この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
監査ロギングは有効になっているが、詳細監査ロギング オプションは選択されていない場合は、システムが標準監査ロギング用に設定されます。
標準監査ロギングを使用すると、監査用の別のログ ファイルにシステムの設定変更が記録されます。Serviceability GUI の [コントロール センター - ネットワーク サービス(Control Center - Network Services)] の下に表示される Cisco Audit Event Service により、ユーザが行った、またはユーザの操作によって発生したシステムへの設定変更がモニタされ、ログに記録されます。
監査ログの設定を行うには、Serviceability GUI の [監査ログの設定(Audit Log Configuration)] ウィンドウにアクセスします。
標準監査ロギングの構成は次のとおりです。
監査ロギング フレームワーク:このフレームワークは、監査ログに監査イベントを書き込むためにアラーム ライブラリを使用する API で構成されます。GenericAlarmCatalog.xml として定義されたアラーム カタログがこれらのアラームに適用されます。各種システム コンポーネントで独自のロギングが提供されます。
次に、アラームを送信するために Cisco Unified Communications Manager のコンポーネントが使用できる API の例を示します。
User ID: CCMAdministratorClient IP Address: 172.19.240.207 Severity: 3 EventType: ServiceStatusUpdated ResourceAccessed: CCMService EventStatus: Successful Description: CallManager Service status is stopped
監査イベント ロギング:監査イベントとは、記録する必要があるあらゆるイベントを指します。次に、監査イベントの例を示します。
CCM_TOMCAT-GENERIC-3-AuditEventGenerated: Audit Event Generated UserID:CCMAdministrator Client IP Address:172.19.240.207 Severity:3 EventType:ServiceStatusUpdated ResourceAccessed: CCMService EventStatus:Successful Description: Call Manager Service status is stopped App ID:Cisco Tomcat Cluster ID:StandAloneCluster Node ID:sa-cm1-3
Cisco Unified Serviceability では次のイベントがログに記録されます。
Cisco Unified Real-Time Monitoring Tool では、監査イベント アラームを含む次のイベントがログに記録されます。
Cisco CDR Analysis and Reporting(CAR)では、次のイベントに関する監査ログが作成されます。
Cisco Unified Communications Manager Administration のさまざまなコンポーネントについて、次のイベントがログに記録されます。
Cisco Unified Communications セルフ ケア ポータルに対するユーザ ロギング(ユーザ ログインとユーザ ログアウト)イベントが記録されます。
コマンドライン インターフェイスで実行されたすべてのコマンドがログに記録されます(Cisco Unified Communications Manager と Cisco Unity Connection の両方)。
Cisco Unity Connection Administration では次のイベントがログに記録されます。
Cisco Personal Communications Assistant クライアントでは次のイベントがログに記録されます。
Cisco Unity Connection Serviceability では次のイベントがログに記録されます。
Representational State Transfer(REST)API を使用する Cisco Unity Connection クライアントでは次のイベントがログに記録されます。
管理者のロギング(Administration、OS Administration、Disaster Recovery System、Reporting などの IM and Presence のインターフェイスへのログインおよびログアウト)
ユーザのロール メンバーシップの更新(ユーザの追加、ユーザの削除、またはユーザのロールの更新)
ロールの更新(新しいロールの追加、削除、または更新)
デバイスの更新(電話機およびゲートウェイ)
サーバ設定の更新(アラームまたはトレースの設定、サービス パラメータ、エンタープライズ パラメータ、IP アドレス、ホスト名、イーサネット設定の変更、および IM and Presence サーバの追加または削除)
コマンドライン インターフェイスで実行されたすべてのコマンドがログに記録されます。
詳細監査ロギングは、標準(デフォルト)監査ログに保存されない追加の設定変更を記録するオプション機能です。標準監査ログに保存されるすべての情報に加えて、詳細監査ロギングには、変更された値も含め、追加、更新、または削除された設定項目も保存されます。詳細監査ロギングはデフォルトで無効になっていますが、[監査ログ設定(Audit Log Configuration)] ウィンドウで有効にすることができます。
監査ログ タイプ
システム監査ログでは、Linux OS ユーザの作成、変更、削除、ログの改ざん、およびファイルまたはディレクトリの権限に対するあらゆる変更をトレースします。このタイプの監査ログは、収集されるデータが大量になるためにデフォルトでディセーブルになっています。この機能を有効にするには、CLI を使用して手動で utils auditd を有効にします。システム監査ログ機能をイネーブルにすると、Real-Time Monitoring Tool の [Trace & Log Central] を使用して、選択したログの収集、表示、ダウンロード、削除を実行できます。システム監査ログは vos-audit.log という形式になります。
この機能をイネーブルにする方法については、『Command Line Interface Reference Guide for Cisco Unified Communications Solutions』を参照してください。Real-Time Monitoring Tool から収集したログを操作する方法については、『Cisco Unified Real-Time Monitoring Tool Administration Guide』を参照してください。
アプリケーション監査ログは、ユーザによる、またはユーザ操作の結果発生したシステムへの設定変更をモニタし、記録します。
(注) | アプリケーションの監査ログ(Linux auditd)は、CLI からのみイネーブルまたはディセーブルにすることができます。このタイプの監査ログの設定は、Real-Time Monitoring Tool による vos-audit.log の収集以外は変更できません。 |
データベース監査ログは、ログインなど、Informix データベースへのアクセスに関連するすべてのアクティビティを追跡します。
監査ロギングを設定するには、次のタスクを実行します。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | 監査ロギングのセットアップ |
[監査ログ設定(Audit Log Configuration)] ウィンドウで監査ログ設定をセットアップします。リモート監査ロギングを使用するかどうかと、[詳細監査ロギング(Detailed Audit Logging)] オプションが必要かどうかを設定できます。 |
ステップ 2 | リモート監査ログの転送プロトコルの設定 | これはオプションです。リモート監査ロギングを設定した場合は、転送プロトコルを設定します。通常の動作モードのシステム デフォルトは UDP ですが、TCP を設定することもできます。 |
ステップ 3 | アラート通知用の電子メール サーバの設定 |
これはオプションです。RTMT で、電子メール アラート用の電子メール サーバをセットアップします。 |
ステップ 4 | 電子メール アラートの有効化 |
これはオプションです。リモート監査ロギングが TCP で設定されている場合は、TCPRemoteSyslogDeliveryFailed アラート用の電子メール通知をセットアップします。。 |
リモート監査ロギングでは、事前に、リモート syslog サーバをセットアップし、間にあるゲートウェイへの接続も含め、各クラスタ ノードとリモート syslog サーバ間で IPSec を設定しておく必要があります。IPSec 設定については、『Cisco IOS Security Configuration Guide』を参照してください。
リモート監査ログ用の転送プロトコルを変更するには、次の手順を使用します。システム デフォルトは UDP ですが、TCP に設定し直すこともできます。
アラート通知用の電子メール サーバをセットアップするには、次の手順を使用します。
リモート監査ロギングを TCP で設定した場合は、次の手順を使用して、送信障害を通知する電子メール アラートを設定します。
監査ロールを割り当てられたユーザだけが監査ログの設定を変更できることに注意してください。Cisco Cisco Unified Communications Manager の場合、デフォルトでは、新規インストールまたはアップグレードの後で、CCMAdministrator に監査ロールが与えられます。CCMAdministrator は、Cisco Cisco Unified Communications Manager Administration の [ユーザグループ設定(User Group Configuration)] ウィンドウで標準監査ユーザ グループに監査権限を持つユーザを割り当てることができます。その後必要であれば、標準監査ユーザ グループから CCMAdministrator を削除できます。
IM and Presence Serviceの場合、新規インストールまたはアップグレードの後で管理者に監査ロールが与えられ、監査権限を持つ任意のユーザを標準監査ユーザ グループに割り当てることができます。
Cisco Unity Connection の場合、インストール時に作成されたアプリケーション管理アカウントが Audit Administrator ロールに割り当てられます。このアカウントは、他の管理者ユーザをこのロールに割り当てることができます。このアカウントから Audit Administrator ロールを削除することもできます。
Standard Audit Log Configuration ロールには、監査ログを削除する権限と、Cisco Unified Real-Time Monitoring Tool、IM and Presence Real-Time Monitoring Tool、Trace Collection Tool、Real-Time Monitoring Tool(RTMT)アラート設定、Serviceability ユーザ インターフェイスのコントロール センター - ネットワーク サービス、RTMT プロファイルの保存、Serviceability ユーザ インターフェイスの監査設定、監査トレースというリソースへの読み取り/更新権限が与えられます。
Standard Audit Log Configuration ロールには、監査ログを削除する権限と、Cisco Unified RTMT、Trace Collection Tool、RTMT アラート設定、Cisco Unified Serviceability のコントロール センター - ネットワーク サービス、RTMT プロファイルの保存、Cisco Unified Serviceability の監査設定、監査トレースというリソースへの読み取り/更新権限が与えられます。
Cisco Unity Connection の Audit Administrator ロールに割り当てられたユーザは、Cisco Unified RTMT で監査ログを表示、ダウンロード、および削除できます。
Cisco Cisco Unified Communications Manager のロール、ユーザ、ユーザ グループの詳細については、『Administration Guide for Cisco Unified Communications Manager』を参照してください。
Cisco Unity Connection のロールとユーザの詳細については、『User Moves, Adds, and Changes Guide for Cisco Unity Connection』を参照してください。
IM and Presence のロール、ユーザ、ユーザ グループの詳細については、『Configuration and Administration of IM and Presence Service on Cisco Unified Communications Manager』を参照してください。
注意 | 有効になっている場合、特にデバッグ監査レベルが [データベースの更新(Database Updates)] または [データベースの読み取り(Database Reads)] に設定されていると、データベース ロギングが短時間で大量のデータを生成する可能性があります。これにより、多用期間中に、パフォーマンスに重大な影響が発生する可能性があります。通常、データベース ロギングは無効のままにすることを推奨します。データベースの変更を追跡するためにロギングを有効にする必要がある場合には、[データベースの更新(Database Updates)] レベルを使用して短時間のみ有効にすることを推奨します。同様に、特にデータベース エントリをポーリングする場合(データベースから 250 台のデバイスを引き出す場合など)、管理ロギングは Web ユーザ インターフェイスの全体的なパフォーマンスに影響を与えます。 |