Hitachi

JP1 Version 12 JP1/IT Desktop Management 2 導入・設計ガイド

2.10.2 管理用サーバでの操作ログの管理

オンライン管理のコンピュータから取得された操作ログは、管理用サーバを経由して操作ログの保管先に保管されます。管理用サーバのデータベースに取り込むことにより、セキュリティ画面の[操作ログ]画面から参照できます。

[図データ]

管理用サーバでの操作ログの保存

管理用サーバに取得された操作ログは、操作ログの保管先に保存されます。なお、操作ログの自動取り込みを有効にすると、自動的に操作ログのデータベースに操作ログを取り込めます。保管先フォルダに保存された操作ログは、保管先フォルダからデータベースに取り込んで参照できます。

取り込んだ操作ログをデータベースから削除することで、異なる期間の操作ログをデータベースに取り込み直すこともできます。これによって、過去の操作ログを参照できます。

操作ログを取り込む場合、取り込み済みのデータに設定した範囲の一部が含まれている場合は、すべて上書きされます。

重要

管理用サーバに操作ログが取得されていない場合、[操作ログ]画面は表示されません。

重要

操作ログの保管先を設定していない場合、操作ログの自動取り込みを有効にすると、操作ログは、操作ログのデータベースに自動的に取り込まれますが、操作ログの保管先フォルダには保管されません。この運用の場合、操作ログのデータベースに障害が発生すると回復できないおそれがあるため、保管先を設定しておくことをお勧めします。

重要

操作ログは大容量のデータを格納するため、ディスク容量が不足するおそれがあります。ディスク容量が不足すると、次のような現象が発生する場合があるため、定期的にメンテナンスを実施してください。

  • データベースの閉塞

  • エージェントからのインベントリ、操作ログ等の受信失敗

  • 変更履歴の更新が失敗

  • 操作ログの登録、更新、検索が失敗

  • DBバックアップ・リストア・DB再編成が失敗

ヒント

操作ログの保管先フォルダは長期間にわたって大容量のデータを格納するおそれがあるため、RAID、NASなどのドライブを使用することをお勧めします。

重要

操作ログの保管先フォルダには操作ログのファイル以外のファイルを格納しないでください。

重要

共有型VDIの仮想コンピュータでは、シャットダウンの操作ログはログオフ後に取得します。このため、次の場合には仮想コンピュータの初期化によって操作ログが削除され、取得できません。

  • VMware Horizon Viewの流動方式、Citrix Virtual DesktopsのMCS(Machine Creation Services)のランダム方式、またはCitrix Virtual DesktopsのPVS(Provisioning Services)方式の仮想コンピュータをシャットダウンした場合

  • VMware Horizon Viewの専用方式、またはCitrix Virtual DesktopsのMCS(Machine Creation Services)の静的方式の仮想コンピュータをシャットダウンし、マスタを更新した場合

利用者のコンピュータ側での操作ログの保存

コンピュータが管理用サーバとの接続に失敗した場合などに備えて、利用者のコンピュータ側で一定期間、操作ログを保存できます。操作ログを保存する期間(保持期間)は、セキュリティポリシーで設定できます。管理用サーバに通知されなかった操作ログは、コンピュータ内に一時的に保存され、セキュリティポリシーに設定したタイミングで再度通知されます。

操作ログは大容量のデータになりやすいため、次の計算式を参考にして、必要なディスク容量を算出してから操作ログの保持期間を設定してください。

260 × 保持期間(日) = 必要なディスク容量(キロバイト)

Citrix XenApp、Microsoft RDS環境で操作ログ機能を使用する場合は、さらにログインユーザ数をかけた値になります。

注 操作ログの取得項目やユーザーの操作内容によって、必要なディスク容量は増減します。

重要

管理用サーバとの通信中に処理が中断した場合、次回通信時に再度同じデータが通知されるため、一部の操作ログが重複することがあります。

関連リンク

〈この項の構成〉

(1) 管理用サーバでの操作ログの保管と取り込み

管理用サーバのセットアップで、操作ログを保管するように設定していると、利用者の操作の履歴情報を操作ログとして取得し、操作ログの保管先フォルダに保存できます。

[図データ]

エージェントを導入したコンピュータから、セキュリティポリシーで設定した間隔で操作ログが取得されます。取得された操作ログは、データフォルダに蓄えられ、操作ログの保管先フォルダに保管されます。また、操作ログのデータベースに自動で取り込むことができます。

操作ログのデータベースに取り込まれた操作ログは、セキュリティ画面の[操作ログ]画面から参照できます。過去の操作ログを参照したい場合は、保管した操作ログを操作ログのデータベースに取り込むことで、[操作ログ]画面から参照できるようになります。操作ログのデータベースは、参照不要な場合はデータをクリアできます。

なお、データベースマネージャを使用してデータベースをバックアップしたりリストアしたりしても、操作ログのデータベースはバックアップされたりリストアされたりしません。操作ログのデータは手動でバックアップおよびリストアする必要があります。

重要

管理用サーバのセットアップで操作ログを取得しない設定にしている場合、セキュリティポリシーで操作ログの取得を有効にしても、コンピュータから取得した操作ログは保存されません。

重要

コンピュータから取得した操作ログの操作日時が、西暦2000年より前、または管理用サーバの現在時刻より7日より後の場合は、取得した操作ログは保存されません。

ページの先頭へ

(2) 管理用サーバでの操作ログの保管

コンピュータから取得した操作ログは、データフォルダに蓄えられ、1時間ごとに操作ログの保管先フォルダに保管されます。

保管されるデータ

操作ログのバックアップファイルは、日付単位でフォルダに分けられ、セットアップで設定した[操作ログの保管先フォルダ]に格納されます。日付フォルダの形式は「OPR_DATA2_YYYYMMDD」となります。

保管に必要な容量

次に示す条件で操作ログの保管に必要な容量の算出方法を説明します。

注 条件はすべて目安になります。

操作ログのデータサイズ

1台当たりの操作ログのデータサイズ:2,000(件)×500(バイト)=約1(メガバイト)

10,000台の操作ログのデータサイズ:1(メガバイト)×10,000(台)=10(ギガバイト)

10,000台の1か月(出勤日 20日)当たりの操作ログのデータサイズ:10(ギガバイト)×20(日)=約200(ギガバイト)

バックアップファイルのデータサイズ

1台当たりのバックアップファイルのデータサイズ:1(メガバイト)×6.7%=約67(キロバイト)

10,000台のバックアップファイルのデータサイズ:67(キロバイト)×10,000(台)=約670(メガバイト)

10,000台の1か月(出勤日 20日)当たりのバックアップファイルのデータサイズ:670(メガバイト)×20(日)=13.4(ギガバイト)

このようにして、操作ログとバックアップファイルのデータサイズが計算できます。管理しているコンピュータの数と操作ログの取得期間を考慮して、データベースおよび保管先フォルダ用のドライブの空き容量を確保してください。

空き容量が不足したときのメール通知

保管先の空き容量が不足した場合にメール通知されるように設定できます。メール通知される契機について、次に示します。

保管に失敗した場合

保管先のドライブの容量が不足していたことが原因で保管に失敗した場合、イベント画面に「緊急」のエラーイベントが表示されます。このとき、イベントのメール通知を設定しておくと、自動的に通知先にメールが通知されます。

定期監視で空き容量が不足していた場合

保管先フォルダのドライブの空き容量が不足していた場合、イベント画面にエラーイベントが表示されます。このとき、イベントのメール通知を設定しておくと、自動的に通知先にメールが通知されます。なお、空き容量不足のイベントを出力するしきい値は、コンフィグレーションファイルのプロパティで変更できます。コンフィグレーションファイルのプロパティについては、「付録A.5 プロパティ一覧」を参照してください。

ページの先頭へ

(3) 管理用サーバへの操作ログの取り込み

操作ログのデータベースに操作ログを取り込むと操作ログを参照できます。操作ログの取り込みには、「自動取り込み」と「手動取り込み」があります。

JP1/IT Desktop Managementの操作ログを取り込むこともできます。

ヒント

旧製品(JP1/IT Desktop Management)の操作ログのバックアップファイルが、セットアップで設定した[操作ログの保管先フォルダ]に格納されている場合、[操作ログ一覧]画面上部のタイムチャートのツールチップに「未取り込み(旧製品の操作ログ)」の文字列が表示されます。この場合、件数は表示されません。

ヒント

操作ログのデータベースに取り込める最大日数は管理用サーバのセットアップで設定できます。上限は500日です。

自動取り込み

設定画面の[操作ログの設定]で指定された格納期間に合わせて、自動的に操作ログが取り込まれます。

管理対象のコンピュータ1台につき、1日当たり平均で2,000件の操作ログが発生します。取り込む操作ログが大量になると、システムに負荷が掛かるおそれがあります。操作ログを取得する操作ログを絞ったり、管理対象のコンピュータの台数を減らしたりして、システムに負荷が掛からないように運用することをお勧めします。

システムに負荷を掛けないで運用する目安として、次の算出式を使用してください。

(a) 管理対象のコンピュータの台数(台) × 2,000(件) × 自動取り込みされる操作ログの格納期間(日) × x < 300,000,000

x:取得する操作ログの係数です。次に示す取得する項目の合計値を指定します。

(b) 管理対象のコンピュータの台数(台) × 1日当たりの操作ログ件数 < 60,000,000

注※ 操作ログと秘文ログの総数です。秘文ログの件数は取得する秘文ログの種類や環境により異なるため、1週間から1か月程度運用して算出してください。

コンピュータの起動と停止、ログオンとログオフ、ネットワーク経由のファイル操作、印刷操作などの操作は、取得する操作ログの量が少ないため、計算は不要です。

例えば、管理対象のコンピュータの台数が10,000台で、Webアクセスとウィンドウ操作の操作ログを取得する場合、操作ログの格納期間は次のようになります。

10,000(台) × 2,000(件) × 自動取り込みされる操作ログの格納期間(日) × 0.66 < 300,000,000

自動取り込みされる操作ログの格納期間(日)= 22.7(日)≒ 約1か月(20営業日/月)

手動取り込み

調査したい操作ログが含まれる期間を指定して操作ログを取り込めます。また、対象のコンピュータを指定して取り込むこともできます。

手動取り込みでデータベースに取り込める操作ログの最大日数は、セットアップで設定する[操作ログのデータベース格納最大日数]から設定画面で設定する[自動取り込みされる操作ログの格納期間]を差し引いた値です。

ヒント

セキュリティ画面の[操作ログ]画面のタイムチャート上の日付をマウスオーバーしてツールチップに表示される未取り込み件数への反映に時間がかかることがあります。

重要

操作ログの保管先フォルダに保管されるバックアップファイルは、管理用サーバのタイムゾーンに合わせて保管されます。そのため、管理用サーバとWebブラウザを実行しているコンピュータのタイムゾーンが異なる場合は、操作ログの手動取り込みで指定する日にちも管理用サーバのタイムゾーンに合わせる必要があります。

重要

セキュリティ画面の[操作ログ]画面のタイムチャート上の日付をマウスオーバーしてツールチップに表示されるデータは、管理用サーバが管理している操作ログの状態と件数です。そのため、管理用サーバとWebブラウザを実行しているコンピュータのタイムゾーンが異なる場合は、ツールチップに表示される操作ログの件数と、日付でフィルタした操作ログの件数が異なることがあります。

重要

環境に依存しますが、200台のコンピュータの操作ログを3か月分取り込む場合、2時間以上かかることがあります。取り込み時間を短縮するには、取り込み範囲を短く設定してください。

重要

手動取り込みでデータベースに取り込める操作ログの最大日数以上の操作ログを、1日の間に手動取り込みするには、格納最大日数を「自動取り込み日数」+「1日の間に手動取り込みする日数」に設定する必要があります。

(例)半年分(180日)の操作ログを1日の間に手動取り込みする場合、自動取り込み日数を30日とすると、格納最大日数は210日を設定します。

操作ログのデータベース

操作ログのデータベースは、取り込まれた操作ログの件数分のサイズが拡張されます。管理画面から操作ログを削除した場合でも操作ログのデータベースのサイズは縮小されません。操作ログが削除された場合は、1日1回の操作ログのデータベースのメンテナンス時にデータベース内の空き領域になります。空き領域は操作ログを取り込む際に再利用されます。

操作ログのデータベースのメンテナンスを実施する時間はコンフィグレーションファイルのプロパティで変更できます。コンフィグレーションファイルのプロパティについては、「付録A.5 プロパティ一覧」を参照してください。

ページの先頭へ

(4) 操作ログの定期エクスポート

操作ログをCSV形式で保存したい場合や、他のシステムにインポートしたい場合に、取得した操作ログをCSVファイルでエクスポートできます。設定画面の[操作ログの設定]画面で[操作ログを定期的にエクスポートする]にチェックすると、操作ログの保管先フォルダのexportフォルダに1時間ごとエクスポートできます。CSVファイルの出力情報を次に示します。

CSVファイルの出力先

操作ログの保管先フォルダ¥export

出力ファイル名

oplog_YYYYMMDD_NNN.csv

YYYYMMDD:定期エクスポートを処理した日時を示します。

NNN:001〜999の連番の数を示します。999を超える場合はイベントを出力します。

操作ログの受信順に出力されます。

ファイルサイズ

1ファイルは2ギガバイト以内です。2ギガバイトを超えると、分割されます。

文字コード

UTF-8

出力形式

出力形式については、マニュアル「JP1/IT Desktop Management 2 運用ガイド」のエクスポートした操作ログの出力形式の説明を参照してください。

重要

操作ログの定期エクスポートを有効にすると、出力されるCSVファイルは圧縮されないために、多くのディスク容量を必要とします。必要に応じて、圧縮や他のディスクにバックアップしてください。操作ログの定期エクスポートした場合に必要なディスク容量の目安については、「4.5.3 操作ログの保管先フォルダに必要なディスク容量の目安」を参照してください。

ページの先頭へ

(5) 操作ログのデータベースの追加キャッシュ

操作ログの検索性能を向上させるために、管理用サーバのセットアップでキャッシュを設定できます。管理対象のコンピュータ2,500台あたり、1ギガバイトを設定してください。

ページの先頭へ

(6) 操作ログのデータベースのインデックスの再作成

操作ログの検索性能を維持するために、操作ログのデータベースに対し、次のメンテナンスを1日に1回(01:00から02:00の間)実施します。

重要

管理用サーバを夜間にシャットダウンする運用の場合、操作ログのデータベースのメンテナンスが1日1回実施されるように操作ログのデータベースのメンテナンスを実施する時間を変更してください。

操作ログのデータベースのインデックスの再作成中は操作ログの検索が遅くなることがあります。また、操作ログのエクスポートコマンド(ioutils exportoplog)はインデクスの再作成後に実行してください。

ヒント

部署、設置場所、発生元、ユーザー名などで検索対象の機器を絞り込むと、操作ログの検索時間を短縮できます。

関連リンク

ページの先頭へ

Copyright (C) 2019, 2021, Hitachi, Ltd.

Copyright (C) 2019, 2021, Hitachi Solutions, Ltd.

Copyright, patent, trademark, and other intellectual property rights related to the "TMEng.dll" file are owned exclusively by Trend Micro Incorporated.