| 4.3 レポート | ||
|---|---|---|
 | 第4章 プロファイルしたアプリケーションの管理 |  |
| 4.3 レポート | ||
|---|---|---|
| | 第4章 プロファイルしたアプリケーションの管理 | |
Novell AppArmorのレポート機能は、ユーザがセキュリティイベントデータを参照する方法を強化し、柔軟性を高めます。レポートツールは以下の処理を行います。
必要に応じたレポートを作成する
レポートをエクスポートする
アーカイブ用の定期的なレポートを計画する
定期的なレポートを電子メールで送信する
日付ごとのレポートをフィルタ処理する
レポートデータをプログラム名などの他のオプションでフィルタ処理する
レポートを使用すると、logprofツールだけに役立つ扱いにくいメッセージを手動で取捨選択することなく、ログファイルにレポートされた重要なNovell AppArmorセキュリティイベントを参照できます。レポートのサイズは、日付またはプログラム名の範囲でフィルタリングをして絞り込むことができます。また、htmlまたはcsvファイルをエクスポートすることもできます。
Novell AppArmorで利用できる3種類のレポートは以下となります。
1つ以上のマシンによる、1つ以上のセキュリティ問題を組み合わせたレポートです。このレポートでは、複数のマシン上のセキュリティイベントを1つの観点から見ることができます。詳細については、4.3.1.3項 「エグゼクティブセキュリティサマリー」 (↑Novell AppArmor 2.0アドミニストレーションガイド)を参照してください。
どのアプリケーションサーバが稼動しているか、およびアプリケーションがAppArmorにより制限されているかをレポートする、監査ツールです。アプリケーションサーバは、着信するネットワーク接続を受け取るアプリケーションです。詳細については、4.3.1.1項 「アプリケーション監査レポート」 (↑Novell AppArmor 2.0アドミニストレーションガイド)を参照してください。
単独ホスト用のアプリケーションセキュリティを表示するレポートです。セキュリティ問題レポートは、ある一定の期間、ローカルで限定されたアプリケーションに対し、ポリシー違反をレポートします。このレポートは編集およびカスタマイズでき、または新しいバージョンを追加できます。詳細については、4.3.1.2項 「セキュリティ問題レポート」 (↑Novell AppArmor 2.0アドミニストレーションガイド)を参照してください。
Novell AppArmorのレポート機能を使用するには、以下のステップに従って進めてください。
レポートを実行するには、+を開きます。Novell AppArmorインタフェースが開きます。
 |
で、をクリックします。ウィンドウが表示されます。ウィンドウから、オプションを選択して説明のセクションに進みます。
 |
実行しているレポート、および/var/log/apparmor/reports-archived/に保存されているレポートをすべて表示します。詳細を参照するレポートを選択し、をクリックします。の説明については、4.3.1項 「アーカイブされたレポートの参照」 (↑Novell AppArmor 2.0アドミニストレーションガイド)に進みます。
選択したレポートの種類のインスタントバージョンを作成します。セキュリティ問題レポートを選択すると、さまざまな方法でさらにフィルタリングできます。の説明については、4.3.2項 「今すぐ実行必要に応じたレポートを実行」 (↑Novell AppArmor 2.0アドミニストレーションガイド)に進みます。
スケジュール設定されたセキュリティ問題レポートを作成します。の説明については、4.3.3項 「新しいレポートを追加する」 (↑Novell AppArmor 2.0アドミニストレーションガイド)に進みます。
スケジュール設定されたセキュリティ問題レポートを編集します。
スケジュール設定されたセキュリティ問題レポートを削除します。ストックレポートまたはあらかじめ用意されているレポートは削除できません。
これを選択するとNovell AppArmorメイン画面に戻ります。
これを選択するとNovell AppArmorメイン画面に戻ります。
ボタンと同じ処理を行います。
では、1つ以上のシステムにより蓄積されたレポートの場所を特定できます。またプログラムにアクセスした日付、プログラム名によりフィルタリングを行い、1つのレポートにまとめて表示する機能も備えています。
ウィンドウから、を選択します。
 |
参照するレポートの種類を選択します。異なる種類の間で切り替えます((セキュリティ問題レポート)、(アプリケーション監査)および(エグゼクティブセキュリティサマリ))。
では、アーカイブされたレポートのディレクトリの場所を変更できます。現在のディレクトリを使用するにはを選択し、新しいレポートの場所を検索するにはを選択します。デフォルトのディレクトリは/var/log/apparmor/reports-archived/です。
アーカイブにあるレポートをすべて参照するには、を選択します。特定のレポートを参照するには、フィールドに一覧表示されているレポートファイルを選択し、次にを選択します。
レポートおよびレポートについては、ステップ 9 (↑Novell AppArmor 2.0アドミニストレーションガイド)に進んでください。
レポートのためのが表示されます。
 |
ダイアログでは、前の画面で選択したレポートをフィルタリングできます。目的のフィルタの詳細を入力します。フィールドは以下となります。
ある一定期間のレポートを表示するには、を選択します。レポートの範囲を決める、開始日と終了日の日付を入力します。
目的のプログラムのバイナリ実行ファイル名と一致するプログラム名またはパターンを入力すると、レポートは特定のプログラムに対して発生したセキュリティイベントを表示します。
プロファイル名を入力すると、レポートは特定のプロファイル用に生成されたセキュリティイベントを表示します。セキュリティイベントを参照すると、特定のプロファイルに限定された設定を見ることができます。
は、特定のプロセスまたは特定の実行しているプログラムを独自に識別する番号です(この番号はそのプロセスが存在する期間のみ有効です)。
セキュリティイベントをレポートに含めるには、最も低い重要度レベルを選択します。選択した重要度レベルおよび以下のものがレポートに含まれます。
プロファイルがアクセスを拒否したソース。このソースは機能およびファイルを含めます。このフィールドを使用して、プロファイルがアクセスを防ぐリソースをレポートできます。
アクセスの種類では、セキュリティイベントで実際に起こっていることを記述します。以下のオプションがあります。許可、拒否または監査。
は、プロファイルが、適用されるプログラムまたはプロセスに与えるパーミッションです。以下のオプションがあります。r(読み取り)w(書き込み)l(リンク)x(実行)。
CSV(カンマで区切られた値)ファイルまたはHTMLファイルをエクスポートできます。CSVファイルでは、標準データ形式を使用してカンマでログエントリ内のデータを区切り、テーブル指向のアプリケーションにインポートします。表示されたフィールドにフルパスをタイプすると、エクスポートしたレポートへのパス名を入力できます。
エクスポートしたレポートを保存する場所を変更できます。デフォルトの場所は/var/log/apparmor/reports-exportedです。この場所を変更するには、を選択します。ファイルシステムを参照するには、を選択します。
任意にフィルタリングしたレポートを参照するには、を選択します。3つのうち1つのレポートが表示されます。
各レポートの種類の詳細については、以下のセクションを参照してください。
アプリケーション監査については、4.3.1.1項 「アプリケーション監査レポート」 (↑Novell AppArmor 2.0アドミニストレーションガイド)を参照します。
セキュリティ問題レポートについては、4.3.1.2項 「セキュリティ問題レポート」 (↑Novell AppArmor 2.0アドミニストレーションガイド)を参照します。
エグゼクティブサマリレポートについては、4.3.1.3項 「エグゼクティブセキュリティサマリー」 (↑Novell AppArmor 2.0アドミニストレーションガイド)を参照します。
どのアプリケーションサーバが稼動しているか、およびアプリケーションがAppArmorにより制限されているかをレポートする、監査ツールです。アプリケーションサーバは、着信するネットワーク接続を受け取るアプリケーションです。このレポートが表示するのは、ホストマシンのIPアドレス、アプリケーション監査レポートが実行された日付、制限されないプログラムまたはアプリケーションサーバの名前およびパス、推奨されるプロファイルまたは制限されないプログラム用のプロファイルへのプレースホルダ、プロセスID番号、プログラムの状態(制限されるまたは制限されない)、およびプロファイルが行う制限の種類(強制またはメッセージによる確認)です。
以下の画面はアプリケーション監査レポートを表しています。
 |
以下は、アプリケーション監査レポート内のフィールドの定義です。
セキュリティイベントがレポートされるAppArmorにより保護されるマシンです。
セキュリティイベントが発生する間の日付です。
実行プロセスの名前
プロセスに適用されるセキュリティプロファイルの完全な名前です。
プロセスID番号は、特定のプロセスまたは特定の実行しているプログラムを独自に識別する番号です(この番号はそのプロセスが存在する期間のみ有効です)。
このフィールドは、プログラムフィールド内に一覧表示されたプログラムが限定されているかを表します。限定されていなければ、新しいプロファイルを作成することもできます。
このフィールドは、セキュリティイベントが表す制限の種類を表示します。メッセージによる確認または強制のいずれかです。アプリケーションが制限されていない場合(状態)、制限の種類はレポートされません。
管理者に、必要なセキュリティイベントを表示するレポートです。セキュリティ問題レポートは、ある一定の期間、ローカルで限定されたアプリケーションに対し、ポリシー違反をレポートします。SIRは、ポリシーの例外およびポリシーエンジンの状態の変更をレポートします。これら2種類のセキュリティイベントは以下のように定義されます。
アプリケーションがプロファイル内で定義されていないリソースを要求するとき、セキュリティイベントが実行されます。管理者が必要とするセキュリティイベントを表示するレポートが生成されます。セキュリティ問題レポートは、ある一定の期間、ローカルで限定されたアプリケーションに対し、ポリシー違反をレポートします。SIRは、ポリシーの例外およびポリシーエンジンの状態の変更をレポートします。
アプリケーションのポリシーを強化し、その状態を維持します。エンジンの開始または停止の時期、ポリシーをリロードする時期、グローバルセキュリティ機能が有効または無効になるタイミングがこれに含まれます。
以下の画面はSIRレポートを表しています。
 |
以下は、SIRレポート内のフィールドの定義です。
セキュリティイベントがレポートされるAppArmorにより保護されるマシンです。
セキュリティイベントが発生する間の日付です。
実行プロセスの名前。
プロセスに適用されるセキュリティプロファイルの完全な名前です。
プロセスID番号は、特定のプロセスまたは特定の実行しているプログラムを独自に識別する番号です(この番号はそのプロセスが存在する期間のみ有効です)。
イベントの重要度レベルは、重要度データベースからレポートされます。重要度データベースは起こり得るセキュリティイベントの重要性を定義し1から10までの番号をつけます。10は最も深刻なセキュリティ問題です。重要度レベルは、アクセスした特定のリソースまたは拒否されたサービスなど、異なるセキュリティイベントの脅威性または重要性により決定されます。
モードは、プロファイルが、適用されるプログラムまたはプロセスに与えるパーミッションです。オプションには、r(読み取り)w(書き込み)l(リンク)x(実行)があります。
プロファイルがアクセスを拒否したソースです。機能およびファイルを含めます。このフィールドを使用して、プロファイルがアクセスを防ぐリソースをレポートできます。
アクセスの種類では、セキュリティイベントで実際に起こっていることを記述します。オプションには、許可、拒否または監査があります。
1つ以上のマシンによる、1つ以上の高レベルなものを組み合わせたレポートです。このレポートでは、複数のマシン上のセキュリティイベントを一覧で参照し、各マシンのデータがレポートアーカイブディレクトリにコピーされるかどうかを見ることができます。ディレクトリは/var/log/apparmor/reports-archivedです。レポートに記載されるのは、ホストマシンのIPアドレス、ポーリングしたイベントの開始日および最終日、拒否の総数、イベントの総数、レポートされた重要度レベルの平均値、およびレポートされた最も高い重要度レベルです。ESSレポートの1行は、SIRレポートの範囲を示しています。
以下の画面は、エグゼクティブセキュリティサマリーを表します。
 |
以下は、エグゼクティブセキュリティサマリー内のフィールドの定義です。
セキュリティイベントがレポートされるAppArmorにより保護されるマシンです。
セキュリティイベントがレポートされる期間の最初の日です。
セキュリティイベントがレポートされる期間の最後の日です。
与えられた期間にて、アクセスの試みが拒否されたセキュリティイベントの総数です。
与えられた期間での、セキュリティイベントの総数です。
与えられた期間にレポートされた重要度レベルの平均です。重要度が不明な場合、この数値には含まれません。
与えられた期間にレポートされた、最も高い重要度イベントの値です。
レポート機能を使用すると、スケジュールされたイベントを待たずに直ちに、Novell AppArmorイベントログからレポート情報を抽出できます。メインのレポート画面(4.3項 「レポート」 (↑Novell AppArmor 2.0アドミニストレーションガイド)を参照)に移動するのに支援が必要な場合は、このセクションの最初に戻ってください。レポートの一覧からレポートを実行するには、以下の手順に従ってください。
ウィンドウ内のレポートの一覧から、すぐに実行するレポートを選択します。
またはを選択します。次の画面は、前のステップで選択したレポートにより決まります。レポートおよびレポートについては、ステップ 6 (↑Novell AppArmor 2.0アドミニストレーションガイド)に進んでください。
セキュリティ問題レポートのためのが表示されます。
|
ダイアログでは、前の画面で選択したレポートをフィルタリングできます。目的のフィルタの詳細を入力します。使用可能なオプションは次のとおりです。
ある一定期間のレポートに限定するには、を選択します。レポートの範囲を決める、開始日と終了日の日付を入力します。
目的のプログラムのバイナリ実行ファイル名と一致するプログラム名またはパターンを入力すると、レポートは特定のプログラムに対して発生したセキュリティイベントのみ表示します。
プロファイル名を入力すると、レポートは特定のプロファイル用に生成されたセキュリティイベントを表示します。セキュリティイベントを参照すると、特定のプロファイルに限定された設定を見ることができます。
プロセスID番号は、特定のプロセスまたは特定の実行しているプログラムを独自に識別する番号です(この番号はそのプロセスが存在する期間のみ有効です)。
セキュリティイベントをレポートに含めるには、最も低い重要度レベルを選択します。選択した重要度レベルおよび以下のものがレポートに含まれます。
プロファイルがアクセスを拒否したソース。このソースは機能およびファイルを含めます。このフィールドを使用して、プロファイルがアクセスを防ぐリソースをレポートできます。
アクセスの種類では、セキュリティイベントで実際に起こっていることを記述します。オプションには、許可、拒否または監査があります。
モードは、プロファイルが、適用されるプログラムまたはプロセスに与えるパーミッションです。オプションには、r(読み取り)w(書き込み)l(リンク)x(実行)があります。
CSV(カンマで区切られた値)ファイルまたはHTMLファイルをエクスポートできます。CSVファイルでは、標準データ形式を使用してカンマでログエントリ内のデータを区切り、テーブル指向のアプリケーションにインポートします。表示されたフィールドにフルパスをタイプすると、エクスポートしたレポートへのパス名を入力できます。
エクスポートしたレポートを保存する場所を変更できます。デフォルトの場所は/var/log/apparmor/reports-exportedです。この場所を変更するには、を選択します。ファイルシステムを参照するには、を選択します。
任意にフィルタリングしたレポートを参照するには、を選択します。3つのうち1つのレポートが表示されます。
各レポートの種類の詳細については、以下のセクションを参照してください。
アプリケーション監査については、4.3.1.1項 「アプリケーション監査レポート」 (↑Novell AppArmor 2.0アドミニストレーションガイド)を参照します。
セキュリティ問題レポートについては、4.3.1.2項 「セキュリティ問題レポート」 (↑Novell AppArmor 2.0アドミニストレーションガイド)を参照します。
エグゼクティブサマリレポートについては、4.3.1.3項 「エグゼクティブセキュリティサマリー」 (↑Novell AppArmor 2.0アドミニストレーションガイド)を参照します。
新しいレポートを追加すると、予め設定したフィルタに従いNovell AppArmorセキュリティイベントを表示する、スケジュールされたセキュリティ問題レポートを作成できます。レポートがにセットアップされると、システム上で発生したNovell AppArmorセキュリティイベントのレポートを定期的に開始します。
レポートを日ごと、週ごと、月ごと、または1時間ごとに設定して、指定した期間実行できます。レポートを設定すると、特定の重要度レベルの拒否を表示でき、またはプログラム名、プロファイル名、重要度レベルまたは拒否されたリソースでフィルタリングできます。このレポートは、HTML(Hypertext Markup Language)ファイルフォーマットまたはCSV(カンマで区切った値)ファイルフォーマットにエクスポートできます。
![[Note]](admon/note.png) | 注意 |
|---|---|
メインのレポート画面(4.3項 「レポート」 (↑Novell AppArmor 2.0アドミニストレーションガイド)を参照)に移動するのに支援が必要な場合は、このセクションの最初に戻ってください。 | |
スケジュールされた新しいセキュリティ問題レポートを追加するには、以下のように進めてください。
新しいセキュリティ問題レポートを作成するには、をクリックします。の最初のぺージが開きます。
 |
必要に応じて、以下のフィルター情報をフィールドに入力します。
レポート名を指定します。レポートを簡単に見分けられる名前を使用してください。
月ごとのレポートのフィルタリングを有効化する日付を選択します。すべてを選択すると、月ごとのフィルタリングは実行されません。
必要に応じて、週ごとのレポートをスケジュールする日付を選択します。すべてを選択すると、週ごとのフィルタリングは実行されません。月ごとのレポートが選択されている場合、このフィールドのデフォルト値はすべてとなります。
時間を選択します。ここではレポートを実行する時間と分を指定します。時間を変更しない場合、選択したレポートは真夜中に実行されます。月ごとの日付および週ごとの日付がいずれも選択されていない場合、レポートは毎日、指定された時間に実行されます。
スケジュールされたセキュリティ問題レポートは、電子メールにて3人までの受信者に送信できます。セキュリティ問題情報を必要とする人の電子メールアドレスを入力するだけです。
CSV(カンマで区切られた値)ファイルまたはHTMLファイルをエクスポートできます。CSVファイルでは、標準データ形式を使用してカンマでログエントリ内のデータを区切り、テーブル指向のアプリケーションにインポートします。表示されたフィールドにフルパスをタイプすると、エクスポートしたレポートへのパス名を入力できます。
エクスポートしたレポートを保存する場所を変更できます。デフォルトの場所は/var/log/apparmor/reports-exportedです。この場所を変更するには、を選択します。ファイルシステムを参照するには、を選択します。
の2ページに進むには、をクリックしてください。
 |
必要に応じて、以下のフィルター情報をフィールドに入力します。
目的のプログラムに向けて、バイナリ実行ファイルの名前に一致するプログラム名またはパターンを指定できます。レポートでは、指定したプログラムに対してのみ発生したセキュリティイベントを表示します。
レポートがセキュリティイベントを表示するプロファイルの名前を指定できます。セキュリティイベントを参照すると、特定のプロファイルに限定された設定を見ることができます。
プロセスID番号は、特定のプロセスまたは特定の実行しているプログラムを独自に識別する番号です(この番号はそのプロセスが存在する期間のみ有効です)。
プロファイルがアクセスを拒否したソース。このソースは機能およびファイルを含めます。このフィールドを使用して、プロファイルがアクセスを防ぐリソースのレポートを作成できます。
レポートに含めるには、セキュリティイベントの最も低い重要度レベルを選択します。選択した重要度レベルおよび以下のものがレポートに含まれます。
アクセスの種類では、セキュリティイベントで実際に起こっていることを記述します。オプションには、許可、拒否または監査があります。
モードは、プロファイルが、適用されるプログラムまたはプロセスに与えるパーミッションです。オプションには、r(読み取り)w(書き込み)l(リンク)x(実行)があります。
をクリックして、変更内容を保存します。Novell AppArmorはのメインウィンドウに戻ります。そこでは新しくスケジュールされたレポートがレポートの一覧に表示されます。
AppArmor画面から、レポートを選択して編集できます。ストックレポートは編集または削除できません。
| 注意 |
|---|---|
メインのレポート画面(4.3項 「レポート」 (↑Novell AppArmor 2.0アドミニストレーションガイド)を参照)に移動するのに支援が必要な場合は、このセクションの最初に戻ってください。 | |
レポートの一覧からレポートを実行するには、以下の手順に従ってください。
ウィンドウのレポートのリストから、編集するレポートを選択します。
セキュリティ問題レポートを編集するには、をクリックします。の最初のぺージが開きます。
 |
必要に応じて、以下のフィルタ情報を入力します。
月ごとのレポートのフィルタリングを有効化する日付を選択します。すべてを選択すると、月ごとのフィルタリングは実行されません。
週ごとのレポートをスケジュールする日付を選択します。すべてを選択すると、週ごとのフィルタリングは実行されません。月ごとのレポートが選択されている場合、このフィールドのデフォルト値はすべてとなります。
時間を選択します。ここではレポートを実行する時間と分を指定します。時間を変更しない場合、選択したレポートは真夜中に実行されます。月ごとの日付および週ごとの日付がいずれも選択されていない場合、レポートは毎日指定した時間に実行されます。
スケジュールされたセキュリティ問題レポートは、電子メールにて3人までの受信者に送信できます。セキュリティ問題情報を必要とする人の電子メールアドレスを入力するだけです。
CSV(カンマで区切られた値)ファイルまたはHTMLファイルをエクスポートできます。CSVファイルでは、標準データ形式を使用してカンマでログエントリ内のデータを区切り、テーブル指向のアプリケーションにインポートします。表示されたフィールドにフルパスをタイプすると、エクスポートしたレポートへのパス名を入力できます。
エクスポートしたレポートを保存する場所を変更できます。デフォルトの場所は/var/log/apparmor/reports-exportedです。この場所を変更するには、を選択します。ファイルシステムを参照するには、を選択します。
次のページに進むには、をクリックしてください。の2ぺージが開きます。
 |
必要に応じて、以下のフィルター情報をフィールドに入力します。
目的のプログラムに向けて、バイナリ実行ファイルの名前に一致するプログラム名またはパターンを指定できます。レポートでは、指定したプログラムに対してのみ発生したセキュリティイベントを表示します。
セキュリティイベントを表示するプロファイルの名前を指定できます。セキュリティイベントを参照すると、特定のプロファイルに限定された設定を見ることができます。
プロセスID番号は、特定のプロセスまたは特定の実行しているプログラムを独自に識別する番号です(この番号はそのプロセスが存在する期間のみ有効です)。
プロファイルがアクセスを拒否したソース。このソースは機能およびファイルを含めます。このフィールドを使用して、プロファイルがアクセスを防ぐリソースのレポートを作成できます。
セキュリティイベントをレポートに含めるには、最も低い重要度レベルを選択します。選択した重要度レベルおよび以下のものがレポートに含まれます。
アクセスの種類では、セキュリティイベントで実際に起こっていることを記述します。オプションには、許可、拒否または監査があります。
モードは、プロファイルが、適用されるプログラムまたはプロセスに与えるパーミッションです。オプションには、r(読み取り)w(書き込み)l(リンク)x(実行)があります。
を選択して、変更内容を保存します。Novell AppArmorはのメインウィンドウに戻ります。そこではスケジュールされたレポートがレポートの一覧に表示されます。
| |  | |
| 4.2 イベントの通知設定 |  | 4.4 セキュリティイベントへの対応 |