

に起動されます(構成されている場合)。

新しいコンポーネント：

To modify any of the items below choose an option otherwise select R to continue : 1: Auto Transaction Timeout :300 2: Delay on Error :300 3: Delay on Timeout :180 4: Max Wait for Socket to Close :120 5: Max Wait for Socket to Connect :180 6: Max Number of Message in a Connection Queue :10 7: Max Number of Open Transactions :100 8: Max Number of Pending IO calls :10 9: Max Wait for Send to complete :120 10: Time to process messages before refreshing :300 11: Delay when Queue is empty :30 12: Delay before sending a warning if unable to send :900 13: TCP Process Name :$ZTC0



X: Exit R: Run Selection ?

SYSLOG 送信プロセスを使用しても、システム全体のパフォーマンスに影響すること

はありません。次のパラメーターを使用して、SYSLOG キュー内のレコードの処理を

調整できます。

選択オプション説明 1: Auto Transaction Timeout このパラメーターは、時間通りに送信できない場

合にレコードのロックをどの期間、保持するかを

決定します。レコードが指定された時間内に送信

されないと、ロックが解除され、ロックし直して

から再送信を試行します。デフォルトは 300 秒です。

2: Delay on Error 接続エラーが発生すると、プログラムはこのパラ

メーターで指定された時間待機してから、再接続

を試行します。デフォルトは 30 秒です。

3: Delay on Timeout 接続で処理がタイムアウトした場合、プログラム

は、このパラメーターの時間待機してから、接続

を再試行します。デフォルトは 180 秒です。

4: Max Wait for Socket to Close このパラメーターはプログラムに対し、クローズ

要求をどの位の時間待機してから接続をクローズ

するかを指示します。デフォルトは 120 秒です。

5: Max Wait for Socket to Connect このパラメーターはプログラムに対し、どの位の

時間待機してから接続するかを指示します。デフォルトは 180 秒です。

6: Max Number of Messages in a Connection Queue

デフォルトは 10 メッセージです。

7: Max Number of Open Transactions デフォルトは 100 トランザクションです。

8: Max Number of Pending IO Calls デフォルトの IO は 10 です。

9: Max Wait for Send to Complete SEND 要求が完了しない場合に、接続のステータ

スを TIMED-OUT に変更するまでにプログラムが

待機する時間。デフォルトは 300 秒です。

10: Time to process messages before refreshing

プログラムは、送信キューをリフレッシュして先

頭から読み取りを再開始することで、未送信のレ

コードが残らないようにします。デフォルトは 300 秒です。



選択オプション説明 11: Delay When Queue is empty プログラムは、SYSLOGQ が利用可能なすべての

メッセージの処理を終了した場合に、このパラメ

ーターの時間が経過した後に、休止します。デフォルトは 30 秒です。

12: Delay before sending a warning if unable to send

メッセージを所定の宛先に送信できない場合に、

プログラムは、EMS 警告を生成します。このパ

ラメーターは、それらのメッセージの頻度を制御

します。デフォルトは 900 秒です。

13: TCP Process Name SLSENDER サーバーが、FILTERS ファイルで指

定された IP アドレスとポートと一緒に使用する

TCP/IP プロセス名。

X: Exit Movers Management Menuに戻ります。

R: Run SLSENDER データベースを更新します。

5.4.4 IP アドレス解決(IPRESLVR) Safeguard MOVER は、Safeguard オーディットレコードに含まれる端末 ID を使用し

て、処理するレコードに対応する IP アドレスを判断しようとします。Safeguard MOVER が IP アドレスを解決できないと、レコードは、IPRESLVR のキューファイ

ルに格納されます。このテーブルは、SESSNOIP という名前です。IPRESLVR は、

キューを読み取り、端末 ID を使用して、Audit Detail テーブルに同じ端末 ID のレコー

ドを検索しようとします。一致するレコードが見つかると、XYGATE 製品レコードの

IP アドレスが、該当する Safeguard レコードの Audit Session レコードに移動されま

す。

端末名に基いて、一部のレコードが、IP アドレス解決プロセスから除外されます。除外される端末名は、プログラムファイル名の TMIOP、VHS、ZHOME、NETBATCH、(deviceinfo check)、XYGATETR と無効な端末名です。

注： IPRESLVRサーバーは、構成されるまで利用できません。[Movers Management Menu]のオプション 19 (85 ページ)で構成します。IPRESLVRサー

バーを構成する前に、XMA Pathwayが実行中である必要があります。

例：IP アドレス解決の構成

Selection ?19 Configure IP Resolver server To modify any of the items below choose an option otherwise select R to continue : 1: CPU Busy Percent :30 2: Records Retain Days :3 3: Transaction Size :100 4: Transaction Timeout :600 X: Exit R: Run



Selection ?

選択オプション説明 1: CPU Busy Percent CPU Usage(CPU 使用率)が CPU Busyで指定されたパーセン

テージ以上になると、MOVER は、1～3 秒間のランダムな間

隔で、スリープ状態になります。このインターバルはランダ

ムに選択されるため、すべての MOVER サーバークラスが同

じタイミングで覚醒するわけではありません。デフォルト値は 30 です。

2: Records Retain Days レコードが SESSNOIP テーブルに保持される日数。

IPRESLVR プログラムは、クリーンアップ機能を実行しま

す。デフォルトは 5 日です。

3: Transaction Size 1 つの TMF トランザクションでアクセスされるレコード数。

Transaction Timeout と一緒に使用されます。いずれかの条件

が真であると、トランザクションがコミットされます。デフォルトは 100 レコードです。

4: Transaction Timeout TMF トランザクションがアクティブである秒数。Transaction Size と一緒に使用されます。いずれかの条件が真であると、

トランザクションがコミットされます。デフォルトは 600 秒です。

X:Exit Movers Management Menuに戻ります。

R:Run IPRESLVR MOVER の PARAMS テーブルを更新します。

5.5 BASE24 MOVER BASE24 は、次の 2 つのロケーションにオーディットを書き込みます。

• OMF ファイル

• EMS ログ

BASE24 MOVER が OMF ファイルを読み取り、EMS MOVER が EMS ログを読み取

ります。

BASE24 を構成して、ユーザーデータベースとセキュリティ構成に対する変更が監査

されるようにする必要があります。ロギングできるアクティビティとしては、ログオ

ン、ログオフ、およびパスワード変更があります。ACI Desktop ユーザーインターフ

ェイスの[Process Control]ウィンドウから、監査を停止、起動します。設定と監査に

関する詳細は、ACI から入手できる BASE24 関連ドキュメントを参照してください。

5.5.1 BASE24 EMS テンプレート EMS MOVER は、標準システム EMS テンプレートを使用して、EMS メッセージの構

文を解析します。コンパイル済みの BASE24 EMS テンプレートがシステム EMS テン



プレートに格納されていないと、AUDDET テーブルの結果テーブルに、"No template and no TEXT token for event"(テンプレートなし、イベントの TEXT トークンなし)というメッセージが出力されます。

この問題を解決するには、DEFINE を追加して、BASE24 アプリケーションがメッセ

ージを書き込む EMS ログを EMS MOVER が読み取るようにする必要があります。こ

の DEFINE は、MOVER を作成してから起動するまでの間に追加する必要があります。

MOVER がすでに実行中であれば、PATHCOM から MOVER を停止し、DEFINE を追

加してから、再起動する必要があります。PATHCOM を使用して DEFINE を追加する

手順は以下のとおりです。構文： = Alter server <mover name>,define =_ems_templates,file $<vol>.<subvol>.EMSNRES

コンパイル済みの BASE24 EMS テンプレートが EMSNRES ファイルに格納されてい

ます。このファイルは通常、$<vol>.SCRIBE サブボリュームに置かれています。

例：BASE24 EMS ログを読み取る EMS MOVER に対する DEFINE の追加 67> $Y8Y4: PATHCOM - T8344H01 - (01AUG08)

pathcom $xma

(C)1980 Tandem (C)2005 Hewlett Packard Development Company, L.P. = alter server EMS-nodea-B24,define =_ems_templates,file $BASE.SCRIBE.EMSNRES = info server ems-nodea-b24 SERVER EMS-NODEA-B24 PROCESSTYPE GUARDIAN AUTORESTART 2 CREATEDELAY 10 SECS DEBUG OFF DEFINE =_EMS_TEMPLATES,CLASS MAP,FILE \NODEA.$BASE.SCRIBE.EMSNRES

この DEFINE が必要なのは、ACI テンプレートが標準のシステム EMS テンプレート

ファイルにマージされていない場合だけです。ACI でコンパイルされたテンプレート

が別になっている場合は、EMS MOVER が起動する EMS ディストリビューターが使

用するテンプレートファイルを上書きするための DEFINE が必要です。

セキュリティ関連の BASE24 EMS メッセージには、SSID の先頭に"ACI.XPSNCP"が付加されます。SSID が AUDIT.OBJECTNAME カラムに格納されます。このカラムを

使用すると、FILTERS およびレポートのセキュリティ関連の BASE24 イベントを選

択できます。

BASE24 オーディットログの初期化を検出するには、SSID が"ACI.LOGDATER"のEMS イベントも探してオーディットログ初期化メッセージを検出してください。これ

は、PCI の要件です。

5.6 HLR MOVER Home Location Register (HLR)は、モバイルネットワーク加入者の恒久的情報のメイ

ンデータベースです。HLR には、アドレス、アカウントステータス、プリファレンス

などの関連ユーザー情報が格納されます。HLR は、呼の制御と処理に使用するスイッ



チである移動交換局(MSC)とやり取りします。このデータベースに対する変更には、

DPA アプリケーションが使用され、このアプリケーションが、アプリケーション構成

によって、EMS やログファイルにオーディット情報を送信します。

XYGATEMAは、ログファイルのみのHLRデータを収集します。これらのオーディッ

トトレイルは、NonStopサーバーのOSS環境に置かれます。通常、ログファイル

は、dpa_audit_<start date/time>_<close date/time>.log

HLR アプリケーションによって、複数の環境が存在することが可能になり、ノード

ID ごとに、アプリケーションによって識別されます(複数の HLR ノード ID が 1 つの

NonStop サーバーに存在できます)。通常、ノード ID は、オーディットログが置かれ

ているディレクトリ名の一部です。

という名前で、ユー

ザーは任意のディレクトリにこれらのログファイルを置くことができます。

XYGATEMAのHLRデータを取得するには、DPAオーディットログが置かれているデ

ィレクトリごと、すなわち、ノードIDごとにHLR M OVERを作成する必要があります。

Discover (検出)を使用してHLR MOVERを追加することはできません。[Movers Management Menu]のオプション 7：Add <All Steps>

1: Node :\X

(85 ページ)を使用して、手動で

追加する必要があります。

2: HLR Application Node ID :NODEG 3: HLR audit file mask :

1: Node HP NonStop サーバーのノード名。

2: HLR Application Node ID HLR アプリケーションノード ID。ノード ID は必須であり、

HLR オーディットログのパス名に出力されるのと同様に、大文

字で入力する必要があります。

3: HLR audit file mask HLR オーディットログの OSS フルパスとワイルドカードファ

イルマスク。このフィールドでは大文字と小文字が区別され、

オーディットログの実際のディレクトリロケーションとファイ

ルマスクと完全に一致する必要があります。

構文： /<full path>/<NODEID>/dpa_audit_*

例： /users/hlr/PS4JQ/dpa_audit_*

/users/hlr/PS4JQ/: ls dpa_audit_20101106_000018.log dpa_audit_20101108_083715.log dpa_audit_20101106_000028.log dpa_audit_20101108_100434.log dpa_audit_20101106_000101.log dpa_audit_20101108_102121.log dpa_audit_20101106_000111.log dpa_audit_20101108_104304.log dpa_audit_20101106_000721.log dpa_audit_20101108_112207.log dpa_audit_20101106_074444.log dpa_audit_20101108_114526.log dpa_audit_20101106_091009.log dpa_audit_20101108_115921.log dpa_audit_20101106_092558.log dpa_audit_20101108_123114.log dpa_audit_20101106_094241.log dpa_audit_20101108_123442.log dpa_audit_20101106_100023.log dpa_audit_20101108_130417.log dpa_audit_20101106_104004.log dpa_audit_20101108_134429.log dpa_audit_20101106_104208.log dpa_audit_20101108_140019.log



上記の例で、PS4JQはアプリケーションノードIDであり、dpa_audit_*

XYGATEMA は、マスクに一致するファイルに期待される形式でデータが含まれるこ

とを評価しますが、プログラムは、パスやノード ID を評価できません。したがって、

パスを正しく入力するように注意してください。正しくないディレクトリを指す

MOVER を作成してした場合は、その MOVER を削除し、正しいパスとファイルマス

クで新しい MOVER を追加しなければならなくなります。

はそのディレ

クトリ内のDPAオーディットログファイルのファイルマスクです。

XYGATEMA データベースに格納される HLR データについては、付録 G5:「HLR デー

タマッピング」(235 ページ～)を参照してください。

5.6.1 重要な注意事項 1. HLR オーディットトレイルはサイズが大きいため、HLR MOVER は、ACTIVE フ

ィルターに一致するオーディットレコードの XMA データベースのみを更新します。

FILTSAMP ファイルに、いくつかのサンプル HLR フィルターがあります。HLRデータを収集するには、HLR MOVER を起動する前に、これらのフィルターのい

ずれかまたはすべてを FILTERS ファイルにコピーし、ステータスを ACTIVE に設

定する必要があります。

2. HLR オーディットデータを XYGATEMA に追加すると、HLR イベントごとに 1 対

多のローが生成されるため、データベースのサイズが非常に大きくなります。

重要：

3. すべてを構文解析するために、MOVER のビジー率がとても高くなります。次の

ようにすることを推奨します。

HLRデータが含まれるXMAデータベースを容量の大きいディスクに置き、

それぞれのXMAテーブルの"サイズ"を正しく設定してください。

• HLR MOVER を、60～70 程度の低い優先度にします。設定は MOVER を追加す

る際に行います。

• デフォルトのトランザクションサイズを、300 または 500 程度に変更します。

設定はMOVERを追加した後の、起動する前に行います。XMA_MANAGERで、

[Movers Management Menu]のオプション 12：Alter Database params (85 ペ

ージ)を使用し、表示されるサブメニューで 1: Transaction size

5.7 MOVER パラメーター

を選択します。

XYGATE Merged Audit のリリース 1.90 では、これらのテーブルは使用されません。

データは PARAMS テーブルに格納されます。以前のリリースからアップグレードす

ると、個々の製品のテーブルのデータは変換され、PARAMS テーブルに格納されま

す。

MOVER サーバークラスのパラメーターは、次のテーブルに格納されます。



XYGATE 製品 = XMA_XYMVPARAMSTBL

EMS = XMA_EMSMVPARAMSTBL

HLR = XMA_PARAMSTBL

Safeguard = XMA_SFMVPARAMSTBL

Measure = XMA_MEASMVPARAMSTBL

BASE24 = XMA_B24MVPARAMSTBL

各 MOVER サーバークラスには、所定のパラメーターテーブル内の 1 つ以上のローで

構成される一連のパラメーターが存在します。テーブル内の各ローには、サーバーク

ラスの NAME(名前)、PARAMNAME(パラメーター名)、および PARAMVALUE(パラメ

ーター値)が含まれます。付録 B:｢管理テーブル｣は、各パラメーターテーブルの説明

です。

次の表は、全パラメーターと、各パラメーターを使用する MOVER サーバークラスの

一覧です。

パラメーターの使用 XYGATE SFG Measure EMS BASE24

BACKLOGAGE X X X BACKUPFILE X-R BEGINLCTTIME X X BLOCKALERTS X X X X DELETEPROCESSEDAUDITS X EMSSENDERPROCESSLOOKUP X ENDLCTTIME X X X GMTOFFSET MAXCPUBUSYPCT X X X X MAXEXTENTS X MEASUREINTERVAL X PRIMARYEXTENTSIZE X PRIMARYFILE X-R SECONDARYEXTENTSIZE X SWAPVOL X TRANSACTIONSIZE X X X X TRANSACTIONTIMEOUT X X X X

注： X-R は、パラメーターが必須であることを表します。

BACKLOGAGE <seconds> BACKLOGAGE キーワードは、MAXCPUBUSYPCT 値と一緒に使用します。これら 2つのキーワードは、ピーク時の本番環境での処理を妨害しないようにする役割を果た

します。各 MOVER サーバークラスは CPU アクティビティを検査し、必要があれば

短時間、処理量を抑制します。CPU 使用率が MAXCPUBUSYPCT で指定されたパー



センテージ以上になり、処理されるオーディットレコードが MOVER の

BACKLOGAGE で指定された秒数より古くなると、MOVER は 1～3 秒のランダムな

インターバルで、休止します。このインターバルはランダムに選択されるため、すべ

ての MOVER サーバークラスが同じタイミングで覚醒するわけではありません。

デフォルト値は 0 です。

BACKUPFILE <filename>(必須) BACKUPFILE パラメーターは、MEASURE MOVER には必須です。ノードを含む完

全修飾ファイル名で、バックアップファイルの場所を指定します。

BEGINLCTTIME <yyyy-mm-dd hh:mm:00.000000|-1> このパラメーターは、製品オーディットファイルからの抽出をどこから開始するかを

指定します。–1 という値を使用すると、見つかった最も古いオーディットファイルか

ら抽出処理を開始するよう指定できます。

デフォルト値は-1 です。

BLOCKALERTS {TRUE|FALSE} このパラメーターは、この MOVER サーバークラスでアラートをブロックするかどう

かを指定します。

デフォルトは FALSE です。

注：

第 2 章

すべてのMOVERサーバークラスで一時的にアラートをブロックするには、

FILTERSファイルでGLOBALBLOCKALERTSキーワードを使用します。詳細は、

の｢アラートの追跡｣(55 ページ)を参照してください。

DELETEPROCESSEDAUDITS {TRUE|FALSE} このパラメーターによって、XMA に情報が移動されたら XYGATE 製品のオーディッ

トファイルをパージするかどうかを、MOVER に対して指示します。次の場合、ファ

イルは削除されません。

• 対象となるファイルがアクティブなオーディットファイルである。

• ファイルが先頭から末尾に向かって処理されなかった。この状況は、ファイルの

一部だけが処理されるような値に BEGINLCTTIME が設定された場合に発生しま

す。

• DELETEPROCESSEDAUDITS が真にセットされる前に、ファイルからデータが

抽出された。

このパラメーターのデフォルト値は FALSE (偽)です。

EMSSENDERPROCESSLOOKUP {NONE| LOCALONLY |ALL} EMS MOVER サーバークラスがこのパラメーターを使用します。メッセージを EMSコレクターに送信するプロセスに関する追加情報を取得するかどうかを、MOVER に

対して指示します。



NONE プロセスの追加情報を取得するクエリを実行しません。

ALL 常にクエリを実行して追加プロセス情報を取得します。

LOCALONLY EMS にイベントを送信するプロセスが EMS コレクターと同じノー

ドで実行中である場合は、プロセスの追加情報を取得するクエリを

実行します。

ENDLCTTIME <yyyy-mm-dd hh:mm:00.000000|-1> ある日付のレコードが検出されたら MOVER サーバークラスが処理を停止するように

する場合は、明示的な日付と時刻を指定できます。このサーバークラスが作成され、

履歴オーディット情報を XMA データベースにロードする場合に、明示的な日付と時

刻が使用されます。

–1 という値を使用すると、無期限に処理を継続するよう指定できます。デフォルト値

は-1 です。

GMTOFFSET {[+/- <minutes>]|CUR|REM} このパラメーターは、BEGINLCTTIME および ENDLCTTIME と一緒に使用します。1つ以上のノードが異なるタイムゾーンに存在する場合に使用します。デフォルト値は

CURRENT です。

CUR、または CURRENT CUR または CURRENT は、BEGINLCTTIME と ENDLCTTIME が関連する日付比較に

MOVER が実行中のノードの現在のシステム時間を使用するよう指示します。通常の

状況では、MOVER サーバークラスは、指定された XYGATE または Safeguard のイ

ンストール環境と同じノードで実行されます。

REM、または REMOTE MOVER サーバークラスオブジェクトが指定された XYGATE または SAFEGUARD の

インストール環境と同じノード上で実行中でない場合は、REM または REMOTE によ

って MOVER サーバークラスオブジェクトに対し、BEGINLCTTIME と ENDLCTTIMEが関連する日付比較でオーディットデータが生成されるノードの時間を使用するよう

に指示します。

+/– <minutes> 抽出されるデータが、元々はそのデータが現在置かれている以外のノードで作成され

たものである場合は、+/– nnnn を指定することで、BEGINLCTTIME および

ENDLCTTIME が関連する日付比較で指定した秒数をグリニッジ標準時からプラスま

たはマイナスした時間を使用するように、MOVER サーバークラスに対して指示しま

す。

MAXCPUBUSYPCT <%> XMA がピーク時の本番環境での処理を妨害しないようにするために、各 MOVER サ

ーバークラスは CPU アクティビティを検査し、必要があれば短時間、処理量を抑制

します。このパラメーターは、BACKLOGAGE と一緒に使用します。CPU 使用率が



指定されたパーセンテージ以上になり、処理されるオーディットレコードが

BACKLOGAGE で指定された秒数より古くなると、MOVER は 1～3 秒のインターバ

ルで休止します。このインターバルはランダムに選択されるため、すべての MOVERサーバークラスが同じタイミングで覚醒するわけではありません。

有効な値の範囲は 1～100 パーセントです。

デフォルト値は 80 パーセントです。

5.7.1 MEASURE 関連のパラメーター次のパラメーターは、MEASURE MOVER だけで使用します。

MAXEXTENTS <number> MEASURE MOVER サーバークラスは、プライマリとバックアップのデータファイル

の作成時に、このパラメーターを使用して、それぞれのデータファイルの最大エクス

テント数を指定します。


MEASUREINTERVAL <seconds> MEASURE MOVER サーバークラスがこのパラメーターを使用します。MEASURE デ

ータの収集頻度を指定するために使用します。

デフォルトは 300 秒(5 分)です。

PRIMARYEXTENTSIZE <number> MEASURE MOVER サーバークラスがこのパラメーターを使用します。プライマリと

バックアップのデータファイルのプライマリエクステントサイズです。


PRIMARYFILE <file name> MEASURE MOVER サーバークラスがこのパラメーターを使用します。これは必須パ

ラメーターです。ノードを含む完全修飾ファイル名を指定してください。

これは必須パラメーターです。

SECONDARYEXTENTSIZE <number> MEASURE MOVER サーバークラスがこのパラメーターを使用します。プライマリと

バックアップのデータファイルのセカンダリエクステントサイズです。


SWAPVOL MEASURE MOVER サーバークラスがこのパラメーターを使用します。有効なサブボ

リューム名を指定する必要があります。



デフォルトは、MEASURE MOVER サーバークラスオブジェクトのサブボリュームロ

ケーションです。

5.7.2 TMF 関連のパラメーター次の 2 つのパラメーターは、TMF 処理を制御するために使用されます。

TRANSACTIONSIZE <number> このパラメーターは、各 TMF トランザクション内で処理されるローの数を指定しま

す。

デフォルトは 1000 ローです。

TRANSACTIONTIMEOUT <seconds> このパラメーターは、TRANSACTIONSIZE と一緒に使用します。

TRANSACTIONSIZE で指定されたロー数には達していないものの、指定した秒数が

最後のトランザクションが開始してから経過した場合は、トランザクションが完了し

ます。この値を、TMF 内の AUTOABORT 値よりも小さい値にセットしてください。

デフォルトは 120 秒(2 分)です。

注：

5.8 時間範囲

MOVERパラメーターテーブル内のいずれかのMOVERサーバークラスパラメー

ターを変更した場合に新しいパラメーター値を有効にするには、MOVERサー

バークラスをフリーズして停止してから、フリーズを解除して再起動する必要

があります。

XMA を初めてインストールする場合に、履歴データを収集したい場合があります。こ

の目的のためだけに特別な MOVER サーバークラスを作成し、現行データを処理する

別の MOVER サーバークラスを作成することを推奨します。

例：

Serverclass Name = XAC-NODE1-HIST BEGINLCTTIME 2007-01-01 00:00:00.000000 ENDLCTTIME 2007-03-31 23:59:59.000000 Serverclass Name = XAC-NODE1-01 BEGINLCTTIME 2007-04-01 00:00:00.000000 ENDLCTTIME -1

上記の例では、当日の日付である 2007 年 4 月 1 日を基準にして、この年の初日以降

に生成された XAC のオーディットデータを処理します。

MOVER サーバークラス XAC-NODE1-HIST は、日付が 2007 年 1 月 1 日～2007 年 3月 31 日までのすべてのオーディットレコードを処理します。MOVER サーバークラ

ス XAC NODE1-01 は、2007 年 4 月 1 日以降のデータのすべてのオーディットレコー

ドを処理します。



注：

5.9 MOVER に関する問題のトラブルシューティング

履歴データを収集する場合は、BLOCKALERTSパラメーターをONにセットする

ことを推奨します。ONにセットしないと、何か月も前に実行されたアクション

に対してアラートがMOVERによって生成されることになります。アラートが

生成されるはずだったレコードについては、AUDIT DETAILテーブルのALERTカラムに'B'とマークされます。

データテーブルが一杯であるためにMOVERが異常終了した場合は、CLEANUPまたは

ARCHIVEを使用して古いデータの一部を削除してから、FUP RELOADを実行して空

き領域を確保する必要があります。短期的にデータテーブルのサイズを大きくするこ

とや、古いレコードを留保することを検討してください。詳細については、第 7 章

「XMAデータベースの管理」(131 ページ～)を参照してください。

MOVER が TMF エラーによって異常終了した場合は、TMF の問題を解決してから、

MOVER を再起動する必要があります。MOVER の数が関係する場合は、Pathway を

停止して再起動するのが簡単な方法です。そうすることで、すべての MOVER が同時

に再起動されます。

リモート MOVER が EXPAND エラーによって異常終了した場合は、EXPAND の問題

を解決してから、MOVER を再起動する必要があります。MOVER の数が関係する場

合は、Pathway を停止して再起動するのが簡単な方法です。そうすることで、すべて

の MOVER が同時に再起動されます。

MOVERのステータスを確認し、ステータスが"Waiting for work" (処理待ち)である場

合には、MOVERがターゲット製品のオーディットログを読み取れない可能性があり

ます。その製品のオーディットログが、XMAオーナーによる読み取りアクセスが可能

なセキュリティに設定されていることを確認してください。詳細は、第 6.5 節の

「SafeguardのEMSエラーメッセージ」(127 ページ～)を参照してください。


第6章 Safeguard の選択基準

本章では、Safeguard イベントのフィルターおよびレポートの作成に有用な

Safeguard オーディットレコードに関する情報について説明します。

6.1 Safeguard OBJECTTYPE 特定のタイプの Safeguard オブジェクトへのアクセスをモニターする場合は、

OBJECTTYPE を使用できます。たとえば、Safeguard グローバルパラメーターの変

更時にアクションを生成する場合は、AUDIT.OBJECTTYPE = SAFEGUARD-CONFIGを選択します。

カテゴリー別の Safeguard OBJECTTYPE

カテゴリー OBJECTTYPE

Protection Record-related– 保護

対象のオブジェクトへのアクセ

スではなく、保護レコードの変

更をモニターする場合は、この

カテゴリーを使用します。

ACL-DEVICE ACL-PROCESS ACL-VOLUME

ACL-DISKFILE ACL-SUBDEVICE ACL-SUBPROCESS

ACL-SUBVOLUME ACL-DISKFILE-PATTERN ACL-OBJECTTYPE

Safeguard Globals SAFEGUARD-CONFIG

Safeguard Audit Configuration AUDIT-POOL

Safeguard SEEP Configuration SEEP

Safeguard 端末 SG-TERMINAL

Object-related – 保護レコード

ではなく、オブジェクトへのア

クセスをモニターする場合は、

このカテゴリーを使用します。

ALIAS DEVICE PROCESS VOLUME

DISKFILE USER SUBDEVICE

SUBPROCESS SUBVOLUME DISKFILE-PATTERN

User-Related ALIAS USER REMOTE-PASSWORD

Client related (Other subsystems) (この OBJECTTYPE のすべて

が、Safeguard オーディットト

レイルで実際に使用されている

わけではありません。詳細につ

いては、HP Safeguard のマニ

ュアルを参照してください。)

SQL-CATALOG SQL-TABLE TAPE-MOUNT TMF-AUDIT-DUMP TMF-BACKOUT TMF-DUMP TMF-TRAN

SQL-INDEX SQL-VIEW TAPE-VOLUME TMF-AUDIT-TRAIL TMF-CATALOG TMF-TAPE-VOLUME

XYGATE Merged Audit®リファレンスマニュアル第 6 章. Safeguard の選択基準


カテゴリー別の Safeguard OBJECTTYPE

カテゴリー OBJECTTYPE

OSS-related OSS-DISKFILE DIRECTORY GROUP

OSS-FILESET PATH TTY

Other – (この OBJECTTYPE の

すべてが、Safeguard オーディ

ットトレイルで実際に使用され

ているわけではありません。詳

細については、HP Safeguardのマニュアルを参照してくださ

い。)

COMMAND FIFO PROCESSGROUP SOCKET SYMLINK CONTROLLER

GENERIC-CONFIG SHARED-SEGMENT SUBSYSTEM SYSTEM-DEVICE UNKNOWN

6.2 Safeguard の操作特定のアクティビティをモニターする場合は、OPERATION カラムを使用します。

Safeguard の操作テープに予

約された操

作

TMF に予約され

た操作 SQL に予約さ

れた操作

ABORT ACCEPT ACCESS AUTHENTICATE BACKOUT CHANGE CHANGE-OWNER CHANGE-PRI CHANGE- STEPMOM CLOSE COMPOSITE CREATE DEBUG EXECUTE GIVE KILL LICENSE LINK LOGOFF LOGON

NEWPROCESS NEXTFILE OPEN OSS-RESOLVE OTHER PROGID PURGE READ REJECT RELEASE RENAME RESET REVIVE SECURITY SET START STOP SUSPEND UNKNOWN UPDATE VERIFYUSER WRITE

NEXTTAPE SCRATCH USETAPE

ADD ALTER DELETE ENABLE EXCLUDE INITIALIZE NEXT ONLINEDUMP RESOLVE ROLLFORWARD

GRANT INSERT REFERENCE REVOKE SELECT



ADD、ALTER、および DELETE 操作は、TMF に予約されています。「add user …」

と入力しても、この操作は CREATE として記録されます。

入力内容オーディットトレイルの記録内容 Add Alter Delete Logon

CREATE CHANGE PURGE VERIFYUSER

Safeguard の操作に関する注意： VERIFYUSER この操作では、Safeguard によるユーザーの認証時にオーディット

レコードが書き込まれます。

AUTHENTICATE この操作では、Safeguard 以外の製品によるユーザーの認証時にオ

ーディットレコードが書き込まれます。Netbatch、XAC、XUA イ

ベントのいずれでも、AUTHENTICATE レコードが生成されます。

LOGON HP のドキュメントによると、この操作は将来使用するために予約

されています。

UPDATE ファイルの内容を変更すると、この操作は UPDATE として記録さ

れます。

機密性の高いファイル(顧客 PIN の保存先など)が変更されるたびに

アラートを生成する場合は、UPDATE 操作を選択します。

注：

6.3 Safeguard メッセージコード

既存のキーワード値を同じ値に変更する(たとえば、値が 10 である場合に、

"alter safeguard, PASSWORD-HISTORY 10"を実行する)と、プライマリレコー

ドのみが表示され、前レコードおよび後レコードは表示されません。この原因

は、変更が実際には実行されなかったことが検出される前に、プライマリレコ

ードが書き込まれるためです。

実際の OUTCOME はオーディットトレイルに番号(メッセージコード)として保存され

ます。モニターするレコードがメッセージコードで一意に識別される場合は、メッセ

ージコードに基づくオーディットレコードの選択が有用である可能性があります。

たとえば、ユーザーパスワードの期限切れが原因で拒否されたログインのみをモニタ

ーする場合は、AUDIT.MESSAGECODE = 401 のレコードを選択できます。

また、ユーザーID のフリーズが原因で拒否されたログインのみをモニターする場合は、

AUDIT.MESSAGECODE = 404 のレコードを選択できます。



番号順のメッセージコード： 400 – user valid 451 – denied 500 – Password too short 401 – password expired 452 – maybe 501 – Password too long 402 – user expired 453 – passed 502 – Password qual denied 403 – user failed 454 – failed 503 – Password qual reject 404 – user frozen 455 – no record 504 – Password invalid 405 – password invalid 456 – other 505 – Password embedblanks 406 – user invalid 457 – partial success 506 – Password criteriafail 450 – granted 458 – pending 507 – Password too soon 459 – warning 508 – Password duplicate

"454 – Failed"は拒否ではありません。アクセスが許可された一方で、セキュリティ上

の原因で操作が失敗したことを表します。通常、OUTCOME 454 は、BACKUP など

のプログラムで、開いたファイルの読み取りが失敗すると発生します。

下記の表はメッセージコードの分類について説明します。

Safeguard OUTCOME および関連のメッセージコードカテゴリー Safeguard

OUTCOME メッセー

ジコード Successful アクセス試行の成功を表す異なるすべての OUTCOME。フ

ィルターまたはレポートで AUDIT.OUTCOME = 1 を選択す

ると、このカテゴリーのいずれかの OUTCOME を含むオー

ディットレコードが選択されます。

Granted UserValid Passed

450 400 453

Fails アクセス試行の失敗を表す異なるすべての OUTCOME。フィルターまたはレポートで AUDIT.OUTCOME = 3 を選択

すると、このカテゴリーのいずれかの OUTCOME を含むオ

ーディットレコードが選択されます。

Denied Failed Maybe Other PartialSuccess Pending UserExpired UserFailed UserFrozen UserInvalid UserPwExpired UserPwInvalid

451 454

452 456 457 458

402 403 404 406 401 405



Safeguard OUTCOME および関連のメッセージコードカテゴリー Safeguard

OUTCOME メッセー

ジコード Authentication-Related UserExpired

UserFailed UserFrozen UserInvalid UserPwExpired UserPwInvalid UserValid

402 403 404 406 401 405 400

警告は、Safeguard が警告モードである場合のみ表示されま

す。 No Record は、Safeguard で保護されていないオブジェクト

のアクセス試行を表します。Safeguard が警告モードである

場合は、すべてのアクセス試行が No Record に変換され、判

定がファイルの Guardian セキュリティ文字列に基づいて実

行されます。

Warning Norecord

459 455

Unhelpful XMA に付属する$IGNORE-UNWANTED-SFG-CODES フィ

ルターでは、このカテゴリーの OUTCOME を含むオーディ

ットレコードが XMA データベースに書き込まれません。

Failed Maybe Other PartialSuccess Pending

454 452 456 457 458

次のページの例 1 に記載された段落 1 の DATA_SELECT は有用な情報を含まない

Safeguard オーディットレコードを XMA データベースに書き込まないフィルターで

す。このフィルターでは、XMA データベースを大幅に圧縮できます。"有用でない"オーディットレコードはメッセージコードで一意に識別されるため、Safeguard メッセ

ージコードに基づいて IGNORE フィルターを作成できます。



段落 2～5 の DATA_SELECT では、有用でないメッセージを含むセカンダリレコード

がメッセージ‘D’で削除されます。

例 1：有用でない Safeguard レコードを無視するフィルター

FILTERDEFBEGIN $IGNORE-UNWANTED-SFG-RECS STATUS ACTIVE ! $IGNORE-UNWANTED-SFG-RECS ! Safeguard Message Codes: ! 450 = granted | 455 = no record ! 451 = denied | 456 = other ! 452 = maybe | 457 = partial success ! 453 = passed | 458 = pending ! 454 = failed | 459 = warning MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = SAFEGUARD MOVER_SELECT_END MOVER_END DATA_BEGIN !Filter out uninformative Safeguard message codes: DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.MESSAGECODE LIKE "(452|453|454|456|457|458|459)" DATA_SELECT_END !Ignore the redundant,uninformative OSS records: DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OPERATION = EXECUTE AUDIT.OBJECTTYPE LIKE "OSS-DISKFILE|DIRECTORY)" AUDIT.MESSAGEID LIKE "(52|55)" DATA_SELECT_END !Ignore the redundant,uninformative DISKFILE-PATTERN records: DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OBJECTTYPE = DISKFILE-PATTERN AUDIT.MESSAGEID = 52 DATA_SELECT_END !Ignore the 2ndary records for READ accesses DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OPERATION = READ AUDIT.MESSAGEID = 54 DATA_SELECT_END !Ignore the 2ndary records for add/delete ACLs DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OPERATION LIKE "(CREATE|PURGE)" AUDIT.OBJECTTYPE CONTAINS "ACL-" AUDIT.MESSAGEID LIKE "(53|56)" DATA_SELECT_END DATA_END ACTIONCOLL_BEGIN ACTION_BEGIN ACTIONTYPE IGNORE ACTION_END ACTIONCOLL_END FILTERDEFEND

1

2

3

4

5



注：

MOVER パラメーターを作成すると、No Record を無視できます。デフォルト

では、No Record が無視されます。このため、システムまたは個別の保護レコ

ードが警告モードである場合は、No Record を無視しないように MOVER パラ

メーターを変更しないと、XMA データベースのオーディットレコードにファイ

ルアクセスできません。

Safeguardが警告モードである場合は、すべてのアクセス試行がNo Recordに変

換されます。

No R ecordを無視しないようにMOVERパラメーターを変更する手順については、

第 5 章「MOVERの構成」(93 ページ～)を参照してください。

6.4 Safeguard MessageID 1 件の Safeguard イベントでは、1 件のプライマリレコードおよび 0 件以上のセカン

ダリレコードが生成されます。このようなレコードは、MessageID で識別されます。

Safeguard MessageID Msg ID レコード

タイプ説明

51 Primary このレコードはユーザーおよびオブジェクトの保護レコードの変更

以外のすべてに関する有用な情報を含んでいます。変更したパラメ

ーターを表すレコードのアラートを生成する場合は、レコード 55 ("後")を使用します。

52 Secondary DISKFILE-PATTERN のすべての情報は、このレコードに追加されま

す。有用でないセカンダリレコードを除外するには、この

MessageID を使用します。レポートまたはアラートを生成する必要

があるすべてのレコードは、Primaryに含まれています。

53 Secondary 追加/作成。ユーザーレコードまたは保護レコードを追加すると、1件のレコード 53 がレコードのフィールドごとに生成されます。たと

えば、ユーザーを追加すると、多数のセカンダリレコード 53 が生成

されます。ユーザーレコードまたは保護レコードの追加を確認する

場合は、プライマリレコード(51)を選択します。

54 Secondary このタイプは保護レコードまたはユーザーレコードの変更に関する"前"のセカンダリレコードです。XMA では、すべての有用な情報を次

の 1 件のレコード"Password History 2 to 10"に含まれるように、こ

のタイプを"後"のレコード(55)と組み合わせます。

55 Secondary このタイプは保護レコードまたはユーザーレコードの変更に関する"後"のレコードです。XMA では、すべての有用な情報が 1 件のレコー

ドに含まれるように、このタイプを抑制し、"後"のレコード(55)と組

み合わせます。このレコードタイプは LOGOFF 操作に使用され、新しいファイル名

は RENAME 操作に使用されます。



Safeguard MessageID Msg ID レコード

タイプ説明

56 Secondary 削除 – レコード 56 が削除したレコードのフィールドごとに生成され

ます。ユーザーレコードまたは保護レコードの削除を確認する場合

は、プライマリレコード(51)を選択します。

57 Secondary Authentication-Related のセカンダリレコード。

注：

124

XSR 2.23 以降では、Safeguardの保護レコードを含むディスクファイルに読み

取りアクセスすると、MessageID 54 のレコードも生成されます。このレコー

ドは、SAFEARTの出力に一致します。保護レコードの各フィールドには、セ

カンダリレコード 54 が追加されます。場合によって、このレコードをXMAデータベースから除外します。ページの例 1 を参照してください。

MessageID を使用すると、有用な情報を含むオーディットイベントのレコードを選択

できます。

ユーザーレコード、エイリアスレコード、グローバルレコード、またはすべてのタイ

プの保護レコードが追加または削除されるたびに電子メールを送信する場合は、確認

する必要があるすべての情報、つまり、どのユーザーがどのレコードを作成/パージし

たかが保護レコードの AUDIT.RESULT カラムに表示されます。このため、

AUDIT.MESSAGEID = 51 のオーディットレコードのみを選択して電子メールを生成

すると、操作対象の有用な情報が受信者に送信されます。

ただし、ユーザーレコードまたはエイリアスレコード(あるいは、すべてのタイプの保

護レコード)が変更されるたびに電子メールを送信する場合は、どのような情報が変更

されたかではなく、オブジェクトが変更されたことのみがプライマリレコードの

AUDIT.RESULT カラムに表示されます。どのような変更が実行されたかを表すレコ

ードはレコード 55 であるため、AUDIT.MESSAGEID = 51 のオーディットレコードを

電子メールまたはレポートに使用します。例 2：Safeguard 設定の変更を取得するフィルター FILTERDEFBEGIN $CHANGES-TO-SFG-CONFIG ! Includes Protection Records, Globals, Audit and SEEP config STATUS ACTIVE ! $CHANGES-TO-SFG-CONFIG MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = SAFEGUARD MOVER_SELECT_END MOVER_END DATA_BEGIN ! Alert on the 51 (Primary)record for adds and deletes DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OBJECTTYPE LIKE "(SAFEGUARD-CONFIG|SEEP|AUDIT-POOL)" AUDIT.OPERATION LIKE "(CREATE|PURGE)" AUDIT.MESSAGEID = 51 DATA_SELECT_END ! or ... DATA_SELECT_BEGIN !Because can't wildcard with the CONTAINS operator, use a separate



!paragraph to select the Protection Records FILTERTYPE STRINGFILTER AUDIT.OBJECTTYPE CONTAINS "ACL" AUDIT.OPERATION LIKE "(CREATE|PURGE)" AUDIT.MESSAGEID = 51 DATA_SELECT_END ! or ... ! Alert on the 55 (2ndary)record for changes DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OBJECTTYPE LIKE "(SAFEGUARD-CONFIG|SEEP|AUDIT-POOL|ACL.*)" AUDIT.OPERATION = CHANGE AUDIT.MESSAGEID LIKE "^(54|55)$" DATA_END

上記の例 2 は、Safeguard グローバル、オーディットプール、SEEP、または保護レ

コードの追加、変更、または削除を選択するフィルターを表します。このようなイベ

ントは、OBJECTYTYPE および OPERATION で一意に識別されます。

AUDIT.RESULT カラムに有用な情報を含むレコードを MessageID で選択します。

CREATE および PURGE の場合は、プライマリレコード 51 の AUDIT.RESULT カラ

ムにイベントに有用なすべての情報が含まれています。CHANGE の場合は、レコー

ド 54 または 55 に有用な情報が含まれています。

すべての保護レコードの OBJECTTYPE 名の先頭が文字列 ACL であるという事実を

利用し、エントリをワイルドカード検索できるように LIKE 演算子を使用する場合は、

各タイプの保護レコードを個別に定義する必要はありません。

6.5 Safeguard の EMS エラーメッセージ下記のメッセージは、Safeguard のオペレーターメッセージマニュアルに記載されて

います。

ア

イ

テ

ム

番

号

レポート

元のプロ

セス

メッセージの生成元のイベント

メッセージテキスト

1 zsmp SFG と NSK のバージョン

の不一致 “process-name:NonStop Kernel/Safeguard versions (K-version/SFG-version) are incompatible”

2 zsmp SFG サブシステムファイ

ルの作成 “process-name:created Safeguard file:<filename>”

3 zsmp SMON または SEEP プロ

セスの起動 "process-name:Created Safeguard process:<SMON/SEEP proc-name>"

4 zsmp SMON または SEEP プロ

セスの停止 "process-name:Stopped Safeguard process:<SMON/SEEP proc-name> by user at terminal <terminal>"



ア

イ

テ

ム

番

号

レポート

元のプロ

セス



5 zsmp SFG 設定パラメーターの

変更 "process-name:Safeguard configuration token <token> changed from <before> to <after>

6 zsmp オーディットファイルのロ

ールオーバー "process-name:Audit file <file1> has been closed; audits are now directed to <file2>."

7 zsmp オーディットサービスステ

ータスの変更 "process-name:Safeguard audit state change. Previous state:<prior state> Current state:<current state>"

8 zsmp オーディットプールの最後

のファイルの使用中 “process-name:The last audit file aud-file of audit pool subvol-name is now in use. Current state:<current state>" Pending state:<pending state>

9 zsmp オーディットプールの最後

のファイルの使用量 "process-name:The last audit file <aud-file> of audit pool <subvol > is now pcnt <percent> filled. Current state:<current state> Pending state:<pending state>"

10 zsmp オーディットファイルの解

放 “process-name:Safeguard audit file <aud-file> has been released for later reuse”

11 zsmp オーディットファイルの再

利用(解放済みのファイル

の使用中)

“process-name:Safeguard audit file aud-file has been recycled for reuse”

12 zsmp SMON プロセスの誤った

名前 “Safeguard OSMON was started with wrong name”

13 zsmp Safeguard サブシステムフ

ァイルの誤ったコードまた

はタイプ

"process-name:Unusable Safeguard file:<filename> <filerole>

14 zsmp SEEP の異常終了 "process-name:process SEEP-proc terminated abnormally"

15 zsmp SEEP 設定の変更 "process-name:Event-Exit-Process <SEEP-name> configuration token <token> changed from <old-val> to <new-val> by user

16 zsmp Safeguard による SEEP の

起動失敗 “process-name:Stopping process SEEP-proc not started by Safeguard”



ア

イ

テ

ム

番

号

レポート

元のプロ

セス



17 zsmp SEEP のファイルエラーの

発生 "process-name:Event-Exit-Process SEEP name (<SEEP-proc>) message reply EE^HDR^ERROR <errno>

18 zsmp SEEP の無効なメッセージ

のリターン "process-name:Event-Exit-Process SEEP-name (<SEEP-proc>) message reply is invalid, reason:<reason>"

19 smon SMON による正しいオー

ディットファイルの検出失

敗

"process-name:Cannot determine audit file name from $ZSMP.No auditing will be done until after $ZSMP opens a new audit file.Deny Grants will be enforced if configured."

20 zsmp $CMON の実行失敗 "process-name:SAFEGUARD configured with CMON=ON but $CMON not running."

21 smon SMON の仮想ディスクフ

ァイルエラーの発生 “process-name:Due to an error <errno> on SAFEGUARD file: filename (physical name:<phys-name>) no file access allowed on this virtual disk."

22 smon SFG サブシステムファイ

ルのロック(セキュリティ

エラーの可能性)

"process-name:Lock found on SAFEGUARD file:<filename> Lock details:<description>"


第7章 XMA データベースの管理

XMA の SQL データベースは、熟知したデータベース管理者が管理する必要がありま

す。データテーブルの空き容量を確保し、クエリの効率性を維持するには、複数のタ

スクを定期的に実行する必要があります。

1. アーカイブプロセスまたはクリーンアッププロセスによる古いレコードの削除

(136 ページ)

2. FUPリロードの実行(138 ページ)

3. 統計の更新(138 ページ)

4. データテーブルのサイズ変更(138 ページ)

5. XMAデータベースのパーティション分割(140 ページ)

注： C10: Audit Trailテーブル(AUDDET、付録 )またはAudit Sessionテーブル

(AUDSESS、付録C9:)を別のドライブに移動する場合や、これらのいずれ

かのテーブルをパーティション分割する場合は、AUDDETとAUDSESSのど

ちらのテーブルについても、プライマリパーティションをXMADATサブボ

リュームに置く必要があります。

7.1 古いレコードの削除古いデータレコードは、データを保持するかどうかに応じて、2 つの方法で本番環境

の XMA データベースから削除できます。

• 削除するデータを保持する場合は、アーカイブプロセスを使用する必要がありま

す。詳細は、第 7.1.2 節｢XMAデータベースのアーカイブ｣(134 ページ)を参照して

ください。

• 削除するデータを保持しない場合は、クリーンアッププロセスを使用します。詳

細は、第 7.1.3 節｢クリーンアップによる古いデータレコードの削除｣(136 ページ)を参照してください。

7.1.1 選択的なアーカイブおよびクリーンアップ XMA データベースでは、特定のオーディットレコードをさまざまな期間、保持できま

す。たとえば、60 日を超過した履歴データを定期的に削除する一方で、オーディット

要件でユーザーレコードの追加および削除に関する情報を 5 年間保持する必要がある

場合は、OPERATION が CREATE または PURGE である Safeguard レコードを選択

するフィルターを作成し、RETAIN_MONTHS または RETAIN_DAYS キーワードでレ

コードの保持期間を設定します。

XYGATE Merged Audit®リファレンスマニュアル第 7 章 XMA データベースの管理


アーカイブプロセスおよびクリーンアッププロセスでは、PRODUCT が FILEMAINTである MOVER 段落を含むフィルターがチェックされます。ACTIONTYPE が

RETAIN である MOVER 段落が検出され、RETAIN_DAYS または RETAIN_MONTHSキーワードの値がチェックされ、フィルターのデータ選択基準に一致する XMA デー

タベースのオーディットレコードが適宜に処理されます。

MOVER では、FILEMAINT フィルターが無視されます。アーカイブプロセスおよびク

リーンアッププロセスでは、FILEMAINT フィルターのみが読み取られます。このた

め、長期間 XMA データベースに保持するオーディットイベントのアラートを生成す

る場合は、選択基準が同じである一方で MOVER 基準および ACTION 段落が異なる 2つの MOVER を作成する必要があります。

選択的なアーカイブまたはクリーンアップの設定に使用されるフィルターは、下記の

段落で設定する必要があります。

RETAINパラメーター

• PRODUCT が FILEMAINT である MOVER 段落

• 下記の ACTION 段落

1. ACTIONTYPE が RETAIN である。

2. RETAIN_MONTHS または RETAIN_DAYS キーワードを含む。

FILEMAINT FILEMAINT キーワードは選択的なアーカイブまたはクリーンアッ

プの実装に使用されます。PRODUCT が FILEMAINT である

MOVER 段落を含むフィルターは、ACTIONTTYPE が RETAIN で

ある ACTION 段落も含んでいる必要があります。

RETAIN フィルターのデータ選択基準に一致するオーディットレコードを

保持する期間を定義する ACTIONTYPE。

RETAIN_DAYS フィルターの選択基準に一致するオーディットレコードをアーカ

イブまたはクリーンアップで削除する前に、XMA データベースに

保持する日数。

日数を 1～5500 (15 年)までの数値で入力するか、｢永続的に削除

されない｣ことを表す–1 を指定します。

RETAIN_MONTHS フィルターの選択基準に一致するオーディットレコードをアーカ

イブまたはクリーンアップで削除する前に、XMA データベースに

保持する月数。

数字 1～180 (15 年)または -1 (削除しない)で月数を入力します。

PRODUCT が FILEMAINT であるフィルターには、他の MOVER 段落を追加できませ

ん。

RETAIN_DAYS キーワードと RETAIN_MONTHS キーワードは、相互に排他的です。

同じフィルター内ではどちらか一方だけを使用でき、両方は使用できません。



下記の例 1 では、OPERATION が GET または PUT であるカード所有者のデータを含

むデータベースへの FTP アクセスの XHE オーディットレコードが、5 年間保持され

ます。電子メールアラートの送信など、別のアクションを実行する場合は、選択基準

が同じであり、MOVER が XYGATEHE である別のフィルターを追加する必要があり

ます。

例 1：

FILTERDEFBEGIN $RETAIN-DATABASE-GETS-PUTS STATUS ACTIVE MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = FILEMAINT MOVER_SELECT_END MOVER_END DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.PRODUCTCODE = XYGATEHE AUDIT.OPERATION LIKE "(GET|PUT)" AUDIT.OBJECTTNAME LIKE "^\$DATA.*\.PRODDAT\..*" DATA_SELECT_END DATA_END ACTIONCOLL_BEGIN ACTION_BEGIN ACTIONTYPE RETAIN RETAIN_MONTHS 60 ! (5yr x 12mo) ACTION_END ACTIONCOLL_END FILTERDEFEND

例 2 では、ユーザー管理のオーディットレコードが、10 年間保持されます。データを

"永続的"に保持する場合は、–1 (削除しない)を使用します。例 2：

FILTERDEFBEGIN $RETAIN-USER-MAINT-RECORDS STATUS ACTIVE ! $RETAIN-USER-MAINT-RECORDS MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = FILEMAINT MOVER_SELECT_END MOVER_END DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.PRODUCTCODE = SAFEGUARD AUDIT.OBEJECTTYPE LIKE "(USER|ALIAS)" AUDIT.OPERATION LIKE "(CREATE|PURGE)" AUDIT.MESSAGEID = 51 DATA_SELECT_END DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OBJECTTYPE LIKE "(USER|ALIAS|REMOTEPASSWORD)" AUDIT.OPERATION = CHANGE AUDIT.MESSAGEID LIKE "^(54|55)$" DATA_SELECT_END DATA_END ACTIONCOLL_BEGIN ACTION_BEGIN



ACTIONTYPE RETAIN RETAIN_DAYS 3650 ! (365 x 10yrs) ACTION_END ACTIONCOLL_END FILTERDEFEND RETAIN_DAYS –1 -または-

電子メールアラートの送信など、別のアクションを実行する場合は、選択基準が同じ

であり、MOVER が Safeguard である別のフィルターを追加する必要があります。

RETAIN_MONTHS -1

7.1.2 XMA データベースのアーカイブアーカイブでは、本番環境の XMA データベースからレコードが削除され、削除する

データを保存する新しいテーブルセットが作成されます。アーカイブデータテーブル

は、継続的に開いているわけではないためバックアップできます。

アーカイブプロセスを実行するたびに、新しいアーカイブテーブルセットが作成され

ます。アーカイブプロセスの進行状況はアーカイブログテーブル(ARCLOG)に記録さ

れます。

アーカイブの作成 [Database Management Menu]のオプション 5：List Archive tasks

[Database Management Menu]のオプション

(89 ページ)を選択

すると、データを手動でアーカイブできます。

16：Auto Archive Setup

例 1：XMA_MANAGER によるアーカイブ構成の例

(89 ページ)で、

アーカイブをスケジュールできます。アーカイブがスケジュールされると、ハウスキ

ーパーサーバーによって、定義した間隔で起動されます。

1: Archive Interval (M[ONTHLY]/W[EEKLY]/D[ISABLED]) :MONTHLY 2: Auto Archive Start Date :2011-03-16 3: Auto Archive Start Time :00:00 4: Data retention Days before archiving :90 5: Archive Location :\X.$VHLH.P28HL18B 6: Archive Tables Security :* 7: Spooler Location for output :$s.#archive X:Exit R:Run To clear an option that can be cleared, select it and then enter '*' Selection ?



選択オプション説明 1: Archive Interval (M[ONTHLY]/W[EEKLY]/D[ISABLED])

アーカイブ処理の頻度を指定します。

2: Auto Archive Start Date アーカイブを実行する最初の日付。

3: Auto Archive Start Time アーカイブを実行する時刻。

4: Data retention Days before archiving

XMA データベースに保持する日数。

5: Archive Location アーカイブレコードを格納するサブボリュー

ム。

6: Archive Tables Security アーカイブテーブルに割り当てるセキュリテ

ィ。

7: Spooler Location for output デフォルトは $s.#archiveです。

R:Exit [Database Management Menu]に戻ります。

X:Run 自動アーカイブパラメーターをセットアップ

します。

下記の例 2 と同様のバッチジョブを作成すると、XMA_MANAGER の外部でアーカイ

ブプロセスを自動化できます。このジョブでは、XMA に付属し、インストールサブボ

リュームに存在する ARCMAC マクロが呼び出されます。

例 2：アーカイブジョブファイルのサンプル

Run <$vol>.<subvol>.xma install Run <<$vol>.<subvol>.ARCMAC

ARCMAC は、XMA に付属し、インストールサブボリュームに存在します。このマク

ロをカスタマイズすると、本番環境のデータベースから削除するデータの日付範囲を

アーカイブテーブルセットに定義できます。このマクロの内容は以下の例 3 のとおり

です。

例 3：ARCMAC マクロの内容

=================================================================== == Macro to run Archive Macro BATARCH == == Note Regarding Process Type: == == - indicates to create a new set of archive tables == == * indicates restart all stopped archive processing == == ##### Add archive data to existing set of archive tables == =================================================================== ?tacl routine #frame [#push t_begin_dt t_end_dt ] XMA_datetime_make <days> #set t_begin_dt [XMA_dt_year4]-[XMA_dt_month]-[XMA_dt_day] XMA_datetime_make <days> #set t_end_dt [XMA_dt_year4]-[XMA_dt_month]-[XMA_dt_day]



[$<vol>.<SUBVOL>.batarch - == Process type -/*/###### [t_begin_dt] == Begin Date 00:00:00 == Begin Time [t_end_dt] == End Date 23:59:59 == End Time <add archive subvol> == Archive Location <add description here> == Archive Description ] #unframed

古いアーカイブの削除 [Database Management Menu]のオプション 10または 11を使用して、古いアーカイ

ブテーブルを手動で削除できます。第 4.5 節「Database Management Menu」(88 ペ

ージ)を参照してください。

下記の例 1 と同様のバッチジョブを作成すると、古いアーカイブの削除も自動化でき

ます。このジョブでは、アーカイブするデータレコードを選択する ADELMAC マクロ

が呼び出され、XMA に付属し、インストールサブボリュームに存在する BARCDELプログラムが呼び出されます。

例 1：アーカイブクリーンアップジョブファイルのサンプル Run <$vol>.<subvol>.Run <<$vol>.<subvol>.

xma install

ADELMAC は、XMA に付属し、インストールサブボリュームに存在します。削除す

るアーカイブテーブルを定義するには、このマクロをカスタマイズします。このマク

ロの内容は以下の例 2 のとおりです。

ADELMAC

例 2：ADELMAC マクロの内容

?tacl macro #frame == == = Runs the BARCDEL macro == = [#push t_end_dt ] XMA_datetime_make <days> #set t_end_dt [XMAdt_year4]-[XMAdt_month]-[XMAdt_day] [<$vol>.<subvol>..barcdel [t_end_date] === delete everything <= this date 23:59:59 === end time & <= this time ] #unframed

7.1.3 クリーンアップによる古いデータレコードの削除サーバークラス HKEEPER (ハウスキーパー)を設定すると、クリーンアップを自動化

できます。XMA のインストール/アップグレード後に、最初に XMA_MANAGER を実

行すると、データベースクリーンアップの自動化を確認するメッセージが表示されま

す。データの保持日数およびクリーンアッププログラムの実行時刻を指定するように

指示されます。



クリーンアップオプションの変更方法クリーンアップオプションを変更するには、[Database Management Menu]のオプシ

ョン 4：Auto cleanup setupを使用します。第 4.5 節「Database Management Menu」(88 ページ)を参照してください。

例：自動クリーンアップ時刻の変更 Selection ? Current cleanup settings :

4

Data older than 9 days will be automatically cleaned up. Cleanup program will be launched at 14:00 daily. Output of the cleanup program will be sent to $S.#CLEANDB.

注：クリーンアッププロセスの結果もアーカイブログテーブル(ARCLOG)に記録さ

れます。

Do you want to change the cleanup settings - y or n <Y> ? Please enter the maximum age in days of the data to be retained.

y

Data older than this value will be automatically cleaned up. Enter 0 to not cleanup any data <9> ? Please enter the time in HH:MM when you want the cleanup program to be automatically started daily <14:00> ? Please enter the spooler location where you want the output of the cleanup to be sent <$S.#CLEANDB> ? Please enter the priority for cleanup process. Enter -1 to execute at HKeeper's priority <-1> ? Command completed successfully Stopping cleanup server... Command completed successfully Starting cleanup server... Command completed successfully Press Return to continue ...

手動クリーンアップ [Database M anagement M enu]のオプション 3：Cleanup Database

7.2 データベースの日常的な管理

(88 ページ)では、

古いデータレコードを手動でクリーンアップできます。

XMA データベースは、統計の更新によるクエリの最適化、クリーンアップまたはアー

カイブで解放された容量のリロードによる再構築など、日常的な管理が必要な SQLデータベースです。

場合によって、DBA グループ、システムマネージャー、またはアプリケーションの

SQL データベーステーブル管理者に日常的なデータベース管理タスクを割り当てる必

要があります。このようなユーザーは必要な知識を習得し、ツールを所有しています。



7.2.1 FUP リロードの実行 FUP リロードでは、古いレコードを削除すると、テーブルの空き容量が取得されます。

このプロシージャーは、Pathway の実行中に実行できます。また、週 1 回、月 1 回な

ど、定期的に実行する必要があります。

構文： reload /out <output location>/ <table name>,deallocate

例 1：データテーブルをリロードする OBEY ファイルのサンプル

reload /out $s.#xma.rld/ $SECURE.xmadat.auddet,deallocate

reload /out $s.#xma.rld/ $SECURE.xmadat.audsess,deallocate

上記の 2 つのコマンドでは、AUDDET および AUDSESS テーブルがリロードされま

す。

リロードプロセスのステータスを表示するには、下記のコマンドを実行します。

構文： STATUS [/OUT <list-file> / ] <filename> [, DETAIL ]

例 1：データテーブルをリロードする OBEY ファイルのサンプル

-status $SECURE.xmadat.auddet,detail $VHLH.VHHDAT.ARCHIVES RELOAD INITIATED: 28 Jun 2007, 15:07 RELOAD COMPLETED: 28 Jun 2007, 15:07 DSLACK: 15% ISLACK: 15% RATE: 100% PCT COMPLETED: 100% DEALLOCATE: YES SHARE: NO RECLAIM: NO

7.2.2 Update Statistics データベースの統計を更新すると、データベースに実行するクエリが最適化されます。

このためには XMA に付属する UPDSTAT マクロを使用します。このマクロでは、

XMA の DEFINES を使用してデータベースが検索され"把握"されます。

注：

例：データテーブルをリロードする OBEY ファイルのサンプル

統計を更新するには、Pathwayを停止する必要があります。

Run $secure.xygatema.updstat



7.3 データテーブルのサイズ変更本節では、オーディットセッション(AUDSESS)およびオーディット詳細(AUDDET)の2 つのテーブルについて説明します。この 2 つのテーブルはインデックスを含んでい

ます。また、オーディットの統合情報を含んでいます。

7.3.1 テーブルのデフォルトサイズ 1.60 以降では、この 2 つのテーブルのデフォルトサイズは下記のとおりです。

AUDDET EXTENT (1024,1024)

MAXEXTENTS 900

AUDSESS EXTENT (512,512)

MAXEXTENTS 900

7.3.2 サイズの設定方法 XMA テーブルのサイズが正しく設定されていることは、複数の方法で確認できます。

インストール時 XMA のインストールは、2 つの手順で構成される操作です。インストールの最初の手

順で作成されるファイルの 1 つは、SAMPTBLS です。最初に XMA_MANAGER を実

行する前に、このファイルを編集し、エクステントなどを変更します。SAMPTBLSの情報は、NEWTBLS ファイルに複製されます。

インストール後 - 方法 1 AUDSESS および AUDDET ファイルをパーティション分割すると、容量が増加しま

す。XYGATEMA サブボリュームには、このプロセスに有用な PARSAMP ファイルが

存在します。このファイルはパーティションの作成および適切なパーティションへの

既存のデータの移動に必要な命令および SQLCI コマンドを含んでいます。

インストール後 - 方法 2 2 つ目の方法では、新しい大規模なテーブルの作成および既存のデータの移動を実行

します。SQLCIコマンドの詳細については、『NonStop SQL/MPリファレンスマニュアル

1. PATHCOM または XMA_MANAGER で XMA Pathway サーバーを停止します。

』を参照してください。

2. SQLCI の RENAME コマンドで既存のテーブルの名前を変更します。

3. 新しいテーブルを作成します。

テーブルの定義は、NEWTBLS ファイルに存在します。チャプター名は、AUDSESSおよび AUDDET です。NEWTBLS から各 OBEY ファイルにこの 2 つのチャプターを



コピーすることが推奨されます。(プライマリエクステントおよびセカンダリエクステ

ントに必要な値を割り当てた後)

AUDSESS チャプター： EXTENT (1024,1024)

MAXEXTENTS 900

AUDDET チャプター： EXTENT (2048.2048)

MAXEXTENTS 900

注：

1. SQLCI の LOAD コマンドで既存のテーブルから新しいテーブルにデータをコピー

します。

すべてのノードのSQLカタログのバージョンが 3.50 以降である場合、この 2 つ

のファイルはタイプ 2 である可能性があります。

注：

2. SQLCI の DROP コマンドで古いテーブルおよびインデックスを XMA カタログか

らドロップします。

SQLCIのALTER TABLEコマンドで新しいテーブルのTMFオーディットを一時

的に無効にする必要があります。

3. MOVER のオブジェクトプログラムを再コンパイルします。

4. MOVER のオブジェクトプログラムを再コンパイルしたら、XMA Pathway および

MOVER を再起動します。

7.4 XMA データベースのパーティション分割 XMA 1.23 以降では、オーディットセッションテーブルおよびオーディット詳細テー

ブルはパーティション分割に有用なキーを含んでいます。PARTITION キーはオーデ

ィットセッションテーブルおよびオーディット詳細テーブルの最初のカラムです。 PARTITIONKEY カラムは値 2～255 でランダムに更新されます。値 0 は、NULL パー

ティションの作成に使用されません。値 1 は変換用に予約されています。

XMA には、テーブルのパーティション分割に有用なサンプルファイルが付属していま

す。このファイルはパーティション分割ファイルの必要な属性を含んでいます。また、

Pathway ノードの XYGATEMA サブボリュームに存在します。このファイルは、名前

が PARSAMP であり、付録 E5:の「PARSAMP」(192 ページ)で説明されています。

注： AUDDET および AUDSESS テーブルのプライマリパーティションは、

XMADAT サブボリュームに存在する必要があります。

1. XMA Pathway を停止します。

2. パーティション分割：

a. 下記のとおり、AUDSESS テーブルをパーティション分割します。



ALTER TABLE =XMA_AUDSESSIONTBL ADD PARTITION <vol1>.XMADAT.AUDSESS FIRST KEY 2 WITH DATA MOVEMENT CATALOG $<vol>.XMACAT -- EXTENT <size1> (『SQL/MPリファレンスマニュアル』の「PARTITION句」を参照) -- MAXEXTENTS <int>; ALTER TABLE =XMA_AUDSESSIONTBL ADD PARTITION <vol1>.XMADAT.AUDSESS FIRST KEY 101 WITH DATA MOVEMENT CATALOG $<vol>.XMACAT -- EXTENT <size1> (『SQL/MPリファレンスマニュアル』の「PARTITION句」を参照) -- MAXEXTENTS <int>'

b. 下記のとおり、AUDDET テーブルをパーティション分割します。

ALTER TABLE =XMA_AUDITDETAILTBL ADD PARTITION <vol2>.XMADAT.AUDDET FIRST KEY 2 WITH DATA MOVEMENT CATALOG $<vol>.XMACAT -- EXTENT <size1> -- MAXEXTENTS <int>; ALTER TABLE =XMA_AUDITDETAILTBL ADD PARTITION <vol2>.XMADAT.AUDDET FIRST KEY 101 WITH DATA MOVEMENT CATALOG $<vol>.XMACAT -- EXTENT <size1> -- MAXEXTENTS <int>;

3. 下記のコマンドを入力して、XMA プログラムを再コンパイルします。

XMA_SQLCOMPALL

4. XMA Pathway を再起動します。


第8章トラブルシューティング

本章では、XMAHELP の機能および下記のトラブルシューティング手順について説明

します。

• NonStop (XMA)におけるオーディットログアプライアンスシステムとの通信

• オーディットログウェアハウスのデータ解析

8.1 XMAHELP/XMA_HELP 使用可能な XMA マクロに関する情報が表示されます。

構文

XMAHELP

8.1.1 XYMOVE の機能 XYMOVE プログラムでは、情報が XYGATE 製品のオーディットトレイルから抽出さ

れます。XYMOVE プログラムは、下記の 2 つのオプションで実行できます。

• CHECKFILTERS は、FILTERS ファイルの構文チェックを実行します。

• XYGATEVER は、XYGATE 製品のサポート対象のバージョンのリストを生成しま

す。

8.1.2 XYMOVE の CHECKFILTERS オプションこの機能では、FILTERS ファイルの構文チェックが実行されます。

構文： RUN $<vol>.<subvol>.XYMOVE CHECKFILTERS <FILTERs file name>

$<vol>.<subvol>は、XMA のインストール先です。

ファイル名は指定することができます。FILTERS ファイルを本番環境に移動する前に、

一時的なバージョンを別名で作成して確認する必要があります。

注：

例：CHECKFILTERS からの出力のサンプル

STATUSがINACTIVEであるすべてのフィルター定義で構文エラーがチェックさ

れます。

>XMA 1.71 (c) 1999-2010 XYPRO XYPRO \PROD1 20011231 RUN XYMOVE CHECKFILTERS tempfilt


XYGATE Merged Audit®リファレンスマニュアル第 8 章トラブルシューティング


FILTERSの構文チェックの詳細については、付録E12:「XMA_FILTERS_CHECK」(201 ページ)を参照してください。

8.1.3 XYMOVE の XYGATEVER オプション XYGATEVER オプションで XYMOVE を実行すると、サポートされるすべての

XYGATE 製品および関連する XMA に必要な最小バージョンのリストが表示されます。

また、オーディットファイルのレイアウトを変更すると、バージョンのみが再表示さ

れます。構文： RUN $<vol>.<subvol>.XYMOVE XYGATEVER

構文の要素は次のとおりです。

$<vol>.<subvol>は、XMA のインストール先です。

XYGATEVER からの出力のサンプル 23> 23..

run $system.xygatema.xymove xygatever

XMA 1.71 (c) 1999-2010 XYPRO XYPRO Technology \PROD1 20011231 XYGATEAC 4.15 uWWEnEBUyVgpwSoOkIETVIw48cA= XYGATEAC 5.10 8fYqaYA6FZb846KezEJQXmwtrmE= … XYGATEOS 2.10 4dI4FQIz9CJTKXySrJkvo6TWNhU= XYGATEEF 1.60 LGpH9xeQ/6tWRqvg+LOt5pUpcrU= XYGATEKM 1.00 6ieUvpOgBD5viIb+azMRygIxuZo=

XYGATE 製品のバージョン番号の後の情報は、LOGDDL ファイルのハッシュです。

XYMOVE プログラムでは、オーディットデータが XYGATE 製品の正しいオーディッ

トファイルのレイアウトで抽出されるように、インストール済みの XYGATE 製品の

バージョンがこのハッシュで確認されます。

8.2 オーディットログアプライアンスシステムとの通信 NonStop (XMA)におけるオーディットログアプライアンスシステムとの通信をトラブ

ルシューティングするには、本節を使用します。

8.2.1 すべての IPALERT フィルターのステータスを表示するには、XMA の TACL セグメン

トを追加し、XMA_EDIT_FILTERS マクロを実行します。例 1 は、2 つの Syslog フィ

ルターがアクティブであることを表します。

IPALERTフィルターのステータスがアクティブであることの確認

例 1： $DATA04 XYGATEMA 12> $DATA04.XYGATEMA 1> x

RUN $DATA04.XYGATEMA.XMA INSTALL

ma_edit_filters

This file edits the current XYGATE_MERGED_AUDIT FILTERS FILE It will create a file named $DATA04.XYGATEMA.NEWFILT from the current $DATA04.XYGATEMA.FILTERS file.



These are your old $DATA04.XYGATEMA.FILTERS files: $DATA04.XYGATEMA CODE EOF LAST MODIFIED OWNER RWEP PExt SExt OLDFLT00 101 50624 24OCT2008 16:07 222,77 OOOO 14 28 OLDFLT01 101 53348 06NOV2008 16:00 222,77 OOOO 14 28 OLDFLT02 101 53380 05DEC2008 15:30 222,77 OOOO 14 28 FILES DUPLICATED: 1 TEXT EDITOR - T9601H01 - (01MAY05) CURRENT FILE IS $DATA04.XYGATEMA.NEWFILT *lb/status/ 29 STATUS ACTIVE ! $IGNORE-XAC-00002-RECORDS 51 STATUS ACTIVE ! $IGNORE-XCM-ALIVE-MSG 70 FILTERDEFBEGIN $IGNORE-XPC-STATUS-CMD 71 STATUS ACTIVE ! $IGNORE-XPC-STATUS-CMD 92 STATUS INACTIVE ! $IGNORE-MEASFH 112 STATUS ACTIVE ! $IGNORE-UNWANTED-SFG-CODES 162 STATUS ACTIVE ! $IGNORE-UNWANTED-USER-DB-READS 191 STATUS ACTIVE ! $IGNORE-XOS-NORECORD-AND-WHATIF . . . 1518 STATUS ACTIVE ! $SYSLOG_ALL_EMS_EVENTS 1607 STATUS ACTIVE ! $SYSLOG_ALL_NON_EMS_EVENTS

8.2.2 Pathway および MOVER が実行中であることの確認 XMA Pa thway サーバーのステータスをチェックするには、PATHCOM を使用します。 1> Pathcom <pathway name, $XMA, is the default> Status server *

1 = MOVER が実行中である、0 = MOVER が実行中でない

例 2 は、XMA Pathway およびすべての MOVER が実行中であることを表します。例 2： $DATA04.XYGATEMA 4> $X0GS: PATHCOM - T8344H01 - (01AUG08)

pathcom $xma

(C)1980 Tandem (C)2005 Hewlett Packard Development Company, L.P. =status server * SERVER #RUNNING ERROR INFO EMS-X-01 1 HKEEPER 1 MQREADER 1 SFG-S7-01 1 SFG-X-01 1 XAC-S7-01 1 XAC-X-01 1 XCM-S7-01 1 XCM-X-01 1 XHE-S7-01 1 XHE-X-01 1 XOS-S7-01 1 XOS-X-01 1 XPC-X-01 1 XPQ-S7-01 1 XPQ-X-01 1 XSM-X-01 1 XSP-X-01 1 XTR-X-01 1



XUA-X-01 1 =

[Pathway Management Menu]のオプション 4：Quick Server Status (83 ページ)でも、

PathwayおよびMOVERが実行中であるかどうかをチェックできます。

8.2.3 ログウェアハウスへの Syslog テストメッセージの送信注：

1. XMA の TACL セグメントをロードし、XMA_MANAGER を起動します。

XMA_MANAGERを実行するには、XMAオーナーとしてログインする必要があ

ります。

2. IPALERTメッセージをテストするには、[Movers Management Menu]のオプショ

ン 16：Test basic Alertsを選択します。第 4.4 節(85 ページ～)を参照してくださ

い。

例 3：

Please enter the alert type <M(ail), S(NMP Trap), I(p syslog) or C(ollector)>

3. オプション 16 を選択したら、I(p syslog)を選択します。下記のプロンプトが表示

されます。

To modify any of the items below choose an option otherwise select R to continue : 1: IP Address :127.0.0.1 2: Port :512 3: Node :\X 4: IP Process :$ZTC0 X: Exit from this menu R: Run Selection ?

4. 適切な番号を選択し値を入力して、ターゲットのログウェアハウスシステム、お

よびメッセージを送信する NonStop TCP/IP プロセスに、正しい IP アドレスおよ

びポートを設定します。

5. テストメッセージを開始するには、R: Run

8.2.4 ログウェアハウスシステムへの Ping

を選択します。

1. 現在のTCP/IPプロセスの定義を検索するには、TACLで「info define *

TCP/IP プロセスが IPALERT フィルターの構成と異なる場合は、現在のセッショ

ンの DEFINE に IPALERT の TCP/IP プロセスを設定します。

」と入力

します。

2. この設定を実行したら、ログウェアハウスボックスに Ping して、接続をテストし

ます。フィルターを次のようにします。



• IPALERT_IPPROCESS $ZTC2

• IPALERT_PORT 514

• IPALERT_ADDRESS 10.1.1.52

例 4：

$$DATA04.XYGATEMA 20> info define =tcp* Define Name =TCPIP^PROCESS^NAME CLASS MAP FILE \X.$ZTC0

3. 下記のように、IPALERT の TCP/IP プロセスを指すように DEFINE を変更します。

$$DATA04.XYGATEMA 21> alter define =tcpip^process^name,file $ztc2

4. ログウェアハウスに対して PING を実行します。

$$DATA04.XYGATEMA 22> ping 10.1.1.83 PING 10.1.1.83: 56 data bytes 64 bytes from 10.1.1.83: icmp_seq=0. time=29. ms 64 bytes from 10.1.1.83: icmp_seq=1. time=10. ms 64 bytes from 10.1.1.83: icmp_seq=2. time=10. ms 64 bytes from 10.1.1.83: icmp_seq=3. time=10. ms ----10.1.1.83 PING Statistics---- 4 packets transmitted, 4 packets received, 0% packet loss round-trip (ms) min/avg/max = 10/14/29 $$DATA04.XYGATEMA 23>

このテストによって、XMA が有効な TCP/IP プロセス経由で有効なアドレス(ログウェ

アハウス)にデータを送信しているのを確認できます。

8.3 オーディットログウェアハウスのデータ解析 XMA からのデータをログウェアハウスシステムで受信しながらも、解析されて正しい

カラムに入らない場合は、第 2.6 節「XMA データのオーディットロギングアプライア

ンスへの送信」(60 ページ～)および第 6 章「Safeguard の選択基準」(119 ページ～)を参照してください。


付録A: MACONF ファイル

MACONF は、XYGATEMA オブジェクトファイルと同じボリュームおよびサブボリュ

ームに存在する編集ファイルです。このファイルは、XMA の実行方法を指定する多数

の設定オプションを含んでいます。値はインストールプロセスで最初に作成されます。

MACRO_NAME 以外の値は、再インストールを実行せずに変更できます。

MACRO_NAME を変更するには、XMA を再インストールする必要があります。

A1: MACONF ファイルのキーワード MACONF ファイルには、次のキーワードを 1 つ以上含めることができます。

COLLECTOR <collector name>

COMPANY_NAME "<string>"

HOMETERM <terminal>

MACRO_NAME <XYGATEMA-macro-name>

PATHMON_NAME <XYGATEMA-pathmon-name>

PERUSE_OBJECT <$processname>

PRIORITY <value>

A2: COLLECTOR このキーワードでは、XMA_REPORT マクロによるレポートの生成に使用されるデフ

ォルトのスプーラーコレクターの名前が設定されます。デフォルト値は、$S です。

構文：

COLLECTOR <collector name>

例： COLLECTOR $S2

MACONF ファイルからこのキーワードを省略すると、$S コレクターがデフォルトと

して使用されます。

XYGATE Merged Audit®リファレンスマニュアル付録 A: MACONF ファイル


A3: COMPANY_NAME このキーワードでは、会社名が設定されます。この会社名は、XMA_REPORT マクロ

によって生成されるレポートに使用されます。

構文： COMPANY_NAME "<string>"

例： COMPANY_NAME "ACME Technology Corp"

デフォルトでは、XMA の XYPRO ライセンスに指定された会社名が、

COMPANY_NAME の値に設定されます。

A4: HOMETERM HOMETERM キーワードに指定した場所は、XMA Pathway の作成中に使用されます。

また、端末を指定する必要がある他の処理のデフォルトのホーム端末として使用され

ます。

構文： HOMETERM <terminal>

例：

HOMETERM $VHS

A5: MACRO_NAME MACRO_NAME キーワードの引数はインストール時に指定したマクロ名です。この値

は、XMA 製品の今後の更新に使用されます。このエントリは必須であり、インストー

ル中に作成されます。

構文： MACRO_NAME <XYGATEMA-macro-name>

例：

MACRO_NAME XMA

注：このマクロ名は、XMA のコンパイル済みの TACLSEG に組み込まれているため、

ソフトウェアを再インストールするまで有効です。

デフォルトの<XYGATEMA-macro_name>は XMA です。

XYGATE Merged Audit®リファレンスマニュアル付録 A: MACONF ファイル


A6: PATHMON_NAME このキーワードは、MACONF ファイルに存在します。また、XMA で使用される

PATHMON プロセスの名前を記録する必須のキーワードです。

構文： PATHMON_NAME <XYGATEMA-pathmon-name>

例： PATHMON_NAME $XMA

XMA Pathwayの名前を変更するには、XMA Pathwayで実行中のすべてのサーバーク

ラスプロセスを停止し、PATHMONプロセスを停止します。[Pathway Management Menu]のオプション 3：Stop (84 ページ)から、または XMA_PWSTOPマクロ(205 ペ

ージ)を実行することで、この処理を実行できます。

このマクロでは、XMA Pathwayの設定サブボリュームのPWCONFIGおよび

PWSTATEファイルに含まれたPathwayの設定情報で、Pathwayが再起動されます。

[Pathway Management Menu]のオプション 2：Cool Start (84ページ)から、また

は XMA_PWCOOLマクロ(205 ページ)を実行することで、この処理を実行できます。

A7: PERUSE_OBJECT XMA_REPORT マクロに PERUSE の起動を指定すると、このオブジェクトファイル

の名前が使用されます。オブジェクトファイルのデフォルトは、存在する場合は

XYPRO XYGATESP 製品、存在しない場合は$SYSTEM.SYSTEM.PERUSE です。

構文： PERUSE_OBJECT <$processname>

例：

PERUSE_OBJECT $SYSTEM.XYGATESP.PERUSE

A8: PRIORITY このキーワードは、XMA バージョン 1.95 から廃止されています。構文上は有効です

が、プログラムでは無視されます。

構文：

PRIORITY <value>

例： Priority 60


付録B: 管理テーブル

XMAの各種のプロセスでは、MOVERおよびXYGATE製品の処理済みのログが管理テ

ーブルおよびデータテーブル(次の付録C:に記載)で追跡されます。

管理テーブルでは、MOVER サーバークラスを設定し、データ収集プロセスを管理す

る手段が提供されています。

SQL テーブルの最新情報については、XMA インストールサブボリュームの

NEWTBLS ファイルを参照してください。

MOVER を追加すると、適切な MOVER テーブルが MOVER に関する下記の情報で更

新されます。

XMA_EMSMVTBL EMS ログの MOVER に関する情報を含んでいます。

XMA_SFGMVTBL Safeguard オーディットトレイルの MOVER に関する情報

を含んでいます。

XMA_XYMVTBL XYGATE 製品の MOVER に関する情報を含んでいます。

XMA_MEASMVTBL MEASURE オーディットトレイルの MOVER に関する情

報を含んでいます。

=XMA_B24MVTBL BASE24 オーディットトレイルの MOVER に関する情報を

含んでいます。

=XMA_HLRMVTBL HLR オーディットトレイルの MOVER に関する情報を含

んでいます。

注：

Movers Management Menu

MOVERに関連付けられたパラメーターも存在します。これらのパラメーターは

オプションですが、MEASUREのMOVERは例外で、必須です。

(85 ページ)でオプション 7 のAdd <All Steps>を使用して

MEASURE MOVERを追加しようとすると、必要なパラメーターを入力するよ

う要求されます。

XYGATE Merged Audit®リファレンスマニュアル付録 B: 管理テーブル


B1: XYGATE の MOVER 設定テーブル下記の名前は、MOVER 設定テーブルのカラムを表します。

INSTALL Y(es)または N(o)。Yes の場合は、コマンドファイルを実

行すると、MOVER が作成されます。No の場合は、

MOVER が作成されません。

MOVERPRODUCT 製品の 3 文字の略称。SFG = Safeguard、MEA = MEASURE、EMS = EMS、B24 = BASE24、XXX = 各種

の XYGATE モジュール。

MOVERTARGETNODE MOVER が読み取る対象となる製品のオーディットトレイ

ルが存在するノード。

MOVERCATALOGLOC ターゲットノード上の XMA カタログの保存先。

MOVEROBJECTNODE MOVER のオブジェクトファイルが存在するノード。デー

タをプルしている場合、オブジェクトファイルはマスター

ノードに存在します。データをプッシュしている場合、オ

ブジェクトファイルはリモートノードに存在します。

MOVEROBJECTLOC MOVER のオブジェクトファイルが存在するノード。デー

タをプルしている場合、オブジェクトファイルはマスター

ノードの XYGATEMA サブボリュームに存在します。デー

タをプッシュしている場合、オブジェクトファイルはリモ

ートノードの XMAOBJ サブボリュームに存在します。

MOVERTERM MOVER のホーム端末。

MOVERSTARTTIME MOVER でオーディットの収集が最初に開始する日付。

COLLECTONLY Y(es)または N(o)。Y(es)の場合、MOVER は収集専用の

MOVER であり、起動して適切な時刻にデータベース更新

を実行するまでスリープします。

Safeguard の MOVER に固有のカラム IPMAPSUBVOL IPMAP ファイルは、XYGATE Host Encryption (XHE)やそ

の他の多くの XYGATE 製品で、IP アドレスを解決するた

めに使用されます。XHE サブボリュームは、Safeguard MOVER と同じノードに存在する必要があります。

SGAUDITFILEMASK MOVERで読み取られるファイルのワイルドカード検索の

オーディットファイルマスク。Safuguardオーディットフ

ァイルのマスクは常に $vol.subvol.A*

SGAUDITFILECODE オーディットファイルのファイルコード。Safeguard ファ

イルのコードは常に 541 です。

です。



SRSKIPNORECS Y(es)または N(o)。Yes の場合は、MOVER は Safeguardの No Record を XMA データベースに移動しません。

Safeguard を警告モードにした場合は、すべてのアクセス

判定が No Record に変換されるため、XMA オーディット

トレイルにファイルアクセス関連のオーディットエントリ

を持たなくなります。

XYPRIMARYAUDITFILE 製品の現在のオーディットファイルの名前。このファイル

名は、xxCONFファイルのAUDITエントリで決定されます。

デフォルトの名前は、

XYGATEのMOVERに固有のカラム

$vol.XYGATExx.AUDIT

XYAUDITFILEMASK MOVERで読み取られるファイルのワイルドカード検索の

オーディットファイルマスク。XYGATE製品のオーディッ

トファイルのデフォルトマスクは

です。

$vol.XYGATExx.AUD*

XYAUDITFILECODE オーディットファイルのファイルコード。通常、XYGATEモジュールのコードは、3333 です。

ですが、マスクはxxCONFファイルで割り当てられたファ

イル名に依存します。XYGATEモジュールでオーディット

ログがロールされると、ファイル名の最初の 3 文字が保持

され、古いファイルの名前がXXXnnnnn (nnnnnは 1 ずつ

加算される数)になります。

EMS の MOVER に固有のカラム EMSCOLLECTOR EMS の MOVER でログが読み取られる EMS コレクターの

$<name>。

EMSFILTERFILENAMES BURST フィルターなどの EMS フィルターファイルのリ

スト。最大 10 個のファイル名のカンマ区切りリストです。

サンプルの BURSTFLT という名前の BURST フィルター

が XYGATEMA サブボリュームに提供されます。

BASE24 の MOVER に固有のカラム B24VOLUME BASE24 の OMF ファイルが存在するボリューム。

B24SUBVOL BASE24 の OMF ファイルが存在するサブボリューム。

B24PRIMARYAUDITFILE BASE24 の現在のオーディットファイルの名前。

B24AUDITFILEMASK MOVERで読み取られるファイルのワイルドカード検索の

オーディットファイルマスク。BASE24 オーディットファ

イルのマスクは常に $vol.subvol.A*

B24AUDITFILECODE オーディットファイルのファイルコード。通常、BASE24のコードは、0 です。

です。

HLR の MOVER に固有のカラム HLRAPPLICATIONNODEID アクセスしている HLR 環境のノード ID。



XYGATE の MOVER テーブル = XMA_XYMVTBL このテーブルの情報は、サーバークラスと XYGATE 製品の関係、および XYGATE 製

品のオーディットファイルの名前と保存先についての説明です。

CREATE TABLE =XMA_XYMVTBL (ServerclassNAME CHAR (15) NO DEFAULT NOT NULL -- Server class name , DELETED CHAR (1) DEFAULT 'N' NOT NULL -- Whether this server class has been deleted , XYGATENODE CHAR (8) NO DEFAULT NOT NULL , XYGATEVOLUME CHAR (8) NO DEFAULT NOT NULL , XYGATESUBVOLUME CHAR (8) NO DEFAULT NOT NULL , XYGATEPRODUCT CHAR (3) NO DEFAULT NOT NULL -- The above four fields describe the location where the XYMOVER -- process has to look to obtain product version information -- to ensure that the correct audit file layout is used , PRIMARYAUDITFILE CHAR (35) NO DEFAULT NOT NULL -- Primary audit file for this installation , AUDITFILEMASK CHAR (35) NO DEFAULT NOT NULL -- Location of the audits for this node , AUDITFILECODE SMALLINT NOT NULL -- File code to look for , CURRENTSTATUS VARCHAR (256) NO DEFAULT NOT NULL -- Indicates status of audit file processing. Updated by Mover , PRIMARY KEY ServerclassNAME );

XYGATE の MOVER パラメーターテーブル = XMA_XYMVPARAMSTBL XYGATE Merged Audit のリリース 1.90 では、このテーブルは使用されません。デー

タは PARAMS テーブルに格納されます。以前のリリースからアップグレードすると、

個々の製品のテーブルのデータは変換され、PARAMS テーブルに格納されます。

このテーブルは上記の XYGATE の MOVER テーブルに識別される各 MOVER のパラ

メーターセットを含んでいます。 CREATE TABLE =XMA_XYMVPARAMSTBL (RECORDPARAMSKEY TIMESTAMP DEFAULT CURRENT NOT NULL , ServerclassNAME CHAR (15) NO DEFAULT NOT NULL -- Refers to =XMA_XYMVTBL , PARAMNAME VARCHAR (50) NO DEFAULT NOT NULL -- Name of the parameter , PARAMVALUE VARCHAR (256) NO DEFAULT NOT NULL -- Value of the parameter , PRIMARY KEY RECORDPARAMSKEY );



B2: XYGATE の MOVER 状態テーブル XYGATE の MOVER では、下記の 2 つのテーブルを用いて現在のオーディットファ

イルおよび処理済みのファイルの最後のレコードの日付が追跡されます。このため、

重複データが作成されません。また、MOVER は、停止および再起動する必要がある

場合も、"キャッチアップ"できます。

CREATE TABLE =XMA_XYMVSTATETBL

XYGATEのMOVER状態テーブル = XMA_XYMVSTATETBL

(RECORDSTATEKEY TIMESTAMP DEFAULT CURRENT NOT NULL , XYGATENODE CHAR (8) NO DEFAULT NOT NULL , XYGATEVOLUME CHAR (8) NO DEFAULT NOT NULL , XYGATESUBVOLUME CHAR (8) NO DEFAULT NOT NULL , XYGATEPRODUCT CHAR (3) NO DEFAULT NOT NULL , ServerclassNAME CHAR (15) NO DEFAULT NOT NULL -- Refers to =XMA_XYMVTBL , AUDITFILECT LARGEINT SIGNED NO DEFAULT NOT NULL -- Equivalent to a long long (64 bit timestamp) -- Creation timestamp of the audit trail enscribe file , AUDITFILEMT LARGEINT SIGNED NO DEFAULT NOT NULL -- Equivalent to a long long (48 bit converted to 64 bit timestamp) -- Modification timestamp of the audit trail enscribe file , LASTRECORD_ADDRESS LARGEINT SIGNED NO DEFAULT NOT NULL -- Equivalent to a long long (64 bit address) -- Address of last record processed in the file , LASTRECORD_LCT CHAR (26) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss as picked from enscribe file -- LCT of the last record processed in the file , FILEBEGIN_LCT CHAR (26) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss as picked from enscribe file -- LCT of the first record in the file , FILEEND_LCT CHAR(26) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss as picked from enscribe file -- LCT of the last record in the file -- NOTE: if FILEEND_LCT <> 0 then it implies the file has been -- fully processed and should not be processed again , RECORDSPROCESSED LARGEINT SIGNED NO DEFAULT NOT NULL -- Number of records processed from this file , SESSIONTBLINSCOUNT LARGEINT SIGNED NO DEFAULT NOT NULL -- Number of session table inserts done while processing records from --this file , AUDITTBLINSCOUNT LARGEINT SIGNED NO DEFAULT NOT NULL -- Number of audit table inserts done while processing records from --this file , AUDITFILENAME VARCHAR (40) NO DEFAULT NOT NULL -- Name of the audit trail enscribe file , CURRENTFILESTATUS VARCHAR (256) NO DEFAULT NOT NULL -- What is the server doing to this file , PRIMARY KEY RECORDSTATEKEY )



CREATE TABLE =XMA_XYMVSTATEAUXTBL

XYGATEのMOVER状態補助テーブル = XMA_XYMVSTATEAUXTBL

(RECORDSTATEKEY TIMESTAMP DEFAULT CURRENT NOT NULL , XYGATENODE CHAR (8) NO DEFAULT NOT NULL , XYGATEVOLUME CHAR (8) NO DEFAULT NOT NULL , XYGATESUBVOLUME CHAR (8) NO DEFAULT NOT NULL , XYGATEPRODUCT CHAR (3) NO DEFAULT NOT NULL , ServerclassNAME CHAR (15) NO DEFAULT NOT NULL -- Refers to =XMA_XYMVSTATETBL , FILEBEGIN_LCT CHAR (26) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss as picked from enscribe file -- LCT of the first record in the file , RECORDBEGINADDR LARGEINT SIGNED NO DEFAULT NOT NULL -- Equivalent to a long long (64 bit address) -- Begin address of record range , RECORDENDADDR LARGEINT SIGNED NO DEFAULT NOT NULL -- Equivalent to a long long (64 bit address) -- end address of record range , RECORDBEGIN_LCT CHAR (26) NO DEFAULT NOT NULL -- LCT of record corresponding to RECORDBEGINADDR , RECORDEND_LCT CHAR (26) NO DEFAULT NOT NULL -- LCT of record corresponding to RECORDENDADDR , PRIMARY KEY RECORDSTATEKEY )

B3: EMS の MOVER テーブル = XMA__EMSMVTBL CREATE TABLE =XMA_EMSMVTBL ( ServerclassNAME CHAR(15) NO DEFAULT NOT NULL -- server class name ,DELETED CHAR(1) DEFAULT 'N' NOT NULL -- whether this server class has been deleted ,NODE CHAR(8) NO DEFAULT NOT NULL -- location of the collector ,COLLECTOR CHAR(6) NOT NULL -- collector process ,CURRENTSTATUS VARCHAR(256) NO DEFAULT NOT NULL -- what is the server doing ,PRIMARY KEY ServerclassNAME ) CATALOG =XMA_CAT ORGANIZATION K AUDIT;



B4: EMS の MOVER パラメーターテーブル = XMA_EMSMVPARAMSTBL

XYGATE Merged Audit のリリース 1.90 では、このテーブルは使用されません。デー



CREATE TABLE =XMA_EMSMVPARAMSTBL ( RECORDPARAMSKEY TIMESTAMP DEFAULT CURRENT NOT NULL ,ServerclassNAME CHAR(15) NO DEFAULT NOT NULL -- refers to =XMA_EMSMVTBL ,PARAMNAME VARCHAR(50) NO DEFAULT NOT NULL -- name of the parameter ,PARAMVALUE VARCHAR(256) NO DEFAULT NOT NULL -- value of the parameter ,PRIMARY KEY RECORDPARAMSKEY ) CATALOG =XMA_CAT ORGANIZATION K AUDIT;

B5: EMS の MOVER 状態テーブル = XMA_EMSMVSTATETBL CREATE TABLE =XMA_EMSMVSTATETBL ( RECORDSTATEKEY TIMESTAMP DEFAULT CURRENT NOT NULL ,NODE CHAR(8) NO DEFAULT NOT NULL ,COLLECTOR CHAR(6) NOT NULL ,PROCESSDATE CHAR(10) NOT NULL -- date of record (1 record for each day for a node+collector) ,COMPLETED CHAR(1) DEFAULT 'N' NOT NULL -- whether this day has been completed for the node+collector ,PROCESSHANDLE CHAR(35) NO DEFAULT NOT NULL -- handle of process working on this record ,ServerclassNAME CHAR(15) NO DEFAULT NOT NULL -- refers to =XMA_EMSMVTBL ,LASTRECORDGMTTSTMP TIMESTAMP NO DEFAULT NOT NULL

,LASTRECORD_LCT CHAR(26) NO DEFAULT NOT NULL

(GMT Tstmp of last record processed)

-- LCT of the last record processed ,RECORDSPROCESSED LARGEINT SIGNED NO DEFAULT NOT NULL -- number of records processed for this day for node+collector ,SESSIONTBLINSCOUNT LARGEINT SIGNED NO DEFAULT NOT NULL -- number of session table inserts done while processing records for this day for node+collector ,AUDITTBLINSCOUNT LARGEINT SIGNED NO DEFAULT NOT NULL -- number of audit table inserts done while processing records for this day for node+collector ,PRIMARY KEY RECORDSTATEKEY ) CATALOG =XMA_CAT ORGANIZATION K AUDIT;



B6: MEASURE の MOVER テーブル MEASUREのMOVERテーブルには、下記の 3 つが存在します。

このテーブルは、MEASURE の各 MOVER サーバークラスのエントリを含んでいます。

MEASUREのMOVERテーブル = XMA_MEASMVTBL

CREATE TABLE =XMA_MEASMVTBL ( ServerclassNAME CHAR (15) NO DEFAULT NOT NULL -- Server class name , DELETED CHAR (1) DEFAULT 'N' NOT NULL -- Whether this server class has been deleted , NODE CHAR (8) NO DEFAULT NOT NULL , VOLUME CHAR (8) NO DEFAULT NOT NULL , SUBVOLUME CHAR (8) NO DEFAULT NOT NULL , LASTRECORD_LCT CHAR (26) NO DEFAULT NOT NULL , AUDITTBLINSCOUNT LARGEINT SIGNED NO DEFAULT NOT NULL -- Number of audit table inserts done , CURRENTSTATUS VARCHAR(256) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss LCT of the last record processed -- what is the server doing , PRIMARY KEY ServerclassNAME )

XYGATE Merged Audit のリリース 1.90 では、このテーブルは使用されません。デ

ータは PARAMS テーブルに格納されます。以前のリリースからアップグレードする

と、個々の製品のテーブルのデータは変換され、PARAMS テーブルに格納されます。

MEASUREのMOVERパラメーターテーブル = XMA_MEASMVPARAMSTBL

このテーブルは上記の MEASURE の MOVER テーブルで識別される各 MOVER のパ

ラメーターセットを含んでいます。

注：

7MEASUREのMOVERパラメーターは必須です。[Movers Management Menu]のオ

プション：Add <All Steps> (85 ページ)でMEASURE MOVERを追加する場

合は、オプション 12：Alter Database paramsも実行する必要があります。詳

細については、第 5.7 節「MOVERパラメーター」(111 ページ～)を参照してく

ださい。

CREATE TABLE =XMA_MEASMVPARAMSTBL ( RECORDPARAMSKEY TIMESTAMP DEFAULT CURRENT NOT NULL , ServerclassNAME CHAR (15) NO DEFAULT NOT NULL -- Refers to =XMA_MEASMVTBL , PARAMNAME VARCHAR (50) NO DEFAULT NOT NULL -- Name of the parameter , PARAMVALUE VARCHAR (256) NO DEFAULT NOT NULL -- Value of the parameter , PRIMARY KEY RECORDPARAMSKEY )



MEASURE の MOVER では、このテーブルを用いて収集済みの MEASURE データに

関する情報が記録されます。このため、重複データが作成されません。

MEASUREのMOVER処理テーブル = XMA_MEASMVPROCTBL

CREATE TABLE =XMA_MEASMVPROCTBL ( RECORDPROCESSKEY TIMESTAMP DEFAULT CURRENT NOT NULL , NODE CHAR (8) NO DEFAULT NOT NULL , ANCNODE CHAR (8) NO DEFAULT NOT NULL , PROCESSNAME CHAR (8) NO DEFAULT NOT NULL , ANCPROCESSNAME CHAR (8) NO DEFAULT NOT NULL , CPU INTEGER NO DEFAULT NOT NULL , ANCCPU INTEGER NO DEFAULT NOT NULL , PIN INTEGER NO DEFAULT NOT NULL , ANCPIN INTEGER NO DEFAULT NOT NULL , PROGRAMVOL CHAR (8) NO DEFAULT NOT NULL , PROGRAMSVOL CHAR (8) NO DEFAULT NOT NULL , PROGRAMFILE CHAR (8) NO DEFAULT NOT NULL , CAIDGRP SMALLINT NO DEFAULT NOT NULL , CAIDUSR SMALLINT NO DEFAULT NOT NULL , CREATION_LCT CHAR (26) NO DEFAULT NOT NULL , PRIMARY KEY RECORDPROCESSKEY )

B7: Safeguard の MOVER テーブル = XMA_SFGMVTBL このテーブルは、Safeguard の各 MOVER サーバークラスのエントリを含んでいます。

CREATE TABLE =XMA_SFGMVTBL ( ServerclassNAME CHAR (15) NO DEFAULT NOT NULL -- Server class name , DELETED CHAR (1) DEFAULT 'N' NOT NULL -- Whether this server class has been deleted , AUDITFILEMASK CHAR (35) NO DEFAULT NOT NULL -- Location of the audits for this node , AUDITFILECODE SMALLINT NOT NULL -- Always 541 for safeguard , CURRENTSTATUS VARCHAR(256) NO DEFAULT NOT NULL -- What is the server doing , PRIMARY KEY ServerclassNAME )

B8: Safeguard の MOVER パラメーターテーブル = XMA_SFGMVPARAMSTBL

XYGATE Merged Audit のリリース 1.90 では、このテーブルは使用されません。デー



このテーブルは上記の Safeguard の MOVER テーブルに識別される各 MOVER のパラ

メーターセットを含んでいます。

CREATE TABLE =XMA_SFGMVPARAMSTBL ( RECORDPARAMSKEY TIMESTAMP DEFAULT CURRENT NOT NULL , ServerclassNAME CHAR (15) NO DEFAULT NOT NULL -- Refers to =XMA_SFGMVTBL , PARAMNAME VARCHAR (50) NO DEFAULT NOT NULL -- Name of the parameter , PARAMVALUE VARCHAR (256) NO DEFAULT NOT NULL -- Value of the parameter



, PRIMARY KEY RECORDPARAMSKEY )

B9: Safeguard の MOVER 状態テーブル Safeguard の MOVER では、下記の 2 つのテーブルを用いて現在のオーディットファ

イルおよび処理済みのファイルの最後のレコードの日付が追跡されます。このため、

重複データが作成されません。また、MOVER は、停止および再起動する必要がある

場合も、"キャッチアップ"できます。

CREATE TABLE =XMA_SFGMVSTATETBL

SafeguardのMOVER状態テーブル = XMA_SFGMVSTATETBL

(RECORDSTATEKEY TIMESTAMP DEFAULT CURRENT NOT NULL , SFGNODE CHAR (8) NO DEFAULT NOT NULL , ServerclassNAME CHAR (15) NO DEFAULT NOT NULL -- Refers to =XMA_SFGMVTBL , AUDITFILECT LARGEINT SIGNED NO DEFAULT NOT NULL -- Equivalent to a long long (64 bit timestamp) -- Creation timestamp of the audit trail file , AUDITFILEMT LARGEINT SIGNED NO DEFAULT NOT NULL -- Equivalent to a long long (48 bit converted to 64 bit timestamp) -- modification timestamp of the audit trail file , LASTRECORDGMTTSTMP TIMESTAMP DEFAULT CURRENT NOT NULL -- GMT Tstmp of last record processed in the file , LASTRECORD_LCT CHAR (26) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss as picked from audit trail file -- LCT of the last record processed in the file , FILEBEGIN_GMT CHAR (26) NO DEFAULT NOT NULL -- GMT of the first record in the file -- uniquely determines a file for a node , FILEBEGIN_LCT CHAR (26) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss as picked from audit trail file -- LCT of the first record in the file , FILEEND_LCT CHAR (26) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss as picked from audit trail file -- LCT of the last record in the file -- NOTE: if FILEEND_LCT <> 0 then it implies the file has been -- fully processed and should not be processed again , RECORDSPROCESSED LARGEINT SIGNED NO DEFAULT NOT NULL -- Number of records processed from this file , SESSIONTBLINSCOUNT LARGEINT SIGNED NO DEFAULT NOT NULL -- Number of session table inserts done while processing records from --this file , AUDITTBLINSCOUNT LARGEINT SIGNED NO DEFAULT NOT NULL -- Number of audit table inserts done while processing records from --this file , AUDITFILENAME VARCHAR (40) NO DEFAULT NOT NULL -- Name of the audit trail file , CURRENTFILESTATUS VARCHAR (256) NO DEFAULT NOT NULL -- What is the server doing to this file , PRIMARY KEY RECORDSTATEKEY )



CREATE TABLE =XMA_SFGMVSTATEAUXTBL

SafeguardのMOVER状態補助テーブル = XMA_SFGMVSTATEAUXTBL

( RECORDSTATEKEY TIMESTAMP DEFAULT CURRENT NOT NULL ,SFGNODE CHAR (8) NO DEFAULT NOT NULL -- SAFEGUARD node ,ServerclassNAME CHAR (15) NO DEFAULT NOT NULL -- Refers to =XMA_SFGMVSTATETBL ,FILEBEGIN_GMT CHAR (26) NO DEFAULT NOT NULL -- GMT of the first record in the file ,FILEBEGIN_LCT CHAR (26) NO DEFAULT NOT NULL -- LCT of the first record in the file ,RECORDBEGINGMTTSTMP LARGEINT SIGNED NO DEFAULT NOT NULL -- GMT of first record in this range in timestamp format ,RECORDENDGMTTSTMP LARGEINT SIGNED NO DEFAULT NOT NULL -- GMT of last record in this range in timestamp format ,RECORDBEGIN_LCT CHAR(26) NO DEFAULT NOT NULL -- LCT of first record in this range ,RECORDEND_LCT CHAR(26) NO DEFAULT NOT NULL -- LCT of last record in this range ,PRIMARY KEY RECORDSTATEKEY )

B10: BASE24 MOVER テーブル CREATE TABLE =XMA_b24MVTBL ( SERVERCLASSNAME CHAR(15) NO DEFAULT NOT NULL -- server class name ,DELETED CHAR(1) DEFAULT 'N' NOT NULL -- whether this server class has been deleted ,XYGATENODE CHAR(8) NO DEFAULT NOT NULL ,XYGATEVOLUME CHAR(8) NO DEFAULT NOT NULL ,XYGATESUBVOLUME CHAR(8) NO DEFAULT NOT NULL ,XYGATEPRODUCT CHAR(3) NO DEFAULT NOT NULL -- the above four fields describe the location where the xymove process -- has to look for the CONF file to get the location of the enscribe -- audit files ,PRIMARYAUDITFILE CHAR(35) NO DEFAULT NOT NULL -- primary audit file for this installation ,AUDITFILEMASK CHAR(35) NO DEFAULT NOT NULL -- location of the audits for this node ,AUDITFILECODE SMALLINT NOT NULL -- file code to look for ,CURRENTSTATUS VARCHAR(256) NO DEFAULT NOT NULL -- what is the server doing ,PRIMARY KEY SERVERCLASSNAME ) CATALOG =XMA_CAT ORGANIZATION K SIMILARITY CHECK ENABLE AUDIT;



B11: BASE24 パラメーターテーブル XYGATE Merged Audit のリリース 1.90 では、このテーブルは使用されません。デー



CREATE TABLE =XMA_b24mvPARAMSTBL ( RECORDPARAMSKEY TIMESTAMP DEFAULT CURRENT NOT NULL ,SERVERCLASSNAME CHAR(15) NO DEFAULT NOT NULL -- refers to =XMA_b24mvTBL ,PARAMNAME VARCHAR(50) NO DEFAULT NOT NULL -- name of the parameter ,PARAMVALUE VARCHAR(256) NO DEFAULT NOT NULL -- value of the parameter ,PRIMARY KEY RECORDPARAMSKEY ) CATALOG =XMA_CAT ORGANIZATION K SIMILARITY CHECK ENABLE AUDIT;

B12: BASE24 状態テーブル BASE24 の MOVER では、下記の 2 つのテーブルを用いて現在のオーディットファイ

ルおよび処理済みのファイルの最後のレコードの日付が追跡されます。このため、重

複データが作成されません。また、MOVER は、停止および再起動する必要がある場

合も、"キャッチアップ"できます。

CREATE TABLE =XMA_b24mvASTATETBL ( RECORDSTATEKEY TIMESTAMP DEFAULT CURRENT NOT NULL ,XYGATENODE CHAR(8) NO DEFAULT NOT NULL ,XYGATEVOLUME CHAR(8) NO DEFAULT NOT NULL ,XYGATESUBVOLUME CHAR(8) NO DEFAULT NOT NULL ,XYGATEPRODUCT CHAR(3) NO DEFAULT NOT NULL ,SERVERCLASSNAME CHAR(15) NO DEFAULT NOT NULL -- refers to =XMA_b24mvTBL ,AUDITFILECT LARGEINT SIGNED NO DEFAULT NOT NULL -- equivalent to a long long (64 bit timestamp) -- Creation timestamp of the audit trail enscribe file ,AUDITFILEMT LARGEINT SIGNED NO DEFAULT NOT NULL -- equivalent to a long long (48 bit converted to 64 bit timestamp) -- Modification timestamp of the audit trail enscribe file ,LASTRECORD_ADDRESS LARGEINT SIGNED NO DEFAULT NOT NULL -- equivalent to a long long (64 bit address) -- address of last record processed in the file ,LASTRECORD_LCT CHAR(26) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss as picked from enscribe file -- LCT of the last record processed in the file ,FILEBEGIN_LCT CHAR(26) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss as picked from enscribe file -- LCT of the first record in the file ,FILEEND_LCT CHAR(26) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss as picked from enscribe file -- LCT of the last record in the file -- NOTE : if FILEEND_LCT <> 0 then it implies the file has been



-- fully processed and should not be processed again ,RECORDSPROCESSED LARGEINT SIGNED NO DEFAULT NOT NULL -- number of records processed from this file ,SESSIONTBLINSCOUNT LARGEINT SIGNED NO DEFAULT NOT NULL -- number of session table inserts done while processing records from ,AUDITTBLINSCOUNT LARGEINT SIGNED NO DEFAULT NOT NULL -- number of audit table inserts done while processing records from the ,AUDITFILENAME VARCHAR(40) NO DEFAULT NOT NULL -- Name of the audit trail enscribe file ,CURRENTFILESTATUS VARCHAR(256) NO DEFAULT NOT NULL -- what is the server doing to this file ,PRIMARY KEY RECORDSTATEKEY ) CATALOG =XMA_CAT ORGANIZATION K SIMILARITY CHECK ENABLE AUDIT; CREATE TABLE =XMA_b24mvASTATEAUXTBL ( RECORDSTATEKEY TIMESTAMP DEFAULT CURRENT NOT NULL ,XYGATENODE CHAR(8) NO DEFAULT NOT NULL ,XYGATEVOLUME CHAR(8) NO DEFAULT NOT NULL ,XYGATESUBVOLUME CHAR(8) NO DEFAULT NOT NULL ,XYGATEPRODUCT CHAR(3) NO DEFAULT NOT NULL ,SERVERCLASSNAME CHAR(15) NO DEFAULT NOT NULL -- refers to =XMA_b24mvSTATETBL ,FILEBEGIN_LCT CHAR(26) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss as picked from enscribe file -- LCT of the first record in the file ,RECORDBEGINADDR LARGEINT SIGNED NO DEFAULT NOT NULL -- equivalent to a long long (64 bit address) -- begin address of record range ,RECORDENDADDR LARGEINT SIGNED NO DEFAULT NOT NULL -- equivalent to a long long (64 bit address) -- end address of record range ,RECORDBEGIN_LCT CHAR(26) NO DEFAULT NOT NULL -- LCT of record corresponding to RECORDBEGINADDR ,RECORDEND_LCT CHAR(26) NO DEFAULT NOT NULL -- LCT of record corresponding to RECORDENDADDR ,PRIMARY KEY RECORDSTATEKEY ) CATALOG =XMA_CAT ORGANIZATION K SIMILARITY CHECK ENABLE AUDIT;



B13: TCP/IP Syslog テーブル SLSENDER プログラムが、このテーブルを読み取ります。 CREATE TABLE =XMA_SYSLOGQ ( PARTITIONKEY NUMERIC( 4, 0) DEFAULT 1 NOT NULL ,ENTRYGMT TIMESTAMP NO DEFAULT NOT NULL ,PART SMALLINT NO DEFAULT NOT NULL ,ACTIONGMT TIMESTAMP NO DEFAULT NOT NULL ,ALERTEDGMT TIMESTAMP NO DEFAULT NOT NULL ,ACTION CHAR(1) NO DEFAULT NOT NULL ,TCP_PROCESS CHAR(9) NO DEFAULT NOT NULL ,RETRIES SMALLINT NO DEFAULT NOT NULL ,MESSAGE_LEN SMALLINT NO DEFAULT NOT NULL ,TARGET_PORT SMALLINT NO DEFAULT NOT NULL ,TARGET_HOST VARCHAR(64) NO DEFAULT NOT NULL ,PREFIX VARCHAR(79) NO DEFAULT NOT NULL ,MESSAGE VARCHAR(1000) NO DEFAULT NOT NULL ,PRIMARY KEY (PARTITIONKEY, ENTRYGMT, PART)

B14: HLR MOVER テーブルこのテーブルは、HLR の各 MOVER サーバークラスのエントリを含んでいます。

CREATE TABLE =XMA_hlrMVTBL ( SERVERCLASSNAME CHAR(15) NO DEFAULT NOT NULL -- server class name ,DELETED CHAR(1) DEFAULT 'N' NOT NULL -- whether this server class has been deleted ,XYGATENODE CHAR(8) NO DEFAULT NOT NULL ,XYGATEVOLUME CHAR(8) NO DEFAULT NOT NULL ,XYGATESUBVOLUME CHAR(8) NO DEFAULT NOT NULL ,XYGATEPRODUCT CHAR(3) NO DEFAULT NOT NULL ,PRIMARYAUDITFILE VARCHAR(1024) NO DEFAULT NOT NULL -- primary audit file for this installation (OSS file) ,AUDITFILEMASK VARCHAR(1024) NO DEFAULT NOT NULL -- location of the audits for this node (OSS mask) ,AUDITFILECODE SMALLINT NOT NULL -- file code to look for (not used) ,CURRENTSTATUS VARCHAR(256) NO DEFAULT NOT NULL -- what is the server doing ,PRIMARY KEY SERVERCLASSNAME ) CATALOG =XMA_CAT ORGANIZATION K SIMILARITY CHECK ENABLE AUDIT;

B15: HLR パラメーターテーブル HLR の MOVER には、専用の PARAMS テーブルはありません。この MOVER の構成

情報は、PARAMS テーブルに格納されます。



B16: HLR 状態テーブル HLR の MOVER では、下記の 2 つのテーブルを用いて現在のオーディットファイルお

よび処理済みのファイルの最後のレコードの日付が追跡されます。このため、重複デ

ータが作成されません。また、MOVER は、停止および再起動する必要がある場合も、

"キャッチアップ"できます。

CREATE TABLE =XMA_hlrMVSTATETBL ( RECORDSTATEKEY TIMESTAMP DEFAULT CURRENT NOT NULL ,XYGATENODE CHAR(8) NO DEFAULT NOT NULL ,XYGATEVOLUME CHAR(8) NO DEFAULT NOT NULL ,XYGATESUBVOLUME CHAR(8) NO DEFAULT NOT NULL ,XYGATEPRODUCT CHAR(3) NO DEFAULT NOT NULL ,SERVERCLASSNAME CHAR(15) NO DEFAULT NOT NULL -- refers to =XMA_hlrmvTBL ,AUDITFILECT LARGEINT SIGNED NO DEFAULT NOT NULL -- equivalent to a long long (64 bit timestamp) -- Creation timestamp of the audit trail ,AUDITFILEMT LARGEINT SIGNED NO DEFAULT NOT NULL -- equivalent to a long long (48 bit converted to 64 bit timestamp) -- Modification timestamp of the audit trail file ,LASTRECORD_ADDRESS LARGEINT SIGNED NO DEFAULT NOT NULL -- equivalent to a long long (64 bit address) -- address of last record processed in the file ,LASTRECORD_LCT CHAR(26) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss as picked from file -- LCT of the last record processed in the file ,FILEBEGIN_LCT CHAR(26) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss as picked from file -- LCT of the first record in the file ,FILEEND_LCT CHAR(26) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss as picked from file -- LCT of the last record in the file -- NOTE : if FILEEND_LCT <> 0 then it implies the file has been -- fully processed and should not be processed again ,RECORDSPROCESSED LARGEINT SIGNED NO DEFAULT NOT NULL -- number of records processed from this file ,SESSIONTBLINSCOUNT LARGEINT SIGNED NO DEFAULT NOT NULL -- number of session table inserts done while processing records from ,AUDITTBLINSCOUNT LARGEINT SIGNED NO DEFAULT NOT NULL -- number of audit table inserts done while processing records from the ,AUDITFILENAME VARCHAR(1024) NO DEFAULT NOT NULL -- Name of the audit trail file ,CURRENTFILESTATUS VARCHAR(256) NO DEFAULT NOT NULL -- what is the server doing to this file ,PRIMARY KEY RECORDSTATEKEY ) CATALOG =XMA_CAT ORGANIZATION K SIMILARITY CHECK ENABLE AUDIT; CREATE TABLE =XMA_hlrmvSTATEAUXTBL ( RECORDSTATEKEY TIMESTAMP DEFAULT CURRENT NOT NULL ,XYGATENODE CHAR(8) NO DEFAULT NOT NULL ,XYGATEVOLUME CHAR(8) NO DEFAULT NOT NULL ,XYGATESUBVOLUME CHAR(8) NO DEFAULT NOT NULL ,XYGATEPRODUCT CHAR(3) NO DEFAULT NOT NULL



,SERVERCLASSNAME CHAR(15) NO DEFAULT NOT NULL -- refers to =XMA_hlrmvSTATETBL ,FILEBEGIN_LCT CHAR(26) NO DEFAULT NOT NULL -- yyyy-mm-dd hh:nn:ss.msssss as picked from file -- LCT of the first record in the file ,RECORDBEGINADDR LARGEINT SIGNED NO DEFAULT NOT NULL -- equivalent to a long long (64 bit address) -- begin address of record range ,RECORDENDADDR LARGEINT SIGNED NO DEFAULT NOT NULL -- equivalent to a long long (64 bit address) -- end address of record range ,RECORDBEGIN_LCT CHAR(26) NO DEFAULT NOT NULL -- LCT of record corresponding to RECORDBEGINADDR ,RECORDEND_LCT CHAR(26) NO DEFAULT NOT NULL -- LCT of record corresponding to RECORDENDADDR ,PRIMARY KEY RECORDSTATEKEY ) CATALOG =XMA_CAT ORGANIZATION K SIMILARITY CHECK ENABLE AUDIT;

B17: アーカイブテーブルアーカイブプロセスをサポートするテーブルは、2 つ存在します。ARCHIVES テーブ

ルでは、既存のすべてのアーカイブセットのステータスが追跡されます。ARCHIVE LOG テーブルはレコードカウントなどのアーカイブ処理に関連付けられたオーディッ

トデータを含んでいます。アーカイブセットを削除すると、ARCHIVEID に該当する

レコードが ARCHIVES テーブルから削除されます。アーカイブセットの削除は、

ARCHIVE LOG テーブルに記録されます。

CREATE TABLE =XMA_ARCHIVESTBL

ARCHIVESテーブル = XMA_ARCHIVESTBL

( ARCHIVEID CHAR(5) NO DEFAULT NOT NULL -- unique archival id ,ARCHIVALDATE TIMESTAMP DEFAULT CURRENT NOT NULL -- date/time when this archival request was made ,BEGINLCT TIMESTAMP NO DEFAULT NOT NULL -- begin time of the archival ,ENDLCT TIMESTAMP NO DEFAULT NOT NULL -- end time of the archival ,COMPLETED CHAR(1) DEFAULT 'N' NOT NULL -- whether the archival is complete or not ,ARCHIVELOCATION CHAR(26) NO DEFAULT NOT NULL -- \node.$vol.subvol ,ARCHIVEVER CHAR(4) NO DEFAULT NOT NULL -- version of the tables eg. 1.00 ,ARCHIVEDESC VARCHAR(256) NO DEFAULT NOT NULL -- description of this archive ,ARCHIVESTATUS VARCHAR(256) NO DEFAULT NOT NULL -- status of the archival ,ARCHIVEPROCESS VARCHAR(40) NO DEFAULT NOT NULL -- archival process ,RESTARTSTEP SMALLINT NO DEFAULT NOT NULL -- restart step ,RESTARTSESSIONKEY TIMESTAMP DEFAULT CURRENT NOT NULL -- restart session key ,RESTARTAUDITKEY TIMESTAMP DEFAULT CURRENT NOT NULL -- restart audit key



,RESTARTPROCCREATLCT CHAR(26) NO DEFAULT NOT NULL -- restart process creation lct ,PRIMARY KEY ARCHIVEID )

CREATE TABLE =XMA_ARCHIVELOGTBL

ARCHIVE LOGテーブル = XMA_ARCHIVELOGTBL

( RECORDGMT TIMESTAMP NO DEFAULT NOT NULL -- record insertion timestamp in GMT ,ARCHIVEID CHAR(5) NO DEFAULT NOT NULL -- archive id ,RECORDLCT TIMESTAMP NO DEFAULT NOT NULL -- record insertion timestamp in LCT ,SESSIONID CHAR(12) NO DEFAULT NOT NULL -- 12 char session id - will help distinguish between -- restarts of the same archive ,SEQNO CHAR(9) NO DEFAULT NOT NULL -- sequence no of records within a session ,LOG VARCHAR(256) NO DEFAULT NOT NULL -- details on what happened ,PRIMARY KEY (RECORDGMT,ARCHIVEID) )

B18: PARAMS テーブル複数のサーバークラスが PARAMS テーブルを共有します。SLSENDER サーバークラ

ス、HLR サーバークラス、および IPRESLVR サーバークラスの構成情報が格納され

ています。 CREATE TABLE =XMA_PARAMSTBL ( SERVERCLASSTYPE CHAR(15) NO DEFAULT NOT NULL ,SERVERCLASSNAME CHAR(15) NO DEFAULT NOT NULL ,PARAMNAME VARCHAR(50) NO DEFAULT NOT NULL -- name of the parameter ,PARAMVALUE VARCHAR(256) NO DEFAULT NOT NULL -- value of the parameter ,PARAMDESC VARCHAR(50) NO DEFAULT NOT NULL -- description of the parameter ,PRIMARY KEY ( SERVERCLASSTYPE, SERVERCLASSNAME, PARAMNAME ) ) CATALOG =XMA_CAT ORGANIZATION K SIMILARITY CHECK ENABLE AUDIT;

B19: SESSIONOIP テーブルこのテーブルは、IP アドレス解決(IPRESLVR)のキューファイルです。 CREATE TABLE =XMA_SESSIONNOIPTBL ( PARTITIONKEY NUMERIC (4,0) NO DEFAULT NOT NULL ,RECORDSESSIONKEY DATETIME YEAR TO FRACTION(6) DEFAULT SYSTEM N ,SESSIONID CHAR(36) NO DEFAULT NOT NULL ,RECORDLCT DATETIME YEAR TO FRACTION(6) DEFAULT SYSTEM N ,TERMINAL VARCHAR(64) DEFAULT NULL ,PROCESSTHREADID VARCHAR(50) DEFAULT NULL ,IPADDRESS CHAR(16) DEFAULT NULL ,RETRIES SMALLINT NO DEFAULT NOT NULL ,PRIMARY KEY (PARTITIONKEY,RECORDSESSIONKEY)



) CATALOG =XMA_CAT ORGANIZATION K SIMILARITY CHECK ENABLE EXTENT (512,512) format 2 AUDIT;


付録C: データテーブル

データテーブルは、XYGATE 製品、Safeguard、および MEASURE から抽出されたオ

ーディットデータを含んでいます。また、XMA 処理のオーディット情報を含んでいま

す。

C1: ファイルのパーティション分割 XMA 1.23 以降では、オーディットセッションテーブルおよびオーディット詳細テー

ブルはパーティション分割に有用なキーを含んでいます。PARTITION キーはオーデ

ィットセッションテーブルおよびオーディット詳細テーブルの最初のカラムです。

PARTITIONKEY カラムは値 2～255 でランダムに更新されます。値 0 は、NULL パー

ティションの作成に使用されません。値 1 は変換用に予約されています。詳細につい

ては、第 7.4 節「XMA データベースのパーティション分割」(140 ページ)を参照して

ください。

XYGATEMAサブボリュームには、テーブルのパーティション分割に有用なサンプル

ファイルが存在します。このファイルは必要なコマンドを含んでいます。このファイ

ルは、名前がPARSAMPであり、付録E5:「PARSAMP」(192 ページ)で説明されてい

ます。

C2: XYGATE 製品構成テーブル下記の情報は、MOVER テーブル(XMA_XYMVTBL)に存在します。XYGATE 製品に関

連付けられた各サーバークラスのテーブルに対して 1 つのローが存在します。

C3: ServerclassNAME この名前は、Pathway の MOVER サーバークラスに付けます。最大 15 文字であり、

Pathway の標準の命名規則に準拠する必要があります。

XYGATE Merged Audit®リファレンスマニュアル付録 C: データテーブル


C4: XYGATE 製品のインストール先下記の 4 つのフィールドで XYGATE 製品のインストール先を表します。このインス

トール先の情報を使用すると、LOGDDL ファイルを検証して、インストール済みの

XYGATE 製品のバージョンを確認できます。また、XYGATE 製品のオーディットデ

ータが正しいオーディットファイルのレイアウトで抽出されていることを確認できま

す。

XYGATENODE XYGATE 製品のノードを表します。

XYGATEVOLUME XYGATE 製品のボリュームを表します。

XYGATESUBVOLUME XYGATE 製品のサブボリュームを表します。

XYGATEPRODUCT

このフィールドは、MOVER プロセスがデータを抽出する製品を表します。製品略称

を使用します。

PRIMARYAUDITFILE <ファイル名>

このフィールドは、XYGATE 製品のプライマリオーディットファイルの保存先です。

例：

\Node1.$system.xygateac.xacaud

注：

オーディットファイルの保存先を変更した場合は、新しい MOVER サーバーク

ラスを作成する必要があります。

XYGATE製品をアップグレードし、オーディットファイルのレイアウトを変更し

た場合は、データが引き続き正しく抽出されるように、古いレイアウトのオー

ディットファイルを指定することが推奨されます。

C5: AUDITFILEMASK <ファイル名マスク> このフィールドは、XYGATE 製品のプライマリオーディットファイルのワイルドカー

ド名です。

例： \Node1.$system.xygateac.xac*



C6: AUDITFILECODE <ファイルコード> このフィールドはオーディットファイルに関連付けられたファイルコードです。この

ファイルコードは正しいオーディットファイルが使用されていることを確認する追加

のチェックとして XYGATE 製品の MOVER プログラムで使用されます。XYGATE 製

品の設定ファイルの AUDIT キーワードで使用されるオプションに応じて、ファイル

コード 3331、3332、または 3333 が割り当てられます。すべての XYGATE 製品が

INVOKE および DETAIL オプションに対応しているわけではありません。下記の表で

は、INVOKE および DETAIL の使用法に基づくファイルコードの割り当てについて説

明します。

AUDIT <ファイル名> INVOKE 3331

AUDIT <ファイル名> DETAIL 3332

AUDIT <ファイル名> INVOKE DETAIL 3333

注：

C7: オーディット製品テーブル = XMA_AUDPRODUCTTBL

セキュリティに関する留意事項：XMA Pathwayのオーナーはモニター対象の製

品のオーディットトレイルに読み取りアクセスできる必要があります。

このテーブルは、PRODUCTCODE 情報および PRODUCTNAME 情報を含んでいます。

CREATE TABLE =XMA_AUDPRODUCTTBL (PRODUCTCODE CHAR (10) NO DEFAULT NOT NULL -- Product code of the product that generated this audit , PRODUCTNAME VARCHAR (50) NO DEFAULT NOT NULL -- Descriptive product name of the product that generated this audit , PRIMARY KEY PRODUCTCODE )

C8: オーディットインストールテーブル = XMA_AUDINSTALLTBL このテーブルは、PRODUCTCODE 情報と PRODUCT INSTALLATION 情報の相互参

照です。また、オーディットセッションテーブルのデータのソースインストールの識

別に使用されます。

Session Table.

CREATE TABLE =XMA_AUDINSTALLTBL (RECORDINSTALLKEY TIMESTAMP DEFAULT CURRENT NOT NULL , PRODUCTCODE CHAR (10) NO DEFAULT NOT NULL -- Refers to PRODUCTCODE in =XMA_AUDPRODUCTTBL , IPADDRESS CHAR (16) DEFAULT NULL -- IP address of the system which caused the generation of this audit , SYSTEMNAME VARCHAR (64) NO DEFAULT NOT NULL -- System which caused the generation of this audit , LOCATION VARCHAR (128) NO DEFAULT NOT NULL -- Location within the system which caused the generation of this



-- audit -- Contains $VOL.SUBVOL in case of XYGATE products , DNSNAME VARCHAR (100) DEFAULT NULL -- DNS name of the system which caused the generation of this audit , PRIMARY KEY RECORDINSTALLKEY )

C9: オーディットセッションテーブル = XMA_AUDSESSIONTBL オーディットセッションテーブルでは、特定の製品およびセッションのレコードグル

ープが結合されます。このテーブルの 1 件のレコードはオーディット詳細テーブルの

1 件以上のレコードのグループごとに存在します。

CREATE TABLE =XMA_AUDSESSIONTBL (PARTITIONKEY NUMERIC(4) DEFAULT 1 NOT NULL -- randomly chosen between 0002 and 0255 (0 is kept empty, 1 is reserved for copy) RECORDSESSIONKEY TIMESTAMP DEFAULT CURRENT NOT NULL , RECORDINSTALLKEY TIMESTAMP NO DEFAULT NOT NULL -- Refers to RECORDINSTALLKEY in =XMA_AUDINSTALLTBL , SESSIONID CHAR (36) NO DEFAULT NOT NULL -- Audits without SESSIONID get a unique id common to the entire trail -- 12 char XYGATE session id is left padded with 0s. , FOUNDSESSIONSTART CHAR (1) DEFAULT 'N' NOT NULL -- 'N' or 'Y' - whether the beginning of the session was found in the --data , FOUNDSESSIONEND CHAR (1) DEFAULT 'N' NOT NULL -- 'N' or 'Y' - whether the end of the session was found in the data , IPADDRESS CHAR (16) DEFAULT NULL -- IP address of the client , SESSIONNAME VARCHAR (40) DEFAULT NULL -- Session name if any, e.g. An XAC command name , PROCESSTHREADID VARCHAR (50) DEFAULT NULL -- ID of the process that caused the generation of this audit , PROCESSTHREADID2 VARCHAR (50) DEFAULT NULL -- Related process e.g. XAC process descriptor , CLIENTPROGRAM VARCHAR (50) DEFAULT NULL -- Object file name of the client , ANCESTORPROCESSTHREADID VARCHAR (50) DEFAULT NULL -- Parent of the process that caused the generation of this audit , DNSNAME VARCHAR (100) DEFAULT NULL -- DNS name of the client , CLIENTCURRDIR VARCHAR (200) DEFAULT NULL -- Location from where the session was started , PRIMARY KEY (PARTITIONKEY,RECORDSESSIONKEY) )



C10: オーディット詳細テーブル = XMA_AUDITDETAILTBL このテーブルのレコードは特定のセッションを含む詳細レコードです。オーディット

セッションテーブルには、1 件のエントリで結合された 1 件以上の関連レコードが存

在します。

CREATE TABLE =XMA_AUDITDETAILTBL (PARTITIONKEY NUMERIC(4) DEFAULT 1 NOT NULL -- randomly chosen between 0002 and 0255 (0 is kept empty, 1 is reserved for copy) RECORDGMT TIMESTAMP NO DEFAULT NOT NULL -- Calculated GMT of the record , GMTSEQNO CHAR (2) NO DEFAULT NOT NULL -- To make the RECORDGMT unique , RECORDLCT TIMESTAMP NO DEFAULT NOT NULL -- Local Civil Time of the record , RECORDAUDITKEY TIMESTAMP DEFAULT CURRENT NOT NULL -- Timestamp of record insertion , RECORDSESSIONKEY TIMESTAMP NO DEFAULT NOT NULL -- Refers to RECORDKEY in =XMA_AUDSESSIONTBL , SEQNO CHAR (9) NO DEFAULT NOT NULL -- Sequence no of records within a session , OUTCOME CHAR (1) DEFAULT '1' NOT NULL -- '1' SUCCESS,'2' NORECORD, '3' FAILED -- Generated using information contained in MESSAGECODE , WARNINGMODE CHAR (1) DEFAULT 'N' NOT NULL -- 'N' or 'Y' , TESTMODE CHAR (1) DEFAULT 'N' NOT NULL -- 'N' or 'Y' , ALERTED CHAR (1) DEFAULT 'N' NOT NULL -- 'N' or 'A'/'F'/'B'/'D'/'O' – Generated by XMA , SEVERITY CHAR (1) DEFAULT '1' NOT NULL -- ‘1’: info ,‘2’: warning ,‘3’: critical ,'4' : fatal , PRODUCTCODE CHAR(10) DEFAULT NULL -- Mover generated. 8-charater codes such AS XYGATEAC or SAFERGUARD , SUBJECT_USERNUMBER_MAJOR CHAR(8) DEFAULT NULL -- Group number in case of HP NONSTOP ,SUBJECT_USERNUMBER_MINOR CHAR(8) DEFAULT NULL -- User number in case of HP NONSTOP , TARGET_USERNUMBER_MAJOR CHAR(8) DEFAULT NULL -- Group number in case of HP NONSTOP , TARGET_USERNUMBER_MINOR CHAR(8) DEFAULT NULL -- User number in case of HP NONSTOP , SUBJECTLOGIN VARCHAR(40) DEFAULT NULL -- login/username of the subject user , SUBJECTSYSTEM VARCHAR(64) DEFAULT NULL -- System of the subject user , TARGETLOGIN VARCHAR (40) DEFAULT NULL -- login/username of the target user , OBJECTTYPE VARCHAR (32) DEFAULT NULL -- Type of the object acted upon e.g. FILE , OBJECTNAME VARCHAR (200) DEFAULT NULL -- Name of the object acted upon e.g. file in case of FTP , OPERATION VARCHAR (128) DEFAULT NULL -- Activity performed on the object , TERMINAL VARCHAR (64) DEFAULT NULL -- Terminal on which the activity was performed , MESSAGEID VARCHAR (20) DEFAULT NULL -- Any product specific internal id such as AUDIT-TYPE for audit files



-- that contain different record types , MESSAGECODE VARCHAR (20) DEFAULT NULL -- Error codes, event codes, product specific codes -- Used to determine value in outcome , RULENAME VARCHAR (50) DEFAULT NULL -- Name of the rule used , RESULT VARCHAR (256) DEFAULT NULL -- Details about what happened ,USER_DATA VARCHAR(16) DEFAULT NULL -- reserved for future use , PRIMARY KEY (PARTITIONKEY,RECORDGMT,GMTSEQNO)

C11: XMA テーブルの手動削除この処理が必要とされることはほぼありません。通常、このクリーンアッププロセス

は、SQL 環境の作成(XMA_MANAGER を最初に使用)中にシステムカタログに XMAカタログを追加しようとしてセキュリティエラーが発生した場合に必要です。

推奨される方法は、下記のとおり、XMA データテーブルが存在するサブボリューム

(通常は XMADAT)に移動し、SQLCI で purge *を実行することです。

例： Volume $secure.XMADAT sqlci purge *;

何らかの原因で上記のコマンドが動作しない場合は、SQLCI で下記のコマンドを実行

するか、SQLCI で実行できる OBEY ファイルにコマンドを貼り付けることができま

す。

DROP TABLE $DATA2.XMADAT.ARCHIVES; DROP TABLE $DATA2.XMADAT.ARCLOG ; DROP TABLE $DATA2.XMADAT.AUDDET ; DROP TABLE $DATA2.XMADAT.AUDSESS ; DROP TABLE $DATA2.XMADAT.AUDINST ; DROP TABLE $DATA2.XMADAT.AUDPROD ; DROP TABLE $DATA2.XMADAT.B24MV ; DROP TABLE $DATA2.XMADAT.B24MVAAU ; DROP TABLE $DATA2.XMADAT.B24MVAU ; DROP TABLE $DATA2.XMADAT.B24MVAST ; DROP TABLE $DATA2.XMADAT.EMSAST ; DROP TABLE $DATA2.XMADAT.EMSASTI ; DROP TABLE $DATA2.XMADAT.EMSMV ; DROP TABLE $DATA2.XMADAT.EMSPRM ; DROP TABLE $DATA2.XMADAT.EMSST ; DROP TABLE $DATA2.XMADAT.EMSSTI ; DROP TABLE $DATA2.XMADAT.HKEEPPRM; DROP TABLE $DATA2.XMADAT.MAILBODY; DROP TABLE $DATA2.XMADAT.MAILIDS ; DROP TABLE $DATA2.XMADAT.MAILTO ; DROP TABLE $DATA2.XMADAT.MEAAPROC; DROP TABLE $DATA2.XMADAT.MQRDRPRM; DROP TABLE $DATA2.XMADAT.SFGAAUX ; DROP TABLE $DATA2.XMADAT.XYMVAAIN; DROP TABLE $DATA2.XMADAT.XYMVAAU ;



DROP TABLE $DATA2.XMADAT.XYMVAST ; DROP TABLE $DATA2.XMADAT.SFGAUX ; DROP INDEX $DATA2.XMADAT.AUDGMIND ; DROP INDEX $DATA2.XMADAT.AUDININD ; DROP INDEX $DATA2.XMADAT.AUDLCIND ; DROP INDEX $DATA2.XMADAT.AUDSEIND ; DROP INDEX $DATA2.XMADAT.AUDSRIND ; DROP INDEX $DATA2.XMADAT.B24MAAIN ; DROP INDEX $DATA2.XMADAT.B24MAIND ; DROP INDEX $DATA2.XMADAT.B24MASIN ; DROP INDEX $DATA2.XMADAT.B24MSIND ; DROP INDEX $DATA2.XMADAT.DETSEIND ; DROP INDEX $DATA2.XMADAT.MPRCIND; DROP INDEX $DATA2.XMADAT.MPROIND; DROP INDEX $DATA2.XMADAT.SFGAAUXI; DROP INDEX $DATA2.XMADAT.XYMVAAIN; DROP INDEX $DATA2.XMADAT.XYMVASIN; DROP PROGRAM $DATA2.XYGATEMA.SFGMOVE; DROP PROGRAM $DATA2.XYGATEMA.b24MOVE; DROP PROGRAM $DATA2.XYGATEMA.XYMOVE; DROP PROGRAM $DATA2.XYGATEMA.MEASMOVE; DROP PROGRAM $DATA2.XYGATEMA.EMSMOVE; DROP PROGRAM $DATA2.XYGATEMA.ARCHIVE; DROP PROGRAM $DATA2.XYGATEMA.HKEEPER; DROP PROGRAM $DATA2.XYGATEMA.MADELDBC; DROP PROGRAM $DATA2.XYGATEMA.MAMGRC ; DROP PROGRAM $DATA2.XYGATEMA.MQREADER; DROP PROGRAM $DATA2.XYGATEMA.XYGATEMA; DROP PROGRAM $DATA2.XYGATEMA.XYSQLCI ; DROP CATALOG $DATA2.XMACAT ;


付録D: サンプルフィルター

本付録では、標準的なフィルターについて説明します。

D1: $CMON の"I'm Alive"メッセージの除外 $CMON はバックグラウンドで実行されるため、オーディットにメッセージを定期的

に書き込みます。通常、ユーザーは XMA データベースからこのメッセージを除外し

ます。このようなオーディットイベントは OPERATION で一意に識別されるため、必

要なデータ選択基準はこの除外のみです。

例 1：

FILTERDEFBEGIN $IGNORE.XCM.ALIVE STATUS ACTIVE MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = XYGATECM MOVER_SELECT_END MOVER_END DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OPERATION = ALIVE DATA_SELECT_END DATA_END ACTIONCOLL_BEGIN ACTION_BEGIN ACTIONTYPE IGNORE ACTION_END ACTIONCOLL_END FILTERDEFEND

XYGATE Merged Audit®リファレンスマニュアル付録 E: XMA ホストマクロ


D2: XPC のステータスコマンドの除外例 2 は、XPCのステータスコマンドを除外する例です。通常、すべてのユーザーがす

べてのプロセスに対してステータスコマンドを実行でき、セキュリティリスクは無く、

大量のオーディットが生成されます。このようなオーディットイベントは、

MESSAGEIDカラムに記録されるオーディットレコードタイプで一意に識別されます。

詳細については、『XYGATE Process Control (XPC)

例 2：

』マニュアルを参照してくださ

い。

FILTERDEFBEGIN $IGNORE_XPC-STATUS STATUS ACTIVE MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = XYGATEPC MOVER_SELECT_END MOVER_END DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.MESSAGEID = XPC-S DATA_SELECT_END DATA_END ACTIONCOLL_BEGIN ACTION_BEGIN ACTIONTYPE IGNORE ACTION_END ACTIONCOLL_END FILTERDEFEND



D3: 自身のユーザーデータベースを読み取る Safeguard の除外例 3 では、Safeguard 自身による"USER"および"LUSER"ファイルの読み取りのオーデ

ィットが除外されます。Safeguard では、この 2 つのファイルがすべてのファイルア

クセスおよびログインの判定中に読み取られ、有用でない大量のオーディットが生成

されます。このようなイベントは、MOVER、OPERATION、対象のユーザーID の組

み合わせで一意に識別されます。

この例では、対象のユーザーID が SUBJECTLOGIN で選択されます。USER*ファイ

ルと LUSER*ファイルの両方を表す 1 つの正規表現を含む 1 つのデータ選択段落も使

用できますが、両方を分割する方が読みやすいため、2 つの段落に記載しています。

例 3： FILTERDEFBEGIN $SUPER_USER_READS !== Ignore all operating system reads to the user files STATUS INACTIVE DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.SUBJECTLOGIN = SUPER.SUPER AUDIT.OBJECTNAME LIKE "$SYSTEM\.SAFE\.(LUSERID|LUSERIDG|LUSERAX)" AUDIT.OPERATION = READ DATA_SELECT_END ! or … DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.SUBJECTLOGIN = SUPER.SUPER AUDIT.OBJECTNAME LIKE "$SYSTEM\.SYSTEM\.(USERID|USERIDAK|USERIDAX)" AUDIT.OPERATION = READ DATA_SELECT_END DATA_END ACTIONCOLL_BEGIN ACTION_BEGIN ACTIONTYPE IGNORE ACTION_END ACTIONCOLL_END FILTERDEFEND



D4: Safeguard の No Record の除外例 4 では、結果が No Record である Safeguard アクセスイベント(OUTCOME = 2)が除外されます。必要なデータ選択基準は、この除外のみです。このようなイベントは、

MOVER と OUTCOME の組み合わせで一意に識別されます。

例 4：

FILTERDEFBEGIN $IGNORE_SAFEGUARD_NORECS STATUS INACTIVE !=Ignore Safeguard "No records" MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = SAFEGUARD MOVER_SELECT_END MOVER_END DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OUTCOME = 2 DATA_SELECT_END DATA_END ACTIONCOLL_BEGIN ACTION_BEGIN ACTIONTYPE IGNORE ACTION_END ACTIONCOLL_END FILTERDEFEND



D5: XOS の No Record の除外例 5 では、結果が No Record である XOS アクセスイベント(OUTCOME = 2)が除外さ

れます。必要なデータ選択基準は、この除外のみです。

Safeguard と XOS の両方でシステムのファイルを保護している場合は、MOVER の第

2 段落を両方に 1 つずつ追加すると、この 2 つのフィルターを組み合わせることがで

きます。このようなイベントは、MOVER と OUTCOME の組み合わせで一意に識別

されます。

例 5：

FILTERDEFBEGIN $IGNORE_XYGATEOS_NORECS STATUS ACTIVE !=Ignore NORECORDS MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = XYGATEOS MOVER_SELECT_END MOVER_END DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OUTCOME = 2 DATA_SELECT_END DATA_END ACTIONCOLL_BEGIN ACTION_BEGIN ACTIONTYPE IGNORE ACTION_END ACTIONCOLL_END FILTERDEFEND



D6: XOS の仮定テストの除外例 6 では、"仮定"テストで生成された XOS オーディットレコードが除外されます。こ

のようなイベントは、仮定クエリの場合に Y(es)、実際の判定の場合に N(o)を含む

TESTMODE カラムで一意に識別されます。必要なデータ選択基準は、この除外のみ

です。

例 6：

FILTERDEFBEGIN $XIGNORE_XYGATEOS_WHATIF STATUS ACTIVE MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = XYGATEOS MOVER_SELECT_END MOVER_END DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.TESTMODE = "Y" DATA_SELECT_END DATA_END ACTIONCOLL_BEGIN ACTION_BEGIN ACTIONTYPE IGNORE ACTION_END ACTIONCOLL_END FILTERDEFEND



D7: XPQ による SUPER.SUPER のパスワード変更のアラート例 7 では、XPQ で SUPER.SUPER のパスワードを変更するたびに、電子メールアラ

ートが生成されます。このようなイベントは、MOVER とターゲットのユーザー名の

組み合わせで一意に識別されます。AUDIT.OBJECTNAME CONTAINS "SUPER.SUPER"を使用する場合は、AUDIT.OBJECTNAME カラムも使用できます。

OBJECTNAME カラムはユーザーID とユーザー名の両方を含んでいます。

例 7：

FILTERDEFBEGIN $XPQ_CHG_SUPER_PSWD STATUS ACTIVE MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = XYGATEPQ MOVER_SELECT_END MOVER_END DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.TARGETLOGIN = SUPER.SUPER AUDIT.OUTCOME = 1 DATA_SELECT_END DATA_END ACTIONCOLL_BEGIN ACTION_BEGIN ACTIONTYPE MAIL MAIL_SRV mail.bankofcochran.com MAIL_PORT 25 MAIL_FROM [email protected] MAIL_TO [email protected] MAIL_IPPROCESS $ztcp2 MAIL_SUBJECT ALERT - SUPER.SUPER's password changed MAIL_BODY \NODE1.$SECURE.XYGATEMA.MAILPASS MAXRECORDAGE 43200 ACTION_END ACTIONCOLL_END FILTERDEFEND



D8: 不明なユーザーが SUPER.SUPER として直接ログインした場合のア

ラート例 8 では、不明なユーザーが SUPER.SUPER として直接ログインするたびに、EMSメッセージが生成されます。このようなイベントは、ターゲットのユーザーID および

OPERATION で一意に識別されます。このため、このフィルターでは、

SUPER.SUPER としてのすべてのログインが取得されます。

"TACL にログインしていない"ユーザーが SUPER.SUPER としてログインした場合の

みアラートを生成するには、SUBJECT_USERNUMBER 行をコメントアウトします。

EMS イベントは、SUPER.SUPER としてログインした ID のユーザー名

(SUBJECTLOGIN)を含めるようになります。

例 8：

FILTERDEFBEGIN $SUPERSUPER_LOGON STATUS INACTIVE !=XCM -or- SAFEGUARD !=Log on to super.super or an alias to super.super MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = XYGATECM MOVER_SELECT_END MOVER_SELECT_BEGIN PRODUCT = SAFEGUARD MOVER_SELECT_END MOVER_END DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER ! AUDIT.SUBJECT_USERNUMBER_MAJOR = 0 ! AUDIT.SUBJECT_USERNUMBER_MINOR = 0 AUDIT.OPERATION = VERIFYUSER AUDIT.OBJECTNAME CONTAINS SUPER.SUPER DATA_SELECT_END DATA_END ACTIONCOLL_BEGIN ACTION_BEGIN ACTIONTYPE ALERT ALERTTARGET $0 ALERTSEVERITY NONCRITICAL ALERTEMSEVENTNUMBER 2048 ALERTSTRING |(AUDIT.SUBJECTLOGIN)|logged on as SUPER.SUPER ALERTTOKENSBEGIN AUDIT.OPERATION AUDIT.OBJECTNAME AUDIT.SUBJECTLOGIN AUDIT.OUTCOME ALERTTOKENSEND MAXRECORDAGE 21600 ACTION_END ACTIONCOLL_END FILTERDEFEND



D9: "–255"を含む XAC コマンドのアラート例 9 では、ユーザーが文字列 "-255"

例 9：

を含むXACコマンドを呼び出すたびに、EMSメッセージが生成されます。EMSメッセージには、不明なユーザーのログイン名および

呼び出したXACコマンドが表示されます。

FILTERDEFBEGIN $XAC_SELECTED_CMDS STATUS INACTIVE != Invocation of a sensitive command like TACL-255 != or FUP-255 or SAFECOM-255 MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = XYGATEAC MOVER_SELECT_END MOVER_END DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.RULENAME CONTAINS "-255" \PROD1.$SECURE.XYGATEMA.XACFILT DATA_SELECT_END DATA_END ACTIONCOLL_BEGIN ACTION_BEGIN ACTIONTYPE IPALERT IPALERT_ADDRESS 127.0.0.1 IPALERT_PORT 512 IPALERT_IPPROCESS $tcp1p IPALERT_PREFIX <130> HPNS ALERTSTRING |AUDIT.SUBJECTLOGIN)|invoked|(AUDIT.RULENAME)| != only produce alert if 5 mins have passed since last alert MAXACTIONRATE 300 != only produce alert if action occured <= 12 hours ago MAXRECORDAGE 43200 ACTION_END ACTIONCOLL_END FILTERDEFEND



D10: セキュリティ関連の BASE24 EMS イベントの選択セキュリティ関連の BASE24 EMS メッセージには、SSID の先頭に"ACI.XPSNCP"が付加されます。このような EMS メッセージは、NCPCOM で生成されます。SSID が

AUDIT.OBJECTNAME カラムに格納されます。このカラムを使用すると、FILTERSおよびレポートのセキュリティ関連の BASE24 イベントを選択できます。

BASE24 オーディットログの初期設定を取得するには、SSID が"ACI.LOGDATER"である EMS イベントも検索する必要があります。これは、PCI の要件です。

例 10：

FILTERDEFBEGIN $BASE24_EMS_AUDITS != the EMS LOG STATUS INACTIVE MOVER_BEGIN MOVER_SELECT_BEGIN PRODUCT = EMS MOVER_SELECT_END MOVER_END DATA_BEGIN DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OBJECTNAME CONTAINS "ACI.XPSNCP" DATA_SELECT_END DATA_SELECT_BEGIN FILTERTYPE STRINGFILTER AUDIT.OBJECTNAME CONTAINS "ACI.LOGDATER" DATA_SELECT_END DATA_END



付録E: XMA ホストマクロ

XMA ホストソフトウェアには、マクロセットが付属しています。すべての XMA マク

ロを含む TACL セグメント XMA_SEG を追加するには、XMA マクロを使用します。

構文： RUN <\NODE>.<$vol>.<subvol>.XMA INSTALL

例：

XMA の INSTALL では、TACL セグメント XMA_SEG がユーザーの TACL に追加され

ます。ユーザーが TACL セグメント XMA_SEG をインストールしている場合、XMAの INSTALL は他に影響しません。

RUN \NODE1.$SYSTEM.XYGATEMA.XMA INSTALL

本章では、インストール時に XMA に割り当てたマクロ名を XMA としています。イン

ストール時に他の名前を使用する場合は、インストール時の名前に一致するように、

マクロ名が変更されます。

XYGATEMA マクロは、XMA_SEG TACL セグメントに保存されています。このセグ

メントは、ユーザーが XMA INSTALL を実行すると関連付けられます。

E1: ADELMACADELMAC マクロは、日付によるアーカイブセットの削除処理を、指定した間隔で自

動的に実行できるように実装されています。

例： ?tacl routine == ======================================= == Macro to run the ARCHIVE set DELETE BY DATE MACRO == BARCDEL == ======================================= #frame [#push t_end_date] xma_datetime_make 31 #set t_end_date [xma_dt_year4]-[xma_dt_month]-[xma_dt_day] [$system.xygatema.barcdel [t_end_date] 23:59:59 ]



この例では、終了日が現在の日付から 31 日以内のすべてのアーカイブセットが完全

に削除されます。

E2: ARCMACARCMAC マクロは、指定した間隔でアーカイブプロセスを自動的に実行できるよう

に、提供されています。このマクロを使用するサンプルマクロファイル ARCMAC は、

XMA サブボリュームに存在します。

プロセスタイプには、3 つのオプション-、*、および#####が存在します。

- (ダッシュ) 新しいアーカイブテーブルセットが作成されます。

* (アスタリスク) 停止しているすべての(未完了の)アーカイブプロセスを再起動する

必要があることを表します。

##### 既存のアーカイブテーブルセットを再利用するアーカイブ ID を指

定します。

The ARCMAC File: ================================================================== == Macro to run Archive Macro BATARCH == == Note Regarding Process Type: == == - indicates to create a new set of archive tables == == * indicates restart all stopped archive processing == == ###### Add archive data to existing set of archive tables == ================================================================== ?tacl routine #frame [#push t_begin_dt t_end_dt ] xma_datetime_make <days> #set t_begin_dt [xma_dt_year4]-[xma_dt_month]-[xma_dt_day] xma_datetime_make <days> #set t_end_dt [xma_dt_year4]-[xma_dt_month]-[xma_dt_day] [$DATA.XYGATEMA.batarch - == Process type -/*/###### [t_begin_dt] == Begin Date 00:00:00 == Begin Time [t_end_dt] == End Date 23:59:59 == End Time <add archive subvol> == Archive Location <add description here> == Archive Description ] #unframed



E3: CLEANDBCLEANDB マクロでは、データベースクリーンアッププログラムが定期的に実行され

ます。ARCHIVE プロセスと異なり、CLEANDB では、オーディットセッションテー

ブルおよびオーディット詳細テーブルからレコードが削除されますが、アーカイブテ

ーブルは作成されません。CLEANDB マクロを使用するサンプルマクロファイル

CLEANMAC は、XMA サブボリュームに存在します。

=================================================================== == Macro to run Database Clean Macro CLEANDB == == This process deletes record from both the Audit Session and == == Audit Detail Tables == =================================================================== ?tacl routine #frame [#push t_begin_dt t_end_dt ] xma_datetime_make <days> #set t_begin_dt [xma_dt_year4]-[xma_dt_month]-[xma_dt_day] xma_datetime_make <days> #set t_end_dt [xma_dt_year4]-[xma_dt_month]-[xma_dt_day] [$<volume>.<subvolume>.cleandb [t_begin_dt] == date to start 00:00:00 == time to start [t_end_dt] == date to end 23:59:59 == time to end. ] #unframed

内容は次のとおりです。

T_BEGIN_DT ～ T_END_DT は日付範囲です。開始日以降および終了日以前のすべて

のレコードは削除対象と見なされます。オーディットセッションテーブルのレコード

は、オーディット詳細テーブルの該当のすべてのレコードを削除するまで、削除され

ません。開始日時も変更できます。

例：現在の日付 2004 年 10 月 5 日を使用した、XMA データベースへの 60 日間の情報の保持 xma_datetime_make 60 #set t_end_dt [xma_dt_year4]-[xma_dt_month]-[xma_dt_day] [$secure.xygatema.cleandb 2000-01-01 == date to start 00:00:00 == time to start 2004-08-06 == date to end 23:59:59 == time to end. ]



この例では、XMA データベースに残存している可能性がある"はぐれた"レコードを長

時間のセッションから選択するための過去の日付が開始日に設定されます。また、

2004 年 10 月 5 日から 60 日前の 2004 年 8 月 6 日が終了日に指定されます。この結果、

60 日を超過したすべてのデータがデータベースから削除されます。

E4: EMSBUILDシステムテンプレートに基づくテンプレートファイルおよび EMSTEMP ファイルを作

成するには、EMSBUILD マクロを使用します。

E5: PARSAMPこのファイルはオーディットセッションテーブルおよびオーディット詳細テーブルを

パーティション分割する SQLCI コマンドのサンプルを含んでいます。

The PARSAMP File: -- ******************************************************************** -- ** File: PARSAMP ** -- ** This file contains samples of the commands used to partition ** -- ** an SQL Table ** -- ** Procedure: ** -- ** ========== ** -- ** 1) Modify the statements below adding the volume name. You may ** -- ** optionally enter values for EXTENTS & MAXEXTENTS. ** -- ** The default for EXTENTS is (16,64). The default unit type ** -- ** is page. The default for MAXEXTENTS is 160. ** -- ** You may add additional ALTER statements if more partitions ** -- ** are desired. ** -- ** NOTE: During XMA processing the partition key values ** -- ** assigned are 2 - 255. The value zero is omitted so ** -- ** that an empty partition can be created. The value 1 ** -- ** is reserved for conversion purposes. ** -- ** 2) Stop your XMA Pathway via XMA_MANAGER ** -- ** 3) run the macro XMA_LOAD_DEFINES ** -- ** 4) Execute the following command: ** -- ** SQLCI/in PARSAMP,out $S.#XMA.PART/ ** -- ** 5) Adding partitions will invalidate the SQL programs. ** -- ** To remedy the situation do the following: ** -- ** run $<vol>.<subvol>.xma install ** -- ** run XMA_SQLCOMPALL ** -- ** 6) Restart your XMA Pathway via the XMA_MANAGER ** -- ******************************************************************** ?Section audsession ALTER TABLE =XMA_AUDSESSIONTBL ADD PARTITION <vol1>.XMADAT.AUDSESS FIRST KEY 1 WITH DATA MOVEMENT CATALOG <vol>.XMACAT -- EXTENT <size1> -- MAXEXTENTS <int> ; ALTER TABLE =XMA_AUDSESSIONTBL ADD PARTITION <vol2>.XMADAT.AUDSESS FIRST KEY 2 WITH DATA MOVEMENT



CATALOG <vol>.XMACAT -- EXTENT <size1> -- MAXEXTENTS <int> ?Section auddetail ALTER TABLE =XMA_AUDITDETAILTBL ADD PARTITION <vol1>.XMADAT.AUDDET FIRST KEY 1 WITH DATA MOVEMENT CATALOG <vol>.XMACAT -- EXTENT <size1> -- MAXEXTENTS <int> ; ALTER TABLE =XMA_AUDITDETAILTBL ADD PARTITION <vol2>.XMADAT.AUDDET FIRST KEY 2 WITH DATA MOVEMENT CATALOG <vol>.XMACAT -- EXTENT <size1> -- MAXEXTENTS <int> ; ALTER TABLE =XMA_AUDITDETAILTBL ADD PARTITION <vol3>.XMADAT.AUDDET FIRST KEY 101 WITH DATA MOVEMENT CATALOG <vol>.XMACAT -- EXTENT <size1> -- MAXEXTENTS <int> ;

E6: REMFINリモートノードでインストール処理を実行するには、REFMIN マクロを使用します。

このマクロは、XMA_FINISH_INSTALL に相当します。また、XMA で Safeguard トレ

イルが読み取られる場合に必要な SRLIB オブジェクトファイルの使用が許諾されます。

REMFIN を使用するには、XMA_MANAGER でインストールまたはアップグレードを

完了した後に、下記の手順を実行します。

1. リモートノードで、SUPER.SUPER としてログインします。

2. Pathway が実行されているノードで、XYGATEMA サブボリュームの REMFIN マ

クロを実行します。

構文 RUN \<system>.$<Master-XMA-vol.subvolume>.REMFIN


<Master-XMA-vol.subvolume>は、Pathway が実行されているノードの

XYGATEMA サブボリュームです。例：ホストソフトウェアのアップグレードの終了 - 手順 1 RUN \NODE1.$SYSTEM.XYGATEMA.REMFIN INSTALL



XMA の INSTALL では、TACL セグメント XMA_SEG がユーザーの TACL に追加

されます。ユーザーが TACL セグメント XMA_SEG をインストールしている場合、

XMA の INSTALL は他に影響しません。

E7: UPDSTATこのマクロでは、XMA の SQL テーブルに対して統計の更新が行われます。Netbatchで定期的な更新を実行するには、このマクロを使用します。このファイルを変更する

必要はありません。

UPDSTAT ファイルのサンプル

== routine to update statistics from a batch file ?tacl routine #frame [#if [#variableinfo /existence/ :XMA_seg] |then| == do not attach, already present |else|[#if [#fileinfo /existence/ $SECURE.XYGATEMA.XMA] |then| run $SECURE.XYGATEMA.XMA install |else| #output Unable to locate $SECURE.XYGATEMA.XMA - Update Statistics failed #unframe~;#return ]] #push #defaults #set #defaults $SECURE.XYGATEMA [#if [mamgrtcl UPDSTATS NEWDEFS -1 $system.system.sqlci & $DATAC.P28HHUTB.DBOUT] |then| #output UPDATE STATISTICS successful |else| #output UPDATE STATISTICS failed ] #unframe



E8: XMA_AUDIT_REPORTXMA_AUDIT_REPORT は、

第 3 章で説明する XMA_REPORT マクロから呼び出され

ます。このマクロでは、[Report Selection]ペインで選択した基準で、SQLCI レポート

が生成されます。

XMA_AUDIT_REPORT マクロを使用すると、カスタムレポートを作成できます。1行に、スペースで区切って、表示順に基準を記述します。どの基準も省略しないでく

ださい。このマクロは、TACL プロンプトで OBEY ファイルとして、または SQLCIレポートで TACL マクロの一部として使用できます。いずれの場合も、バッチジョブ

にすることができます。

注：

マクロは、コマンドライン、OBEY ファイル、または TACL マクロで実行します。

すべての基準を下記の順序どおり入力する必要があります。下記の順序どおり

入力しないと、マクロは正しく機能しません。

構文：

XMA_AUDIT_REPORT <from-date> <from-time> <to-date> <to-time> <subject-user> <subject-login-name> <terminal> <system> <object-type> <object-name> <outcome> <audit-file-name> <output-filename> <sort-type> <operation> <debug> <rulename> <product-code> <alerted> <result> <messagecode> <messageid>


from-date レポートに含める最初の日付。YYYY-MM-DD 形式で入力しま

す。 from-time レポートに含める<from-time>の最初の時刻。HH:MM (24 時

間)形式で入力します。 to-date レポートに含める最後の日付。YYYY-MM-DD 形式で入力しま

す。 to-time レポートに含める<to-time>の最後の時刻。HH:MM (24 時間)

形式で入力します。 subject-user <group number, user number>形式のsubject useridです。

すべてのユーザーIDを含める場合は *,*

subject-login-name と指定します。

下記のいずれかを入力できます。 • <group name.username>形式の Guardian ユーザーID • Safeguard エイリアス • すべてのログイン名を表す「*」

terminal 端末名のすべてまたは一部、あるいはすべての端末名を表す

「*」。 system 有効なノード名のすべてまたは一部、あるいはすべてのノー

ド名を表す「*」。



object-type 有効な Safeguard オブジェクトタイプのすべてまたは一部、

あるいはすべての Safeguard オブジェクトタイプを表す

「*」。 object-name 有効なオブジェクト名のすべてまたは一部、あるいはすべて

のオブジェクト名を表す「*」。 outcome ALL、SUCCESS、FAILURE、または NORECORD。 audit-file-name XMA テーブルの保存先($volume.subvol)。 output-filename スプール先およびレポート名($S.#XYGATE.XMAREP など)。 sort-type USER、LOGIN NAME、OBJECT、または TIME。 operation 有効な操作名、あるいはすべての操作名を表す「*」。 debug OFF = 0 または ON = 1 rulename すべてのルール名を表す「*」。このフィールドの内容は、

XAC コマンドおよび PQ グループです。

product-code カンマで区切られた 1 つ以上の製品コード。使用できませ

ん。 alerted A = ALERTED、N = NON-ALERTED、または B = BOTH。 result 「*」または指定した文字列。 messagecode すべてのメッセージコードを表す「*」。 Message ID すべてのメッセージ ID を表す「*」。

『XYGATE Configuration and Audit Reporting Reference Manual

その他のXYPROリファレンスマニュアル

』に、これらの選択

基準についての詳細が記載されています。「XYGATE Audit Report Manager (XRM)」の章の「レポートを設計する」の節を参照してください(このマニュアルを始めとする

XYPROのマニュアルを入手する方法については、本マニュアルの「

」を参照してください)。例 1： 10>

上記のコマンドでは、下記のレポートが生成されます。

XMA_AUDIT_REPORT 2001-07-01 00:00 2001-07-01 23:59 222,* * * * USER * FAILURE $DATA.XMADAT $S.#XYGATE.XMAREP TIME * 0 * * ALL * * *

• 期間が 2001 年 7 月 1 日の 0 時～23 時 59 分までである。

• グループ 222 のすべてのユーザー(222,*)を含む。

• すべてのログイン名(*)を含む。

• すべての端末(*)を含む。

• すべてのノード(*)を含む。

• USER のオブジェクトタイプのみが選択される。



• すべて(*)のオブジェクト名を含む。

• 失敗したアクティビティ(OUTCOME)のみを含む。

• SQL オーディットデータテーブルの保存先が$DATA.XMADAT である。

• レポート出力がスプール先 $s.#xygate.xmarep

• 時刻順でソートされる。

に送信される。

• すべての操作名(*)を含む。

• debug に OFF = 0 が設定される。

• すべてのルール名(*)を含む。

• すべての製品コード(*)を含む。

• すべてのアラートタイプ(ALL)を含む。

• すべての結果(*)を含む。

• すべての製品コード(*)を含む。

• すべてのメッセージ ID(*)を含む。

必要に応じて、TACL のアンパサンド(&)を使用すると、読みやすいように、コマンド

ラインを区切ることができます。また、下記の例 2 のとおり、TACL マクロでは、す

べての選択基準を囲んで 1 行に 1 つずつ記述するには、角カッコを使用します。例 2：

[xma_audit_report 1 2001-07-01 == start date 2 00:00:00 == start time 3 2001-07-01 == start date 4 23:59 == start time 5 222,* == user 6 * == login name 7 * == terminal 8 * == system 9 USER == object type

10 * == object name 11 FAILURE == outcome 12 $data.xmatbls == audit pool subvol 13 $s.#xygate.xmarep == output location 14 time == sort order 15 * == operation 16 0 == debug 17 * == rulename 18 * == product code 19 ALL == ALERTED (A,N,B) 20 * == result 21 * == Messagecode 22 * == Messageid

]

注：サンプルレポートマクロREPMACが、XMAサブボリュームに存在します。



日付範囲を除いて、いずれかの選択基準に複数の値を指定する場合は、スペー

スを含まないカンマ区切り値を指定する必要があります。たとえば、

USER.FRED,USER.BILL,USER.JOE です。

NOT 演算子を許可するオプションの場合、NOT の後はカンマ(スペースなし)である必

要があります。たとえば、USER.FRED,USER.BILL,NOT,USER.JOE です。

E9: XMA_DATETIME_MAKEXMA_DATETIME_MAKE マクロでは、入力した<days>と同じ過去の日付が計算され

ます。また、日付を計算し、カスタマイズした XMA レポートに含む日付範囲を作成

できます。

たとえば、「7」と入力すると、現在の日付の 7 日前の日付が計算されます。「30」または「31」と入力すると、1 か月前の日付が計算されます。最大 3,000 日前まで入

力できます。

このマクロをコマンドラインで実行するか、TACLマクロまたはSQLCIレポートで使

用すると、アドホックジョブまたはバッチジョブを作成できます。下記の例では、こ

のマクロが 2 回実行されます。1 回目では 7 日前の日付が計算(6 行目)され、2 回目で

は 1 日前の日付が計算(8 行目)されます。この 2 つの値はまとめられ、10 行目からの

XMA_AUDIT_REPORTマクロに、レポートを生成する選択基準として渡されま

す。

この例では、過去 7 日間で失敗した操作のレポートが生成されます。このレポートは

時刻順でソートされ、スプール先が$S.#XYGATE.XMAREP であるスプーラーに書き

込まれます。

-hoc

構文： XMA_DATETIME_MAKE <# days in the past>

例：(TACL マクロ内) ?tacl macro #frame [#push t_t1 ] xma_datetime_make 7 #set t_t1 [xma_dt_year4]-[xma_dt_month]-[xma_dt_day] 00:00 xma_datetime_make 1 #set t_t1 [t_t1] [xma_dt_year4]-[xma_dt_month]-[xma_dt_day] 23:59 [xma_audit_report [t_t1] == date range *.* == user == login name == terminal == system == objecttype == object name FAIL == outcome $DATA.XMATBLS == XMA audit subvol

6

8

10



$S.#xygate.xmarep == output location TIME == sort order == operation == debug == rulename ] #unframe

文字 T は現在の日付を表します。下記の例では、現在の日付のレポートが生成されま

す。

例： ?tacl macro #frame [#push t_t1 ] xma_datetime_make t #set t_t1 [xma_dt_year4]-[xma_dt_month]-[xma_dt_day] 00:00 xma_datetime_make t #set t_t1 [t_t1] [xma_dt_year4]-[xma_dt_month]-[xma_dt_day] 23:59 [xma_audit_report [t_t1] == date range *.* == user == login name == terminal == system == objecttype == object name ALL == outcome $DATA.XMATBLS == XMA audit subvol $S.#xygate.xmarep == output location TIME == sort order == operation == debug == rulename ] #unframe $DATA MAWORK 10> run xma1day SQL Conversational Interface - T9191D46 - (31MAR01) COPYRIGHT HP COMPUTER CORPORATION 1987-2001 --- 15628 row(s) selected. End of SQLCI Session

E10: XMA_DBVOLUMEXMA_DBVOLUME コマンドでは、SQL データベースのボリュームおよびサブボリュ

ームに移動します。

構文 XMA_DBVOLUME



E11: XMA_EDIT_FILTERSXMA_EDIT_FILTERS マクロでは、ユーザーが FILTERS ファイルのコピーを編集し、

本番環境にロードできます。

構文 XMA_EDIT_FILTERS

XMA_EDIT_FILTERS の例 $SECURE XYGATEMA 16>

xma_edit_FILTERs

This file edits the current XYGATE-ACCESS-CONTROL access control list. It will create a file named $SYSTEM.XYGATEMA.NEWFILT from the current $SYSTEM.XYGATEMA.FILTERS file. These are your old $SYSTEM.XYGATEMA.FILTERS files: $SYSTEM.XYGATEMA CODE EOF LAST MODIFIED OWNER RWEP PExt SExt OLDFILT0 101 6424 12JUL2001 11:03 222,210 NUUU 8 32 FILES DUPLICATED: 1 TEXT EDITOR - T9601D20 - (01JUN93) CURRENT FILE IS $SYSTEM.XYGATEMA.NEWFILT [Make the desired changes to NEWFILT] exit Checking for SYNTAX errors in the NEWFILT XMA 1.71 (c) 1999-2010 XYPRO XYPRO Technology \PROD1 20011231 FILTERS CHECKSUM 1243425871 No syntax errors found Do you want to install the new Filters?FILES DUPLICATED: 1

y

Last generation is $SYSTEM.XYGATEMA.oldfilt1 FILTERS file is updated to NEWFILT contents $SECURE XYGATEMA 17>

この例では、FILTERS ファイルのコピーNEWFILT が作成されます。エディターが起

動され、NEWFILT ファイルが変更されます。

エディターセッションが終了すると、更新済みの NEWFILT ファイルに構文チェック

が実行されます。エラーが検出されなかったため、本番環境の FILTERS ファイルを

NEWFILT ファイルに置き換える必要があるかどうかを確認するプロンプトが表示さ

れます。

また、プロンプトに Yesと応答したため、FILTERSファイルの名前がOLDFILT1 に変

更され、NEWFILTファイルの名前がFILTERSに変更されます。



注：

FILTERS ファイルを更新した後は、サーバープロセスを停止および再起動する

必要はありません。MOVER サーバークラスプログラムでは、FILTERS ファイ

ルのタイムスタンプが定期的にチェックされ、更新済みのファイルが必要に応

じて読み取られます。

MOVERサーバークラスでは、起動時にFILTERSファイルが読み取られます。

MOVERサーバークラスオブジェクトの起動中に構文エラーが発生すると、エ

ラーメッセージが表示され、MOVERサーバークラスが異常終了します。

実行中の MOVER サーバークラスオブジェクトで更新済みの FILTERS ファイ

ルにエラーが検出されると、エラーメッセージが表示されますが、MOVER サ

ーバークラスオブジェクトは異常終了しません。MOVER サーバークラスオブ

ジェクトでは、エラーが存在しない新しい FILTERS ファイルが検出されるまで、

エラーが存在しない最後の FILTERS ファイルの情報が使用されます。

E12: XMA_FILTERS_CHECKXMA_FILTERS_CHECK マクロでは、FILTERS ファイルの内容が処理されます。各

キーワードおよび引数が読み取られ、XMA の FILTERS ファイルの構文に準拠してい

るかどうかが確認されます。エラーが検出されると、エラーの内容および行番号が表

示されます。MAIL_BODY キーワードの行番号が構文エラーと同時に表示された場合、

エラーはキーワードで指定したファイルに存在する可能性があります。

マクロのファイル名を入力しないと、本番環境の FILTERS ファイルのみがチェック

されます。本番環境以外の FILTERS ファイルをチェックする場合は、テスト環境の

FILTERS ファイルのファイル名を入力する必要があります。

注：

構文

STATUSがINACTIVEであるすべてのフィルター定義で構文エラーがチェックさ

れます。

XMA_FILTERS_CHECK [FILTERS file name]

以下の例 1 では、ファイル名を入力していないため、本番環境の FILTERS ファイル

がチェックされます。構文エラーは検出されません。

例 1 $SECURE XYGATEMA 5> $SECURE XYGATEMA 5..

xma_FILTERs_check

XMA 1.71 (c) 1999-2010 XYPRO XYPRO Technology \PROD1 20011231 FILTERS CHECKSUM 1243425871 No syntax errors found

以下の例 2 では、ファイル名 oldfilt0 を指定しています。構文エラーは検出されません。

例 2 $SECURE XYGATEMA 7> XMA 1.71 (c) 1999-2010 XYPRO XYPRO Technology \PROD1 20011231

xma_FILTERs_check oldfilt0




以下の例 3 では、ファイル名 oldfilt0 を指定しています。この場合は、16 行目でエラ

ーが検出されます。OVER_BEGIN は、MOVER_BEGIN の誤りです。この誤りを修正

すると、16 行目および関連の 17～20 行目がエラーとして表示されません。この原因

は、MOVER_END および MOVER_BEGIN キーワードで MOVER の選択基準セット

が定義されるためです。FILTERS ファイルの構文の詳細については、第 2 章「フィル

ターと FILTERS ファイルの構成」(27 ページ～)を参照してください。

例 3 $DATAA P28HHITM 20> $DATAA P28HHITM 20..

xma_FILTERs_Check oldfilt0

XMA 1.71 (c) 1999-2010 XYPRO XYPRO Technology \PROD1 20011231 FILTERS line 16 Unexpected token (OVER_BEGIN) FILTERS line 17 Unexpected token (MOVER_SELECT_BEGIN) FILTERS line 18 Unexpected token (PRODUCT) FILTERS line 19 Unexpected token (MOVER_SELECT_END) FILTERS line 20 Unexpected token (MOVER_END) Syntax errors found

注：




じて読み取られます。




実行中の MOVER サーバークラスオブジェクトで更新済みの FILTERS ファイ

ルにエラーが検出されると、エラーメッセージが表示されますが、MOVER サ

ーバークラスオブジェクトは異常終了しません。MOVER サーバークラスオブ

ジェクトでは、エラーが存在しない新しい FILTERS ファイルが検出されるまで、

エラーが存在しない最後の FILTERS ファイルの情報が使用されます。



E13: XMA_INSTALL_LICENSEXMA_INSTALL_LICENSE マクロでは、XMA のセキュリティ管理者が新規に取得した

ライセンスファイルをチェックし、XMA がインストールされたボリュームおよびサブ

ボリュームの P28F001 にオプションでロードできます。新しいライセンスをロード

すると、XMA では現在のライセンスファイルの名前が変更され、新しいライセンスが

インストールされます。マスターノードに新しいライセンスをインストールすると、

XMA_NETWORK_LICENSE_INSTALL で、すべての子ノードでライセンスを更新で

きます。

構文： xma_install_license <new license name>

下記の例は、ライセンスファイル IP28F001 の検証およびインストールプロンプトを

表します。新しいライセンスが P28F001 としてインストールされると、古いライセ

ンスファイルの名前は XMA42444 に変更されます。新しいライセンスに問題がある場

合は、古いライセンスファイル(名前変更済み)をフォールバックに使用できます。古

いライセンスを元に戻すには、2 つのファイルの名前を変更するだけです。

例 $SECURE XYGATEMA 9> Xypro license check XYPRO Technology \PROD1 20011231

xma_install_license $WORK.p28dsdst.ip28f001

XYPRO Technology P28-0026 20011231 \PROD2(252) \PROD3(254) \PROD1(253) --BEGIN XYPRO SIGNATURE PUBLIC-KEY: LICENSE-CREATE: 20010614-092901 CUSTOMER-NAME: XYPRO Technology CUSTOMER-NUMBER: 0026 PRODUCT: XYGATE-MA 20011231 NODE: \PROD2 0252 NODE: \PROD3 0254 NODE: \PROD1 0253 License good Do you want to install this license file <YES>?y FILES DUPLICATED: 1 New license installed, old license in $SYSTEM.XYGATEMA.XMA42444

E14: XMA_LOAD_DEFINES XMA_LOAD_DEFINES マクロでは、SQL データベースの定義がロードされます。

定義のロードの例： 17> Adding MA DATABASE defines ...

xma_load_defines

Deleting MA DATABASE defines ... Finished Deleting MA DATABASE defines Finished adding MA DATABASE defines 18>



E15: XMA_NETWORK_FILTERS_CHECKXMA_NETWORK_FILTERS_CHECK マクロでは、ノードごとの FILTERS ファイルの

構文チェックが実行されて、ノード固有の処理による差異がテストされます。

例： > $SEC XYGATEMA XMA_NETWORK_FILTERS_CHECK

Checking syntax of $SEC.XYGATEMA.FILTERS locally XYGATEMA 1.71 (c) 1999-2010 XYPRO XYPRO Technology \PROD 20991231 FILTERS CHECKSUM 860818265 (\PROD.$SEC.XYGATEMA.FILTERS) No syntax errors found Checking syntax of $SEC.XYGATEMA.FILTERS from \PROD2.$SEC.XMAOBJ using EMSMOVE XYGATEMA 1.71 (c) 1999-2010 XYPRO XYPRO Technology \PROD2 20991231 FILTERS CHECKSUM 860818265 ($SEC.XYGATEMA.FILTERS) No syntax errors found

E16: XMA_NETWORK_LICENSE_INSTALLXMA_NETWORK_LICENSE_INSTALL マクロでは、ライセンスファイルがメインの

XMA インストールサブボリュームからすべてのリモートノードに伝達されます。

XMA_INSTALL_LICENSE でメインのインストールサブボリュームに更新済みのライ

センスファイル(P28F001)を最初にインストールする必要があります。

例：リモートノードの製品ライセンスの更新方法 5>

XMA_NETWORK_LICENSE_INSTALL

Installing $SECURE.XYGATEMA.P28F001 on the remote systems License \NODE2.$SECURE.TMAOBJ.P28F001 installed $VTLH XYGATEMA 6>

E17: XMA_NETWORK_VERSIONXMA_NETWORK_VERSION マクロは、XMA_VERSION マクロのネットワークバー

ジョンです。このマクロを実行すると、メインの XMA サブボリュームのプログラム

がリモートノードのプログラムと比較されます。また、ライセンスファイルがチェッ

クされます。期限切れのライセンスまたは非同期のモジュールが検出されると、メッ

セージが表示されます。

ライセンスファイルを同期するには、XMA_NETWORK_LICENSE_INSTALLマクロを

使用します。プログラムを同期するには、[Movers Management Menu]のオプション

15：Synchronize object filesを使用します。第 4.4 節｢Movers Management Menu｣(85 ページ)を参照してください。



E18: XMA_PWCOLDこのマクロでは、XMA Pathway の設定サブボリューム(XMAPW)の PWCONFIG およ

び PWSTATE ファイルに含まれた Pathway の設定情報で、Pathway が初期化および

起動されます。

これにより、XMA PathwayのすべてのMOVERを、指定した日時から起動できます。

このオプションは、XMA_PWCOLDまたはXMA_PWCOOLを使用する場合に、または

XMAPWサブボリュームからPWCOLDまたはPWCOOLを実行する場合に、[Pathway Management Menu] (83 ページ)から利用できます。会話型で、または入力パラメータ

ーを使用して、マクロを実行できます。

構文： PWCOOL (-1|##|yyyy-mm-dd:00:00:00.000000)

PWCOLD (-1|##|yyyy-mm-dd:00:00:00.000000)

入力内容は次のとおりです。

–1 = 最後に処理したファイルから開始する。

## =ある日数前から開始する(1 以上を入力する)。

yyyy-mm-dd:00:00:00.000000 = 特定の日時から開始する。

例：

上記の例では、すべての MOVER が 2011 年 3 月 1 日の最初からレコードの読み取り

を開始します。

PWCOOL 2011-03-01:00:00:00.000000

注：

E19:

OBEYファイルまたは別のマクロからPWCOOLまたはPWCOLDを使用する場

合は、マクロを変更して起動パラメータ―を指定することもできます。変更し

ないと、会話型モードでマクロが実行されます。

XMA_PWCOOLこのマクロでは、XMA Pathwayが最後のシャットダウン時の設定で再起動します。上

記の

XMA_PWCOLDを参照してください。

E20: XMA_PWSTOPこのマクロでは、サーバークラスがフリーズおよび停止し、PATHMON プロセスが

PATHCOM のシャットダウンコマンドで停止します。また、Pathway の設定情報が

PWSTATE ファイルに保存されます。PWSTATE ファイルの情報は、Pathway の再起

動時に使用されます。



E21: XMA_PWVOLUMEこのマクロでは、Pathway の設定情報を含むサブボリュームに移動します。

E22: XMA_SQLCOMPALLXMA_SQLCOMPALL マクロでは、必須のすべての XMA オブジェクトファイルがマス

ター(Pathway)ノードおよび従属(リモート)ノードでコンパイルされます。何らかの原

因でオブジェクトファイルを再コンパイルする必要がある場合は、このマクロを実行

します。

オブジェクトファイルを(再)コンパイルする前に、Pathway を停止する必要がありま

す。

例 1：すべての XMA オブジェクトのコンパイル方法 $SECURE XYGATEMA 13> $SECURE XYGATEMA 13..

XMA_sqlcompall

Deleted MA DATABASE defines Added MA DATABASE defines Updating Database statistics ... SQLComping XYGATE SQLCI .. Running $system.system.sqlcomp /in $SECURE.XYGATEMA.XYSQLCI, out $SECURE.XMADAT.DBOUT / catalog $SECURE.XMACAT SQLComping Mamgrc .. Running $system.system.sqlcomp /in $SECURE.XYGATEMA.MAMGRC, out $SECURE.XMADAT.DBOUT/ catalog $SECURE.XMACAT SQLComping XYMOVE .. Running $system.system.sqlcomp /in $SECURE.XYGATEMA.XYMOVE, out $SECURE.XMADAT.DBOUT/ catalog $SECURE.XMACAT SQLComping B24MOVE .. Running $system.system.sqlcomp /in $SECURE.XYGATEMA.B24MOVE, out $SECURE.XMADAT.DBOUT / catalog $SECURE.XMACAT SQLComping MEASMOVE .. Running $system.system.sqlcomp /in $SECURE.XYGATEMA.MEASMOVE, out $SECURE.XMADAT.DBOU T/ catalog $SECURE.XMACAT SQLComping SFGMOVE .. Running $system.system.sqlcomp /in $SECURE.XYGATEMA.SFGMOVE, out $SECURE.XMADAT.DBOUT / catalog $SECURE.XMACAT SQLComping EMSMOVE .. Running $system.system.sqlcomp /in $SECURE.XYGATEMA.EMSMOVE, out $SECURE.XMADAT.DBOUT / catalog $SECURE.XMACAT SQLComping XYGATEMA .. Running $system.system.sqlcomp /in $SECURE.XYGATEMA.XYGATEMA, out $SECURE.XMADAT.DBOU T/ catalog $SECURE.XMACAT SQLComping ARCHIVE .. Running $system.system.sqlcomp /in $SECURE.XYGATEMA.ARCHIVE, out $SECURE.XMADAT.DBOUT / catalog $SECURE.XMACAT SQLComping MADELDBC ..



Running $system.system.sqlcomp /in $SECURE.XYGATEMA.MADELDBC, out $SECURE.XMADAT.DBOU T/ catalog $SECURE.XMACAT SQLComping HKEEPER .. Running $system.system.sqlcomp /in $SECURE.XYGATEMA.HKEEPER, out $SECURE.XMADAT.DBOUT / catalog $SECURE.XMACAT SQLComping MQREADER .. Running $system.system.sqlcomp /in $SECURE.XYGATEMA.MQREADER, out $SECURE.XMADAT.DBOU T/ catalog $SECURE.XMACAT Copying XYGATESR to \XYS7000.$SECURE.XMAOBJ.XYGATESR ... FILES DUPLICATED: 1 Copying SFGMOVE to \XYS7000.$SECURE.XMAOBJ.SFGMOVE ... FILES DUPLICATCopying XYMOVE to \XYS7000.$SECURE.XMAOBJ.XYMOVE ... WARNING - \XYS7000.$SECURE.XMAOBJ.XYMOVE: SQL RECOMPILATION REQUIRED.FGMOVE, out \ FILES DUPLICATED: 1.zz000000/ catalog \XYS7000.$SECURE.XMACAT Running \XYS7000.$system.system.sqlcomp /in \XYS7000.$SECURE.XMAOBJ.XYMOVE, out \X YS7000.$SECURE.XMAOBJ.zz000000/ catalog \XYS7000.$SECURE.XMACAT Copying EMSMOVE to \XYS7000.$SECURE.XMAOBJ.EMSMOVE ... WARNING - \XYS7000.$SECURE.XMAOBJ.EMSMOVE: SQL RECOMPILATION REQUIRED. FILES DUPLICATED: 1 Running \XYS7000.$system.system.sqlcomp /in \XYS7000.$SECURE.XMAOBJ.EMSMOVE, out \ XYS7000.$SECURE.XMAOBJ.zz000000/ catalog \XYS7000.$SECURE.XMACAT Copying LICCHK to \XYS7000.$SECURE.XMAOBJ.LICCHK ... FILES DUPLICATED: 1 Command completed successfully All SQLCOMPs completed successfully. STOPPED: $Z1RX CPU time: 0:00:00.008

重要：

マルチモードのインストール時、XMA_SQLCOMPALLのFUPにおいて、リモ

ートシステムのXYGATESRオブジェクトファイルの方が古ければXYGATESRおよび

SRLIBオブジェクトファイルがすべてのリモートシステムに複製されますが、SRLIBオブジェクトファイルはライセンスされません。SUPER.SUPERとしてログインし、

REMFINマクロを実行する必要があります。



E23: XMA_SYNTAX_CHECKこの構文チェックマクロでは、3 つのすべてのファイル名を指定すると、FILTERS フ

ァイルの構文チェックが実行されます。ファイル名を指定しないと、MACONF およ

び MAACL ファイルのみが検証されます。

FILTERSファイルのみをチェックする場合は、このマクロではなくXMA_FILTERS_CHECKマクロを使用します。

構文： XMA_SYNTAX_CHECK [MAACL][maconf-filename>][filter-filename>]

構文の内容は次のとおりです。

maconf- filename MACONF キーワードを含むファイルの名前。名前を入力しないと、

MACONF ファイルがチェックされます。

filter-filename FILTERS キーワードを含むファイルの名前。

[MAACL] 将来使用するファイル名のプレースホルダー。

下記の例 1 はファイル名を指定しないエントリを表します。XMA では、本番環境の

MACONF および MAACL ファイルをチェックすると見なされます。FILTERS ファイ

ルはチェックされません。

例 1：MACONF および MAACL ファイルのみの構文チェックのサンプル $SYSTEM.XYGATEMA 12> XMA 1.71 (c) 1999-2010 XYPRO XYPRO Technology \PROD1 20011231

xma_syntax_check

MACONF CHECKSUM 1327383573 MAACL CHECKSUM 705650498 No Syntax errors found $SYSTEM.XYGATEMA 13>

例 2 は、3 つのすべてのファイル名を指定するエントリを表します。この例では、

MAACL、TSTCONF、および TESTFILT ファイルの構文チェックが実行されます。

例 2：MAACL、TSTCONF、および TESTFILT ファイルの構文チェックのサンプル

XMA_SYNTAX_CHECK MAACL TSTCONF TESTFILT



E24: XMA_UPDATE_FILTERSXMA_UPDATE_FILTERS マクロでは、現在の FILTERS ファイルの名前が OLDFILTに変更され、NEWFILT ファイルは名前が FILTERS に変更されて本番環境にインスト

ールされます。

構文 xma_update_FILTERs

下記の例 1 では、XMA_UPDATE_FILTERS マクロで NEWFILT ファイルが検索され

ます。NEWFILT ファイルが存在する場合は、本番環境の FILTERS ファイルの名前が

OLDFILT2 に変更され、NEWFILT ファイルの名前が FILTERS に変更されます。例 1 $SYSTEM P28HHITM 29> $SYSTEM P28HHITM 29..

xma_update_FILTERs

FILES DUPLICATED: 1 Last generation is $SYSTEM.XYGATEMA.oldfilt2 FILTERS file is updated to NEWFILT contents $SECURE XYGATEMA 30>

下記の例 2 では、XMA_UPDATE_FILTERS マクロで NEWFILT ファイルが検索され

ます。NEWFILT ファイルが存在しないため、エラーメッセージが表示されます。例 2 $DATAA P28HHITM 33> NEWFILT file is not available -- try again.

xma_update_FILTERs

注：




じて読み取られます。実行中の MOVER サーバークラスオブジェクトで更新済

みの FILTERS ファイルにエラーが検出されると、エラーメッセージが表示され

ますが、MOVER サーバークラスオブジェクトは異常終了しません。




MOVER サーバークラスオブジェクトでは、エラーが存在しない新しい

FILTERS ファイルが検出されるまで、エラーが存在しない最後の FILTERS フ

ァイルの情報が使用されます。



E25: XMA_VERSIONXMA_VERSION マクロでは、マスターノードにインストールされた XMA のバージョ

ン情報およびライセンス情報が表示されます。XMA_NETWORK_VERSION マクロで

は、子ノードにインストールされた XMA のバージョン情報およびライセンス情報が

表示されます。

$SECURE XYGATEMA 3> xma_version This is version 1.00 of XYGATEMA Xypro license check XYPRO Technology \PROD1 20011231 XYPRO Technology P28-0026 20011231 \PROD2(252) \PROD3(254) \PROD1(253) --BEGIN XYPRO SIGNATURE PUBLIC-KEY: LICENSE-CREATE: 20010614-092901 CUSTOMER-NAME: XYPRO Technology CUSTOMER-NUMBER: 0026 PRODUCT: XYGATE-MA 20011231 NODE: \PROD2 0252 NODE: \PROD3 0254 NODE: \PROD1 0253 License good VPROC - T9617G03 - (30 MAR 1999) SYSTEM \PROD1 Date 13 JUL 2001, 09:39:54 COPYRIGHT TANDEM COMPUTERS INCORPORATED 1986 - 1995 $SYSTEM.XYGATEMA.XYGATEMA Binder timestamp: 11JUL2001 19:45:50 Version procedure: T9999D30_P28_XYGATEMA_100 Target CPU: TNS, TNS/R AXCEL timestamp: 11JUL2001 20:21:23

E26: XMA_VOLUMEXMA_VOLUME マクロでは、XMA インストールサブボリュームに移動します。

構文 XMA_VOLUME


付録F: TCLEXC

DATAFILTERTYPE = MACROFILTER を指定する場合は、下記の構造体を使用します。

この構造体のデータは、ALERT オプション RUNCMD を指定する場合も、使用できま

す。この情報は親ノードの XMA インストールサブボリュームの TCLEXC ファイルに

含まれています。

== SCHEMA PRODUCED DATE - TIME : 4/11/2001 - 17:09:16 == Definition MAPRODUCT created on 04/11/2001 at 17:09 ?Section MAPRODUCT Struct Begin STRUCT PRODUCTCODE; BEGIN CHAR BYTE(0:9); END; STRUCT PRODUCTNAME; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:49); END; End; End; == Definition MAINSTALL created on 04/11/2001 at 17:09 ?Section MAINSTALL Struct Begin STRUCT RECORDINSTALLKEY; BEGIN CHAR BYTE(0:25); END; STRUCT PRODUCTCODE; BEGIN CHAR BYTE(0:9); END; STRUCT IPADDRESS; Begin INT INDICATOR; STRUCT VALU; BEGIN CHAR BYTE(0:15); END; End; STRUCT SYSTEMNAME; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:63); END; End; STRUCT LOCATION; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:127); END; End; STRUCT DNSNAME; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:99); END; End; End;

XYGATE Merged Audit®リファレンスマニュアル付録 F: TCLEXC


End; == Definition MASESSION created on 04/11/2001 at 17:09 ?Section MASESSION Struct Begin STRUCT RECORDSESSIONKEY; BEGIN CHAR BYTE(0:25); END; STRUCT RECORDINSTALLKEY; BEGIN CHAR BYTE(0:25); END; STRUCT SESSIONID; BEGIN CHAR BYTE(0:35); END; CHAR FOUNDSESSIONSTART; CHAR FOUNDSESSIONEND; STRUCT IPADDRESS; Begin INT INDICATOR; STRUCT VALU; BEGIN CHAR BYTE(0:15); END; End; STRUCT SESSIONNAME; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:39); END; End; End; STRUCT PROCESSTHREADID; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:49); END; End; End; STRUCT PROCESSTHREADID2; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:49); END; End; End; STRUCT CLIENTPROGRAM; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:49); END; End; End; STRUCT ANCESTORPROCESSTHREADID; Begin INT INDICATOR;



STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:49); END; End; End; STRUCT DNSNAME; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:99); END; End; End; STRUCT CLIENTCURRDIR; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:199); END; End; End; End; == Definition MAAUDIT created on 04/11/2001 at 17:09 ?Section MAAUDIT Struct Begin STRUCT RECORDGMT; BEGIN CHAR BYTE(0:25); END; STRUCT GMTSEQNO; BEGIN CHAR BYTE(0:1); END; STRUCT RECORDLCT; BEGIN CHAR BYTE(0:25); END; STRUCT RECORDAUDITKEY; BEGIN CHAR BYTE(0:25); END; STRUCT RECORDSESSIONKEY; BEGIN CHAR BYTE(0:25); END; STRUCT SEQNO; BEGIN CHAR BYTE(0:8); END; CHAR OUTCOME; CHAR WARNINGMODE; CHAR TESTMODE; CHAR ALERTED; CHAR SEVERITY; STRUCT PRODUCTCODE; Begin INT INDICATOR; STRUCT VALU; BEGIN CHAR BYTE(0:9); END; End; STRUCT SUBJECT^USERNUMBER^MAJOR; Begin INT INDICATOR; STRUCT VALU; BEGIN CHAR BYTE(0:7); END; End; STRUCT SUBJECT^USERNUMBER^MINOR;



Begin INT INDICATOR; STRUCT VALU; BEGIN CHAR BYTE(0:7); END; End; STRUCT TARGET^USERNUMBER^MAJOR; Begin INT INDICATOR; STRUCT VALU; BEGIN CHAR BYTE(0:7); END; End; STRUCT TARGET^USERNUMBER^MINOR; Begin INT INDICATOR; STRUCT VALU; BEGIN CHAR BYTE(0:7); END; End; STRUCT SUBJECTLOGIN; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:39); END; End; End; STRUCT SUBJECTSYSTEM; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:63); END; End; End; STRUCT TARGETLOGIN; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:39); END; End; End; STRUCT OBJECTTYPE; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:31); END; End; End; STRUCT OBJECTNAME; Begin INT INDICATOR; STRUCT VALU;



Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:199); END; End; End; STRUCT OPERATION; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:127); END; End; End; STRUCT TERMINAL; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:63); END; End; End; STRUCT MESSAGEID; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:19); END; End; End; STRUCT MESSAGECODE; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:19); END; End; End; STRUCT RULENAME; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:49); END; End; End; STRUCT RESULT; Begin INT INDICATOR; STRUCT VALU; Begin



INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:255); END; End; End; End; STRUCT USER^DATA; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:15); END; End; End; End; == Definition TACLCMD created on 04/11/2001 at 17:09 ?Section TACLCMD Struct Begin STRUCT RUNMODE; BEGIN CHAR BYTE(0:9); END; STRUCT COMMAND; BEGIN CHAR BYTE(0:511); END; STRUCT PRODUCT; Begin STRUCT PRODUCTCODE; BEGIN CHAR BYTE(0:9); END; STRUCT PRODUCTNAME; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:49); END; End; End; STRUCT INSTALL; Begin STRUCT RECORDINSTALLKEY; BEGIN CHAR BYTE(0:25); END; STRUCT PRODUCTCODE; BEGIN CHAR BYTE(0:9); END; STRUCT IPADDRESS; Begin INT INDICATOR; STRUCT VALU; BEGIN CHAR BYTE(0:15); END; End; STRUCT SYSTEMNAME; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:63); END; End; STRUCT LOCATION; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:127); END; End; STRUCT DNSNAME; Begin



INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:99); END; End; End; End; STRUCT SESSION; Begin STRUCT RECORDSESSIONKEY; BEGIN CHAR BYTE(0:25); END; STRUCT RECORDINSTALLKEY; BEGIN CHAR BYTE(0:25); END; STRUCT SESSIONID; BEGIN CHAR BYTE(0:35); END; CHAR FOUNDSESSIONSTART; CHAR FOUNDSESSIONEND; STRUCT IPADDRESS; Begin INT INDICATOR; STRUCT VALU; BEGIN CHAR BYTE(0:15); END; End; STRUCT SESSIONNAME; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:39); END; End; End; STRUCT PROCESSTHREADID; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:49); END; End; End; STRUCT PROCESSTHREADID2; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:49); END; End; End; STRUCT CLIENTPROGRAM; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN;



STRUCT VAL; BEGIN CHAR BYTE(0:49); END; End; End; STRUCT ANCESTORPROCESSTHREADID; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:49); END; End; End; STRUCT DNSNAME; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:99); END; End; End; STRUCT CLIENTCURRDIR; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:199); END; End; End; End; STRUCT AUDIT; Begin STRUCT RECORDGMT; BEGIN CHAR BYTE(0:25); END; STRUCT GMTSEQNO; BEGIN CHAR BYTE(0:1); END; STRUCT RECORDLCT; BEGIN CHAR BYTE(0:25); END; STRUCT RECORDAUDITKEY; BEGIN CHAR BYTE(0:25); END; STRUCT RECORDSESSIONKEY; BEGIN CHAR BYTE(0:25); END; STRUCT SEQNO; BEGIN CHAR BYTE(0:8); END; CHAR OUTCOME; CHAR WARNINGMODE; CHAR TESTMODE; CHAR ALERTED; CHAR SEVERITY; STRUCT PRODUCTCODE; Begin INT INDICATOR; STRUCT VALU; BEGIN CHAR BYTE(0:9); END; End; STRUCT SUBJECT^USERNUMBER^MAJOR;



Begin INT INDICATOR; STRUCT VALU; BEGIN CHAR BYTE(0:7); END; End; STRUCT SUBJECTÛSERNUMBER^MINOR; Begin INT INDICATOR; STRUCT VALU; BEGIN CHAR BYTE(0:7); END; End; STRUCT TARGETÛSERNUMBER^MAJOR; Begin INT INDICATOR; STRUCT VALU; BEGIN CHAR BYTE(0:7); END; End; STRUCT TARGETÛSERNUMBER^MINOR; Begin INT INDICATOR; STRUCT VALU; BEGIN CHAR BYTE(0:7); END; End; STRUCT SUBJECTLOGIN; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:39); END; End; End; STRUCT SUBJECTSYSTEM; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:63); END; End; End; STRUCT TARGETLOGIN; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:39); END; End; End; STRUCT OBJECTTYPE; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:31); END;



End; End; STRUCT OBJECTNAME; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:199); END; End; End; STRUCT OPERATION; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:127); END; End; End; STRUCT TERMINAL; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:63); END; End; End; STRUCT MESSAGEID; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:19); END; End; End; STRUCT MESSAGECODE; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:19); END; End; End; STRUCT RULENAME; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:49); END; End;



End; STRUCT RESULT; Begin INT INDICATOR; STRUCT VALU; Begin INT LEN; STRUCT VAL; BEGIN CHAR BYTE(0:255); END; End; End; End; End; == Definition TACLRSP created on 04/11/2001 at 17:09 ?Section TACLRSP Struct Begin STRUCT EYECATCHER; BEGIN CHAR BYTE(0:9); END; STRUCT RESULT; BEGIN CHAR BYTE(0:9); END; STRUCT DIAGNOSTICS; BEGIN CHAR BYTE(0:511); END; End


付録G: データマッピング

データ選択基準は、正規化されたオーディットデータレコードの内容に基づいてオー

ディットイベントを選択するために使用します。ターゲットの製品が使用するすべて

のカラムは、フィルターによってアクションの生成に使用できます。

データ選択基準は、MOVER によってオーディットトレイルが読み取られる製品に完

全に従っています。

MOVER は、ターゲットの製品のオーディットトレイル内の各レコードに対してデー

タの正規化を行います。つまり、各フィールドの内容が適切なカラムに移動されて

XMA データベースに挿入されます。

• フィルターの作成の詳細については、第 2.3 節「フィルターの作成」(32 ページ

～)を参照してください。

• 各製品に使用されるカラムを確認するには、付録G20:「Column Usageテーブ

ル」(280 ページ)を参照してください。

• オーディットトレイルの詳細については、適切な XYGATE 製品のマニュアルを参


フィルターの作成方法においては、対象のイベントを一意に識別するオーディットレ

コードのフィールドが検出されます。たとえば、ユーザーが特定のXACコマンドを呼

び出すたびに電子メールを生成する場合、関連のXACオーディットレコードはコマン

ド名で一意に識別されます。コマンド名を含むカラムを確認するには、付録G9:「XAC (XYGATE Access Control)のデータマッピング」(255 ページ)に記載された

XACデータマッピングテーブルを使用します。

テーブルをチェックすると、XAC コマンドの名前がオーディット詳細テーブルの

RULENAME および OBJECTNAME カラムに存在することを確認できます。フィルタ

ーには、両方のカラムを選択できます。

特定のファイルへのアクセス試行を表示する場合は、XOS または Safeguard のデータ

マッピングテーブルでファイル名を含むフィールドを確認します。この場合は、両方

の製品でファイル名がオーディット詳細テーブルの OBJECTNAME カラムに挿入され

ます。

XYGATE Merged Audit®リファレンスマニュアル付録 G: データマッピング


G1: データマッピングカラムに関する一般的な注意下記の注意は、すべての製品に該当します。特定の製品のオーディットトレイルに固

有の注意は、製品のデータマッピングテーブルで説明します。

一般的な注意 1 オーディット詳細(AUDDET)テーブルおよびオーディットセッション(AUDSESS)テー

ブルの PARTITIONKEY カラムの値は、処理中に割り当てられます。AUDDET と

AUDSESS がパーティション分割されていないと、パーティションキーが値 2 に設定

されます。いずれかのテーブルがパーティション分割されていると、2～255 の範囲

内で値がランダムに割り当てられます。

0 (ゼロ) 空のパーティションを作成できるように、省略されます。

1 変換用に予約されています。

一般的な注意 2 RECORDGMT カラムの値は、RECORDLCT および XMA_XYMVPARAMTBL の GMTパラメーターで計算されます。

一般的な注意 3 OUTCOME カラムの値は、成功または失敗の特定の原因に関係なく、すべてのアクセ

ス試行の成功または失敗に対してレポートを生成するか、アクションを実行できる正

規化済みの値です。このフィールドを取得するための実際のデータは、

MESSAGECODE カラムに含まれています。正規化済みの OUTCOME は下記のとお

りです。

1. Success

2. No Record

3. Failure。Failure はセキュリティ違反として定義されています。

4. UNKNOWN。MOVER で XYGATE または SAFEGUARD の値を変換できない場合

は、値 4 が割り当てられます。このフィールドを取得するための実際のデータは、

MESSAGECODE カラムに含まれます。



一般的な注意 4： ALERTED カラムは下記のいずれかの値を含みます。

A ALERT

B

- アラートが発行されました。

Blocked5.7

- レコードはアラートの対象でしたが、BLOCKALERTSパラメータ

ーがTRUEにセットされています(詳細は、第節｢MOVERパラメーター｣

(111 ページ)を参照してください)。

C Collect-Only

D

– アラート専用/収集専用の環境では、イベントでアラートを

生成する必要がある場合、データベースがCで更新されますが、実際のアラ

ートはアラート専用のMOVERで生成されるため、データベースは更新され

ません。

Duplicate

F

(重複)– レコードはアラートが発行される条件を満たしていました

が、MAXACTIONRATEで指定された時間が経過しています。

Failed

G

- 試行が失敗しました。何らかの問題が発生し、

MAXCOMPLETIONTIMEに達する前に所定のアクションを実行できないこと

を表します。

GLOBALBLOCKALERTS

N

にONが設定されています。アラートが発行され

るはずでしたが、すべてのアラートが抑止されています。

Not Eligible

O

(デフォルト)。

Old

– レコードはアラートが発行される条件を満たしていましたが、

MAXRECORDAGEで指定された値よりも古いものです。



G2: カラムの説明下の表に、カラムの内容を説明します。製品ごとの詳細については、個々の製品の表


カラムタイプ説明 SESSION.RECORDSESSIONKEY timestamp 最初のセッションローがXMAデータベ

ースに挿入される時に作成される一意

のタイムスタンプ。

SESSION.RECORDINSTALLKEY timestamp INSTALL.RECORDINSTALLKEYにリ

ンクします。

SESSION.SESSIONID char 36 オーディットを生成する製品によって

作成される一意のセッションレコー

ド。

SESSION.FOUNDSESSIONSTART char 1 セッションの開始のマーク(該当する場

合)。

SESSION.FOUNDSESSIONEND char 1 セッションの終了のマーク(該当する場

合)。

SESSION.SESSIONNAME varchar 40 オーディットを生成する製品によって

作成される一意のセッションレコー

ド。

SESSION.PROCESSTHREADID varchar 50 オーディットレコードの原因となった

イベントのプロセス名。プロセス名は

<node>.<proc_name>:<seq#>です。プ

ロセスのオブジェクトファイル名につ

いては、SESSION.CLIENTPROGRAMを参照してください。

SESSION.PROCESSTHREADID2 varchar 50 オーディットレコードの原因となった

イベントのプロセス名。プロセス名は

<ノード>.<cpu>,<pin (形式以外は

THREADIDと同じ) EMS MOVERのみ

が設定)>です。

SESSION.CLIENTPROGRAM varchar 50 オーディットレコードを発生させたプ

ログラム：SAFECOM、XYGATEAC、

TMFなど。

SESSION.ANCESTORPROCESSTHREADID varchar 50 親のSESSION.PROCESSTHREADIDのプロセス名。

SESSION.IPADDRESS char 16 ユーザーの端末/ノードに基づくIPアド

レス。

SESSION.DNSNAME varchar 100 ユーザーの端末/ノードに基づくDNS名。

SESSION.CLIENTCURRDIR varchar 200 CLIENTPROGRAMのオブジェクトフ

ァイル。

INSTALL.RECORDINSTALLKEY timestamp (実際の関連するオーディットレコード

ではなく) MOVERの作成時に作成され

た一意のセッションレコード。



カラムタイプ説明 INSTALL.PRODUCTCODE varchar 10 オーディットレコードを生成した製

品。

INSTALL.IPADDRESS char 16 イベントを生成した製品(XAC、SFGな

ど)が動作しているNonStopサーバーノ

ードのIPアドレス(したがって、イベン

トが発生したノードではない)。

INSTALL.SYSTEMNAME varchar 64 イベントを生成した製品が動作してい

るNonStopサーバーノード。

INSTALL.LOCATION varchar 200 イベントを生成した製品(XAC、B24 な

ど)が動作しているインストールサブボ

リューム(EMSのEMSディストリビュ

ーターであれば

$SYSTEM.XYGATExx)。

INSTALL.DNSNAME varchar 100 イベントを生成した製品(XAC、SFGな

ど)が動作しているNonStopサーバーノ

ードのIPアドレス(したがって、イベン

トが発生したノードではない)。

AUDIT.RECORDGMT timestamp オーディットイベントが発生したGMT時刻(製品のオーディットトレイルに記

録される)。

AUDIT.GMTSEQNO char 2 セッション内のイベントのシーケンス

番号で、RECORDGMTと結合するこ

とで、挿入時の重複エラーを回避しま

す。

AUDIT.RECORDLCT timestamp オーディットイベントが発生したロー

カル時刻(製品のオーディットトレイル

に記録される)。

AUDIT.RECORDAUDITKEY timestamp MOVERの作成時に

SESSION.RECORDINSTALLKEYにリ

ンクします(実際のオーディットレコー

ドに関連付けられるわけではありませ

ん)。

AUDIT.RECORDSESSIONKEY timestamp SESSION.RECORDSESSIONKEYにリ

ンクします。

AUDIT.SEQNO char 9 セッション内のイベントのシーケンス

番号。オーディットを生成する製品に

よって作成されます。

AUDIT.OUTCOME char 1 結果を表す 1文字(1 = 成功、2 = レコ

ードなし、3 = 失敗、4 = 未知

(AUDIT.MESSAGECODEの値から正規

化されます)。

AUDIT.WARNINGMODE char 1 Y(es)/N(o)のいずれかで、オーディッ

トレコードを生成した製品が警告モー

ドで実行中であったかどうかを表しま

す。



カラムタイプ説明 AUDIT.SEVERITY char 1 “Critical”または空白で、オーディット

レコードを生成した製品に"Critical"フラグが設定されていたかどうかを表し

ます。

AUDIT.SEVERITY char 1 “Critical”または空白で、オーディット

レコードを生成した製品に"Critical"フラグが設定されていたかどうかを表し

ます。

AUDIT.ALERTED char 1 イベントを処理したときにXMAをがア

ラートを生成したかどうかを表す 1文

字。一般的な注意 4 (225 ページ)を参


AUDIT.PRODUCTCODE varchar 10 オーディットレコードを生成した製品

(XAC、SFGなど) (INSTALL.PRODUCTCODEにリン

ク)。

AUDIT.SUBJECT_USERNUMBER_MAJOR char 8 オーディットイベントを生成したアク

ションを実行した人のユーザーIDの 3桁のグループ番号の部分。

AUDIT.SUBJECT_USERNUMBER_MINOR char 8 オーディットイベントを生成したアク

ションを実行した人のユーザーIDの 3桁のメンバー番号の部分。

AUDIT.TARGET_USERNUMBER_MAJOR char 8 存在する場合は、オーディットイベン

トでアクションの対象となるユーザー

IDの 3桁のグループ番号の部分。

AUDIT.TARGET_USERNUMBER_MINOR char 8 存在する場合は、オーディットイベン

トでアクションの対象となるユーザー

IDの 3桁のグループ番号の部分。

AUDIT.SUBJECTLOGIN varchar 40 オーディットイベントを生成したアク

ションを実行した人のユーザー名また

はSafeguardエイリアス。

AUDIT.SUBJECTSYSTEM varchar 64 SUBJECT USERが認証されたNonStopサーバー。

AUDIT.TARGETLOGIN varchar 40 オーディットイベントでアクションの

対象となるユーザー名または

Safeguardエイリアス。

AUDIT.OBJECTTYPE varchar 32 オーディットイベントでアクションの

対象となるオブジェクトの種類(ユーザ

ーレコード、ディスクファイルなど)。

AUDIT.OBJECTNAME varchar 200 オーディットイベントでアクションの

対象となるオブジェクトの名前(ユーザ

ーID、ディスクファイル名など)。

AUDIT.OPERATION varchar 128 オーディットイベントで実行されるア

クション(ログオン、変更、削除な

ど)。



カラムタイプ説明 AUDIT.TERMINAL varchar 64 アクションを実行した人がログオンし

ている端末。

AUDIT.MESSAGEID varchar 20 オーディットレコードタイプの製品固

有の識別子。

AUDIT.MESSAGECODE varchar 20 アクションの実際の結果(パスワードが

正しくない、ログオンが成功した)。

AUDIT.RULENAME varchar 50 通常は、SUBJECTUSERのアクション

を許可または拒否するために使用され

たRULENAME。

AUDIT.USER_DATA varchar 16 Equensがオーディットレコードに追加

する、カスタマイズ可能な 16 文字の

エントリ。

AUDIT.RESULT varchar 256 オーディットイベントを説明するテキ

スト(例："<userid> read <filename>")



G3: データマッピングテーブルの使用方法下記の図は、XMA データベースに挿入されるデータのすべてのソースのデータマッピ

ングを変換するための"キー"です。たとえば、Safeguard のデータマッピングを確認

する場合、下記の図は情報の変換方法の理解に役立ちます。



G4: BASE24 のデータマッピング BASE24 のオーディット詳細テーブル

カラムタイプレコードの内容 PARTITIONKEY 218 ページの「一般的な注意 1」を

参照

numeric 4 MOVER で生成

RECORDGMT - timestamp 「一般的な注意 2」を参照

MOVER で生成

GMTSEQNO char 2 MOVER で生成

RECORDLCT timestamp 日時

RECORDAUDITKEY timestamp MOVER で生成

RECORDSESSIONKEY timestamp MOVER で生成

SEQNO char 9 MOVER で生成

OUTCOME char 1 結果テキストが"Security Violation"を含ん

でいる場合は、4 (不明)または 3 (失敗)

WARNINGMODE char 1 TESTMODE char 1 'N' SEVERITY char 1

ALERTED char 1 - 「一般的な注意 4」を参

照 MOVER で生成

PRODUCTCODE char 10 "BASE24" SUBJECT_USERNUMBER_MAJOR char 8 BASE24 グループ番号

SUBJECT_USERNUMBER_MINOR char 8 BASE24 ユーザー番号

SUBJECTLOGIN varchar 40 アクションを実行するユーザーの

BASE24 ユーザーID

SUBJECTSYSTEM varchar 64 ユーザーが認証されたシステム(EXPANDの番号でノード名を取得)

TARGET_USERNUMBER_MAJOR char 8 TARGET_USERNUMBER_MINOR char 8 TARGETLOGIN varchar 40 ユーザー名(BASE24 IDのSECレコードに

含まれたDESCRIPTIONフィールドの内

容)。「BASE24 の注意 3」を参照。

OBJECTTYPE - オブジェクトタイプ varchar 32 ユーザーまたはファイル

OBJECTNAME - オブジェクト名 varchar 200 BASE24 ユーザー名(SECファイルレコー

ドに含まれたIDのエイリアス)。SECファ

イルが識別されない場合、

SUBJECTLOGINはこのカラムに存在し

ます。「BASE24 の注意 1」および

「BASE24 の注意 3」を参照。

OPERATION - アクティビティ varchar 128 FM-TYP「BASE24 の注意 2」を参

照。



BASE24 のオーディット詳細テーブル

カラムタイプレコードの内容 TERMINAL varchar 64 \Node + TERM-ID MESSAGEID varchar 20 MESSAGECODE varchar 20 RULENAME varchar 50

RESULT (結果) varchar 256 変更済みのSECファイルレコードの変更

前イメージおよび変更後イメージ。

他のファイルの場合、このフィールドは

空です。

「BASE24 の注意 4」を参照。

BASE24 の注意 1 ファイルの OBJECTNAME は、オーディットログの数値と XYGATEMA サブボリュー

ムの OMFOBJT ファイルの記述の一致によって決定されます。OMFOBJT ファイルを

カスタマイズした場合は、XYGATEMA サブボリュームの OMFOBJT ファイルを自分

のファイルのコピーに置き換える必要があります。

BASE24 の注意 2 FM-TYP は下記のとおり変換されます。

A = ADDED

B = CHANGE

C = CHANGE

D = DELETE

O = OPCMD

S = LOGON (APPL-CDE = 00 の場合)

(APPL-CDE = FF の場合)

BASE24 の MOVER では、FMT_TYP が不明である場合も、レコードが XMA データ

ベースに挿入されます。MOVER では、値が認識されないと、実際の値をカッコに含

む"UNKNOWN"が OPERATION カラムに挿入されます。

例： UNKNOWN (W)

この例では、オーディットレコードの FMT-TYPE は"W"です。

BASE24 の注意 3 SEC ファイルは、BASE24 ID に関する情報を含んでいます。下記の 3 つのフィール

ドでユーザーを識別できます。

USERID = グループ番号およびユーザー番号で構成されます。アクションを実

行するユーザーの USERID は、SUBJECTLOGIN カラムに存在し



ます。グループ番号およびユーザー番号は、

SUBJECT_USERNUMBER_MAJOR および

SUBJECT_USERNUMBER_MINOR カラムに存在します。

ALIAS = BASE24 にログインするためのユーザー名。ALIAS は、

OBJECTNAME カラムに存在します。例：B24.00235.00000021 LINK/OPSJOE

DESCRIPTION = 実際のユーザー名を含んでいる場合があります。DESCRIPTIONは、存在する場合、TARGETLOGIN カラムに存在します。例：JOE BOBBIN

SEC ファイルが ALIAS または DESCRIPTION を含んでいない場合、USERID は

OBJECTNAME または TARGETLOGIN カラムに挿入されます。

BASE24 の注意 4 OBJECTTYPE = USER および OPERATION = CHANGE は、SEC ファイルの変更を

表します。下記のとおり、SEC レコードで変更されたフィールドごとに、変更前イメ

ージおよび変更後イメージが書式設定されます。

<ファイル名>(画面番号):<変更前の値> "to" <変更後の値>

例：APCF Screen Access(2):RADU-NNNN to RADU-YYYY

この例では、SUBJECTLOGIN カラムに定義された BASE24 ユーザーID で APCF ア

プリケーションの画面 2 を使用するための権限 R (読み取り)、A (変更)、D (削除)、お

よび U (更新)が NNNN から YYYY に変更されます。

注：

OBJECTYPE = FILE の場合、結果は空です。

ユーザーの追加または削除の場合、結果は空です。

BASE24 のオーディットセッションテーブル

カラムタイプレコードの内容 PARTITIONKEY 218 ページの「一般的な注意 1」を参

照



RECORDINSTALLKEY timestamp MOVER で生成

SESSIONID char 36 Timestamp + TERM-ID FOUNDSESSIONSTART char 1 FOUNDSESSIONEND char 1 SESSIONNAME varchar 40 PROCESSTHREADID varchar 50 PROCESSTHREADID2 varchar 50 CLIENTPROGRAM varchar 50



BASE24 のオーディットセッションテーブル

カラムタイプレコードの内容 ANCESTORPROCESSTHREADID varchar 50 IPADDRESS char 16 DNSNAME varchar 100 CLIENTCURRDIR varchar 200



G5: HLR データマッピング HLR のオーディット詳細テーブル


参照


RECORDGMT - 「 timestamp 一般的な注意 2」を参照。

MOVER で生成(AUDIT.RECORDLCTに相当する GMT 時刻)


RECORDLCT timestamp オーディットイベントが発生したロ

ーカル時間の日時(HLR オーディット

トレイルに記録される)


RECORDSESSIONKEY timestamp MOVER で生成(最初のセッションロ

ーが XMA データベースに挿入される

時に作成される一意のタイムスタン

プ)

SEQNO char 9 MOVER で生成(HLR セッション内の

レコードのシーケンス。

SESSION.SESSIONID カラムを参

照)。

OUTCOME char 1 結果テキストが"Security Violation"を含んでいる場合は、4 (不明)または 3 (失敗)

WARNINGMODE char 1 TESTMODE char 1 空白または"F"(HLRの注意 5を参照)

SEVERITY char 1

ALERTED - char 1 「一般的な注意 4」を参

照 MOVER で生成

PRODUCTCODE char 10 "HLR" SUBJECT_USERNUMBER_MAJOR char 8 SUBJECT_USERNUMBER_MINOR char 8 SUBJECTLOGIN varchar 40 アクションまたはログオンを実行し

た人の DPA ユーザーID

SUBJECTSYSTEM varchar 64 HLR オーディットトレイルが置かれ

ているノード

TARGET_USERNUMBER_MAJOR char 8 TARGET_USERNUMBER_MINOR char 8 TARGETLOGIN varchar 40



HLR のオーディット詳細テーブル

カラムタイプレコードの内容

OBJECTTYPE - オブジェクトタイプ varchar 32 操作対象のオブジェクトタイプ：

GSUB、USER、SIM、またはCGSUB

OBJECTNAME - オブジェクト名 varchar 200 変更対象のレコード：USERID、

MKEY、または KEY。「HLRの注意 1」を参照してくださ

い。

OPERATION - アクティビティ varchar 128 DPA コマンド：ADD、READ、

DELETE、UPDATE、CHANGEKEY、LOGON、

LOGOFF、GETSESSIONINFO

TERMINAL varchar 64

MESSAGEID varchar 20 変更対象のオブジェクトのサブタイ

プを表すDPAターゲット名：

USERID、MKEY、KEY。「HLRの注

意 1」を参照してください。

MESSAGECODE varchar 20 DPA ResultCode、または<メッセー

ジドメイン>;<id>(HLRの注意 2 と 6を参照)

RULENAME varchar 50 ローのRESULTカラムに含まれるデ

ータのタイプ：PARAM、TEXT、FLAG。「HLRの注意 7」を参照して

ください。

RESULT (結果) varchar 256 イベントに関する情報「HLRの注意

7」を参照。



HLR の注意 1 – DPA エントリタイプ操作対象のエンティティ。最も一般的な値は、USER、GSUB、SIM、または CGSUB。

エンティティタイプに基づく処理： Entity-Type = User

(DPA ユーザーID のログオン、オグオフ、または変更を表します)

DPA 識別子値 [Notes] XMA カラム EntityType= USER 操作対象のエンティティ

タイプ AUDIT.OBJECTTYPE

Name= USERID 操作対象のオブジェクト

のタイプ AUDIT.MESSAGEID

<DPA ユーザー

名> 処理が LOGON または

LOGOFF であるかどうか AUDIT.MESSAGEID

User= <DPA ユーザー

名> 変更を実行する DPA ユ

ーザーID を表します。操作が LOGON の場合、

このカラムは空白です。

AUDIT.SUBJECTLOGIN

Command= <処理> 実行された処理 AUDIT.OPERATION

操作が LOGONの場合

<DPA ユーザー名>はログ

オンするユーザーです。

ユーザーID は 2 つのカラ

ムに格納されます。

AUDIT.SUBJECTLOGIN AUDIT.OBJECTNAME

Value= <DPA ユーザー

名> 操作対象の DPA ユーザ

ーID AUDIT.OBJECTNAME

Property String= 設定される 1 つ

以上のパラメー

ター

設定されるパラメーター

のカンマ区切りリスト AUDIT.RESULT

"PARAM" AUDIT.RULENAME Value= <DPA ユーザー

名> 操作対象の DPA ユーザ

ーID AUDIT.OBJECTNAME



Entity-Type = GSUB、CGSUB、または SIM (操作する携帯電話アカウントを表します)

DPA 識別子値 [Notes] XMA カラム EntityType= GSUB、SIM、

CGSUB 操作対象のエンティティ

タイプ AUDIT.OBJECTTYPE

Name= KEY 操作対象のオブジェクト

のタイプ AUDIT.MESSAGEID

User= <DPA ユーザー

名> 変更を実行する DPA ユー

ザーID を表します。 AUDIT.SUBJECTLOGIN

Command= DPA Command= 実行された処理 AUDIT.OPERATION

Value= <電話番号> 操作対象の電話のアカウ

ント AUDIT.OBJECTNAME

PropertyString= 設定される 1 つ

以上のパラメー

ター

設定されるパラメーター

のカンマ区切りリスト AUDIT.RESULT

"PARAM" AUDIT.RULENAME

AUDIT.OBJECTNAME カラムは、次のように設定されます。

• EntityType = USERID の場合、値は、作業対象またはログオン/ログオフする<DPAユーザーID>です。

• TargetName = MKEY の場合、値は、作業対象の MSISDN ( SIM カード)番号です。

• TargetName = KEY の場合、値は、作業対象の IMSI (加入者の電話番号)です。

HLR の注意 2 - DPA メッセージ DPA "Messages"はエラーメッセージであり、DPA ResultCode が–1 の場合のみ存在

します。

HLR MOVER は、下表のようにメッセージを処理します。 DPA 識別子値 [Notes] XMA カラム

DPA Message= Domain= エラーが発生し

たレコードの"部分"

AUDIT.MESSAGECODE(<domain>;<id>)

Id= エラー番号

<text>= エラーの説明 AUDIT.RESULT

"TEXT"という語 AUDIT.RULENAME

DPA ResultCode=

–1 = 失敗 0 = 成功

AUDIT.OUTCOME(MOVER によって 1 (成功)または 3 (失敗)に正規化されま

す)。



エラーテキストが 256 文字を超える場合は、ローがさらに作成され、リストが続きま

す。

HLRの注意 3DPA Property Set は、ある DPA オーディットレコードに設定されるすべてのパラメ

ーターのカンマ区切りリストです。HLR MOVER は文字列全体を 256 文字セットの

AUDIT.RESULT カラムに格納するため、XMA では 1 行以上のローが存在します。1つのイベントに関連するすべてのローは、SESSION.SESSIONID と AUDIT.SEQNOの値が同じです。

– DPA Property Set

Property Set に含まれるすべてのローで、AUDIT.RULENAME に"PARAM"が設定され

ます。

HLRの注意 4HLR MOVER の作成時に、DPA アプリケーションノード ID が設定されます。このパ

ラメーターは、MOVER が処理する各オーディットレコードの

SESSION.SESSIONNAME カラムに、MOVER によって格納され、挿入されます。

– アプリケーションノードID

アプリケーションノード ID ごとに別々の HLR MOVER が存在する必要があります。

HLRの注意 5select-params は、次のとおりです。

– "select-params"

• ALT-IMSI-DIGITS

• GSM-O-CSI-ACTIVE

• ECMN-SMS-CSI-ACTIVE

• CLIR-AUTH

• CLIP-ACT

いずれかの select-param がオーディットレコードに存在すると、次のようになります。

• select-param とその値(0 または 1)だけがカンマ区切りリストとして含まれる新し

いローが作成されます。

• この"特別な"ローでは、AUDIT.RULENAME カラムに"FLAG"という語が設定され

ます。

• レコード全体のすべてのローで、AUDIT.TESTMODE カラムに"F"という文字が設

定されます。

レポート作成やアラートの目的で、次のように使用します。

1. AUDIT.RULENAME = FLAG を選択すると、Sensitive Param だけが含まれるロー

が取得されます。



2. AUDIT.TESTMODE = F を選択すると、Sensitive Param が含まれるレコードのす

べてのローが取得されます。

HLRの注意 6ResultCode は、次のように結果を表します。

– DPA ResultCode

• DPA ResultCodeが–1 (失敗)の場合、Messageフィールドも存在します。「HLRの

注意 2」

• DPA ResultCodeが 0 (成功)の場合、Property Set文字列が存在します。


「HLRの

注意 3」

• これ以外の ResultCode の場合は、コードが MESSAGECODE カラムに設定され、

OUTCOME は"4" (不明)に設定されます。


HLR の注意 7 AUDIT.RULENAME カラムのエントリは、レコードの AUDIT.RESULT カラムのデー

タタイプを表します。

AUDIT.RULENAME AUDIT.RESULT TEXT エラーの説明

PARAM Property String FLAG Sensitive Param のみ

HLR のオーディットセッションテーブル

カラムタイプレコードの内容 PARTITIONKEY 218 ページの「一般的な注意 1」を参照


RECORDSESSIONKEY timestamp MOVER で生成(最初のセッションロー

が XMA データベースに挿入される時

に作成される一意のタイムスタンプ)


SESSIONID char 36 Mover で生成(日単位でセッションが存

在し、その日の個々のレコードにシー

ケンス番号が割り当てられる。

AUDIT.SEQNO を参照)

FOUNDSESSIONSTART char 1 FOUNDSESSIONEND char 1 SESSIONNAME varchar 40 HLRアプリケーションノードID HLR

HLRの注意 4を参照

PROCESSTHREADID varchar 50



HLR のオーディットセッションテーブル

カラムタイプレコードの内容 PROCESSTHREADID2 varchar 50 CLIENTPROGRAM varchar 50 ANCESTORPROCESSTHREADID varchar 50 IPADDRESS char 16 DNSNAME varchar 100 CLIENTCURRDIR varchar 200 ターゲット HLR オーディットログの

フルパス名

SESSION.PRODUCTSYSTEM varchar 64 イベントを生成した製品が動作してい

る NonStop サーバーノード。

SESSION.PRODUCTLOCATION varchar 200 ターゲットHLRオーディットログのフ

ルパスマスク。

例：/app/hlr/NODEG/dpa*



G6: EMS のデータマッピング EMS のオーディット詳細テーブル


照

numeric(4) MOVER で生成

RECORDGMT - 「 timestamp 一般的な注意 2」を参照。

ZEMS_TKN_GENTIME


RECORDLCT timestamp LCT(ZEMS_TKN_GENTIME)および

GMTOFFSET パラメーターで計算



SEQNO char 9 生成済み

OUTCOME char 1 4 (不明)

WARNINGMODE char 1 TESTMODE char 1 'N' SEVERITY char 1 ZEMS_TKN_EMPHASIS (1 または

3)


照

PRODUCTCODE char 10 MOVER で生成(EMS)

SUBJECTSYSTEM varchar 64 ZEMS_TKN_XSENDERID_PD SUBJECTLOGIN varchar 40 「EMSの注意 2」を参照 SUBJECT_USERNUMBER_MAJOR char 8

「EMSの注意 1」を参照 SUBJECT_USERNUMBER_MINOR char 8 TARGET_USERNUMBER_MAJOR char 8 TARGET_USERNUMBER_MINOR char 8 TARGETLOGIN varchar 40 SUBJECTLOGIN と常に同じ

OBJECTTYPE - オブジェクトタイプ varchar 32 ZSPI_TKN_SSID

OBJECTNAME - オブジェクト名 varchar 200 解析済みのオブジェクト名BASE24/TELNET/LISTNER

OPERATION - アクティビティ varchar 128 EMS-EVENT

TERMINAL varchar 64 「EMSの注意 3」を参照

MESSAGEID varchar 20 ZEMS_TKN_EVENTNUMBER MESSAGECODE varchar 20 RULENAME varchar 50



EMS のオーディット詳細テーブル

カラムタイプレコードの内容

RESULT (結果) varchar 256 イベントテキスト - 複数の詳細レコ

ードに適合するように分割

EMS の注意 1 A) SUBJECT_USERNUMBER_MAJOR および SUBJECT_USERNUMBER_MINOR の

場合：

1. イベントで ZEMS_TKN_PROC_DESC が ZEMS_TKN_XSENDERID_PD と同じ

である場合、イベントジェネレーターはイベントレポーターと同じであり、

ZEMS_TKN_USERID が使用されます。

2. イベントで ZEMS_TKN_PROC_DESC が ZEMS_TKN_XSENDERID_PD と異な

る場合、イベントジェネレーターはイベントレポーターと異なり、

ZEMS_TKN_USERID を使用できません。この場合は、

EMSSENDERPROCESSLOOKUP が検証されます。下記のいずれかの条件を

満たす場合は、EMS の MOVER でプロセス情報の検索が実行されます。

• ALL

• LOCALONLY (ZEMS_TKN_XSENDERID_PD のシステム名が MOVER オ

ブジェクトのシステム名と同じ)

3. 検索が成功した場合は、イベントが対象のユーザーを含みます。検索が失敗した

場合は、イベントが UNKNOWN になります。

B) TARGET_USERNUMBER_MAJOR は SUBJECT_USERNUMBER_MAJOR と常に

同じであり、TARGET_USERNUMBER_MINOR は

SUBJECT_USERNUMBER_MINOR と常に同じです。

EMS の注意 2 SUBJECTLOGIN カラムの場合は、EMSSENDERPROCESSLOOKUP が検証されま

す。下記のいずれかの条件を設定すると、EMS の MOVER でプロセス情報の検索が

実行されます。

• ALL

• LOCALONLY (ZEMS_TKN_XSENDERID_PD のシステム名が MOVER オブジェク

トのシステム名と同じ)

検索が成功した場合は、プロセスの LOGINNAME を使用します。検索が失敗した場

合は、SUBJECT_USERNUMBER_MAJOR.SUBJECT_USERNUMBER_MINOR が設

定されます。



EMS の注意 3 TERMINAL カラムの場合は、EMSSENDERPROCESSLOOKUP が検証されます。下

記のいずれかの条件を満たす場合は、EMS の MOVER でプロセス情報の検索が実行

されます。

• ALL

• LOCALONLY (ZEMS_TKN_XSENDERID_PD のシステム名が MOVER オブジェク

トのシステム名と同じ)

EMS の注意 4 CLIENTPROGRAM カラムは、EMSSENDERPROCESSLOOKUP パラメーターの下

記の値に基づいて更新されます。

• EMSSENDERPROCESSLOOKUP = None

MOVER でクライアントプログラムが検索されないため、CLIENTPROGRAM は

"NULL"になります。

• EMSSENDERPROCESSLOOKUP = ALL

MOVER でクライアントプログラムが検索され、カラムが更新されます。

• EMSSENDERPROCESSLOOKUP = LOCALONLY

EMS メッセージのプロセス記述子のシステム名が MOVER のオブジェクトファイ

ルのシステム名と同じである場合は、MOVER でクライアントプログラムが検索

され、カラムが更新されます。



EMS のオーディットセッションテーブル


照




SESSIONID char 36 ZEMS_TKN_XSENDERID_PD FOUNDSESSIONSTART char 1 FOUNDSESSIONEND char 1 SESSIONNAME varchar 40 PROCESSTHREADID varchar 50 ZEMS_TKN_XSENDERID_PD PROCESSTHREADID2 varchar 50 ZEMS_TKN_XSENDERID CLIENTPROGRAM varchar 50 「EMSの注意 4」を参照

ANCESTORPROCESSTHREADID varchar 50 IPADDRESS char 16 DNSNAME varchar 100 CLIENTCURRDIR varchar 200

BASE24 EMS オーディットの特殊な処理下記のとおり、EMS の MOVER では、BASE24 のメッセージの解析方法が異なりま

す。

テーブルおよびカラム EMS の MOVER AUDIT.PRODUCTCODE テキスト"BASE24 EMS"

AUDIT.SUBJECTLOGIN BASE24 のユーザー名またはユーザー番号

AUDIT.TARGETLOGIN BASE24 ID の SEC レコードに含まれた ALIAS フィールドの

内容

AUDIT.OBJECTTYPE オブジェクトタイプ(PROCESS、DEVICE、STATION、LINKなど)

AUDIT.OBJECTNAME XPSNCPI の場合は、結果に指定したオブジェクト LOGDATER の場合は、EMSLOG の新しい名前

AUDIT.OPERATION XPSNCPI の場合は、文字列"executing command"の後の値 LOGDATER の場合は、EMS EVENT LOG HAS BEEN SWITCHED

AUDIT.MESSAGECODE SSID (ACI.LOGDATER.nnnn、ACI.XPSNCPI.nnnn など)

AUDIT.OUTCOME EMS テキストが文字列"Security Violation"を含んでいる場合

は、"3" (失敗)。他の場合は、"4"。



テーブルおよびカラム EMS の MOVER SESSION.SESSIONNAME セッション番号(セッション 00001-00-00358 など)。BASE24

でユーザーセッションに割り当てられる"Ticket Number"。

AUDIT.OPERATION のシナリオ • シナリオ 1：DELIVER PROCESS <プロセス名>, "bittrace off"

処理：コマンドが"DELIVER"である場合は、OPERATION カラムの"DELIVER"で引用符内の値を連結します。

例：DELIVER bittrace off

• シナリオ 2：複数のコマンドを発行する場合: INFO STATION *, STARTED

処理：STARTED は実際にはすべてのステーションが"起動"していることを表す

INFO の修飾子であるため、"INFO"が OPERATION カラムに挿入されます。

• シナリオ 3：1 つのコマンドが複数の部分で構成される場合：CONTROL PROCESS *, PURGE, STOPPED

処理：OPERATION カラムの"CONTROL"で、すべてのコマンド修飾子を連結しま

す。

例：CONTROL, PURGE, STOPPED

• シナリオ 4：1 つのコマンドが 2 つの部分で構成される場合：ALTER STATION S1DVISA1, IAUDIT ON

処理：コマンドが"ALTER"である場合は、OPERATION カラムの"ALTER"でカン

マの後の値を連結します。

例：ALTER IAUDIT ON

ODBC/MX オーディットの特殊な処理 SEQNO および OPERATION フィールドは、SQL/MX レコードの特殊な値を含んでい

ます。

SEQNO 000000000 は、SQL/MX セッションの開始を表します。 999999999 は、SQL/MX セッションの終了を表します。

operation OPERATION カラムの値は、ODBC/MX の設定によって異なります。



ODBC/MX で統計レコードが生成される場合

EMSのレコードID OPERATION

ConnectionInformation MXCS-SESSION-START SQLStatement MXCS-'x'。'x'は任意の SQL ステートメント

(SELECT、INSERT、DELETE、UPDATE など)に一致しま

す。

Session Summary MXCS-SESSION-END

XMA が生成 MXCS-SESSION-ABORT EMS の Mover では、内部テーブル Session Table で最大 500個のセッションを追跡できます。この操作は下記のいずれかの原因で実行されます。 1. セッションが 1 時間休止している。セッションが終了し、

Session Table のエントリがメモリからクリアされる。 2. Session Table の空き容量がなくなっており、新しいセッ

ションが開始している。Session Table の最も古いセッシ

ョンが新しいセッションに再利用される。この操作はシーケンスコードが 999999999 であるレコー

ドに実行されます。

Bypassed STATISTICS INFORMATION SQLExecDirect

ODBC/MX でトレースレコードが生成される場合

EMSのレコードID OPERATION

EnterConnect MXCS-SESSION-START EnterExecDirect MXCS-'x'。'x'は任意の SQL ステートメント(SELECT、

INSERT、DELETE、UPDATE など)に一致します。

EnterDisconnect MXCS-SESSION-END

XMA が生成 MXCS-SESSION-ABORT (上記の説明を参照)

Bypassed Enable ServerTrace EnterImpIInit ExitImpIInitExitConnect ExitExecDirect EnterFetchPerf ExitFetchPerf EnterClose ExitClose ExitDisconnect



LISTNER および TELNET の特殊な処理下記の表のとおり、EMS の MOVER では、LISTNER および TELNET のメッセージの

解析方法が異なります。

LISTNER の接続 TELNET の接続および切断

RECORDGMT RECORDLCT

SESSION-CONNECT-TIMESTAMP

OBJECTTYPE SSID SSID OBJECTNAME TCP/IP プロセスの名前：PORT TCP/IP プロセスの名前：PORT

OPERATION LISTNER-CONNECT TELNET-CONNECT または- TELNET-DISCONNECT-

MESSAGECODE LOCAL PORT LOCAL PORT TERMINAL 「EMSの注意 3」(244 PROCESS+TERM ページ)を

参照。 RULENAME SERVICE-NAME SERVICE-NAME

OSS SU (substitute user)コマンドの特別な処理 EMS MOVER は、下表に示すように、SU コマンドからのメッセージを異なる方法で

構文解析します。

OPERATION AUTHENTICATE MESSAGEID ZEMS_TKN_EVENTNUMBER

8 = 失敗 11 = 成功

XYGATE SSH Encryption (SSH)の特別な処理 EMS MOVER は、下表に示すように、XSH からの AUTHENTICATION メッセージを

異なる方法で構文解析します。

SUBJECTLOGIN TEXT の USERID

TARGETLOGIN TEXT の USERID

OBJECTNAME SSID

OPERATION AUTHENTICATE

MESSAGECODE ポート番号

AUDIT SESSION IPADDRESS TEXT の IPADDRESS



HP SSH Encryption (comForte®

EMS MOVER は、下表に示すように、XSH からの AUTHENTICATION メッセージを

異なる方法で構文解析します。

SSH)の特別な処理

SUBJECTLOGIN TEXT の USERID

TARGETLOGIN TEXT の USERID

OBJECTTYPE SSID

OBJECTNAME ターゲットのユーザーID、または SFTP ファイルマスクまたは

サブシステム

OPERATION SFTP コマンドの AUTHENTICATE

RULENAME 認証方法

MESSAGECODE OPERATION = LISTEN の場合はローカルポート

OPERATION = FORWARD の場合は'宛先'ポート

AUDIT SESSION IPADDRESS TEXT の IPADDRV6

SESSIONID TEXT の comForte SESSION-LOG-ID



G7: MEASURE のデータマッピング

MEASURE のオーディット詳細テーブル


numeric 4

RECORDGMT - 「一般的な注意 2」 timestamp を参

照


RECORDLCT timestamp 作成時刻



SEQNO char 9 システムで生成

OUTCOME - char 1 「一般的な注意 3」を参照


ALERTED - char 1 「一般的な注意 4」を参照

PRODUCTCODE char 10 MEASURE SUBJECTSYSTEM varchar 64 プロセスのシステム

SUBJECTLOGIN varchar 40 変換済みの CAID (可能な場合)

SUBJECT_USERNUMBER_MAJOR char 8 CAID SUBJECT_USERNUMBER_MINOR char 8 CAID TARGET_USERNUMBER_MAJOR char 8 TARGET_USERNUMBER_MINOR char 8 TARGETLOGIN varchar 40

OBJECTTYPE - オブジェクトタイプ varchar 32 "PROCESS"

OBJECTNAME - オブジェクト名 varchar 200 プロセスのオブジェクトファイ

ル

OPERATION - アクティビティ varchar 128 "MEASURE"

TERMINAL varchar 64 プロセスのホーム端末

MESSAGEID varchar 20 MESSAGECODE varchar 20 RULENAME varchar 50 [ノード名][$または$プロセス

名].[CPU,PIN]またはUNKNOWN

RESULT (結果) varchar 256 [current-node-name.][$または$Processname][CPU,PIN]



MEASURE のオーディットセッションテーブル


参照

numeric 4



SESSIONID char 36 システムで生成(timestamp + Unique ID)

FOUNDSESSIONSTART char 1 FOUNDSESSIONEND char 1 SESSIONNAME varchar 40 PROCESSTHREADID varchar 50 [current System name].[Processname

または CPU,PIN]

PROCESSTHREADID2 varchar 50 CLIENTPROGRAM varchar 50 MEASURE の MOVER プログラムフ

ァイル

ANCESTORPROCESSTHREADID varchar 50 MEASURE の MOVER の親プロセス

IPADDRESS char 16 DNSNAME varchar 100 CLIENTCURRDIR varchar 200



G8: Safeguard のデータマッピング詳細については、第 6 章「Safeguard の選択基準」(119 ページ～)を参照してください。

Safeguard のオーディット詳細テーブル


照

numeric 4

RECORDGMT - timestamp 「一般的な注意 2」を

参照


RECORDLCT timestamp 日時データ



SEQNO char 9 「SFG の注意 2」を参照

OUTCOME - char 1 「一般的な注意 3」を参

照結果フラグ：'F' = 3、'U' = 4、メッセージコード 455 の場合：OUTCOME = 2 他の場合：OUTCOME = 1



PRODUCTCODE char 10 MOVER で生成

SUBJECTSYSTEM varchar 64 対象のシステム(空の場合は、設

定ファイルのシステム)

SUBJECTLOGIN varchar 40 対象のログイン名

SUBJECT_USERNUMBER_MAJOR char 8 対象のグループ番号

SUBJECT_USERNUMBER_MINOR char 8 対象のユーザー番号

TARGET_USERNUMBER_MAJOR char 8 「SFG の注意 3」を参照 TARGET_USERNUMBER_MINOR char 8 「SFG の注意 3」を参照 TARGETLOGIN varchar 40 「SFG の注意 3」を参照

OBJECTTYPE - オブジェクトタイプ varchar 32 Objecttype-s

OBJECTNAME - オブジェクト名 varchar 200 オブジェクト名

OPERATION - アクティビティ varchar 128 Operation-s

TERMINAL varchar 64 terminal



Safeguard のオーディット詳細テーブル

カラムタイプレコードの内容 MESSAGEID varchar 20 プライマリ/セカンダリのレコー

ドタイプ

MESSAGECODE varchar 20 OUTCOME コード

RULENAME varchar 50

RESULT (結果) varchar 256 Comment1-s

SFG の注意 1 Safeguard オーディットログから抽出するデータは、XSR で抽出するデータと同じで

す。

SFG の注意 2 SEQNO は下記のとおり設定されます。

• プライマリレコードには、シーケンス番号 1 が割り当てられます。

• 後続のレコードには、シーケンス番号 2 が割り当てられます。

• rec-type フィールドの実際の値は、MESSAGEID カラムに挿入されます。

• Safeguard MessageID の詳細については、第 6.4 節「Safeguard MessageID」


SFG の注意 3 ターゲットのユーザーフィールドは下記のとおり設定されます。OBJECTTYPE が

USER、ALIAS、または GROUP である場合は、TARGET_USERNUMBER_MAJOR、

TARGET_USERNUMBER_MINOR、および TARGETLOGIN カラムが更新されます。

SFG の注意 4 USER、ALIAS、または GROUP を含むアクティビティレポートを実行する場合は、

REMOTEPASSWORD を OBJECTTYPE に選択しないと、REMOTEPASSWORD は

変更されません。

Safeguard のオーディットセッションテーブル


参照

numeric 4



SESSIONID char 36 プロセス名 + 端末

FOUNDSESSIONSTART char 1 FOUNDSESSIONEND char 1



Safeguard のオーディットセッションテーブル

カラムタイプレコードの内容 SESSIONNAME varchar 40 PROCESSTHREADID varchar 50 プロセス名

PROCESSTHREADID2 varchar 50 CLIENTPROGRAM varchar 50 ANCESTORPROCESSTHREADID varchar 50 IPADDRESS char 16 DNSNAME varchar 100 CLIENTCURRDIR varchar 200



G9: XAC (XYGATE Access Control)のデータマッピング

XAC のオーディット詳細テーブル

カラムタイプ XAC-I XAC-O、XAC-C、XAC-E

PARTITIONKEY 218 ページの「一般的な注意 1」を参

照

numeric(4) MOVER で生成

RECORDGMT - timestamp 「一般的な注意 2」を参照

GMTSEQNO char 2 MOVER で生成 MOVER で生成

RECORDLCT timestamp 日時日時

RECORDAUDITKEY timestamp MOVER で生成 MOVER で生成

RECORDSESSIONKEY timestamp MOVER で生成 MOVER で生成

SEQNO char 9 シーケンス番号

OUTCOME - char 1 「一般的な注意 3」を参

照「XACの注意 1」を参照

「XACの注意 1」を参照

WARNINGMODE char 1 TESTMODE char 1 'N' 'N' SEVERITY char 1


照

PRODUCTCODE char 10 MOVER で生成 MOVER で生成

SUBJECT_USERNUMBER_MAJOR char 8 グループ番号グループ番号

SUBJECT_USERNUMBER_MINOR char 8 ユーザー番号ユーザー番号

SUBJECTLOGIN varchar 40 ログイン名ログイン名

SUBJECTSYSTEM varchar 64 system system TARGET_USERNUMBER_MAJOR char 8 ターゲットのグル

ープ番号

TARGET_USERNUMBER_MINOR char 8 ターゲットのユー

ザー番号

TARGETLOGIN varchar 40 ターゲットのログ

イン名

OBJECTTYPE - オブジェクトタイプ varchar 32 "XACCOMMAND" "XACCOMMAND"

OBJECTNAME - オブジェクト名 varchar 200 XAC コマンドの名

前 XAC コマンドの名

前

OPERATION - アクティビティ varchar 128 "USER COMMAND"

"USER COMMAND"



XAC のオーディット詳細テーブル

カラムタイプ XAC-I XAC-O、XAC-C、XAC-E

TERMINAL varchar 64 ホーム端末ホーム端末

MESSAGEID varchar 20 オーディットタイ

プオーディットタイ

プ

MESSAGECODE varchar 20 コマンドステータ

スコマンドステータ

ス

RULENAME varchar 50 XAC コマンドの名

前 XAC コマンドの名

前

RESULT (結果) varchar 256 「XACの注意 2」を参照

「XACの注意 2」を参照

XAC の注意 1 XAC の場合、MESSAGECODE カラムは XAC コマンドの実行が成功したかどうかを

表します。

フィールドが空である場合は、OUTCOME が 1 (成功)に変換されます。

テキスト(エラーメッセージ/拒否メッセージ)がフィールドに存在する場合は、

OUTCOME が 3 (失敗)に変換されます。メッセージテキストは、RESULT カラムに存

在します。

XAC の注意 2 RESULTカラムは、OUTCOMEカラムの値に関連付けられた説明を含んでいます。コ

ードおよび関連の値のリストについては、『XYGATE Access Control (XAC) リファレンスマニュアル』(HP品番：657928)を参照してください。

XAC のオーディットセッションテーブル

カラムタイプ XAC-I XAC-O、XAC-C XAC-E

PARTITIONKEY 218 ページの「一般的な注意 1」を参照



RECORDINSTALLKEY timestamp MOVER で生成 MOVER で生成

SESSIONID char 36 セッションセッション

FOUNDSESSIONSTART char 1 FOUNDSESSIONEND char 1 SESSIONNAME varchar 40



XAC のオーディットセッションテーブル

カラムタイプ XAC-I XAC-O、XAC-C XAC-E

PROCESSTHREADID varchar 50 子プロセスの記述

子

PROCESSTHREADID2 varchar 50 XAC プロセスの記

述子

CLIENTPROGRAM varchar 50 ANCESTORPROCESSTHREADID varchar 50 親プロセスの記述

子

IPADDRESS char 16 DNSNAME varchar 100 CLIENTCURRDIR varchar 200 ボリュームおよび

サブボリューム



G10: XCM (XYGATE Supported CMON)のデータマッピング

XCM のオーディット詳細テーブル

カラムタイプ XCM-S、XCM-D、XCM-E PARTITIONKEY 218 ページの「一般的な注意 1」を参照

numeric 4

RECORDGMT - 「一般的な注意 2」を

参照 timestamp






OUTCOME - 「一般的な注意 3」を参照 char 1 「XCM の注意 1」を参照 WARNINGMODE char 1 TESTMODE char 1 'N' SEVERITY char 1

ALERTED - 「一般的な注意 4」を参照 char 1


SUBJECT_USERNUMBER_MAJOR char 8 グループ番号

SUBJECT_USERNUMBER_MINOR char 8 ユーザー番号

TARGET_USERNUMBER_MAJOR char 8 TARGET_USERNUMBER_MINOR char 8 SUBJECTLOGIN varchar 40 ログイン名

SUBJECTSYSTEM varchar 64 設定ファイルのシステム

TARGETLOGIN varchar 40

OBJECTTYPE - オブジェクトタイプ varchar 32 「XCM の注意 2」を参照

OBJECTNAME - オブジェクト名 varchar 200

OPERATION - アクティビティ varchar 128 「XCM の注意 3」を参照 TERMINAL varchar 64 ホーム端末

MESSAGEID varchar 20 オーディットタイプ

MESSAGECODE varchar 20 「XCM の注意 1」を参照 RULENAME varchar 50 暗号化(アクティビティタイプ =

PRELOGON の場合)

RESULT (結果) varchar 256



XCM の注意 1 XCM の場合、MESSAGECODE は下記のとおりです。

• R" "。OUTCOME = 1 (成功)に変換されます。

• D (拒否)。OUTCOME = 3 (失敗)に変換されます。

XCM の注意 2 下記の表のとおり、OBJECTTYPE および OBJECTNAME カラムは、XCM オーディ

ットレコードの OPERATION カラム(アクティビティタイプ)のデータに基づいて更新

されます。

XCM の注意 3 XCM の場合、OPERATION カラムはアクティビティタイプを表します。

アクティビティタイプが RUN である場合は、CPU も表示されます。

アクティビティタイプが ALTPRI である場合は、優先度も表示されます。下記の表を

参照してください。

CMON のアクティビティタイプおよび関連する OBJECTTYPE と OBJECTNAME

オーディットレコードのアクティビテ

ィタイプ OBJECTTYPE OBJECTNAME

LOGON "USER" ログイン名

LOGON L "USER" ログイン名

LOGOFF "USER" ログイン名

LOGOFF L "USER" ログイン名

RUN "FILE" アクティビティオブジェクト

RUN L "FILE" アクティビティオブジェクト

ALTPRI "PROCESS" アクティビティオブジェクト

ALTPRI L "PROCESS" アクティビティオブジェクト

PRELOGON "USER" アクティビティログイン

PRELOGON L "USER" アクティビティログイン

TACLCONF "TACLCONF" アクティビティデータ

OPENCMON "PROCESS" "CMON" STARTUP "PROCESS" "CMON" SHUTDOWN "PROCESS" "CMON" TAKEOVER "PROCESS" "CMON" ALIVE "PROCESS" "CMON"



XCM のオーディットセッションテーブル XCM Audit Session Table


numeric 4



SESSIONID char 36 Session x(12) FOUNDSESSIONSTART char 1 FOUNDSESSIONEND char 1 SESSIONNAME varchar 40 PROCESSTHREADID varchar 50 プロセス記述子

PROCESSTHREADID2 varchar 50 CLIENTPROGRAM varchar 50 リクエスターオブジェクト

ANCESTORPROCESSTHREADID varchar 50 親プロセスの記述子

IPADDRESS char 16 IP アドレス

DNSNAME varchar 100 CLIENTCURRDIR varchar 200



G11: XHE (XYGATE Host Encryption)のデータマッピング

XHE のオーディット詳細テーブル


numeric 4

RECORDGMT - timestamp 「一般的な注意 2」を参

照






OUTCOME - char 1 「一般的な注意 3」を参照「XHEの注意 1」を参照 WARNINGMODE char 1 警告モードのフラグ

TESTMODE char 1 テストフラグ

SEVERITY char 1





TARGET_USERNUMBER_MAJOR char 8 TARGET_USERNUMBER_MINOR char 8 SUBJECTLOGIN varchar 40 対象のログイン名

SUBJECTSYSTEM varchar 64 システム名


OBJECTTYPE - オブジェクトタイプ varchar 32 「XHEの注意 2」を参照

OBJECTNAME - オブジェクト名 varchar 200 オブジェクト

OPERATION - アクティビティ varchar 128 operation

TERMINAL varchar 64 MESSAGEID varchar 20 MESSAGECODE varchar 20 「XHEの注意 1」を参照 RULENAME varchar 50 EFGROUP の名前

RESULT (結果) varchar 256 コマンド



XHE の注意 1 XHE の場合、D (拒否)または F (失敗)の MESSAGECODE は OUTCOME = 3 に変換さ

れます。他の MESSAGECODE は、OUTCOME = 1 (成功)に変換されます。

XHE の注意 2 XHE の場合、OBEJCTTYPE は"FILE"、"USER"、または"MISC"です。OBJECTTYPEが FILE である場合は、バイト転送時間も含まれます。

例：

FILE:000000003456:000000233

XHE のオーディットセッションテーブル


参照

numeric 4



SESSIONID char 36 セッション

FOUNDSESSIONSTART char 1 FOUNDSESSIONEND char 1 SESSIONNAME varchar 40 PROCESSTHREADID varchar 50 PROCESSTHREADID2 varchar 50 CLIENTPROGRAM varchar 50 ANCESTORPROCESSTHREADID varchar 50 IPADDRESS char 16 IP アドレス




G12: XKM (XYGATE Key Management)のデータマッピング

XKM のオーディット詳細テーブル


numeric 4

RECORDGMT - 「一般的な注意 2」を参照 timestamp






OUTCOME - 「一般的な注意 3」を参照 char 1 「XKM の注意 1」を参

照 WARNINGMODE char 1 TESTMODE char 1 'N' SEVERITY char 1





TARGET_USERNUMBER_MAJOR char 8 TARGET_USERNUMBER_MINOR char 8 SUBJECTLOGIN varchar 40 対象のログイン名

SUBJECTSYSTEM varchar 64 対象のシステム


OBJECTTYPE - オブジェクトタイプ varchar 32 "KEY"

OBJECTNAME - オブジェクト名 varchar 200 キーID + キーセット ID

OPERATION - アクティビティ varchar 128 operation

TERMINAL varchar 64 MESSAGEID varchar 20 MESSAGECODE varchar 20 「XKM の注意 1」を参

照 RULENAME varchar 50

RESULT (結果) varchar 256 result



XKM の注意 1 XKM の場合、MESSAGECODE は下記のとおりです。

• 01 (成功)。OUTCOME = 1 (成功)に変換されます。

• 00 (失敗)。OUTCOME = 3 (失敗)に変換されます。

XKM のオーディットセッションテーブル


照

numeric 4




FOUNDSESSIONSTART char 1 FOUNDSESSIONEND char 1 SESSIONNAME varchar 40 PROCESSTHREADID varchar 50 クライアントプロセスの名前

PROCESSTHREADID2 varchar 50 CLIENTPROGRAM varchar 50 クライアントプログラムのファイ

ル




G13: XPC (XYGATE Process Control)のデータマッピング XPC のオーディット詳細テーブル

カラムタイプ XPC-I、XPC-E、XPC-S

XPC-D


照


RECORDGMT - 「一般的な注意 2」を参照

timestamp

GMTSEQNO char 2 MOVER で生成 MOVER で生成

RECORDLCT timestamp 日時日時

RECORDAUDITKEY timestamp MOVER で生成 MOVER で生成



OUTCOME - 「一般的な注意 3」を参

照 char 1 「XPC の注意

1」を参照「XPC の注意 1」を参照

WARNINGMODE char 1 TESTMODE char 1 'N' 'N' SEVERITY char 1

ALERTED - 「一般的な注意 4」を参

照 char 1

PRODUCTCODE char 10 MOVER で生成 MOVER で生成



TARGET_USERNUMBER_MAJOR char 8 (プロセスオーナー)グループ番号

TARGET_USERNUMBER_MINOR char 8 (プロセスオーナー)ユーザー番号

SUBJECTLOGIN varchar 40 ログイン名

SUBJECTSYSTEM varchar 64 リモートシステ

ム

TARGETLOGIN varchar 40 (プロセスオーナー)ログイン名

OBJECTTYPE - オブジェクトタイプ varchar 32 "PROCESS" "PROCESS"



XPC のオーディット詳細テーブル


XPC-D

OBJECTNAME - オブジェクト名 varchar 200 CPU 番号、ジョブ

番号、優先度、外部オブジェク

ト、プロセス名、

親プロセス

OPERATION - アクティビティ varchar 128 XPC コマンド

TERMINAL varchar 64 ホーム端末ホーム端末

MESSAGEID varchar 20 オーディットタ

イプオーディットタイ

プ

MESSAGECODE varchar 20 「XPC の注意 1」を参照

RULENAME varchar 50 PCGROUP の名

前

RESULT (結果) varchar 256 コメント

XPC の注意 1 XPC の場合、"拒否"の MESSAGECODE は OUTCOME = 3 に変換されます。他の

MESSAGECODE は、OUTCOME = 1 (成功)に変換されます。

XPC のオーディットセッションテーブル


XPC-D


照



RECORDINSTALLKEY timestamp MOVER で生成 MOVER で生成


PROCESSTHREADID2 varchar 50 CLIENTPROGRAM varchar 50 ANCESTORPROCESSTHREADID varchar 50 親プロセスの

記述子

IPADDRESS char 16 DNSNAME varchar 100



XPC のオーディットセッションテーブル


XPC-D

CLIENTCURRDIR varchar 200



G14: XPQ (XYGATE Password Quality)のデータマッピング

XPQ のオーディット詳細テーブル


照

numeric 4


timestamp







照 char 1 「XPQ の注意 1」を参照



照 char 1


SUBJECTSYSTEM varchar 64 システム名(空の場合は、PQCONFが存在するシステム)




TARGETLOGIN varchar 40 ターゲットのログイン名

TARGET_USERNUMBER_MAJOR char 8 ターゲットのグループ番号

TARGET_USERNUMBER_MINOR char 8 ターゲットのユーザー番号

OBJECTTYPE - オブジェクトタイプ varchar 32 常に"USER"または"ALIAS"

OBJECTNAME - オブジェクト名 varchar 200 ターゲットのログイン名

OPERATION - アクティビティ varchar 128 "CHANGEPASSWORD"

TERMINAL varchar 64 ホーム端末

MESSAGEID varchar 20 MESSAGECODE varchar 20 「XPQ の注意 1」を参照



XPQ のオーディット詳細テーブル

カラムタイプレコードの内容 RULENAME varchar 50 PQGROUP


XPQ の注意 1 XPQ の場合、MESSAGECODE は下記のとおりです。

• 00 (成功)。OUTCOME = 1 (成功)に変換されます。

• 01 (失敗)。OUTCOME = 3 (失敗)に変換されます。

XPQ のオーディットセッションテーブル


照

numeric 4








G15: XOS (XYGATE Object Security)のデータマッピング

XOS のオーディット詳細テーブル


照

numeric 4


参照 timestamp







照 char 1 「XOS の注意 1」を参照

WARNINGMODE char 1 警告モードのフラグ

TESTMODE char 1 テストフラグ

SEVERITY char 1



SUBJECTSYSTEM varchar 64 対象のシステム(空の場合は、設

定ファイルのシステム)




TARGETLOGIN varchar 40 TARGET_USERNUMBER_MAJOR char 8 TARGET_USERNUMBER_MINOR char 8

OBJECTTYPE - オブジェクトタイプ varchar 32 オブジェクトタイプ

OBJECTNAME - オブジェクト名 varchar 200 オブジェクト名

OPERATION - アクティビティ varchar 128 要求のタイプ


MESSAGEID varchar 20 MESSAGECODE varchar 20 「XOS の注意 1」を参照 RULENAME varchar 50 オブジェクトグループ

RESULT (結果) varchar 256 コメント



XOS の注意 1 XOS の場合、MESSAGECODE は下記のとおりです。

• 01 (許可)。OUTCOME = 1 (成功)に変換されます。

• 02 (レコードなし)。OUTCOME = 2 (レコードなし)に変換されます。

• 03 (拒否)。OUTCOME = 3 (失敗)に変換されます。

XOS のオーディットセッションテーブル


照

numeric 4



SESSIONID char 36 ノード + プロセス記述子

FOUNDSESSIONSTART char 1 FOUNDSESSIONEND char 1 SESSIONNAME varchar 40 PROCESSTHREADID varchar 50 プロセス記述子





G16: XSM (XYGATE Safeguard Manager)のデータマッピング

XSM のオーディット詳細テーブル


numeric 4


参照 timestamp






OUTCOME - 「一般的な注意 3」を参照 char 1 OUTCOME: S = 1、F = 3






TARGET_USERNUMBER_MAJOR char 8 TARGET_USERNUMBER_MINOR char 8 SUBJECTLOGIN varchar 40 対象のログイン



OBJECTTYPE - オブジェクトタイプ varchar 32


OPERATION - アクティビティ varchar 128

TERMINAL varchar 64 MESSAGEID varchar 20 MESSAGECODE varchar 20 outcome RULENAME varchar 50




XSM のオーディットセッションテーブル


照

numeric 4








G17: XSP (XYGATE Combined Spoolcom Peruse)のデータマッピング

XSP のオーディット詳細テーブル


照

numeric 4


timestamp


RECORDLCT timestamp 日時データ



SEQNO char 9


照 char 1 OUTCOME：N=3 Y=1



照 char 1




TARGET_USERNUMBER_MAJOR char 8 TARGET_USERNUMBER_MINOR char 8 SUBJECTLOGIN varchar 40 ログイン名

SUBJECTSYSTEM varchar 64 system TARGETLOGIN varchar 40

OBJECTTYPE - オブジェクトタイプ varchar 32 "SPOOLER"

OBJECTNAME - オブジェクト名 varchar 200 "SPOOLER OBJECT"

OPERATION - アクティビティ varchar 128 コマンド

TERMINAL varchar 64 terminal MESSAGEID varchar 20 XSP-I/XSP-D/XSP-E MESSAGECODE varchar 20 outcome RULENAME varchar 50

RESULT (結果) varchar 256 outcome



XSP のオーディットセッションテーブル


numeric 4



SESSIONID char 36 Session x(12) FOUNDSESSIONSTART char 1 FOUNDSESSIONEND char 1 SESSIONNAME varchar 40 PROCESSTHREADID varchar 50 PROCESSTHREADID2 varchar 50 CLIENTPROGRAM varchar 50 ANCESTORPROCESSTHREADID varchar 50 IPADDRESS char 16 DNSNAME varchar 100 CLIENTCURRDIR varchar 200



G18: XTR (XYGATE Transaction Router)のデータマッピング

XTR のオーディット詳細テーブル


照

numeric 4


参照 timestamp







照 char 1 「XTR の注意 1」を参照






TARGET_USERNUMBER_MAJOR char 8 TARGET_USERNUMBER_MINOR char 8 SUBJECTLOGIN varchar 40 対象のログイン



OBJECTTYPE - オブジェクトタイプ varchar 32


OPERATION - アクティビティ varchar 128

TERMINAL varchar 64 MESSAGEID varchar 20 MESSAGECODE varchar 20 outcome RULENAME varchar 50




XTR の注意 1 XTR の OUTCOME コードは下記の 4 つです。

G (許可) TRACL ファイルに定義されたルールに基づいてアクセスが許可さ

れました。

D (拒否) TRACL ファイルに定義されたルールに基づいてアクセスが拒否さ

れました。

S (成功) マクロの実行、ファイルの作成など、いずれかの GUI に代わって

実行された XTR の操作が失敗しました。

F (失敗) マクロの実行、ファイルの作成など、いずれかの GUI に代わって

実行された XTR の操作が失敗しました。

XMA の正規化済みの OUTCOME = 3 (失敗)を選択すると、D と F の両方が含まれます。

XMA の正規化済みの OUTCOME = 1 (成功)を選択すると、G と S の両方が含まれま

す。

XTR のオーディットセッションテーブル


照

numeric 4








G19: XUA (XYGATE User Authentication)のデータマッピング

XUA のオーディット詳細テーブル


numeric 4


参照 timestamp


RECORDLCT char 26 日時データ

RECORDAUDITKEY MOVER で生成



OUTCOME - 「一般的な注意 3」を参照 char 1 1 - 成功、2 - レコードなし、

3 - 失敗

WARNINGMODE char 1 TESTMODE char 1 テストフラグ

SEVERITY char 1


PRODUCTCODE char 10 XYGATEUA SUBJECT_USERNUMBER_MAJOR char 8 対象のグループ番号


TARGET_USERNUMBER_MAJOR char 8 ターゲットのグループ番号

TARGET_USERNUMBER_MINOR char 8 ターゲットのユーザー番号


SUBJECTSYSTEM varchar 64 対象のシステム

TARGETLOGIN varchar 40 ターゲットのログイン名

OBJECTTYPE - オブジェクトタイプ varchar 32 USER/ALIAS

OBJECTNAME - オブジェクト名 varchar 200 ターゲットのログイン名

OPERATION - アクティビティ varchar 128 AUTHENTICATE


MESSAGEID varchar 20 N/A MESSAGECODE varchar 20 result RULENAME varchar 50 UAGROUP RESULT-details of OUTCOME varchar 256 OUTCOME + コメント



XUA のオーディットセッションテーブルカラムタイプレコードの内容 PARTITIONKEY 218 ページの「一般的な注意 1」を参照

numeric 4



SESSIONID char 36 FOUNDSESSIONSTART char 1 FOUNDSESSIONEND char 1 SESSIONNAME varchar 40 PROCESSTHREADID varchar 50 プロセス記述子

PROCESSTHREADID2 varchar 50 親プロセスの記述子

CLIENTPROGRAM varchar 50 リクエスターオブジェクト

ANCESTORPROCESSTHREADID varchar 50 親オブジェクト

IPADDRESS char 16 IP アドレス




G20: Column Usage テーブル

カラム

XA

C-P

06

XPC

-P07

XC

M-P

08

XSP

-P09

XPQ

-P15

XO

S-P1

9

XU

A-P

25

XSM

-P26

XK

M-P

32

XH

E-P3

9

XTR

-P46

BA

SE24

EM

S

MEA

SUR

E

SFG

PARTITIONKEY

RECORDGMT

GMTSEQNO

RECORDLCT X X X X X X X X X X X X X X X

RECORDAUDITKEY

RECORDSESSIONKEY

SEQNO X X X O X X X O X X X X

OUTCOME X X X X X X X X X X X X X

WARNINGMODE X X

TESTMODE X X X X

SEVERITY

ALERTED

PRODUCTCODE

SUBJECTSYSTEM X X X X X X X X X X X X X X X

SUBJECTLOGIN X X X X X X X X X X X X X X X

SUBJECT_USERNUMBER_MAJOR X X X X X X X X X X X X X X X

SUBJECT_USERNUMBER_MINOR X X X X X X X X X X X X X X X

TARGETLOGIN X X X X X

TARGET_USERNUMBER_MAJOR X X X X X

TARGET_USERNUMBER_MINOR X X X X X

OBJECTTYPE - オブジェクトタイプ X X X X X X

OBJECTNAME - オブジェクト名 X X X X X X X X X X X

OPERATION - アクティビティ X X X X X X X X X X

TERMINAL X X X X X X X O X X X X

MESSAGEID X X X X X

MESSAGECODE X X X X X X X X X X X X O X

RULENAME X X X X X X X X

RESULT (結果) X X X X X X X X X X X X

PARTITIONKEY

RECORDSESSIONKEY

RECORDINSTALLKEY

SESSIONID X X X X X X X X X X X X X

FOUNDSESSIONSTART

FOUNDSESSIONEND



カラム

XA

C-P

06

XPC

-P07

XC

M-P

08

XSP

-P09

XPQ

-P15

XO

S-P1

9

XU

A-P

25

XSM

-P26

XK

M-P

32

XH

E-P3

9

XTR

-P46

BA

SE24

EM

S

MEA

SUR

E

SFG

IPADDRESS X X X X

SESSIONNAME

PROCESSTHREADID X X X X X X X X X X

PROCESSTHREADID2 X X X

CLIENTPROGRAM X X X X X X X

ANCESTORPROCESSTHREADID X X X X X

DNSNAME

CLIENTCURRDIR X

キー

システムまたは MOVER で生成

N/A O


用語集

本用語集では、ファイル、マクロなどの XMA コンポーネント、および MACONF フ

ァイルと FILTERS ファイルで使用されるキーワードについて説明します。

ADELMAC マクロ ADELMACマクロは日付によるアーカイブセットの削除プロセスを指定した間隔で自

動的に実行できるように実装されています。詳細については、付録E:「XMAホストマ

クロ」(189 ページ～)を参照してください。

ARCMAC ファイル ARCMACはアーカイブバッチジョブのサンプルです。このサンプルは、XMAデータ

テーブルをアーカイブする場合、環境に応じてカスタマイズします。詳細については、

付録E:「XMAホストマクロ」(189 ページ～)を参照してください。

DISCOVER ファイル DISCOVER ファイルは、MOVER に関する設定情報を含んでいます。また、

XMA_MANAGER で作成および管理されます。このファイルは、変更しないでくださ

い。

DISCOVRA ファイル DISCOVRA ファイルは、アラート専用の MOVER に関する設定情報を含んでいます。

また、XMA_MANAGER で作成および管理されます。このファイルは、変更しないで

ください。

EMSBUILD マクロシステムテンプレートに基づくテンプレートファイルおよび EMSTEMP ファイルを作

成するマクロ。

EMSDDL ファイル XMA の EMS メッセージの DDL レイアウト。

EMSTEMP ファイル XYGATEMA の EMS メッセージのテンプレートレイアウト。

EMS のテンプレートおよびマクロ EMS のメッセージ形式テンプレートでは、EMS に書き込まれるアラートおよびプロ

グラムメッセージからの出力を顧客が必要に応じてトークン化および整理できます。

XYGATE Merged Audit®リファレンスマニュアル用語集


このカスタマイズを実行できるように、下記の 3 つのファイルがインストール時に提

供されます。

EMSBUILD システムテンプレートに基づくテンプレートファイルおよび

EMSTEMP ファイルを作成するマクロ。

EMSDDL EMS メッセージの DDL レイアウト。

EMSTEMP XYGATEMA の EMS メッセージのテンプレートレイアウト。

FILTERS ファイルの EVALUATE_MSG 1.71 より前のリリースでは、レコードがフィルターの条件を満たすと、評価が停止し

ます。レコードが複数の基準に一致する方がよい場合があります。このキーワードは

評価が継続する必要がある場合を表します。

EVALUATE_MSG (CONTINUE|STOP)

デフォルト値：キーワードを省略した場合、デフォルト値は STOP です。

位置：STATUS の直下。

構文チェック：ACTIONTYPE に IGNORE を指定すると、EVALUATE_MSG に

CONTINUE を指定できません。

FILTERS ファイルオーディットおよびプロセスの親データの収集中に各種の MOVER サーバークラスで

使用されるルールセットを含むファイル。このルールセットは、2 つのカテゴリーに

分類されます。1 つ目のカテゴリーは統合 SQL データベースに挿入しないオーディッ

トデータです。2 つ目のカテゴリーはアラートです。指定したイベントが検出される

と、アラートが発行されます。アラートは、TCP/IP Syslog または EMS コレクターに

電子メールで発行するか、指定したカスタムの処理で発行できます。詳細については、

第 2 章「フィルターと FILTERS ファイルの構成」(27 ページ～)を参照してください。

FILTSAMP ファイル FILTSAMP ファイルはインストールで使用する場合がある各種のサンプルフィルター

を含んでいます。このファイルの上部はフィルターおよびアラートのプロセスに追加

された新機能に関する情報も含んでいます。XMA を最初にインストールする場合、

FILTERS ファイルと FILTSAMP ファイルの内容は同じです。インストール済みの

XMA を更新し、既存の FILTERS ファイルをそのままにすると、FILTSAMP のみが更

新されます。

HKEEPER サーバークラス下記の HOUSEKEEPERサーバークラスを参照してください。

HOUSEKEEPER サーバークラス HOUSEKEEPER サーバークラスでは、下記のタスクが管理されます。



• 収集専用の MOVER の起動(設定済みの場合)

• クリーンアッププロセスの覚醒(設定済みの場合)

収集のみのMOVERの"覚醒"時間を変更するには、[Movers Management Menu]のオプ

ション 20 (85 ページ)を使用し、表示されるサブメニューでオプション 10：Setup collect-only server window (95 ページ)を使用します。

クリーンアップパラメーターを変更するには、[Database Menu]のオプション 5：List Archive tasks (89 ページ)を使用します。

MOVER の基準キーワード LOCATION MOVER のターゲット製品のボリュームおよびサブボリューム。同じ XYGATE 製品の

複数のコピーが同じシステムに存在し、インストール済みの 1 つの製品からイベント

のアラートを生成する場合は、製品の LOCATION を指定するだけで十分です。

LOCATION キーワードが存在しない場合は、インストール済みのすべての製品の

MOVER でオーディットイベントがフィルターと比較されます。

MAACL ファイル MAACL ファイルは他の XYGATE 製品との標準化専用に存在します。このファイルは、

XMA でまったく使用されません。

MAHELP ファイルホストで XMA の管理およびレポートの実行に使用できるマクロのリストを含んでい

ます。

MAIL_LOCAL_DOMAIN ACTIONTYPE が MAIL であるフィルターでは、MAIL_LOCAL_DOMAIN キーワードに

メールドメインを定義する必要があります。このキーワードはメールアラートのオプ

ションです。Lotus など一部のメールサーバーには、ローカルのドメイン名が必要で

す。Microsoft Outlook には、ドメイン名が不要です。詳細については、メール管理者

にお問い合わせください。

MAMGRC ファイル MAMGRC は、XMA_MANAGER のオブジェクトファイルです。

MSTRNODE MSTRNODE ファイルは、XMA_MANAGER で作成および管理されます。リモートノ

ードのオブジェクトファイルサブボリューム(XMAOBJ)に置かれ、XYGATEMA サブ

ボリュームのロケーションが格納されます。

このファイルは編集ファイルですが、変更しないでください。更新する場合は、292ページに記載されている XMA_MANAGERマクロを必ず使用します。



MEASMOVE ファイル MEASMOVE は、MEASURE の MOVER のオブジェクトファイルであり、プロセスの

親データを MEASURE で収集します。

MGRSETUP ファイル MGRSETUP ファイルは、XMA_MANAGER の最初の実行の一部として作成されます。

XMA 環境を記述するパラメーターを格納するために使用され、XMA_MANAGER が使

用します。


MOVER 作成コマンドファイルこのコマンドファイルは、検出プロセスによって作成されます。このファイルには、

XYGATE 製品インストール環境の SAFEGUARD、EMS、BASE24 の MOVER と、

MEASURE の親データを追加する MOVER の全リストが含まれます。

注：

このファイルを実行すると、DISCOVER という名前のファイルが作成されます。

DISCOVER ファイルには、実際に作成された MOVER に関する情報だけが含まれま

す。

Discoverプロセスでは、HLR MOVERは作成されません。

注：

詳細については、

実行が正常に終了すると、コマンドファイルは削除されます。コピーを残して

おく場合は、コマンドを実行してMOVERを作成する前にコピーを作成してお

く必要があります。

第 5 章「MOVER の構成」(93 ページ～)を参照してください。

MOVER MOVER はサーバークラスです。また、各種の製品のオーディットファイルを読み取

り、アラートを生成し、XMA データベースを更新するプロセスです。

MOVER には、次の 3 つのタイプがあります。

1. アラート専用の MOVER。アラートが生成されるだけです。XMA データベースは

更新されません。

2. 収集専用の MOVER。XMA データベースが更新されるだけです。アラートは生成

されません。

3. アラートの生成と XMA データベースの更新の両方を実行する、通常(アラートと

収集の組み合わせ)の MOVER。

MOVER の種類は下記の 6 つです。



1. XYGATE の MOVER。XYGATE モジュールで作成されたオーディットトレイルが

読み取られます。

2. Safeguard の MOVER。Safeguard オーディットトレイルが読み取られます。

3. EMS の MOVER。EMS ログが読み取られます。

4. BASE24 の MOVER。OMF ファイルが読み取られます。

5. HLR MOVER。HLR/DPA オーディットデータが読み取られます。

6. MEASURE の MOVER。MEASURE ログが読み取られます。

詳細については、第 5 章「MOVER の構成」(93 ページ～)を参照してください。

MOVER の基準キーワード SYSTEM MOVER のターゲット製品が存在する NonStop ノードを指定するには、フィルターで

SYSTEM キーワードを使用します。ある特定のシステムからのアラート(または他の

アクション)を受信する場合に、SYSTEM を指定します。このキーワードを指定しな

いと、すべてのノードの MOVER がターゲット製品のオーディットイベントとフィル

ターを比較します。

NEWINST ファイルこのファイルは、XMA サブボリュームに存在すると、SQL 環境が作成されていない

ことを XMA_MANAGER に通知するマーカーとして動作します。インストールプロセ

スによって作成され、XMA_MANAGER の最初の実行後に削除されます。このファイ

ルでは、XMA の SQL 環境の作成が成功します。

NEWTBLS NEWTBLS ファイルはサイズ情報など、XMA の SQL テーブルを作成するためのすべ

てのパラメーターを含んでいます。テーブルを最初に作成する前にテーブルのサイズ

を大きくする場合は、このファイルの適切なパラメーターを変更します。詳細につい

ては、第 7 章「XMA データベースの管理」(131 ページ～)を参照してください。

PARSAMP マクロこのファイルはオーディットセッションテーブルおよびオーディット詳細テーブルを

パーティション分割する SQLCI コマンドのサンプルを含んでいます。

詳細については、付録E:「XMAホストマクロ」(189 ページ～)を参照してください。

MOVER の基準キーワード PRODUCT このキーワードを使用して、必要とする MOVER のターゲット製品を指定します。下

記の完全な製品名を入力します。

• BASE24



• EMS

• HLR

• MEASURE

• SAFEGUARD

• XYGATExx

PWSTATE ファイル PWSTATE ファイルは、PWSTOP マクロまたは XMA_MANAGER で XMA Pathwayを停止すると、作成されます。Pathway の現在の設定パラメーターが保持されます。

この情報は、XMA_MANAGER の PWCOOL マクロで Pathway を再起動すると、使用

されます。

REMFIN マクロリモート(非Pathway)ノードでXMAのインストールを完了するには、このマクロを使

用します。このマクロは、XMA_FINISH_INSTALLに相当します。詳細については、

付録E:「XMAホストマクロ」(189 ページ～)を参照してください。

REMNODES REMNODES ファイルは、XMA_MANAGER で作成および管理されます。また、

MOVER が実行されているリモートノードおよび XMA カタログと MOVER のオブジ

ェクトファイルの保存先のリストを含んでいます。


SFGMOVE ファイル SFGMOVE は、Safeguard の MOVER のオブジェクトファイルです。Safeguard オー

ディットレコードは、データを正規化して XMA データベースに追加する XYGATESRプログラムで読み取られます。

SIEM Security Information and Event Management(セキュリティ情報とイベント管理)。

SNMP_TRAPDEST ACTIONTYPE が SNMP TRAP であるフィルターでは、SNMP_TRAPDEST キーワー

ドにターゲットの SNMP プロセスの IP アドレスおよびポートを定義する必要があり

ます。ポート番号はオプションです。ポート番号を指定しないと、ポート 162 が使用

されます。



SNMP_IPPROCESS ACTIONTYPE が SNMP TRAP であるフィルターでは、SNMP_IPPROCESS キーワー

ドに定義済みのポートの TCP/IP プロセスの名前を定義する必要があります。

SNMP_TRAPNUMBER ACTIONTYPE が SNMP TRAP であるフィルターでは、このオプションのキーワード

が使用されて、選択したカスタムのイベント番号が SNMP_TRAP に送信されるメッ

セージに含まれます。値の範囲は、0～32767 です。

SNMP_COMMUNITY ACTIONTYPE が SNMP TRAP であるフィルターでは、SNMP_COMMUNITY キーワ

ードが使用されて、SNMP のコミュニティ名が指定されます。デフォルト値は

PUBLIC です。メッセージの宛先には、異なる COMMUNITY 名が必要です。この要

件はセキュリティ機能です。

SNMP_MESSAGE ACTIONTYPE が SNMP TRAP であるフィルターでは、SNMP_MESSAGE キーワー

ドに SNMP_TRAP アラートとして送信する実際のメッセージを定義する必要があり

ます。テキストとデータ置換トークンの組み合わせを使用できます。メッセージの長

さは、230 文字以下です。

SQLSRV_FTPADDRESS キーワードこの MACONF キーワードは、XYGATE Report Manager および XYGATE Configuration Manager の新しい GUI が導入されたため、廃止されました。

SQLSRV_FTPPORT キーワードこの MACONF キーワードは、XYGATE Report Manager および XYGATE Configuration Manager の新しい GUI が導入されたため、廃止されました。

SQLSRV_REQUEST_SUBVOL キーワードこの MACONF キーワードは、XYGATE Report Manager および XYGATE Configuration Manager の新しい GUI が導入されたため、廃止されました。

TACLSEG コンパイル済みの TACL セグメントファイルは、HP NonStop ホストで XMA 環境を

生成および管理し、XMA レポートを実行する XMA マクロのライブラリを含んでいま

す。このマクロセグメントは、XMA 環境を管理するか、XMA レポートを実行する他

の TACL ユーザーに追加する必要があります。



UPDSTAT マクロこのマクロでは、XMAのSQLテーブルに対して統計の更新が行われます。このマクロ

は、Netbatchで定期的なジョブとして実行できます。このファイルを変更する必要は

ありません。詳細については、付録E:「XMAホストマクロ」(189 ページ～)を参照し

てください。

XACCODE ファイル XACCODE ファイルは、XYGATEAC オーディットファイルのメッセージ変換に使用

されます。また、XAC の MOVER で使用されます。このファイルは、XYGATEAC の

結果コードおよび説明のリストを含んでいます。このファイルは、XYPRO Technology が管理しています。このファイルは、変更しないでください。

XMA (SQL)データベース SQLデータベースの詳細については、データベーステーブルの付録B:と付録C:および

付録G:のデータマッピングを参照してください。XMAデータベースの上位は下記のテ

ーブルで構成されます。

• 管理テーブル(付録B:)

このテーブルセットは、XMA Pathway のサーバークラスに関する設定およびプロ

セスの管理情報を含んでいます。

• データテーブル(付録C:)

このテーブルセットはオーディットおよびプロセスの統合親データを含んでいま

す。このテーブルセットは、パーティション分割できます。また、システムが

SQL カタログの 3.50 以降をサポートできる場合は、サイズが 2 ギガバイトを超過

するテーブルを FORMAT 2 オプションで作成できます。

XMA マクロすべてのXMAマクロを含むTACLセグメントXMA_SEGを追加するには、XMAマクロ

を使用します。詳細については、付録E:「XMAホストマクロ」(189 ページ～)を参照


XMAHELP マクロ XMA セグメントを追加した後に、「XMAHELP」または「XMA_HELP」と入力する

と、XMA マクロおよび使用方法の概要のリストが表示されます。

XMA_AUDIT_REPORT マクロ XMA_AUDIT_REPORT マクロは、NonStop サーバー(XMA_REPORT)と Report Manager の GUI のいずれで実行されても、ホストオーディットレポートに指定したレ

ポート選択基準で、SQLCI レポートを生成します。

このマクロを XMA_DATETIME_MAKEマクロ(198 ページ)と組み合わせると、バッチ

に送信できるレポートジョブを作成するか、OBEYファイルとして、またはSQLCIレ



ポートのTACLマクロの一部としてTACLプロンプトでアドホックレポートを実行でき

ます。OBEYファイルとTACLマクロは、いずれもバッチジョブにすることができます。

詳細については、付録E:「XMAホストマクロ」(189 ページ～)を参照してください。

XMA_DATETIME_MAKEマクロでは、過去の日付が計算されます。このマクロは、

XYGATEMAのカスタマイズ済みのバッチレポートで使用されます。たとえば、毎日

レポートマクロの日付を変更せずに前日のアクティビティの日次バッチレポートを実

行できる変動日付の作成に使用されます。詳細については、付録E:「XMAホストマク

ロ」(189 ページ～)を参照してください。

XMA_DBVOLUME マクロ XMA セグメントを追加した後に、「XMA_DBVOLUME」と入力すると、XMA データ

ベーステーブルを含むサブボリュームに移動します。デフォルトのサブボリューム名

は、XMADAT です。

XMA_EDIT_FILTERS マクロ XMA_EDIT_FILTERSはホストでFILTERSファイルを編集する推奨される方法です。

このマクロでは、FILTERSファイルのコピーNEWFILTが作成されます。このファイ

ルでは、すべての変更を実行します。このマクロを終了すると、ファイルの構文チェ

ックが自動的に実行されます。エラーが存在しないと、本番環境へのファイルの配置

を確認するメッセージが表示されます。"Yes"の場合は、ファイル名が変更されます。

"No"の場合は、XMA_UPDATE_FILTERSマクロ(209 ページ)を使用すると、後で本番

環境にファイルを配置できます。

XMA_FILTERS_CHECK マクロ XMAセグメントを追加した後に、「XMA_FILTERS_CHECK」と入力すると、

FILTERSファイルの構文およびキーワードの値が評価されます。エラーが検出される

と、エラーの内容と行番号が表示されます。MAIL_BODYファイルもチェックされま

す。詳細については、付録E:「XMAホストマクロ」(189 ページ～)を参照してくださ

い。

XMA_INSTALL_LICENSE マクロ XMAセグメントを追加した後に、「XMA_INSTALL_LICENSE」と入力すると、XMAライセンス(P28F001)が手動で更新されます。マスターノードに新しいライセンスを

インストールすると、XMA_NETWORK_LICENSE_INSTALLで、すべての子ノードに

新しいライセンスをプッシュできます。詳細については、付録E:「XMAホストマク

ロ」(189 ページ～)を参照してください。

XMA_NETWORK_LICENSE_INSTALL マクロ XMAセグメントを追加した後に、「XMA_NETWORK_LICENSE_INSTALL」と入力

すると、新しいXYGATEMAライセンス(P28F001)がすべての子ノードに手動でプッシ

ュされます。マスターノードに最初に新しいライセンスをインストールするには、



XMA_INSTALL_LICENSEマクロを実行する必要があります。詳細については、付録

E:「XMAホストマクロ」(189 ページ～)を参照してください。

XMA_LOAD_DEFINES マクロ XMAセグメントを追加した後に、「XMA_LOAD_DEFINES」と入力すると、SQLデータベースにDEFINESがロードされます。詳細については、付録E:「XMAホストマ


XMA_MANAGER マクロ XMA_MANAGERマクロは、XMA Pathwayを設定および管理するための主要ツールで

す。このツールでは、MOVERサーバークラスを作成および管理し、データベースを

管理します。詳細については、付録E:「XMAホストマクロ」(189 ページ～)を参照し

てください。

XMA_NETWORK_VERSION マクロ XMAセグメントを追加した後に、「XMA_NETWORK_VERSION」と入力すると、子

ノードのXMAコンポーネントのバージョン情報およびライセンス情報が表示されます。

また、オブジェクトファイルとマスターXMAサブボリュームが比較されます。詳細に

ついては、付録E:「XMAホストマクロ」(189 ページ～)を参照してください。

XMA_PWCOLD マクロ XMAセグメントを追加した後に、「XMA_PWCOLD」と入力すると、XMA Pathwayの設定サブボリュームのPWCONFIGおよびPWSTATEファイルに含まれた設定情報で、

Pathwayが初期化および起動されます。デフォルトのサブボリューム名は、XMAPWです。詳細については、付録E:「XMAホストマクロ」(189 ページ～)を参照してくだ

さい。

XMA_PWCOOL マクロ XMAセグメントを追加した後に、「XMA_PWCOOL」と入力すると、XMA Pathwayが最後のシャットダウン時の設定で再起動します。詳細については、付録E:「XMAホストマクロ」(189 ページ～)を参照してください。

XMA_PWSTOP マクロ XMAセグメントを追加した後に、「XMA_PWSTOP」と入力すると、MOVERサーバ

ークラスがフリーズおよび停止し、PATHMONプロセスがPATHCOMのシャットダウ

ンコマンドで停止します。また、Pathwayの設定情報がPWSTATEファイルに保存さ

れます。詳細については、付録E:「XMAホストマクロ」(189 ページ～)を参照してく

ださい。



XMA_PWVOLUME マクロ XMAセグメントを追加した後に、「XMA_PWVOLUME」と入力すると、Pathwayの設定情報を含むサブボリュームに移動します。デフォルトのサブボリューム名は、

XMAPWです。詳細については、付録E:「XMAホストマクロ」(189 ページ～)を参照


XMA_REPORT マクロ XMA セグメントを追加した後に、「XMA_REPORT」と入力すると、XMA データベ

ースに SQL クエリを生成するための選択基準のメニューが表示されます。レポート

はスプーラーに送信されます。

注：

XMA_SYNTAX_CHECK マクロ

XMA_REPORTマクロでは、SQLCIクエリとレポートライターの機能でレポー

トが生成されます。使用するインストール環境でSQLCIにライセンスが付与さ

れていないと、これらのマクロを使用できません。

XMAセグメントを追加した後に、「XMA_SYNTAX_CHECK」と入力すると、

MACONFファイルの構文チェックが実行されます。詳細については、付録E:「XMAホストマクロ」(189 ページ～)を参照してください。

XMA_UPDATE_FILTERS マクロ XMAセグメントを追加した後に、「XMA_UPDATE_FILTERS」と入力すると、現在

のFILTERSファイルの名前がOLDFILTxxに変更され、NEWFILTファイルは名前が

FILTERSに変更されて本番環境にインストールされます。詳細については、付録E:「XMAホストマクロ」(189 ページ～)を参照してください。

XMA_UNINSTAL 以前、アンインストール処理は、XMA_MANAGER でしか実行できませんでした。こ

のため、XMA 環境が破損している場合は、問題が発生する可能性がありました。この

結果、XMA_MANAGER が実行されませんでした。XMA_UNINSTALL マクロでは、

この問題が解決されています。

XMA_VERSION マクロ XMAセグメントを追加した後に、「XMA_VERSION」と入力すると、マスターノード

にインストールされたXMAのバージョン情報およびライセンス情報が表示されます。

XMA_NETWORK_VERSIONマクロでは、子ノードにインストールされたXMAのバー

ジョン情報およびライセンス情報が表示されます。詳細については、付録E:「XMAホストマクロ」(189 ページ～)を参照してください。

XMA_VOLUME マクロ XMAセグメントを追加した後に、「XMA_VOLUME」と入力すると、XMAインストー

ルサブボリュームに移動します。デフォルトのサブボリューム名は、XYGATEMAで



す。詳細については、付録E:「XMAホストマクロ」(189 ページ～)を参照してくださ

い。

XMA_HELP マクロ「トラブルシューティング」の章(143 ページ～)のXMAHELPを参照してください。

XYGATEMA MACONF ファイルの構文チェックを実行するプロセスのオブジェクトファイル。

XYGATESR XYGATESR は、Safeguard オーディットレコードを正規化して XMA データベースに

追加するプログラムのオブジェクトファイルです。SRLIB という名前の関連プログラ

ムがあり、これについてもライセンスする必要があります。XYGATESR プログラム

と SRLIB プログラムは、SFGMOVE プログラムと連携して動作します。

XYMOVE XYMOVE は、XYGATE 製品のオーディットトレイルからデータを収集する MOVERのオブジェクトファイルです。次の 2 つのオプションで実行できます。

• CHECKFILTERS は、FILTERS ファイルの構文チェックを実行します。

• XYGATEVER は、XYGATE 製品のサポート対象のバージョンのリストを生成しま

す。

アーカイブマクロアーカイブマクロでは、アクティブな XMA の SQL データベースからデータが削除さ

れ、アーカイブテーブルセットに情報が挿入されます。このプロセスは、マクロを呼

び出すバッチジョブを作成すると自動化できます。XYGATEMA サブボリュームの

ARCMAC ファイルはカスタムのファイルを作成するためのテンプレートとして使用

できるバッチジョブのサンプルです。詳細については、「ARCMAC ファイル」およ

び第 5 章「MOVER の構成」(93 ページ～)も参照してください。

アラート専用の MOVER アラート専用の MOVER では、アラートが生成されるだけです。XMA データベース

は更新されません。通常、アラート専用の MOVER は、XMA データベースの更新に

必要な EXPAND トラフィックがリモートノードで連続しないように作成されます。

アラート専用の MOVER は収集専用の MOVER と同時に作成されます。収集専用の

MOVER はオフピーク時間帯に"覚醒"して、XMA データベースの当日のオーディット

イベントを更新し、"スリープ"状態になります。



コマンド検出ファイル｢MOVER作成コマンドファイル｣(286 ページ)を参照してください。

収集ウィンドウこのウィンドウは、収集専用のサーバークラスが"覚醒"してXMAデータベースを更新

する場合、およびMOVERが"スリープ"に戻る場合に使用されます。収集専用の

MOVERを作成すると、インストール中に収集ウィンドウを指定するように指示され

ます。収集時間を変更するには、[Movers Management Menu]のオプション Alert-Only/Collect-Only/Regular Moversを使用します。

収集専用の MOVER 収集専用の MOVER では、XMA データベースが更新されるだけです。アラートは生

成されません。通常、収集専用の MOVER はアラート専用の MOVER と同時に作成さ

れます。アラート専用の MOVER はリモートノードのアクティビティのアラートを生

成します。通常、収集専用の MOVER は、XMA データベースの更新に必要な

EXPAND トラフィックがリモートノードで連続しないように作成されます。また、オ

フピーク時間帯に"覚醒"して XMA データベースの当日のオーディットイベントを更新

し、"スリープ"状態になります。

データ選択基準正規化済みのデータレコードの内容に基づいてオーディットイベントを選択するには、

データ選択基準を使用します。ターゲット製品に使用されるすべてのフィールドは、

フィルターでアラートまたはアクションの生成に使用できます。たとえば、ファイル

にアクセスしようとして失敗した場合にアクションを実行するには、次のようにしま

す。

• AUDIT.OUTCOME カラムを使用して、このフィールドが拒否を表しているオーデ

ィットレコードを選択します。

• AUDIT.OBJECTTYPE カラムを使用して、このフィールドがファイルアクセスに

関連していることを表しているオーディットレコードを選択します。

詳細については、第 2 章「フィルターと FILTERS ファイルの構成」(27 ページ～)を参照してください。

フィルターフィルターは、XMA の制御の単位です。フィルターは、次の 2 つの機能を実行します。

• XMA データベースに挿入するデータを指定する。

• フィルターの選択基準に一致するイベントが発生した場合にアクションを実行す

る。

フィルターは下記の 2 つのメインセクション、つまりフィルター定義の論理グループ

で構成されます。



• 有用でないオーディットデータをブロックするフィルターおよび IGNORE フィル

ターを含むセクション 1。

• オーディットデータを処理するフィルターを含むセクション 2。

｢フィルターキーワードACTIONTYPE｣(296 ページ)を参照してください。

フィルターキーワード ACTIONTYPE ACTIONTYPE キーワードでは、フィルターの選択基準に一致するイベントの検出時

に生成されるアラートのタイプが指定されます。ACTIONTYPE は下記のとおりです。

ALERT EMS のアラート。

IGNORE イベントが XMA データベースに追加されません。

IPALERT メッセージが IP アドレス(通常は Syslog)に送信されます。

MAIL 電子メールアラート。

RUNCMD 指定したマクロが呼び出されます。

SETDATA データがオーディット詳細テーブルの USER_DATA カラムに入力

されます。

SNMPTRAP メッセージが SNMP トラップに送信されます。

1 つのフィルターは必要に応じて複数の ACTIONTYPE を含む場合がありますが、

IGNORE は常に最後の ACTIONTYPE である必要があります。

フィルターキーワード ALERT ACTIONTYPE が ALERT である場合は、フィルターの選択基準に一致するイベントが

検出されると、EMS メッセージが送信されます。ALERTTARGET、ALERTSEVERITY、ALERTEMSEVENTNUMBER、および ALERTSTRING も参照し

てください。

フィルターキーワード ALERTTARGET ACTIONTYPEがALERTであるフィルターでは、ALERTTARGETキーワードにEMSメッセージの送信先を定義する必要があります。通常、この送信先はEMSコレクターで

す。この送信先を選択すると、親ノードに存在する 1 つの専用のEMSコレクターにネ

ットワーク上のすべてのノードのすべてのアラートを送信できます。この場合は、マ

スターノードの名前を入力します。デフォルトは \<ノード>.$0

複数のコレクターにアラートを送信する場合は、ALERTTARGET ごとにフィルター

を作成する必要があります。

です。<ノード>はMOVERが実行されているノードです。

構文：

{\SYSTEM.$0|<terminal id>}



フィルターキーワード ALERTSEVERITY ACTIONTYPE が ALERT であるフィルターでは、EMS でメッセージを重要とマーク

するかどうかが ALERTSEVERITY キーワードで決定されます。重要度を割り当てな

いと、デフォルト値 NONCRITICAL が使用されます。構文： ALERTSEVERITY {CRITICAL|NONCRITICAL}

フィルターキーワード ALERTEMSEVENTNUMBER ACTIONTYPE が ALERT であるフィルターでは、専用のイベント番号が

ALERTEMSEVENTNUMBER キーワードで EMS メッセージに割り当てられます。値

の範囲は、1000～32767 です。このパラメーターはオプションです。イベント番号を

割り当てないと、デフォルト値 101 が使用されます。構文： ALERTEMSEVENTNUMBER <number>

フィルターキーワード ALERTSTRING ACTIONTYPE が ALERT であるフィルターでは、EMS メッセージ"タイトル"がALERTSTRING キーワードで作成されます。指定した ALERTSTRING には、データ

置換トークンを含むことができます。

このキーワードでは、Syslog に送信されるデータ(テキスト)が定義されます。このデ

ータ(テキスト)は、テキストとデータ置換トークンの組み合わせにすることができま

す。長さは 127 文字以下です。127 文字を超過するメッセージは切り捨てられるため、

127 文字を超過するメッセージの場合は ALERTSTRING キーワードを追加します。デ

フォルトはオーディット詳細テーブルの RESULT カラムです。

構文： ALERTSTRING <string>

フィルターキーワード ALERTTOKENS このキーワードはオーディット詳細テーブルおよびオーディットセッションテーブル

のカラムのリストです。

デフォルトはオーディット詳細テーブルおよびオーディットセッションテーブルのす

べてのデータです。構文： ALERTTOKENS <column>...< column > ALERTTOKENSEND

フィルターキーワード IPALERT ACTIONTYPE が IPALERT である場合は、フィルターの選択基準に一致するイベント

が検出されると、TCP/IP アドレスまたは Syslog コンソールにアラートメッセージが

送信されます。ALERTSTRING、IPALERT_ADDRESS、IPALERT_PORT、IPALERT_PREFIX、および IPALERT_PROCESS も参照してください。



フィルターキーワード IPALERT_ADDRESS ACTIONTYPE が IPALERT であるフィルターでは、IPALERT_ADDRESS キーワード

に XMA による Syslog の文字列の送信先である TCP/IP アドレスを定義する必要があ

ります。このキーワードは、IPALERT アクションに必要です。

フィルターキーワード IPALERT_PORT ACTIONTYPE が IPALERT であるフィルターでは、IPALERT_PORT キーワードに

XMA による Syslog の文字列の送信先であるリモートシステムのポートを定義する必

要があります。このキーワードは、IPALERT アクションに必要です。予期される値は

ポート 25 です。

フィルターキーワード IPALERT_PREFIX ACTIONTYPE が IPALERT であるフィルターでは、IPALERT_PREFIX キーワードに

Syslog メッセージに追加されるプレフィックスを定義する必要があります。この接頭

辞はオプションであり、長さは 79 文字以下です。SYSLOGQ 以外のメッセージの場

合、長さは 40 文字以下です。データ置換トークンは、指定できません。

フィルターキーワード IPALERT_PROCESS ACTIONTYPE が IPALERT であるフィルターでは、IPALERT_PROCESS キーワード

に IPALERT メッセージの送信先のポートを管理する TCP/IP プロセスを定義する必要

があります。

フィルターキーワード MAIL ACTIONTYPE が MAIL である場合は、フィルターの選択基準に一致するイベントが検

出されると、電子メールメッセージが送信されます。MAIL_SRV、MAIL_PORT、MAIL_LOCAL_DOMAIN、MAIL_FROM、MAIL_TO、MAIL_SUBJECT、および

MAIL_BODY も参照してください。

フィルターキーワード MAIL_BODY ACTIONTYPE が MAIL であるフィルターでは、MAIL_BODY キーワードに XMA で電

子メールの本文として使用される編集ファイルの保存先を定義する必要があります。

メッセージの外観を書式設定し、テキストとデータ置換トークンの組み合わせを使用

できます。ファイルサイズは、100Kb 以下です。

MAIL_BODY キーワードはオプションです。このキーワードを省略すると、テーブル

の内容全体が電子メールの本文に挿入されます。

FILTERS ファイルの構文チェック時は、テンプレートファイルが存在する必要があり、

内容の構文エラーもチェックされます。

以前は、MAIL_BODY が受け付ける形式は、ファイル名、またはノード名を含む完全

修飾ファイル名の 2 つだけでした。



\NODE.$VOL.SUBVOL.FILENAME および FILENAME

現在は、完全修飾されていないファイル名も、フィルターのロケーションまたはオブ

ジェクトファイルのロケーションを使用して、次の規則に従って拡張されるようにな

りました。

• フィルターとオブジェクトファイルが同じノードにある場合は、FILTERS ファイ

ルのロケーションを使用して拡張され、それ以外の場合は、構文チェックの実行

に使用されるオブジェクトファイルのロケーションを使用して拡張されます。

フィルターキーワード MAIL_FROM ACTIONTYPE が MAIL であるフィルターでは、MAIL_FROM キーワードに電子メー

ルアラートの送信元の電子メールアドレスを定義する必要があります。このアドレス

が有効な電子メールアドレスである必要はありません。

フィルターキーワード MAIL_PORT ACTIONTYPE が MAIL であるフィルターでは、MAIL_PORT キーワードに電子メール

の送信に使用される HP NonStop サーバーのポートを定義する必要があります。デフ

ォルトのメールポートは、25 です。

フィルターキーワード MAIL_SRV ACTIONTYPE が MAIL であるフィルターでは、MAIL_SRV キーワードにターゲット

メールサーバーの名前を定義する必要があります。このキーワードはメールアラート

に必須です。システムの管理者から必要な情報を入手してください。

フィルターキーワード MAIL_TO ACTIONTYPE が MAIL であるフィルターでは、MAIL_TO キーワードに電子メールア

ラートの送信先の電子メールアドレスを定義する必要があります。1 つ以上の有効な

電子メールアドレスが必要です。複数の電子メール送信先を定義するには、MAIL_TOキーワードを複数回繰り返します。

フィルターキーワード MAIL_IPPROCESS ACTIONTYPE が MAIL であるフィルターでは、MAIL_IPPROCESS キーワードに

SMTP ゲートウェイで使用される TCP/IP プロセスを定義する必要があります。この

キーワードはメールアラートに必須です。システムの管理者から必要な情報を入手し

てください。

フィルターキーワード MAIL_SUBJECT ACTIONTYPE が MAIL であるフィルターでは、MAIL_SUBJECT キーワードに電子メ

ールの件名を定義する必要があります。データ置換トークンを使用できます。このキ

ーワードはメールアラートに必須です。



フィルターキーワード MAXACTIONRATE MAXACTIONRATE キーワードは、EMS スロットルのように動作します。このキーワ

ードには、同じ状況が発生した場合の通知の受信頻度を指定できます。その場合にも、

アクティビティは XMA データベースに書き込まれます。このフィールドによって制

御されるのは、生成されるアラートの数だけです。

このパラメーターを省略すると、アクティビティの発生頻度にかかわらず、該当する

レコードに対してアラートまたはアクション(あるいは両方)が発生します。

注： MAXACTIONRATEに関連する情報は、MOVERサーバークラスオブジェクト内

のコンテキストに格納されます。MOVERサーバークラスを停止および再起動

すると、追加のメッセージが生成される場合があります。FILTERSファイルを

変更すると、MAXACTIONRATEカウンターもリセットされます。

注：

第 6 章

MAXACTIONRATEは、実際のイベントの内容ではなく、同じFILTERの｢ヒッ

ト｣数が基準になります。たとえば、MAXACTIONRATEを短い時間に設定し、

ファイルを実行して複数のユーザーをSAFECOMで追加すると、ADDイベント

のたびにアラートは発生しません。MESSAGEIDやMESSAGECODEのような

Safeguard選択基準を使用してSafeguardアラートが生成されるレコードを制限

するとよいでしょう。詳細については、「Safeguardの選択基準」(119ページ～)を参照してください。

構文： MAXACTIONRATE <seconds>

例： MAXACTIONRATE 300

上記の例では、同じフィルターを使用して過去 5 分間(5 分 x 60 秒/分)にイベントが生

成されないと、アラートが作成されます。

フィルターキーワード MAXRECORDAGE MAXRECORDAGE キーワードによって、古くなって問題にする必要がないイベント

に対するアラートを抑止できます。通常、このキーワードは、MOVER が何らかの理

由で停止していて、履歴データを XMA データベースに追加している状況でのみ、役

割を果たします。たとえば、あるユーザーが SUPER.SUPER として直接ログオンし

たことを示すレコードがあるものの、それが先週のイベントであるならば、アラート

を受け取る必要はないでしょう。このような状況では、レポートを実行してそれらの

イベントを確認する方が、現実的な方法です。

このパラメーターを省略すると、アクティビティの実行からの経過時間にかかわらず、

該当するすべてのレコードに対してアラートまたはアクション(またはその両方)が発

生します。構文： MAXRECORDAGE <seconds>



例： MAXRECORDAGE 3600

上記の例では、識別済みのアクティビティの実行からの経過時間が 1 時間(60 分 x 60秒/分)以内である場合のみ、アラートが生成されるか、アクションが実行されます。

フィルターキーワード MAXCOMPLETIONTIME MAXCOMPLETIONTIME キーワードには、ACTIONTYPE が RUNCMD である場合の

タイムアウトパラメーターが設定されます。RUNCMD ブロックに指定した処理を指

定した時間で完了できない場合は、エラーメッセージが生成され、処理が続行します。

このパラメーターのデフォルト値は、300 秒(5 分)です。構文： MAXCOMPLETIONTIME <seconds>

例： MAXCOMPLETIONTIME 120

上記の例では、2 分(2 分 x 60 秒/分)後にエラーメッセージが生成され、処理が続行し

ます。

フィルターキーワード RUNCMD この ACTIONTYPE では、カスタムプロセスを実行できます。また、TACL (非ブロッ

クモード)から実行できるプロセスを含みます。

ACTIONTYPE が RUNCMD である場合は、MAXCOMPLETIONTIME を常に設定する

必要があります。MAXCOMPLETIONTIME を設定しないと、MOVER で後続のオーデ

ィットレコードを引き続き処理できません。

実行するすべての処理は、RUNCMDDEFBEGINキーワードとRUNCMDDEFENDキー

ワードの間に記述する必要があります。構造体TCLEXCの情報は、指定したカスタム

処理の実行中に取得できます。この構造体の詳細については、付録E:「XMAホストマ


フィルターキーワード SETDATA この ACTIONTYPE では、フィルターの選択基準に一致するイベントが検出されると、

オーディット詳細テーブルの USER_DATA カラムに定義済みの文字列が入力されま

す。文字列の長さは、16 文字以下です。

カラムの内容は、レポートを実行するための選択基準として使用できますが、フィル

ター自体でデータがカラムに追加されるため、フィルター選択基準として使用できま

せん。構文： ACTION_BEGIN ACTIONTYPE SETDATA



AUDIT.USER_DATA <string> ACTION_END

例： ACTION_BEGIN ACTIONTYPE SETDATA AUDIT.USER_DATA SFG-Config ACTION_END

この例では、フィルターの選択基準に一致するオーディットレコードが検出されるた

びに、オーディット詳細テーブルの USER_DATA カラムに文字列"SFG-Config"が挿

入されます。この場合は、Safeguard の設定に変更を反映する Safeguard オーディッ

トイベントがフィルターで選択されます。

フィルターキーワード SNMP TRAP ACTIONTYPE が SNMP TRAP であるフィルターでは、フィルターの選択基準に一致

するイベントが検出されると、定義済みの SNMP TRAP にメッセージが送信されます。

SNMP_TRAPDEST、SNMP_IPPROCESS、SNMP_TRAPNUMBER、

SNMP_COMMUNITY、および SNMP_MESSAGE も参照してください。


索引

A

ALERTSTRING ............ 45, 47, 48, 61, 66, 297

ArcSight アダプター ...................................... 14

AutoInstall スクリプト ...................................... 1 デフォルト値とユーザー定義値 ..................... 3 デフォルト値またはデフォルトロケーション ..... 4 実行 ........................................................... 7

AutoInstall スクリプト：XMA のアンインストール

................................................................ 23

C

CNVRTIP プログラム ................................... 22

Column Usage テーブル ............................ 280

D

Database Management Menu ..................... 88

E

EMS アラート ............................................... 45

EVALUATE_MSG キーワード ...................... 33

F

FILTERS：構成 ............................................ 27

FILTERS ファイル：ノード条件処理 ................ 57

FILTERS ファイル：編集 ............................... 27

I

IGNORE アクション ...................................... 46

IPALERT ..................................................... 60

IWIZARD スクリプト .................................. 8, 23

M

MEASURE の MOVER テーブル ................. 160

MOVER 追加方法 ...................................................97

MOVER：BASE24 ...................................... 108

MOVER：HLR ............................................ 109

MOVER：MEASURE のテーブル ................. 160

MOVER：サーバークラスの命名規則 .............96

MOVER：タイプ .............................................93

MOVER：タイプの変更 ..................................95

MOVER：ハウスキーピングサーバー ........... 104

MOVER：パラメーター ................................. 111

MOVER：メールキューサーバー................... 104

MOVER：埋め込みサーバークラス ............... 104

MOVER：時間範囲 ..................................... 116

MOVER：検出を使用した自動構成 ................97

MOVER：構成 ..............................................93

MOVER：起動 ............................................ 205

MOVER：選択キーワード ..............................34

Movers Management Menu .........................85

P

Pathway Management Menu .......................84

PCI 要件 ................................ xxi, 60, 109, 188

R

Report Selection 画面 ............................ 70, 80

XYGATE Merged Audit®リファレンスマニュアル

索引


S

Safeguard MessageID ............................................ 125

Safeguard：EMS エラーメッセージ ............... 127

Safeguard：OBJECTTYPE ........................ 119

Safeguard：メッセージコード ........................ 121

Safeguard：操作 ........................................ 120

Safeguard：選択基準 ................................. 119

SETDATA アクションの構成 ......................... 53

SIEM：Log Adapter のインストール ............... 14

SIEM：XYGATEMA の構成 .......................... 60

SIEM：通信のトラブルシューティング ............. 64

SLSENDER ........................................ 60, 105

SNMP TRAP アラート .................................. 54

SRLIB ファイル.................. 21, 87, 98, 193, 207

SYSLOGQ .................................................. 60

SYSLOGQ：フィルターの構成 ....................... 62

SYSLOG アラート：TCP/IP ........................... 47

SYSLOG アラート：UDP ............................... 46

SYSLOG メッセージ ..................................... 65

T

TCLEXC........................................ 40, 53, 211

TMF 関連のパラメーター ............................ 116

U

Uninstall Menu ............................................ 91

UPD フィルターの構成 .................................. 62

X

XMA Manager ............................................. 83

Database Management Menu ..................88 Movers Management Menu ......................85 Pathway Management Menu ....................84 Uninstall Menu ..........................................91

XMA Manager：Management Main Menu .....83

XMA Manager：XMA オーナーとしての実行 ...91

XMA_EDIT_FILTERS ..................................28

XMA_REPORT マクロ .................. 69, 195, 293

XMAHELP/XMA_HELP ............................. 143

XMA オーディットレポート：生成 ......................69

XMA コンポーネント...................................... xxi

XMA データベース：データテーブルのサイズ変更

............................................................... 139

XMA データベース：パーティショニング ......... 140

XMA データベース：古いレコードの削除 ....... 131

XMA データベース：日常的な管理 ................ 137

XMA データベース：管理.............................. 131

XMA のアップグレード：AutoInstall の使用 ......16

XMA のアップグレード：データベースの変換 ...22

XMA のアンインストール：自動アンインストール

の実行 ......................................................23

XMA のインストール ....................................... 1 AutoInstall デフォルト値とユーザー定義値 . 3 AutoInstall の使用 ...................................... 1

XMA のインストール：Autoinstall、実行 ........... 7

XMA のインストール：GUI/PC 製品 ................25

XMA のインストール：MOVER 選択キーワード34

XMA のインストール：レポートの生成 .............26

XMA のインストール：自動アンインストールの実

行 .............................................................23

XMA ホストマクロ ........................................ 189


索引


XMA ホストマクロ：ADELMAC .................... 189

XMA ホストマクロ：ARCMAC ...................... 190

XMA ホストマクロ：CLEANDB ..................... 191

XMA ホストマクロ：EMSBUILD ................... 192

XMA ホストマクロ：PARSAMP .................... 192

XMA ホストマクロ：REMFIN ........................ 193

XMA ホストマクロ：UPDSTAT ..................... 194

XMA ホストマクロ：XMA_AUDIT_REPORT . 195

XMA ホストマクロ：XMA_DATETIME_MAKE .............................................................. 198

XMA ホストマクロ：XMA_DBVOLUME ........ 199

XMA ホストマクロ：XMA_EDIT_FILTERS ... 200

XMA ホストマクロ：XMA_FILTERS_CHECK 201

XMA ホストマクロ：XMA_INSTALL_LICENSE .............................................................. 203

XMA ホストマクロ：XMA_LOAD_DEFINES . 203

XMA ホストマクロ：

XMA_NETWORK_FILTERS_CHECK .... 204


XMA_NETWORK_LICENSE_INSTALL . 204


XMA_NETWORK_VERSION ................. 204

XMA ホストマクロ：XMA_PWCOLD ............ 205

XMA ホストマクロ：XMA_PWCOOL ............ 205

XMA ホストマクロ：XMA_PWSTOP ............. 205

XMA ホストマクロ：XMA_PWVOLUME ....... 206

XMA ホストマクロ：XMA_SQLCOMPALL .... 206

XMA ホストマクロ：XMA_SYNTAX_CHECK 208

XMA ホストマクロ：XMA_UPDATE_FILTERS .............................................................. 209

XMA ホストマクロ：XMA_VERSION ............. 210

XMA ホストマクロ：XMA_VOLUME .............. 210

XYGATESR モジュール .................. 12, 98, 207

オ

オーディットロギングアプライアンス：XMA データ

の送信 ......................................................60

オーディットログアプライアンス：通信 ............ 144

オーディットログウェアハウス：データ解析 ..... 147

カ

管理テーブル .............................................. 153

ク

クイックリファレンス ....................................... xiii

サ

サーバークラスの命名規則 ............................96

デ

データテーブル............................................ 171

データマッピング ......................................... 223 Column Usage テーブル .......................... 280 XKM ....................................................... 263 XOS ....................................................... 270 XPC ........................................................ 265 XPQ ....................................................... 268 XSM ....................................................... 272 XTR ........................................................ 276 XUA ........................................................ 278

データマッピング：BASE24 .......................... 231

データマッピング：EMS ................................ 242

データマッピング：HLR ................................. 235

データマッピング：MEASURE ...................... 250


索引


データマッピング：Safeguard ....................... 252

データマッピング：XAC ................................ 255

データマッピング：XCM ............................... 258

データマッピング：XHE ................................ 261

データマッピング：XSP ................................ 274

データマッピング：テーブルの使用方法 ........ 230

電子メールアラート ....................................... 48

ト

トラブルシューティング ........................ 117, 143

ハ

ハウスキーピングサーバー ......................... 104

フ

フィルター ..................................................... 27

フィルター：オーディットロギングアプライアンス 60

フィルター：サンプル .................................... 179

フィルター：フィルターの作成 .......................... 32

フィルター：構文 ............................................ 29

マ

マクロ .......................... See XMA Host Macros

メ

メールキューサーバー................................. 104

レ

レポート：カスタムの作成 ............................. 195

XYGATE®リファレンス索引


xygate merged audit®リファレンスマニュアル

Documents