2. ALogの概要

本章ではALogの機能や仕組みを説明します。

---

2.1. ALogとは

ALogは、様々なITシステムのログを収集・分析・保管するログマネジメント製品です。

ホストが出力する複雑なイベントログ(生ログ)を解析し、実際にユーザーが実行した操作パターン(アクセスログ)に分析変換します。

イベントログのままでは解読が難しい「いつ、誰が、どのファイルに、何をした」が、ALogによって一目でわかります。

2.1.1. ALogの仕組み

ALogは、対象ホストが出力するイベントログ(生ログ)を収集し、アクセスログに変換します。

アクセスログはALogに内蔵されたデータベースに保存されると同時に、既定のフォルダーにCSVファイルとして出力されます。

『直近のアクセスログを検索するためのデータベース』、『長期保管のためのCSVファイル』と言う使い分けが適しています。

2.1.2. イベントログの収集の仕組み

イベントログの収集方式にはエージェントレス方式とエージェント方式があります。

エージェントレス方式は、対象ホストに出力されたイベントログをALogが自動的に収集します。通常はこの方式を使用します。

エージェント方式は、対象ホストにサービスを追加し、ALogがインストールされているホストへイベントログを定期的に転送します。

エージェントレス方式
エージェント方式

注意

エージェント方式に対応しているログタイプは、Windowsアクセスログ、SQL Serverの2つです。

ヒント

エージェント方式は、次のような環境の場合に推奨します。

• 通信速度が遅い環境

• 対象ホストが多いため、ALogをインストールするホストのリソース消費を軽減したい

---

2.2. アクセスログについて

2.2.1. アクセスログのフォーマット

ALogのアクセスログのフォーマットは以下のとおりです。

	フィールド名	概要
必須項目	TimeStamp	ログの日時 フォーマットは “yyyy/mm/dd hh:mm:ss.fff”
	Host	対象ホストのホスト名
	SourceType	対象ホストが属するシステムのタイプ
	Event	変換元のデータ。上記のいずれにも含まれない情報も表記される 例：操作を実行したアプリケーション名、クライアントPCのIPアドレスなど 詳しくは「詳細項目一覧 」を参照
任意項目	任意名称	対象ホストの出力フォーマット欄で指定した項目 マッピング設定が可能なシステムでのみ指定可能

2.2.2. アクセスログの種別

ALogでマッピングをしている製品のアクセスログ種別については以下のとおりです。

表 2.1 システム別の対応ログ種別

ログ種別	Windows 1	NetApp	EMC	PowerScale	SQL Server	Oracle	Linux	Amazon FSx for Windows	Amazon FSx for NetApp
ファイルアクセスログ	○	○	○	○	-	-	○	-	○
ログオンログ	○	-	-	-	-	-	-	-	-
管理者操作ログ	○	-	-	-	-	-	-	-	-
プリントログ	○	-	-	-	-	-	-	-	-
ログオン/ログオフログ(スクリプト)	○	-	-	-	-	-	-	-	-
アプリケーション起動ログ	○	-	-	-	-	-	-	-	-
アクセス権変更ログ	○	○	○	○	-	-	○	-	○
DBアクセスログ	-	-	-	-	○	○	-	-	-
DBログオン/ログオフログ	-	-	-	-	○	○	-	-	-
DB管理者操作ログ	-	-	-	-	○	○	-	-	-
RAWSQLログ	-	-	-	-	○	○ 2 3	-	-	-
SYSDBAログ	-	-	-	-	-	○	-	-	-
コマンド実行ログ	-	-	-	-	-	-	○	-	-
ログオン/ログオフログ	-	-	-	-	-	-	○	-	-
syslog	-	-	-	-	-	-	○	-	-
オブジェクトアクセスログ	-	-	-	-	-	-	-	○	-

1

本表における「Windows」とは「Windowsアクセスログ」のことを指します。

2

RAWSQLログは、トレースログの出力形式が「DB出力」もしくは「XML出力」の場合に取得可能です。「OS出力」の場合は取得できません。

3

RAWSQLログを選択するとログ量が増加しますので、収集対象とする際は、対象ホストとALogのディスク空き容量を大きくしてください。また、出力するログ量に応じてCPUの負荷が高くなる場合があります。

ヒント

ログオン/ログオフログ(スクリプト)について イベントログからログオン/ログオフの操作を正確に把握することが難しいため、ユーザーのドメインへのログオン/ログオフ時にスクリプトを実行して明示的にログを出力します。

それぞれのアクセスログにおいて出力される操作内容は以下のとおりです。

注意

各製品において失敗のログ（XXX-Failure）は環境、条件によっては出力されないことがあります。

2.2.2.1. Windowsアクセスログ

ログ種別	出力内容 (Operation)	概要
ファイルアクセスログ	READ READ-Failure WRITE WRITE-Failure DELETE DELETE-Failure RENAME RENAME-Failure MOVE COPY	ファイルの読み込み ファイルの読み込みの失敗 ファイルまたはフォルダーへの書き込み ファイルまたはフォルダーへの書き込みの失敗 ファイルまたはフォルダーの削除 ファイルまたはフォルダーの削除の失敗 ファイルまたはフォルダーの名前変更/移動 ファイルまたはフォルダーの名前変更/移動の失敗 ファイルまたはフォルダーの移動 4 ファイルのコピー 5
ログオンログ	LOGON LOGON-Failure	ユーザーアカウントの認証 6 ユーザーアカウントの認証の失敗 6
管理者操作ログ	ADMIN ADMIN-Failure	管理者による操作 管理者による操作の失敗
プリントログ	PRINT	プリントホストによる印刷
ログオン/ログオフログ(スクリプト)	LOGON LOGOFF	ドメイン認証によるログオン ドメインからのログオフ
アプリケーション起動ログ	CREATE EXIT	アプリケーションプロセスの起動 アプリケーションプロセスの終了
アクセス権変更ログ	P-ACCESS P-ACCESS-Failure	ファイルまたはフォルダーのアクセス権変更 ファイルまたはフォルダーのアクセス権変更の失敗

4

MOVEは、同ドライブにおいて移動元/移動先双方のログがイベントログに書き込まれ、それぞれの関連性が読み取れる場合に出力されます。

5

COPYは、コピー元/コピー先双方のログがイベントログに書き込まれ、それぞれの関連性が読み取れる場合に出力されます。

6(1,2)

ドメインコントローラーにおけるドメインアカウントの認証、またはホストにおけるローカルアカウントの認証を表します。詳細項目として、認証方式を表す「AuthType」が付加されます。

ヒント

管理者操作ログ（ADMIN）は以下の操作を実行したときに出力されます。

• ドメインのポリシー変更 / 監査ポリシーの変更 / セキュリティオプションの変更

• ユーザーアカウントの作成、変更、削除、無効化、有効化、パスワード変更

• ロックアウト、ロックアウト解除 / アカウント名の変更 / グループの作成、変更、削除

• グループメンバの追加、削除 / コンピュータアカウントの作成、変更、削除

2.2.2.2. NetApp

ログ種別	出力内容 (Operation)	概要
ファイルアクセスログ	READ READ-Failure WRITE WRITE-Failure DELETE DELETE-Failure RENAME MOVE	ファイルの読み込み ファイルの読み込みの失敗 ファイルまたはフォルダーへの書き込み ファイルまたはフォルダーへの書き込みの失敗 ファイルまたはフォルダーの削除 ファイルまたはフォルダーの削除の失敗 ファイルまたはフォルダーの名前変更/移動 ファイルまたはフォルダーの移動 7
アクセス権変更ログ	P-ACCESS	ファイルまたはフォルダーのアクセス権変更

7

MOVEは、同ドライブにおいて移動元/移動先双方のログがイベントログに書き込まれ、それぞれの関連性が読み取れる場合に出力されます。

2.2.2.3. EMC

ログ種別	出力内容 (Operation)	概要
ファイルアクセスログ	READ READ-Failure WRITE WRITE-Failure DELETE DELETE-Failure RENAME RENAME-Failure	ファイルの読み込み ファイルの読み込みの失敗 ファイルまたはフォルダーへの書き込み ファイルまたはフォルダーへの書き込みの失敗 ファイルまたはフォルダーの削除 ファイルまたはフォルダーの削除の失敗 ファイルまたはフォルダーの名前変更/移動 ファイルまたはフォルダーの名前変更/移動の失敗
アクセス権変更ログ	P-ACCESS P-ACCESS-Failure	ファイルまたはフォルダーのアクセス権変更 ファイルまたはフォルダーのアクセス権変更の失敗

2.2.2.4. PowerScale

ログ種別	出力内容 (Operation)	概要
ファイルアクセスログ	READ READ-Failure WRITE WRITE-Failure DELETE DELETE-Failure RENAME RENAME-Failure MOVE	ファイルの読み込み ファイルの読み込みの失敗 ファイルまたはフォルダーへの書き込み ファイルまたはフォルダーへの書き込みの失敗 ファイルまたはフォルダーの削除 ファイルまたはフォルダーの削除の失敗 ファイルまたはフォルダーの名前変更/移動 ファイルまたはフォルダーの名前変更/移動の失敗 ファイルまたはフォルダーの移動 8
アクセス権変更ログ	P-ACCESS P-ACCESS-Failure	ファイルまたはフォルダーのアクセス権変更 ファイルまたはフォルダーのアクセス権変更の失敗

8

MOVEは、同ドライブにおいて移動元/移動先双方のログがイベントログに書き込まれ、それぞれの関連性が読み取れる場合に出力されます。

2.2.2.5. SQL Server

ログ種別	出力内容 (Operation)	概要
DBアクセスログ	DB_SELECT DB_SELECT-Failure DB_INSERT DB_INSERT-Failure DB_DELETE DB_DELETE-Failure DB_UPDATE DB_UPDATE-Failure	テーブルのデータの参照 テーブルのデータの参照の失敗 テーブルへのデータの追加 テーブルへのデータの追加の失敗 テーブルのデータの削除 テーブルのデータの削除の失敗 テーブルのデータの更新 テーブルのデータの更新の失敗
DBログオン/ログオフログ	DB_LOGON DB_LOGON-Failure DB_LOGOFF	データベースへのログオン データベースへのログオンの失敗 データベースからのログオフ
DB管理者操作ログ	DB_ADMIN DB_ADMIN-Failure	データベース管理者による操作 データベース管理者による操作の失敗
RAWSQLログ	DB_RAWSQL DB_RAWSQL-Failure	実行されたSQLコマンド文 実行に失敗したSQLコマンド文

ヒント

DB管理者操作ログ（DB_ADMIN）は、主に以下の操作を実行したときに出力されます。

• テーブルの追加 / 変更 / 削除

• インデックスの追加 / 変更 / 削除

• ユーザーの追加 / 変更 / 削除

2.2.2.6. Oracle

ログ種別	出力内容 (Operation)	概要
DBアクセスログ	DB_SELECT DB_SELECT-Failure DB_INSERT DB_INSERT-Failure DB_DELETE DB_DELETE-Failure DB_UPDATE DB_UPDATE-Failure	テーブルのデータの参照 テーブルのデータの参照の失敗 テーブルへのデータの追加 テーブルへのデータの追加の失敗 テーブルのデータの削除 テーブルのデータの削除の失敗 テーブルのデータの更新 テーブルのデータの更新の失敗
DBログオン/ログオフログ	DB_LOGON DB_LOGON-Failure DB_LOGOFF	データベースへのログオン データベースへのログオンの失敗 データベースからのログオフ
DB管理者操作ログ	DB_ADMIN DB_ADMIN-Failure	データベース管理者による操作 データベース管理者による操作の失敗
SYSDBAログ	DB_SYSDBA	SYSDBA権限/SYSOPER権限で実行されたコマンド文
RAWSQLログ	DB_RAWSQL DB_RAWSQL-Failure	実行されたSQLコマンド文 実行に失敗したSQLコマンド文

ヒント

DB管理者操作ログ（DB_ADMIN）は、主に以下の操作を実行したときに出力されます。

• テーブルの追加 / 変更 / 削除

• インデックスの追加 / 変更 / 削除

• ユーザーの追加 / 変更 / 削除

2.2.2.7. Linux

ログ種別	出力内容 (Operation)	概要
ファイルアクセスログ	READ READ-Failure WRITE WRITE-Failure DELETE DELETE-Failure RENAME RENAME-Failure	ファイルの読み込み ファイルの読み込みの失敗 ファイルまたはフォルダーへの書き込み ファイルまたはフォルダーへの書き込みの失敗 ファイルまたはフォルダーの削除 ファイルまたはフォルダーの削除の失敗 ファイルまたはフォルダーの名前変更/移動 ファイルまたはフォルダーの名前変更/移動の失敗
アクセス権変更ログ	P-ACCESS P-ACCESS-Failure	ファイルまたはフォルダーのアクセス権変更 ファイルまたはフォルダーのアクセス権変更の失敗
コマンド実行ログ 9	EXEC EXEC-Failure	Linuxコマンドの起動 Linuxコマンドの起動失敗 10
ログオン/ログオフログ	LOGON LOGON-Failure LOGOFF	Linuxマシンへのログオン Linuxマシンへのログオン失敗 Linuxマシンからのログオフ
syslog	SYSLOG	syslogの1レコード

9

コマンド実行ログはLinuxコマンドのうち、外部コマンドを実行した履歴です。シェルのビルトインコマンド(組み込みコマンド)は出力されません。

10

EXEC-Failureはコマンド実行そのものの失敗(プロセスの起動失敗)の場合にのみ出力されます。

2.2.2.8. Amazon FSx for Windows File Server

Amazon FSx for Windows File Server は通常のWindowsOSと比較して出力されるイベントログの一部がカットされています。

そのためALogでは、出力されたログの中からオブジェクトアクセス(ファイルへのアクセス、失敗)に関するログを整形した形で出力します。

ログ種別	出力内容 (Operation)	概要
オブジェクトアクセスログ	ObjectAccess ObjectAccess-Failure	ファイルへのアクセス ファイルへのアクセス失敗

ヒント

実際にどのような操作が行われたかは、詳細フィールドに記録されるAccessList、AccessMaskを参照してください。

2.2.2.9. Amazon FSx for NetApp ONTAP

Amazon FSx for NetApp ONTAP は通常のNetAppと同様のログが出力できます。

ログ種別	出力内容 (Operation)	概要
ファイルアクセスログ	READ READ-Failure WRITE WRITE-Failure DELETE DELETE-Failure RENAME MOVE	ファイルの読み込み ファイルの読み込みの失敗 ファイルまたはフォルダーへの書き込み ファイルまたはフォルダーへの書き込みの失敗 ファイルまたはフォルダーの削除 ファイルまたはフォルダーの削除の失敗 ファイルまたはフォルダーの名前変更/移動 ファイルまたはフォルダーの移動 11
アクセス権変更ログ	P-ACCESS	ファイルまたはフォルダーのアクセス権変更

11

MOVEは、同ドライブにおいて移動元/移動先双方のログがイベントログに書き込まれ、それぞれの関連性が読み取れる場合に出力されます。

2.2.3. ファイルアクセスログの出力パターン

ユーザーがファイルまたはフォルダーを操作したときに出力されるアクセスログは、以下のパターンで出力されます。

製品ごとに出力されるイベントログが異なるため、同じ操作内容であっても変換結果はすべての製品で必ずしも同一にはなりません。

ユーザーの操作	製品	操作ファイル
ファイルを開く	Windows 12 NetApp EMC PowerScale	READ READ READ READ
フォルダーを開く	Windows 12 NetApp EMC PowerScale	出力なし 13 出力なし 13 出力なし 13 出力なし 13
ファイル/フォルダーを新規作成 ファイルを更新	Windows 12 NetApp EMC PowerScale	WRITE WRITE WRITE WRITE
ファイル/フォルダーを削除	Windows 12 NetApp EMC PowerScale	DELETE 14 DELETE 14 DELETE 14 DELETE 14

12(1,2,3,4)

本表における「Windows」とは「Windowsアクセスログ」のことを指します。

13(1,2,3,4)

フォルダーだと判定できないイベントログの場合、READが出力されます。

14(1,2,3,4)

削除したフォルダーのサブフォルダーに対しても「DELETE」が出力されます。

ユーザーの操作	製品	元ファイル	新ファイル
ファイルをコピー	Windows 15 NetApp NetApp EMC PowerScale	COPY/READ READ READ READ	WRITE WRITE WRITE WRITE
フォルダーをコピー	Windows 15 NetApp NetApp EMC PowerScale	COPY/出力なし 出力なし 出力なし 出力なし	WRITE 16 WRITE 16 WRITE 16 WRITE 16
ファイル/フォルダーの名前変更	Windows 15 NetApp NetApp EMC PowerScale	RENAME RENAME RENAME RENAME	WRITE/READ/出力なし WRITE READ/出力なし WRITE
ファイルを移動 (同ドライブへの移動)	Windows 15 NetApp NetApp EMC PowerScale	MOVE MOVE RENAME MOVE	WRITE WRITE READ/出力なし WRITE
フォルダーを移動 (同ドライブへの移動)	Windows 15 NetApp NetApp EMC PowerScale	MOVE/RENAME 17 MOVE 17 RENAME DELETE	WRITE/出力なし 17 WRITE 17 READ/出力なし 出力なし
ファイル/フォルダーを移動 (別ドライブへの移動)	Windows 15 NetApp NetApp EMC PowerScale	DELETE DELETE DELETE DELETE	WRITE WRITE WRITE WRITE/READ

※

コピーや移動の操作は、元ファイルと新ファイルの双方が監査対象である場合に上記のように出力されます。 監査対象外のマシンやドライブへのコピーや移動は、出力されているイベントログからわかる情報の範囲で変換されます。

※

コピーや移動の操作には、「新規でコピー/移動する」ケースと、「上書きでコピー/移動する」ケースがあります。この違いにより出力されるログが異なります。

15(1,2,3,4,5,6)

本表における「Windows」とは「Windowsアクセスログ」のことを指します。

16(1,2,3,4)

フォルダーを上書きコピーする場合は、新ファイル「出力なし」となります。

17(1,2,3,4)

フォルダーを上書き移動する場合は、元ファイル「DELETE」/新ファイル「出力なし」となります。

注意

対象ホストに対する操作が、リモート操作か、ローカル操作かによって出力されるログに違いが出ます。

注意

ALogのファイルアクセスログ変換ロジックは、以下のアプリケーションによるファイル操作が正しく反映されるよう作成されています。 その他のアプリケーションによる操作は期待する結果が得られないことがあります。

エクスプローラー / メモ帳 / ペイント / Microsoft Word, Excel, Power Point / Adobe Acrobat Reader

2.2.4. アクセスログの出力例

アクセスログの出力例をログ種別毎に記載します。

2.2.4.1. ファイルサーバ製品(Windows/NetApp/EMC/PowerScale/Amazon FSx for NetApp ONTAP)

一例として対象ホストがWindowsアクセスログの場合の出力例を記載します。

2.2.4.1.1. ファイルアクセスログ

TimeStamp	Host	SourceType	Event
2023/05/18 20:04:00.508	Server002	Windows-AccessLog	{TimeStamp:2023/05/18 20:04:00.508,AppName:C:\Windows\System32\notepad.exe,User:Domain\Kawasaki,Object:D:\共有\file.txt,Operation:READ,Count:1}
2023/05/18 20:04:54.590	Server002	Windows-AccessLog	{TimeStamp:2023/05/18 20:04:54.590,AppName:C:\Windows\System32\notepad.exe,User:Domain\Kawasaki,Object:D:\共有\file.txt,Operation:READ,Count:1}

2.2.4.1.2. ログオンログ

TimeStamp	Host	SourceType	Event
2023/05/21 20:32:48.892	DC001	Windows-AccessLog	{TimeStamp:2023/05/21 20:32:48.892,Host:DC001,AuthType:NTLM,ClientName:CLPC001,User:Domain\Kawasaki,,Object:CLPC001,Operation:LOGON,Count:1}
2023/05/22 15:24:59.800	ws2012r2ad	Windows-AccessLog	{TimeStamp:2023/05/22 15:24:59.800,Host:ws2012r2ad,AuthType:Kerberos,ClientName:192.168.1.111,User:AMIYA\user01,,Object:192.168.1.111,Operation:LOGON,Count:2}

2.2.4.1.3. 管理者操作ログ

TimeStamp	Host	SourceType	Event
2023/05/21 20:32:05.115	BVSRV01	Windows-AccessLog	{TimeStamp:2023/05/21 20:32:05.115,Host:BVSRV01,EventID:4719,,User:AMIYA\Admin,Object:監査ポリシーの変更:アカウント ログオン/資格情報の確認 (成功の追加, 失敗の追加),Operation:LOGON,Count:1}

2.2.4.1.4. プリントログ

TimeStamp	Host	SourceType	Event
2023/05/27 17:48:00.630	PTSV1	Windows-AccessLog	{TimeStamp:2023/05/27 17:48:00.630,Host:PTSV1,Printer:Epson-LP9000,Pages:4,User:suzuki,Object:設計書社外秘.doc,Operation:PRINT,Count:1}
2023/05/27 18:23:10.001	PTSV1	Windows-AccessLog	{TimeStamp:2023/05/27 18:23:10.001,Host:PTSV1,Printer:Epson-LP9000,Pages:2,User:sakura,Object:http://www.amiya.co.jp,Operation:PRINT,Count:1}

2.2.4.1.5. ログオン/ログオフログ（スクリプト）

TimeStamp	Host	SourceType	Event
2023/05/27 17:48:00.233	DC001	Windows-AccessLog	{TimeStamp:2023/05/27 17:48:00.233,Host:DC001,ClientIP:169.254.123.159,ClientName:CLPC001,LogonType:Script,User:Domain\Kawasaki,Object:CLPC001[169.254.123.159],Operation:LOGON,Count:1}
2023/05/27 17:48:00.909	DC001	Windows-AccessLog	{TimeStamp:2023/05/27 17:48:00.909,Host:DC001,ClientIP:169.254.123.159,ClientName:CLPC001,LogonType:Script,User:Domain\Kawasaki,Object:CLPC001[169.254.123.159],Operation:LOGOFF,Count:1}

2.2.4.1.6. アプリケーション起動ログ

TimeStamp	Host	SourceType	Event
2023/05/18 20:04:03.160	ALOG	Windows-AccessLog	{TimeStamp:2023/05/18 20:04:03.160,Host:ALOG,AppName:C:\Windows\System32\cmd.exe,User:Domain\Kawasaki,Object:C:windowssystem32cmd.exe,Operation:CREATE,Count:1}
2023/05/18 20:23:10.748	ALOG	Windows-AccessLog	{TimeStamp:2023/05/18 20:23:10.748,Host:ALOG,AppName:C:\Windows\System32\cmd.exe,User:Domain\Kawasaki,Object:C:windowssystem32cmd.exe,Operation:EXIT,Count:1}

2.2.4.1.7. アクセス権変更ログ

TimeStamp	Host	SourceType	Event
2023/06/01 19:24:44.560	FS01	Windows-AccessLog	{TimeStamp:2023/06/01 19:24:44.560,Host:FS01,ClientIP:192.168.0.1,User:Domain\Kawasaki,Object:E:\共有\01_顧客情報,Operation:P-ACCESS,Count:1}

2.2.4.2. DB製品 (SQL Server/Oracle)

一例として対象ホストがOracleの場合の出力例を記載します。

2.2.4.2.1. DBアクセスログ

TimeStamp	Host	SourceType	Event
2023/10/29 13:58:48.776	DC001\ins01	Oracle	{TimeStamp:2023/10/29 13:58:48.776,Host:DC001\ins01,SQLServer,Operation:DB_SELECT,Object:テーブル[DUAL]のデータが参照されました,Schema:SYS,User:ALOGUSER,ClientName:AMIYA.CO.JP\CL001,ClientIP:192.168.1.1,AppName:sqlplus.exe,SesId:2307838131,OSUser:tanaka,DBID:1559801372,Count:4}

2.2.4.2.2. DBログオン/ログオフログ

TimeStamp	Host	SourceType	Event
2023/10/29 11:00:02.000	DC001\ins01	Oracle	{TimeStamp:2023/10/29 11:00:02.000,Host:DC001\ins01,Operation:DB_LOGON,Object:AMIYA.CO.JP\TANAKA,User:ALOGUSER,ClientName:AMIYA.CO.JP\CL001,ClientIP:192.168.1.1,AppName:sqlplus.exe,SesId:2307838131,OSUsertanaka,DBID:1559801372,Count:1}
2023/10/29 14:04:53.856	DC001\ins01	Oracle	{TimeStamp:2023/10/29 14:04:53.856,Host:DC001\ins01,Operation:DB_LOGOFF,Object:AMIYA.CO.JP\TANAKA,User:ALOGUSER,ClientName:AMIYA.CO.JP\CL001,ClientIP:192.168.1.1,AppName:sqlplus.exe,SesId:2307838131,OSUser:tanaka,DBID:1559801372,Count:1}

2.2.4.2.3. DB管理者操作ログ

TimeStamp	Host	SourceType	Event
2023/10/29 14:04:48.453	DC001\ins01	Oracle	{TimeStamp:2023/10/29 14:04:48.453,Host:DC001\ins01,Operation:DB_ADMIN,Object:テーブル[EMP]が作成されました,Schema:ALOGUSER,User:ALOGUSER,ClientName:AMIYA.CO.JP\CL001,ClientIP:192.168.1.1,AppName:sqlplus.exe,SesId:2307838131,OSUser:tanaka,DBID:1559801372,Count:1}
2023/10/29 14:04:19.585	DC001\ins01	Oracle	{TimeStamp:2023/10/29 14:04:19.585,Host:DC001\ins01,Operation:DB_ADMIN-Failure,Object:[EMP]に対する[GRANT01]からの[SELECT]操作の許可に失敗しました,Schema:ALOGUSER,User:ALOGUSER,ClientName:AMIYA.CO.JP\CL001,ClientIP:192.168.1.1,AppName:sqlplus.exe,SesId:2307838131,OSUser:tanaka,DBID:1559801372,Count:1}

2.2.4.2.4. RAWSQLログ

TimeStamp	Host	SourceType	Event
2023/10/29 14:04:26.272	DC001\ins01	Oracle	{TimeStamp:2023/10/29 14:04:26.272,Host:DC001\ins01,Object:drop table emp ,Operation:DB_RAWSQL,Schema:ALOGUSER,User:ALOGUSER,ClientName:AMIYA.CO.JP\CL001,ClientIP:192.168.1.1,AppName:sqlplus.exe,SesId:2307838131,OSUser:tanaka,DBID:1559801372,Count:1}

2.2.4.2.5. SYSDBAログ

TimeStamp	Host	SourceType	Event
2023/10/29 13:56:34.000	DC001\ins01	Oracle	{TimeStamp:2023/10/29 13:56:34.000,Host:DC001\ins01,Operation:DB_SYSDBA,Object:コミットされました,User:SYS/SYSDBA,ClientName:AMIYA.CO.JP\CL001,ClientIP:192.168.1.1,AppName:sqlplus.exe,SesId:3043955427,OSUser:tanaka,DBID:1559801372,Count:2}

2.2.4.3. Linux

対象ホストがLinuxの場合の出力例を記載します。

2.2.4.3.1. ファイルアクセスログ

TimeStamp	Host	SourceType	Event
2023/03/09 11:51:20.789	192.168.2.235	Linux	{TimeStamp:2023/03/09 11:51:20.789,Host:192.168.2.235,AppName:/usr/bin/mkdir,Tty:pts0,User:a_satou,Object:/tmp/dir123copy/資料/ファイルB,Operation:WRITE,Count:1}

2.2.4.3.2. アクセス権変更ログ

TimeStamp	Host	SourceType	Event
2023/03/09 09:28:26.097	192.168.2.235	Linux	{TimeStamp:2023/03/09 09:28:26.097,Host:192.168.2.235,AppName:/usr/bin/chmod,Tty:pts0,User:a_satou,Object:/home/a_satou/90_backup,Operation:P-ACCESS,Count:1}

2.2.4.3.3. コマンド実行ログ

TimeStamp	Host	SourceType	Event
2023/03/09 11:51:20.786	192.168.2.235	Linux	{TimeStamp:2023/03/09 11:51:20.786,Host:192.168.2.235,ClientIP:192.168.0.54,AppName:/usr/bin/cp,Tty:pts2,AuditUser:a_satou,CurrentDir:/home/aloguser,User:root,Object:cp -f /var/log/secure /var/tmp/alog/230-redhat72_secure.org,Operation:EXEC,Count:1}

2.2.4.3.4. ログオン/ログオフログ

2.2.4.3.4.1. SSH接続の場合

TimeStamp	Host	SourceType	Event
2023/03/08 21:06:04.699	192.168.2.235	Linux	{TimeStamp:2023/03/08 21:06:04.699,Host:192.168.2.235,AppName:/usr/sbin/sshd,ClientIP:192.168.0.54,User:devadmin,Object:192.168.0.54,Operation:LOGON,Count:1}
2023/03/08 21:05:40.027	192.168.2.235	Linux	{TimeStamp:2023/03/08 21:05:40.027,Host:192.168.2.235,ErrorCause:Unauthenticated,AppName:/usr/sbin/sshd,ClientIP:192.168.0.54,User:devadmin,Object:192.168.0.54,Operation:LOGON-Failure,Count:1}
2023/03/09 09:17:12.364	192.168.2.235	Linux	{TimeStamp:2023/03/09 09:17:12.364,Host:192.168.2.235,AppName:/usr/sbin/sshd,ClientIP:192.168.0.54,User:devadmin,Object:192.168.0.54,Operation:LOGOFF,Count:2}

2.2.4.3.4.2. ローカルログインの場合

ローカルログインは[Object]および[ClientIP]が記録されないことが特徴です。

TimeStamp	Host	SourceType	Event
2023/02/22 08:10:01.728	192.168.2.235	Linux	{TimeStamp:2023/02/22 08:10:01.728,Host:192.168.2.235,AppName:/usr/sbin/crond,User:root,Operation:LOGON,Count:1}

2.2.4.3.5. syslog

TimeStamp	Host	SourceType	Event
2023/10/10 16:20:01.000	192.168.2.235	Linux	{TimeStamp:2023/10/10 16:20:01.000,Host:192.168.2.235,User:RHEL93-01\messages,Object:systemd[1]: fprintd.service: Deactivated successfully.,Operation:SYSLOG,Count:1}
2023/10/10 05:00:00.000	192.168.2.235	Linux	{TimeStamp:2023/10/10 05:00:00.000,Host:192.168.2.235,User:RHEL93-01\cron,Object:CROND[630166]: (root) CMD (run-parts /etc/cron.hourly),Operation:SYSLOG,Count:1}

2.2.4.4. Amazon FSx for Windows File Server

対象ホストがAmazon FSx for Windows File Server の場合の出力例を記載します。

2.2.4.4.1. オブジェクトアクセスログ

TimeStamp	Host	SourceType	Event
2023/11/09 15:12:20.789	FSx-for-Windows	AmazonFSxforWindowsFileServer	{TimeStamp:2023/11/09 15:12:20.789,Host:FSx-for-Windows,AccessList:%%4423,AccessMask:0x80,User:a_satou,Object:\Device\HarddiskVolume14\share\顧客向け説明資料.xlsx,Operation:ObjectAccess,Count:1}

2.2.5. Windows「LOGON」のアクセスログについて

2.2.5.1. 対象ホストWindowsの場合のログオンログ出力ケースについて

アクセスログに「LOGON」と出力されるログ種別は2種類あります。

1. ログ種別「ログオンログ」

2. ログ種別「ログオン/ログオフログ(スクリプト)」

1.の「ログオンログ」は、基本的に「認証」(ユーザー名とパスワードによる本人確認)が行われたもののみを出力する方針です。

例外としてリモートデスクトップ接続のみ、「認証」ではありませんがログオンログに含めて出力しています。

2.の「ログオン/ログオフログ(スクリプト)」は、設置しておいたスクリプトがログオン時に実行され、ログが書き込まれます。

そのログを基にログオンログを出力します。

ログオンログを取得したいがどのホストを対象ホストとして登録すればよいか不明な場合、以下の記述のほか、「Windows「LOGON」に関する補足情報 」も参考にしてください。

2.2.5.1.1. ログ種別「ログオンログ」

ログ種別「ログオンログ」を取得する場合は、”認証が行われるホスト” を対象ホストとして登録してください。

1. ドメインアカウントの認証を表すLOGONを収集したい場合は、ドメインコントローラーのホストを対象ホストとして指定する

2. ローカルアカウントの認証を表すLOGONを収集したい場合は、該当アカウントが存在するコンピューターを対象ホストとして指定する

「ログオンログ」のアクセスログには、「AuthType」情報が出力されます。これは「認証」の種類を表す項目です。以下の2種類の出力があります。

　- [AuthType:Kerberos] … Kerberos認証

　- [AuthType:NTLM] … NTLM認証

対象ホストに対してリモートデスクトップ接続を行う場合のみ、認証を表すLOGONではなく、リモートデスクトップでログオンしたことを表すLOGONを追加で収集しています。

この場合、アクセスログには [LogonType:RemoteInteractive] と出力されます。

[AuthType]と[LogonType]が同時に1つのアクセスログに出力される場合もあります。その場合は、その対象ホストで認証し、その後そのホストにログオンしたことを意味しています。

2.2.5.1.2. ログ種別「ログオン/ログオフログ(スクリプト)」

ログ種別「ログオン/ログオフログ(スクリプト)」を取得する場合は、”スクリプト作成時に指定した書き込み先ホスト” を対象ホストとして登録してください。

スクリプトの作成/設置手順については 「ログオン/ログオフログ(スクリプト)」 を参照してください。

「ログオン/ログオフログ(スクリプト)」のアクセスログには、 [LogonType:Script] が出力されます。 (スクリプトによるLOGONには「AuthType」は出力されません。)

---

2.3. 動作環境について

本章ではALogの利用にあたって必要なシステム環境について説明します。

2.3.1. 対象ホストの動作環境

対象ホストの動作環境は以下のとおりです。対象ホストごとに対応OSや動作条件が異なります。

• 対応記載のあるバージョンであっても、すでに開発元のサポートが終了している場合は、十分なサポートを提供できないため、対象ホストは開発元のサポートが終了していないバージョンにアップデートすることを推奨

• 記載のないシステムはお客様環境での動作確認が必要

注意

クライアントマシンにWindows10/11をご利用の場合、以前のクライアントOSに比べてイベントログ量が純増します。 ログ出力先のドライブの容量や、イベントログを保存する場合の保存先の容量は以前のクライアントOSに比べて多めに見積もってください。

2.3.1.1. Windows

Windows Serverを対象ホストとする場合の動作環境は以下のとおりです。

項目	要件
対応OS	Windows Server 2016 / 2019 / 2022 / 2025 Windows Storage Server 2016 Windows Server IoT 2019 　※各OS のサービスパック（SP）に対応 　※各エディション（Standard / Enterprise / Datacenter）に対応 　※仮想環境（VMWare, Hyper-V, Citrix XenServer）に対応

◆動作条件

1. ファイルアクセスログの出力対象となるドライブがNTFSフォーマットであること（FATフォーマットには対応していません）

2. 対象ホストの管理共有へアクセスできること

3. ログの収集方式がエージェント方式の場合、対象ホストからALogがインストールされているホストの共有フォルダーへファイルの書き込みができること

2.3.1.2. NetApp

NetApp FAS/AFFシリーズを対象ホストとする場合の動作環境は以下のとおりです。

項目	要件
対応OS	サポート対象バージョン 18 　9.7、9.8、9.9.1、9.10、9.11.1、9.12.1、9.13.1、9.14.1、9.15.1、9.16.1 　Cloud Volumes ONTAP (旧ONTAP Cloud)、ONTAP Select に対応 　Lenovo ThinkSystem(ONTAP OS) に対応

18

上記でサポート対象バージョンであっても、開発元のサポートが終了しているバージョンについては、十分なサポートが行えないため、対象ホストは開発元のサポートが終了していないバージョンにアップデートすることを推奨します。

◆動作条件

1. ファイルアクセスログの出力対象となるファイル領域がCIFS領域であること（NFS領域には対応していません）

2. ONTAPの場合、ALogがインストールされているホストから対象ホストに対してsshコマンドが実行できること

3. ログのフォーマットがevtx形式であること(XML形式には対応していません)

4. NetAppにおけるLDAP認証方式がActive Directory認証であること (ActiveDirectory以外のLDAP認証を選択している場合、ファイルシステムNTFSを使用出来ず監査設定が行えないためALogを使用していただくことができません)

2.3.1.3. EMC

EMC Unity / PowerStore を対象ホストとする場合の動作環境は以下のとおりです。

項目	要件
対応OS	Unity サポート対象バージョン 19 5.1.3、5.2.0、5.2.1、5.2.2、5.3.0、5.3.1、5.4.0、5.4.1 PowerStore サポート対象バージョン 19 2.1、3.0、3.2、3.5、3.6、4.0、4.1

19(1,2)

上記でサポート対象バージョンであっても、開発元のサポートが終了しているバージョンについては、十分なサポートが行えないため、対象ホストは開発元のサポートが終了していないバージョンにアップデートすることを推奨します。

◆動作条件

1. イベントログのAutoArchive機能が利用できること

2. ファイルアクセスログの出力対象となるファイル領域がCIFS領域であること（NFS領域には対応していません）

2.3.1.4. PowerScale

PowerScaleを対象ホストとする場合の動作環境は以下のとおりです。

項目	要件
対応OS	サポート対象バーョン 20 9.4.0、9.5.0、9.7.0、9.7.1、9.8.0、9.9.0、9.10.0

20

上記でサポート対象バージョンであっても、開発元のサポートが終了しているバージョンについては、十分なサポートが行えないため、対象ホストは、開発元のサポートが終了していないバージョンにアップデートすることを推奨します。

◆動作条件

1. ファイルアクセスログの出力対象となるファイル領域がCIFS領域であること

2. ALogがインストールされているホストから対象ホストに対してsshコマンドが実行できること

2.3.1.5. SQL Server

SQL Serverを対象ホストとする場合の動作環境は以下のとおりです。

項目	要件
対応OS	Windows Server 2016 / 2019 / 2022 / 2025 　※各OS のサービスパック（SP）に対応 　※各エディション（Standard / Enterprise / Datacenter）に対応 　※仮想環境（VMWare, Hyper-V, Citrix XenServer）に対応
対応SQL Server	Microsoft SQL Server 2016 / 2017 / 2019 / 2022 　※各エディション（Standard, Enterprise, Business Intelligence）に対応 　※32bit版、64bit版ともに対応

◆動作条件

1. ALogがインストールされているホストから対象ホストのSQL Serverに対しリモート接続が出来ること

2. 対象ホストの管理共有へアクセスできること

3. ログの収集方式がエージェント方式の場合、対象ホストからALogがインストールされているホストの共有フォルダーへファイルの書き込みができること

4. 「ストアドプロシージャの自動実行」が許可されていること 21

5. AWE 機能が有効になっている場合、SQL Server を起動するWindows ユーザーアカウントに「lock pages in memory」権限が付与されていること 21

21(1,2)

「SQLトレース」監査方式を選択した場合に必要

2.3.1.6. Oracle

Oracle Databaseを対象ホストとする場合の動作環境は以下のとおりです。

項目	要件
対応OS	Windows Server 2016 / 2019 / 2022 Red Hat Enterprise Linux 7 / 8 / 9
対応Oracle Database	Oracle Database 19.3 / 21.1 22 / 23ai Express/Personal エディションには対応していません 23

22

21.1はリリースされているOracle Cloud (Linux OS)のみ対応しています。

23

上記以外の組み合わせはお問合せください。

◆動作条件

1. 「AUDIT_TRAIL」によるデータベースの監査が利用できること（既に設定されている場合は監査設定が変更されることがあります）

2. 監査設定が「統合監査」であること

2.3.1.7. Linux

Linuxを対象ホストとする場合の動作環境は以下のとおりです。

項目	要件
対応OS	Red Hat Enterprise Linux 7 / 8 / 9

◆動作条件

1. Auditd、sshd、zip、unzip、openssh-clientsがインストール済みであること

2. syslogを取得する場合は、「時刻」「ホスト名」「その他の情報」が半角空白で区切られた形式(Linuxのsyslogの出力形式が初期状態)であること

3. ログの形式はテキストファイルで、非圧縮またはZIP/GZIPの圧縮形式であること

4. 「/usr/local/sbin」が存在する環境であること

2.3.1.8. Amazon FSx for Windows File Server

Amazon FSx for Windows File Server を対象ホストとする場合の動作環境は以下のとおりです。

項目	要件
対応サービス	Amazon FSx for Windows File Server

◆動作条件

1. Amazon Kinesis Data Firehoseに監査イベントログ出力用の配信ストリームが作成済みであること

2. Amazon FSx for Windows File Server の監査イベントログ出力先が1の配信ストリームに設定されていること

3. Amazon S3に監査ログ出力用のバケットが作成済みであること

4. 1の配信ストリームの出力先が3のバケットに設定されていること

2.3.1.9. Amazon FSx for NetApp ONTAP

Amazon FSx for NetApp ONTAP を対象ホストとする場合の動作環境は以下のとおりです。

項目	要件
対応サービス	Amazon FSx for NetApp ONTAP

◆動作条件

1. ファイルアクセスログの出力対象となるファイル領域がCIFS領域であること（NFS領域には対応していません）

2. ALogがインストールされているホストから対象ホストに対してsshコマンドが実行できること

3. ログのフォーマットがevtx形式であること(XML形式には対応していません)

4. ストレージ仮想マシンの設定を「Active Directoryへの参加」にしていること

2.3.2. ALogの動作環境

ALogの動作環境は以下のとおりです。

項目	要件
対応OS	Windows Server 2016 / 2019 / 2022 / 2025 　※32bit版OSには対応していません 　※各OS のサービスパック（SP）に対応 　※各エディション（Standard / Enterprise / Datacenter）に対応 　※仮想環境（VMWare, Hyper-V, Citrix XenServer）に対応
CPU	2.7GHz 8コア 以上
メモリ	32GB 以上
ディスク	500GB以上の空き容量 　※SSD推奨 　※対象ホストの台数やアクセスログの保管期間の長さによって別途必要となります。
必要ソフトウェア	.NET 8 24 対応Webブラウザ: - Google Chrome - Microsoft Edge Microsoft SQL Server (対象ホストがSQL Server場合) 25

24

ALogの動作に必要なランタイムはアプリケーションに同梱されているため、別途インストールは不要

25

ALogをインストールするホストにSQL Serverのインストールが必要となる条件

　・対象ホストがSQL Serverで、対象ホスト追加時の監査設定で「SQLトレース」を選択する場合

　　※ログ収集対象となるSQL Serverと同等以上のバージョンが必要

2.3.3. 動作に必要なユーザーアカウントと権限

ALogのプログラムが正常に動作するには以下の権限を持ったユーザーアカウントが必要です。

インストールにあたってあらかじめこれらのユーザーアカウントを準備してください。

すべての製品共通で「ALogをインストールしたホストのWindowsユーザーアカウント」が必要になります。

2.3.3.1. Windows

対象ホストがWindowsの場合は以下のユーザーアカウントを準備してください。

必要なアカウント	説明
ALogをインストールするホストのWindowsユーザーアカウント	ALogをインストールするホストの管理者権限が必要 ドメイン環境で利用する場合はドメイン管理者グループ(Domain Admins)に所属している必要がある
対象ホストのWindowsユーザーアカウント	対象ホストとなるWindowsからイベントログを収集するためのアカウント - 対象ホストの管理者権限が必要 - 対象ホストのUACが有効になっている場合、以下のいずれかのアカウントが必要 　　a.ローカルのAdministratorアカウント 　　b.対象ホストのローカル管理者グループ(Administrators)に所属しているドメインユーザーアカウント

2.3.3.2. NetApp

対象ホストがNetAppの場合は以下のユーザーアカウントを準備してください。

必要なアカウント	説明
ALogをインストールするホストのWindowsユーザーアカウント	ALogをインストールするホストの管理者権限が必要 ドメイン環境で利用する場合はドメイン管理者グループ(Domain Admins)に所属している必要がある
SVMのSMBユーザーアカウント	SVM(対象ホスト)からイベントログを収集するためのアカウント SVMの管理者権限が必要
管理ホストのUNIXユーザーアカウント	監査設定を実行するためのアカウント 管理ホストのadmin権限を持っている必要がある

2.3.3.3. EMC

対象ホストがEMCの場合は以下のユーザーアカウントを準備してください。

必要なアカウント	説明
ALogをインストールするホストのWindowsユーザーアカウント	ALogをインストールするホストの管理者権限が必要 ドメイン環境で利用する場合はドメイン管理者グループ(Domain Admins)に所属している必要がある
EMCのSMBユーザーアカウント	EMCからイベントログを収集するためのアカウント 管理者権限が必要

2.3.3.4. PowerScale

対象ホストがPowerScaleの場合は以下のユーザーアカウントを準備してください。

必要なアカウント	説明
ALogをインストールするホストのWindowsユーザーアカウント	ALogをインストールするホストの管理者権限が必要 ドメイン環境で利用する場合はドメイン管理者グループ(Domain Admins)に所属している必要がある
OneFSのSMBユーザーアカウント	監査ログを収集するためのアカウント OneFSの管理者権限が必要
OneFSのUNIXユーザーアカウント	OneFSに対してのSSH接続に使用 root権限が必要 (ログ収集時、監査ログのログファイルの書き出し、Webコンソール経由の監査設定)

2.3.3.5. SQL Server

対象ホストがSQL Serverの場合は以下のユーザーアカウントを準備してください。

必要なアカウント	説明
ALogをインストールするホストのWindowsユーザーアカウント	ALogをインストールするホストの管理者権限が必要 ドメイン環境で利用する場合はドメイン管理者グループ(Domain Admins)に所属している必要がある
対象ホストの管理者アカウント	対象ホストからイベントログを収集するためのアカウント 対象ホストの管理者権限が必要 対象ホストのUACが有効になっている場合、以下のいずれかのアカウントが必要 　a.ローカルのAdministratorアカウント 　b.対象ホストのローカル管理者グループ(Administrators)に所属しているドメインユーザーアカウント
対象ホストのSQL Serverユーザーアカウント	対象ホストの監査の設定変更および監査の開始、停止を実行するためのアカウント Sysadmin権限のアカウントを用意する ※Sysadmin権限のアカウントが用意できない場合、最低限必要な権限は以下の通り 　VIEW SERVER STATE / CONTROL SERVER / 　VIEW ANY DEFINITION / ALTER ANY SERVER AUDIT / 　ALTER ANY EVENT SESSION
ALogをインストールするホストのSQL Serverユーザーアカウント	【SQLトレース監査を使用する場合のみ必要】 ALogにてログ変換タスクで使用するSQL Server(作業用データベース)を使用するためのアカウント ALTER TRACE権限を持っている必要がある

2.3.3.6. Oracle

対象ホストがOracle Databaseの場合は以下のユーザーアカウントを準備してください。

必要なアカウント	説明
ALogをインストールするホストのWindowsユーザーアカウント	ALogをインストールするホストの管理者権限が必要 ドメイン環境で利用する場合はドメイン管理者グループ(Domain Admins)に所属している必要がある
Oracleアカウント	対象ホストの監査設定（AUDIT_TRAIL）を行い、トレースログを出力させるためのアカウント 詳細は「Oracleを対象ホストとする場合のみの準備事項 」

2.3.3.7. Linux

対象ホストがLinuxの場合は以下のユーザーアカウントを準備してください。

必要なアカウント	説明
ALogをインストールするホストのWindowsユーザーアカウント	ALogをインストールするホストの管理者権限が必要 ドメイン環境で利用する場合はドメイン管理者グループ(Domain Admins)に所属している必要がある
Linuxのユーザーアカウント	監査設定や収集を実行するためのアカウント sshで対象ホストにログオンでき、sudoでコマンドを実行する権限を持っている必要がある

2.3.3.8. Amazon FSx for Windows File Server

対象ホストがAmazon FSx for Windows File Server の場合は以下のユーザーアカウントを準備してください。

必要なアカウント	説明
ALogをインストールするホストのWindowsユーザーアカウント	ALogをインストールするホストの管理者権限が必要 ドメイン環境で利用する場合はドメイン管理者グループ(Domain Admins)に所属している必要がある
AWSのIAMユーザーアカウント	対象ホスト(Amazon FSx for Windows File Server)からイベントログを収集するためのアクセスキーID/シークレットアクセスキーを作成するためのアカウント。 以下のAWS管理ポリシーをアタッチする必要がある。 - AmazonS3FullAccess - AmazonKinesisFirehoseReadOnlyAccess - AmazonFSxReadOnlyAccess
対象ホスト(Amazon FSx for Windows File Server)のWindowsユーザーアカウント	対象ホスト(Amazon FSx for Windows File Server)の共有フォルダーに監査設定をするためのアカウント ※任意指定 - 対象ホストの管理者権限が必要

2.3.3.9. Amazon FSx for NetApp ONTAP

対象ホストが Amazon FSx for NetApp ONTAP の場合は以下のユーザーアカウントを準備してください。

必要なアカウント	説明
ALogをインストールするホストのWindowsユーザーアカウント	ALogをインストールするホストの管理者権限が必要 ドメイン環境で利用する場合はドメイン管理者グループ(Domain Admins)に所属している必要がある
ストレージ仮想マシン(SVM)のSMBユーザーアカウント	対象ホストとなるストレージ仮想マシン(SVM)からイベントログを収集するためのアカウント ストレージ仮想マシン(SVM)の管理者権限が必要
管理エンドポイントのUNIXユーザーアカウント	監査設定を実行するためのアカウント ファイルシステムの管理エンドポイントのadmin権限を持っている必要がある(fsxadmin)

2.3.3.10. マッピング設定ができるシステム

対象ホストが自由にマッピングできるシステムの場合は以下のユーザーアカウントを準備してください。

ログの収集方式	ALogをインストールするホストの管理者アカウント	対象ホストの管理者アカウント
対象ホストのイベントログを収集	○	○
対象ホストの共有フォルダーから収集	○	○
ローカルフォルダーから収集	○	-
対象ホストにSCP接続して収集	○	○

必要なアカウント	説明
ALogをインストールするホストのWindowsユーザーアカウント	ALogをインストールするホストの管理者権限が必要 ドメイン環境で利用する場合はドメイン管理者グループ(Domain Admins)に所属している必要がある
対象ホストの管理者アカウント	対象ホストからログを収集するためのアカウント 1. 「対象ホストのイベントログを収集」にした場合は、対象ホストの管理者権限が必要 対象ホストのUACが有効になっている場合、以下のいずれかのアカウントが必要 a.ローカルのAdministratorアカウント b.対象ホストのローカル管理者グループ(Administrators)に所属しているドメインユーザーアカウント 2. 「対象ホストの共有フォルダーから収集」にした場合は、収集元となる共有フォルダーへのアクセス権限が必要 3. 「対象ホストにSCP接続して収集」にした場合は、対象ホストにSCP接続が可能なアカウントが必要 rootでのみアクセス可能なファイルを収集する場合は、上記アカウントにsudoでroot権限を付与できる設定と、アカウント自身の権限で作業ディレクトリにアクセスできる必要がある

2.3.4. 通信環境(使用ポート一覧)

ALogで使用するポートとその方向は以下の通りです。

「Webコンソール」は製品共通で使用します。その他は使用する製品欄を確認してください。

ヒント

動的ポートは、49152-65535 の範囲です。

2.3.4.1. Webコンソール

ブラウザ動作マシン⇒ALogをインストールしたホスト

ポート番号	用途
TCP80	HTTP (Webコンソールへのアクセス) 26

26

インストール時に指定したポート番号。ALog以外のマシンからWebコンソールにアクセスするためにはこのポートが解放されている必要がある

ALogをインストールしたホスト⇒ALogをインストールしたホスト

ポート番号	用途
TCP9200	内部DBで使用

ALogをインストールしたホスト⇒ドメインコントローラー

ポート番号	用途
TCP389 TCP636(SSL)	- WebコンソールのログインアカウントでLDAP認証を利用した場合に使用 - AD連携タスク動作時に使用

2.3.4.2. アクティベーション 27

ALogをインストールしたホストからインターネットアクセスが可能である必要があります。

注意

プロキシサーバー等、アクセスを制限する機器を経由する環境でインターネットアクセスをしている場合は、ALogアクティベーションセンター宛の通信を許可頂く必要があります。

27

本手順は、本契約ライセンス を適用した場合のみ実施が必要です。トライアルライセンスを適用した場合は実施不要です。

2.3.4.2.1. 使用ポート/宛先と通信方向について

ALogをインストールしたホスト⇒ALogアクティベーションセンター

ポート番号	宛先	用途
TCP443	**.execute-api.ap-northeast-1.amazonaws.com/prod/**	HTTPS (ALogをAPIにて認証する際に使用) 28

28

ALogをアクティベーションする際に、このポートが上位機器にて解放されている必要がある

2.3.4.3. Windows (エージェントレス方式)

ALogをインストールしたホスト⇒対象ホスト

ポート番号	用途
TCP445	SMB (イベントログの収集/各種監査設定)
TCP135、TCP動的ポート	RPC (イベントログの収集/各種監査設定)
ICMPエコー要求の受信許可	対象ホスト追加時Pingチェック ※チェックを行う場合のみ必要

2.3.4.4. Windows (エージェント方式)

ALogをインストールしたホスト⇒対象ホスト

ポート番号	用途
TCP445	SMB (エージェントの設置/動作指令/削除)
TCP135、TCP動的ポート	RPC (各種監査設定)
ICMPエコー要求の受信許可	対象ホスト追加時Pingチェック ※チェックを行う場合のみ必要

対象ホスト⇒ALogをインストールしたホスト

ポート番号	用途
TCP445	SMB (イベントログの転送)

2.3.4.5. NetApp

ALogをインストールしたホスト⇒対象ホスト

ポート番号	用途
TCP445	SMB (イベントログの収集、フォルダーの監査設定)
TCP22	ssh (監査ポリシー設定など)
ICMPエコー要求の受信許可	対象ホスト追加時Pingチェック ※チェックを行う場合のみ必要

2.3.4.6. EMC

ALogをインストールしたホスト⇒対象ホスト

ポート番号	用途
TCP445	SMB (イベントログの収集)
ICMPエコー要求の受信許可	対象ホスト追加時Pingチェック ※チェックを行う場合のみ必要

2.3.4.7. PowerScale

ALogをインストールしたホスト⇒対象ホスト

ポート番号	用途
TCP445	SMB (監査ログの収集)
TCP22	ssh (監査ログの収集/SID情報収集)
ICMPエコー要求の受信許可	対象ホスト追加時Pingチェック ※チェックを行う場合のみ必要

2.3.4.8. SQL Server (エージェントレス方式)

ALogをインストールしたホスト⇒対象ホスト

ポート番号	用途
TCP445	SMB (監査ログの収集)
TCP1433	対象SQL Serverへのアクセス ※既定のインスタンスの場合
UDP1434、TCP動的ポート	対象SQL Serverへのアクセス ※名前付きインスタンスの場合

2.3.4.9. SQL Server (エージェント方式)

ALogをインストールしたホスト⇒対象ホスト

ポート番号	用途
TCP445	SMB (エージェントの設置/動作指令/削除)
TCP1433	対象SQL Serverへのアクセス ※既定のインスタンスの場合
UDP1434、TCP動的ポート	対象SQL Serverへのアクセス ※名前付きインスタンスの場合

対象ホスト⇒ALogをインストールしたホスト

ポート番号	用途
TCP445	SMB (監査ログの転送)

2.3.4.10. Oracle

ALogをインストールしたホスト⇒対象ホスト

ポート番号	用途
TCP1521	対象Oracle Databaseへのアクセス

2.3.4.11. Linux

ALogをインストールしたホスト⇒対象ホスト

ポート番号	用途
TCP22	ssh(監査設定、auditログやsyslogの収集)
ICMPエコー要求の受信許可	対象ホスト追加時Pingチェック ※チェックを行う場合のみ必要

2.3.4.12. Amazon FSx for Windows File Server

ALogをインストールしたホストから対象ホスト⇒対象ホスト(FSx)

ポート番号	用途
TCP445	SMB (フォルダーの監査設定)
ICMPエコー要求の受信許可	対象ホスト追加時Pingチェック ※チェックを行う場合のみ必要

ALogをインストールしたホスト⇒AWS

ポート番号	用途
TCP443	SSL/TLS (ログの収集)

2.3.4.13. Amazon FSx for NetApp ONTAP

ALogをインストールしたホスト⇒対象ホスト(FSx)

ポート番号	用途
TCP445	SMB (イベントログの収集、フォルダーの監査設定)
TCP22	ssh (監査ポリシー設定など)
ICMPエコー要求の受信許可	対象ホスト追加時Pingチェック ※チェックを行う場合のみ必要

2.3.4.14. マッピング設定できるシステム

2.3.4.14.1. 対象ホストのイベントログを収集

ALogをインストールしたホスト⇒対象ホスト

ポート番号	用途
TCP445	SMB (ログの収集)
TCP135、TCP動的ポート	RPC (ログの収集)
ICMPエコー要求の受信許可	対象ホスト追加時Pingチェック ※チェックを行う場合のみ必要

2.3.4.14.2. 対象ホストの共有フォルダーから収集

ALogをインストールしたホストから対象ホスト⇒対象ホスト

ポート番号	用途
TCP445	SMB (ログの収集)
ICMPエコー要求の受信許可	対象ホスト追加時Pingチェック ※チェックを行う場合のみ必要

2.3.4.14.3. ローカルフォルダーから収集

ALogをインストールしたホストのローカルフォルダーから収集するため、対象ホストへの通信は必要ありません。

そのため、特定の通信ポートを開放する必要はありません。

ただし、[対象ホスト追加時Pingチェック]をONにし、Pingチェックを行う場合は、「ICMPエコー要求の受信許可」にする必要があります。

注意

対象ホストが出力するログをALogをインストールしたホストから対象ホストへ転送するために行われる通信に対しては、システムやネットワーク機器などの仕様に応じて、適宜通信ポートを開放する必要があります。

2.3.4.14.4. 対象ホストにSCP接続して収集

ALogをインストールしたホストから対象ホスト⇒対象ホスト

ポート番号	用途
TCP22	ssh (ログの収集)
ICMPエコー要求の受信許可	対象ホスト追加時Pingチェック ※チェックを行う場合のみ必要