サーバー監査ログ

BigFix サーバーは、サーバー監査ログ・ファイルを生成します。このファイルには、アクセス情報 (ログイン/ログアウト) と、各ユーザーがコンソールまたは WebUI を通じて実行したアクションに関する情報が含まれます。

さらに、サーバー監査ログ・ファイルでは、コンソールまたは WebUI から BigFix サーバーを介してクライアントに送信され、その後、キャンセルされた特定のアクションも追跡されます。また、Web レポートまたは BigFix REST API を使用する場合は、BigFix サーバーへのアクセス情報も記録されます。

監査ログ・メッセージのフォーマット

監査項目は、単一の行で表示され、フィールド区切り文字の同じ番号が含まれます。フィールド区切り文字は、その特定フィールドに値が存在しない場合でも表示されます。監査フィールドのフォーマットは、将来変更される場合があるため、各行には、最初の項目としてバージョン番号が含まれます。

BigFix サーバー上の監査ログのデフォルトの場所を以下に示します。
  • Windows コンピューター: %ProgramFiles(x86)%\BigFix Enterprise\BES Server\server_audit.log
  • Linux コンピューター: /var/opt/BESServer/server_audit.log
BigFix 管理ツール上の監査ログのデフォルトの場所を以下に示します。
  • Windows コンピューター:
    • BigFix 管理ツールを実行する各ユーザーの場合:

      C:\Users\<USERNAME>\AppData\Local\BigFix\besadmin_audit.log

      例:

      C:\Users\Administrator\AppData\Local\BigFix\besadmin_audit.log

    • BigFix 管理ツール (BESAdmin) が Fixlet によって呼び出される場合 (または LocalSystem ユーザーによって実行される場合):

      C:\Windows\System32\config\systemprofile\AppData\Local\BigFix\besadmin_audit.log

  • Linux コンピューター:

    /var/log/besadmin_audit.log

BigFix バージョン 9.5.11 以降、監査ログ・メッセージは次のフォーマットです。
<format-version>|<timestamp>|<message-priority>|<username>|<event-source>|<event-label>|<event-type>|<ip-address>|<message>
| がフィールド分離文字です。
  • format-version: メッセージ・フォーマットのバージョン。例えば、1 です。
  • timestamp: ログ・メッセージのタイム・スタンプ。サーバー・タイム・ゾーンまたは UTC を使用できます。
  • message-priority: ログの優先度。
    • EMERG (緊急、システムが機能していない、または使用できない)
    • ERROR (エラー状態)
    • WARN (警告)
    • INFO (情報メッセージ)
  • username: イベント・イニシエーターのユーザー名。ユーザー・イベントではない場合、このフィールドは SYSTEM に設定されます。
  • event-source: イベントの発生源。可能な値:CONSOLERESTAPI , WEBUI , WEBREPORTS
  • event-label: 影響を受けるイベントまたは成果物。

    可能な値:USERSITEACTIONROLECOMPUTER , AUTHZ, SETTING , DATABASE

  • event-type: イベントのタイプ。

    可能な値:CREATEDELETEUPDATELOGIN , LOGOUT , SEARCH

  • ip-address: イベント要求を開始したコンポーネントの IP アドレス。SYSTEM の場合、これはサーバーの IP アドレスです。
  • message: 実際のログ・メッセージ。
BigFix バージョン 9.5.11 以降、サーバー監査ログには次の項目も含まれます。
  • コンソールから、または API を通じてコンピューターが削除されたことについてのメッセージ
  • アクションの削除に関するメッセージ

以下は、新しいフォーマットのログ・メッセージの例です。
1|Tue, 05 Sep 2017 10:57:06 -0700|INFO|johndoe|CONSOLE|AUTHZ|LOGIN|172.28.128.5|user “johndoe “ 
(1):Successful log in. (Data Connection)
1|Tue, 05 Sep 2017 10:58:32 -0700|INFO|johndoe|CONSOLE|ACTION|DELETE|172.28.128.5|
Action waitOverrideTest(50) was deleted

9.5.11 以降で導入された監査項目以外の監査項目の場合、メッセージのフォーマットは次のようになります。<format-version>|<timestamp>|<message-priority>||||||<message>. 例:

1|Tue, 05 Sep 2017 10:57:06 -0700|INFO||||||user "johndoe" (1): Successful log in. (Data Connection)

ログの管理

監査ログ・ファイルのデフォルト・サイズは 100 MB です。サイズが最大値に到達すると、ログ・ファイルは名前が変更され、新しいファイルが作成されます。名前が変更されたログ・ファイルが削除されることはありません。スペースを有効に使用するために、ログ・ファイルを別の場所に移動するか、定期的にパージする必要があります。

以下の設定を使用することで、この値を変更できます。
  • BigFix サーバー上の _Audit_Logging_LogMaxSize
  • BigFix バージョン 10.0.8 で導入され、BigFix 管理ツール上にある _BESAdminAudit_Logging_LogMaxSize

この _BESAdminAudit_Logging_LogDirectoryPath 設定を使用して、BigFix 管理ツールの監査ログ・パスを変更することもできますが、BigFix サーバーでは変更できません。

詳しくは、「ロギング」および「BigFix ロギング・ガイド」を参照してください。

注: バージョン 9.5.11 にアップグレードすると、server_audit.log ファイルが強制的に server_audit.YYYYMMDDHHMM にローテンションします。これは 1 回限りのアクションで、ログ・ローテーションを構成している場合も、構成していない場合も適用されます。server_audit.YYYYMMDDHHMM ファイルには、古いフォーマットの監査ログのみ含まれ、一方 server_audit.log には新しいフォーマットの監査ログのみ含まれます。
注: バージョン 10.0.1 にアップグレードするときに、ユーザー名またはメッセージの内容に文字「|」 (パイプ) を挿入すると、文字は「%7C」に置き換えられ、ログ・ファイルの形式が正しくないことを回避するために自動ツールがログ・ファイルを解析します。