Hitachi

JP1 Version 13 JP1/IT Desktop Management 2 導入・設計ガイド


2.10.8 管理用サーバへの秘文ログの取り込み

連携する秘文のバージョンが10-00以降の場合は、秘文ログをJP1/IT Desktop Management 2に取り込むことができます。

取り込んだ秘文ログを、セキュリティ画面の[操作ログ]画面で、JP1/IT Desktop Management 2の操作ログと合わせて、調査することができます。

〈この項の構成〉

(1) JP1/IT Desktop Management 2と秘文の情報漏えい対策機能の一覧

JP1/IT Desktop Management 2と秘文の機能を組み合わせることで情報漏えい対策ができます。JP1/IT Desktop Management 2と秘文の情報漏えい対策機能の一覧を次に示します。

情報漏えい対策機能

JP1/IT Desktop Management 2の機能

秘文の機能

データの不正な持ち出しを抑止する

禁止操作の抑止

  • 印刷の抑止

  • 機器の使用抑止

  • ソフトウェアの起動抑止

不審操作の取得

  • 大量印刷

持ち出し制御

デバイス制御

許可ネットワーク制御

コンピュータ利用者のファイル操作のログを取得する

操作ログの取得

  • ファイル操作/印刷操作

  • フォルダ操作

不審操作の取得

  • 添付ファイル付きメールの送受信

  • Web/FTPサーバの使用

  • 外部メディア(リムーバブルディスク)へのファイルコピーと移動

秘文拡張操作ログの取得

  • ファイル操作ログ

  • ドライブ操作ログ

コンピュータ利用者のウィンドウ操作、Webアクセスのログを取得する

操作ログの取得

  • ウィンドウ操作

  • Webアクセス

秘文拡張操作ログの取得

  • アプリケーション操作ログ

コンピュータの起動・停止とログオン・ログオフのログを取得する

操作ログの取得

  • コンピュータの起動と停止、ログオンとログオフ

イベントログの取得

デバイスへのアクセスログとプログラムの起動・停止ログを取得する

操作ログの取得

  • プログラム起動/停止

  • デバイス操作

  • 抑止ログ

アクセスログの取得

重要
  • JP1/IT Desktop Management 2と秘文で同じ情報漏えい対策機能を使用すると、同一の操作ログが操作ログ一覧画面に表示されることがあります。

  • 「コンピュータ利用者のファイル操作のログを取得する」の機能を使用する場合は、JP1/IT Desktop Management 2の機能か秘文の機能のどちらか一方だけを使用してください。両方の機能を同時に使用しないでください。

  • 操作ログのポリシーの[情報漏えいに係わりの深い操作を取得対象にする(推奨)]をチェックする場合は、「コンピュータ利用者のファイル操作のログを取得する」の秘文の機能は使用しないでください。

    「コンピュータ利用者のファイル操作のログを取得する」の秘文の機能を使用する場合は、操作ログのポリシーの[情報漏えいに係わりの深い操作を取得対象にする(推奨)]のチェックを外してください。

    両方の機能を同時に使用しないでください。

(2) JP1/IT Desktop Management 2に取り込める秘文ログ

JP1/IT Desktop Management 2に取り込める秘文ログの種類を次に示します。秘文ログは、CSV形式のファイルとしてください。

秘文ログの種類

説明

アクセスログ

  • 共有機密フォルダへのアクセスや、USBメモリなどのリムーバブルメディアへのファイルの持ち出しなど、秘文クライアント上で行われたユーザーのアクセス操作

  • プログラムの起動や終了など、秘文クライアント上で行われたプログラムの動作

イベントログ

ログイン、ログアウト、パスワード変更など、秘文クライアント上で発生したイベントの履歴

秘文拡張操作ログ

クライアントPCでのユーザの操作による、アプリケーション操作やファイル操作のログ

(3) 秘文ログの取り込み

秘文ログをJP1/IT Desktop Management 2に取り込む手順については、マニュアル「JP1/IT Desktop Management 2 運用ガイド」の秘文ログを取り込む説明を参照してください。

操作ログの保管先への保存

JP1/IT Desktop Management 2に取り込んだ秘文ログは、JP1/IT Desktop Management 2で取得した操作ログと同様に、操作ログの保管先に保存されます。なお、操作ログの自動取り込みを有効にすると、自動的に操作ログのデータベースに操作ログを取り込めます。保管先フォルダに保存された操作ログは、保管先フォルダからデータベースに取り込んで参照できます。

保管されるデータ

秘文ログは次に示すように、ログの種類ごと、日付単位でフォルダに分けられて格納されます。

セットアップで設定した[操作ログの保管先フォルダ]\EXLOG\ログの種類\操作日付(YYYYMMDD)

保管に必要な容量

4.5.3 操作ログの保管先フォルダに必要なディスク容量の目安」および「4.5.4 操作ログのデータベースに必要なディスク容量の目安」を参照してください。

操作ログのデータベースへの取り込み

操作ログのデータベースに秘文ログを取り込むと秘文ログを参照できます。JP1/IT Desktop Management 2で取得した操作ログと同様に、「自動取り込み」と「手動取り込み」があります。

自動取り込み

設定画面の[操作ログの設定]で指定された格納期間に合わせて、秘文ログが取り込まれます。

手動取り込み

調査したい操作ログが含まれる期間を指定して操作ログの保管先から秘文ログを取り込めます。また、対象のコンピュータを指定して取り込むこともできます。

関連リンク

(4) JP1/IT Desktop Management 2に取り込んだ秘文ログの表示

JP1/IT Desktop Management 2の操作ログのデータベースに取り込んだ秘文ログは、セキュリティ画面の[操作ログ一覧]画面に表示されます。表示される項目を次に示します。

[操作ログ一覧]画面の表示項目

秘文ログを表示する場合の内容

[追跡]ボタン

非活性になります。

[不審操作]列

空になります。

  • [操作日時(Webブラウザのロケール)]列

  • [操作日時]列

  • [操作時刻]列

次に示す日時が、JP1/IT Desktop Management 2 - Managerのタイムゾーンで表示されます。

アクセスログ

アクセスした日付および時刻

イベントログ

イベントが発生した日付および時刻

秘文拡張操作ログ

ログが出力された日付および時刻

[発生元]列

ログを出力したクライアントのコンピュータ名が表示されます。JP1/IT Desktop Management 2で管理している機器情報と同定できた場合は、リンクで表示されます。リンクをクリックすると、機器一覧画面が表示されます。

JP1/IT Desktop Management 2の操作ログはコンピュータのFQDN(完全就職ドメイン名)で表示されるため、秘文ログで出力されたコンピュータ名とは異なって表示される場合があります。

[ホスト識別子]列

JP1/IT Desktop Management 2で管理している機器情報と同定できた場合は、その機器のホスト識別子が表示されます。

同定できなかった場合は、空になります。

[ユーザー名]列

Windowsユーザー名が表示されます。

[操作種別]列

「[操作種別]の表示内容」を参照してください。

[操作種別(詳細)]列

「[操作種別(詳細)]の表示内容」を参照してください。

[操作対象]列

次に示す内容が表示されます。

アクセスログ

ファイル名が表示されます。ただし、「プロセス生成」、「プロセスの権限更新」、および「プロセス終了」の場合はプロセス名が表示されます。

イベントログ

イベントの対象が表示されます。

秘文拡張操作ログ

ファイル名が表示されます。

[操作内容]列

次に示す内容が表示されます。

アクセスログ

「ステータス」、「プロセス名」、「メッセージ1」、「メッセージ2」、および「メッセージ3」が「,」(コンマ)区切りで列挙された内容

イベントログ

ステータス

秘文拡張操作ログ

「ステータス」、「プロセス名」、「メッセージ1」、「メッセージ2」、および「メッセージ3」が「,」(コンマ)区切りで列挙された内容

  • [ファイル作成日時]列

  • [ファイル更新日時]列

  • [持ち込み日時]列

空になります。

  • [ファイルサイズ]列

  • [持ち出し先ドライブ種別]列

秘文拡張操作ログのファイル操作ログの場合だけ表示されます。秘文での設定が必要です。

[印刷ページ数]列

空になります。

[シリアルナンバー]列

デバイス接続のログの場合に表示されます。また、固体識別ログの場合で「秘文ログの操作値」が「CFL」、「OPN」、「WRI」、「DEL」、「CDR」、「DDR」または「REN」の場合に表示されます。秘文での設定が必要です。

シリアル番号がOSから自動的に付与された場合は、末尾に「[*]」が追加されます。

[デバイス区分]列

デバイス接続のログの場合だけ表示されます。

秘文ログのコンピュータ名と機器のホスト名の同定

秘文ログを取り込む時に、秘文ログのコンピュータ名をJP1/IT Desktop Management 2の機器のホスト名に引き当てます。引き当て(同定)に成功した場合、秘文ログとJP1/IT Desktop Management 2の機器を関連づけます。引き当て(同定)に失敗した秘文ログは、セキュリティ画面の[操作ログ]画面でホスト識別子が表示されません。

[操作種別]の表示内容

[操作種別]の表示内容

秘文のアクセスログまたは秘文の拡張操作ログのログタイプ値

検索されるフィルタ

[秘文]暗号化対象ファイルへのアクセス

MYS

操作対象ファイル名(操作種別がファイル操作の場合)

[秘文]ネットワークおよび禁止された制御メディアへのアクセス

RES

操作対象ファイル名(操作種別がファイル操作の場合)

[秘文]許可された制御メディアへのアクセス:暗号文

CMD

操作対象ファイル名(操作種別がファイル操作の場合)

[秘文]許可された制御メディアへのアクセス:平文

PMD

操作対象ファイル名(操作種別がファイル操作の場合)

[秘文]内蔵ハードディスクへのアクセス

NRD

操作対象ファイル名(操作種別がファイル操作の場合)

[秘文]プリンタ出力

PRT

印刷ドキュメント名(操作種別が印刷操作の場合)

[秘文]秘文持ち出しによるアクセス/秘文機密ファイル作成

VFL

操作対象ファイル名(操作種別がファイル操作の場合)

[秘文]共有機密フォルダへのアクセス

NET

操作対象ファイル名(操作種別がファイル操作の場合)

[秘文]メール持ち出しによるアクセス

TCP

[秘文]デバイスの接続

CON

  • デバイス名(操作種別がデバイス操作の場合)

  • デバイス区分(操作種別がデバイス操作の場合)

[秘文]ネットワークへのアクセス

NAC

[秘文]ファイル保護

EFP

[秘文]プログラム起動/終了

CLS

プロセス名(操作種別がプログラムの起動と停止の場合)

[秘文]マルウェア検知(CylancePROTECT)

CYL

[秘文]イベントログ

[秘文]アプリケーション操作ログ

OMA

ウィンドウタイトル(操作種別がウィンドウ操作の場合)

[秘文]ファイル操作ログ

OMF

  • 持ち出し先ドライブ種別(操作種別がファイル操作の場合)

  • 操作対象ファイル名(操作種別がファイル操作の場合)

不明

(凡例)−:該当なし

[操作種別(詳細)]の表示内容

[操作種別(詳細)]の表示内容

秘文ログの操作値

秘文ログの種別

[秘文]ファイルを開く/ファイルを作成する/ファイルを印刷する

CFL

A

[秘文]ファイルを開く

OPN

A

[秘文]ファイルを開く/ファイルを書き込みモードで開く

WRI

A

[秘文]ファイルを削除する

DEL

A

[秘文]フォルダを作成する

CDR

A

[秘文]フォルダを削除する

DDR

A

[秘文]フォルダ・ファイルの名称を変更する/同一ドライブ内で移動する/共有機密フォルダから自フォルダ内でフォルダを移動する

REN

A

[秘文]共有機密フォルダをコピーする

CPD

A

[秘文]共有機密フォルダから自フォルダ外へフォルダを移動する

MVD

A

[秘文]複製ファイル取得機能のコピー操作

CPY

A

[秘文]ライティングソフト起動

MED

A

[秘文]秘文持ち出し:組織外

VFO

A

[秘文]秘文持ち出し:閲覧専用

VFV

A

[秘文]秘文持ち出し:平文

VFP

A

[秘文]秘文機密ファイル作成

ARC

A

[秘文]メールの送信

MAL

A

[秘文]リムーバブルメディアの接続

REM

A

[秘文]外付けハードディスクの接続

EXD

A

[秘文]CD/DVDドライブの接続

CDD

A

[秘文]赤外線の接続

IRD

A

[秘文]Bluetoothの接続

BTH

A

[秘文]無線LANの接続

WLN

A

[秘文]モデムの接続

MDM

A

[秘文]イメージングデバイスの接続

IMG

A

[秘文]Windowsポータブルデバイスの接続

WPD

A

[秘文]Windowsモバイルデバイスの接続

WML

A

[秘文]Palmハンドヘルドデバイスの接続

PLM

A

[秘文]BlackBerryデバイスの接続

BBY

A

[秘文]シリアルポート/パラレルポートの接続

SPP

A

[秘文]その他の制御対象デバイスの接続

OTR

A

[秘文]有線LAN(USB接続)の接続

ULN

A

[秘文]有線LAN(USB接続以外)の接続

OLN

A

[秘文]有線LANの接続

LCN

A

[秘文]無線LANの接続(ネットワーク接続ログ)

WCN

A

[秘文]無線LANのローミング再接続

WRA

A

[秘文]ネットワークの通信(TCP/IP)

COM

A

[秘文]ファイルアクセス

CRF

A

[秘文]ネットワーク通信

NWA

A

[秘文]プロセス生成

CRP

A

[秘文]プロセスの権限更新

UPP

A

[秘文]プロセス終了

TEP

A

[秘文]プログラムファイルのロード

LOD

A

[秘文]マルウェア検知イベント発生(CylancePROTECT)

MDE

A

[秘文]メモリ保護イベントまたはスクリプト禁止イベント発生(CylancePROTECT)

MWE

A

[秘文]その他のイベント発生(CylancePROTECT)

COE

A

[秘文]不明なイベント発生(CylancePROTECT)

CUK

A

[秘文]秘文DCまたは秘文DEにログイン

LOGIN

E

[秘文]秘文DCまたは秘文DEからログアウト

LOGOUT

E

[秘文]秘文DCまたは秘文DEログイン失敗

LOGERR

E

[秘文]秘文DE(FS)にログイン

FSLOGIN

E

[秘文]秘文DE(FS)からログアウト

FSLOGOUT

E

[秘文]秘文DE(FS)ログイン失敗

FSLOGERR

E

[秘文]秘文ICにログイン

ICLOGIN

E

[秘文]秘文ICからログアウト

ICLOGOUT

E

[秘文]秘文ISにログイン

ISLOGIN

E

[秘文]秘文ISからログアウト

ISLOGOUT

E

[秘文]秘文ISログイン失敗

ISLOGERR

E

[秘文]秘文IFにログイン

IFLOGIN

E

[秘文]秘文IFからログアウト

IFLOGOUT

E

[秘文]秘文IFログイン失敗

IFLOGERR

E

[秘文]管理者コマンド実行

MNGCMD

E

[秘文]クライアント設定変更

CNFUPDATE

E

[秘文]秘文DC/秘文DE(FS)/秘文IF/秘文ISのパスワードを変更

CHGPASLOC

E

[秘文]スクリーンロック

SCLOCK

E

[秘文]スクリーンロック解除

SCUNLOCK

E

[秘文]端末ロック

PCLOCK

E

[秘文]端末ロック解除

PCUNLOCK

E

[秘文]デバイス使用可否制御設定更新

DEVUPDATE

E

[秘文]許可ネットワーク制御設定更新

NETUPDATE

E

[秘文]社内モード切り替え

INTCHG

E

[秘文]社外モード切り替え

EXTCHG

E

[秘文]ファイル保護設定更新

EFPUPDATE

E

[秘文]PC起動

PON

E

[秘文]PC終了

POF

E

[秘文]Windowsログオン

WSI

E

[秘文]Windowsログオフ

WSO

E

[秘文]拡張ログ設定更新

TLSUPDATE

E

[秘文]ウィンドウアクティブ

ACT

H

[秘文]エンジン開始

EST

H

[秘文]休止及び待機状態

PWR

H

[秘文]ログオフおよびシャットダウン

END

H

[秘文]ログ取得開始

LST

H

[秘文]エンジン終了

EEN

H

[秘文]エンジン異常

OME

H

[秘文]ファイル作成

FCR

H

[秘文]ファイルコピー

FCP

H

[秘文]ファイル移動

FMV

H

[秘文]ファイル名変更

FRE

H

[秘文]ファイル削除

FDE

H

[秘文]ファイルオープン

FOP

H

[秘文]ファイル上書き保存

FUD

H

[秘文]ドライブの追加

ADD

H

[秘文]ドライブの削除

DED

H

不明

(凡例)A:アクセスログ E:イベントログ H:秘文拡張操作ログ −:該当なし

注※ 秘文のバージョンが10-50以前の操作を示します。

(5) 秘文ログ取り込みの設定

秘文ログを取り込む場合、外部ログインポートコマンド用設定ファイルを変更する必要があります。デフォルトでは秘文ログを取り込まない設定です。外部ログインポートコマンド用設定ファイルの詳細は、マニュアル「JP1/IT Desktop Management 2 運用ガイド」の「ioutils importexlog(外部ログのインポート)」を参照してください。

取り込まない秘文ログの設定

秘文ログを取り込む時に、取り込まない秘文ログを外部ログインポート用設定ファイルで指定できます。 デフォルトでは次に示す秘文ログを取り込まない設定です。

未知の秘文ログの取り込み

(4) JP1/IT Desktop Management 2に取り込んだ秘文ログの表示」の「[操作種別]の表示内容」の表および「[操作種別(詳細)]の表示内容」の表に記載されていない、未知の秘文ログをJP1/IT Desktop Management 2に取り込む場合、外部ログインポートコマンド用設定ファイルを変更する必要があります。デフォルトでは未知の秘文ログを取り込まない設定です。

操作ログのデータベースに取り込んだ未知の秘文ログは、セキュリティ画面の[操作ログ一覧]画面で、[操作種別]および[操作種別(詳細)]に「不明」と表示されます。この場合、未知の秘文ログの操作の値が、「,」(コンマ)区切りで[操作対象]に表示されます。

(6) 秘文ログ取り込みの注意事項

秘文ログ取り込みの注意事項を次に示します。