2.10 操作ログの管理
セキュリティポリシーに操作ログの取得を設定して、対象のコンピュータにセキュリティポリシーを割り当てると、対象のコンピュータから操作ログを取得できます。
操作ログを取得するためには、対象のコンピュータにエージェントが導入されている必要があります。また、取得した操作ログを管理用サーバに保管する場合、管理用サーバのセットアップで操作ログを取得するように設定されている必要があります。
- 重要
-
API管理機器は操作ログの管理ができません。
取得する操作ログの種類は、セキュリティポリシーの設定で変更できます。不審操作を検知するかどうかも、セキュリティポリシーの設定で変更できます。
不審操作の分類と操作画面での確認方法を次の表に示します。
分類 |
セキュリティポリシーで選択する不審と見なす操作 |
確認方法 |
||
---|---|---|---|---|
セキュリティ画面−[操作ログ]−[操作ログ一覧]画面 |
イベント画面−[イベント]−[イベント一覧] |
[不審操作の状況]パネル |
||
ファイル持ち出しによる不審操作 |
[添付ファイル付きメールの送受信] |
|
[種類]列に[不審操作]が表示されます。 |
[添付ファイル付きメールの送信]として表示されます。 |
[Web/FTPサーバの使用] |
|
[種類]列に[不審操作]が表示されます。 |
[Web/FTPサーバの使用]として表示されます。 |
|
[外部メディア(リムーバブルディスク)へのファイルコピーと移動] |
|
[種類]列に[不審操作]が表示されます。 |
[外部メディア(リムーバブルディスク)へのファイルコピーと移動]として表示されます。 |
|
印刷による不審操作 |
大量印刷 |
− |
[種類]列に[不審操作]が表示されます。 |
− |
(凡例) −:表示されない
セキュリティポリシーでファイル持ち出しによる不審と見なす操作の条件を設定している場合、不審操作として検知されたファイル持ち出しによる不審操作の操作ログの履歴を追跡調査できます。
ファイル持ち出しによる不審操作の詳細については「2.10.3 ファイル持ち出しによる不審操作の、操作ログでの調査」を、印刷による不審操作の詳細については「2.10.5 印刷による不審操作の取得」を参照してください。
- ヒント
-
すべての種類の操作ログを取得するとディスク容量が圧迫されるおそれがあります。情報漏えいに係わりの深い操作ログだけを取得したり、取得対象の操作を指定したりして、ディスク容量を節約できます。
- 重要
-
UNIXエージェントおよびMacエージェントは操作ログ取得の対象外です。
- 重要
-
管理対象のコンピュータが30,000より多い場合で操作ログを取得する場合は、複数サーバ構成で運用し、統括管理用サーバでは取得せず、管理用中継サーバで取得してください。また、管理用中継サーバから統括管理用サーバに送信しない設定にしてください。
- 重要
-
次のような場合、[不審操作の状況]パネルの日ごとの不審操作の数と、アンカーで遷移した操作ログ一覧の不審操作の件数が一致しないことがあります。
-
エージェントからマネージャへの不審操作の通知にタイムラグが発生した場合。
エージェントマシンの停止のタイミングやネットワークの問題により発生することがあります。
-
エージェントとマネージャのシステム時刻が合っていない場合。
操作ログはマネージャへの通知日の以前や以後の操作として登録されることがあります。
-
操作ログを利用している場合で、該当日の操作ログがリストアされていない場合。
この場合、[イベント]画面で該当日の不審操作イベントを確認し、操作ログ一覧で該当する機器の不審操作を確認してください。もしくは、操作ログ一覧で前後の日付の操作ログを確認してください。
-
- 重要
-
エージェントのOSがWindows 7の場合、Windows XPモード上での操作ログの取得はできません。
- 重要
-
16bitソフトウェアの場合、プログラム起動/停止ログの取得、およびウインドウ操作ログの取得はできません。