2.7.3 ユーザの操作を追跡する

ユーザがファイルをどのように操作したかを,一連の操作の流れとして確認できます。また,ネットワーク上の別の機器から,ファイルをコピーしたり,削除したりした場合も,操作を追跡できます。

ユーザの操作は,業務メニュー「操作ログ一覧」の検索結果,[操作ログ詳細]ダイアログ,および[操作ログ集計 ログ一覧]ダイアログの「ファイル名」のアンカーをクリックすると表示される[ファイル操作トレース]ダイアログから追跡します。

[ファイル操作トレース]ダイアログを次の図に示します。

図2-93 [ファイル操作トレース]ダイアログ

[図データ]

一つの操作ログは,一つのノード([図データ])として表示されます。

選択した操作ログのノード(起点ノード)は,太い枠線で表示されます。そのほかのノードは,起点ノードと連続している操作のノードです。ファイルを媒体へコピーするなど,不正操作のおそれがあるノードは色が付いて表示されます。

ノードのアイコンおよび表示項目について次に示します。

[図データ]:バックトレースアイコン
該当するノードより過去の操作が表示されます。表示されたノードから,ファイルがどのように操作されてきたかを確認できます。バックトレースアイコンをクリックしたときに,一度に表示される階層の数は,[サーバセットアップ]ダイアログの「トレース時の表示階層」で設定します。
[図データ]:フォワードトレースアイコン
該当するノードよりあとの操作が表示されます。表示されたノードから,ファイルがどのように操作されてきたかを確認できます。フォワードトレースアイコンをクリックしたときに,一度に表示される階層の数は,[サーバセットアップ]ダイアログの「トレース時の表示階層」で設定します。
[図データ]:操作ログ詳細アイコン
該当するノードの[操作ログ詳細]ダイアログが表示されます。[操作ログ詳細]ダイアログには,前後5分間の操作ログが表示されます。表示されている操作ログの「ファイル名」のアンカーから,新たに操作を追跡できます。
[図データ]:再追跡アイコン
該当するノードを起点ノードとした[ファイル操作トレース]ダイアログが表示されて,新たに操作を追跡できます。
[図データ]:ネットワークアイコン
該当するノードのファイルを操作した可能性のある,ネットワーク上の機器の一覧が表示されます。機器の一覧からは,別の機器の[ファイル操作トレース]ダイアログを表示して,さらに操作を追跡できます。別の機器の操作を追跡する手順については,「(2) 別の機器の操作を追跡する」を参照してください。
[図データ]:クローズアイコン
該当するノードを閉じます。一度閉じたノードを再度表示させる場合は,分岐直前のノードのバックトレースアイコンまたはフォワードトレースアイコンをクリックします。
日時
該当するノードの操作が実行された日時が表示されます。
種別
該当するノードの種別が表示されます。ノードに表示される種別は,各連携製品で取得している操作ログの種別と対応しています。ただし,起点ノード以外では,ノードの種別に表示される名称が異なります。それぞれの対応については,「(3) ノードの種別と操作ログの種別との対応」を参照してください。
「コピー」,「移動」および「名称変更」のノードは,操作前および操作後のノードが表示されます。過去の操作を追跡する場合は,操作前のファイル名のノードが表示されます。また,あとの操作を追跡する場合は,操作後のファイル名のノードが表示されます。
ドライブ種別
「ネットワーク」,「リムーバブル」および「CDROM」に対する操作の場合に表示されます。ファイル名のアンカーをクリックすると,「ローカル」,「RAMDISK」および「その他」に対する操作の場合も,ドライブ種別が表示されます。
製品種別
該当するノードの操作ログを取得した製品です。JP1/NETM/DMから取得した場合は,「[DM]」と表示されます。JP1/秘文から取得した場合は,「[秘文]」と表示されます。この項目は,ファイル名のアンカーをクリックして詳細表示したときだけ表示されます。
ユーザ名
Windowsにログオンしたときのユーザ名です。この項目は,ファイル名のアンカーをクリックして詳細表示したときだけ表示されます。
ホスト名
該当するノードのホスト名です。この項目は,ファイル名のアンカーをクリックして詳細表示したときだけ表示されます。
ファイル名
該当するノードのファイル名です。ファイル名のアンカーをクリックすると,該当するノードの種別,Windowsにログオンしたときのユーザ名,ファイル名のフルパスなどの詳細情報が表示されます。
分岐
日時が同一の操作,およびコピーの操作は,分岐して表示されます。なお,日時が同一の操作のノードには,ほかのログが含まれている可能性もあります。

ノードにマウスカーソルを重ねると表示されるポップアップで,日時およびファイル名のフルパスを参照できます。

また,次のノードは,色が付いて表示されます。()内には,ノードの種別を示します。

[ファイル操作トレース]ダイアログに表示されている追跡のイメージを印刷する場合は,メニューバーの「ファイル」-「印刷」メニューから印刷してください。

注意事項
  • 同じ操作のノードでも,ホスト名にドメイン名が含まれているかどうかは,操作ログを収集した製品によって異なることがあります。
  • 「コピー」,「移動」および「名称変更」のノードでは,変更後のファイル名が表示されないことがあります。その際は,分岐している,変更後のファイル名が表示されているノードから追跡してください。
  • ファイル名の大文字,小文字だけを変更した場合の「移動」および「名称変更」のノードは表示されません。
  • 「開く」,「作成」または「削除」の操作ログと同じ日時の「コピー」の操作ログがある場合,「開く」,「作成」または「削除」を起点に過去の操作を追跡すると,「コピー」のノードは表示されません。この場合,「コピー」を起点として追跡すると,ほかの操作のノードが表示され追跡できます。
  • 「通常印刷」および「透かし印刷」の操作ログからは,操作を追跡できません。

なお,[ファイル操作トレース]ダイアログに表示されるノードは,JP1/NETM/DMおよびJP1/秘文のデータベースに格納されている操作ログが基になっています。そのため,バックアップファイルに格納されている操作ログに対応するノードは表示されません。

<この項の構成>
(1) 機器ごとの操作を追跡する
(2) 別の機器の操作を追跡する
(3) ノードの種別と操作ログの種別との対応

(1) 機器ごとの操作を追跡する

[ファイル操作トレース]ダイアログでは,機器ごとの操作の流れが表示されます。

機密情報が含まれたファイル「社員名簿.xls」の名称を,機密情報であることがわからないように,「説明書.xls」と変更して持ち出した操作を例に説明します。この場合の[ファイル操作トレース]ダイアログを次の図に示します。

図2-94 [ファイル操作トレース]ダイアログ(機密情報ファイルの持ち出しを追跡する例)

[図データ]

各ノードで確認できる操作について説明します。図内の1.~5.は,次の説明の番号に対応しています。

  1. ファイルサーバから「社員名簿.xls」をデスクトップにコピーした。
    このノードが起点ノードです。コピーする前後のファイル名を確認できます。
  2. 「社員名簿.xls」のファイル名を「説明書.xls」に変更した。
    名称変更後のファイル名を確認できます。「社員名簿.xls」から「説明書.xls」にファイル名を変更したことが確認できます。
  3. USBメモリに「説明書.xls」をコピーした。
    デスクトップのファイルをUSBメモリにコピーしたことを確認できます。
  4. デスクトップの「説明書.xls」を開いた。
    コピー元のファイルに対する操作を追跡できます。このノードでは,デスクトップのファイルを開いたことを確認できます。
  5. デスクトップの「説明書.xls」ファイルを削除した。
    コピー元のデスクトップのファイルを削除したことを確認できます。

該当するファイルを別の機器から操作した可能性がある場合は,ネットワークアイコンから操作を追跡できます。別の機器の操作を追跡する方法については,「(2) 別の機器の操作を追跡する」を参照してください。

(2) 別の機器の操作を追跡する

[ファイル操作トレース]ダイアログのネットワークアイコンをクリックすると,該当するファイルを操作した可能性のある機器が一覧で表示されます。

機器の一覧で,操作を追跡したい機器のファイル名のアンカーをクリックすると,その機器の[ファイル操作トレース]ダイアログが表示されて,操作を追跡できます。

別の機器のネットワーク上での操作を追跡する場合,同時刻と見なす時間の範囲を[サーバセットアップ]ダイアログの「トレース時間範囲の設定」で設定します。

ネットワーク上の別の機器からの操作を追跡するために,[ファイル操作トレース]ダイアログを表示する流れを次の図に示します。

図2-95 [ファイル操作トレース]ダイアログを表示する流れ

[図データ]

起点ノードの左に表示されているノードは,基になっているノードです。

(3) ノードの種別と操作ログの種別との対応

各ノードに表示される種別と,各連携製品で出力している操作ログの種別との対応を,次の表に示します。ノードの種別には,[ファイル操作トレース]ダイアログの起点ノード以外に表示される種別を()で示します。各製品の操作ログの種別は,各ノードの詳細情報から参照できます。

表2-8 ノードの種別と操作ログの種別との対応

ノードの種別各製品の操作ログの種別出力元製品
コピー(コピー)ファイルコピーJP1/NETM/DM
コピー(CPY)複製ファイル取得機能のコピー操作JP1/秘文
名称変更・移動(移動)ファイル移動JP1/NETM/DM
名称変更・移動(名称変更)ファイルリネーム
名称変更・移動(REN)
  • フォルダ・ファイルの名称を変更する
  • 同一ドライブ内で移動する
  • 共有機密フォルダを移動する
JP1/秘文
ファイルの別名保存JP1/秘文 CG Pro
削除(削除)ファイル削除JP1/NETM/DM
削除(DEL)ファイルを削除するJP1/秘文
ファイルの削除JP1/秘文 CG Pro
作成(作成)ファイル作成JP1/NETM/DM
作成(CFL)ファイルを開く・作成するJP1/秘文
ファイルの新規作成JP1/秘文 CG Pro
開く(開く)ファイルオープンJP1/NETM/DM
開く(OPN)ファイルを開くJP1/秘文
JP1/秘文 CG Pro
開く(WRI)ファイルを開く・書き込みモードで開くJP1/秘文
ファイルに書き込みJP1/秘文 CG Pro
CDライティング(MED)ライティングソフト起動JP1/秘文
メディアに書き込み(MED)メディアに書き込みJP1/秘文 CG Pro
組織外持ち出し(VFO)秘文持ち出し(組織外)JP1/秘文
平文持ち出し(VFP)秘文持ち出し(平文)
機密ファイル作成(ARC)秘文機密ファイル作成
復号(DEC)復号JP1/秘文 CG Pro
暗号化(ENC)暗号化
JP1/秘文 CG Proへの持ち出し(EXP)JP1/秘文 AE CopyGuard Professionalへの持ち出し
JP1/秘文 CG Proからの持ち込み(IMP)JP1/秘文 AE CopyGuard Professionalからの持ち込み