サーバー監査ログ
BigFix バージョン 9.5.11 以降、サーバー監査ログには次の項目が含まれます。
- コンソールから、または API を通じてコンピューターが削除されたことについてのメッセージ
- アクションの削除に関するメッセージ
監査ログ・メッセージのフォーマット
監査ログのデフォルトの場所を以下に示します。- Windows コンピューター:
%PROGRAM FILES%\BigFix Enterprise\BES Server\server_audit.log - Linux コンピューター:
/var/opt/BESServer/server_audit.log
<format-version>|<timestamp>|<message-priority>|<username>|<event-source>|<event-label>|<event-type>|<ip-address>|<message>|がフィールド分離文字です。
format-version: メッセージ・フォーマットのバージョン。例えば、1。timestamp: ログ・メッセージのタイム・スタンプ。サーバー・タイム・ゾーンまたは UTC を使用できます。message-priority: ログの優先度。- EMERG (緊急、システムが機能していない、または使用できない)
- ERROR (エラー状態)
- WARN (警告)
- INFO (情報メッセージ)
username: イベント・イニシエーターのユーザー名。ユーザー・イベントではない場合、このフィールドは SYSTEM に設定されます。event-source: イベントの発生源。可能な値:CONSOLE、RESTAPI。event-label: 影響を受けるイベントまたは成果物。可能な値:USER、SITE、ACTION、ROLE、COMPUTER
event-type: イベントのタイプ。可能な値: CREATE、DELETE、EDIT、PERMIT (or LOGIN)、DENY (or LOGIN)
ip-address: イベント要求を開始したコンポーネントの IP アドレス。SYSTEM の場合、これはサーバーの IP アドレスです。message: 実際のログ・メッセージ。
例
以下は、新しいフォーマットのログ・メッセージの例です。1|Tue, 05 Sep 2017 10:57:06 -0700|INFO|johndoe|CONSOLE|USER|PERMIT|172.28.128.5|Successful log in. (Data Connection)1|Tue, 05 Sep 2017 10:58:32 -0700|INFO|johndoe|CONSOLE|ACTION|DELETE|172.28.128.5|Action waitOverrideTest(50) was deleted9.5.11 以降で導入された監査項目以外の監査項目の場合、メッセージのフォーマットは次のようになります。<format-version>|<timestamp>|<message-priority>||||||<message>。例:
1|Tue, 05 Sep 2017 10:57:06 -0700|INFO||||||user "johndoe" (1): Successful log in. (Data Connection)
ログの管理
監査ログ・ファイルのデフォルト・サイズは 100 MB です。設定 _Audit_Logging_LogMaxSize を使用することで、この値を変更できます。サイズが最大値に到達すると、ログ・ファイルは名前が変更され、新しいファイルが作成されます。名前が変更されたログ・ファイルが削除されることはありません。スペースを有効に使用するために、ログ・ファイルを別の場所に移動するか、定期的にパージする必要があります。詳しくは、「BigFix ロギング・ガイド」を参照してください。
注: バージョン 9.5.11 にアップグレードすると、server_audit.log ファイルが強制的に server_audit.YYYYMMDDHHMM にローテンションします。これは 1 回限りのアクションで、ログ・ローテーションを構成している場合も、構成していない場合も適用されます。server_audit.YYYYMMDDHHMM ファイルには、古いフォーマットの監査ログのみ含まれ、一方 server_audit.log には新しいフォーマットの監査ログのみ含まれます。