一元化された監査ロギングにより、Unified Communications Manager システムへの設定変更を監査用の別のログ ファイルに記録できます。監査イベントは、記録する必要があるすべてのイベントを指します。次の Unified Communications Manager コンポーネントによって監査イベントが生成されます。
-
Cisco Unified Communications Manager Administration
-
Cisco Unified Serviceability
-
Unified Communications Manager CDR Analysis and Reporting
-
Cisco Unified Real-Time Monitoring Tool
-
Cisco Unified Communications Operating System
-
Disaster Recovery System
-
データベース
-
コマンドライン インターフェイス
-
Remote Support Account Enabled(テクニカル サポート チームによって発行される CLI コマンド)
Cisco Business Edition 5000 では、次のCisco Unity Connectionコンポーネントによっても監査イベントが生成されます。
-
Cisco Unity Connection の管理
-
Cisco Personal Communications Assistant (Cisco PCA)
-
Cisco Unity Connection サービスアビリティ
-
Representational State Transfer(REST)API を使用する Cisco Unity Connection クライアント
次に、監査イベントの例を示します。
CCM_TOMCAT-GENERIC-3-AuditEventGenerated: Audit Event Generated UserID:CCMAdministrator Client IP Address:172.19.240.207 Severity:3 EventType:ServiceStatusUpdated ResourceAccessed: CCMService EventStatus:Successful Description: Call Manager Service status is stopped App ID:Cisco Tomcat Cluster ID:StandAloneCluster Node ID:sa-cm1-3
監査イベントに関する情報が含まれている監査ログは、共通のパーティションに書き込まれます。これらの監査ログのパージは、トレース ファイルと同様に、Log Partition Monitor(LPM)によって管理されます。デフォルトでは、LPM によって監査ログがパージされますが、監査ユーザは
Cisco Unified Serviceability の [Audit User Configuration] ウィンドウからこの設定を変更できます。共通パーティションのディスク使用量がしきい値を超えると、LPM によってアラートが送信されますが、アラートには、ディスクが監査ログまたはトレース
ファイルによっていっぱいであるかどうかに関する情報は含まれていません。
ヒント |
監査ログをサポートするネットワーク サービスである Cisco Audit Event Service は、Cisco Unified Serviceability のコントロール センターのネットワーク サービスに表示されます。監査ログへの書き込みが行われない場合は、 Cisco Unified Serviceabilityで を選択し、このサービスを停止してから開始します。
|
監査ログはすべて、Cisco Unified Real-Time Monitoring Tool の Trace and Log Central から収集、表示、および削除されます。RTMT の Trace and Log Central で監査ログにアクセスします。 に移動します。ノードを選択したら、別のウィンドウに が表示されます。
RTMT には、次のタイプの監査ログが表示されます。
アプリケーション ログ
RTMT の AuditApp フォルダに表示されるアプリケーション監査ログには、Cisco Unified Communications Manager Administration、Cisco Unified Serviceability、CLI、Cisco Unified リアルタイム監視ツール(RTMT)、ディザスタ リカバリ システム、および Cisco Unified CDR Analysis and Reporting(CAR)の設定変更が記録されます。Cisco Business Edition 5000 の場合、アプリケーション監査ログにはCisco Unity Connectionの管理、Cisco Personal Communications Assistant(Cisco PCA)、Cisco Unity Connectionのサービスアビリティ、および Representational State Transfer(REST)API を使用するクライアントに対する変更も記録されます。
アプリケーション ログはデフォルトでは有効になっていますが、Cisco Unified Serviceabilityで を選択することによって設定を変更できます。設定可能な監査ログの設定については、『Cisco Unified Serviceability Administration Guide』を参照してください。
Cisco Unified Serviceabilityで監査ログが無効になると、監査ログ ファイルは新規で作成されなくなります。
ヒント |
監査のロールを割り当てられたユーザだけが監査ログの設定を変更する権限を持っています。新規のインストールまたはアップグレード後には、デフォルトで CCMAdministrator に監査のロールが割り当てられます。CCMAdministrator
は、監査のために作成した新規ユーザを「"Standard Audit Users"」グループに割り当てることができます。その後、CCMAdministrator を監査ユーザ グループから削除できます。「"Standard Audit Log Configuration"」ロールには、監査ログを削除する権限と、Cisco Unified Real-Time Monitoring Tool、Trace Collection Tool、RTMT Alert Configuration、[コントロール センターのネットワーク サービス(Control Center - Network Services)] ウィンドウ、RTMT Profile
Saving、[監査の設定(Audit Configuration)] ウィンドウ、および Audit Traces という新規リソースへの読み取り/更新権限が与えられます。Cisco Business Edition 5000 のCisco Unity Connectionの場合、インストール時に作成されたアプリケーション管理アカウントは、Audit Administrator ロールに割り当てられます。このアカウントは、他の管理者ユーザをこのロールに割り当てることができます。
|
Unified Communications Manager は、設定された最大ファイル サイズに達するまで、1 つのアプリケーション監査ログ ファイルを使用します。最大ファイル サイズに達すると、そのファイルを閉じ、新規アプリケーション監査ログ ファイルを作成します。システムでログ ファイルのローテーションが指定されている場合、Unified Communications Manager は設定されている数のファイルを保存します。ログ イベントの一部は、RTMT SyslogViewer を使用して表示できます。
以下の Cisco Unified Communications Manager Administrationのイベントは、ログに記録されます。
-
ユーザのログイン/ログアウト。
-
ユーザのロール メンバーシップの更新(ユーザの追加、ユーザの削除、またはユーザのロールの更新)。
-
ロールの更新(新しいロールの追加、削除、または更新)。
-
デバイスの更新(電話機およびゲートウェイ)。
-
サーバ設定の更新(アラームまたはトレースの設定、サービス パラメータ、エンタープライズ パラメータ、IP アドレス、ホスト名、イーサネット設定の変更、およびUnified Communications Manager サーバの追加または削除)
以下の Cisco Unified Serviceabilityのイベントは、ログに記録されます。
RTMT では、次のイベントが監査イベント アラームとともに記録されます。
-
アラートの設定。
-
アラートの中断。
-
電子メールの設定。
-
ノード アラート ステータスの設定。
-
アラートの追加。
-
アラートの追加アクション。
-
アラートのクリア。
-
アラートのイネーブル化。
-
アラートの削除アクション。
-
アラートの削除。
Unified Communications Manager CDR Analysis and Reporting では、次のイベントが記録されます。
ディザスタ リカバリ システムでは、次のイベントが記録されます。
Cisco Business Edition 5000 の場合、Cisco Unity Connectionの管理では、次のイベントが記録されます。
Cisco Business Edition 5000 の場合、Cisco PCA では、次のイベントが記録されます。
Cisco Business Edition 5000 の場合、Cisco Unity Connectionのサービスアビリティ ログでは、次のイベントが記録されます。
Cisco Business Edition 5000 の場合、REST API を使用するクライアントでは、次のイベントが記録されます。
データベース ログ
RTMT の informix フォルダに表示されるデータベース監査ログでは、データベースの変更がレポートされます。このログは、デフォルトでは有効になっていませんが、 Cisco Unified Serviceabilityで を選択することによって設定を変更できます。設定可能な監査ログの設定については、Cisco Unified Serviceabilityを参照してください。
このログは、アプリケーションの設定変更を記録するアプリケーション監査ログとは異なり、データベースの変更を記録します。Cisco Unified Serviceability でデータベース監査がイネーブルに設定されるまで、informix フォルダは RTMT に表示されません。
オペレーティング システム ログ
RTMT の vos フォルダに表示されるオペレーティング システム監査ログでは、オペレーティング システムによってトリガーされるイベントがレポートされます。デフォルトでは、イネーブルになっていません。utils auditd CLI コマンドによって、イネーブルまたはディセーブルにしたり、イベントのステータスを提供したりできます。
CLI で監査がイネーブルに設定されるまで、vos フォルダは RTMT に表示されません。
CLI の詳細については、『Cisco Unified Solutions コマンドライン インターフェイス リファレンス ガイド』を参照してください。
リモート サポート アカウント イネーブル化ログ
RTMT の vos フォルダに表示されるリモート サポート アカウント イネーブル化ログでは、テクニカル サポート チームによって発行される CLI コマンドがレポートされます。このログの設定は変更できません。このログは、テクニカル サポート
チームによってリモート サポート アカウントがイネーブルに設定された場合にだけ作成されます。