isAdmin Manual

■検査方法について
検査方法は各プロトコルや設定により異なります。各プロトコルでの検査方法は以下のとおりです。

プロトコル検査方法
HTTP/SSL
  1. 指定されたWebサーバに接続しGETリクエストを送ります。
  2. コンテンツ検査を行います。
    コンテンツの検査方法として指定された検査を行います。
    1. GETの結果に対し、Last-Modifiedタグがヘッダに含まれていた場合は前回の結果と比較します。
    2. GETの結果に対し、コンテンツの長さが変更されていないか検査します。
    3. GETの結果に対し、コンテンツのSHA1によるダイジェスト値を計算し前回の結果とが変わってていないか検査します。
  3. 「iSignによる署名検証」が選択されていた場合、取得結果に対し署名が存在するか、署名が正しいか検証します。もし署名が存在しなかった場合や署名が正しくない場合、エラーとして報告します。
  4. 「HTMLファイル内のリンクをたどって検査する」が選択されていた場合は取得したHTMLを解析し、リンク先を指定階層まで同一の検査を行いながらたどります。
    リンクをたどる対象となるタグは、A HREF, AREA SRC, IMG SRC, FORM ACTION, FRAME SRC, OBJECT DATA, EMBED SRCで、このタグ内でリンクされているURLを解析します。
コンテンツの検査を行なわない場合は、GETリクエストを送り結果が返ってくるかどうかのみ検査します。
GETの結果302などのリダイレクトレスポンスが返った場合は内部でリダイレクトを処理し、リダイレクト先のコンテンツを取得します。
性能低下警告を行う設定であった場合、コンテンツの取得にかかった時間でコンテンツサイズを割り、スループットを求めます。スループットが最速値の何倍にあたるか計算し、指定以下のスループットとなった場合に警告をおこないます。
検査除外URLにマッチしたURLは、変更・改ざん検査を行いません。またリンクの解析も行いません。
コンテンツ自動復旧
  1. 事前作業
    自動復旧が設定された時、自動復旧のファイル情報(ダイジェスト値、ファイル長)を計算し記憶します。FTPサーバが指定されていた場合、該当ディレクトリに含まれるファイルをいったんローカルディレクトリに取得し、計算を行います。
    自動復旧情報更新を行う場合も同様の処理を行い、記憶したファイル情報を更新します。
    ※自動復旧処理の実行時には以下の3種類のファイル情報を比較しながら処理を行います。
    1. isAdminファイル情報データベース内の情報
    2. 自動復旧ファイル情報計算結果
    3. 自動復旧ファイル情報計算結果
    事前作業では、isAdminファイル情報データベースに、自動復旧ファイル情報を蓄積します。以後の処理では、これらの情報を比較しながら、ファイルの改ざん・変更を検出します。
  2. 自動復旧処理
    1. 自動復旧に含まれるファイル情報(ダイジェスト値、ファイル長)を計算します。
      FTPサーバが指定されている場合、事前作業時と同様に、FTPサーバ内のファイルを、いったんローカルディレクトリに取得し計算ます。
      ディレクトリが指定されていた場合、そのディレクトリ配下のファイル一覧を生成しファイル情報を計算します。
      「自動復旧情報を常に自動更新する」と指定されていた場合、検査のたびに、まず自動復旧のファイル情報を再取得します。このチェックボックスをチェックしない場合は、自動復旧の情報を自動的に取り込むことはできません。この場合、自動復旧情報を更新した場合、手動でファイル情報を更新する必要があります。
    2. 相対パスの一致したファイルについて、ファイルのサイズ、ダイジェスト値を比較します。
    3. 事前処理にて記憶したファイルサイズと異なるか、ダイジェスト値が異なった場合、復旧のファイルで復旧のファイルを上書きします。
    4. ファイルの過不足を調べ、復旧ディレクトリの不足ファイルはコピーし、不要ファイルをは削除します。
      「自動復旧ファイルの変更を検出した場合、復旧を行わない」としていた場合
      復旧ファイルの改ざん・変更を発見した場合、復旧のファイルの情報を再度計算します。この結果が記憶している値と異なった場合、復旧先へのコピーは行いません。
      「自動復旧の改ざんを検出しても復旧を行わず通知のみ行う」と指定されていた場合、ファイルのコピー・削除処理は行わず、アラートのみ通知されます。
    5. ファイルをコピーまたは削除した場合、レポートを送信します。
検査除外パスにマッチしたファイルは、変更・改ざん検査を行いません。
アラート種別指定は、ファイルの変更・改ざんを検出した際に、復旧のファイル情報の変更・改ざんが原因となり、復旧処理を行ったか、復旧のファイル情報の変更・改ざんが原因となったのか判断し、それぞれの原因に応じた、種別を指定します。
変更・改ざんを発見し、自動復旧先のファイルのコピー・削除を行う場合に変更・改ざんされたファイルのバックアップを行うことも可能です。
ファイルシステム改ざん監視
  1. 事前作業
    監視するディレクトリに含まれるファイル情報を(ダイジェスト値、ファイル長)を計算し記憶します。FTPサーバが指定されていた場合、該当ディレクトリに含まれるファイルをいったんローカルディレクトリに取得し、計算を行います。
    ファイル情報更新を行う場合も同様の処理を行い、記憶したファイル情報を更新します。
  2. ファイルシステム改ざん監視処理
    1. 監視するディレクトリに含まれるファイル情報(ダイジェスト値、ファイル長)を計算します。
      FTPサーバが指定されている場合、事前作業時と同様に、FTPサーバ内のファイルを、いったんローカルディレクトリにすべてのファイルを取得し計算ます。
      ディレクトリが指定されていた場合、そのディレクトリ配下のファイル一覧を生成しファイル情報を計算します。
    2. 相対パスの一致したファイルについて、ファイルのサイズ、ダイジェスト値を計算します。
    3. 事前処理にて記憶したファイルサイズと異なるか、ダイジェスト値が異なった場合、レポートを送信します。
    4. ファイルの過不足を調べ、過不足を発見した場合、レポートを送信します。
「改ざん検出後にファイル情報を更新する」がチェックされていた場合、変更を発見したファイル情報を、新しい情報で更新します。チェックされていない場合は、更新を行いません。
PINGによるサーバ監視
  1. 指定されたホストにPINGを打ち、監視を行います。
    指定された試行回数の検査を行い、失敗回数がエラー許容回数を上回った場合、アラートをあげます。
この検査のいずれかの段階でエラーが発生した場合、もしくは検査OKのアラート種別も通知と設定されていた場合、通知が行なわれます。

isAdmin Manual