処理識別子

処理識別子は要求の発行またはコマンド実行のたびに生成される固有の識別子です。1回の要求の発行またはコマンド実行から発生するすべての操作ログや履歴に同じ値が出力されるため、複数のホストに分散した操作ログや履歴を紐付けできます。

例1)配信履歴または集信履歴から要求を発行したユーザを調べる場合

調べたい配信履歴または集信履歴の処理識別子を確認し、その処理識別子を指定してファイルアクセスログを検索すると、操作を行ったユーザや始点ホストがわかります。

始点ホストのコマンド実行ログを同じ処理識別子を指定して検索すると、要求の発行またはコマンド実行の内容がわかります。

例2)システム管理情報を変更したユーザを調べる場合

調べたいシステム管理情報の種類とアクセス種別(=更新)を指定してファイルアクセスログを検索すると、その管理情報を変更したユーザと処理識別子がわかります。

その処理識別子を指定してコマンド実行ログを検索すると、要求の発行またはコマンド実行の内容がわかります。

図2.37 処理識別子による紐付け

HULFT-HUBと組み合わせて使用する場合

処理識別子には最新処理識別子と開始処理識別子があります。

通常、2つは同じ値です。両者の値が異なるのは、HULFT-HUB Serverで蓄積されたデータを集信した場合です。

蓄積と送出は異なるトランザクションになるため、それぞれ異なる処理識別子が生成されます。しかし、そのままでは配信側ホストの操作ログおよび履歴と、集信側ホストの操作ログおよび履歴を対応付けられないので、以下の2種類の処理識別子を用意しています。

  • 開始処理識別子

    HULFT-HUB Serverでデータの蓄積を開始したときに生成された値が保持されます。

  • 最新処理識別子

    HULFT-HUB Serverからデータを送出するたびに新しい値が生成されます。

図2.38 最新処理識別子と開始処理識別子

注意

送出時には、最新処理識別子に加えてユーザIDと始点ホスト名も書き換えられます。そのため、HULFT-HUB Serverで蓄積および送出された場合には、配信側ホストの操作ログおよび履歴と、集信側ホストの操作ログおよび履歴を紐付ける情報は開始処理識別子だけです。操作ログリスト表示コマンドを使用してファイルアクセスログおよびコマンド実行ログのそれぞれのレコードをファイルに出力し、開始処理識別子を確認してください。