Operations Manager の監査コレクション サービスを使用してセキュリティ イベントを収集する
適用対象: System Center 2012 R2 Operations Manager,System Center 2012 - Operations Manager,System Center 2012 SP1 - Operations Manager
System Center 2012 – Operations Manager の監査コレクション サービス (ACS) を使用すると、監査ポリシーによって生成されたレコードを収集して、それらを一元化されたデータベースに保存することができます。 既定では、監査ポリシーを Windows コンピューターに実装すると、監査ポリシーによって生成されたすべてのイベントがコンピューターによってローカル セキュリティ ログに自動的に保存されます。 これは Windows のワークステーションとサーバーに適用されます。 セキュリティ要件を厳密に設定している組織では、監査ポリシーによって大量のイベントをすばやく生成できます。
ACS を使用すると、組織は個々のセキュリティ ログを一元管理されたデータベースに統合できるだけでなく、Microsoft SQL Server が提供するデータ分析やレポート ツールでイベントのフィルター処理と分析も行えます。 ACS では、ACS データベースへのアクセス権が特別に与えられたユーザーのみがクエリの実行と収集したデータに関するレポートの作成を行えます。
ACS には、次のコンポーネントが必要です。
ACS フォワーダー
ACS コレクター
ACS データベース
監査は、UNIX および Linux コンピューターでサポートされます。 詳細については、このトピックの「UNIX および Linux での ACS」をご覧ください。
(監査コレクション サービスを使用したセキュリティ イベントの収集に関するトピック の一覧をご覧ください。)
ACS フォワーダー
ACS フォワーダー上で実行されるサービスは、Operations Manager エージェントに含まれます。 既定では、このサービスはインストールされていますが、Operations Manager エージェントのインストール時は無効になっています。 "監査コレクションを有効にする" タスクを使用して、このサービスを一度に複数のエージェント コンピューターで有効にすることができます。 このサービスを有効にすると、すべてのセキュリティ イベントは、ローカル セキュリティ ログに加え、ACS コレクターにも送信されます。
ACS コレクター
ACS コレクターは、ACS フォワーダーからイベントを受信して処理し、このデータを ACS データベースに送信します。 この処理には、ACS データベース内で複数のテーブルに分散できるようにデータを分解する、データの冗長性を最小化する、不要なイベントが ACS データベースに追加されないようにフィルタを適用する、などがあります。
1 つの ACS コレクターと ACS データベースでサポートできる ACS フォワーダーの数は、次の要因によって異なります。
監査ポリシーにより生成されるイベントの数。
ACS フォワーダーの監視対象となるコンピューターのロール (ドメイン コントローラーとメンバー サーバーなど)。
コンピューター上のアクティビティ レベル。
ACS コレクターと ACS データベースを実行するハードウェア。
1 つの ACS コレクターに対して ACS フォワーダーの数が多すぎる環境の場合、複数の ACS コレクターをインストールできます。 ACS コレクターごとに独自の ACS データベースが必要です。
ACS コレクターの要件は次のとおりです。
Operations Manager 管理サーバー (1 台)
Active Directory ドメインのメンバー
最低 1 GB の RAM (推奨 2 GB)
最低 1.8 GHz (ギガヘルツ) のプロセッサ (推奨 2.8 GHz)
最低空きハード ディスク領域 10 GB (推奨 50 GB)
ACS コレクターをインストールする各コンピューターには、Microsoft Web サイトから最新バージョンの Microsoft Data Access Components (MDAC) をダウンロードしてインストールする必要があります。 MDAC の詳細については、「Learning Microsoft Data Access Components (MDAC) (Microsoft Data Access Components (MDAC) について)」をご覧ください。
ACS データベース
ACS データベースは、ACS 展開内の監査ポリシーによって生成されるイベント用の中央リポジトリです。 ACS データベースは、ACS コレクターと同じコンピューターに配置できますが、パフォーマンスを最大化するためには、それぞれを専用のサーバーにインストールしてください。
ACS データベースの要件は次のとおりです。
System Center 2012 – Operations Manager:SQL Server 2005 または SQL Server 2008。 SQL Server の既存または新規のインストールを選択できます。 毎日の ACS データベース メンテナンスには負荷が掛かるため、SQL Server の Enterprise Edition をお勧めします。
System Center 2012 Service Pack 1 (SP1)、Operations Manager:SQL Server SQL 2008 R2 SP1、SQL Server 2008 R2 SP2、SQL Server 2012、または SQL Server 2012 SP1。 毎日の ACS データベース メンテナンスには負荷が掛かるため、SQL Server の Enterprise Edition をお勧めします。
最低 1 GB の RAM (推奨 2 GB)
[!メモ]
SQL Server 2008 R2 以前を使用しており、サーバーに 2 GB より大きいメモリがある場合は、追加の構成手順がいくつか必要となります。 詳細と必要な手順については、「2 GB を超える物理メモリを使用できるように SQL Server を構成する方法」をご覧ください。 SQL Server 2012 のインストールと実行に必要なハードウェアとソフトウェアの最小要件の一覧については、「SQL Server 2012 のインストールに必要なハードウェアおよびソフトウェア」をご覧ください。
最低 1.8 GHz のプロセッサ (推奨 2.8 GHz)
最低空きハード ディスク領域 20 GB (推奨 100 GB)
SQL Server の Standard Edition を使用する場合、毎日のメンテナンス作業中にデータベースを一時停止する必要があります。 これにより ACS コレクターのキューが ACS フォワーダーからの要求でいっぱいになる可能性があります。 ACS コレクターのキューがいっぱいになると、ACS フォワーダーが ACS コレクターから切断されることになります。 切断された ACS フォワーダーはデータベースのメンテナンス後に再接続され、キューのバックログが処理されます。 監査イベントが失われないようにするには、すべての ACS フォワーダーのローカル セキュリティ ログに対して十分なハードディスク空き容量が割り当てられている必要があります。
SQL Server Enterprise Edition は、毎日のメンテナンス作業中も、ACS フォワーダーの要求を継続して処理することができます。 ACS コレクターのキューと ACS フォワーダーの切断の詳細については、「監査コレクション サービスの容量計画」および「監査コレクション サービスのパフォーマンス監視」をご覧ください。
ダイナミック アクセス制御の ACS サポート
System Center 2012 Service Pack 1 (SP1)、Operations Manager は、Windows Server 2012 で有効化されるダイナミック アクセス制御の ACS サポートを提供します。
Windows Server 2012 では、ビジネス データ所有者はデータを簡単に分類ラベル付けして、ビジネスに不可欠なデータ クラスにアクセス ポリシーを定義できます。 アクセスおよび監査ポリシーは、ユーザーおよびグループ情報だけでなく、豊富なユーザー、リソースおよび環境の信頼性情報、Active Directory やその他のソースからのプロパティにも基づいているため、Windows Server 2012 におけるコンプライアンス管理はより効率的で柔軟に行われます。 ロール、プロジェクト、組織などのユーザー要求、機密性などのリソース プロパティ、およびヘルスなどのデバイス要求を、アクセスおよび監査ポリシーの定義に使用できます。
Windows Server 2012 では、ダイナミック アクセス制御をサポートするため既存の Windows ACL モデルが強化されており、顧客はユーザーとコンピューターの信頼性情報、さらにリソース (たとえばファイルなど) のプロパティを使用して、条件を含む式ベースの認証アクセスポリシーを定義できます。 下記の例は式を説明するためのもので、実際の表現ではありません。
User.Clearance >= Resource.Secrecy and Device の場合、読み取り/書き込みアクセスを許可する Healthy
User.Project any_of Resource.Project の場合、読み取り/書き込みアクセスを許可する
System Center 2012 Service Pack 1 (SP1) は、ダイナミック アクセス制御の使用に関してエンタープライズ全体の可視性を提供し、関連するマシン (ファイル サーバー、ドメイン コントローラー) からイベントを収集するために Operations Manager の監査コレクション サービスを利用し 、監査ポリシーの変更、オブジェクトのアクセス (成否)、および特定のポリシーを適用した場合に起こり得る状況を分析する"what-if" 解析評価などのダイナミック アクセス制御の使用状況について監査担当者とコンプライアンス責任者が報告できるようにレポート機能を提供することで、これらシナリオの実現を支援します。
ダイナミック アクセス制御の構成
顧客による、ダイナミック アクセス制御情報を処理する ACS の構成は必要ありません。 この機能は、各レポートを介してのみ使用されます。 その他の監視の必要はありません。
UNIX および Linux での ACS
UNIX コンピューターと Linux コンピューターでの ACS の動作を、Windows コンピューターでの動作と比べるといくつかの違いがあります。 それらは次のとおりです。
UNIX および Linux のオペレーティング システム用の ACS 管理パックをインポートする必要があります。
UNIX および Linux コンピューターの監査ポリシーから生成されるイベントは UNIX または Linux コンピューターを監視している Windows 管理サーバーの Windows セキュリティ イベント ログに転送され、一元化されたデータベースに収集されます。
管理サーバーでは、管理された各 UNIX および Linux コンピューターからの監査データを書き込みアクション モジュールが解析し、Windows セキュリティ イベント ログに情報を書き込みます。 データ ソースのモジュールは、ログ ファイルの監視の管理対象の UNIX および Linux コンピューターに配置されているエージェントと通信します。
エージェント (UNIX/Linux の Operations Manager エージェント) は、管理されている各 UNIX または Linux コンピューターに存在します。
ACS コレクターのスキーマは、その他のコンテンツをサポートするため、また UNIX および Linux コンピューターから送信された監査データの書式設定をサポートするために拡張されます。