2.10.7 操作ログ取得の前提条件と注意事項
- 〈この項の構成〉
-
(1) 操作ログ取得の注意事項
-
OSが64bit版で、かつVMWare Serverがインストールされている環境のコンピュータに対しては、操作ログを有効にしないでください。操作ログを有効にすると、VMWare ServerのゲストOSが起動しない場合があります。
-
エージェントを導入したコンピュータから管理用サーバへ操作ログを送信してから、コンピュータ上の操作ログを削除するまでの間に処理が強制終了された場合、操作ログを重複して取得することがあります。
-
エージェントを導入したコンピュータの操作ログのサービスである「JP1_ITDM_Agent Monitor Control」は毎日午前2時に再起動しますが、既定の動作によるものであり、エラーが原因ではありません。
(2) 機器の起動/停止で取得される操作ログの注意事項
-
エージェントを上書きインストールした場合も、「コンピュータの起動と停止」の操作ログが取得されます。
-
OSがWindows Server 2019、Windows Server 2016、Windows 10、Windows Server 2012 R2、Winodws 8.1、Windows Server 2012、およびWinodws 8の場合、高速スタートアップ機能を有効にしていると、コンピュータの起動や停止時に「コンピュータ起動」や「コンピュータ停止」の操作ログが取得できないおそれがあります。
-
ユーザがログオンしている状態のPCをシャットダウンまたは再起動をするとき、エージェントが「ログオフ」の操作ログを出力する前に電源がオフになると、「ログオフ」の操作ログが取得されません。確実に「ログオフ」の操作ログを取得するには、ログオフを実施してから、シャットダウンまたは再起動の操作をしてください。
関連リンク
(3) プログラムの起動/停止、および抑止で取得される操作ログの注意事項
-
ファイル名とフォルダ名を合わせて文字列の長さが260文字以上のプログラムは、プログラムの起動/停止、および抑止の操作ログを取得できません。
-
起動後すぐに終了するソフトウェアは、エージェントが起動を抑止する前にプログラムが終了してしまう場合があるため、プログラムの起動/停止、および抑止の操作ログが取得できないことがあります。
-
起動を抑止できるプログラムは、ファイル名に次に示す拡張子を持つプログラムだけです。
-
exe
-
com
-
scr
-
-
JP1/IT Desktop Management 2 - Agentのインストール先フォルダ※\binフォルダで起動されたプログラムのうち、[スタート]メニューから起動できないプログラムは、プログラム起動/停止の操作ログを取得できません。
-
JP1/IT Desktop Management 2 - Agentのインストール先フォルダ※\binフォルダにあるプログラムから次に示すプログラムが起動された場合、プログラム起動/停止の操作ログを取得できません。
-
cacls.exe
-
cmd.exe
-
conime.exe
-
cscript.exe
-
jdngsendinv.exe
-
jdngsetup.exe
-
netsh.exe
-
regsvr32.exe
-
secedit.exe
-
注※ 複数サーバ構成の管理用中継サーバの場合は、JP1/IT Desktop Management 2 - Managerのインストール先フォルダです。
関連リンク
(4) Webアクセスの操作ログ取得の前提条件と注意事項
Webアクセスの操作ログ取得の前提条件と注意事項をそれぞれ説明します。
前提条件
-
Internet Explorerの場合、[インターネットオプション]の[詳細設定]タブの[サードパーティ製のブラウザ拡張を有効にする]がチェックされている必要があります。なお、Windows Server 2019、Windows Server 2016、Windows Server 2012およびWindows Server 2008 R2にインストールされたInternet Explorerでは、デフォルトで[サードパーティ製のブラウザ拡張を有効にする]がチェックされていません。
-
利用者のコンピュータに追加されるWebアクセス監視用のアドオンが有効になっている必要があります。
-
Internet ExplorerおよびMicrosoft EdgeのIEモードの場合、Internet Explorerの[ツール]−[アドオンの管理]を選択すると表示される[ツールバーと拡張機能]で、「JP1/IT Desktop Management 2 BHO」と表示されるアドオンが有効になっている必要があります。
- ヒント
-
エージェントが導入されたコンピュータのInternet Explorerには、下記のアドオンが追加されます。
・Webアクセス監視用のアドオン
・ファイルアップロード監視用のアドオン(バージョン10以降のInternet ExplorerおよびMicrosoft EdgeのIEモードの場合)
Webアクセスは、Webアクセス監視用のアドオンによって監視・検知されます。HTMLフォームやJavascriptによるファイルのアップロードは、Internet Explorerがバージョン9以前の場合はエージェントによって監視・検知され、バージョン10以降およびMicrosoft EdgeのIEモードの場合はファイルアップロード監視用のアドオンによって監視・検知されます。
なお、ファイルのダウンロードおよび送受信は、エージェントによって監視・検知されます。
注意事項
-
アドオン全般を無効にしてWebブラウザを起動する場合、Webアクセスの操作ログは取得できません。
-
ファイルやフォルダをInternet ExplorerおよびMicrosoft EdgeのIEモードで開いた場合、Webアクセスの操作ログを取得できます。
-
Webページ上の画像の情報は取得できません。
-
1秒以内に複数回のWebアクセスが実行された場合、Webアクセスの操作ログが取得できないことがあります。
-
Internet ExplorerおよびMicrosoft EdgeのIEモードを15個以上同時に起動した場合、Webアクセスの操作ログが取得できないことがあります。
-
Windowsへのログオン直後にInternet ExplorerおよびMicrosoft EdgeのIEモードを起動した場合、Webアクセスの操作ログが取得できないことがあります。
-
Internet Explorer 10、11の環境で拡張保護モードが有効な場合、Webアクセスの操作ログを取得できません。
-
Webアクセスで、通信エラーやアクセスしたURLが存在しないなどの要因で接続エラーとなった場合でも、Webアクセスの操作ログが取得できることがあります。
- ヒント
-
Webアクセス監視用のアドオンが登録された際に登録されたアドオンを有効にするかどうかの確認メッセージが表示されます。メッセージが表示される現象を回避する場合、次の手順を実施してInternet Explorerを再起動してください。
-
管理者権限を持つユーザでログオンし、[ファイル名を指定して実行]に「gpedit.msc」と入力して実行し、グループポリシーエディタを起動します。
-
次の「アドオンの一覧」の設定を開きます。
[ローカルグループポリシーエディター]−[コンピュータの構成]−[管理用テンプレート]−[Windowsコンポーネント]−[Internet Explorer]−[セキュリティの機能]−[アドオン管理]−[アドオンの一覧]
-
アドオンの一覧ダイアログで[有効]を選択し、[オプション]の[アドオン一覧]の[表示]ボタンを押します。
-
次の設定を追加します。
値の名前:{90CA397B-DA51-47EB-9299-0B7041857FCB}
値:1
アドオンが無効に設定された場合は、次の手順を実施してください。
-
メッセージが表示される現象を回避する手順を実施します。
-
Internet Explorerの[ツール]−[インターネットオプション]−[プログラム]−[アドオンの管理]から「JP1/IT Desktop Management 2 BHO」の設定を[有効]に変更します。
-
関連リンク
(5) ファイル、フォルダ操作で取得される操作ログの情報と注意事項
利用者がフォルダをコピー、移動、または削除した場合、そのフォルダのすべてのファイルおよびサブフォルダについても操作の情報を取得できます。なお、フォルダの名前を変更した場合は、その操作の情報は取得できません。
操作ログの取得は、エクスプローラに対する操作を対象とします。そのため、コマンドプロンプト上でのCOPYコマンドなどの操作は取得できません。
ファイル、フォルダ操作で取得される操作ログの情報と注意事項をそれぞれ説明します。
利用者が、フォルダまたはファイルの操作後にUndo([元に戻す]メニューまたは[Ctrl]+[Z]キー)の操作を行った場合、次の表に示す操作ログが取得されます。
|
Undo前の操作 |
Undo操作時に取得される操作ログ |
|---|---|
|
コピー |
コピーしたファイルまたはフォルダの削除 |
|
移動 |
移動したファイルまたはフォルダの元の位置への移動 |
|
名前の変更 |
元のファイル名またはフォルダ名への名前の変更 |
|
削除 |
削除したファイルまたはフォルダの、元の位置への移動 |
ファイル操作では、Windowsの[最近使った項目]フォルダでの操作など、利用者操作に直接関係のないファイル作成、削除の操作ログが出力される場合があります。そのため、次の条件をすべて満たす操作ログは取得されません。
-
操作内容が、ファイル作成、ファイル削除である。
-
ファイルのパスが次のどちらかのフォルダである。
-
%USERPROFILE%\Recent
-
%APPDATA%\Microsoft\Office\Recent
-
-
ファイルの拡張子が「.lnk」である。
また、エージェントおよび管理用中継サーバ用のエージェントの導入フォルダの下位について、次の条件をすべて満たす操作ログは取得されません。
-
操作内容がファイル作成、ファイル削除、ファイル名変更、フォルダ作成、フォルダ削除、フォルダ名変更である。
-
ファイルパスが次のどちらかのフォルダ(サブフォルダ含む)である。
-
エージェントの場合:JP1/IT Desktop Management 2 - Agentのインストール先フォルダ
-
-
管理用中継サーバ用のエージェントの場合:JP1/IT Desktop Management 2 - Managerのインストール先フォルダ¥bin
注意事項
-
利用者が同じファイルまたはフォルダを繰り返しコピーした場合、ファイルまたはフォルダを作成したという情報が取得されることがあります。
-
利用者がWindowsの[ごみ箱]へファイルまたはフォルダを移動した場合、移動ではなく、削除として情報が取得されます。
-
利用者がWindowsの[ごみ箱]からファイルまたはフォルダを削除した場合、取得されるファイル名またはフォルダ名が、削除前の名称と異なることがあります。
-
利用者が大量のファイルを一括して削除した場合、すべてのファイルの削除の履歴が取得されないことがあります。
-
利用者が大量のファイルまたはフォルダを上書きコピーまたは移動した場合、すべてのファイル操作の情報が取得されないことがあります。
-
利用者がファイル移動時に移動先のファイルを上書きした場合、またはファイル移動のUndo([元に戻す]メニューまたは[Ctrl]+[Z]キー)操作をした場合に、ファイル移動の情報に加えて、移動元のファイルを削除した情報が余分に取得されることがあります。
-
圧縮形式(zip形式)のフォルダに対する操作の情報は取得できません。ただし、OSやユーザー操作によっては、一部の操作の情報が取得される場合があります。
-
USBデバイスを抑止している場合、USB接続デバイス内のファイル操作の情報が取得されないことがあります。
-
Windowsポータブルデバイスに対する操作の情報は取得できません。ただし、OSやデバイスによっては、一部の操作の情報が取得される場合があります。
-
特定のファイルを高速で連続コピー([Ctrl]+[V]キーを連続で操作するなど)した場合、本来コピー元と同じ値となるコピー先のファイルの更新日時が、コピー操作を実行した日時となる場合があります。
-
共有フォルダ上でファイル作成、ファイル削除、およびファイル名称変更の操作を実施したとき、エージェントが導入されている別のコンピュータが同じ共有フォルダを開いていると、そのコンピュータ上でもファイル操作の操作ログが取得されることがあります。
-
共有フォルダ上でファイル移動の操作を実施したとき、エージェントが導入されている別のコンピュータが同じ共有フォルダを開いていると、そのコンピュータ上で移動元のファイルに対するファイル削除の操作ログが取得されることがあります。
-
CD/DVDへデータを書き込む操作の情報は取得できません。
-
Citrix XenApp、Microsoft RDS環境で、持ち出しチェックの情報を取得したい場合は、リモート接続元のコンピュータにJP1/IT Desktop Management 2 - Agentをインストールしてください。
OSがWindows Server 2019、Windows Server 2016、Windows 10、Windows 8.1、Windows 8、Windows Server 2012、Windows 7、またはWindows Server 2008 R2の場合、これらの注意事項のほかに、次の注意事項があります。
注意事項(Windows Server 2019、Windows Server 2016、Windows 10、Windows 8.1、Windows 8、Windows Server 2012、Windows 7、またはWindows Server 2008 R2の場合)
-
全操作
-
アプリケーションやコマンドプロンプトからファイルまたはフォルダが操作された場合でも、一部の操作について操作ログが取得されることがあります。
-
ファイルのシャドウコピーおよびバックアップからの復元に対しての操作の情報は取得できません。なお、一部の操作の情報が取得される場合があります。
-
-
コピー
-
コピーによってファイルが上書きされる場合、[ファイルの上書き確認]ダイアログで[コピーするが両方のファイルを保持する]を選択したときは次の情報が取得されます。
・コピー後のファイル名が「コピー前のファイル名(n)」(nは任意の数字)となる情報が取得されます。
・コピー操作後に、コピー元のファイルを削除すると、ファイルの移動の情報が追加で取得されることがあります。
・コピー元のファイルの更新日時と、上書きされるファイルの更新日時が同じ場合は、コピー前とコピー後のファイル名が同じとなるコピーの情報が取得されます。
-
1回のコピーの操作で、[フォルダの上書き確認]ダイアログが複数回表示される場合、フォルダおよびファイルのコピーの履歴が余分に取得されることがあります。
-
名前に「()」が含まれるファイルまたはフォルダを利用者がコピーした場合、正しく情報が取得されないことがあります。
-
名前に「(n)」(nは任意の数字)が含まれるファイルまたはフォルダを複数選択して利用者が上書きコピーした場合、[ファイルの上書き確認]ダイアログで[コピーするが両方のファイルを保持する]を選択すると、正しく情報が取得されないことがあります。
-
利用者がUndo操作後に[コピーのやり直し]メニューまたは[Ctrl]+[Y]キーでRedo操作を行った場合、ファイル操作の情報は取得できません。なお、フォルダに対するRedo操作は、フォルダのコピーとして情報を取得できます。
-
名前に「(n)」(nは任意の数字)が含まれるファイルまたはフォルダを連続して利用者がコピーした場合、2回目以降のコピー操作はファイルまたはフォルダの作成として情報を取得されます。
-
利用者が複数のファイルまたはフォルダ、または複数のファイルやフォルダが含まれるフォルダを選択してコピーした場合、操作の情報が取得されないことがあります。
-
コピー操作時に、上書きを確認するダイアログでコピーをキャンセルした場合、コピー元のファイルの更新日付とコピー先フォルダにある同名のファイルの更新日付が同じときは、コピーとして情報が取得されます。
-
-
移動
-
利用者の移動操作によってファイルが上書きされる場合、[ファイルの移動]ダイアログで[移動するが両方のファイルを保持する]を利用者が選択したときは、移動後のファイル名が「移動前のファイル名(n)」(nは任意の数字)となる情報が取得されます。また、移動前と移動後のファイル名が同じとなる移動の情報も余分に取得されます。
-
名前に「(n)」(nは任意の数字)が含まれるファイルまたはフォルダを複数選択して利用者が移動した場合、[ファイルの上書き確認]ダイアログで「移動するが両方のファイルを保持する」を選択すると、正しく情報が取得されないことがあります。
-
利用者の移動操作によってフォルダが上書きされる場合、[フォルダの上書きの確認]ダイアログで[はい]ボタンをクリックしてフォルダを統合するときは、次の情報が取得されます。
・移動元と移動先のフォルダに同名のファイルがある場合、フォルダの統合時にはファイルだけが移動し、移動元のフォルダは削除されません。このとき、フォルダのコピーの操作の情報が取得されます。
・利用者がファイルの上書き確認時に[移動して置換]を選択した場合、移動元のファイルの更新日時と上書きされるファイルの更新日時が同じときは、ファイルの移動ではなく、ファイルのコピーおよび削除の操作の情報が取得されます。
・利用者がファイルの上書き確認時に[移動するが両方のファイルを保持する]を選択した場合、移動後のファイル名が「移動前のファイル名(n)」(nは任意の数字)となる操作の情報が取得されます。移動前のファイルと上書きされるファイルの更新日時が同じ場合は、ファイルの移動に加えて、ファイルのコピーおよび削除の操作の情報も余分に取得されます。また、移動前のファイルと上書きされるファイルの更新日時が異なる場合は、移動前と移動後のファイル名が同じとなる移動の操作の情報が余分に取得されます。
・Windows 7以降で、権限昇格が必要なフォルダからNTFS以外のドライブにファイルの移動操作をした場合、持ち込み元ドライブ種別が取得できないで、正しくファイル追跡がされないことがあります。
-
-
名前の変更
-
利用者が名前の変更を行ってフォルダを上書きする場合、[フォルダの上書きの確認]ダイアログが表示されます。このダイアログで利用者が[はい]ボタンをクリックした場合は、次の情報が取得されます。
・名前の変更前のフォルダに幾つかのファイルが含まれる場合、上書きしたフォルダへのファイル作成と、名前の変更前のファイルの削除の操作ログが取得されます。なお、名前の変更前のフォルダの削除の操作ログは取得されません。名前の変更前のフォルダにファイルが含まれない場合、名前の変更後のフォルダのサブフォルダの作成の操作ログだけが取得されます。
・名前の変更前のフォルダと上書きしたフォルダに、同名のサブフォルダが存在する場合、サブフォルダの作成の操作の情報が取得されます。このとき、名前の変更前のフォルダの削除の操作は取得されません。
・名前の変更前のフォルダに複数のファイルまたはサブフォルダが含まれる場合、一部のファイルの操作は取得されないことがあります。
・名前の変更前のフォルダのサブフォルダ内に存在するファイルの操作の情報が取得されない場合があります。
-
複数のファイルまたはフォルダ、または複数のファイルやフォルダが含まれるフォルダを選択して、一括して名前を変更した場合、操作の情報が取得されないことがあります。
-
-
削除
-
利用者がファイルを削除したあとにUndoまたは[元に戻す]メニューを選択した場合、削除したファイルを元の位置に作成する操作の情報と、Windowsの[ごみ箱]からファイルを削除する操作の情報が取得されます。ただし、Windowsの[ごみ箱]からファイルを削除する操作の情報では、ファイル名が正しく取得されません。
-
利用者がファイルを削除したあとにWindowsの[ごみ箱]からファイルを移動したときは、削除したファイルの元の位置への移動の操作が取得されます。
-
利用者が、複数のファイルまたはフォルダ、または複数のファイルやフォルダが含まれるフォルダを選択して削除したあと、[元に戻す]メニューを選択、またはWindowsの[ごみ箱]からフォルダを移動した場合は、操作の情報が取得されないことがあります。
-
関連リンク
(6) ファイルのアップロードとダウンロードの操作ログ取得の前提条件と注意事項
Webブラウザでファイルをアップロードまたはダウンロードした操作を監視し、その操作ログを取得できます。ファイルのアップロードまたはダウンロードの操作ログを取得する場合の前提条件と注意事項について説明します。
前提条件
-
WebブラウザにInternet Explorer 10、11およびMicrosoft EdgeのIEモードを使用している場合、[インターネットオプション]の[詳細設定]タブの[サードパーティ製のブラウザ拡張を有効にする]がチェックされている必要があります。なお、Windows Server 2019、Windows Server 2016、Windows Server 2012およびWindows Server 2008 R2にインストールされたInternet Explorerでは、デフォルトで[サードパーティ製のブラウザ拡張を有効にする]がチェックされていません。
-
WebブラウザにInternet Explorer 10、11およびMicrosoft EdgeのIEモードを使用している場合、利用者のコンピュータに追加されるファイルのアップロード監視用のアドオンが有効になっている必要があります。
ファイルのアップロード監視用のアドオンを登録すると、Internet Explorerにアドオンを有効にするかどうかを選択させるメッセージが表示されます。アドオンを有効にし、Internet Explorerを再起動すると、ファイルのアップロードの監視が開始されます。
-
WebブラウザにInternet Explorer 10、11およびMicrosoft EdgeのIEモードを使用している場合、Internet Explorerの[ツール]−[アドオンの管理]を選択すると表示される[ツールバーと拡張機能]で、「JP1/IT Desktop Management 2 FUO」と表示されるアドオンが有効になっている必要があります。
注意事項
-
SOAP、WebDAV、Flash、Silverlightなど独自のアップロード処理によって実行されるWebアップロードは操作ログが取得されません。
-
Internet Explorerのインターネット一時ファイルのフォルダを変更した場合、Webダウンロードの操作をしていなくても、操作ログが取得される場合があります。操作ログを正しく取得したい場合は、すぐにInternet Explorerを再起動してください。
-
Internet Explorer 10、11の環境で拡張保護モードが有効な場合、ファイルのアップロードおよびダウンロードの操作ログを取得できません。
-
Internet Explorer 9の場合、ファイルのアップロードが完了した時点で操作ログを取得します。Internet Explorer 10、11およびMicrosoft EdgeのIEモードの場合、ファイルのアップロードを開始した時点で操作ログを取得します。そのため、Internet Explorer 10、11およびMicrosoft EdgeのIEモードでは通信エラーなどでアップロード処理が中断されても操作ログが取得できます。
-
Internet Explorer 10、11およびMicrosoft EdgeのIEモードでHTML5のアップロードサイトに複数ファイルを同時アップロードした場合、1つのファイルの操作ログしか取得できません。
-
Internet Explorer 10、11およびMicrosoft EdgeのIEモードでアップロードを実行した際、ファイルのアップロードに使用したWebページのエンコードと、ブラウザからアップロード先に送信されるデータのエンコードが異なる場合、ファイル名が文字化けして操作ログが取得されます。また、エンコードの変換の失敗など文字化けをする場合は、ファイルを「unknown」として操作ログを取得します。
-
ファイルのダウンロードで、ファイルの保存先のファイルシステムがFATの場合は、ファイルのダウンロードのログが二重に出力されることがあります。
-
「ファイル名をダウンロードできませんでした」というメッセージが表示される場合があります。その場合、ファイルのダウンロードを再実行してください。
-
Internet ExplorerでPDFファイルを開いてから保存した場合、ファイルのダウンロードの操作ログが取得できない場合があります。Webアクセスの操作ログによって、Internet ExplorerおよびMicrosoft EdgeのIEモードでPDFファイルを開く操作を監視することもできます。
- ヒント
-
ファイルのアップロード監視用のアドオンが登録された際に、登録されたアドオンを有効にするかどうかの確認メッセージが表示されます。メッセージが表示される現象を回避する場合、次の手順を実施してInternet Explorerを再起動してください。
-
管理者権限を持つユーザでログオンし、[ファイル名を指定して実行]に「gpedit.msc」と入力して実行し、グループポリシーエディタを起動します。
-
次の「アドオンの一覧」の設定を開きます。
[ローカルグループポリシーエディター]−[コンピュータの構成]−[管理用テンプレート]−[Windowsコンポーネント]−[Internet Explorer]−[セキュリティの機能]−[アドオン管理]−[アドオンの一覧]
-
アドオンの一覧ダイアログで[有効]を選択し、[オプション]の[アドオン一覧]の[表示]ボタンを押します。
-
次の設定を追加します。
値の名前:{A36BDD30-8AF5-48AE-AFB9-866F89D167A5}
値:1
アドオンが無効に設定された場合は、次の手順を実施してください。
-
メッセージが表示される現象を回避する手順を実施します。
-
Internet Explorerの[ツール]−[インターネットオプション]−[プログラム]−[アドオンの管理]から「JP1/IT Desktop Management 2 FUO」の設定を[有効]に変更します。
-
関連リンク
(7) メール送受信で取得される操作ログの情報と注意事項
利用者がメーラーを使用して送受信するメールのうち、添付ファイルを含むメールの送受信の操作ログを取得できます。メール送受信で取得される操作ログの情報と注意事項について説明します。
操作ログの取得対象となるメーラーを次の表に示します。
|
メーラー |
バージョン |
|---|---|
|
Microsoft Outlook |
2002 |
|
2003 |
|
|
2007 |
|
|
2010 |
|
|
2013 |
|
|
2016 |
|
|
2019 |
|
|
Windows Liveメール |
2009、2011、2012 |
また、操作ログを取得できるメール操作を次の表に示します。なお、複数の添付ファイルを受信または送信した場合、ファイル単位に操作ログが取得されます。
|
取得できるメール操作 |
プロトコル |
|---|---|
|
受信 |
POP3、APOPまたはIMAP4 |
|
送信 |
SMTPまたはESMTP |
注意事項
-
SMTP over SSL、POP3 over SSLなどSSL/TLSによって通信が暗号化されている場合、操作ログは取得されません。
-
S/MIME、PGP暗号などによってメールが暗号化されている場合、操作ログは取得されません。
-
メール送信で、同一内容のファイルを複数個以上、同一メールに添付して送信する場合、持ち出したファイルの情報は正しく取得されません。操作元ファイル名およびドライブ種別には、 添付した同一のファイルのうち最後に読み込んだファイルのファイル名およびドライブ種別が表示されます。
-
メール送信で、0バイトのファイルを添付してメールを送信した場合、操作元のファイル名が実際に送信したファイルと異なることがあります。
-
メール送信、メール受信ログで、OutlookのTNEF形式で送信されたメールを送受信すると、添付ファイルの情報が正しく取得されないことがあります。このため、ファイルの追跡や、ファイル持ち出しによる不審操作の検知ができない場合があります。
-
1メール当たりの添付ファイル数が200個を超える場合、操作ログが取得できないことがあります。
-
MIMEヘッダのContent-typeが次のどちらかの場合には、添付ファイルとして扱われません。
-
application/pkcs7-mime、application/pkcs7-signature、またはapplication/pkcs10(デジタル署名)
-
multipart/alternative(HTMLメールなど)
-
関連リンク
(8) 添付ファイル保存で取得される操作ログの注意事項
利用者が特定のメーラーを使用し受信したメールから、添付ファイルをローカルのディスクなどに保存する操作ログを取得できます。添付ファイル保存で取得される操作ログの注意事項について説明します。
操作ログの取得対象となるメーラーを次の表に示します。
|
メーラー |
バージョン |
|---|---|
|
Microsoft Outlook |
2002 |
|
2003 |
|
|
2007※ |
|
|
2010※ |
|
|
2013※ |
|
|
2016※ |
|
|
2019※ |
|
|
Windows Liveメール |
2009、2011、2012 |
注※ 添付ファイルの保存先にネットワークドライブを指定して保存した場合、操作先(保存先)のファイル名が保存したファイル名とは異なるファイル名で取得されます。
注意事項
-
メール受信で同一内容の添付ファイルを受信した場合、添付ファイル保存の操作元ファイル名には同一内容のファイルのうち最後に受信したファイル名が表示されます。
-
Windows 7以降で、メーラーの画面上から次の操作をした場合、添付ファイル保存の操作ログが取得されないことがあります。
-
添付ファイルを選択しエクスプローラまたはデスクトップにドラッグ&ドロップ操作した場合
-
ファイルを選択して[コピー]、[貼り付け]操作によってファイルを保存した場合
-
-
操作ログを取得する前に受信済みのメールから添付ファイルを保存した場合、添付ファイル保存の操作ログは取得されません。
-
OutlookのTNEF形式のメールを受信した場合、添付ファイル保存の操作ログが正しく取得されないことがあります。
-
1メール当たりの添付ファイル数が200個を超える場合、操作ログが取得できないことがあります。
-
MIMEヘッダのContent-typeが次のどちらかの場合には、添付ファイルとして扱われません。
-
application/pkcs7-mime、application/pkcs7-signature、またはapplication/pkcs10(デジタル署名)
-
multipart/alternative(HTMLメールなど)
-
関連リンク
(9) ファイル送受信の操作ログ取得の注意事項
利用者がWebブラウザでFTPサイトにアクセスし、ファイルの送信、または受信した場合の操作を取得できます。対象とするWebブラウザは、「2.10.1 取得できる操作ログの種類」の前提条件の表を参照してください。ファイル送受信の操作ログ取得の注意事項について説明します。
注意事項
-
FTP over SSL/TLSによるファイル送受信の操作ログは取得できません。
-
Internet Explorer 10、11の環境で拡張保護モードが有効な場合、FTP受信の操作ログを取得できません。
-
Internet Explorerでファイル受信の操作ログを取得した場合、操作元ファイル名にはFTPサーバのURLが取得されます。
-
ファイル送信の操作ログの持ち出し先ファイル情報には、FTPサーバのIPアドレスが取得されます。
-
FTP受信でファイルの保存先のファイルシステムがFATの場合は、FTP受信のログが二重に出力されることがあります。
関連リンク
(10) 印刷操作で取得される操作ログの情報と前提条件および注意事項
印刷の操作ログを取得できます。印刷の操作ログを取得できるプリンタを次の表に示します。なお、[デバイスとプリンター]で設定してあるプリンタが対象です。なお、[デバイスとプリンター]に表示されるプリンタは、同一機器であれば、ログオンする利用者に関係なく共通です。
|
プリンタ種別 |
印刷操作ログの取得 |
|---|---|
|
ローカルプリンタ |
○ |
|
ネットワーク共有プリンタ |
○ ※ |
|
インターネットプリンタ |
× |
|
仮想プリンタ |
○ |
(凡例)○:使用できる ×:使用できない
注※ 印刷ページ数は取得できません。
前提条件
各プリンタのプロパティで、すべてのログオンユーザーに[印刷]と[ドキュメントの管理]が許可されている必要があります。
ネットワーク共有プリンタの場合、以下の前提条件が追加されます。
-
サポートするエージェントとプリントサーバの組み合わせを以下に示します。
エージェント
プリントサーバ
印刷操作ログの取得
Windows 7以降
Windows XP/2003
×
Windows 7以降
Windows Vista以降
○
任意
上記以外
×
(凡例)○:使用できる ×:使用できない
-
プリントサーバとエージェントPC間でRPCによる通信ができる必要があります。RPC通信ができない場合は以下が考えられます。
-
プリントサーバがInternet Printing Protocol(IPP)サーバである
-
プリントサーバとエージェントPCの間にファイアウォール、プロキシまたはNATがある
-
エージェントPCのWindowsファイアウォールが有効で、かつ[ファイルとプリンターの共有]が[例外]に設定されていない
-
-
エージェントPCで[Microsoft ネットワーク用ファイルとプリンター共有]が有効である必要があります。
-
プリントサーバからエージェントPCの名前を解決できる必要があります。
-
エージェントPCがWindows 7以降の場合、エージェントPCとプリントサーバが同一のドメインに参加している、または、エージェントPCの資格認証マネージャにプリントサーバの資格情報が登録されている必要があります。資格情報を追加した場合はエージェントPCを再起動する必要があります。
注意事項
-
秘文によって印刷が抑止されている場合、印刷操作の操作ログは取得できません。
-
プリンタ追加直後に印刷した場合、印刷ログの取得ができないことがあります。
-
OSにログオンした直後に印刷した場合、印刷ログの取得ができないことがあります。
-
印刷操作がエージェントに通知される前に印刷ジョブが完了した場合、印刷ログの取得はできません。
-
プリンタによっては一度の印刷操作で複数の印刷ログが取得される場合があります。
ネットワーク共有プリンタの場合、以下の注意事項が追加されます。
-
IPv6が有効でクライアントコンピュータで印刷ジョブのレンダリングが動作しない場合は、印刷ログの取得ができない場合があります。クライアントコンピュータで印刷ジョブのレンダリングを動作させるには以下の設定が必要です。
-
[クライアント コンピューターで印刷ジョブのレンダリングをする]または[クライアント コンピューターに印刷ジョブを表示する]が有効である。
-
[詳細な印刷機能を有効にする]が有効である。
-
-
ネットワーク共有プリンタへの印刷ではページ数が取得できません。そのため、大量印刷の検知、ユーザ活動状況レポート(大量印刷)の対象外となります。
関連リンク
(11) デバイス操作の操作ログ取得の注意事項
デバイスを機器に接続または切断した操作ログを取得できます。また、禁止操作を設定した場合、デバイスの接続抑止や接続許可の操作ログも取得できます。
ドライブへのメディア(CD、DVD、SDカードなど)の挿入、および取り出しは取得できません。デバイス操作の操作ログ取得の注意事項を説明します。
注意事項
-
コンソールセッションの利用者を該当の利用者と見なします。コンソールセッションの利用者がいなければ、アカウント名は取得できません。
-
初めて機器に接続されるデバイスの場合、1回の接続で複数の接続および切断(取り外し)の情報を取得することがあります。
-
Windows Server 2019、Windows Server 2016、Windows 10、Windows Server 2012 R2、Winodws 8.1、Windows Server 2012、およびWinodws 8の高速スタートアップ機能が有効な場合、コンピュータに接続されているデバイスをシャットダウン中に取り外すと、その後コンピュータを起動したときに「デバイス切断」の操作ログが取得されます。
-
デバイスが抑止される状況で取得したデバイスの接続ログ 、切断ログ、接続抑止ログ、イベントは、取得項目が取得できない場合があります。
-
コンピュータ起動直後など、JP1/IT Desktop Management 2の起動前にデバイスが接続された場合、操作ログは取得できません。
-
複数のデバイスインスタンスIDを持つデバイスが接続された場合、1つのデバイスに対して複数の操作ログとイベントが取得されます。ただし、切断時は1つしか取得されないこともあります。
-
デバイスを初めてコンピュータに接続する場合、ドライバのインストールが実施されると複数の同じ操作ログとイベントが取得されることがあります。
-
設定を有効にするために再起動が必要な場合でも、接続抑止ログと接続抑止イベントは設定を実施した時点で取得されます。
-
他製品によってデバイスの設定が変更され、デバイスの接続または切断が検知された場合も、操作ログが取得されます。
-
USB接続のデバイスであっても、USBデバイス、Bluetoothデバイス、イメージングデバイスとして認識されないデバイスの操作ログは取得できません。
-
CDまたはDVDがセットされた状態でCD/DVDドライブを接続すると、複数のログが取得される場合があります。
-
デバイスの抑止が有効となるためにコンピュータの再起動が必要な場合、抑止対象デバイスの抑止ログ、切断ログおよびイベントが取得されません。
-
OSがログ取得対象デバイスを別のデバイスとして認識した場合、そのデバイスの操作ログは取得できません。ただし、OSの認識が別のログ取得対象デバイスと一致した場合はOSが認識したデバイスとして抑止されます。
-
同じデバイスの抑止設定を短期間に繰り返し変更した場合、接続ログおよび切断ログが取得できないことがあります。
-
Citrix XenApp、Microsoft RDSサーバの場合、接続元の機器に存在するドライブは接続先のセッションでドライブ種別が「その他」のドライブとして表示されます。そのようなドライブについては、デバイスを機器に接続または切断した操作ログを取得できません。
-
Citrix XenApp、Microsoft RDS環境で、デバイス接続・切断の操作ログを取得したい場合は、リモート接続元のコンピュータにJP1/IT Desktop Management 2 - Agentをインストールしてください。
関連リンク
(12) ウィンドウ操作の操作ログ取得の注意事項
OS上でウィンドウを操作した操作ログを取得できます。ウィンドウ操作の操作ログは、次のような場合に取得できます。
-
新規にウィンドウが起動し、そのウィンドウがアクティブになった場合
-
マウス操作や[Alt]+[Tab]キーによってアクティブなウィンドウが切り替わった場合
-
ウィンドウ中の操作によって別ウィンドウが起動し、そのウィンドウがアクティブになった場合
ウィンドウ操作の操作ログ取得の注意事項を説明します。
注意事項
-
ログオン直後などにウィンドウ操作の操作ログを取得した場合、ログオンユーザー名が空になることがあります。
-
アプリケーションによって生成されるウィンドウのうち、タイトルなしの状態で表示し、その後タイトルが設定されるウィンドウの場合、ウィンドウタイトルは取得されません。
関連リンク
(13) ファイル持ち出しによる不審操作の、入力元情報取得の前提条件と注意事項
エージェントが導入されたコンピュータにファイルが持ち込まれた場合、そのファイルの入力元の情報を取得できます。ファイル持ち出しによる不審操作の、持ち込みファイルの入力元情報取得の前提条件と注意事項をそれぞれ説明します。
前提条件
-
エージェントが導入されたコンピュータのファイルシステムがNTFS(5.0以降)である必要があります。
注意事項
-
次のどれかが有効なセキュリティポリシーが適用されている場合、ファイル操作が実施されるとエージェントは操作対象のファイルに追跡情報や不審操作に関する情報を付与します。
-
[操作ログ]−[情報漏えいに係わりの深い操作を取得対象にする(推奨)]
-
[操作ログ]−[操作ログの取得対象]の[ファイルコピー]、[ファイル移動]、[ファイル名称変更]、[ファイル作成]、[ファイル削除]、[Webアップロード]、[Webダウンロード]、[ファイル送信]、[ファイル受信]、[メール送信(添付ファイル付)]、[メール受信(添付ファイル付)]、[添付ファイル保存]のどれか
-
[操作ログ]−[不審と見なす操作]の[添付ファイル付きメールの送受信]、[Web/FTPサーバの使用]、[外部メディア(リムーバブルディスク)へのファイルコピーと移動]のどれか
-
-
エージェントによって追跡情報や不審操作に関する情報が付与されたファイルをFATやReFSなどNTFS以外でフォーマットされたドライブに移動またはコピーすると、Windowsのプロパティの損失のダイアログが表示されます。
-
Windowsのプロパティの損失のダイアログでファイルの移動またはコピーを続行すると、移動またはコピー先のファイルから追跡情報や不審操作に関する情報が削除されます。そのため、移動またはコピーしたファイルを外部メディアに持ち出すと、ファイル持ち出しによる不審操作を正しく検知できません。ファイルを圧縮または展開などしてデータを加工した場合も同様です。
-
Windowsのプロパティの損失のダイアログの表示を回避するには、エージェントが導入されたコンピュータに対して操作ログと不審操作の取得をするセキュリティポリシーを適用する前に、レジストリに次の値を設定してください。
キー名
- OSが32ビット版の場合
-
HKLM¥SOFTWARE¥HITACHI¥JP1/IT Desktop Management - Agent
- OSが64ビット版の場合
-
HKLM¥SOFTWARE¥Wow6432Node¥HITACHI¥JP1/IT Desktop Management - Agent
値名
JdngSmcStopWriteTrackingInfo
型
REG_SZ
値
1
-
このオプションを使用できるのはJP1/IT Desktop Management 2 - Agent 11-51-02以降のバージョンです。
-
このオプションを設定することでエージェントがファイルに追跡情報や不審操作の情報を付与しなくなります。このため次の情報が取得されなくなります。
-
ファイル操作の追跡情報
-
次のファイル操作に対する不審操作の判定結果
-
外部メディア(リムーバブルディスク)へのファイルのコピーと移動
-
ファイルアップロード
-
ファイル送信
-
メール送信(添付ファイル付)
-
-
-
このオプションを有効化する前にすでにファイルに追跡情報や不審操作の情報が付与されていた場合、そのファイルをNTFS以外でフォーマットされたドライブに移動またはコピーすると、プロパティの損失のダイアログが表示されます。
-
このオプションを無効化するには上記のレジストリを削除するか、値に0を設定してください。
関連リンク