3. ALogを使い始める

3.1. ALogの構築

3.1.1. 構築の準備

はじめに、ALogをインストールするホストが対応OS、ハードウェアスペック等の動作環境の条件を満たしていることを確認してください。

必要ソフトウェアがインストールされていない場合は、あらかじめインストールしておきます。

3.1.1.1. 共通の準備事項

ALog を構築するにあたって準備するものは以下の通りです。

• ALog のセットアッププログラム一式

• ライセンスファイル

• ALog の動作に必要なユーザーアカウント　… [参考] 動作に必要なユーザーアカウントと権限

次は「ALogのインストール」に進みます。

監査ログ量を減らしたい場合は「ウィルススキャン/バックアップ等のログを除外するには」を

Oracleを対象ホストに追加する場合は「Oracleを対象ホストとする場合のみの準備事項」を

それぞれ必要に応じて参照してください。

---

3.1.1.2. ウィルススキャン/バックアップ等のログを除外するには

対象ホストでウィルススキャンやバックアップソフトによるバックアップを行っている場合、そのソフトウェアの実行アカウントにドメインユーザーアカウントを指定していると、ウィルススキャンやバックアップが実行される時間帯に大量のREADログが出力されることがあります。

ソフトウェアの動作によっては数十万ファイルものREADログが発生するため、その結果イベントログがオーバーフローし、アクセスログが欠落する恐れがあります。 これを回避するために、ウィルススキャンやバックアップの実行アカウントにローカルアカウントを利用し、このアカウントを監査対象から除外してください。

ローカルアカウントでの実行が難しい場合は、下記手順に従って、監査設定を行ってください。

3.1.1.2.1. 特定のドメインアカウントを監査対象外に設定する手順

監査するアカウントと監査しないアカウントを分離する手順です。

1. ドメインアカウント「unaudit」を作成し、監査対象から外したいアプリケーション（ウィルススキャンやバックアップなど）をこのアカウントで実行する設定にする

2. グループ「audit_group」を作成し、監査対象としたいユーザーやグループをこれに登録する

• 「domain users」など、1.で作成したアカウントが所属するグループは登録しない

• ここで「audit_group」に含めないユーザーのログは出力されなくなるため、ログ取得したいユーザーはもれなく「audit_group」に含める必要がある

3. フォルダーの監査オプションの対象ユーザーに「audit_group」を設定する

---

3.1.1.3. Oracleを対象ホストとする場合のみの準備事項

Oracle Databaseを対象ホストとする場合は、以下の事前準備が必要となります。

3.1.1.3.1. Oracle準備1. 環境の事前確認

●対象ホストのOracle インスタンス再起動への影響の確認

Oracleを対象ホストとして登録する際、最初に監査設定を行います。

この際Oracleインスタンスを再起動する場合があります。

あらかじめ既存の運用環境を確認し、再起動しても問題がないか確認してください。

現在のインスタンスの監査設定状態	説明
完全な統合監査モード	再起動不要
混合モード-監査無効(audit_trail:none)	再起動は必要(audit_trail:dbに切り替えるために必要となる)
混合モード-監査有効(audit_trail:db)	再起動不要

●対象ホストのOracleインスタンスが使用するメモリ量の確認

対象ホストのメモリリソースを、OracleインスタンスがSGAメモリ、PGAメモリそれぞれで100%まで使用しないように設定の見直しを行う必要があります。

Oracleの環境によって手順は異なりますので、手順はOracleのドキュメントを確認してください。

※例えば、SGAメモリはOSが認識しているメモリの50%程度、PGAメモリは最大トランザクション発生時でも20%程度に収まるよう制限してください。

3.1.1.3.2. Oracle準備2．対象ホストのOracle へのアクセス権限を持つアカウントの準備

ログ監査(Audit trail)を動作させるためのOracleアカウントを準備してください。

また、準備したOracleアカウントに対し以下のクエリで必要なシステム権限とオブジェクト権限を設定してください。

権限の設定は権限を与えることができるユーザーで実行する必要があります。

注意

パスワードの有効期限の既定値が180日となっていますのでご注意ください。

3.1.1.3.2.1. ALogをインストールしたホストからALogのサブコマンドによってOracleアカウントを作成する手順

「ALogを使用するのに必要なOracleアカウント」を作成するための補助機能として、サブコマンドを用意しています。

本機能で作成したアカウントは、ALogの動作に必要な権限が付与された状態で作成されます。

1. ALogをインストールしたホストにて、管理者権限でコマンドプロンプトを起動する

2. 以下のコマンドを実行し、ALogのプログラムインストール先フォルダーに移動する

例:「D:\ALog」がプログラムインストール先フォルダーの場合

>cd /d D:\ALog

3. 以下のサブコマンドを実行し、Oracleに対してアカウントを作成する

• この時実行ユーザーはsys固定

• 対象ホストの構成が「通常のOracleデータベース」、「マルチテナント構成のデータベース」どちらかで実行コマンドが異なる

  ◆フォーマット解説

  alog_host.exe addoracleuser -c <接続文字列> -s <sysユーザーパスワード> -u <作成ユーザー名> -p <作成ユーザーのパスワード> [-iオプション]
  

  ◆通常のOracleデータベースでのコマンド例

  >alog_host.exe addoracleuser -c ora19-win2019:1521/orcl -s amiya -u aloguser -p Amiya
  

  ◆マルチテナント構成のデータベースでのコマンド例

  >alog_host.exe addoracleuser -c ora19-win2012:1521/orcl -s amiya -u c##aloguser -p Amiya -i
  

パラメータ	説明
-c, -connectstring	接続文字列
-s, -syspasswd	sysユーザーのパスワード
-u, -username	作成するOracleユーザー名
-p, -password	作成するOracleユーザーパスワード
-i, -isCDB	マルチテナント構成のデータベースの際に指定する

3.1.1.3.2.2. 手動でアカウントを作成する場合のアカウントに必要な権限について

手動でアカウントを作成する際は、以下の権限を付与してください。

注意

対象ホストのOracle がマルチテナント構成の場合、準備するOracle アカウントは“C##”で始まる共通ユーザーとしてください。 また、システム権限およびオブジェクト権限の設定のために実行するgrant 文には、CONTAINER=ALL オプションを追加してください。

grant AUDIT SYSTEM TO アカウント名;
grant AUDIT ANY TO アカウント名;
grant ALTER SYSTEM TO アカウント名;
grant SELECT ANY DICTIONARY TO アカウント名;
grant SELECT ANY TABLE TO アカウント名;
grant CREATE SESSION TO アカウント名;
grant SELECT ON V_$INSTANCE TO アカウント名; ※1
grant SELECT ON V_$SESSION TO アカウント名; ※1
grant EXECUTE ON UTL_FILE TO アカウント名; ※1
grant DELETE ON SYS.AUD$ TO アカウント名; ※1
grant SET CONTAINER TO アカウント名 CONTAINER=ALL; ※2
grant EXECUTE ON DBMS_AUDIT_MGMT TO アカウント名; ※3

※1 デフォルトのデータベースではsys アカウントのみが参照権限を与えることが可能です

※2 対象ホストのOracle がマルチテナント構成の場合のみ実行してください。

※3 統合監査テーブルを操作するために必要

---

3.1.2. ALogをインストールする

以下の手順でALogのプログラム本体をインストールします。

インストールを実行する際は、管理者権限を持っているアカウントでALogをインストールするホストにログオンしてください。

なお、インストールを行う際に「ユーザーアカウント制御」画面が表示されることがありますが、[OK]をクリックして処理を続行してください。

ヒント

本手順は単体のホストでALogを構築する場合の手順となります。

基本的にはこちらの手順でインストールしてください。

データベースをマルチノード構成にしたい合は「マルチノード構成にする」を参照してください。

1. ALogのセットアッププログラムを実行すると言語選択画面が表示される。言語を選択し[OK]をクリックする

2. セットアップウィザード開始画面が表示される。[次へ]をクリックする

3. 使用許諾契約書が表示される。内容を確認し、[同意する]を選択して[次へ]をクリックする

4. インストールするコンポーネントが表示される。そのまま[次へ]をクリックする

5. インストール先フォルダーを指定し、[次へ]をクリックする

6. アプリケーションの登録先およびショートカット作成をするか否かを指定し、[次へ]をクリックする

7. アプリケーションデータ用フォルダー(アプリケーションの設定やデータベースなどを保存するフォルダー)を指定し、[次へ]をクリックする

   このフォルダーは大きいサイズのディスク領域を必要とするため、システム領域(Cドライブ)以外に作成することを推奨

8. Webコンソールに接続する際のポート番号を指定し、[次へ]をクリックする

9. データベースの構成パラメータ指定が表示される。そのまま[次へ]をクリックする

10. 設定が完了したら[インストール]をクリックしてインストールを実行する

11. インストールが完了したら[完了]をクリックしてセットアップウィザードを終了する

12. デスクトップに作成されたショートカットアイコンをクリックするか、Webブラウザを起動して以下のURLを入力し、Webコンソールにアクセスする

http://<ALogをインストールしたホストのコンピューター名またはIPアドレス>:<指定したポート番号>/Login

ヒント

• 既定の管理者ユーザー「admin」、パスワード「alog」でログインすることができます。ログイン後、管理画面でパスワードを変更してください。

• インストール直後はWebコンソールへ接続できるまで時間を要す場合があります。

3.1.3. ALogの初期設定

ALogを利用するには、ライセンスファイルの登録とアクティベーション 1 が必要です。

1

トライアル用のライセンスにつきましては、アクティベーション作業は発生しません。

3.1.3.1. ライセンス登録をする

ALogの各機能を利用するには、ライセンスファイルを登録する必要があります。

ライセンスファイルの登録手順は以下の通りです。

1. ALogのWebコンソールへログインする

2. ライセンス画面が表示されたら、予め準備しておいたライセンスファイルをドロップするか、[ファイルを選択]をクリックして指定する

3. 「ファイルをアップロードしますか？」と表示されたら、[OK]をクリックする

4. [ライセンス状況]が表示されたら、[ステータス]が有効となっていることを確認する

注意

本契約ライセンスを登録した場合は、[ライセンス状況]内の[アクティベーション状況]を確認し、記載されている期限までにアクティベーションする必要があります。 アクティベーションを実行しないまま期限を過ぎますと、機能制限が掛かりますのでご注意ください。

3.1.3.2. アクティベーションする

ライセンスを登録したらアクティベーションを行います。

アクティベーションの手順は以下の通りです。

1. [ライセンス状況]内に表示される[アクティベーション実行]をクリックする

2. [アクティベーション状況]が「認証済み」となっていることを確認する

ヒント

• ALogをインストールしたホストがプロキシ環境下にある場合は本作業実施前に「プロキシ環境下での利用について」を参照してください。

• オンラインでのアクティベーションできない場合、[アクティベーション実行]をクリック後に表示される[識別コード]を網屋営業(alog-license@amiya.co.jp)まで送付してください。 その後、網屋よりお客様へ送付するアクティベーション用のライセンスを登録してください。

3.1.4. AD連携設定

ログタイプが「Windowsアクセスログ」および「PowerScale」の対象ホストを登録する場合、事前にAD連携の設定を行います。

ドメイン設定後、一度「AD情報取得タスク」を実行します。

その他の製品をご利用の場合は本手順をスキップして「対象ホストを登録する」に進みます。

ヒント

AD連携は、検索やレポート、リスクスコアリングで活用できます。 詳細は「AD連携」を参照してください。 「Windowsアクセスログ」および「PowerScale」以外の製品をご利用の場合は、後から設定できます。

ヒント

ALogをインストールするホストがドメイン参加していない場合、「AD情報取得タスク」が初期設定のまま動作するとアラートが発生します。 AD連携によって便利になる機能(例: 検索画面での使用例 )を確認し、「AD連携」画面でドメインを登録するか、不要であれば「AD情報取得タスク」を無効化してください。

3.1.4.1. WindowsアクセスログでAD情報が必要な理由

Windows の出力するイベントログにおいて、ユーザー名は色々な形式で出力されています。

これをそのままログ変換した場合、同一ユーザーアカウントの操作でも、アクセスログには異なる文字列で出力されることがあります。

例：アクセスログの[User]に「Tokyo.co.jp\suzuki」も「TOKYO\suzuki」もある状況が発生しうる。

上記のようなケースでは、検索しづらいことや、同一アカウントとしてレポートが作成できないという難点があります。

この問題を解決するため、イベントログに記録されている「SID」(S-X-X-XX-XXXXXX)を利用し、AD から取得した情報でSID に紐づくユーザー名(ドメイン名\アカウント名)に置換してユーザー名欄に統一性を持たせます。

Windows の場合、「AD 情報取得タスク」を一度も実行していない状態で変換処理が行われると、イベントログの情報のみでユーザー名を作成します。

また、イベントログの中にはSID が含まれないイベントもあります。その場合、AD 連携をしていてもイベントログの情報が使われてしまうことがあります。

3.1.4.2. PowerScaleでAD情報が必要な理由

PowerScaleの出力する監査ログにおいて、ユーザーは「SID」(S-X-X-XX-XXXXXX)で出力されています。

このままアクセスログにすると、「誰が」操作したログなのかが読み取れません。

このためALogではADから情報を取得し、SIDをユーザー名(ドメイン名\アカウント名)に置換する処理を行っています。

上記の理由により、AD連携の設定においては、監査を行いたいPowerScaleのホストに対してアクセスしてくる可能性のあるドメインをすべて登録してください。

PowerScaleの場合、「AD情報取得タスク」を一度も実行していない状態で変換処理が行われると、置換するための情報がなく、SIDのままアクセスログが出力されますので注意してください。

3.1.4.3. AD連携画面からドメイン設定を行う手順

1. Webコンソールにログインし、画面上部のメニューから[管理]を選択、左側のメニューから[AD連携]をクリックする

2. 「ドメイン設定」の初期設定を確認する

2.1. 空の設定がすでに登録されているので、編集のアイコンをクリックする

2-2. 設定ダイアログが開くので、[接続テスト]をクリックして接続テストを実施する

2-3. 「接続テストに成功しました」と表示されたら設定の確認は完了

ヒント

空の設定で「接続テストに成功しました」と表示された場合、ALogをインストールしたホストが所属しているドメインのドメインコントローラーに接続できる状態であることを示しています。

3. ドメイン設定を追加する場合、[追加]をクリックして追加する

3-1. ドメイン設定のダイアログに必要な情報を入力する

3-2. 設定を入力したら[接続テスト]を行い、設定に問題がないことを確認する

3-3. 接続テストに成功したら、[OK]をクリックする

項目	説明
ドメイン名 ドメインコントローラー名	ドメイン名もしくはドメインコントローラー名を指定する
ユーザー名	ドメインに対して問い合わせを行うときのユーザーを指定する Domain Users権限でも問い合わせ可能 　※AD情報の取得には、強い権限は必要ない
パスワード	上記で指定したユーザーのパスワードを入力する

4. [ステータス]をクリックし、ステータス画面を開く

4-1. 定期タスクの一覧にある「AD情報取得タスク」の[タスクの操作]-[開始]をクリックする

4-2. タスクが正常終了することを確認する

---

3.2. 対象ホストを登録する

ALogの構築が完了したら対象ホストの登録を行います。

1. ALogのWebコンソールへログインする

2. メニューバーの[管理]をクリックする

   

3. 画面左のメニューから[対象ホスト]をクリック

4. 対象ホスト画面へ遷移したら[+追加]をクリック

5. 「対象ホスト追加ウィザード」の画面が表示されたら[次へ]をクリックする

   

以降の手順は、選択するログタイプによって異なります。

追加するログタイプの手順を参照して設定を続行してください。

選択したログタイプ	参照する手順
Windowsアクセスログ	Windowsアクセスログのログ収集設定
NetApp	NetAppのログ収集設定
EMC	EMCのログ収集設定
Powerscale	PowerScaleのログ収集設定
SQL Server	SQL Serverのログ収集設定
Oracle	Oracleのログ収集設定
Linux	Linuxのログ収集設定
Amazon FSx for Widnows File Server	Amazon FSx for Windows File Serverのログ収集設定
Amazon FSx for NetApp ONTAP	Amazon FSx for NetApp ONTAPのログ収集設定
その他のシステム	その他のシステムのログ収集設定

3.2.1. Windowsアクセスログのログ収集設定

Windowsアクセスログの対象ホストを追加する場合は、以下の手順で設定します。

1. ログタイプを選択し、[次へ]をクリックする

   

2. ログの収集方式を選択し、[次へ]をクリックする

   

注意

[エージェント方式]を選択した場合、ログの収集を実施する前に「共通アカウント」の登録が必要です。

詳細は「共通アカウント」を参照してください。

3. 対象ホストのホスト名を指定し、[次へ]をクリックする

   

ヒント

対象ホストを一括登録する場合は「複数のホストを一括登録」にチェックを入れ、改行区切りでホスト名を指定してください。

4. イベントログ収集時の実行ユーザーを指定し、[次へ]をクリックする

   

ヒント

[共通アカウントを使用する]は、共通アカウント設定時のみ選択が可能です。

詳細については「共通アカウント」を参照してください。

5. [エージェント方式のみ]エージェントモジュールのインストール先フォルダーを指定し、[次へ]をクリックする

   

注意

対象ホストにエージェントモジュールが既にインストールされている場合は、同じインストール先フォルダーを指定してください。

6. ログの収集周期を設定し、[次へ]をクリックする

7. 収集したいログ種別にチェックを入れ、[次へ]をクリックする

• [監査ポリシーを自動で設定する]のチェックを入れておくと監査ポリシーが自動で設定される

• 手動で監査ポリシーの設定を行う場合は、「監査設定を手動で行う(Windows Server)」を参照

• 「ログオン/ログオフログ(スクリプト)」にチェックを入れた場合は、別途手動でのログオフスクリプト生成が必要。手順については、「ログオン/ログオフログ(スクリプト)」を参照

  

注意

ALogは対象ホストのローカルセキュリティポリシーに対して監査ポリシー設定を行います。

グループポリシーを適用している場合は、手動でグループポリシーの設定を変更する必要があります。

8. イベントログのOS設定の方法を選択し[次へ]をクリックする

手動で設定する場合は[変更]をクリックしてダイアログから設定するか、「イベントログの設定(Windows Serverの場合)」を参照して対象ホストのイベントビューアーから設定する

[手動設定]

注意

[手動設定を行う場合] 最大ログサイズは、アーカイブ方式/上書き方式共に、ALogの仕様上、「推奨するサイズ：500MB」、「機能上の制限サイズ：1GB」となります。

9. 収集したアーカイブイベントログファイルの削除設定を選択し[次へ]をクリックする

注意

「同一ホストをWindowsアクセスログの対象ホストとして登録し、Oracleの対象ホストとしても登録する場合」にOS出力でログを取得する場合は、同じイベントログ(アプリケーションログ)からログ取得を行うことになります。 そのため「収集したイベントログの削除設定」の指定によって、イベントログの取得漏れが発生する可能性があります。 複数登録した対象ホスト設定のうち、1つのホストのみ「保存する期間を指定する：安全な期間(環境による)」を指定し、他ホストは「収集したアーカイブイベントログファイルを削除しない」設定をする事を推奨します。

10. フォルダーの監査設定を実施し[次へ]をクリックする

別途手動でフォルダーの監査設定を行う場合は、フォルダーの監査設定を行わずに[次へ]をクリックする

手順については、「フォルダーの監査設定(Windowsアクセスログ)」を参照

＜フォルダーの監査設定をWebコンソールから行う場合＞

1. 監査対象とするフォルダーを選択する
2. 監査対象とするアカウント名を入力し、[追加]をクリック
3. [適用]をクリック

注意

[削除]の場合も最後に[適用]をクリックしてください。

[適用」をクリックしたタイミングで、実際の追加/削除処理を開始します。

注意

監査対象とするフォルダー配下のファイルやフォルダー数が多い場合、完了までに時間がかかります。

注意

以下のフォルダーの操作、およびテンポラリファイルやシステムファイルに対する操作は変換内部で除外対象としています。

• C:\Windows\* / C:\Program Files\* / C:\Program Files (x86)\*

• \˜$*.xls / \˜$*.xlsx / \˜$*.doc / \˜$*.docx / \˜$*.ppt / \˜$*.pptx / .tmp

• Thumbs.db / desktop.ini / .DS_Store

ヒント

アンチウイルスやバックアップソフト等のアプリケーションにより大量にログが出力される場合には、「ウィルススキャン/バックアップ等のログを除外するには」に記載された手順により、対処することが可能です。

ヒント

「複数のホストを一括登録」を選択した場合は、このウィザードからフォルダーの監査設定はできません。 「フォルダーの監査設定(Windows Server)」を参照して、対象ホストごとに手動にてフォルダーの監査設定を行ってください。

11. [エージェント方式のみ]エージェントからのログの転送先に使用するALogをインストールしたホストの共有フォルダー名を指定し、[次へ]をクリックする

ヒント

既にエージェント方式の対象ホストを登録済みの場合、この画面は表示されません。

12. 設定内容を確認し、 [完了]をクリックする

ヒント

対象ホスト側のリモートUACの影響により対象ホストが追加できない場合があります。これに該当する場合、対象ホスト側でのレジストリ変更で「リモートUACの無効化を有効にする」設定を行うと再起動することなく追加できるようになります。

管理者権限でコマンドプロンプトを起動し、以下のコマンドを実行してください。

[本ケースの条件] WORKGROUP環境、収集アカウントにadministrator以外のユーザーを設定

>reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

対象ホスト追加が完了したら ログ収集の動作確認 を行います。

3.2.2. NetAppのログ収集設定

NetAppの対象ホストを追加する場合は、以下の手順で設定します。

1. ログタイプを選択し、[次へ]をクリックする

   

2. [ホスト名]に対象ホスト名、[管理ホスト]にクラスタ名またはクラスタ管理IPを入力し、[次へ]をクリックする

   管理ホストを入力する場合、[名称設定]をクリックし、[SVM名]を入力する必要があります。

   [接続ホスト名]は[ホスト名]に入力した値が実際のホスト名やIPと相違する場合に入力してください。
   

ヒント

「管理ホスト」欄は必須入力項目ではありません。ただし、未入力の場合はALogからの監査設定等の一部機能が利用できないため、ウィザードを進めると選択できない項目があります。 監査設定は手動で行ってください。 手順は「監査設定を手動で行う(NetApp)」を参照してください。

[管理ホスト欄未入力時の制限事項]

• ログ出力先の共有フォルダー作成にかかわる処理がALog経由で実施不可　(aggregate情報の取得/volumeの作成/共有の作成)

• 監査設定の有効化/無効化(監査設定の有効化/ディスクフル検知時の監査停止/対象ホスト削除時の監査停止)

3. イベントログ収集時の実行アカウント、管理ホストの管理者アカウントを指定し、[次へ]をクリックする

3-1. イベントログ収集時の実行アカウントの指定

[共通アカウントを使用する]は、共通アカウント設定時のみ選択が可能

詳細については「共通アカウント」を参照

3-2. 管理ホストの管理者アカウントを指定する

[管理ホストの管理者アカウント]では、管理ホストの admin 権限を持つユーザーを指定する

認証方式は「パスワード認証」と「公開鍵認証」が選択できる

ポート番号は管理ホストのSSHのポート番号を指定する

認証方式	説明
パスワード認証	管理ホストに登録されたユーザーのパスワードを入力する
公開鍵認証	公開鍵認証方式でSSH接続を行う 対象ホストに設定された公開鍵に対する秘密鍵を指定する 秘密鍵が暗号化されている場合にはそのパスフレーズを入力する

パスワード認証	公開鍵認証

ヒント

公開鍵で認証する場合はあらかじめ対象ホストに公開鍵を設定してください。

4. ログの収集周期を設定し、[次へ]をクリックする

   

5. 収集したいログ種別にチェックを入れ、[次へ]をクリックする

   

6. イベントログの出力先フォルダーを指定して[次へ]をクリックする

• イベントログの出力先として新規ボリュームと共有フォルダーを作成する場合は、[共有フォルダーと新規ボリュームを自動作成]を選択し、ボリュームを作成するaggregateを選択する。新規作成するボリュームのサイズは変更可能

• 既存のフォルダーに出力する場合は[既存の共有フォルダーに出力する]を選択

注意

新規ボリュームのサイズを変更することができますが、イベントログの出力先になりますので、イベントログ出力量を算出し、トラブルが発生しても数日はディスク容量が不足しない程度のサイズにしてください。 ALogでは収集タスク実行時にディスク容量不足を検知すると、NetAppに対し監査停止を行います。

ヒント

「イベントログ出力先フォルダー」に既存の共有フォルダーを指定して「共有フォルダーと新規ボリュームを自動作成」を選択した場合は、新規ボリュームは作成せず、既存の共有フォルダーを使用します。

7. 収集したアーカイブイベントログファイルの削除設定を選択し[次へ]をクリックする

   

8. CIFS監査ポリシーの設定を確認し、[次へ]をクリックする

手動で監査ポリシーの設定を行う場合は、「CIFS監査ポリシーの設定(NetApp)」を参照

9. フォルダーの監査設定を実施し、[次へ]をクリックする

別途手動でフォルダーの監査設定を行う場合は、この画面はスキップ可能

手順については、「フォルダーの監査オプションの設定(NetApp)」を参照

＜フォルダーの監査設定をWebコンソールから行う場合＞

1. 監査対象とするフォルダーを選択する
2. 監査対象とするアカウント名を入力し、[追加]をクリック
3. [適用]をクリック

注意

[削除]の場合も最後に[適用]をクリックしてください。 [適用」をクリックしたタイミングで、実際の追加/削除処理を開始します。

注意

監査対象とするフォルダー配下のファイルやフォルダー数が多い場合、完了までに時間がかかります。

注意

以下のフォルダーの操作、およびテンポラリファイルやシステムファイルに対する操作は変換内部で除外対象としています。

• \˜$*.xls / \˜$*.xlsx / \˜$*.doc / \˜$*.docx / \˜$*.ppt / \˜$*.pptx / .tmp

• Thumbs.db / desktop.ini / .DS_Store

ヒント

アンチウイルスやバックアップソフト等のアプリケーションにより大量にログが出力される場合には、「ウィルススキャン/バックアップ等のログを除外するには」に記載された手順により、対処することが可能です。

10. 設定内容を確認し、 [完了]をクリックする

対象ホスト追加が完了したら ログ収集の動作確認 を行います。

3.2.3. EMCのログ収集設定

EMCの対象ホストを追加する場合は、以下の手順で設定します。

また、事前に「監査設定を手動で行う(EMC)」を参照の上、追加する対象ホストに対してイベントログの出力設定(NAS ServerへのCIFS監査設定、イベントログの設定変更、フォルダーの監査設定)を行ってください。

注意

ALogではAuto Archive機能を有効にする必要があります。

あらかじめAuto Archive機能を有効にし、切替え前のログを削除してから対象ホスト追加を行ってください。

注意

以下のフォルダーの操作、およびテンポラリファイルやシステムファイルに対する操作は変換内部で除外対象としています。

• \˜$*.xls / \˜$*.xlsx / \˜$*.doc / \˜$*.docx / \˜$*.ppt / \˜$*.pptx

• Thumbs.db / desktop.ini / .DS_Store

1. ログタイプを選択し、[次へ]をクリックする

   

2. 対象ホスト名を指定し、[次へ]をクリックする

3. イベントログ収集時の実行ユーザーを指定し、[次へ]をクリックする

ヒント

[共通アカウントを使用する]は、共通アカウント設定時のみ選択が可能です。

詳細については「共通アカウント」を参照してください。

4. ログの収集周期を設定し、[次へ]をクリックする

5. 収集したいログ種別にチェックを入れ、[次へ]をクリックする

6. 事前準備で設定したイベントログの出力先フォルダーを指定し、[次へ]をクリックする

ヒント

レジストリに設定されているイベントログ出力先フォルダーはローカルパスです。

ここではネットワーク経由で接続できるパスを指定してください。

7. 収集したアーカイブイベントログファイルの削除設定を選択し、[次へ]をクリックする

8. 設定内容を確認し、 [完了]をクリックする

   

対象ホスト追加が完了したら ログ収集の動作確認 を行います。

3.2.4. PowerScaleのログ収集設定

PowerScaleの対象ホストを追加する場合は、以下の手順で設定します。

また、追加する対象ホストに対して、下記の通り事前準備を行ってください。

• 事前にAD連携の設定が行われていることを確認

• 監査設定をする

• PowerScaleの 監査設定 の手順には「ログ出力先フォルダーへの共有設定」と「ファイルアクセス監査(Audit)ログの設定」がある

• 手動での設定が必須なのは「ログ出力先フォルダーへの共有設定 」、この時点で実施する

• 「ファイルアクセス監査(Audit)ログの設定」 はALog経由での設定も可能

1. ログタイプを選択し、[次へ]をクリックする

   

2. 対象ホスト名を指定し、[次へ]をクリックする

ヒント

ホスト名欄には、SmartConnect service IPs/SmartConnect service name/もしくはいずれかのノードのIPアドレスを指定します。

これによりクラスタすべてのログが取得できます。

3. イベントログ収集時の実行ユーザーを指し、[次へ]をクリックします。

3-1. ログ収集タスクの実行アカウントを指定する

[共通アカウントを使用する]は、共通アカウント設定時のみ選択が可能

詳細については「共通アカウント」を参照

3-2. 対象ホストの管理者アカウントを指定する

[対象ホストの管理者アカウント]にroot権限を持つユーザーとそのパスワードを入力する

認証方式は「パスワード認証」と「公開鍵認証」が選択できる

ポート番号は管理ホストのSSHのポート番号を指定する

認証方式	説明
パスワード認証	指定したroot権限を持つユーザーのパスワードを入力する
公開鍵認証	公開鍵認証方式でSSH接続を行う 対象ホストに設定された公開鍵に対する秘密鍵を指定する 秘密鍵が暗号化されている場合にはそのパスフレーズを入力する

パスワード認証	公開鍵認証

ヒント

公開鍵で認証する場合はあらかじめ対象ホストに公開鍵を設定してください。

4. ログの収集周期を設定し、[次へ]をクリックする

5. 収集したいログ種別にチェックを入れ、[次へ]をクリックする

   

6. 事前準備で設定した監査ログの出力先フォルダーを指定し、[次へ]をクリックする

   

7. 監査設定を指定し、[次へ]をクリックする

8. 設定内容を確認し、 [完了]をクリックする

パスワード認証	公開鍵認証

ヒント

「ユーザーSID情報の取得設定」を変更したい場合は、ウィザードで追加後、編集画面から、もしくはAD連携画面から行ってください。

注意

以下のファイルに対する操作は変換内部で除外対象としています。

• Officeの「~$」を含むファイル、Officeの「.tmp」ファイル

対象ホスト追加が完了したら ログ収集の動作確認 を行います。

ヒント

PowerScaleのログ収集タスクは、初回実行時は過去24時間分のログを収集します。 ログ量によって、初回のタスクは時間がかかることがあります。

3.2.5. SQL Serverのログ収集設定

SQL Serverの対象ホストを追加する場合は、以下の手順で設定します。

1. ログタイプを選択し、[次へ]をクリックする

   

2. ログの収集方式を選択し、[次へ]をクリックする

注意

[エージェント方式]を選択した場合、ログの収集を実施する前に「共通アカウント」の登録が必要です。

詳細は「共通アカウント」を参照してください。

3. 対象ホストとして追加するSQL Serverのホスト名、インスタンス名、アカウント情報を指定し[次へ]をクリックする

   

ヒント

エージェント方式で「Windows認証」を選択した場合、SQL Serverのバージョンを設定する選択肢が表示されます。 適切なバージョンを設定してください。

4. 監査方式を選択し、[次へ]をクリックする

監査方式	説明
SQL Server監査	「SQL Server Audit - サーバー監査 + 拡張イベント」を使用する監査方式
SQLトレース	「SQL Server Profiler」を使用する監査方式 ALogをインストールしたホストにSQL Server(作業用データベース)が必要

5. イベントログ収集時の実行ユーザーを指定する

ヒント

[共通アカウントを使用する]は、共通アカウント設定時のみ選択が可能です。

詳細については「共通アカウント」を参照してください。

6. [エージェント方式のみ]エージェントモジュールのインストール先フォルダーおよび、監査方式毎の使用可能な最大サイズを指定し、「次へ」をクリックする

   

注意

対象ホストにエージェントモジュールが既にインストールされている場合は、同じインストール先フォルダーを指定してください。

7. ログの収集周期を設定し、[次へ]をクリックする

8. 収集したいログにチェックを入れ、[次へ]をクリックする。フィルターの設定を行う場合は[フィルター設定]をクリックする

DBアクセスログの詳細選択	DBログオン/ログオフログの詳細選択

9. フィルターの設定では、対象または除外とするデータベース、ユーザー名、アプリケーション名を指定し、「OK」をクリックする

• 改行することで複数の値の指定が可能

• アスタリスク(*)でワイルドカードの指定ができる

※SQL Server 監査を選択した場合、SQL Serverのバージョンにより「アプリケーション名」でのフィルター動作は変わります。

ログ種別すべてに対しアプリケーション名でフィルターを実施したい場合、SQL Serverを 2017以降にする必要があります。これはSQL Server2014～2016の出力する監査ログにアプリケーション情報が含まれていないためです。

表 3.1 SQLバージョンとフィルター可能な項目について

ログ種別	SQLのバージョン	データベース/ユーザー名のフィルター	アプリケーション名のフィルター
DBアクセスログ DBログオン/ログオフログ DB管理者操作ログ	2014～2016 2017	○ ○	x ○
RAWSQLログ	バージョン依存なし	○	○

10. [エージェントレス方式のみ]トレースログの出力先フォルダー、および監査方式毎の使用可能な最大サイズを指定し、[次へ]をクリックする

注意

「ログ種別の選択」画面でRAWSQL以外とRAWSQLにチェックをいれる場合、2つの監査方式を使用します。 その場合、それぞれの監査方式に対して「最大使用サイズ」に設定した値が適用されるため、ディスク使用量は指定した値の倍になります。

11. [エージェント方式のみ]エージェントからのログの転送先に使用するALogをインストールしたホストの共有フォルダー名を指定し、「次へ」をクリックする

ヒント

既にエージェント方式の対象ホストを登録済みの場合、この画面は表示されません。

12. 設定内容を確認し、 [完了]をクリックする

ヒント

対象ホスト側のリモートUACの影響により対象ホストが追加できない場合があります。これに該当する場合、対象ホスト側でのレジストリ変更で「リモートUACの無効化を有効にする」設定を行うと再起動することなく追加できるようになります。

管理者権限でコマンドプロンプトを起動し、以下のコマンドを実行してください。

[本ケースの条件] WORKGROUP環境、収集アカウントにadministrator以外のユーザーを設定

>reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

対象ホスト追加が完了したら ログ収集の動作確認 を行います。

3.2.6. Oracleのログ収集設定

Oracleの対象ホストを追加する場合は、以下の手順で設定します。

※本手順はOSはWindows、Linuxどちらも対応しています。

注意

本手順を実施する前に「Oracleを対象ホストとする場合のみの準備事項 」が完了していることを確認してください。

1. ログタイプを選択し、[次へ]をクリックする

   

2. 対象ホストとして追加するOracleのホスト名、インスタンス名、ポート番号、アカウント情報を指定し、[次へ]をクリックする

   

• オプションではTNSサービスを利用した接続と監査設定の選択が可能

  

3. ログの収集周期を設定し、[次へ]をクリックする

   

4. 収集したいログ種別にチェックを入れ、[次へ]をクリックする

   

DBアクセスログの詳細選択	DBログオン/ログオフログの詳細選択

5. フィルターの設定では、対象また除外とするスキーマ、ユーザー名、アプリケーション名を指定し、[OK]をクリックする

• 改行することで複数の値の指定が可能

  

注意

スキーマによるフィルタリング指定を行うことにより、監査を行う必要のないスキーマの除外や特定のスキーマの監査のみを行うことができます。 ログの出力量減少に寄与できるので、スキーマによるフィルタリングを推奨します。

6. 監査レコードの保存期間を選択し、[次へ]をクリックする

   

注意

Oracleのデフォルト設定では、監査レコードはSYSAUX表領域にあるテーブルに出力されます。

他のタスクに影響がでないように保存期間を設定するか使用量を監視するなどして表領域の使用量には注意してください。

7. 設定内容を確認し、 [完了]をクリックする

8. 完了画面に「Oracleインスタンスの再起動が必要です。」と表示された場合は対象のOracleインスタンスを再起動する

対象ホスト追加が完了したら ログ収集の動作確認 を行います。

3.2.7. Linuxのログ収集設定

Linuxの対象ホストを追加する場合は、以下の手順で設定します。

1. ログタイプを選択し、[次へ]をクリックする

   

2. 対象ホスト名を指定し、[次へ]をクリックする

3. ログ収集タスクを実行するためのLinuxアカウントを入力し、[次へ]をクリックする

認証方式は「パスワード認証」と「公開鍵認証」が選択できる

SSH接続時のポートを初期値から変更している場合はここで変更する

パスワード認証	公開鍵認証

認証方式	説明
パスワード認証	Linuxアカウントのパスワードを入力する
公開鍵認証	公開鍵認証方式でSSH接続を行う 対象ホストに設定された公開鍵に対する秘密鍵を指定する 秘密鍵が暗号化されている場合にはそのパスフレーズを入力する 上記に加えて、Linuxアカウントのパスワードを入力する

ヒント

公開鍵で認証する場合はあらかじめ対象ホストに公開鍵を設定してください。

4. ログの収集周期を設定し、[次へ]をクリックする

   

5. 収集したいログ種別を選択する

6. Auditログから収集する[ファイルアクセスログ][アクセス権変更ログ][コマンド実行ログ][ログオン/ログオフログ]を選択の際、[Auditの設定を自動で行う]にチェックをつけた場合は、[フィルター設定]を確認し、必要に応じて設定を追加/変更する。最後に[OK]をクリックする

表 3.2 フィルターの種類と説明について

フィルター	説明	除外フィルター	対象フィルター
ユーザー	ユーザー名かユーザーIDを指定する。su/sudoを行った場合に対して、操作したときのユーザーで除外/対象フィルターを設定したい場合に使用する	○	○
Auditユーザー	ユーザー名かユーザーIDを指定する。su/sudoを行った場合、最初にログオンした時のユーザーで除外/対象フィルターを設定したい場合に使用する	○	○
ディレクトリ	ディレクトリの絶対パスを指定する。サブディレクトリも除外/対象となる	○	○
ファイルパス	ファイルの絶対パスを指定する。ディレクトリも指定できますが、その場合サブディレクトリは除外/対象とならない	○	○
プロセスID	プロセスIDを指定する	○	×
親プロセスID	親プロセスIDを指定する	○	×
実行可能ファイル名	ファイルアクセスなどを発生させたプログラム名をフルパスで指定する。Auditが2.5未満(RHEL7.2以前)の場合はAudit側の仕様でプログラム名を直接指定できないため、ALog側でプログラム名をプロセスIDに変換したうえで設定する。収集タスクの実行タイミングで都度プロセスIDを計算して設定し直すため、タスク間の間に実行されたプログラムなどは除外しきれない場合がある	○	×

ヒント

「Auditの設定を自動で行う」はチェックをつけておくことを推奨します。 これにより監査設定やフィルター設定をWebコンソールから指定でき、ALog側でLinuxの設定に反映させることができます。 自動設定の場合、以前の設定はALogによってコメントアウトされ無効になります。

注意

「Auditの設定を自動で行う」にチェックをつけた場合、初期状態であらかじめフィルターを設定しているため設定内容を確認してください。 Linuxはフィルターを設定しないと大量のログ出力が発生し、対象ホストに負荷がかかります。

ヒント

初期状態除外フィルターの設定について解説します。

- Auditユーザー「4294967295」は「-1」を意味し、ユーザーのログオンが行われていない操作を除外します。デーモン関連の操作を除外するために設定しています。

- 親プロセスID「2以下」は、システムの立ち上げにかかわるプロセスを意味し、ここから直接作られたプロセスを除外します。システム関連のデーモンによるプロセスを除外するために設定しています。

- ユーザーID「1～99」は、システムユーザーを意味し、システムユーザーによる操作を除外します。

- sambaのauditログに出力されているファイルアクセス操作を取得したい場合、Auditユーザー「4294967295」の除外設定を解除する必要があります。

注意

フィルターの入力欄に「!=」、「<=」、「>=」、「&=」という文字列を指定すると、Linux側のフィルターに適切に設定されません。 (「!」、「=」、「<」、「>」、「&」が単独で使用されている場合は問題ありません） 入力欄には上記文字列の組み合わせを含まないファイルパスやユーザーを設定してください。

7. [syslog] にチェックをつけた場合は[詳細設定]を開いて取得したいsyslogを確認し、必要に応じて設定を追加/変更する。最後に[OK]をクリックする。設定が完了したら「ログ種別の選択」画面で[次へ]をクリックする

ヒント

初期設定で収集対象となっているのは下記の5種です。

　/var/log/messages

　/var/log/secure

　/var/log/maillog

　/var/log/cron

　/var/log/spooler

注意

syslogは出力なしという状態もあり得るため、収集タスク実行時にファイルが無い場合異常とは判断せずエラーが発生しません。 設定する際は事前にLinux側の設定や出力状態を改めて確認してください。

8. 収集したログを対象ホスト上から削除するか選択し、[次へ]をクリックする

ヒント

Auditログの収集においては毎タスクで必ず強制ローテートを行います。 [Auditログを収集後に削除]にチェックをつけた場合、ローテートされたauditログを収集後に削除します。

ヒント

syslogは強制ローテートすることはできません。 [syslogを収集後に削除]にチェックをつけた場合、既にローテート済みのsyslogファイルを収集後に削除します。 現行のsyslogファイルを削除することは行わず差分収集を行います。

9. 設定内容を確認し、[完了]をクリックする

パスワード認証	公開鍵認証

対象ホスト追加が完了したら ログ収集の動作確認 を行います。

3.2.8. Amazon FSx for Windows File Serverのログ収集設定

Amazon FSx for Windows File Serverの対象ホストを追加する場合は、以下の手順で設定します。

また、事前に「監査設定を手動で行う(Amazon FSx for Windows File Server)」を参照の上、追加するファイルシステムに対して監査設定を行ってください。

1. ログタイプを選択し、[次へ]をクリックする

   

2. 対象ホスト名を指定し、[次へ]をクリックする

   • この時、「Ping による存在チェックを行う」のチェックは外す

3. Amazon FSxの各情報を指定し、[次へ]をクリックする

項目	指定内容
AmazonFSxユーザー情報	収集時に使用するAWSのIAMユーザーアカウントで「アクセスキーID」「シークレットアクセスキー」を作成して指定する
サービス接続情報	FSxサービスから収集対象にしたいFSxのファイルシステムIDを指定する
リージョン情報	収集対象にしたいFSxのファイルシステムが属するリージョンをコードで指定する
プロキシサーバを指定する	プロキシサーバを指定する必要がある場合はチェックをいれて「プロキシホスト名」「ポート」を指定する

4. ログの収集周期を設定し、[次へ]をクリックする

5. 収集したイベントログ（S3オブジェクト）の削除設定を選択し[次へ]をクリックする

6. フォルダーの監査設定を実施し[次へ]をクリックする

別途手動でフォルダーの監査設定を行う場合は、フォルダーの監査設定を行わずに[次へ]をクリックしてください。

手順については、「フォルダーの監査設定(Windows Server)」を参照してください。

＜フォルダーの監査設定をWebコンソールから行う場合＞

1. 監査設定を行うアカウントを指定して「フォルダーの監査設定」をクリック
2. 監査対象とするフォルダーを選択する
3. 監査対象とするアカウント名を入力し、[追加]をクリック
4. [適用]をクリック

注意

[削除]の場合も最後に[適用]をクリックしてください。

[適用」をクリックしたタイミングで、実際の追加/削除処理を開始します。

注意

監査対象とするフォルダー配下のファイルやフォルダー数が多い場合、完了までに時間がかかります。

7. 設定内容を確認し、[完了]をクリックする

3.2.9. Amazon FSx for NetApp ONTAPのログ収集設定

Amazon FSx for NetApp ONTAPを選択した場合は、以下の手順で設定します。

1. ログタイプを選択し、[次へ]をクリックする

   

2. ホストの指定を行い[次へ]をクリックする

• ホスト名：ストレージ仮想マシン名

• 管理ホスト名：ファイルシステムの管理エンドポイントのIPアドレス

  

ヒント

ストレージ仮想マシン名は必ず指定する必要があります。 ストレージ仮想マシン名で名前解決できない環境の場合は、「名称設定」画面で以下のように設定します。

• 接続ホスト名：ストレージ仮想マシンの管理IPアドレス

• SVM名：ストレージ仮想マシン名

  

ヒント

Amazon FSx for NetApp ONTAPを対象ホストとする場合、「管理ホスト」欄は必須入力項目です。

3. イベントログ収集時の実行アカウント、管理ホストの管理者アカウントを指定し、[次へ]をクリックする

3-1. イベントログ収集時の実行アカウントの指定

[共通アカウントを使用する]は、共通アカウント設定時のみ選択が可能

詳細については「共通アカウント」を参照

3-2. 管理ホストの管理者アカウントを指定する

[管理ホストの管理者アカウント]では、ファイルシステムの管理エンドポイントの admin 権限を持つユーザーを指定する

認証方式は「パスワード認証」と「公開鍵認証」が選択できる

ポート番号は管理ホストのSSHのポート番号を指定する

認証方式	説明
パスワード認証	ファイルシステムの管理エンドポイントに登録されたユーザーのパスワードを入力する
公開鍵認証	公開鍵認証方式でSSH接続を行う 対象ホストに設定された公開鍵に対する秘密鍵を指定する 秘密鍵が暗号化されている場合にはそのパスフレーズを入力する

パスワード認証	公開鍵認証

ヒント

公開鍵で認証する場合はあらかじめ対象ホストに公開鍵を設定してください。

4. ログの収集周期を設定し、[次へ]をクリックする

5. 収集したいログ種別にチェックを入れ、[次へ]をクリックする

6. イベントログの出力先フォルダーを指定して[次へ]をクリックする

• イベントログの出力先として新規ボリュームと共有フォルダーを作成する場合は、[共有フォルダーと新規ボリュームを自動作成]を選択し、新規作成するボリュームのサイズを設定する

• 既存のフォルダーに出力する場合は[既存の共有フォルダーに出力する]を選択する

注意

新規ボリュームのサイズを変更することができますが、イベントログの出力先になりますので、イベントログ出力量を算出し、トラブルが発生しても数日はディスク容量が不足しない程度のサイズにしてください。 ALogでは収集タスク実行時にディスク容量不足を検知すると、NetAppに対し監査停止を行います。

ヒント

「イベントログ出力先フォルダー」に既存の共有フォルダーを指定して「共有フォルダーと新規ボリュームを自動作成」を選択した場合は、新規ボリュームは作成せず、既存の共有フォルダーを使用します。

7. 収集したアーカイブイベントログファイルの削除設定を選択し[次へ]をクリックする

   

8. CIFS監査ポリシーの設定を確認し、[次へ]をクリックする

手動で監査ポリシーの設定を行う場合は、既存のNetAppの手順と同様のため「CIFS監査ポリシーの設定(NetApp)」を参照

9. フォルダーの監査設定を実施し、[次へ]をクリックする

別途手動でフォルダーの監査設定を行う場合は、この画面はスキップ可能

手順については、既存のNetAppの手順と同様のため「フォルダーの監査オプションの設定(NetApp)」を参照

＜フォルダーの監査設定をWebコンソールから行う場合＞

1. 監査対象とするフォルダーを選択する
2. 監査対象とするアカウント名を入力し、[追加]をクリック
3. [適用]をクリック

注意

[削除]の場合も最後に[適用]をクリックしてください。

[適用」をクリックしたタイミングで、実際の追加/削除処理を開始します。

注意

監査対象とするフォルダー配下のファイルやフォルダー数が多い場合、完了までに時間がかかります。

注意

以下のフォルダーの操作、およびテンポラリファイルやシステムファイルに対する操作は変換内部で除外対象としています。

• \˜$*.xls / \˜$*.xlsx / \˜$*.doc / \˜$*.docx / \˜$*.ppt / \˜$*.pptx / .tmp

• Thumbs.db / desktop.ini / .DS_Store

ヒント

アンチウイルスやバックアップソフト等のアプリケーションにより大量にログが出力される場合には、「ウィルススキャン/バックアップ等のログを除外するには」に記載された手順により、対処することが可能です。

10. 設定内容を確認し、 [完了]をクリックする

対象ホスト追加が完了したら ログ収集の動作確認 を行います。

3.2.10. その他のシステムのログ収集設定

以下の選択肢ではマッピングが自由に設定できます。

表 3.3 マッピング設定が可能なログタイプ

対象のログタイプ
Windowsイベントログ
ALog Syslog Receiver
Webサーバ (Apache)
DHCPv4サーバ(Windows)
DBサーバ(PostgreSQL/Symfoware)
HPE 3PAR File Persona
その他

ヒント

プラグインを追加した場合も選択肢に表示されます。

1. 任意のログタイプを選択し、[次へ]をクリックする

   ※例としてWindowsイベントログを選択しています。

   

2. 対象ホスト名を指定し、[次へ]をクリックする

   

3. 対象ホストからのログ収集方式を任意で指定し、必要な設定値を指定する

ヒント

[その他]以外を選択している場合は、ログタイプ毎にデフォルト値が表示されます。

「ログの収集方式について」を参考に必要に応じて変更してください。

[対象ホストのイベントログを収集]

項目	設定内容
ログ収集方式	[対象ホストのイベントログを収集]を選択する
イベントログ名(チャネル)	取得したいイベントログの[イベント ビューアー] - [プロパティ] から「フルネーム」を確認して設定する
アカウント	対象ホストにおいて管理者権限のあるアカウントを設定する
収集したファイルを削除する	[削除しない/削除する/指定した期間後に削除する(日単位)]から選択する

注意

同一フォルダーに出力された複数のイベントログを同じタイミングで収集した場合、処理がバッティングし、正常に収集できない場合があります。 収集対象とするイベントログが複数ある場合は、出力先のフォルダーを別々にしてください。 同一フォルダーに複数のイベントログを出力しなければならない場合は、「タスクの設定」画面で収集処理の時間が重ならないようにスケジュールを調整してください。

[対象ホストの共有フォルダーから収集]

項目	設定内容
ログ収集方式	[対象ホストの共有フォルダーから収集]を選択する
アカウント	収集アカウントを設定する。共有フォルダー内の収集するログに対して、読み取り/削除が行える権限が必要
フォルダー	収集するログが格納されている共有フォルダーを指定する
ファイル名	収集するファイル名を指定する 2 ファイル名指定の文字は、大文字小文字を区別せずに動作する ワイルドカードが使用可能 「*(0文字以上)」、「?(0～１文字)」 　例：「*.csv」 ⇒.csv拡張子を持つファイルのみを収集する
収集したファイルを削除する	[削除しない/削除する/指定した期間後に削除する(日単位)]から選択する

[ローカルフォルダーから収集]

項目	設定内容
ログ収集方式	[ローカルフォルダーから収集]を選択する
フォルダー	収集するログが格納されている、ALogをインストールしたホストのローカルフォルダーを指定する
ファイル名	収集するファイル名を指定する 2 ファイル名指定の文字は、大文字小文字を区別せずに動作する ワイルドカードが使用可能 「*(0文字以上)」、「?(0～１文字)」 　例：「*.csv」 ⇒.csv拡張子を持つファイルのみを収集する
収集したファイルを削除する	[削除しない/削除する/指定した期間後に削除する(日単位)]から選択する

[対象ホストにSCP接続して収集]

パスワード認証	公開鍵認証

項目	設定内容
ログ収集方式	[対象ホストにSCP接続して収集]を選択する
認証方式	[パスワード認証 / 公開鍵認証]を選択する
ユーザー名	SCP接続に使用するユーザーアカウントを指定する
パスワード	[パスワード認証]の場合：指定したユーザーアカウントに紐づくパスワードを設定する [公開鍵認証]の場合：「ログファイル収集時にsudoが必要」ONの場合は指定したユーザーアカウントに紐づくパスワードを設定する
秘密鍵ファイルパス	※[公開鍵認証]の場合に設定 対象ホストに設定された公開鍵に対する秘密鍵を指定する
秘密鍵パスフレーズ	※[公開鍵認証]の場合に設定 秘密鍵が暗号化されている場合、パスフレーズを指定する
ポート番号	ポート番号を指定する
ログディレクトリ	収集するログが格納されているディレクトリを指定する
ファイル名	収集するファイル名を指定する 2 ファイル名指定の文字は、大文字小文字を区別せずに動作する ワイルドカードが使用可能 「*(0文字以上)」、「?(0～１文字)」 　例：「*.log」 ⇒.log拡張子を持つファイルのみを収集する
ログファイル収集にsudoが必要	収集時にスーパーユーザー権限が必要なログファイルを削除する場合はチェックをつける
作業ディレクトリ	ログ収集のために一時的に使用するディレクトリを指定する
収集したファイルを削除する	収集したログを収集後に削除する場合はチェックをつける
コマンドテストを実行する	対象ホスト環境でログ収集タスクが実行可能かテストする 時間がかかる場合がある

2(1,2,3)

収集するファイル名に利用できるのは、半角英数字と一部の半角記号(@!.*'()-_)です。

ヒント

公開鍵で認証する場合はあらかじめ対象ホストに公開鍵を設定してください。

注意

1つの対象ホストに対し、複数のALogから「対象ホストにSCP接続して収集」方式で収集する場合、「作業ディレクトリ」は異なるディレクトリを指定する必要があります。

4. ログの収集周期を設定し、[次へ]をクリックする

5. 収集するログのフォーマットを選択し、下表の手順に従い進めていく

ヒント

[その他]以外を選択している場合は、ログタイプ毎にデフォルト値が表示されますので下記を参考に必要に応じて変更してください。

ログフォーマット	手順
プレーンテキスト	[文字コード]を指定し、[自動フォーマット設定]をクリックする 自動フォーマット設定画面でフォーマット設定を行ってから、[次へ]をクリックする 自動フォーマット設定の詳細は「[自動フォーマット設定]」 を参照
CSV/TSV/DSV	ログファイルの[文字コード]および[区切り文字]を指定し、[次へ]をクリックする 入力ファイルにヘッダー情報が含まれる場合は、[入力ファイルにヘッダーを含む]のチェックボックスにチェックを入れる また、コメント行を含むログファイルの場合は、[コメント行の先頭文字]にコメントアウトで使用される文字を指定し、[次へ]をクリックする
イベントログ	必要に応じて、[イベントID]に取得対象とするイベントIDを指定し、[次へ]をクリックする（複数指定可）
JSON	[文字コード]を指定し、[次へ]をクリックする
Syslog	[文字コード]を指定し、[次へ]をクリックする

ヒント

• 後続の画面においても[プレビュー]をクリックし、サンプルファイルをアップロードすることはできますが、この段階でアップロードすることで後続処理でのファイルの読み込みが必要なくなる上、内部関数（F()）などの処理があらかじめ評価され、入力補助が有効に利用できるようになります。

• ログフォーマットは「ログのマッピング」を参考に選択してください。

注意

書き込み(レコードの追記)が継続しているログファイルを収集する場合は、[入力ファイルにヘッダーを含む]にチェックを入れないでください。 このオプションは入力ファイルの1行目をマッピング処理から除外するため、ヘッダー以外のログ行を除外してしまうことがあります。

6. 「ログタイプのマッピング値を使用する」にチェックが入っていることを確認し、「プレビュー」をクリックする

ヒント

ログタイプに[その他]以外を選択している場合、「ログタイプのマッピング値を使用する」チェックボックスが表示されます。チェックON/OFFでの挙動については下記の通りです。

• チェックON： 選択したログタイプのデフォルトのマッピング値をそのまま使用する。バージョンアップでマッピング値の内容が変更になった場合に対象ホストを編集せずに追随することができる

• チェックOFF：ログタイプのマッピング値を変更できる

ヒント

マッピング設定が必要なログタイプは、以下のnamespaceを持つMicrosoft C#の関数を利用することが可能です。

• System

• System.Collections.Generic

• System.Linq

• System.Text.RegularExpressions

7. 入力したログが期待したとおりにマッピングされているかを[出力]の内容で確認する。[出力]が期待通りになっている事を確認したら、「マッピング設定 – 出力」画面にある[次へ]をクリックする

• 期待どおりにマッピングできていない場合は、「マッピング設定 – 出力」で行ったマッピング設定を修正して、プレビュー画面右下の[再描画]をクリックし、再度[出力]の内容を確認する

• マッピング設定とプレビューを繰り返し、希望するログに調整を行う

ヒント

サンプルとするログを変更する場合は、プレビュー画面の[サンプルデータの変更]をクリックして、取り込むログを指定します。 詳細は「サンプルデータの指定方法」を参照してください。

注意

マッピングで指定できる式評価外の文字は、文字種によってエスケープシーケンスで入力する必要があります。 詳細は「特別な文字列のエスケープ方法」を参照してください。

1. 設定内容を確認し、 [完了]をクリックする

3.2.10.1. ログの収集方式について

その他のシステム選択時は、4つの収集方式から選択し、ログを収集します。

ログの収集方式	説明
対象ホストのイベントログを収集	ALogが、対象ホストからイベントログ形式(evtx)のログを収集する
ローカルフォルダーから収集	ALogのローカルフォルダーに出力または転送されたログを収集する この収集方式では、「ログのフォーマットについて」に記載のログフォーマットすべてを収集できる
対象ホストの共有フォルダーから収集	ALogがWindows共有を介して、対象ホストの任意のフォルダーからログを収集する この収集方式では、「ログのフォーマットについて」に記載のログフォーマットすべてを収集できる
対象ホストにSCP接続して収集	ALogが、対象ホストに対してSCP接続を行い、指定したディレクトリからログを収集する

注意

以下のファイルは収集・マッピングできません。

• バイナリファイル

3.2.10.2. ログのフォーマットについて

その他のシステムでは、5つのログフォーマットに対応しています。

ログフォーマットの選択肢	説明
プレーンテキスト 各種	あらゆるテキストデータのログを取り扱うことができる サンプルのテキストデータからログのフォーマットとなる正規表現を自動で作成することのできる特別な機能を持つ選択肢 1つのデータを複数のフォーマットに分類したい場合も本選択肢を使う
区切り文字 (CSV/TSV/DSV)	CSV（カンマ区切り）、TSV（タブ区切り）、スペース区切りなど、特定の区切り文字で区切られたテキストデータのログ ユーザーが任意の区切り文字を指定できる
イベントログ (evt/evtxファイル)	evtまたはevtxファイル形式のイベントログ イベントログからは、標準的な項目およびイベントログ固有のプロパティ値（EventData値）を取得できる
Syslog	Unix系OSが出力するシステムの動作やメッセージの記録に関するテキストデータのログ ALogで処理可能なSyslogはRFC3164/RFC5424に準拠したもので、「日時」、「ホスト名」、「メッセージ」の順に「スペース区切り」で記録されたフォーマットになっている
JSON	MySQLやHPE 3PAR File Parsonaなどに見られるJSON形式によるログ JSONパスとして表記可能な値を取得できる （通常では、キー・値ペアのような単純な形式で、キーを指定すると、それに対応する値が取得できる）

3.2.10.3. ログの収集方式とログフォーマットの組み合わせについて

ログ収集方式とログフォーマットおよびファイル形式には、組み合わせがあります。

それぞれの対応表と、差分収集が可能な条件、注意事項を説明します。

ログの収集方式とログフォーマットの各組み合わせにおける対応可能なログファイルの条件

「ログの収集方式」と「ログフォーマット」を組み合わせた場合の動作仕様について説明します。

ログの収集方式	ログフォーマット
	プレーンテキスト 区切り文字形式(CSV/TSV/DSV) Syslog形式 JSON形式	イベントログ形式(evt/evtx)
対象ホストのイベントログを収集	組み合わせ不可	evtxファイル
ローカルフォルダーから収集	テキストファイル ZIPファイル	evt/evtxファイル ZIPファイル ※
対象ホストの共有フォルダーから収集	テキストファイル ZIPファイル	evt/evtxファイル ZIPファイル ※
対象ホストにSCP接続して収集	テキストファイル ZIPファイル gzファイル bz2ファイル	evtxファイル ※ ZIPファイル ※ gzファイル ※ bz2ファイル ※

注意

※はいかなる条件下においても差分収集することができません。

注意

ZIPファイルはDeflate32形式、書庫内のファイルエントリは1つのみとしてください。 tarファイルには対応していません。

注意

「対象ホストにSCP接続して収集」でSyslog(もしくはそれに類する方式でログが出力されるケース)を収集する場合は、[収集したファイルを削除する]設定で[削除する]は選択しないでください。(削除しないでください)

Syslogはカレントログを削除するとログ出力する先を失い動作が停止してしまい、カレントログファイルを再作成しません。

注意

「ローカルフォルダーから収集」、「対象ホストの共有フォルダーから収集」で、[収集したファイルを削除する]設定で[削除する]を選択した場合、収集対象となるログファイルは書き込みやリネームが行われないようにしてください。

書き込みやリネームが行われるログファイルをALogが収集後に削除しようとすると、I/Oが競合してしまう可能性があり、その場合に予期せぬ動作を招きます。

ヒント

「対象ホストにSCP接続して収集」で圧縮形式のファイルを収集する場合、ファイル形式にあわせて下記のコマンドを使用できる必要があります。

　ZIP = unzip 、 gz=gunzip 、 bz2=bunzip2

ヒント

「対象ホストにSCP接続して収集」でダウンロード処理の負荷を減らしたい場合、対象ホストへのZIPコマンドのインストールを推奨します。

ZIPコマンドがインストールされていない環境では、圧縮せずにデータをダウンロードするケースがあります。

(圧縮ファイルを差分収集しないでそのまま収集する場合は、圧縮ファイルの元の形式のままダウンロードされるため、ZIPコマンドは不要です。)

3.2.10.4. 差分収集の条件

ログ収集方式によって差分収集に必要な条件が異なります。

【対象ホストのイベントログを収集】

収集方式「対象ホストのイベントログを収集」を選択した場合は、常に差分収集します。

【ローカルフォルダーから収集 / 対象ホストの共有フォルダーから収集】

収集方式「ローカルフォルダーから収集」、「対象ホストの共有フォルダーから収集」を選択した場合に、差分収集するためのログファイルに対する条件を示します。

差分収集は[収集したファイルを削除する]で[削除する]以外を選択した場合に行われます。

1. ログファイルへの書込みは、末尾への追記のみであり、追記の際、ファイル更新日時が更新されていること

新たに出力されたログレコードは、ログファイルの末尾に追記されており、その際、ファイルの作成日時は維持され、ファイルの更新日時は新しくなっている必要がある

2. ログのローテートは、ファイルの移動またはリネームによって実施されていること（※ローテート機能がある場合）

ログファイルが一定サイズに到達、または一定期間が経過したなどの条件により、ローテートされる場合、移動またはリネームが実施される必要がある

その際、ファイルの作成日時は維持されている必要がある

3. [収集したファイルを削除する]で[削除する]以外を選択した場合に、ファイルの途中から切り出して収集した際、破損してしまうようなログファイルを対象にしていないこと

尚、上記の前提条件を満たさない場合は、具体的に以下のような問題が発生する可能性があります。

前提条件	前提条件が満たされない場合に発生する問題
1. ログファイルへの書込みは、末尾への追記のみであり、追記の際、ファイル更新日時が更新されていること	追加形式でログが書き込まれることを前提にしているため、差分収集では、ファイルのNバイト目までを収集した場合、次回はN+1バイト目以降を収集する仕様になっている。そのため、リングバッファ形式や最古レコードを上書きする形式などのローテーション方式では、正しくログの差分収集ができなくなる 収集したログファイルのファイル名は、収集対象ファイルの名称と更新日時をもとに作成しているため、更新日時を更新せずにログレコードを追記する形式のログの場合、前回収集したログファイルのファイル名と重複してしまい、後続の処理が正常に行えなくなる
2. ログのローテートは、ファイルの移動またはリネームによって実施されていること	ログファイルを差分収集する際、前回収集したかどうかの判定の一つとして、ログファイルの作成日時をチェックしている。そのため、ログレコードが追記される際にログファイルの作成日時が変更されたり、ログファイルの作成日時が変更されてしまうローテート方式の場合、そのログファイルは別のものと識別してしまい、ログファイルのすべてのログレコードを収集し、ログレコードの重複が発生してしまう
3. [収集したファイルを削除する]設定のチェックを外した（削除しない）場合に、ファイルの途中から切り出して収集した際、破損してしまうようなログファイルを対象にしていないこと	ログファイルの収集では、バイトカットにより差分収集しているため、evtxファイルのように、ファイルにヘッダーとフッターを含むようなログファイルの場合、差分収集により破損した（正しくないフォーマット）ログファイルとなってしまう。ただし、書き込みが行われない状態となったローテート済みのログファイルを収集する場合は、この問題は発生しない

【対象ホストにSCP接続して収集】

収集方式「対象ホストにSCP接続して収集」を選択した場合に、差分収集するためのログファイルに対する条件を示します。

差分収集は[収集したファイルを削除する]で[削除する]以外を選択した場合に行われます。

1. ログファイルへの書き込みは、末尾への追記方式であること

新たに出力されたログレコードは、ログファイルの末尾に追記されている必要がある

2. [収集したファイルを削除する]で[削除する]以外を選択した場合に、ファイルの途中から切り出して収集した際、破損してしまうようなログファイルを対象にしていないこと

尚、上記の前提条件を満たさない場合は、具体的に以下のような問題が発生する可能性があります。

前提条件	前提条件が満たされない場合に発生する問題
1. ログファイルへの書込みは、末尾への追記方式であること	追加形式でログが書き込まれることを前提にしているため、差分収集では、ファイルのNバイト目までを収集した場合、次回はN+1バイト目以降を収集する仕様になっている。そのため、リングバッファ形式や最古レコードを上書きする形式などのローテーション方式では、正しくログの差分収集ができなくなる
2. [収集したファイルを削除する]設定のチェックを外した（削除しない）場合に、ファイルの途中から切り出して収集した際、破損してしまうようなログファイルを対象にしていないこと	ログファイルの収集では、バイトカットにより差分収集しているため、evtxファイルのように、ファイルにヘッダーとフッターを含むようなログファイルの場合、差分収集により破損した（正しくないフォーマット）ログファイルとなってしまう。ただし、書き込みが行われない状態となったローテート済みのログファイルを収集する場合は、この問題は発生しない

3.2.10.5. プレビュー画面の見方とサンプルデータの指定方法

収集したログをマッピングした場合に、どのようなフォーマットでアクセスログとして出力するかを確認するのがプレビュー画面です。

以下では、プレビュー画面の見方とサンプルデータの指定方法について説明します。

3.2.10.5.1. プレビュー画面の見方

「プレビュー」画面は、以下の2つによって構成されています

1. サンプルデータの変更や入力したログを指定されたファイル形式などに従って変数に割り当てた状態を表示する「ログの入力部」

2. 「マッピング設定 – 出力」の定義に従って、出力されるアクセスログのマッピング結果を表示する「アクセスログの出力部」

また、「マッピング設定 – 出力」との関係は以下の図のようになっています。

プレビュー画面	項目	説明
ログの入力部	サンプルデータ	「ログ収集方法の選択」や「マッピング設定 - 入力」の設定に従い、マッピングする元となるログのファイル名とその容量および、収集方式が表示される また、[サンプルファイルをアップロード]で、サンプルデータとして入力するログを個別に指定することで、入力するログ（サンプルデータ）が表示される
	入力	入力されたログ（サンプルデータ）が変数に割り当てられた状態で表示される この入力に表示された情報を参考に「マッピング設定 - 出力」画面でマッピング設定を行っていく (プレビューされるのは最初の100行分)
アクセスログの出力部	出力	「マッピング設定 - 出力」画面で行ったマッピング設定に従って、整形した場合に出力されるアクセスログが表示される [詳細項目ごとに表示列を分割]にチェックを入れることで、「詳細」欄の項目を列に分割して表示できるので、アクセスログの各レコードで、どのような詳細項目が出力されるかを確認できる

ヒント

対象ホストマッピング設定ウィザードのダイアログとプレビューのダイアログは、ブラウザ上で同時に表示して並べることが可能です。 並べながらマッピング設定の調整を行ってください。

3.2.10.5.2. サンプルデータの指定方法

1. 対象ホストマッピング設定ウィザードの「マッピング設定 –入力」または、「マッピング設定 –出力」画面の左下にある[プレビュー]をクリックする

2. 「プレビュー」画面の右上にある[サンプルデータの変更]をクリックする

3. 対象ホストから、入力するログファイル（サンプルデータ）を収集する場合は、「対象ホストからサンプルファイルを収集」をクリックする

ログ収集設定で指定した方法によってログファイル（サンプルデータ）を取得する

入力するログファイルを任意の格納先から指定する場合は、「サンプルファイルをアップロード」をクリックする

注意

[サンプルファイルをアップロード]から指定するファイルは、圧縮されていないものを指定してください。

ヒント

「対象ホストからサンプルファイルを収集」では、収集方式が「対象ホストの共有フォルダーから収集」、「ALogのローカルフォルダーから収集」または「対象ホストにSCP接続して収集」を指定していた場合、指定フォルダーおよび指定ファイルにマッチするファイル名で、かつ更新日時が最も新しい1ファイルを収集します。

「対象ホストのイベントログを収集」を指定していた場合は、指定したイベントログ名のカレントログをそのまますべて収集します。そのため、最大サイズを大きく設定している場合、サンプルデータの取得に時間を要することがあります。

4. (「サンプルファイルをアップロード」をクリックした場合) [参照]をクリックして、アップロードするログファイルを指定し、[アップロード]をクリックする

3.3. ログ収集の動作確認

対象ホストの初期設定が完了した後、ログ収集の動作確認を行います。

手順はすべてステータス画面から実施可能です。

注意

対象ホスト追加時、ログの収集方式で「エージェント方式」を選択している場合は、ログの収集を実施する前に「共通アカウント」の登録が必要です。

詳細は「共通アカウント」を参照してください。

1. Webコンソールの[管理]をクリックし、ステータス画面を表示する

2. 対象ホストの一覧から動作を確認したい対象ホストにチェックをつけ、 [タスクの操作]-[開始]をクリックする

3. ログ収集が完了したら、定期タスクの一覧から「ログ変換」の[タスクの操作]-[開始]をクリックし、変換が完了するか確認する

ALogの基本的な設定はこれで完了です。

細かく調整したい場合は「ALogを管理する」を参考に設定してください。

---

3.4. 監査設定を手動で行う

本章では対象ホストの追加にあたり、事前または、事後に必要となる監査設定の手順について説明します。

3.4.1. Windowsアクセスログの場合

この項目では、Windowsの対象ホストへイベントログを出力するための設定方法を説明します。

ログの種類により、設定方法が異なりますので、収集したいログに応じた設定を行ってください。

なお、いずれの設定を行う場合も、管理者権限を持つアカウントで対象ホストにログオンしてください。

3.4.1.1. ファイルアクセスログ

ファイルアクセスログを収集するための監査設定を行います。

ファイルアクセスログの収集のための監査設定は、以下の3つのステップがあり、すべてを設定する必要があります。

• Step1. 監査ポリシーの設定

• Step2. イベントログの設定

• Step3. フォルダーの監査設定

3.4.1.1.1. Step1. 監査ポリシーの設定

監査ポリシーの設定には 簡易設定方法 と 詳細設定方法 があります。

設定は異なりますが、アクセスログにおける出力差異はありません。

簡易設定方法で設定するとALogで使用しないイベントログも出力されますが、詳細設定方法で設定するとそのイベントログを抑止することができるため、手動で監査設定を行う場合、詳細設定方法を推奨します。

注意

グループポリシーを適用している環境では、ローカルセキュリティポリシーの設定がグループポリシーによって上書きされるためグループポリシー側で行ってください。

グループポリシーを適用していない環境では、ローカルセキュリティポリシー側で設定を行ってください。

3.4.1.1.1.1. ファイルアクセスログ：監査ポリシーを簡易設定する

1. 管理者権限を持つアカウントでログオンする

2. スタートメニューから[コントロールパネル]‐[システムとセキュリティ]‐[管理ツール(もしくはWindowsツール)]‐[ローカル セキュリティ ポリシー]を開く

3. [ローカル セキュリティ ポリシー]画面で、[セキュリティの設定]‐[ローカル ポリシー]‐[監査ポリシー]を選択する

4. [オブジェクト アクセスの監査]及び、[ログオンイベントの監査]をダブルクリックし[成功]および[失敗]にチェックを入れて[OK]をクリックする

   

3.4.1.1.1.2. ファイルアクセスログ：監査ポリシーを詳細設定する

1. 管理者権限をもつアカウントでログオンする

2. スタートメニューの[Windows 管理ツール]から[ローカル セキュリティ ポリシー]をダブルクリックする

3. [ローカルセキュリティポリシー]画面が開くので[セキュリティの設定]、[ローカルポリシー] 、[セキュリティオプション]と展開し、[監査: 監査ポリシー サブカテゴリの設定 (Windows Vista 以降) を強制して、監査ポリシー カテゴリの設定を上書きする]を開く

   

4. [有効]にチェックを入れて、「OK」をクリックする

   

5. [ローカルセキュリティポリシー]画面が開くので[セキュリティの設定]、[監査ポリシーの詳細な構成]と展開し、[システム監査ポリシー-ローカルグループポリシーオブジェクト]をクリックする

6. ALogで取得するログに対応する項目に[成功]、[失敗]チェックを入れて[OK]をクリックし終了する

ファイルアクセスログに必要な監査ポリシーは「オブジェクトアクセス」と「ログオン/ログオフ」カテゴリ配下にあります。

表 3.4 ファイルアクセスログに必要な監査ポリシー

オブジェクトアクセス	ログオン/ログオフ

※表における「-」は「未構成(監査なし)」を意味します

表 3.5 カテゴリ「オブジェクトアクセス」

サブカテゴリ	セキュリティの設定
生成されたアプリケーションの監査	-
証明書サービスの監査	-
詳細なファイル共有の監査	-
ファイル共有の監査	-
ファイルシステムの監査	成功および失敗
フィルタリングプラットフォームの接続の監査	-
フィルタリングプラットフォームパケットの破棄の監査	-
ハンドル操作の監査	成功および失敗
カーネルオブジェクトの監査	-
その他のオブジェクトアクセスイベントの監査	-
レジストリの監査	-
SAMの監査	-
リムーバブル記憶域の監査	-
集約型アクセスポリシーステージングの監査	-

表 3.6 カテゴリ「ログオン/ログオフ」

サブカテゴリ	セキュリティの設定
アカウントロックアウトの監査	成功および失敗
IPsec拡張モードの監査	-
IPsecメインモードの監査	-
IPsecクイックモードの監査	-
ログオフの監査	成功および失敗
ログオンの監査	成功および失敗
ネットワークポリシーサーバの監査	-
その他のログオン/ログオフイベントの監査	成功および失敗
特殊なログオンの監査	-
ユーザー要求/デバイスの信頼性情報の監査	-

3.4.1.1.2. Step2. イベントログの設定

対象ホストのイベントログ設定を必要に応じて変更します。

イベントログには、以下の2つの出力方式があります。ALogではアーカイブ方式を推奨します。

方式	説明
アーカイブ方式	イベントログはWindowsにより自動でアーカイブされる ディスク容量が許す限りアーカイブされ、ログが欠落する恐れがなくなるため通常はアーカイブ方式を採用する ※アーカイブされたイベントログはイベントビューアーからは参照できなくなる
上書き方式	イベントログは一定のサイズでローテートされ、古いイベントログは上書きされる イベントログが上書きされる前にイベントログを収集する必要がある (既定では1時間おきに収集する設定)

イベントログの設定を確認および変更する手順は以下のとおりです。

3.4.1.1.2.1. アーカイブ方式の設定

1. スタートメニューから[コントロールパネル]‐[管理ツール(もしくはWindowsツール)]‐[イベント ビューアー]を選択する

2. イベントビューアーが起動するので、画面左側のツリーで[イベント ビューアー]‐[Windowsログ]‐[セキュリティ]を右クリックして[プロパティ]を選択する

3. 「ログのプロパティ」画面で、下記の通り設定したうえで[適用]をクリックする

• 「ログのパス」　… 存在する任意のフォルダーに変更する。ファイル名は必ず”security.evtx”のままにすること（例：”E:\EventLogs\security.evtx”）

• 「最大ログサイズ(KB)」　…　512000KB(500MB)に設定する

• 「イベントログサイズが最大値に達したとき：」　…　[イベントを上書きしないでログをアーカイブする]を選択する

注意

• [ログのパス]には”C:\WINDOWS”配下のフォルダーを指定しないでください。空き容量の大きいドライブをイベントログの出力先に指定することを推奨します。

• [ログのパス]を変更した場合、「Windows Event Log」サービスの再起動や、OSの再起動を必要とする場合があります。変更する際は注意してください。

• 最大ログサイズは、アーカイブ方式/上書き方式共に、ALogの仕様上、「推奨するサイズ：500MB」、「機能上の制限サイズ：1GB」となります。

3.4.1.1.2.2. 上書き方式の設定

1. スタートメニューから[コントロールパネル]‐[管理ツール(もしくはWindowsツール)]‐[イベント ビューアー]を選択する

2. イベントビューアーが起動するので、画面左側のツリーで[イベント ビューアー]‐[Windowsログ]‐[セキュリティ]を右クリックして[プロパティ]を選択する

3. 「ログのプロパティ」画面で、最大ログサイズを設定し[必要に応じてイベントを上書きする]を選択して[OK]をクリックする

注意

最大ログサイズは、アーカイブ方式/上書き方式共に、ALogの仕様上、「推奨するサイズ：500MB」、「機能上の制限サイズ：1GB」となります。

3.4.1.1.3. Step3. フォルダーの監査設定

1. ファイルアクセスログ/アクセス権変更ログの収集対象としたいファイル、フォルダー、またはドライブを右クリックしてプロパティを開く

注意

• ドライブ全体などの広範囲に設定を適用するとログの出力量が膨大になりますのでご注意ください。必要なフォルダーのみに監査設定を行うことを推奨します。

• アンチウイルスやバックアップソフト等のアプリケーションにより大量にログが出力される場合には、「ウィルススキャン/バックアップ等のログを除外するには」に記載された手順により、対処することが可能です。

• Amazon FSx for Windows File Serverの場合、ファイルアクセスログのみ対応しています。

2. 「フォルダーのプロパティ」画面の[セキュリティ]タブで[詳細設定]をクリックする

   

3. 「セキュリティの詳細設定」画面の[監査]タブで[追加]をクリックする

   

4. 「監査エントリ」画面で以下の設定を行う

• 4-1. 画面上部の[プリンシパルの選択]をクリックし、ログ収集対象としたいユーザーアカウントまたはグループアカウントを入力して[OK]をクリックする

  例えば、ドメインの全ユーザーのアクセスログを収集したい場合は[Domain Users]を指定する

  

• 4-2. [種類]を「すべて」に設定する

• 4-3. 「高度なアクセス許可を表示する」をクリックし、下記の項目に対しチェックを入れる

  

・フォルダーの一覧/データの読み取り
・属性の読み取り
・ファイルの作成／データの書き込み
・フォルダーの作成／データの追加
・サブフォルダーとファイルの削除
・削除

3.4.1.2. ログオンログ

対象ホストでログオンログを収集するための監査設定を行います。

ここではドメインコントローラーからドメインユーザーのログオンログを収集する設定を説明します。

監査ポリシーの設定には 簡易設定方法 と 詳細設定方法 があります。

設定は異なりますが、アクセスログにおける出力差異はありません。

簡易設定方法で設定するとALogで使用しないイベントログも出力されますが、詳細設定方法で設定するとそのイベントログを抑止することができるため、手動で監査設定を行う場合、詳細設定方法を推奨します。

注意

グループポリシーを適用している環境では、ローカルセキュリティポリシーの設定がグループポリシーによって上書きされるためグループポリシー側で行ってください。

グループポリシーを適用していない環境では、ローカルセキュリティポリシー側で設定を行ってください。

3.4.1.2.1. ログオンログ：監査ポリシーを簡易設定する

1. 対象ホストに管理者権限をもつアカウントでログオンする

2. スタートメニューから[コントロールパネル]‐[管理ツール(もしくはWindowsツール)]‐[グループ ポリシーの管理]を開く

3. [グループ ポリシーの管理]画面で[Default Domain Controller Policy]を右クリックし、[編集]を選択する

   

4. [グループ ポリシー管理エディター]画面の左側のツリーから[コンピューターの構成]-[ポリシー]‐[Windowsの設定]‐[セキュリティの設定]‐[ローカル ポリシー]‐[監査ポリシー]の順に選択する

5. [アカウント ログオン イベントの監査]及び、[ログオンイベントの監査]をダブルクリックし、[成功]および[失敗]にチェックを入れて[OK]をクリックする

   

3.4.1.2.2. ログオンログ：監査ポリシーを詳細設定する

1. 管理者権限をもつアカウントでログオンする

2. スタートメニューから[コントロールパネル]‐[管理ツール(もしくはWindowsツール)]‐[グループ ポリシーの管理]を開く

3. [グループ ポリシーの管理]画面で[Default Domain Controller Policy]を右クリックし、[編集]を選択する

4. [グループ ポリシー管理エディター]画面の左側のツリーから[コンピューターの構成]-[ポリシー]‐[Windowsの設定]‐[セキュリティの設定]‐[ローカル ポリシー]‐[セキュリティオプション]と展開し、[監査: 監査ポリシー サブカテゴリの設定 (Windows Vista 以降)を強制して、監査ポリシー カテゴリの設定を上書きする] をダブルクリックして開く

   

5. [有効]にチェックを入れて、「OK」をクリックする

   

6. [グループ ポリシー管理エディター]画面の左側のツリーから[コンピューターの構成]-[ポリシー]‐[Windowsの設定]‐[セキュリティの設定]‐[監査ポリシーの詳細な構成]-[監査ポリシー]と展開する

7. ALogで取得するログに対応する項目に[成功]、[失敗]チェックを入れて[OK]をクリックし終了する

ログオンログに必要な監査ポリシーは「アカウント ログオン」と「ログオン/ログオフ」カテゴリ配下にあります。

表 3.7 ログオンログに必要な監査ポリシー

アカウント ログオン	ログオン/ログオフ

※表における「-」は「未構成(監査なし)」を意味します

表 3.8 カテゴリ「アカウント ログオン」

サブカテゴリ	セキュリティの設定
資格情報の確認の監査	成功および失敗
Kerberos認証サービスの監査	成功および失敗
Kerberosサービスチケット操作の監査	-
その他のアカウントログオンイベントの監査	-

表 3.9 カテゴリ「ログオン/ログオフ」

サブカテゴリ	セキュリティの設定
アカウントロックアウトの監査	成功および失敗
ユーザー要求/デバイスの信頼性情報の監査	-
IPsec拡張モードの監査	-
IPsecメインモードの監査	-
IPsecクイックモードの監査	-
ログオフの監査	成功および失敗
ログオンの監査	成功および失敗
ネットワークポリシーサーバの監査	-
その他のログオン/ログオフイベントの監査	成功および失敗
特殊なログオンの監査	-

3.4.1.3. 管理者操作ログ

対象ホストで管理者操作ログを収集するための監査設定を行います。

ここではドメインコントローラーから管理者操作ログを収集する設定を説明します。

監査ポリシーの設定には 簡易設定方法 と 詳細設定方法 があります。

設定は異なりますが、アクセスログにおける出力差異はありません。

簡易設定方法で設定するとALogで使用しないイベントログも出力されますが、詳細設定方法で設定するとそのイベントログを抑止することができるため、手動で監査設定を行う場合、詳細設定方法を推奨します。

注意

グループポリシーを適用している環境では、ローカルセキュリティポリシーの設定がグループポリシーによって上書きされるためグループポリシー側で行ってください。

グループポリシーを適用していない環境では、ローカルセキュリティポリシー側で設定を行ってください。

3.4.1.3.1. 管理者操作ログ：監査ポリシーの簡易設定

1. 対象ホストに管理者権限をもつアカウントでログオンする

2. スタートメニューから[コントロールパネル]‐[管理ツール(もしくはWindowsツール)]‐[グループ ポリシーの管理]を開く

3. [グループ ポリシーの管理]画面で[Default Domain Controller Policy]を右クリックし、[編集]を選択する

   

4. [グループ ポリシー管理エディター]画面の左側のツリーから[コンピューターの構成]-[ポリシー]‐[Windowsの設定]‐[セキュリティの設定]‐[ローカル ポリシー]‐[監査ポリシー]の順に選択する

5. [アカウント管理の監査]、[ポリシーの変更の監査]及び[ログオンイベントの監査]をそれぞれダブルクリックし、[成功]および[失敗]にチェックを入れて[OK]をクリックする

   

ヒント

簡易設定の場合、「管理者操作ログ：監査ポリシーの詳細設定」の手順4を参照の上、下記設定が「無効」となっていることを確認してください。

• 「監査: 監査ポリシー サブカテゴリの設定 (Windows Vista 以降)を強制して、監査ポリシー カテゴリの設定を上書きする」

3.4.1.3.2. 管理者操作ログ：監査ポリシーの詳細設定

1. 管理者権限をもつアカウントでログオンする

2. スタートメニューから[コントロールパネル]‐[管理ツール(もしくはWindowsツール)]‐[グループ ポリシーの管理]を開く

3. [グループ ポリシーの管理]画面で[Default Domain Controller Policy]を右クリックし、[編集]を選択する

4. [グループ ポリシー管理エディター]画面の左側のツリーから[コンピューターの構成]-[ポリシー]‐[Windowsの設定]‐[セキュリティの設定]‐[ローカル ポリシー]‐[セキュリティオプション]と展開し、[監査: 監査ポリシー サブカテゴリの設定 (Windows Vista 以降)を強制して、監査ポリシー カテゴリの設定を上書きする] をダブルクリックして開く

   

5. [有効]にチェックを入れて、[OK]をクリックする

   

6. [グループ ポリシー管理エディター]画面の左側のツリーから[コンピューターの構成]-[ポリシー]‐[Windowsの設定]‐[セキュリティの設定]‐[監査ポリシーの詳細な構成]-[監査ポリシー]と展開する

7. ALogで取得するログに対応する項目に[成功]、[失敗]チェックを入れて[OK]をクリックし終了する

管理者操作ログに必要な監査ポリシーは「アカウントの管理」と「ポリシーの変更」、「ログオン/ログオフ」カテゴリ配下にあります。

表 3.10 管理者操作ログに必要な監査ポリシー

アカウントの管理	ポリシーの変更
ログオン/ログオフ

※表における「-」は「未構成(監査なし)」を意味します

表 3.11 カテゴリ「アカウントの管理」

サブカテゴリ	セキュリティの設定
アプリケーショングループの管理の監査	-
コンピューターアカウントの管理の監査	成功および失敗
配布グループの管理の監査	成功および失敗
その他のアカウント管理イベントの監査	-
セキュリティグループの管理の監査	成功および失敗
ユーザーアカウントの管理の監査	成功および失敗

表 3.12 カテゴリ「ポリシーの変更」

サブカテゴリ	セキュリティの設定
監査ポリシーの変更の監査	成功および失敗
認証ポリシーの変更の監査	成功および失敗
承認ポリシーの変更の監査	成功および失敗
フィルタリングプラットフォームのポリシーの変更の監査	-
MPSSVCルールレベルポリシーの変更の監査	-
その他のポリシー変更イベントの監査	-

表 3.13 カテゴリ「ログオン/ログオフ」

サブカテゴリ	セキュリティの設定
アカウントロックアウトの監査	成功および失敗
ユーザー要求/デバイスの信頼性情報の監査	-
IPsec拡張モードの監査	-
IPsecメインモードの監査	-
IPsecクイックモードの監査	-
ログオフの監査	成功および失敗
ログオンの監査	成功および失敗
ネットワークポリシーサーバの監査	-
その他のログオン/ログオフイベントの監査	成功および失敗
特殊なログオンの監査	-

3.4.1.4. プリントログ

プリントログを収集するための監査設定を行います。

3.4.1.4.1. 監査設定の有効化手順

プリントのイベントログは既定の設定では出力されていません。 手動では以下の手順で有効化します。

1. 対象ホストに管理者権限をもつアカウントでログオンする

2. スタートメニューから[コントロールパネル]‐[管理ツール(もしくはWindowsツール)]‐[イベント ビューアー]を開く

3. [イベント ビューアー]画面で[アプリケーションとサービス ログ]‐[Microsoft]‐[Windows]‐[PrintService]の順に展開し[PrintService]の配下にある[Operational]を右クリックして[プロパティ]を選択する

4. [ログの有効化] にチェックを入れて[OK]をクリックする

3.4.1.4.2. プリントしたジョブ名をイベントログに出力する設定

初期状態では、プリントしたジョブ名がイベントログに出力されていません。

以下の設定で文書名を出力する設定に変更できます。

< 設定変更前 と 設定変更後 の出力例>

イベントログに文書名が表示されるようになります。

1. グループポリシーエディタの編集(gpedit.msc)を起動する

2. コンピューターの構成\管理用テンプレート\プリンター\イベントログにジョブ名を記録する を有効にする

   

3. コマンドプロンプトから「gpupdate /force」を実行する

   

3.4.1.5. ログオン/ログオフログ(スクリプト)

スクリプトのログオン/ログオフログを収集するための監査設定を行います。

ここでは最も一般的な「ドメインコントローラーからドメインユーザーのログオン/ログオフログを収集する」ケースを説明します。

ログオン/ログオフログの収集設定には、3つのステップがあります。以下の手順に従って順番に設定してください。

Step	内容	補足
1	スクリプトの書き込む先となるイベントログの設定を変更する	対象ホストとして登録するホストのイベントログ設定を変更する 一般的には「ドメインコントローラー」となるホストの設定を変更する 手順は「イベントログの設定手順」を参照
2	ログオン/ログオフをイベントログに記録するためのスクリプトを生成する	スクリプトを生成するためのツール「LogOffScriptBuilder.exe」は、ALogのインストール先フォルダー内に格納されている。ツールを起動してスクリプト生成する ツールを起動するマシンは、設定によっては対象ホスト内が適切な場合がある 手順は「ログオン/ログオフスクリプトの生成手順」を参照
3	生成したスクリプトを登録して動作するようにする	Step2で生成したスクリプトを登録します。ドメイン環境では ドメインコントローラーの「ドメインポリシー」にスクリプトを登録する これによりドメインに所属するクライアントマシンに配布される。 手順は「スクリプトファイルの登録 - ドメインコントローラーに登録する場合」を参照 ローカルユーザーのログオン/ログオフを取得する場合は、 ファイルサーバに登録 手順は「スクリプトファイルの登録 ‐ ファイルサーバに登録する場合」を参照

ヒント

対象ホストとすべきホストやスクリプトの登録先の解説は、「Windows「LOGON」に関する補足情報 」に記載しています。必要に応じて参照してください。

3.4.1.5.1. イベントログの設定手順

1. スタートメニューから[コントロールパネル]‐[管理ツール(もしくはWindowsツール)]‐[イベントビューアー]を選択する

2. イベントビューアーが起動するので、画面左側のツリーで[イベントビューアー]‐[Windowsログ]‐[アプリケーション]を右クリックして[プロパティ]を選択する

3. 「ログのプロパティ」画面で、下記の通り設定したうえで[適用]をクリック

   • 「ログのパス」　… 存在する任意のフォルダーに変更する。ファイル名は必ず”Application.evtx”のままにすること（例：”E:\EventLogs\Application.evtx”）

   • 「最大ログサイズ(KB)」　…　512000KB(500MB)に設定する

   • 「イベントログサイズが最大値に達したとき：」　…　[イベントを上書きしないでログをアーカイブする]を選択する

3.4.1.5.2. ログオン/ログオフスクリプトの生成手順

ログオン/ログオフログではスクリプトファイルを使用します。

スクリプトファイルは「ログオフスクリプト生成ウィザード」で作成します。

以下のexeファイルを実行し、ログオフスクリプト生成ウィザードを起動します。

<ALogのプログラムインストール先フォルダー>\tools\LogOffScriptBuilder\LogOffScriptBuilder.exe

ヒント

スクリプト実行時に、ドメインコントローラーへのイベントログ書き込みにスクリプト実行ユーザー自身の権限を利用する(別の管理者アカウント権限を利用しない)場合は、本ウィザードプログラムを含むフォルダーを対象ホストへコピーしてから以下の作業を実施する必要があります。

ヒント

「LogOffScriptBuilder.exe」は管理者権限で実行してください。

1. ウィザードを起動し[次へ]をクリックする

   

2. 生成するスクリプトの種類を選択し、[次へ]をクリックする

   

3. ログの書き込み先ホストを指定し、[次へ]をクリックする

   

ヒント

セカンダリホストを設定すると、プライマリホストへのログオン、またはログオフログの書き込みが失敗した場合、セカンダリホストに書き込みが行われます。

4. ログオン/ログオフログをホストのイベントログへ書き込む際に使用するアカウントを設定し、[次へ]をクリックする

なお、[ドメインユーザー権限で書き込む]を選択した場合は、[レジストリを変更する]をクリックし、レジストリを変更した上で、[次へ]をクリックする

注意

管理者アカウント権限での書き込みを選択した場合、ログオンまたはログオフスクリプト実行時に、ここで指定したアカウント権限で書き込み先として指定したホストのイベントログ（アプリケーション）への書き込みを行います。

ヒント

[レジストリを変更する]をクリックした際に変更されるレジストリは、ログオフスクリプト生成ウィザードを実行したOSになります。

変更内容は“HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application” の配下に「CustomSD」(文字列値）を作成し、ドメインユーザー権限で書き込むための設定値を含む以下の内容を保存するものです。

「値のデータ」

O:BAG:SYD:(D;;0xf0007;;;AN)(D;;0xf0007;;;BG)(A;;0xf0007;;;SY)(A;;0x7;;;BA)

(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)(A;;0x2;;;DU)

[レジストリを変更する]を使用せず手動で対象ホスト上のレジストリを設定する場合は、上記を参考に同様の場所に「CustomSD」を作成し、「値のデータ」欄を設定してください。

ヒント

既に「CustomSD」(文字列値）が作成済みの環境では、「値のデータ」欄の最後にDU（ドメインユーザー）に関する部分の設定値を追記してください。

※「(A;;0x2;;;DU)」のみ追記します。

5. 生成するスクリプトを暗号化させるか選択し、[次へ]をクリックする

6. クライアントのイベントログへ、スクリプト実行履歴の書き込みを行うかを選択し、[次へ]をクリックする

   

ヒント

この画面で「書き込む」を選択した場合、スクリプトの実行結果(スクリプトで指定したホストへログオン/ログオフの記録が行えたか)履歴をイベントログに書き込みます。

書き込み先はスクリプトを実行したPCのイベントログApplicationです。

障害切り分けの情報として有用です。

(例：存在しないホスト名を指定していたときのスクリプト実行結果書き込み結果)

ソース：WSH、イベントID：1、レベル：エラー

詳細情報：Operation:logoff User:xxxx ClientName:xxxxx ClientIP:192.168.xxx.xxx Domain:xxxxx　Server:xxxxx　Netuse:(例 ネットワーク パスが見つかりません。) WriteLog:(例 リモート サーバー マシンが存在しないか、利用できません。) NetuseDelete:(例 このネットワーク接続はありません。)

7. [スクリプト生成]をクリック、スクリプトを生成するフォルダーを選択し、生成を実施する。終了後[完了]をクリックし、ウィザードを終了する

   

3.4.1.5.3. スクリプトファイルの登録 - ドメインコントローラーに登録する場合

1. 対象ホストに管理者権限をもつアカウントでログオンする

2. スタートメニューから[Windows 管理ツール]‐[グループポリシーの管理]を選択する

3. 監査対象のドメインを展開し[Default Domain Policy]を右クリックして[編集]を選択する

4. [グループポリシー管理エディター]画面で[ユーザーの構成]‐[ポリシー]‐[Windowsの設定]‐[スクリプト（ログオン／ログオフ）]を選択する

   

5. 画面右側の項目から[ログオフ]をダブルクリックする

6. [ログオフのプロパティ]を開き、[ファイルの表示]をクリックする

   

7. ログオフスクリプトを設置するフォルダーが開くので、あらかじめ作成しておいた”logoff.vbs”または”logoff.vbe”をコピーする

   

8. [ログオフのプロパティ]画面に戻り、[追加]をクリックする

9. スクリプト名に手順7.でコピーした”logoff.vbs”または”logoff.vbe”を入力して[OK]をクリックする

10. 次に、[コンピューターの構成]-[管理用テンプレート]-[システム]-[グループポリシー]をクリックする

11. [ログオンスクリプトの遅延を構成する]を「無効」に設定する

3.4.1.5.4. スクリプトファイルの登録 ‐ ファイルサーバに登録する場合

ドメインコントローラーではなくファイルサーバにスクリプトを設置する場合は、ファイルサーバ上で「ローカル グループ ポリシー エディター」を起動し、スクリプトの登録を行います。

3.4.1.6. アプリケーション起動ログ

対象ホストでアプリケーション起動ログを収集するための監査設定を行います。

監査ポリシーの設定には 簡易設定方法 と 詳細設定方法 があります。

設定は異なりますが、アクセスログにおける出力差異はありません。

簡易設定方法で設定するとALogで使用しないイベントログも出力されますが、詳細設定方法で設定するとそのイベントログを抑止することができるため、手動で監査設定を行う場合、詳細設定方法を推奨します。

注意

グループポリシーを適用している環境では、ローカルセキュリティポリシーの設定がグループポリシーによって上書きされるためグループポリシー側で行ってください。

グループポリシーを適用していない環境では、ローカルセキュリティポリシー側で設定を行ってください。

3.4.1.6.1. アプリケーション起動ログ：監査ポリシーの簡易設定

1. 対象ホストに管理者権限をもつアカウントでログオンする

2. スタートメニューから[コントロールパネル]‐[管理ツール(もしくはWindowsツール)]‐[ローカルセキュリティ ポリシー]を開く

3. [ローカル セキュリティポリシー]画面で[セキュリティの設定]‐[ローカルポリシー]‐[監査ポリシー]を選択する

4. [プロセス追跡の監査]及び、[ログオンイベントの監査]をダブルクリックし[成功]および[失敗]にチェックを入れて[OK]をクリックする

   

3.4.1.6.2. アプリケーション起動ログ：監査ポリシーの詳細設定

1. 管理者権限をもつアカウントでログオンする

2. スタートメニューの[Windows 管理ツール]から[ローカル セキュリティ ポリシー]をダブルクリックする

3. [ローカルセキュリティポリシー]画面が開くので[セキュリティの設定]、[ローカルポリシー] 、[セキュリティオプション]と展開し、[監査: 監査ポリシー サブカテゴリの設定 (Windows Vista 以降) を強制して、監査ポリシー カテゴリの設定を上書きする]を開く

   

4. [有効]にチェックを入れて、「OK」をクリックする

   

5. [ローカルセキュリティポリシー]画面が開くので[セキュリティの設定]、[監査ポリシーの詳細な構成]と展開し、[システム監査ポリシー-ローカルグループポリシーオブジェクト]をクリックする

6. ALogで取得するログに対応する項目に[成功]、[失敗]チェックを入れて[OK]をクリックし終了する

アプリケーション起動ログに必要な監査ポリシーは「詳細追跡」と「ログオン/ログオフ」カテゴリ配下にあります。

表 3.14 アプリケーション起動ログに必要な監査ポリシー

詳細追跡	ログオン/ログオフ

※表における「-」は「未構成(監査なし)」を意味します

表 3.15 カテゴリ「詳細追跡」

サブカテゴリ	セキュリティの設定
DPAPIアクティビティの監査	-
プロセス作成の監査	成功および失敗
プロセス終了の監査	成功および失敗
RPCイベントの監査	-

表 3.16 カテゴリ「ログオン/ログオフ」

サブカテゴリ	セキュリティの設定
アカウントロックアウトの監査	成功および失敗
ユーザー要求/デバイスの信頼性情報の監査	-
IPsec拡張モードの監査	-
IPsecメインモードの監査	-
IPsecクイックモードの監査	-
ログオフの監査	成功および失敗
ログオンの監査	成功および失敗
ネットワークポリシーサーバの監査	-
その他のログオン/ログオフイベントの監査	成功および失敗
特殊なログオンの監査	-

3.4.1.7. アクセス権変更ログ

アクセス権変更ログを収集するための監査設定は、ファイルアクセスログとほぼ同じです。

「ファイルアクセスログ 」を参考に「Step1. 監査ポリシーの設定 」、「Step2. イベントログの設定 」、「Step3. フォルダーの監査設定 」の3つのステップの設定を行ってください。

「Step3. フォルダーの監査設定 」の手順4-3.まで進んだら、以下の設定を行います。

監査エントリ画面で、[種類]を[すべて]に設定した後、[高度なアクセス許可を表示する]をクリックし、[高度なアクセス許可]内の[アクセス許可の変更]に追加でチェックを入れます。

---

3.4.2. NetAppの場合

この項目では、NetAppの対象ホストへイベントログを出力するための設定方法を説明します。

3.4.2.1. イベントログ出力用ボリュームの作成/共有の作成

イベントログ専用ボリュームを作成し、そのボリュームに対して共有を設定します。

1. NetAppのコンソールに接続する

2. NetAppのクラスタ管理者(デフォルトではadmin)でボリュームを作成する

volume create -vserver <SVM名> -volume auditlog -aggregate <aggregate名> -size 300GB -security-style ntfs -junction-path /auditlog

3. 作成したボリュームにアクセスするための共有の作成

vserver cifs share create -vserver <SVM名> -share-name <出力先共有名 例：auditlog$> -path /auditlog

この時点で<出力先共有名>に指定した名前で共有が作成されます。

<出力先共有名>を「auditlog$」とした場合、エクスプローラーから「\\ホスト名\auditlog$」と入力するとアクセスできるようになります。

ヒント

FSx for NetApp ONTAPでは既存のONTAPと同じコマンドが使用できます。 以下のように置き換えて操作します。

• コンソールへの接続はファイルシステムの管理エンドポイントに対して行う

• クラスタ管理者はファイルシステムの管理エンドポイントの管理者(fsxadmin)を使う

3.4.2.2. CIFS監査ポリシーの設定

作成した共有に対してイベントログを出力する設定を行います。

監査設定のローテート設定には2通りあります。 時間単位、またはファイルサイズ単位でローテートする設定です。 基本的に時間単位での設定を推奨しますが、ログの出力量が多く時間単位ではファイルサイズが大きくなりすぎる環境においてはファイルサイズ単位を推奨します。

1. 監査設定を環境に合わせて設定する

時間単位でローテートする設定 (推奨)

vserver audit create -vserver <SVM名> -destination <出力先パス 例:/auditlog/alog> -format evtx -rotate-schedule-minute 5,15,25,35,45,55 -rotate-limit 1440

ファイルサイズ単位でローテートする設定 (ログ量が多い環境において推奨)

vserver audit create -vserver <SVM名> -destination <出力先パス 例:/auditlog/alog> -format evtx -rotate-size 500000000 -rotate-limit 1440

注意

ファイルサイズ単位で設定した場合、指定サイズに達するまでイベントログを収集することができません。 ログ量が多く10分で数GBのログが発生するような環境において設定してください。 「-size 500000000」は、500MBにする場合の設定例です。

ヒント

時間単位の指定における 「-rotate-schedule-minute5,15,25,35,45,55」は、毎時5、15、25、35、45、55分にイベントログをファイルに出力する設定です。

ヒント

「-rotate-limit 1440」 は世代数の設定です。時間単位（1時間に6回出力）の場合、10 日間のファイルを残すことを示します。 ファイルサイズ単位の場合、サイズに到達すると次のログが作成されるため、環境によって何日分になるかは変わります。 小さい値を設定するとログロストの可能性があり、大きい値を設定するとディスク枯渇の可能性があります。 ログ出力先の容量を考慮して必要に応じて値を調整してください。

注意

-formatは、フォーマット指定を行います。 ログのフォーマットはevtx形式のみサポートしています。 XML形式は対応しておりません。

2. 監査処理の開始

vserver audit enable -vserver <SVM名>

3. 監査オプション実行ユーザーのフィルター解除

vserver cifs users-and-groups privilege add-privilege -vserver <SVM名> -user-or-group-name <ユーザー名> -privilege SeSecurityPrivilege

ヒント

SVMに管理者として登録しているWindowsアカウントは、フィルター解除なしでフォルダーの監査オプションを設定変更することが可能です。

管理者以外のユーザーにフォルダーの監査オプション設定変更を許可させたい場合に上記コマンドを実行してください。

「イベントログ出力用ボリュームの作成/共有の作成」、「CIFS監査ポリシーの設定」を行った場合、ALogの対象ホスト追加ウィザードでは以下のように設定してください。

「イベントログ出力先フォルダーの設定」画面では、出力先フォルダーの指定欄に<出力先共有名>と<出力先パス>の後方のパスを合わせたものを指定してください。

出力先共有名が「auditlog$」、出力先パスが「/auditlog/alog」であった場合、「auditlog$\alog」となります。

その上で「既存の共有フォルダーに出力する」を選択してください。

「CIFS監査ポリシーの設定」画面では、「手動設定」を選択してください。

3.4.2.3. フォルダーの監査オプションの設定

エクスプローラーから以下の操作を実施し、フォルダーに対して監査オプションの設定をします。

注意

ドライブ全体など、広い範囲に設定を適用すると、ログが多量に出力されるようになりますので注意してください。 運用に応じて監査設定を行うフォルダーを限定するなどの対処を検討してください。

1. 監査対象としたいファイル/フォルダー/ドライブの[プロパティ]を開く

2. [セキュリティ]タブを選択し[詳細設定]をクリックする

3. 「セキュリティの詳細設定」画面の[監査]タブで[追加]をクリックする

4. 画面上部の[プリンシパルの選択]をクリックし、ログ収集対象としたいユーザーアカウントまたはグループアカウントを入力して[OK]をクリックする

例えば、ドメインの全ユーザーのアクセスログを収集したい場合は[Domain Users]を指定する

注意

アンチウイルスやバックアップソフト等のアプリケーションにより大量にログが出力される場合には、「ウィルススキャン/バックアップ等のログを除外するには 」に記載された手順により、対処することが可能です。

5. [種類]を「すべて」に設定する

6. 「高度なアクセス許可を表示する」をクリックし、取得するログに合わせて下記の項目にチェックを入れる

ログ種別	チェックを入れる項目
CIFSアクセスログ	・フォルダーの一覧/データの読み取り ・ファイルの作成/データの書き込み ・フォルダーの作成/データの追加 ・サブフォルダーとファイルの削除 ・削除
アクセス権変更ログ	・フォルダーの一覧/データの読み取り ・アクセス許可の変更

(双方設定した場合の例)

---

3.4.3. EMCの場合

この項目では、EMCの対象ホストへイベントログを出力するための設定方法を説明します。

ログの出力には以下の3点を設定する必要があります。

1. CIFS監査ポリシーの設定

2. イベントログの設定

3. フォルダーの監査設定

代表製品としてEMC Unityを例に説明します。

3.4.3.1. 事前準備

設定作業には以下の準備が必要です。

1. Unity NAS Management snap-inの入手

監査ポリシーの設定には Unity NAS Management snap-in を使用します。

Unity NAS Management snap-inはデル・テクノロジーズ社のサポートサイトから入手できます。

詳細はデル・テクノロジーズ社のドキュメントを参照してください。

2. 対象ホストとして登録するUnityと同じドメインに所属しているWindowsマシンと、ドメイン管理者アカウントの用意

3.4.3.2. CIFS監査ポリシーの設定

1. 事前準備で用意したWindowsのマシンにドメイン管理者アカウントでログオンする

2. Unity NAS Management snap-in をWindowsのマシンにインストールする

3. スタートメニューを右クリックし、「コンピューターの管理」をクリックする

4. 「コンピューターの管理」画面で[操作]-[別のコンピューターへ接続]をクリックし、「コンピューターの選択」画面で対象ホストとなるUnityのホスト名を入力し[OK]をクリックする

画面を閉じずに続けて以下の手順に進む

5. [コントロールパネル]-[管理ツール(もしくはWindowsツール)]から手順2でインストールした[EMC Unity VNX VNXe NAS Management]を開く

   

6. [EMC Unity VNX VNXe NAS Management] 画面で[Data Mover/NAS Server Management] を右クリックし、[Connect to Data Mover/NAS Server] 画面を開く

   

7. [Select Data Mover/NAS Server] 画面で対象ホストのホスト名を選択して[OK]をクリックする

   

8. [Data Mover/NAS Server Management]-[Data Mover/NAS Server Security Settings]-[Audit Policy]を右クリックし、[Enable auditing]をクリックして監査を有効化する

   

9. [Audit Policy]を選択し、一覧から[Audit object access]を右クリックし、[Security]を選択する

   

10. [Security Policy Setting]画面で「Success」と「Failure」にチェックをいれて[OK]をクリックする

注意

対象ホストのグループポリシー設定が有効の場合、監査ポリシーが上書きされることがあります。 その場合は対象ホストのグループポリシー設定、もしくはドメインのグループポリシーの設定を変更してください。

3.4.3.3. イベントログの設定

1. 事前準備で用意したWindowsのマシンにドメイン管理者アカウントでログオンする

2. スタートメニューを右クリックし、[イベントビューアー]を開く

3. [イベントビューアー]画面で[操作]-[別のコンピューターへ接続]をクリックする

   

4. [コンピューターの選択]画面で対象ホストとなるUnityのホスト名を入力し[OK]をクリックする

5. Unityに接続されたイベントビューアー画面の[クラシックイベントビューアー]-[グローバルログ]-[セキュリティ]を右クリックし、[プロパティ]をクリックする

   

6. [セキュリティのプロパティ]画面で「ログサイズが最大値に達した時の操作：イベントを上書きしない」を設定し[適用]をクリックする

ヒント

この後の手順で再度[セキュリティのプロパティ]画面を使用します。

注意

手順6でログの出力モードを変更した場合、変更前の出力モードで出力されたイベントログをクリアしてください。 モードが混在したイベントログファイルはALogで変換できません。

7. スタートメニューを右クリックし、[ファイル名を指定して実行]を開き「regedit」と入力して「レジストリエディター」を開く

8. [レジストリエディター]画面で[ファイル]-[ネットワークレジストリへの接続]をクリックする

   

9. [コンピューターの選択]画面で対象ホストとなるUnityのホスト名を入力して接続する

10. [接続ホスト名]のツリーが表示されるため、以下のレジストリを展開してキーを設定変更する

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Security

表 3.17 レジストリの設定

名前	データ
File	イベントログ出力先フォルダーを指定する ・必ず初期設定以外に変更すること ・ファイル名は必ず「security.evt」のままとすること
AutoArchiveEnabled	オートアーカイブの設定を「1」(アーカイブする)にする
AutoArchiveTriggerPolicySize	イベントログのアーカイブサイズを指定する 「512mb」と指定すると512MB毎にアーカイブする
AutoArchivePolicyTime	イベントログのローテート時間を指定する 「1hour」と指定すると1時間毎にアーカイブする

11. 再度[セキュリティのプロパティ]画面で「最大ログサイズ：786432KB」を設定し[OK]をクリックする

注意

ここで設定する最大ログサイズは手順10で設定するAutoArchiveTriggerPolicySizeより大きくする必要があります。 例では512MBの1.5倍を設定しています。

12. [レジストリエディター]を閉じる

ヒント

アーカイブ設定で「AutoArchiveTriggerPolicySize」と「AutoArchivePolicyTime」を同時に設定した場合は、先にマッチしたタイミングでアーカイブ化が行われます。

3.4.3.4. フォルダーの監査設定

注意

ドライブ全体など、広い範囲に設定が適用されるほどログが多量に出力されるようになりますのでご注意下さい。 設定により多量にログが出力されてしまう場合、運用に応じて監査設定を行うフォルダーを限定するなどの対処を検討して下さい。

1. 事前準備で用意したWindowsのマシンにドメイン管理者アカウントでログオンする

2. エクスプローラーを開き、対象ホストとするマシン内の監視したいフォルダーを右クリックし、[プロパティ]を開く

3. [セキュリティ]タブを選択し[詳細設定]をクリック、[監査]タブを選択し、[追加]をクリックする

   

4. [プリンシパルの選択]をクリックし、監査対象とするユーザーアカウント、またはグループ名を入力して[OK]をクリックする

   例：ドメインの全ユーザーのアクセスログを取得する場合、選択するオブジェクト名に[Domain Users]を指定して[OK]をクリックする

   

注意

アンチウイルスやバックアップソフト等のアプリケーションにより大量にログが出力される場合には、「 ウィルススキャン/バックアップ等のログを除外するには 」に記載された手順により、対処することが可能です。

5. [監査エントリ]画面が開くので、種類を「すべて」とし、「高度なアクセス許可を表示する」をクリックし、取得したいログに合わせてチェックを入れる

   • 種類を「すべて」とする

   

   • アクセス権変更ログの場合：フルコントロールにチェックを入れる

   

   • ファイルアクセスログの場合：以下の項目にチェックを入れる

   

・フォルダーのスキャン/ファイルの実行
・フォルダーの一覧/データの読み取り
・ファイルの作成/データの書き込み
・フォルダーの作成/データの追加
・サブフォルダーとファイルの削除
・削除

6. 詳細画面で[適用]をクリックし、設定を反映する

---

3.4.4. PowerScaleの場合

この項目では、PowerScaleの対象ホストへイベントログを出力するための設定方法を説明します。

「ログ出力先フォルダーへの共有設定」、「ファイルアクセス監査(Audit)ログの設定」を行います。

3.4.4.1. ログ出力先フォルダーへの共有設定

1. PowerScale側でALogをインストールしたホストへログを出力するフォルダーに対して共有を作成する

   isi smb shares create --name=auditlog --path=/ifs/auditlog
   isi smb shares permission modify auditlog --wellknown Everyone --run-as-root
   　※ ALog 用共有のAccess Zone 設定はSystem Zone を推奨
   

2. 作成した共有にALogをインストールしたホストのみアクセス許可できるように設定する

   （ALogをインストールしたホストのIP を192.168.1.100 とした場合）
   isi smb shares modify --share=auditlog --host-acl=allow:192.168.1.100
   isi smb shares modify --share=auditlog --add-host-acl=deny:ALL
   isi smb shares view --share=auditlog
   

   ※チェックすべき項目のみ以下に記載します
   Share Name: auditlog
   Path: /ifs/auditlog
   Permissions:
   Account Account Type Run as Root Permission Type Permission
   ------------------------------------------------------------
   Everyone wellknown True allow full
   ------------------------------------------------------------
   Host ACL: allow: 192.168.1.100, deny:ALL
   

※共有名を隠し共有(auditlog$)とすることも可能です。

3.4.4.2. ファイルアクセス監査(Audit)ログの設定

3.4.4.2.1. 事前確認内容

監査設定の作業は以下の点を考慮したうえで実施してください。

1. 作業者が、PowerScale/OneFS に関する十分な知識があること

2. クライアントからの接続がない状態であること

3. クラスタステータスが正常であること

4. ifs 空き容量が十分にあること

3.4.4.2.2. 設定手順

1. 監査ログを有効にする

1. ssh もしくはシリアル経由でノードへログイン

2. プロトコルに関する監査ログを有効にする
　　isi audit settings global modify --protocol-auditing-enabled=yes

3. 監査対象のAccess Zone を追加
　　isi audit settings global modify --add-audited-zones <zone>

4. 監査ログ設定確認
   　isi audit settings global view

　　　※チェックすべき項目のみ以下に記載します
　　　Protocol Auditing Enabled: Yes
　　　Audited Zones: <zone>

2. 監査イベント出力設定を行う

1. 成功と失敗に関する監査設定
   isi audit settings modify --zone=<zone> --audit-success=create,write,read,delete,rename,set_security,open
   isi audit settings modify --zone=<zone> --audit-failure=create,write,read,delete,rename,set_security,open

2. 監査イベント出力設定確認
   isi audit settings view --zone=<zone>

3.4.4.3. ノード追加時の対応

既存のシステムにノードを追加した場合に、PowerScale上の設定やALogをインストールしたホストの設定内容を変更する必要はありません。

3.4.4.4. ALog使用時のPowerScale側の設定・確認作業

デル・テクノロジーズ社にてPowerScaleの保守を行っている場合の、PowerScaleの設定・確認作業の実施担当者は以下のとおりです。

なお、販売代理店にて保守を行っている場合は異なる場合がありますので、販売代理店へお問い合わせください。

1	PowerScaleとALogを同時に導入する場合	デル・テクノロジーズ社の「プロフェッショナルサービス」にて設定
2	ALogを後から導入する場合	網屋もしくはお客様にて設定
3	ALogをバージョンアップした場合	網屋もしくはお客様にて設定
4	PowerScaleをバージョンアップした場合	お客様にて設定(ALog/OneFSのバージョンによっては対応不要)
5	ALogに関するトラブルシューティング時	網屋もしくはお客様にて設定

※上記(1)の導入作業以外にも「プロフェッショナルサービス(有償)」にてPowerScale側の再設定作業が可能です。

　ご希望になる場合はデル・テクノロジーズ社までお問い合わせください。

---

3.4.5. SQL Serverの場合

SQL Serverの場合は、対象ホスト追加時に自動的に監査設定を行います。

手動での監査設定手順はありません。

---

3.4.6. Oracleの場合

Oracleの場合は、対象ホスト追加時に自動的に監査設定を行います。

手動監査設定を行う場合は、網屋へお問い合わせください。

---

3.4.7. Linuxの場合

ALogで変換に使用するシステムコールが記録されるようにauditdに対してルールを設定してください。

ルールはaudit.rulesファイルに記述するかauditctlコマンドを直接実行することで設定してください。 また、必要に応じてauditd.confにてauditdの設定を行ってください。

注意

Linuxの監査設定は自動で設定することを推奨します。自動にすることでフィルター設定もALogのWebコンソール上から行えます。 Linux側のコマンドの詳細仕様についてALogのマニュアルでは記載しません。

3.4.7.1. 取得するログ種別と必要なシステムコールの一覧

ファイルアクセスログ

open
openat
creat
link
linkat
unlink
unlinkat
mkdir
mkdirat
rmdir
rename
renameat
renameat2
truncate
truncate64(32bit archのみ)
symlink
symlinkat
mknod
mknodat
readlink
readlinkat

アクセス権変更ログ

chmod
chmodat
chown
lchown
fchownat

コマンド実行ログ

execve

ログオンログオフログ

USER_START
USER_END
USER_LOGIN
LOGIN

ログオンログオフに関連するログは既定値で自動的に出力されるよう設定されています。
出力を止めたい場合に上記のmsgtypeのログが出力されないようルール設定を行ってください。

3.4.7.1.1. audit.rulesファイルへシステムコールを記録するように設定する方法

(例：openシステムコール)

-a exit,always -S open

3.4.7.2. フィルター設定

Linuxの場合、大量のログが出力されるため、対象ホストへの負荷を考慮し監査対象を制限するためのフィルター設定を行うことを検討してください。 フィルター設定の記述方法は、対象ホストにおいてauditctlコマンドのマニュアルを確認してください。

3.4.8. Amazon FSx for Windows File Serverの場合

Amazon FSx for Widnows File Server、Amazon Kinesis Data Firehose、Amazon S3 を以下のように設定してください。

※未記載の内容については任意指定が可能です。

Amazon S3

・「バケット名」　…　任意の名前を指定する

Amazon Kinesis Data Firehose

・「Source」　…　Direct PUT
・「Destination」　…　Amazon S3
・「Data transformation」　…　Disabled
・「Record format conversion」　…　Disabled
・「S3 bucket」　…　作成済みのS3 バケット名を指定
・「Dynamic partitioning」　…　Disabled
・「Buffer Size」　…　128 MiB
・「Buffer interval」　…　900 seconds
・「Compression for data records」　…　Zip
・「Encryption for data records」　…　Disabled
・「Server-side encryption」　…　Disabled
・「Delivery stream name」 … 「aws-fsx-」 で始まる名前を指定する

Amazon FSx for Windows File Server

・「ファイルとフォルダのアクセスをログを記録」＞成功した試行を記録　…　チェック
・「ファイルとフォルダのアクセスをログを記録」＞成功した試行を記録　…　チェック
・「ファイル共有へのアクセスをログ記録」＞失敗した試行をログ記録　…　チェック
・「ファイル共有へのアクセスをログ記録」＞失敗した試行をログ記録　…　チェック
・「監査イベントログの送信先を選択」　…　Kinesis Data Firehose
・「Kinesis Firehose 配信ストリームの送信先を選択」　…　前述で設定したAmazon Kinesis Data Firehoseを選択

3.5. ログのマッピング

マッピングが必要なログタイプを選択した場合の、ログの入出力およびマッピングについて説明します。

3.5.1. マッピング設定 – 入力

3.5.1.1. ログフォーマットの選択

各画面で設定する項目について解説します。

ログフォーマット	項目	説明
プレーンテキスト	文字コード	入力されるログファイルの文字コードを指定する
	自動フォーマット設定	入力されるサンプルデータから候補となる正規表現を自動生成する - 詳細は「[自動フォーマット設定]」
CSV/TSV/DSV	文字コード	入力されるログファイル(テキスト)の文字コードを指定する
	区切り文字	各列を区切る文字を指定する カンマ、タブ、スペースなど、ユーザーは任意の文字を指定できる ただし、ダブルクォーテーションや連続した同じ文字などは指定できない
	入力ファイルにヘッダーを含む	この設定を有効にすると、ファイルの最初の行はファイルのヘッダーとして扱われ、マッピング処理の対象から除外される
	空のフィールドを除外	この設定を有効にすると、指定した区切り文字で区切られたフィールドの内容が空だった場合にフィールドとして扱われない 例: 区切り文字「空白」の際、連続空白を除外したい
	コメント行の先頭文字	ここで指定した文字が行頭に出現した場合、当該行はコメント行として扱われ、マッピング処理の対象から除外される
イベントログ	イベントID	収集したイベントログのうち、イベントIDを限定したい場合に使用する - 複数のイベントIDを指定したい場合は、カンマ区切りで列挙する - 特定の範囲のイベントIDを指定したい場合は、「数字-数字」のようにする - 処理対象外（除外）とするイベントIDの指定はできない - イベントIDの指定は最大23個
Syslog	文字コード	入力されるSyslog形式のログファイルの文字コードを指定する
JSON	文字コード	入力されるJSON形式のログファイルの文字コードを指定する

ヒント

文字コードの指定では、代表的な文字コード（utf-8/utf-16/shift_jis/euc-jp）についてはリストから選択できます。

上記の文字コード以外にもMicrosoft .NET Frameworkでサポートされている文字コードを指定できます。

注意

ログフォーマットがイベントログもしくはプレーンテキスト以外の場合、「過去のログを再変換する」実行時は「マッピング設定 – 入力」で設定した値ではなく、ALogで設定された既定値で再変換がされます。

再変換時の既定値については 過去のログを再変換する時のログフォーマット毎の既定値について を参照してください。

3.5.1.2. [自動フォーマット設定]

自動フォーマット設定画面は、できるだけ簡単にフォーマットを設定するための画面です。

ポイント

• 難しい正規表現を自分で考えなくても、サンプルデータをもとにデータのフォーマットを表す正規表現をALogが自動で考える

• 候補から希望する正規表現を選択するだけでいい

• 1つのデータに対し、複数のフォーマットを設定できる

使い方

1	適切なサンプルデータを指定する
2	[時刻フォーマット]タブ で時刻の正規表現を決定する
3	[フォーマット(数字)]タブ で時刻以外の正規表現を決定する
4	プレビューで確認する、必要に応じてフォーマット設定を調整する

ヒント

サンプルデータは先頭から2000行分を表示します。

注意

各項目がダブルクォーテーション("")で囲まれているログは使用できません。

(例)

"2023/04/01 10:10:10.000","AMIYA.CO.JP\sample","Host","C:/User","WRITE","ClientIP:127.0.0.1" Count:1"

3.5.1.2.1. [時刻フォーマット]タブ

1. サンプルデータから時刻フォーマットを抽出するため[自動抽出]をクリックする

2. ALogが自動でフォーマットを抽出することを確認

• サンプルデータの時刻部分がマークされる

• 「正規表現文字列」欄に正規表現が表示される

3. 変更したい場合は、「正規表現文字列」欄を手動で変更し[自動抽出]をクリックする

ヒント

• Microsoft C#で使われる一般的な正規表現文字列が使用可能です。

• 自動判別できる時刻フォーマットは 自動判別可能な時刻フォーマット と同様です。

• 1つの対象ホストに対し、時刻フォーマットは1つのみ設定できます。

ヒント

サンプルデータに時刻を表す箇所がない場合は、「正規表現文字列」欄に何も表示されません。

時刻フォーマットを設定しない場合、「それ以外のフォーマットタブ」で自動作成される正規表現の精度が下がる可能性があります。

3.5.1.2.2. [フォーマット(数字)]タブ

1. [追加]をクリックし、フォーマットタブを作成、この時点でALogが自動でフォーマットを抽出することを確認

• サンプルデータ内に存在するフォーマットの正規表現が「正規表現文字列の候補一覧」に表示される

• このとき自動生成される正規表現は、時刻として指定した箇所の次の文字からとなる

2. 候補一覧をクリックしながら、希望の正規表現を決定する

• 「正規表現文字列」欄に正規表現が表示される

• クリックしていくと、サンプルデータにマークされ可視化されるため、どの行のどの部分が抽出されているかがわかる

• マークのカラーは左下のグループ名と連動している

3. フォーマット名、正規表現文字列、グループ名を必要に応じて変更し、プレビューで確認する

フォーマット名について

そのログを指し示すわかりやすい名前を付ける

　例：1つ目のフォーマットに「LOGIN」、2つ目のフォーマットに「LOGOUT」など

正規表現文字列について

Microsoft C#で使われる一般的な正規表現を使用して変更することができる

グループ名について

グループ名は、次に設定する「マッピング設定 - 出力」において関数として使用される

出力側でわかりやすくしたい場合は事前にここで変更する

同一フォーマット内で同じグループ名を設定することはできない

複数フォーマットでは同じグループ名を設定することができる

4. 複数のフォーマットを作成したい場合は、この作業を繰り返す

複数のフォーマットを作成する例

サンプルデータのログが100行あり、最初に定義したフォーマット1では10行目~30行目のログが抽出できなかった場合、フォーマット2を作成して10行目~30行目のログを抽出する

• タブ数の制限はない

• 同じ行のログで複数のフォーマット設定で抽出された場合、左側のフォーマット設定タブの内容を優先する

---

3.5.2. マッピング設定 - 出力

マッピングが必要なログタイプを選択した場合、あらかじめ用意された関数およびMicrosoft C# で使用可能な関数の一部を利用して、マッピングの設定を行います。

収集したログは設定されたマッピングルールに従い処理され、アクセスログとして出力されます。

3.5.2.1. マッピング処理の概要

マッピングが自由に設定できるログタイプの変換処理は、大きく「デコーダ部」と「マッピング部」に区分することができます。

「デコーダ部」では、収集したログファイルの形式に応じて、「行の分割」を行い、次に指定された区切り文字などに従って、「列の分割」をし、変数への「列の展開」が行われます。

「デコーダ部」で処理されたログは、マッピング部に引き渡され、マッピング設定に従って、「除外フィルターの設定・評価」や「アクセスログへの変数の割り当て」が行われ、最終的にアクセスログとなります。

3.5.2.2. デコーダ部

「デコーダ部」では、以下のような処理を行っています。

3.5.2.2.1. 行の分割処理

テキストファイルである区切り文字形式（CSV/TSV/DSV）やSyslog形式、プレーンテキスト形式のログファイルでは、改行コードにより1行ずつ行を分割処理します。

一方、イベントログ形式のログファイルでは、1イベントレコードを1行と見なし、行の分割処理を行います。

注意

マッピング設定が必要なログタイプでは、複数行のログを1つの行として扱うことができません。

そのため、1つの処理で複数行のログが出力されるケースでは対象ホスト側のログ出力設定を変更し、1行のログにする必要があります。

3.5.2.2.2. 列の分割処理および列の展開

行の分割処理後、指定された区切り文字に従って、各行のログを列に分割します。

分割したログは、ALogが用意した関数に展開します。

3.5.2.3. マッピング部

「マッピング部」では、テンプレートおよびマッピング設定で使用可能な関数を使って出力内容を指定します。

3.5.2.3.1. 「マッピング – 出力」の設定例

「マッピング – 出力」では、以下のように設定（例）を行います。

下記はあくまで一例となり、指定する詳細キーおよび詳細値は収集するデータにより異なりますので、データに合わせて設定が必要です。

No.	詳細キー	設定例の説明
1	Timestamp	必ず詳細値を指定する必要のある時刻を表す詳細キー 上記では、時刻に相当する文字列は「F(1)」に存在している この場合、「F(1)」を詳細値で指定することで、「Timestamp」を表示させることができる
2	User	上記では、操作したユーザーの情報を「user」と定義し、詳細キーにユーザー情報が記載されている「{F(2)}」を指定している
3	Object	上記では、操作対象となったファイル情報について「Object」と定義し、詳細キーにファイル情報が記載されている「{F(4)}」を指定している
4	Operation	上記では、行われた操作を「Operation」と定義し、詳細キーに操作情報が記載されている「{F(5)}」を指定している

ヒント

• 「詳細値」にALogの用意する関数「F()」とMicrosoft C#の標準的な関数「string.Split()」を組み合わせることで任意の情報を抽出する事が可能です。

• 文字列の結合は、「{F(1)} {F(2)}」のように中括弧でくくり、並べて記載することで簡単に行えます。

• 詳細キー毎に設定できる詳細キータイプにつきましては「詳細キータイプ設定」を参照してください。

ヒント

後述する「除外フィルター」を除き「Timestamp」と「詳細の各項目」に指定できる文字列はMicrosoft C#の補間文字列として扱われます。

そのため、｛｝で関数を括ることで、その評価結果を表示することが可能となっています。

逆に｛｝などで括らない文字列は、アクセスログへ直接出力されることになります。

例えば「F(3)」とした場合、アクセスログへ「F(3)」と出力されますが、「{F(3)}」とした場合は、F(3)の関数を実行し、その評価結果が文字列としてアクセスログへ割り当てられます。

注意

日付、時刻が別の列として現れる場合、時刻の自動判別には、日付と時刻の間にスペースが必要です。

注意

時刻項目に代入しようとする文字列が自動判別可能な時刻フォーマットまたは、任意に指定した時刻フォーマットに該当しない場合、変換処理がエラーとなります。

マッピング設定時にプレビュー画面などで変換後の時刻項目の文字列を確認し、マッピングの設定が正しい時刻フォーマットに則した文字列になっているかを確認してください。

注意

マッピングで指定できる式評価外の文字は、文字種によってエスケープシーケンスで入力する必要があります。

詳しくは「特別な文字列のエスケープ方法」を参照してください。

3.5.2.4. マッピング設定で使用可能な関数

3.5.2.4.1. ALogが標準で用意している関数

ALogでは、マッピングの設定にあたり、以下の関数を標準で用意しています。

また、以下に記載した関数以外にも Microsoft C# が用意する関数の一部を使用できます。

関数	説明
string F(int idx)	分割した列のidx番目（カウントは1から）の文字列を取得する
string[] F(int start, int end)	分割した列のstart番目（カウントは1から）からend番目の文字列の配列を取得する なお、取得した行の最後尾の列を指定する場合は。Endを-1にする （例として、 2番目から最後までの列を取得する場合には、「F(2, -1)」と表記する）
DateTime Now()	関数が呼び出されたときの時間をそのまま文字列として出力する
DateTime Now(TimeSpan offset)	関数が呼び出されたときの時間をOffsetで指定した差分を加味して文字列として出力する
string Server()	対象ホスト設定で指定したホスト名を文字列として出力する
int LineCount()	読み込んだログの行数を数値として出力する また区切り文字形式（CSV/TSV/DSV）では１レコードが複数行になる場合、1レコードを1行とする
string RawLine()	マッピングで１行に相当する行のすべての文字列を取得する
stirng Extract( string input, string pattern, int groupIdx=1, int matchIdx=-1 )	正規表現を使った、特定の文字列から特定のパターンに合致した文字のみを抽出する機能 inputには入力となる文字列を、patternには正規表現を指定できる またpatternの内容に則して、グループとなる位置の指定(指定しなかった場合、最初のグループ)、またパターンが繰り返し適合（マッチ）した場合に、何番目に適合した文字列を抽出するかの指定をする（指定しなかった場合、最後に適合した文字列を抽出する）
DateTime ConvSerialToDateTime( string input, bool withLocalTimeGap = true )	シリアル値（Unix時間、秒）を日付時間に変換する Inputに入力された文字列をUnix時間（秒数）と勘案し、DateTimeに変換する 変換の際に、withLocalTimeGapをtrueにすると、入力された時間にALogをインストールしたホストのUTC時差を付加し、出力する falseの場合には、与えられた入力値をUTC0のまま出力する
DateTime ConvSerialMSToDateTime( string input, bool withLocalTimeGap = true )	シリアル値（Unix時間、ミリ秒）を日付時間に変換する Inputに入力された文字列をUnix時間（ミリ秒数）と勘案し、DateTimeに変換する 変換の際に、withLocalTimeGapをtrueにすると、入力された時間にALogをインストールしたホストのUTC時差を付加し、出力する falseの場合には、与えられた入力値をUTC0のまま出力する
int FCount()	分割した列の総数を返す
string ReplaceByFile( string input, string filePath, int keyIndex, string formatOutput, ReplaceByFileOptions options = ReplaceByFileOptions.None )	外部ファイルを参照して置換する filePathに入力されたパスのファイルを使用し、ファイル内のkeyIndexで指定したカラム番号の値とinputに入力された文字列とマッチした行の値（外部ファイル）を使用してformatOutputに入力されたフォーマットに沿って文字列を出力する 詳細は「関数「ReplaceByFile」の使用方法」を参照
string KeySearch( string line, string key, string delimiter="\t", char escapeChar='\\', string escapedChars="\"\'\\", string quotes="\"\'" )	与えられた文字列から、指定したKey 項目に対する「値（Value）」を探す line で指定した文字列の中からKey で指定したキー項目を探し、もしquotes で指定されている文字で引用されている場合は、quote で示された文字列を、そうでなければ、delimiter で指定した文字までを抽出し返す もし当該のKey が発見されなかった場合は空文字を返す 詳細は「関数「KeySearch」の使用方法」を参照
string InputFileName()	収集したファイル名をそのまま出力する

3.5.2.4.2. CSV/TSV/DSV形式のログのみに使用できる関数

CSV/TSV/DSV形式のログに対しては以下の関数も使用できます。

関数	説明
string F(string rowName)	「マッピング-入力」設定で、[入力ファイルにヘッダーを含む]を有効にした場合、関数の引数にヘッダー名を使用することが可能 また、プレビュー画面でマッピング用の列名にヘッダー名が表示される [入力ファイルにヘッダーを含む]を無効にして本関数を利用した場合、あるいは存在しないヘッダー名（列名）が指定された場合には、本関数は空文字を返す

注意

本関数は再変換では利用できません。

本関数を利用して変換を行ったログを再変換したい場合には、詳細値を列指定(F(1)など)へ変更することで再変換が可能となります。

3.5.2.4.3. イベントログ形式のログのみに使用できる関数

イベントログ形式のログに対しては以下の関数も使用できます。

関数	説明
string F("TimeCreated")	イベントが作成された日時を取得する
string F("ProviderName")	イベントを発行したイベント プロバイダーの名前を取得する
string F("ProviderID")	このイベントを発行したイベント プロバイダーのグローバル一意識別子 (GUID) を取得する
string F("EventID")	このイベントの識別子を取得する
string F("Version")	イベントのバージョン番号を取得する
string F("Level")	イベントのレベルを取得します。レベルは、イベントの重要度を示す
string F("Task")	アプリケーションまたはイベントを発行するコンポーネントの一部のタスクの識別子を取得する
string F("Opcode")	イベントのオペレーション コードを取得する このオペコードは、アクティビティまたはイベントが発生したときに、アプリケーションが実行していたアクティビティ内のポイントを識別する数値を定義する
string F("Keywords")	イベントのキーワードのマスクを取得する
string F("EventRecordID")	ログのイベントのイベント レコード識別子を取得する
string F("ProcessID")	イベントを記録したイベント プロバイダーのプロセス ID を取得する
string F("ThreadID")	イベント プロバイダーが実行されているスレッドのスレッド識別子を取得する
string F("Channel")	このイベントが記録される場所、イベントログの名前を取得する
string F("Computer")	このイベントが記録されたコンピューターの名前を取得する
string Description()	イベントビューアーの「全般」タブに表示される情報を取得する イベントログ形式以外でこの関数を使用すると空文字を返す
string DF(int idx)	イベントログ形式のログの詳細項目（EventDataに該当する部分）のidx番目を取得する イベントログ形式以外でこの関数を使用すると空文字を返す
string DF()	イベントログ形式のログの詳細（EventDataに該当する部分）の全てを取得する。その際、項目の区切り文字は「|」となる。 イベントログ形式以外でこの関数を使用すると空文字を返す
string[] DF(int start, int end)	イベントログ形式のログの詳細項目（EventDataに該当する部位）のstart番目（カウントは1から）からend番目の文字列の配列を取得する 取得した行の最後尾の列を指定する場合は。Endを-1にする （例として、 2番目から最後までの列を取得する場合には、「F(2, -1)」と表記する） イベントログ形式以外でこの関数を使用すると空文字を返す
string DF(char delimiter)	イベントログ形式のログの詳細項目(EventDataに該当する部分)の全てを指定した文字で連結した文字列を取得する
int DFCount()	当該のイベントログ行に含まれる詳細項目の総数を返す

注意

Description()関数を使用すると変換タスクのパフォーマンスに影響があります。

ログが大量に発生する対象ホストで本関数を使用する場合は、除外フィルターにより不要なログを削減するなど、変換対象とするログを事前に絞り込むことを推奨します。

3.5.2.4.4. JSON形式およびイベントログ形式のログのみに使用できる関数

JSON形式およびイベントログ形式のログに対しては以下の関数が使用できます。

関数	説明
string F(<JSONパス書式>)	JSON形式のログでフィールドの内容を取得するには、関数の引数にJSONパス書式で記述して指定する 例えば、取得したいオブジェクトのキー名が「Operation」の場合、本関数では「F("Operation")」と書く

以下の記号を用いて特定のオブジェクトの値を取得する事も可能

記号	意味
$	オブジェクトや要素のルート
. or [ ]	子オペレーター
[ ]	配列の指定

　例： JSONパスが /store/book[0]/titleの値を取得したい場合　「$.store.book[0].title」

注意

JSON形式では、添え字（数字）によるF()関数の指定が利用できません。

3.5.2.4.5. プレーンテキストのログのみに使用できる関数

プレーンテキストのログに対しては以下の関数が使用できます。

関数	説明
string FormatName()	自動フォーマット設定画面で指定したフォーマット名を使用することが可能
string F(string GroupName)	自動フォーマット設定画面で指定したグループ名を使用することが可能 また、プレビュー画面でマッピング用の列名にグループ名が表示される

3.5.2.4.6. 良く使う関数例

(1)複数のフィールドを結合する – Join関数

関数	説明
{string.Join(":", F(3,5))}	F3から開始し、F5までを1つのフィールドに出力する 区切り文字は「:」
{string.Join("-",DF(5,-1))}	DF5から開始し、DFの最大値までを1つのフィールドに出力する 区切り文字は「-」 ※DFはイベントログのみ指定可能

(2)1つのフィールド内を特定の区切り文字で分離する – Split関数

関数	説明
{F("ProviderName").Split('-')[3]}	「ProviderName」のフィールドを区切り文字「-」ごとに分割し、左から数えて4個目の値を抽出する (左から0、1、2、3と数える)
{F(2).Split(' ')[0]}	F2のフィールドを区切り文字「 」(半角スペース)ごとに分割し、左から数えて0個目の値を抽出する(左から0と数える)

注意

Join関数/Split関数等の関数による文字列操作が行われる場合、変換タスクのパフォーマンスに影響があります。 同環境で上記の関数を使用しない場合と比較し約70%程度となることを確認しています。(設定する関数の複雑さにより変動します。) ログ出力量によりマシンスペックが追加で必要になる場合がありますので構築時に注意してください。

3.5.2.4.7. 関数「ReplaceByFile」の使用方法

ここでは、詳細キーに[User]を設定し、アカウントを氏名に置換する例を用いて使用方法を説明します。

1. 以下の様な置換前と置換後の文字列がセットになったCSVファイルを用意する

(ファイルの配置先は D:\UserData\User.csv とします)

2. Webコンソール-対象ホスト追加ウィザード、もしくは編集画面を開き、「マッピング設定-出力」の欄に下記のように設定する

※この例では[User]の[詳細値]に入力する。その他の欄はそれぞれ必要なマッピング設定を行う

コピー用
{ReplaceByFile(F(2), @"D:\UserData\User.csv", 0, "{1}　{2}", ReplaceByFileOptions.IgnoreCase)}

	引数	記述する内容
1	入力文字列	「マッピング設定-入力」で指定したログデータにおける列を指定する。プレビュー画面を見て確認可能
2	ファイル名	手順1で用意した置換用テーブルとして扱うCSVファイルをフルパスで指定する
3	キーインデックス	手順1で用意したファイルにおける検索対象としたい列の番号を指定する。0からカウントする
4	出力フォーマット	置換後の出力フォーマットを指定する。{列番号} という形で手順1にて用意したファイルの列番号を指定する。0からカウントする
5	オプション値	「IgnoreCase」と指定すると、ログのデータと置換用テーブルにおける文字列の、大文字小文字を比較せずに置換する

【解説】

上記のように記述することで、F(2)の文字列がCSVファイルの1列目の値と一致した場合に、「2列目の項目、全角スペース、3列目の項目」をユーザー欄に出力する

IgnoreCaseオプションを指定しているため、大文字小文字を無視してF(2)の文字列とCSVの1列目の値を比較する

また、一つもマッチしなかった場合、最初の引数に指定した文字列（この例ではF(2)の文字列）がそのまま出力される

F(2)の値	出力結果
Domain.co.jp\s-sato	佐藤　詩織
domain.co.jp\k-kato	加藤　光一
test.co.jp\t-tanaka	test.co.jp\t-tanaka

3. 設定完了後、運用前に収集タスクと変換タスクを実行し、置換が期待した通りに行われているか確認する

3.5.2.4.8. 関数「KeySearch」の使用方法

「KeySearch」という関数は、入力データで順序に規則性のない「キー=値」のような組み合わせが複数出力されている場合に、「キー 名」を指定することで「キー名」で検索し、紐づく「値」を返すものです。

ここでは、代表でsyslog のメッセージ部分を例にし、キー名から値を検索する使用方法を説明します。

（例）

	日付(F1)	ホスト (F2)	メッセージ (F3)
1 行目	Jan 6	10.249.3.13	version="1.0" class="high"uid="0"
2 行目	Jan 6	10.249.3.13	class="high"
3 行目	Jan 6	10.249.3.13	sshd="15880" version="1.1" class="high"uid="0"

メッセージ部分は複数の情報が含まれています。キーによっては存在する行と存在しない行があり得ます。

この中から「version の情報があった場合に値を出したい」という要望がある場合、メッセージ部の順番指定では切り出すことができません。

このようなときに 「KeySearch(F(3), "version=")」と指定すると、メッセージ内で「version」を探し、それに紐づく値を返すことができます。

	関数返り値
1 行目	1.0
2 行目	(なし)
3 行目	1.1

【省略可能なオプション引数】

省略可能なオプションは、通常の使い方においてユーザーが指定する必要はありませんが、エスケープ文字の違いや区切り文字の異なったフォーマットの場合には、ユーザーが適宜、適切な文字を指定することで、KeyValue の探索ができるようになります。

オプション引数	初期値	解説
delimiter	「 」(空白) 「\t」(タブ)	ここで指定するのは「キーと値の組み合わせ」の間で分割する区切り文字である 通常このパラメタを変更する必要はないが、特殊な文字、例えば「,」などで区切られている場合にはdelimiter="," と指定する
escapeChar	「\」	クォートの中でエスケープが必要な際に、エスケープの開始文字を指定する デフォルト値は「\」キャラクタで、後続に指定する被エスケープ文字(escapedChars）をエスケープするシーケンス開始として認識する
escapedChars	「"」「'」「\」	ここで指定される文字は、前述のescapeChar の後続で指定される「エスケープされる文字」を指定する
quotes	「"」「'」	Key に対する値が発見された場合に、それらの文字が「クォートされている」ときの、クォート文字を指定する

注意

「KeySearch」の関数は毎行キーを検索することになるため変換タスクのパフォーマンスは低下します。規則性のないログに限定して使用することを推奨します。

3.5.2.5. 時刻のマッピング処理

時刻へのマッピングにあたっては、時刻を自動認識する方法とユーザーが独自に時刻フォーマットを指定する方法の2つから選択できます。

下図のとおり、[時刻フォーマットを指定する]チェックボックスを外した状態（既定値）にするとマッピング処理において、ログ内で時刻に相当する項目を自動的に評価し、時刻を判別します。

独自書式の時刻フォーマットを指定する場合は、[時刻フォーマットを指定する]チェックボックスにチェックを入れ、[時刻フォーマット]に指定したい時刻フォーマットを入力します。

ここに指定できる文字列は、Microsoft C# の「カスタム日付書式」と同じものになります。

注意

時刻に代入しようとする文字列が自動判別可能な時刻フォーマットまたは、任意に指定した時刻フォーマットに該当しない場合、変換処理がエラーとなります。 プレビュー画面で変換後の時刻の文字列を確認し、正しい時刻フォーマットになっているかを確認してください。

3.5.2.5.1. 自動判別可能な時刻フォーマット

ALogでは、標準で以下の時刻フォーマットを自動で判別できます。

No.	フォーマット	例示
1	yyyy/MM/dd[T]HH:mm:ss.FFFFFFF	1999/12/31 23:59:59.123
2	yyyy/MM/dd[T]H:mm:ss.FFFFFFF	1999/12/31 9:59:59.123
3	yyyy-MM-dd[T]HH:mm:ss.FFFFFFF	1999-12-31 23:59:59.123
4	yyyy-MM-dd[T]H:mm:ss.FFFFFFF	1999-12-31 9:59:59.123
5	yyyy/MM/dd[T]HH:mm:ss	1999/12/31 23:59:59
6	yyyy/MM/dd[T]H:mm:ss	1999/12/31 9:59:59
7	yyyy-MM-dd[T]HH:mm:ss	1999-12-31 23:59:59
8	yyyy-MM-dd[T]H:mm:ss	1999-12-31 9:59:59
9	yyyyMMdd[T]HHmmssFFFFFFF	19991231 235959123
10	yyyyMMdd[T]HHmmss	19991231 235959
11	MMM dd HH:mm:ss.FFFFFFF	Dec 02 23:59:59.123
12	MMM d HH:mm:ss.FFFFFFF	Dec 2 23:59:59.123
13	MMM dd HH:mm:ss	Dec 02 23:59:59
14	MMM d HH:mm:ss	Dec 2 23:59:59
15	M d HH:mm:ss	12 2 23:59:59
16	MMMM d HH:mm:ss	December 2 23:59:59

ヒント

[T]は"T"あるいは空白であることを意味します。

注意

上記フォーマットにおいてss(秒指定)の部分は正のうるう秒を判定する事が可能です。

例えば23:59:60となった場合、翌日の00:00:00となります。

注意

MMMの指定に関して、ログ内で年にあたる情報が無い場合、変換時の月と、ログに示される月を比較し、自動的に年を補填します。 変換時点で経過した月の場合は今年を、経過していない月の場合は前年を自動的に補填します。

3.5.2.5.2. 独自書式での時刻フォーマット指定の例

ALogでは、時刻フォーマットを独自に指定できます。

ただし、設定する書式は、Microsoft C# で定義されているカスタム日時書式と同じ書式である必要があります。

以下にユーザーが独自に時刻フォーマットの書式を設定することで読み込める日時書式を例示します。

時刻フォーマットの例	設定値
1999/12/31 23:59:59 +09:00	yyyy/MM/dd HH:mm:ss zzz
Dec 31 1999 23:59:59	MMM dd yyyy HH:mm:ss

3.5.2.6. 除外フィルター

ALogでは、ユーザーが任意の条件を[除外フィルター]に指定することで、ログ内でその条件にマッチした行を出力対象外にできます。

この機能を利用することで、ユーザーはログ内の不必要な行を排除できます。

除外フィルターの条件は、Microsoft C#のbool（真偽値）を返す式で定義する必要があります。

3.5.2.6.1. 除外フィルターの指定の例

例として、下記のログに対し、除外フィルターとして、「F(3) != "WARN"」を指定した場合、1行目の「F(3)」は「INFO」のため、「F(3) != "WARN"」の評価結果は「真（True）」となり、式が成立するので、1行目は「出力対象外」のレコードとして処理されます。

しかし、2行目では、「F(3)」の内容が「WARN」となり、式の評価結果は「偽（False）」となり、出力対象のレコードとして処理されます。

このようにユーザーが定義した条件式を行毎に評価し、行の出力を制御できます。

注意

• 除外フィルターの条件式は、マッチした場合に出力対象とするのではなく、出力対象外にするという点にご注意ください。

• 除外フィルターの条件式がboolを返さない場合、[エラー時のふるまい]の設定の如何に関わらず、falseと評価され、除外されずに処理対象となります。

3.5.2.7. エラー時のふるまい

「エラー時のふるまい」設定には2つの選択肢がありますが、それぞれ以下のように動作します。

設定の選択肢	設定値
エラーを無視し、フィールドを空文字にする	ALogが提供する関数の評価の失敗、ランタイム時のエラーなどが発生した場合、エラーとなった項目だけを無効（空文字とする）にして扱う その際、警告は発せられず、そのまま翻訳処理が継続される
警告を発し、エラー行をスキップする	ALogが提供する関数の評価の失敗、ランタイム時のエラーなどがマッピング処理にて発生した場合、ユーザーに警告を促し、当該の「行全体」を無効にして、次の行へマッピング処理を続行する 警告はログ変換タスクにおいて処理される１ファイルにつき10回まで通知しますが、それ以上のエラーが発生した場合は、警告を発しなくなる 警告が発せられなくなった場合でもエラーとなった行は、無効として扱われる

注意

時刻がエラーとなった場合、[エラー時のふるまい]の設定に関わらず、行全体が無効になります。 この仕様は、ALogが「時刻のないログは、アクセスログとして許容しない」という前提に基づいて動作しているためです。

注意

「エラーを無視し、フィールドを空文字にする」を設定した状態で詳細項目の一つがエラーとなった場合は、そのエラーとなった詳細項目だけが無効となり、他の正常な詳細項目はアクセスログに展開されます。

3.5.2.7.1. エラーとなるケース

以下のようなケースでは、マッピング処理においてエラーとなります。

◆ホスト名に「{F(99)}」を指定したが、入力対象となるログの特定の行の列は99列未満だった場合

「警告を発し、エラー行をスキップする」に設定している場合は、警告を発しこの行を無効とします。

一方、「エラーを無視し、フィールドを空文字にする」に設定している場合は、ホスト名が空文字になります。（他の項目はエラーが無い限り出力されます）

◆「{F(5)」のように文法ミスをした場合

この場合は、[エラー時のふるまい]の設定に関わらず、ログ変換タスクそのものが失敗します。

3.5.2.8. 重複する行を1行にマージする

ALogではアクセスログへの変換処理において、5秒以内に同じ内容のログレコードが連続して発生した場合、これらをマージできます。

制限事項がありますので、「ログ変換時のマージ処理について」 を確認してください。

注意

「重複する行を1行にマージ」にチェックが入っている場合、プレビュー画面でもマージ処理を行います。 ただし、プレビュー対象となるサンプルログの中にエラーとなる行が存在する場合、プレビュー画面ではマージされずに表示されます。 マージ結果を確認したい場合は、サンプルログに存在するエラーの原因を解消した上で再表示してください。

3.5.2.9. 特別な文字列のエスケープ方法

「マッピング設定―出力」設定には、以下のエスケープシーケンスが利用されます。 (これはMicrosoft C#における補間文字列の仕様と同等です。)

エスケープ	文字列名
\'	単一引用符（シングルクォーテーション）
\"	二重引用符（ダブルクォーテーション）
\\	バックスラッシュ(円記号に相当)
\0	Null
\a	警告
\b	バックスペース
\f	フォーム フィード
\n	改行
\r	キャリッジ リターン
\t	水平タブ
\U	サロゲート ペアの Unicode エスケープ シーケンス　(例：\Unnnnnnnn)
\u	Unicode エスケープ シーケンス (例：\u0041 は "A"に相当)
\v	垂直タブ
\x	Unicode エスケープ シーケンス (可変長である点を除き "\u" に類似)
{{	波括弧（左辺）　(このエスケープシーケンスは除外フィルターでは使用しない)
}}	波括弧（右辺）　(このエスケープシーケンスは除外フィルターでは使用しない)

3.5.2.10. 詳細キータイプ設定

マッピングを自由に設定できるシステムでは、「詳細キー」は「文字列型」として扱われます。

しかし、マッピングした結果によっては、数値や日時等が入ることもあり、文字列型以外の型で検索したいケースも発生します。

そのような場合、「マッピング設定 - 出力」設定にて対象の詳細キーに対し、「整数」「小数」「日時」から希望のタイプにチェックを入れることで検索時にタイプを付加することができます。

なお、対象ホストの登録完了後に本機能を使用する場合、インポートタスクが動作する前に設定してください。

注意

本機能は、有効化設定後にインポートされたデータに対して効果があります。 有効化する前にインポートされたデータに対して適用したい場合、改めて過去ログインポートを行ってください。

注意

本機能を利用すると、インポート速度は低下します。必要でない場合は指定しないでください。

3.5.2.10.1. 詳細キータイプ 設定方法

対象ホスト追加ウィザードおよび対象ホスト編集画面の「マッピング設定 - 出力」で設定が可能です。

1. 「マッピング設定 - 出力」を表示させる

2. 既存および新規で追加した詳細キーに対し、「整数」「小数」「日時」から検索で使用したいタイプにチェックをつける

ヒント

• タイプは複数選択可能です。

• 「ログタイプのマッピング値を使用する」が表示されている場合は、チェックを外すと[詳細]が編集できます。

3.5.2.10.1.1. タイプの解説

整数

整数で検索したい場合にチェックを入れます。

指定した詳細キーに割り当てられた値を整数で範囲検索できます。

小数を指定した場合は整数ではないため、文字列としては検索されますが範囲検索はできません。

(例)

• 整数を指定したカラムで[3 TO 5]で範囲指定した場合、整数で「3~5」の範囲の値が含まれるログがヒットする

• 「4.0」など小数を指定した場合、整数としてはヒットしないが、文字列の「4.0」としてヒットする

小数

小数で検索したい場合にチェックを入れます。

指定した詳細キーに割り当てられた値を小数で範囲検索できます。

小数を指定した場合は整数の場合でも数値として検索されるため、整数と小数を組み合わせた範囲検索ができます。

(例)

• 小数を指定したカラムで[3 TO 4.5]で範囲指定した場合、「3~4.5」の範囲の値が含まれるログがヒットする

• 小数を指定したカラムで[3 TO 5]というような整数のみで範囲指定した場合も、「3~5」の範囲の値が含まれるログがヒットする

日時

日時として検索したい場合にチェックを入れます。

指定した詳細キーに割り当てられた値を日時で範囲検索できます。

(日付として認識できるフォーマットの例)

2024/01/02

2024-01-02

2024-1-2T03:04:05

ヒント

全てのタイプでワイルドカード(*)の使用が可能です。