他社さんでActiveDirectoryの操作に管理者権限のアカウントしか存在せず、
クライアントPCと見分けもつかないデスクトップ画面だったため
ヘルプデスク(コールセンター)の新人さんが間違ってサーバにセキュリティソフトをインストールし、大騒ぎ。
本人も責任を感じて居づらく、辞めてしまった会社がありました。
管理者権限を運用者が駆使しすぎて、
1回の誤操作で沢山のサーバデータを壊した会社もIT企業であります。
このKBでは当社が心がけているものの中から、
簡単で効果が高いものを何個か紹介します。
3.TeraTermでログを自動収集にする(Linuxサーバ)
TeraTerm派ですか?これは人によって違うと思いますが、Windows10ではOS標準でSSHクライアントが使えるのでお客様にインストール許可取る必要などもなくなる時代になりました。
コマンド操作とその結果ログを取得する方法は様々あって、ズバリ完璧なものはないのですが、TeraTermを使ってログを取っている方も多いはず。
通常は「ファイル」から「ログ」を押して保存先を設定しますが、ログ取り忘れが発生しがちで障害時の切り戻し作業が難航することがあります。
当社ではTeraTermの設定方法を以下のとおりにしています。
まず「標準ログファイル」のところを「&h(&u)%Y%m%d_%H%M%S.log」としています。
書き終わったら
この手順を踏んで、設定を上書き保存して初めて次回起動時からも設定が有効化されることに注意してください。
これで192.168.1.1にrootアカウントでログインした際は「192.168.1.1(t.konishi)20200310_074907.log」
といったファイル名で保存されるようになります。
このとき、「&u」はあくまで操作元のPCのログインアカウントであり、
ログイン先にrootで入ったかどうかではありません。
これを「標準のログ保存先フォルダ」として指定した共有フォルダ(ファイルサーバ)を指定することで作業内容が共有され、
「誰がどのサーバをいつどのようなコマンド操作したか」の全てが網羅されることになります。
「誰か触った?」とか「触った人に聞かないとわからない」「その人が離席中で」みたいな無駄はなくなります。
ここから細かい考え方の話。
接続先ホスト名をファイルの先頭にしているのは
サーバで障害や設定ミスがあった際にファイル名ソートでサーバが絞れることを想定しており、
作業日時で絞りたい場合はエクスプローラーのファイル更新日時でソートできるからです。
また、右側メニューの「タイムスタンプ」にチェックをつけるとログ1行ごとに日時が入ります。
[2020-03-10 07:49:11.603] Last login: Mon Mar 9 12:01:21 2020 from 192.168.11.190
[2020-03-10 07:49:11.659] [root@localhost ~]# ip a
[2020-03-10 07:49:14.659] 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
[2020-03-10 07:49:14.659] link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
[2020-03-10 07:49:14.659] inet 127.0.0.1/8 scope host lo
[2020-03-10 07:49:14.659] valid_lft forever preferred_lft forever
[2020-03-10 07:49:14.659] inet6 ::1/128 scope host
[2020-03-10 07:49:14.659] valid_lft forever preferred_lft forever
コマンドのコピペや設定ファイルをcatで一度表示して戻す場合は少し邪魔になりますが、
作業チェックリストの時間を後で確認する場合や回線負荷などで後で問題になったときのタイミングが一致するかなど必要な場合が多くあります。
これはLinux側のシェル設定を変えて
[root@localhost ~]#
を
[07:49:00 root@localhost ~]#
のようにする方が見やすくなりますが、サーバの設定を変えるのが怖い方でも先にできる方法としてTeraTermでのやり方を紹介しました。
