JP1/NETM/DM 導入・設計ガイド(Windows(R)用)
クライアントで操作したソフトウェアなどの操作履歴,および抑止履歴を取得します。
操作履歴および抑止履歴を取得したい場合は,取得するイベントを稼働監視ポリシーに設定する必要があります。操作履歴および抑止履歴として取得できるイベントの種類を次の表に示します。
表2-26 操作履歴および抑止履歴を取得できるイベントの種類
イベント |
操作対象 |
説明 |
プロセスの起動 |
ソフトウェア |
プログラムの起動時のイベント |
プロセスの停止 |
プログラムの停止時のイベント |
キャプションの変更※1※2※3 |
ウィンドウタイトルの変更時のイベント |
アクティブウィンドウの変更※1※3 |
アクティブウィンドウの切り替え時のイベント |
マシンの起動/停止 |
PCの起動または停止時のイベント |
ログオン/ログオフ※4 |
ログオンまたはログオフ時のイベント |
Webアクセス※3 |
Microsoft Internet ExplorerでのWebページのダウンロード終了時のイベント |
ソフトウェアの起動抑止 |
ソフトウェアの起動抑止時のイベント |
印刷操作※3※5 |
ソフトウェアからの印刷実行時のイベント |
印刷抑止※3 |
ソフトウェアからの印刷抑止時のイベント |
外部メディア操作 |
外部メディア |
外部メディアの接続および切断時のイベント(バージョンが08-50から09-10までクライアントから取得できる) |
デバイス操作 |
各種デバイスの接続および切断時のイベント(バージョンが09-12以降のクライアントから取得できる) |
USB接続メディアの接続許可 |
USB接続メディアの接続許可時のイベント(バージョンが08-50から09-10までクライアントから取得できる) |
USB接続メディアの接続抑止 |
USB接続メディアの接続抑止時のイベント(バージョンが08-50から09-10までクライアントから取得できる) |
デバイスの接続許可 |
各種デバイスの接続許可時のイベント(バージョンが09-12以降のクライアントから取得できる) |
デバイスの接続抑止 |
各種デバイスの接続抑止時のイベント(バージョンが09-12以降のクライアントから取得できる) |
ファイル操作※3 |
ファイル |
Windowsのエクスプローラ上でのファイル操作のイベント |
- 注※1
- クライアントのOSがWindows 8,Windows Server 2012,Windows 7,Windows Server 2008またはWindows Vistaの場合,ユーザ権限が昇格されたプロセスのキャプションおよびアクティブウィンドウの変更イベントを取得できません。
- 注※2
- JavaやVisual Basicで作成されたソフトウェアは,キャプションの変更イベントを取得できない場合があります。
- 注※3
- ログオン時のタイミングによって,ログオンユーザ名が「SYSTEM」になる場合があります。
- 注※4
- クライアントのOSがWindows 8,Windows Server 2012,Windows 7,Windows Server 2008またはWindows Vistaの場合,ログオフの操作履歴を取得するためには,「Terminal Services」サービスを停止しないでください。
- 注※5
- 仮想プリンタの場合,印刷抑止ログが出力されていても,印刷を抑止できていないことがあります。
次から,取得する情報の詳細について説明します。
- <この項の構成>
- (1) ソフトウェアの操作履歴および抑止履歴として取得する情報
- (2) Webアクセスの履歴として取得する情報
- (3) 印刷操作および印刷抑止の履歴として取得する情報
- (4) 外部メディア操作の履歴として取得する情報
- (5) USB接続メディアの接続許可履歴および接続抑止履歴として取得される情報
- (6) デバイスの接続,切断,接続許可,および接続抑止の履歴として取得する情報
- (7) ファイルの操作履歴として取得する情報
- (8) 操作履歴格納ディレクトリの指定方法
(1) ソフトウェアの操作履歴および抑止履歴として取得する情報
ソフトウェアの操作履歴および抑止履歴として取得する情報について説明します。
(a) ソフトウェアの操作履歴として取得する情報
ソフトウェアの操作履歴は,発生したイベントによって取得する情報が異なります。取得する情報を次の表に示します。なお,取得する情報の詳細については,マニュアル「運用ガイド1」の「6.5.3 操作履歴として表示される項目」を参照してください。
表2-27 ソフトウェアの操作履歴として取得する情報
イベント |
日時 |
種別 |
ログオンユーザ |
ウィンドウタイトル |
プログラム名 |
ファイルバージョン |
アカウント |
プロセスの起動 |
○ |
○ |
○ |
× |
○ |
○ |
○ |
プロセスの停止 |
○ |
○ |
○ |
× |
○ |
○ |
○ |
キャプションの変更 |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
アクティブウィンドウの変更 |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
マシンの起動/停止 |
○ |
○ |
× |
× |
× |
× |
× |
ログオン/ログオフ |
○ |
○ |
○ |
× |
× |
× |
× |
(凡例)○:取得する ×:取得しない
(b) ソフトウェアの起動抑止履歴として取得する情報
ソフトウェアの起動抑止履歴として取得する情報を次に示します。なお,取得する情報の詳細については,マニュアル「運用ガイド1」の「6.5.1 ソフトウェア起動抑止の抑止履歴の参照」を参照してください。
- 日時
- プログラム名
- ファイルバージョン
- ファイルの言語
- ソフトウェア名称
- 製品のバージョン
- アカウント
- ログオンユーザ
(2) Webアクセスの履歴として取得する情報
Webアクセスの履歴として取得する情報を次に示します。
- 実行日時
Webアクセスを実行した日時です。
- 種別
「Webアクセス」です。
- タイトル
アクセス先のWebページのタイトルです。
- URL
アクセス先のWebページのURLです。
- ログオンユーザ
Windowsへのログオンユーザです。
Webアクセスの履歴を取得する場合の注意事項
- Webアクセスの履歴は,データが大量になるおそれがあります。そのため,頻繁に業務で使用するWebページの履歴が取得されないように,フィルタリング条件を設定してください。
- Webページ上の画像の情報は取得できません。
- インラインフレームからのWebアクセスの場合,アクセス先の情報が取得できない場合があります。
- 1秒以内に複数回のWebアクセスが実行された場合,Webアクセスの履歴が取得できないことがあります。
- Microsoft Internet Explorerが複数同時に起動した場合,Webアクセスの履歴が取得できないことがあります。
- Windowsへのログオン直後,または稼働監視ポリシーの適用直後にMicrosoft Internet Explorerを起動した場合,Webアクセスの履歴が取得できないことがあります。
- フレーム分割されているWebページまたはファイルにアクセスした場合,フレームの数(ページを構成するために生じたWebアクセス数)だけ履歴が取得されます。この場合の履歴のタイトルおよびURLは,メインウィンドウのタイトルおよびURLとなります。
- ファイルやフォルダをMicrosoft Internet Explorerで開いた場合も,Webアクセスの履歴が取得されます。
- Webアクセスで,通信エラー,アクセスしたURLが存在しないなどの要因で接続エラーとなった場合でも,Webアクセスの履歴が取得されることがあります。
(3) 印刷操作および印刷抑止の履歴として取得する情報
印刷操作および印刷抑止の履歴は,発生したイベントによって取得する情報が異なります。印刷操作および印刷抑止の履歴として取得する情報を次の表に示します。
表2-28 印刷操作および印刷抑止の履歴として取得する情報
イベント |
実行日時 |
種別 |
ドキュメント名 |
ログオンユーザ |
使用プリンタ名 |
結果 |
印刷 |
○ |
○ |
○ |
○ |
○ |
× |
印刷抑止 |
○ |
○ |
○ |
○ |
○ |
× |
印刷抑止解除 |
○ |
○ |
× |
○ |
× |
○ |
(凡例)○:取得する ×:取得しない
- 実行日時
印刷,印刷の抑止,または印刷抑止の解除の実行日時です。
- 種別
「印刷」,「印刷抑止」または「印刷抑止解除」です。
- ドキュメント名
印刷,または印刷抑止の対象ドキュメントの名称です。
- ログオンユーザ
Windowsへのログオンユーザです。
仮想化環境の場合は,イベントやログオンユーザ数によって異なります。
- 「印刷」および「印刷抑止」イベントの場合
ログオンユーザ数が1ユーザの場合は,印刷したユーザのユーザ名を取得します。
2ユーザ以上の場合でローカルプリンタを使用したときは,印刷したユーザのユーザ名を取得します。また,ログオンユーザとは別のユーザアカウントでソフトウェアを起動して印刷を実行すると,印刷を実行したユーザのユーザ名を取得します。
ネットワークプリンタを使用したときは,「[Network Printer]」となります。
- 「印刷抑止解除」イベントの場合
印刷抑止を解除したユーザを取得します。
- 使用プリンタ名
印刷操作で使用したプリンタの名称です。この名称は,印刷を実行するPCで設定したプリンタの名称です。そのため,ユーザが変更している場合,プリンタの製品名とは異なる場合があります。
- 結果
「成功」または「失敗」です。
なお,印刷抑止の履歴は,印刷操作が抑止された場合に取得されます。印刷操作を抑止できるプリンタ種別については,「2.5.4(2) 印刷を抑止できるプリンタ種別」を参照してください。印刷操作の履歴が取得できるプリンタ種別を次の表に示します。
表2-29 印刷操作の履歴が取得できるプリンタ種別
プリンタ種別 |
使用するポート |
印刷操作の履歴の取得 |
ローカルプリンタ |
LPTポート |
○ |
ローカルポート |
○ |
USBポート |
○ |
Fileポート |
○ |
TCP/IPポート |
○ |
LAN Managerポート |
× |
ネットワーク共有プリンタ,またはほかのPCに接続されているプリンタ |
− |
○ |
インターネットプリンタ |
− |
× |
仮想プリンタ |
− |
○ |
- (凡例)
- ○:使用できる
- ×:使用できない
- −:該当しない
ネットワーク共有プリンタの場合の前提条件
- Windows Vista以降のOSのクライアント,または「Microsoftネットワーク用ファイルとプリンタ共有」をインストールしていないクライアントが存在する場合
- 稼働監視ポリシーを作成する際に,印刷操作のログ取得および抑止の設定が必要です。印刷操作のログ取得および抑止の設定の詳細については,マニュアル「運用ガイド1」の「6.2.9 印刷操作のログ取得および抑止の設定」を参照してください。
- 印刷操作の履歴を取得する場合,クライアントPCでWMIが起動している必要があります。
- ネットワーク共有プリンタのプリンタ名を半角文字で設定する場合,199文字以下で設定する必要があります。全角文字を含む場合は,200文字以上でも設定できます。
- Windows Vista以降のOSのクライアント,または「Microsoftネットワーク用ファイルとプリンタ共有」をインストールしていないクライアントが存在しない場合
稼働監視ポリシーを作成する際に,印刷操作のログ取得および抑止の設定を確認してください。印刷操作のログ取得および抑止の設定の詳細については,マニュアル「運用ガイド1」の「6.2.9 印刷操作のログ取得および抑止の設定」を参照してください。
- 印刷操作の履歴を取得する場合,プリンタサーバおよびクライアントPC間でRPCで通信します。RPCで通信できないとき,次に示す原因が考えられます。
・プリンタサーバのOSがWindows 95,Windows 98,Windows Meである
・プリンタサーバのOSがWindows以外である
・プリンタサーバがInetrnet Printing Protocol(IPP)サーバである
・プリンタサーバとクライアントPCの間にファイアウォールまたはプロキシがある
・クライアントPCがNATの配下にある
・プリンタサーバで,クライアントPCの名前を解決できない
・クライアントPCのWindowsファイアウォールが有効で,かつ「ファイルとプリンタの共有」が「例外」に設定されていない
印刷操作および印刷抑止の履歴を取得する場合の注意事項
- 次の場合,印刷は実行されませんが,印刷操作および印刷抑止の履歴が取得されることがあります。
- Windowsが印刷ジョブとして認識していない場合
- プリンタのインストール過程でテスト印刷する場合
- ソフトウェアの稼働状況の監視機能が起動する前に印刷が実行された場合
- 印刷を実行した直後に印刷をキャンセルした場合
- 印刷ジョブがネットワーク共有プリンタのプリントキューに存在している場合
印刷操作を抑止する稼働監視ポリシーを適用すると,その印刷ジョブは抑止され,印刷操作の抑止履歴が取得されることがあります。
- 印刷操作が配布管理システムに通知される前に印刷ジョブが完了した場合
印刷操作の履歴は取得できません。
- 印刷操作が配布管理システムに通知される前に印刷ジョブをキャンセルした場合
印刷操作の履歴は取得できません。
- Windowsのフォルダオプションで,「登録されている拡張子は表示しない」が有効の場合
ドキュメント名に拡張子は表示されません。これは,Windowsで印刷キューが表示されるウィンドウの表示内容と同じです。
- 一つの印刷操作が複数の印刷ジョブとして処理される場合
複数の印刷操作の履歴が取得されます。
- 特定のアプリケーションで印刷した場合
文書名ではなくアプリケーション名が表示されることがあります。これは,Windowsで印刷キューが表示されるウィンドウの表示内容と同じです。
- ネットワーク共有プリンタを使用している環境で,プリンタサーバで印刷を抑止している場合
クライアントPCで印刷抑止を解除しても印刷できませんが,クライアントPCで印刷操作の履歴が取得されます。
- ネットワーク共有プリンタを使用していて,Windows Vista以降のOSのクライアント,または「Microsoftネットワーク用ファイルとプリンタ共有」をインストールしていないクライアントが存在する場合
- 稼働監視ポリシーを作成する際に,印刷操作のログ取得および抑止の設定が必要です。印刷操作のログ取得および抑止の設定の詳細については,マニュアル「運用ガイド1」の「6.2.9 印刷操作のログ取得および抑止の設定」を参照してください。
- 印刷ジョブがネットワーク共有プリンタの印刷キューに存在している場合,稼働監視ポリシーを適用すると,印刷ジョブが通知され,印刷操作の履歴が取得されることがあります。
- Windows Vista以降のOSのクライアント,または「Microsoftネットワーク用ファイルとプリンタ共有」をインストールしていないクライアントが存在しない場合
- 稼働監視ポリシーを作成する際に,印刷操作のログ取得および抑止の設定を確認してください。印刷操作のログ取得および抑止の設定の詳細については,マニュアル「運用ガイド1」の「6.2.9 印刷操作のログ取得および抑止の設定」を参照してください。
- 仮想化環境にログオンしている複数のユーザが,同一ファイル名のファイルを同一プリンタから同時に印刷した場合
印刷操作の履歴が一つしか取得されないことがあります。
- 仮想化環境にログオンしているユーザが印刷操作した場合
操作のタイミングによっては,同じ履歴が複数取得されることがあります。
(4) 外部メディア操作の履歴として取得する情報
外部メディア操作の履歴として取得する情報を次に示します。
- 操作日時
外部メディアを接続または切断した日時です。
- 種別
「接続」または「切断」です。
- ログオンユーザ
Windowsへのログオンユーザです。
仮想化環境の場合は,コンソールセッションでログオンしているユーザの有無によって異なります。
- コンソールセッションでログオンしているユーザが存在する場合
コンソールセッションでログオンしているユーザです。
- コンソールセッションでログオンしているユーザが存在しない場合
ログオンユーザは取得されません。
- 外部メディア種別
外部メディアの種別(「Local disk」,「Removable」,「CDROM」または「その他(取得失敗)」)です。
- 外部メディア ドライブ名
外部メディアを接続または切断したドライブ名です。
外部メディア操作の履歴を取得する場合の注意事項
- クライアントPCのOSがWindows 7,Windows Server 2008またはWindows Vistaの場合,USB接続のCD/DVDドライブの操作および内蔵CD/DVDドライブの操作の履歴は取得できません。
- Windowsの設定で,CD/DVDの自動再生機能が無効に設定されている場合,USB接続のCD/DVDドライブの操作および内蔵CD/DVDドライブの操作の履歴が取得できません。
- 外部メディアをクライアントPCから取り外したときに,該当するドライブが存在しない状態になるため,外部メディア種別に「その他(取得失敗)」と出力されることがあります。
- 外部メディア操作の履歴は,Windowsから通知される情報を基に操作ログが出力されます。そのため,次のような通知情報がWindowsから通知された場合,通知された情報が外部メディア操作の履歴として出力されます。
- シリアルナンバーがサポートされているUSB接続メディアをクライアントPCに接続した場合,前回接続時のドライブ名(ドライブレター)がUSB接続メディアに割り当てられます。この場合,ドライブ名の重複によって接続が失敗すると,前回接続時のドライブ名でログ情報が通知されます。
- マルチスロットのメモリーカードなど,接続することによって複数のドライブが割り当てられる機器を接続した場合は,ドライブごとに複数の接続ログ情報がWindowsから通知されます。しかし,同じ機器を切断(取り外し)した場合には,1ドライブの切断ログ情報だけがWindowsから通知されることがあります。
- 接続する外部メディアがクライアントPCに初めて接続されるメディアの場合,1回の接続で,複数の接続および切断(取り外し)のログ情報がWindowsから通知されることがあります。
- クライアントPCのOSがWindows Meの場合,USB接続CD/DVDドライブを切断(取り外し)した場合は,Windowsから複数の切断ログ情報が通知されることがあります。
- クライアントPCのOSがWindows XPの場合,CD/DVDがセットされた状態でUSB接続のCD/DVDドライブを接続すると,Windowsから複数の履歴が通知されることがあります。
- クライアントPCのOSがWindows NT 4.0の場合は,外部メディア操作の履歴取得の対象外ですが,CD/DVDドライブの操作の履歴が通知されることがあります。
- USB接続メディアの操作を抑止した場合,操作履歴を取得する設定にしていても,USB接続メディア内のファイルの操作については履歴が取得されないことがあります。
(5) USB接続メディアの接続許可履歴および接続抑止履歴として取得される情報
USB接続メディアの接続許可および接続抑止の履歴は,発生したイベントによって取得する情報が異なります。取得する情報を次の表に示します。
表2-30 USB接続メディアの接続許可および接続抑止の履歴として取得する情報
イベント |
種別 |
操作日時 |
接続名 |
デバイスインスタンスID-DD |
デバイスインスタンスID-USB |
許可条件 |
ログオンユーザ |
USB接続メディアの接続許可 |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
USB接続メディアの接続抑止 |
○ |
○ |
○ |
○ |
○ |
× |
○ |
(凡例)○:取得する ×:取得しない
- 種別
「接続許可」または「接続抑止」です。
- 操作日時
接続を許可したUSB接続メディア,または接続を抑止したUSB接続メディアを操作した日時が,次に示す形式で取得されます。
YYYYMMDDhhmmss
- 接続名
USB接続メディアの接続名です。
- デバイスインスタンスID-DD
USB接続メディアのディスクドライブでのデバイスインスタンスIDです。このデバイスインスタンスIDは,デバイスマネージャのディスクドライブの配下に存在します。
- デバイスインスタンスID-USB
USB接続メディアのUSBコントローラでのデバイスインスタンスIDです。このデバイスインスタンスIDは,デバイスマネージャのUSBコントローラの配下に存在します。
- 許可条件
稼働監視ポリシーに設定したUSB接続メディアの許可条件が,次に示す形式で取得されます。
許可条件:種別_一致条件_条件文字列
取得される各項目について説明します。
- 「種別」として取得される情報を次の表に示します。
表2-31 「種別」として取得される情報
種別 |
説明 |
DevID-DD |
ディスクドライブのデバイスインスタンスID |
DevID-USB |
USBコントローラのデバイスインスタンスID |
FriendlyName |
接続名 |
- 「一致条件」として取得される情報を次の表に示します。
表2-32 「一致条件」として取得される情報
一致条件 |
説明 |
Full |
完全一致 |
Pre |
前方一致 |
Post |
後方一致 |
Middle |
中間一致 |
PreAndPost |
前方一致かつ後方一致 |
- 「条件文字列」は,稼働監視ポリシーに設定した条件の文字列です。
ディスクドライブでのデバイスインスタンスIDが条件文字列「ABC」と前方一致する場合の取得例を次に示します。
許可条件:DevID-DD_Pre_ABC
- ログオンユーザ
対象のUSB接続メディアを操作したユーザのログオンユーザ名です。ただし,仮想化環境で,コンソールセッションでログオンしていない場合,ログオンユーザ名は取得されません。
仮想化環境の場合は,ログオン先によって取得するログオンユーザが異なります。
- コンソールセッションでログオンしている場合
コンソールセッションのユーザ名です。
- コンソールセッションでログオンしていない場合
ログオンユーザ名は取得されません。
USB接続メディアの接続許可および接続抑止の履歴を取得する場合の注意事項
次に示す場合,USB接続メディアの接続許可や接続抑止の履歴が取得できないことがあります。
- 「種別」および「操作日時」が取得できなかった場合
USB接続メディアの接続許可および接続抑止の履歴は取得されません。
- 「接続名」,「デバイスインスタンスID-DD」,「デバイスインスタンスID-USB」,または「許可条件」のうち,一つも取得できなかった場合
USB接続メディアの接続許可の履歴は取得されません。
- 「接続名」,「デバイスインスタンスID-DD」,または「デバイスインスタンスID-USB」のうち,一つも取得できなかった場合
USB接続メディアの接続抑止の履歴は取得されません。
(6) デバイスの接続,切断,接続許可,および接続抑止の履歴として取得する情報
各種デバイスの接続,切断,接続許可,および接続抑止の履歴は,発生したイベントによって取得する情報が異なります。取得する情報を次の表に示します。
表2-33 デバイスの接続,切断,接続許可,および接続抑止の履歴として取得する情報
取得項目 |
デバイスの接続 |
デバイスの切断 |
デバイスの接続許可 |
デバイスの接続抑止 |
種別 |
○ |
○ |
○ |
○ |
実行日時 |
○ |
○ |
○ |
○ |
デバイス種別 |
○ |
○ |
○ |
○ |
ドライブ種別 |
○ |
○ |
○ |
× |
ドライブレター |
○ |
○ |
○ |
× |
接続名 |
○ |
○ |
○ |
○ |
種別のデバイスインスタンスID |
○ |
○ |
○ |
○ |
コントローラのデバイスインスタンスID |
○ |
○ |
○ |
○ |
許可条件 |
× |
× |
○ |
× |
ユーザ名 |
○ |
○ |
○ |
○ |
(凡例)○:取得する ×:取得しない
- 種別
「接続」,「切断」,「接続許可」,「接続抑止」です。
- 実行日時
デバイスを接続,切断,接続許可,または接続抑止した日時です。
- デバイス種別
デバイス種別として取得される情報を次の表に示します。
表2-34 「デバイス種別」として取得される情報
デバイス種別 |
説明 |
USBストレージデバイス |
USB接続のストレージデバイス |
内蔵CD/DVD |
内蔵CD/DVDドライブ |
内蔵FD |
内蔵FDドライブ |
IEEE1394 |
IEEE1394接続デバイス |
内蔵SDカード |
内蔵SDカードドライブ |
Bluetooth |
内蔵またはUSB接続Bluetoothデバイス |
イメージングデバイス |
内蔵またはUSB接続イメージングデバイス |
不明 |
デバイスの種別が不明 |
- ドライブ種別
デバイスのドライブ種別(「Local disk」,「Removable」,「CDROM」または「その他」)です。
- ドライブレター
デバイスのドライブ名です。
- 接続名
デバイスの接続名です。
- 種別のデバイスインスタンスID
デバイスの種別(ディスクドライブやDVD/CD-ROMドライブなど)配下のデバイスインスタンスIDです。
- コントローラのデバイスインスタンスID
デバイスコントローラ配下のデバイスインスタンスIDです。
- 許可条件
稼働監視ポリシーに設定したデバイスの許可条件が,次に示す形式で取得されます。
許可条件:条件種別_一致条件_条件文字列
取得される各項目について説明します。
ディスクドライブでのデバイスインスタンスIDが条件文字列「ABC」と前方一致する場合の取得例を次に示します。
許可条件:DevID-Class_Pre_ABC
- ユーザ名
Windowsへのログオンユーザです。
仮想化環境の場合は,コンソールセッションに接続しているかどうかで取得するユーザ名が異なります。
- コンソールセッションに接続している場合
コンソールセッションのユーザ名です。
- コンソールセッションに接続していない場合
ユーザ名は取得されません。
デバイス操作の履歴を取得する場合の注意事項
- 「デバイス種別」が「内蔵CD/DVD」,「内蔵FD」,「IEEE1394」,および「内蔵SD」の場合,デバイスの接続許可の履歴は取得されません。
- 「種別」および「実行日時」が取得できなかった場合,デバイスの接続許可,接続抑止,接続,および切断の履歴は取得されません。
- 「接続名」,「種別のデバイスインスタンスID」,「コントローラのデバイスインスタンスID」,または「許可条件」のうち,一つも取得できなかった場合,デバイスの接続許可の履歴は取得されません。
- 「接続名」,「種別のデバイスインスタンスID」,または「コントローラのデバイスインスタンスID」のうち,一つも取得できなかった場合,デバイスの接続抑止の履歴は取得されません。
- 切断の履歴は,タイミングによって次に示す項目が取得できないことがあります。
- 「デバイス種別」
- 「ドライブ種別」
- 「ドライブレター」
- 「接続名」
- 「種別のデバイスインスタンスID」
- 「コントローラのデバイスインスタンスID」
- 切断およびデバイスが抑止されている状況で取得した接続の履歴は,デバイスが切断されているため履歴情報が取得できないことがあります。その場合,「ドライブ種別」は「その他」になります。
- クライアントPCの起動直後など,稼働監視が開始される前に接続されたデバイスの履歴(デバイスの接続,デバイスの切断)は取得されません。
また,稼働監視開始後の監視履歴は正常に取得されます。
- 「デバイス種別」が「内蔵FD」の場合,「ドライブ種別」は「その他」になります。また,「ドライブレター」は取得されません。
- 内蔵CD/DVDドライブまたはUSB接続のCD/DVDドライブで次の操作をした場合は,接続または切断の履歴が取得されないことがあります。
- CDまたはDVDメディアの挿入
- CDまたはDVDメディアの取り出し
- クライアントPCのOSがWindows Vista,Windows Server 2008,Windows 7,Windows Server 2012,およびWindows 8の場合,内蔵CD/DVDドライブおよびUSB接続のCD/DVDドライブの操作履歴は取得できません。
- FDやSDカードを挿入した場合は,接続または切断の履歴は取得されません。
- 複数のデバイスインスタンスIDが設定されたデバイスが接続された場合,一つのデバイスに対して複数の操作履歴が取得されます。ただし,切断の履歴は一つだけ取得されます。
- クライアントPCに,初めてデバイスが接続された場合,デバイスドライバがインストールされることがあります。このとき,複数の操作履歴が取得されることがあります。
- 操作を抑止する稼働監視ポリシーを有効にするためにクライアントPCを再起動する必要がある場合でも,稼働監視ポリシーを設定した時点で接続抑止の履歴が取得されます。
- JP1/NEM/DM以外の製品によってデバイスの設定が変更されて,デバイスの接続や切断が検知された場合でも,デバイスの操作履歴が取得されます。
- USB接続の場合でも,USBストレージデバイス,Bluetoothデバイス,またはイメージングデバイスとして認識されないデバイスの操作履歴は取得できません。
- CDまたはDVDが挿入された状態のCD/DVDドライブをクライアントPCに接続した場合,接続の履歴が複数取得されることがあります。
- 操作を抑止する稼働監視ポリシーを有効にするためにクライアントPCを再起動した場合,デバイスの切断の履歴が取得されないことがあります。
- すでに接続されているデバイスに対して操作を抑止する稼働監視ポリシーを設定した場合,それとは別のデバイスをクライアントPCに接続ときに,抑止対象のデバイスの操作履歴が取得されることがあります。
(7) ファイルの操作履歴として取得する情報
「ファイル操作」のイベントは,ファイルまたはフォルダに対して次に示す操作を実行したときに発生します。なお,取得する情報の詳細については,マニュアル「運用ガイド1」の「6.5.3 操作履歴として表示される項目」を参照してください。
- コピー
- 移動
- 名前の変更
- 削除
- 作成
- ファイルを開く
これらの操作は,それぞれで操作履歴として取得する情報が異なります。取得する情報を次の表に示します。
表2-37 ファイルの操作履歴として取得する情報
操作 |
日時 |
種別 |
ログオンユーザ |
ドライブ種別 |
ファイル名 |
変更後ドライブ種別 |
変更後ファイル名 |
プログラム名 |
アカウント |
コピー |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
移動 |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
○ |
名前の変更 |
○ |
○ |
○ |
○ |
○ |
× |
○ |
○ |
○ |
削除 |
○ |
○ |
○ |
○ |
○ |
× |
× |
○ |
○ |
作成 |
○ |
○ |
○ |
○ |
○ |
× |
× |
○ |
○ |
ファイルを開く※ |
○ |
○ |
○ |
○ |
○ |
× |
× |
○ |
○ |
- (凡例)○:取得する ×:取得しない
- 注※ クライアントPCのOSが次に示すどれかの場合,「ファイルを開く」の操作履歴は取得できません。
- Windows 8
- Windows Server 2012
- Windows 7
- Windows Server 2008
- Windows Vista
(a) ファイルの操作履歴を取得する場合の注意事項
ファイルの操作履歴を取得するときは,次の点に注意してください。
- フォルダをコピー,移動,または削除した場合,そのフォルダ以下のすべてのファイルおよびサブフォルダについても履歴が取得されます。
また,フォルダ名を変更した場合は,そのフォルダ以下のファイルおよびフォルダのパスが変更されますが,履歴は取得されません。
- ファイルまたはフォルダの操作後に[元に戻す]メニューまたは[Ctrl]+[Z]キーでUndo操作を行った場合は,次に示す操作履歴が取得されます。
Undo前の操作 |
Undo操作時に取得される操作履歴 |
コピー |
コピーしたファイルまたはフォルダの削除 |
移動 |
移動したファイルまたはフォルダの,元の位置への移動 |
名前の変更 |
元のファイル名またはフォルダ名への名前の変更 |
削除 |
削除したファイルまたはフォルダの,元の位置への移動 |
- コピー操作時に,上書きを確認するダイアログでコピーをキャンセルした場合,コピー元のファイルの更新日付とコピー先フォルダにある同名のファイルの更新日付が同じときは,コピーとして履歴が取得されます。
- 同じファイルまたはフォルダを連続してコピーすると,コピー操作ではなく作成操作として履歴が取得されることがあります。
- Windowsの「ごみ箱」への移動操作は,ファイルまたはフォルダの移動ではなく,ファイルまたはフォルダの削除として履歴が取得されます。
- Windowsの「ごみ箱」からファイルまたはフォルダを削除した場合,取得されるファイル名またはフォルダ名が,削除前の名称と異なるときがあります。
- ファイルを複数選択して削除した場合,ファイルの削除の履歴が取得できないときがあります。
- 「圧縮(zip形式)フォルダ」に対しての操作履歴の取得には対応していません。ただし,一部の操作の履歴が取得されることがあります。
- ファイル移動時に移動先のファイルを上書きした場合,またはファイル移動のUndo操作をした場合に,ファイル移動の履歴に加えて,移動元のファイルを削除した履歴が余分に取得されることがあります。
- 多数のファイルまたはフォルダを上書きコピーまたは移動した場合,履歴が取得されないことがあります。
- USB接続メディア操作の抑止を設定した稼働監視ポリシーを適用している場合,USB接続メディア内のファイルの操作については履歴が取得されないことがあります。
- 稼働監視を開始した直後は,一部のファイル操作が取得できない,または出力が不正となる場合があります。この場合,クライアントで再起動またはログオフを実施してください。稼働監視を開始する操作については,マニュアル「運用ガイド1」の「6. ソフトウェアの稼働状況を監視する」を参照してください。
- 仮想化環境でファイルを操作しているユーザが複数存在する場合,あるユーザがファイルを操作すると,そのファイルをエクスプローラーで表示しているすべてのユーザについても同じファイルに同じ操作をしたとみなされて,履歴が取得されることがあります。
(b) OSがWindows 8,Windows Server 2012,Windows 7,Windows Server 2008またはWindows Vistaのクライアントからファイルの操作履歴を取得する場合の注意事項
OSがWindows 8,Windows Server 2012,Windows 7,Windows Server 2008またはWindows Vistaのクライアントからファイルの操作履歴を取得する場合,(a)で説明した注意事項に加えて,次の注意事項があります。
- OSがWindows 8,Windows Server 2012,Windows 7,Windows Server 2008またはWindows Vistaのクライアントでは,アプリケーションやコマンドプロンプトからファイルまたはフォルダが操作された場合,一部の操作が履歴として取得されることがあります。
- ファイルのシャドウコピーおよびバックアップからの復元に対しての操作履歴の取得には対応していません。ただし,一部の操作の履歴が取得されることがあります。
- OSがWindows 8,Windows Server 2012,Windows 7,Windows Server 2008またはWindows Vistaのクライアントから取得したファイルの操作履歴を,リモートインストールマネージャまたは「Asset Information Manager Limited」から参照する場合,バージョンが08-11以降のJP1/NETM/DM Managerを使用してください。08-10以前のJP1/NETM/DM Managerでは,履歴が正しく表示されないことがあります。
- ファイル操作履歴の取得機能を使用している場合に,smcusapp.exeのメモリ使用量が増加した状態が続くことがありますが,動作には影響ありません。
また,履歴を取得できる操作ごとの注意事項を次に示します。
- Windows 8のファイル履歴機能で復元を実行した場合,復元されたファイル・フォルダに対するファイル操作履歴が取得される場合があります。
「コピー」の操作履歴を取得する場合の注意事項
- コピー操作によってファイルが上書きされる場合,[ファイルの上書き確認]ダイアログボックスで「コピーするが両方のファイルを保持する」を選択したときは,次の点に注意してください。
- コピー後のファイル名が「コピー前のファイル名(n)」(nは任意の数字)となる履歴が取得されます。
- コピー操作後に,コピー元のファイルを削除すると,ファイルの移動の履歴が余分に出力されることがあります。
- コピー元のファイルの更新日時と,上書きされるファイルの更新日時が同じ場合は,コピー前とコピー後のファイル名が同じとなるコピーの履歴が余分に出力されます。
- 1回のコピー操作で,フォルダの上書きを確認するダイアログが複数回表示される場合,フォルダおよびファイルのコピーの履歴が余分に取得されることがあります。
- 名前に「()」が含まれるファイルまたはフォルダをコピーした場合,正しく履歴が取得できないことがあります。
- 名前に「(n)」(nは任意の数字)が含まれるファイルまたはフォルダを複数選択して上書きコピーした場合,[ファイルの上書き確認]ダイアログボックスで「コピーするが両方のファイルを保持する」を選択すると,正しく履歴が取得できないことがあります。
- 名前に「(n)」(nは任意の数字)が含まれるファイルまたはフォルダを連続してコピーした場合,2回目以降のコピー操作はファイルまたはフォルダの作成として履歴が取得されます。
- Undo操作後に[コピーのやり直し]メニューまたは[Ctrl]+[Y]キーでRedo操作を行った場合,ファイルの操作の履歴は出力されません。フォルダに対するRedo操作は,フォルダのコピーとして履歴が取得されます。
- 複数のファイルまたはフォルダ,または複数のファイルやフォルダが含まれるフォルダを選択してコピーした場合,履歴が取得できないことがあります。
「移動」の操作履歴を取得する場合の注意事項
- 移動操作によってファイルが上書きされる場合,[ファイルの移動]ダイアログボックスで「移動するが両方のファイルを保持する」を選択したときは,移動後のファイル名が「移動前のファイル名(n)」(nは任意の数字)となる履歴が取得されます。また,移動前と移動後のファイル名が同じとなる移動の履歴が余分に出力されます。
- 名前に「(n)」(nは任意の数字)が含まれるファイルまたはフォルダを複数選択して移動した場合,[ファイルの上書き確認]ダイアログボックスで「移動するが両方のファイルを保持する」を選択すると,正しく履歴が取得できないことがあります。
- 移動操作によってフォルダが上書きされる場合,[フォルダの上書きの確認]ダイアログボックスで[はい]ボタンをクリックしてフォルダを統合するときは,次の点に注意してください。
- 移動元と移動先のフォルダに同名のファイルがある場合,フォルダの統合時にはファイルだけが移動し,移動元のフォルダは削除されません。このとき,移動元のフォルダはコピーの履歴が取得されます。
- ファイルの上書き確認時に「移動して置換」を選択した場合,移動元のファイルの更新日時と,上書きされるファイルの更新日時が同じときは,ファイルの移動の履歴ではなく,ファイルのコピーおよび削除として履歴が取得されます。
- ファイルの上書き確認時に「移動するが両方のファイルを保持する」を選択した場合,移動後のファイル名が「移動前のファイル名(n)」(nは任意の数字)となる履歴が取得されます。移動前のファイルと上書きされるファイルの更新日時が同じ場合は,ファイルの移動の履歴に加えて,ファイルのコピーおよび削除の履歴も余分に取得されます。また,移動前のファイルと上書きされるファイルの更新日時が異なる場合は,移動前と移動後のファイル名が同じとなる移動の履歴が余分に出力されます。
- 1回の移動操作で,フォルダの上書きを確認するダイアログが複数回表示される場合,フォルダおよびファイルの移動の履歴が余分に取得されることがあります。
- 名前に「()」が含まれるファイルを移動した場合,正しく履歴が取得できないことがあります。
- ファイルの移動後にUndo操作を行った場合,ファイルの元の位置への移動および削除の履歴として取得されます。フォルダの移動に対してUndo操作を行った場合は,フォルダの移動の履歴だけが取得されます。ファイルまたはフォルダを移動時に上書きした場合,そのあとにUndo操作を行ったときは,上書きされたファイルの削除の履歴だけが出力されます。また,Undo操作後に[移動のやり直し]メニューまたは[Ctrl]+[Y]キーでRedo操作を行った場合は,ファイルの削除として履歴が取得されます。フォルダに対するRedo操作は,フォルダの移動として履歴が取得されます。
- Windowsの「ごみ箱」への移動操作後にUndo操作を行った場合,「ごみ箱」からのファイル削除と復元先へのファイル作成の履歴が取得されます。このとき,「ごみ箱」からのファイル削除の履歴では,ファイル名が正しく取得されません。
- 複数のファイルまたはフォルダ,または複数のファイルやフォルダが含まれるフォルダを選択して移動した場合,履歴が取得できないことがあります。
「名前の変更」の操作履歴を取得する場合の注意事項
- 名前の変更操作によってフォルダが上書きされる場合,[フォルダの上書きの確認]ダイアログボックスで[はい]ボタンをクリックしてフォルダを統合するときは,次の点に注意してください。
- 名前の変更前のフォルダに幾つかのファイルが含まれる場合,統合先のフォルダへのファイル作成と,名前の変更前のファイルの削除の履歴が出力されます。ただし,名前の変更前のフォルダの削除の履歴は取得されません。なお,名前の変更前のフォルダにファイルが含まれない場合,名前の変更後のフォルダのサブフォルダの作成の履歴だけが出力されます。
- 名前の変更前のフォルダと統合先のフォルダに,同名のサブフォルダが存在する場合,サブフォルダの作成の履歴が取得されます。このとき,名前の変更前のフォルダの削除については,履歴が取得されません。
- 名前の変更前のフォルダに複数のファイルまたはサブフォルダが含まれる場合,一部の履歴が取得できないことがあります。
- 名前の変更前のフォルダの,サブフォルダ内に存在するファイルの履歴が取得できないことがあります。
- 複数のファイルまたはフォルダ,または複数のファイルやフォルダが含まれるフォルダを選択して,一括して名前を変更した場合,履歴が取得できないことがあります。
「削除」の操作履歴を取得する場合の注意事項
- ファイルの削除後に,Undo操作,[元に戻す]メニューを選択した場合には,削除したファイルの元の位置へのファイル作成の履歴とWindowsの「ごみ箱」からのファイル削除の履歴が取得されます。ただし,Windowsの「ごみ箱」からのファイル削除の履歴では,ファイル名が正しく取得されません。
- ファイルの削除後にWindowsの「ごみ箱」からファイルを移動したときは,削除したファイルの元の位置への移動として履歴が取得されます。
- 複数のファイルまたはフォルダ,または複数のファイルやフォルダが含まれるフォルダを選択して削除した場合,そのあとにUndo操作,[元に戻す]メニューを選択,またはWindowsの「ごみ箱」からフォルダを移動したときは,履歴が取得できないことがあります。
- ファイルのコピーまたは移動後に,一定時間以内にそのファイルを削除し,その後Undo操作を実行した場合,Windowsの「ごみ箱」からの削除の履歴だけが取得されることがあります。
多数のファイルまたはフォルダの移動時に,ファイルの上書き確認で「移動して置換」,または「移動するが両方のファイルを保持する」を選択した場合,ファイルの移動の履歴ではなく,ファイルのコピーおよび削除,もしくはファイルのコピーとして履歴が取得されることがあります。
(8) 操作履歴格納ディレクトリの指定方法
取得するイベントの選択にも左右されますが,操作履歴はサイズが大きくなります。そのため,JP1/NETM/DM Managerのインストール時には,容量に余裕のあるドライブを,操作履歴を格納するディレクトリ(操作履歴格納ディレクトリ)に指定する必要があります。
また,操作履歴は,操作履歴格納ディレクトリに格納している操作履歴のサイズが指定した値を超えたら,ほかのディレクトリ(操作履歴退避ディレクトリ)に退避できます。
これらの,操作履歴格納ディレクトリおよび操作履歴退避ディレクトリには,ローカルドライブ(クラスタ環境での共有ディスクを含む)だけでなくWindows Powered NASなどのネットワークドライブを指定することもできます。アクセスする頻度の高い操作履歴格納ディレクトリには容量に余裕のあるローカルドライブを,アクセスする頻度の低い操作履歴退避ディレクトリには容量に余裕のあるネットワークドライブを指定することをお勧めします。
ただし,ネットワークドライブを指定する場合は,一つの認証情報でネットワークドライブに接続できる環境が必要です。次に示すすべての権限を持つ認証情報(ユーザIDおよびパスワード)を用意してください。
- JP1/NETM/DMサーバやドメイングループにログインでき,バックアップファイル格納先ディレクトリに対して読み書き権限がある。
- 操作履歴格納ディレクトリに対して読み書き権限がある。
- 操作履歴退避ディレクトリに対して読み書き権限がある。
- ネットワークドライブに対して読み書き権限がある。
また,ネットワークドライブについては,JP1/NETM/DM Managerがインストールされているマシンと同じドメインまたはワークグループのドライブを指定することをお勧めします。それ以外の場合では,認証に時間が掛かるおそれがあります。
All Rights Reserved. Copyright (C) 2009, 2013, Hitachi, Ltd.
Copyright, patent, trademark, and other intellectual property rights related to the "TMEng.dll" file are owned exclusively by Trend Micro Incorporated.