大規模ファイルサーバでの監査ログの取得について
_
松井と申します。
現在1万ユーザアカウントが利用しているファイルサーバシステムを運用しております。
データ量は12TB前後
サーバはWindows2003ServerSP1(64bit) MSCS構成でA-A構成にて6クラスタセット(実ノード12台)利用しています。
1仮想サーバあたりのデータ量は最大1TBで利用ユーザ数は平均600から1000ユーザ程度です。(最大3000程度)
ディスクは部署ごとにフォルダを共有フォルダ作成しクォータをかけており、現在ディスク占有率は80%程度となっております。
ユーザ(端末)はログオン時に所属する部門の共有フォルダがネットワークドライブに割り当てられるようになっており、業務で利用するデータは殆どファイルサーバ上に保管されています。
上記の環境で、共有フォルダのファイル及びフォルダへの監査ログを取得しようと考えております。現在はファイル及びフォルダの削除のみ有効にして、セキュリティログに表示されるように設定しています。今後はどのファイルに何時誰がアクセスしたのか、更新したのか、何時誰が新規にデータを作成したのかなどの情報も取得したいと考えており、監視項目を追加しようと考えています。また、取得した監査ログを1ヶ月程度保管したいと考えています。
マイクロソフト様のサイトよりホワイトペーパーマイクロソフトサーバ製品のログ監査ガイド「ファイルサーバ上のファイル操作における監査」には下記
ファイルの作成/データの書き込み
フォルダの作成/データの追加
サブフォルダとファイルの削除・・・・(設定済み)
削除 ・・・・(設定済み)
アクセス許可の変更
所有権の取得
あたり監査対象として記載されていますが、これら全てを適用すると膨大なログが出力されると考えております。現在イベントログサイズを500MB程度に定義しておりますが、現状の設定(削除のみ)だけで2日~1週間程度でログが上書きされてしまいます。
ガイドのとおりに設定するとした場合、イベントログサイズを拡張して運用するべきでしょうか?それとも、監査対象を絞り込む(共有されている全フォルダが対象なので難しいですが)もしくは、別の方法がございますでしょうか?
・検証環境で、イベントログサイズを4GBまで拡大しましたが、イベントログを開いたり、ファイルに保存する過程で、イベントビューアがハングしたりとOSの状態が不安定になる時がありました。
現在サードベンダーでログ収集ツールを検討していますが、マイクロソフト製品にて、大規模ユーザが利用するファイルサーバシステムの監査ログを取得するソリューション等はございますでしょうか?
お手数ですがアドバイスいただけますと幸いです。
_
実名を記載いたしませんでしたので補足いたします。
日本ビジネスシステムズ株式会社
松井友明
環境
WindowsServer2003 SP2(64bit)
"_" からの元のメッセージ: