ポリシー サーバ ログ(smps.log)および監査ログ(smaccess.log)の設定

このトピックには、ポリシー サーバと監査ログの設定に関する以下の情報が含まれます。
casso1283
このトピックには、ポリシー サーバと監査ログの設定に関する以下の情報が含まれます。
ポリシー サーバ管理コンソールの[ログ]タブから、ポリシー サーバ ログおよびポリシー サーバ監査ログを設定します。
[ポリシー サーバ ログ]
セクションは、ポリシー サーバ ログである smps.log の設定を制御します。ポリシー サーバ ログ ファイルは、ポリシー サーバのステータスに関する情報を記録します。
[ポリシー サーバの監査ログ]
セクションは、監査ログである smaccess.log に書き込み可能な監査情報の設定可能なレベルを制御します。この情報には、認証、許可、およびその他のイベントが含まれています。[データベース]-[監査ログ]を選択して、[データ]タブで監査ログおよびそのロールオーバ設定の場所を指定します。設定可能な監査レベルは、ポリシー サーバ ログに書き込まれません。
ODBC がポリシー ストアとして設定されていて、特定のクエリのデータがない場合は、SQL_NO_DATA ステートメントが smtrace ログに記録されます。SQL_NO_DATA ステートメントを smps ログにも記録されるようにする必要がある場合は、レジストリ変数
SQLNODATATOSMPS
の値を 1 に設定します。
ポリシー サーバを RADIUS サーバとして設定している場合は、RADIUS アクティビティのログが RADIUS ログ ファイルに記録されます。
以下の手順に従います。
  1. ポリシーサーバ管理コンソールを起動します。
    Windows サーバ上で、ユーザ アカウント制御(UAC)が有効な場合は、管理者権限でショートカットを開きます。管理者としてシステムにログインしている場合でも、管理者権限を使用します。詳細については、お使いの
    SiteMinder
    コンポーネントの「リリース ノート」を参照してください。
  2. [ログ]タブをクリックします。
  3. ポリシー サーバ ログの場所、ロール オーバー特性、および必要な監査ログ レベルを設定するには、[ポリシー サーバ ログ]および[ポリシー サーバの監査ログ]グループ ボックスで設定を調整します。
  4. ポリシー サーバを RADIUS サーバとして設定している場合は、[RADIUS ログ]グループ ボックスに示されている設定を調整します。
  5. [適用]をクリックして、変更内容を保存します。
ポリシー ストア オブジェクトに対して管理者が行った変更の記録
デフォルトでは、ポリシー ストア オブジェクトへの管理者変更は、
siteminder_home
\audit ディレクトリにある XPS テキスト ファイルのセットに書き込まれます。
以下の例に示すとおり、監査ログはテキスト ファイルとして保存されます。
policy_server_home
/audit/xps-
process_id
-
start_time
-
audit_sequence
.
file_type
各監査ログ ファイルの名前には、以下の情報が含まれます。
  • process_id
    監査対象イベントに関連付けられているプロセスの数を示します。
  • 開始時間
    トランザクションが
    開始された
    時刻を以下の形式で示します。
    YYYYMMDDHHMMSS
    年が 4 桁、時刻が 24 時間形式で表記されます。
    例:
    20061204133000
  • audit_sequence
    監査対象イベントのシーケンス番号を示します。
  • file_type
    以下のいずれかのイベント タイプを示します。
    • アクセス
      以下のアクセス イベントを含む監査ログ ファイルを示します。
      • 管理 UI が登録されている
      • 管理 UI が他のユーザの代わりにプロキシとして動作する
      • リクエストしたアクションについて管理者がアクセスを拒否される
    • audit
      以下のイベントを含む監査ログ ファイルを示します。
      • オブジェクトが変更される(XPS ツールまたは管理 UI を使用)
      • 管理者レコードが作成、変更、または削除される
    • txn
      以下のトランザクション イベントを含む監査ログ ファイルを示します。
      • XPS ツールが、オブジェクトへの変更を開始、コミット、または拒否する
    • diff
      以下のトランザクション イベントを含む監査ログ ファイルを示します。
      • オブジェクトが変更される(XPS ツールまたは管理 UI を使用)
      • 変更を実行したユーザ
      • 管理者レコードが作成、変更、または削除される
      • オブジェクト名
      • 単一アクティビティでオブジェクト内で変更された属性の数
      • 変更された各属性の古い値と新しい値
    SiteMinder
    バイナリ ファイル(XPS.dll、libXPS.solibXPS.sl)への書き込みアクセス権限がユーザに
    ない
    場合は、管理者が管理 UI または XPSSecurity ツールを使用して、関連する XPS コマンド ライン ツールを使用する権限を付与する必要があります。
デフォルトの動作を変更する方法
  1. ポリシー サーバ ホスト システムにアクセスします。
  2. コマンド ライン セッションを開き、以下のコマンドを入力します。
    xpsconfig
    ツールが起動し、このセッションのログ ファイルの名前が表示されます。また、選択項目のメニューが開きます。
  3. 以下のコマンドを入力します。
    xps
    オプションのリストが表示されます。
  4. 以下の値を入力します。
    1
    現在のポリシー ストア監査設定が表示されます。
  5. 「C」と入力します。
    このパラメータは、TRUE または FALSE の値を使用します。値を変更すると、2 つの状態が切り替わります。
    更新されたポリシー ストア監査設定が表示されます。新しい値は「保留中の値」としてリストの下部に表示されます。
  6. 以下の手順を実行します。
    1. 2 回「Q」と入力します。
    2. 「Q」と入力して XPS セッションを終了します。
    変更が保存され、コマンド プロンプトが表示されます。
管理者アクションの詳細ログの記録
リリース 12.8.05 以降、diff 監査ファイルは既存の監査ファイル タイプと共に使用できます。ファイル内のログは以下の形式でログに記録されます。
"Record ID","Date-Time stamp","Policy Server","Admin Name","XID","Object Name","Change Type","Attribute Diff Count","Change Set"
  • レコード ID
    ログ メッセージの一意の ID を定義します。
  • 日時スタンプ
    アクティビティのタイムスタンプを示します。
  • ポリシー サーバ
    アクティビティが実行されるポリシー サーバ マシンのホスト名を定義します。
  • 管理者名
    アクティビティを実行した管理者の名前を定義します。
  • XID
    更新されたオブジェクトの XID を定義します。
  • オブジェクト名
    更新されたオブジェクトの名前を定義します。
  • 変更タイプ
    オブジェクトに対して実行されたアクションのタイプを指定します。たとえば、Update、Delete です。
  • 属性差分数
    オブジェクト内で更新された属性の数を定義します。この値は、オブジェクトに対する変更(バックエンド属性の変更を含む)の総数です。たとえば、管理者がレルムの説明、エージェント リンク、およびリソース フィルタ属性を更新する場合、別の関連する内部属性の変更が必要です。そのため、ログ メッセージでは、このフィールドが 4 を示します。
  • 変更セット
    オブジェクトに対して実行された実際の変更を定義します。このフィールドには、オブジェクトの古い値と新しい値が表示されます。このフィールドの形式は以下のとおりです。
    { "Class"="
    classname_value
    ", "
    attr1_name
    ":"(-)
    old_value
    (+)
    new_value
    ", "
    attr2_name
    ":"(-)
    old_value
    (+)
    new_value
    ", "
    attrN_name
    ":"(-)
    old_value
    (+)
    new_value
    ",}
    例 1
    : レルムへの以下の変更について考えます。
    オブジェクト属性
    既存の値
    新しい値
    説明
    このレルムは例として使用されます
    -
    リソース フィルタ
    /loginpage/
    /logoutpage/
    認証方式
    login_html
    基本
    レルムに対するこれらの変更のログ メッセージの形式は以下のとおりです。
    "4628-1601959639-36_1","07/Oct/2020::17:27:00 0530","pstestmachine24","siteminder","CA.SM::[email protected]","testrealm","Update","4","{ "Class"="CA.SM::Realm","Desc":"(-)use for login","ResourceFilter":"(-)/loginpage/ (+)/logoutpage/","FullResourceFilter":"(-)/loginpage/ (+)/logoutpage/","AuthSchemeLink":"(-)login_html (+)Basic" }"
    例 2
    : パスワードが変更された場合、そのような変更のログ メッセージは以下の形式になります。
    "4628-1601959639-37_1","07/Oct/2020::17:33:54 0530","pstestmachine24","siteminder","CA.SM::[email protected]","testagent","Update","1","{ "ExtClass"="CA.SM::Agent4x","Secret":"(-)*** (+)***" }"
古いログ ファイルの自動処理
以下のいずれかのスクリプトをカスタマイズすることによって、ポリシー サーバで古いログ ファイルを自動的に処理できます。
  • Harvest.bat (Windows)
  • Harvest.sh (UNIX または Linux)
以下のいずれかのイベントが発生すると、スクリプトが実行されます。
  • XPSAudit プロセスが開始するとき(CLEANUP オプションを使用)。CLEANUP オプションは、ディレクトリ内のすべてのログ ファイルを一度に処理します。
  • ログ ファイルがロールオーバーされるとき。
  • XPSAudit プロセスが終了するとき。ロールオーバーまたは終了中、ファイルは名前別に 1 つずつ処理されます。
スクリプトをカスタマイズすることで、ファイルを削除したり、データベースに移動したり、別の場所へアーカイブしたりするなどファイルを自由に処理できます。
このスクリプトはあくまでも例として提示しています。CA ではサポートされていません。
古いログ ファイルを自動的に処理するには、以下の手順に従います。
  1. ポリシー サーバで以下のディレクトリを開きます。
    policy_server_home
    /audit/samples
  2. 使用しているオペレーティング システムに合ったスクリプトをテキスト エディタで開き、コピーを以下のディレクトリに保存します。
    Windows の場合
    policy_server_home
    /audit/Harvest.bat
    UNIX/Linux の場合:
    policy_server_home
    /audit/Harvest.sh
    ファイルの名前を変更したり、指定とは異なる場所にファイルを保存したり
    しないでください
  3. 自分のニーズに沿ってスクリプトをカスタマイズするためのガイドとして、スクリプトの中で注釈を使用してください。
  4. カスタマイズしたスクリプトを保存し、テキスト エディタを終了します。
Windows で ODBC 監査ログの内容をテキストベースの監査ログにミラーリングする
SiteMinder
監査ログをテキスト ファイルとして保存する場合、それらのファイルにはデフォルトで、利用可能なフィールドの部分的なリストが含まれます。監査ログが記録されるテキスト ファイルに利用可能なフィールドをすべて含める場合は(ODBC 監査データベースと同じように)、ポリシー サーバにレジストリ キーを追加できます。
ODBC 監査ログの内容をテキストベースの監査ログにミラーリングする方法
  1. レジストリ エディタを開きます。
  2. 以下の場所を展開します。
    HKEY_LOCAL_MACHINE\SOFTWARE\Netegrity\SiteMinder\CurrentVersion\Reports\
  3. 以下の名前を持つ新しい DWORD 値を作成します。
    Enable Enhance Tracing
  4. 値を 1 に設定します。この設定を将来無効にする場合は、値を 0 に戻します。
  5. ポリシー サーバを再起動します。
    ODBC 監査ログの内容が、テキストベースの監査ログに表示されます。