集中型監査ロギングによって、Unified Communications Manager システムの設定の変更が個別の監査ログ ファイルに記録されます。監査イベントは、記録する必要があるすべてのイベントを指します。次の Unified Communications Manager コンポーネントによって監査イベントが生成されます。
-
Unified Communications Manager Administration
-
Cisco Unified Serviceability
-
Unified Communications Manager CDR Analysis and Reporting
-
Cisco Unified Real-Time Monitoring Tool
-
Cisco Unified Communications Operating System
-
Disaster Recovery System
-
データベース
-
コマンドライン インターフェイス
-
Remote Support Account Enabled(テクニカル サポート チームによって発行される CLI コマンド)
Cisco Business Edition 5000 では、次の Cisco Unity Connection コンポーネントによっても監査イベントが生成されます。
-
Cisco Unity Connection Administration
-
Cisco Personal Communications Assistant(Cisco PCA)
-
Cisco Unity Connection Serviceability
-
Representational State Transfer(REST)API を使用する Cisco Unity Connection クライアント
次に、監査イベントの例を示します。
CCM_TOMCAT-GENERIC-3-AuditEventGenerated: Audit Event Generated UserID:CCMAdministrator Client IP Address:172.19.240.207 Severity:3 EventType:ServiceStatusUpdated ResourceAccessed: CCMService EventStatus:Successful Description: Call Manager Service status is stopped App ID:Cisco Tomcat Cluster ID:StandAloneCluster Node ID:sa-cm1-3
監査イベントに関する情報が含まれている監査ログは、共通のパーティションに書き込まれます。これらの監査ログのパージは、トレース ファイルと同様に、Log Partition Monitor(LPM)によって管理されます。デフォルトでは、LPM によって監査ログがパージされますが、監査ユーザは
Cisco Unified Serviceability の [監査ユーザ設定(Audit User Configuration)] ウィンドウからこの設定を変更できます。共通パーティションのディスク使用量がしきい値を超えると、LPM によってアラートが送信されますが、アラートには、ディスクが監査ログまたはトレース
ファイルによっていっぱいであるかどうかに関する情報は含まれていません。
ヒント |
監査ロギングをサポートするネットワーク サービスである Cisco Audit Event Service は、Cisco Unified Serviceability のコントロール センターのネットワーク サービスに表示されます。監査ログへの書き込みが行われない場合は、Cisco Unified Serviceability で を選択し、このサービスを停止してから開始します。
|
すべての監査ログは、Cisco Unified Real-Time Monitoring Tool の Trace and Log Central から収集、表示、および削除します。RTMT の Trace and Log Central で監査ログにアクセスします。 に移動します。ノードを選択したら、別のウィンドウに が表示されます。
RTMT には、次のタイプの監査ログが表示されます。
アプリケーション ログ
RTMT の AuditApp フォルダに表示されるアプリケーション監査ログには、Unified Communications Manager Administration、Cisco Unified Serviceability、CLI、Cisco Unified Real-Time Monitoring Tool(RTMT)、ディザスタ リカバリ システム、および Cisco Unified CDR Analysis and Reporting(CAR)の設定変更が示されます。Cisco Business Edition 5000 の場合、アプリケーション監査ログには Cisco Unity Connection Administration、Cisco Personal Communications Assistant(Cisco PCA)、Cisco Unity Connection Serviceability、および Representational State Transfer(REST)API を使用するクライアントに対する変更も記録されます。
アプリケーション ログはデフォルトで有効になっていますが、Cisco Unified Serviceability で を選択することによって設定を変更できます。設定可能な監査ログの設定については、『Cisco Unified Serviceability Administration Guide』を参照してください。
Cisco Unified Serviceability で監査ログが無効になると、新しい監査ログは作成されません。
ヒント |
監査のロールを割り当てられたユーザだけが監査ログの設定を変更する権限を持っています。新規のインストールまたはアップグレード後には、デフォルトで CCMAdministrator に監査のロールが割り当てられます。CCMAdministrator
は、監査のために作成した新規ユーザを「"Standard Audit Users"」グループに割り当てることができます。その後、CCMAdministrator を監査ユーザ グループから削除できます。「"Standard Audit Log Configuration"」ロールには、監査ログを削除する権限と、Cisco Unified Real-Time Monitoring Tool、Trace Collection Tool、RTMT Alert Configuration、[コントロール センターのネットワーク サービス(Control Center - Network Services)] ウィンドウ、RTMT Profile
Saving、[監査の設定(Audit Configuration)] ウィンドウ、および Audit Traces という新規リソースへの読み取り/更新権限が与えられます。Cisco Business Edition 5000 の Cisco Unity Connection の場合、インストール時に作成されたアプリケーション管理アカウントは、Audit Administrator ロールに割り当てられます。このアカウントは、他の管理者ユーザをこのロールに割り当てることができます。
|
Unified Communications Manager では、1 つのアプリケーション監査ログ ファイルが作成され、設定済みの最大ファイル サイズに到達すると、そのファイルが閉じられて新しいアプリケーション監査ログ ファイルが作成されます。システムでログ ファイルのローテーションが指定されている場合は、Unified Communications Manager によって設定済みの数のファイルが保存されます。ログ イベントの一部は、RTMT SyslogViewer を使用して表示できます。
Unified Communications Manager Administration では、次のイベントが記録されます。
-
ユーザのログイン/ログアウト。
-
ユーザのロール メンバーシップの更新(ユーザの追加、ユーザの削除、またはユーザのロールの更新)。
-
ロールの更新(新しいロールの追加、削除、または更新)。
-
デバイスの更新(電話機およびゲートウェイ)。
-
サーバ設定の更新(アラームまたはトレースの設定、サービス パラメータ、エンタープライズ パラメータ、IP アドレス、ホスト名、イーサネット設定の変更、および Unified Communications Manager サーバの追加または削除)。
Cisco Unified Serviceability では、次のイベントが記録されます。
RTMT では、次のイベントが監査イベント アラームとともに記録されます。
-
アラートの設定。
-
アラートの中断。
-
電子メールの設定。
-
ノード アラート ステータスの設定。
-
アラートの追加。
-
アラートの追加アクション。
-
アラートのクリア。
-
アラートの有効化。
-
アラートの削除アクション。
-
アラートの削除。
Unified Communications Manager CDR Analysis and Reporting では、次のイベントが記録されます。
ディザスタ リカバリ システムでは、次のイベントが記録されます。
Cisco Business Edition 5000 の場合、Cisco Unity Connection の管理では、次のイベントが記録されます。
Cisco Business Edition 5000 の場合、Cisco PCA では、次のイベントが記録されます。
Cisco Business Edition 5000 の場合、Cisco Unity Connection Serviceability では、次のイベントが記録されます。
Cisco Business Edition 5000 の場合、REST API を使用するクライアントでは、次のイベントが記録されます。
データベース ログ
RTMT の informix フォルダに表示されるデータベース監査ログでは、データベースの変更がレポートされます。このログは、デフォルトでは有効になっていませんが、Cisco Unified Serviceability で を選択することによって設定を変更できます。設定可能な監査ログの設定については、『Cisco Unified Serviceability Administration Guide』を参照してください。
このログは、アプリケーションの設定変更を記録するアプリケーション監査ログとは異なり、データベースの変更を記録します。Cisco Unified Serviceability でデータベース監査が有効に設定されるまで、informix フォルダは RTMT に表示されません。
オペレーティング システム ログ
RTMT の vos フォルダに表示されるオペレーティング システム監査ログでは、オペレーティング システムによってトリガーされるイベントがレポートされます。デフォルトでは、有効になっていません。utils auditd CLI コマンドによって、有効または無効にしたり、イベントのステータスを提供したりできます。
CLI で監査が有効に設定されるまで、vos フォルダは RTMT に表示されません。
CLI の詳細については、『Command Line Interface Reference Guide for Cisco Unified Solutions』を参照してください。
リモート サポート アカウント 有効化ログ
RTMT の vos フォルダに表示されるリモート サポート アカウント 有効化ログでは、テクニカル サポート チームによって発行される CLI コマンドがレポートされます。このログの設定は変更できません。このログは、テクニカル サポート チームによってリモート
サポート アカウントが有効に設定された場合にだけ作成されます。