クリア

IBM iSeries(AS/400)デバイスの追加

IBM AS/400デバイスからログを受信するためには、EventLog Analyzerで446-449、8470-8476、9470-9476のポートを開放します。

[設定]タブ → [ログソースの構成] → [デバイスを管理] → [他のホスト]タブに移動し、[+ (複数)ホストの追加]をクリックします。

[(複数)ホストの追加]画面が開きます。

add_ibm_devices(1)
  1. [ホストタイプ]として[IBM AS/400]を選択します。
  2. [ホスト名]に、単一のデバイス名、またはカンマで区切られたデバイス名のリストを入力します。
  3. [スキャン間隔]を指定して、EventLog AnalyzerがIBM AS/400デバイスからログを取得する間隔を決めます。デフォルト(最小)の監視間隔は10分です。
  4. 管理者権限を持つユーザーの資格情報(ユーザー名パスワード)を入力します。[資格情報を確認する]を使用して、入力した資格情報を確認できます。
  5. [日付形式][デリミタ](区切り文字)を選択します。これは、IBM AS/400デバイスから収集されるログで使用される日付形式です。
  6. [追加して閉じる]をクリックしてデバイス追加後に監視対象のデバイスのリストに戻るか、[追加]をクリックしてデバイス追加後にさらにデバイスの追加を行います。

SSL証明書をインポートするには、以下の手順を実施します。

  1. SSL証明書をC:\test.cerに保存します。
  2. コマンドプロンプトを開き、<EventLog Analyzer_インストールディレクトリ>\jre\binに移動します。
  3. 以下のコマンドを実行します。 keytool -importcert -alias myprivateroot -keystore ..\lib\security\cacerts -file C:\test.cer
  4. プロンプトが表示されたら、パスワードを入力します。デフォルトのパスワードはChangeitです。
  5. Yキーを押します。
  6. EventLog Analyzerサーバーを再起動します。証明書が正常に追加されます。

履歴ログ収集

adding-ibm-iseries-as400-devices

IBM AS/400デバイスをEventLog Analyzerに追加する際、IBM AS/400が保持している過去のログを収集できます。

  1. [(複数)ホストの追加]画面にて、[ホスト名]の右側にある履歴ログ収集アイコン(履歴ログ収集)をクリックします。
  2. [直近のログを収集する]を選択後、任意の期間を指定します。
  3. [適用]をクリックします。

注記:入力する資格情報(ユーザー名/パスワード)は、50権限レベルを持っている必要があります。


監査設定

IBM AS400/iSeriesデバイスのジャーナルログを分析するには、システムで監査を有効化する必要があります。

AS400/iSeriesジャーナルログの監査を有効化するためには、以下を実施する必要があります。

  1. ジャーナル・レシーバーを作成する
  2. ジャーナル・レシーバーをジャーナルに関連付ける
  3. ジャーナル・レシーバーに保存される監査ログを指定する

ジャーナル・レシーバーが作成され、指定されたログがそこに収集されると、EventLog Analyzerはそれらのログを取得して監視、レポート生成、アラート通知を行います。

注記:AS 400/iSeriesデバイスでセキュリティ監査を設定するには、*AUDIT特殊権限が必要です。


1. ジャーナル・レシーバーを作成する

以下のようなコマンドを実行することで、任意のライブラリにジャーナル・レシーバーを作成できます。

CRTJRNRCV JRNRCV(JRNLIB/AUDRCV0001) + THRESHOLD(100000) AUT(*EXCLUDE) + TEXT('Auditing Journal Receiver')

注記:例では、ジャーナル・レシーバーにJRNLIBというライブラリを使用します。

  • ジャーナル・レシーバーを任意のライブラリに配置します。システムライブラリであるQSYSライブラリには配置しないでください。
  • ジャーナル・レシーバーの名前を入力します。
  • すべてのジャーナル・レシーバーの名前に命名規則を適用する場合は、*GENオプションを使用します。
  • システムのサイズとアクティビティに合った適切なしきい値レベルを指定します。選択するサイズは、システム上のトランザクションの数と監査するアクションの数に基づいて決定する必要があります。システム変更ジャーナル管理をサポートするには、しきい値は少なくとも5000KBである必要があります。
  • ジャーナルに保存されている情報へのアクセスを制限するには、AUTパラメーターに*EXCLUDEを指定します。

2. ジャーナル・レシーバーをジャーナルに関連付ける

以下のようなコマンドを実行することで、QSYS/QAUDJRNジャーナルを作成します。

CCRTJRN JRN(QSYS/QAUDJRN)+
JRNRCV(JRNLIB/AUDRCV0001)+
MNGRCV(*SYSTEM) DLTRCV(*NO)+
AUT(*EXCLUDE) TEXT('Auditing Journal')
  • ジャーナル名QSYS/QAUDJRNを使用する必要があります。

    • 注記:ジャーナルを作成するには、QSYSにオブジェクトを追加する権限が必要です。

  • JRNRCVパラメータを使用して、作成したジャーナル・レシーバー名を指定します。
  • ジャーナルに保存されている情報へのアクセスを制限するには、AUTパラメーターに*EXCLUDEを指定します。
  • *SYSTEMは、レシーバーの管理(MNGRCV)のパラメーターとして渡されます。したがって、関連付けられたジャーナル・レシーバーがしきい値サイズに達すると、システム自体がこのレシーバーを切り離し、新しいジャーナル・レシーバーを作成して関連付けます。
  • CHGJRNコマンドを使用した、レシーバーのデタッチや新しいレシーバーの手動作成とアタッチを避けてください。
  • 切り離されたジャーナル・レシーバーを保持するには、DLTRCVの値として*NOを指定します。これにより、切り離されたレシーバーがシステムによって自動的に削除されなくなります。
  • QAUDJRNレシーバーはセキュリティ監査証跡です。したがって、適切にアーカイブされていることを確認してください。

3. ジャーナル・レシーバーに保存(キャプチャ)される監査ログを指定する

以下のようなコマンドを実行することで、作成されたジャーナル・レシーバーに保存されるログを指定します。

CHGSECAUD QAUDCTL(*ALL) QAUDLVL(*ALL)
  • 監査ジャーナルに記録されるアクションをシステム上のすべてのユーザーに対して指定するには、WRKSYSVALコマンドを使用して監査レベルをQAUDLVLシステム値に設定する必要があります。
  • 特定のユーザーに対してアクションおよびオブジェクトの監査を設定する場合は、CHGUSRAUDコマンドを使用します。
  • CHGOBJAUDコマンドとCHGDLOAUDコマンドを使用して、必要に応じて特定のオブジェクトに対してオブジェクト監査を設定することもできます。
  • QAUDENDACNシステム値を設定すると、監査ジャーナルにエントリを書き込めない場合のシステムアクションを定義できます。
  • QAUDFRCLVLシステム値パラメータを使用すると、監査レコードをメモリから補助ストレージに転送するかどうかを制御できます。
  • 監査を開始するには、QAUDCTLシステム値を*NONE以外の値に設定します。

セキュリティ監査の設定が完了すると、EventLog Analyzerは監視対象として追加されたAS400/iSeriesデバイスのジャーナル・レシーバーに収集されたログを自動的に取得します。AS400/iSeriesデバイスがEventLog Analyzerサーバーに追加されていない場合は、デバイスを追加してログの収集を開始します。

       概要