【Safeguard for Privileged Sessions(SPS)】監査証跡のアーカイブとバックアップ

↻2022/2/2更新

Safeguard for Privileged Sessions(SPS)は、監査証跡などのデータをアーカイブ、バックアップあるいはエクスポートできます。また、エラーのトラブルシューティングに役立つログファイル、ダンプファイル、およびデバッグ用のバンドルも作成できます。
SPSのアーカイブとバックアップのコンセプトは、下図の通りです。

各ファイルには、次の情報が含まれます:
  • コンフィグレーション:SPSの設定ファイル(XML)および変更情報、証明書・鍵ファイル、ユーザー設定 等
  • システムバックアップ:データベースダンプ、システムレポートファイル、内部システム監視ツールの出力ファイル、およびコンフィグレーション 等
  • 接続データ:接続の監査証跡と監査証跡のインデックス
  • デバッグ(サポート)バンドル:過去1週間のデバッグログ・接続データのログ・OSログ、コンフィグレーションエクスポートファイルの抜粋、システム状態の情報、コアファイルのリスト 等
  • デバッグログ:SPSのWebインターフェースで生成されたログ、システムデーモンのログ、定期的なcronジョブのログ
  • 接続データのログ:接続成功/失敗のイベント、その他の接続関連のイベント
  • コアダンプファイル:障害時のコンピュータープログラムの作業メモリーの記録状態

技術サポートの際に、デバッグバンドルの収集を依頼する場合があります。ここでは、デバッグバンドルの収集方法について、簡単にご説明します。

  1. SPSのWebインターフェースにアクセスします。
  2. [Basic Settings]>[Troubleshooting]>[Create support bundle]に移動します。
  3. [Create support bundle]をクリックします。
  4. zipファイルが作成されるので保存します。
  5. このファイルを、弊社カスタマーポータルからチケットとともに送付します。

また今回は、お客様からよく聞かれる質問として、バックアップとアーカイブの違いについて説明します。設定に使われる用語についてや質問の内容もあわせて記述していますので、バックアップやアーカイブの実行計画を立てる際の参考にしていただければ幸いです。

バックアップ
SPS のバックアップは、バックアップ時点でのハードディスクのデータ(コンフィグレーションあるいは監査証跡)をバックアップサーバーに複製します。バックアップはバックアップポリシーを作成し、システム情報あるいはログや監査証跡のバックアップを定期的に実行することができます。バックアップデータはSPS にリストアすることができ、リストア時は複製されたデータ全体がリストアされます。バックアップされた監査証跡データは、SPS からは閲覧できません。主な目的は障害時のリカバリー用になります。

バックアップポリシー画面([Policies]>[Backup & Archive/Cleanup])

よくお客様からの質問で、「バックアップは世代管理しているのか?」と聞かれますが、SPS のバックアップは、その時点でのデータをバックアップサーバーに複製するのみになりますので、以前にバックアップしたデータはバックアップサーバーに保持されないことに注意してください。(下の例では、3/1と3/2の監査証跡データはバックアップサーバーに保存されません。)

例えば、SPS に以下のように監査証跡が保存されている場合、バックアップが実行されると3/1~3/11までの監査証跡がバックアップサーバーに複製されます。

アーカイブなどが実行されSPS が保存している監査証跡が以下のように保存されている場合、バックアップが実行されると3/3~3/13までの監査証跡がバックアップサーバーに複製されます。(3/1~3/2の監査証跡はバックアップサーバーに保存されません。)

アーカイブ
SPS のアーカイブは、保持日数(Delete data from SPS after)で設定した日数より前の監査証跡データをアーカイブ先(例、NAS など)に移動します。アーカイブはアーカイブポリシーを作成し、監査証跡のアーカイブを定期的に実行することができます。アーカイブされた監査証跡はSPS からシームレスに閲覧することができます。ただし、アーカイブデータをリストアすることはできません。主な目的はストレージの拡張になります。

アーカイブポリシー画面([Policies]>[Backup & Archive/Cleanup])

例えば、保持日数(Delete data from SPS after)を10日に設定している場合、3/11にアーカイブを実行すると、3/1以前の監査証跡がアーカイブ(移動)されます。つまり、SPS が監査証跡を保持する期間が10日ということを表しています。この日数には、アーカイブを実行した日が含まれます。
※監査証跡のインデックスもアーカイブ可能ですが、保持日数に制限事項がありますので、ご注意ください。(詳細は、SPSの管理者ガイドをご参照ください。)

翌日にアーカイブが実行されると、3/2以前の監査証跡がアーカイブされます。(上述で3/1以前の監査証跡がアーカイブされていますので、実際には3/2の監査証跡のみがアーカイブされます。)

ポリシーの適用
バックアップポリシーは、システム情報およびプロトコルごとの接続ポリシーに適用しバックアップを実行できます。また、アーカイブポリシーはプロトコルごとの接続ポリシーに適用しアーカイブを実行できます。

システムバックアップのポリシー適用例([Basic Settings]>[Management]>[System backup])

接続ポリシー適用例([各プロトコル Control]>[Connections]>[各Connection])

バックアップおよびアーカイブの実行
システム情報や接続ポリシーに各ポリシーを適用すると、バックアップおよびアーカイブは、各ポリシーの[Start time]フィールドに指定した時刻に毎日実行されます。日付や曜日の指定は、残念ながらできません。また、バックアップの場合は、一日に複数回を実行することができませんが、マニュアルで実行することは可能です。必要に応じて随時、バックアップおよびアーカイブができます。
※アーカイブの場合は、一日に複数の時間を設定できます。

バックアップ・アーカイブの即時実行画面

まとめ
最後に、バックアップとアーカイブの違いを以下の表にまとめています。

詳しくは製品紹介ページ・製品ガイドをご参照ください。

ダウンロード(評価版)

Safeguard for Privileged Sessions (SPS) には評価版ソフトウェア(30日間)を用意しています。ぜひお試しください。

お問合せ

購入前のSafeguard for Privileged Sessions (SPS)についてのお問合せは以下から承っております。
ご不明な点やお気づきの点がございましたらお問い合せください。

こんな記事も読まれています

最新記事

おすすめ記事

  1. 【Syslog監視】Syslogサーバーとネットワーク監視を連携。PRTGで重要なSyslogだけを監視する。

  2. システム管理者の特権アカウントを保護するための7つの方法

  3. 「Wiresharkでsyslogプロトコルパケットを覗く」syslog-ng Store Box活用連載企画vol.4

製品カテゴリー

JTC IT用語集
TOP