2. ALog Cloud Forwarderの概要

本章ではALog Cloud Forwarderの機能や仕組みを説明します。

2.1. ALog Cloud Forwarderとは

ALog Cloudは、様々なITシステムのログを収集・分析・保管するクラウド型のログマネジメントサービスです。
ALog Cloud Forwarder(以下、Forwarder)は、ALog Cloudの機能の一部であり、企業のネットワーク内にある様々な機器のログを収集し、ALog Cloudにアップロードする役割を持っています。
../_images/forwarderimage.png

2.2. アクセスログについて

2.2.1. Windowsアクセスログ

ログタイプに「Windowsアクセスログ」を選択した際、アクセスログとして出力される操作内容は以下のとおりです。

ログ種別

出力内容 (操作)

概要

ファイルアクセスログ
READ
READ-Failure
WRITE
WRITE-Failure
DELETE
DELETE-Failure
RENAME
RENAME-Failure
MOVE
COPY
ファイルの読み込み
ファイルの読み込みの失敗
ファイルまたはフォルダーへの書き込み
ファイルまたはフォルダーへの書き込みの失敗
ファイルまたはフォルダーの削除
ファイルまたはフォルダーの削除の失敗
ファイルまたはフォルダーの名前変更/移動
ファイルまたはフォルダーの名前変更/移動の失敗
ファイルまたはフォルダーの移動 1
ファイルのコピー 2

ログオンログ
LOGON
LOGON-Failure
ユーザーアカウントの認証 3
ユーザーアカウントの認証の失敗 3

管理者操作ログ
ADMIN
ADMIN-Failure
管理者による操作
管理者による操作の失敗

プリントログ

PRINT

プリントサーバによる印刷

ログオン/ログオフログ(スクリプト)
LOGON
LOGOFF
ドメイン認証によるログオン
ドメインからのログオフ

アプリケーション起動ログ
CREATE
EXIT
アプリケーションプロセスの起動
アプリケーションプロセスの終了

アクセス権変更ログ
P-ACCESS
P-ACCESS-Failure
ファイルまたはフォルダーのアクセス権変更
ファイルまたはフォルダーのアクセス権変更の失敗
1

MOVEは、同ドライブにおいて移動元/移動先双方のログがイベントログに書き込まれ、それぞれの関連性が読み取れる場合に出力されます。

2

COPYは、コピー元/コピー先双方のログがイベントログに書き込まれ、それぞれの関連性が読み取れる場合に出力されます。

3(1,2)

ドメインコントローラーにおけるドメインアカウントの認証、またはサーバにおけるローカルアカウントの認証を表します。詳細項目として、認証方式を表す「AuthType」が付加されます。

ヒント

管理者操作ログ(ADMIN)は以下の操作を実行したときに出力されます。

  • ドメインのポリシー変更 / 監査ポリシーの変更 / セキュリティオプションの変更

  • ユーザーアカウントの作成、変更、削除、無効化、有効化、パスワード変更

  • ロックアウト、ロックアウト解除 / アカウント名の変更 / グループの作成、変更、削除

  • グループメンバの追加、削除 / コンピュータアカウントの作成、変更、削除

ヒント

ログオン/ログオフログ(スクリプト)について イベントログからログオン/ログオフの操作を正確に把握することが難しいため、ユーザーのドメインへのログオン/ログオフ時にスクリプトを実行して明示的にログを出力します。

注意

失敗のログ(XXX-Failure)は環境、条件によっては出力されないことがあります。

2.2.1.1. ファイルアクセスログの出力パターン

ログタイプに「Windowsアクセスログ」を選択した際、ユーザーがファイルまたはフォルダーを操作したときに出力されるアクセスログは、以下のパターンで出力されます。

ユーザーの操作

操作ファイル

ファイルを開く

READ

フォルダーを開く

出力なし 4
ファイル/フォルダーを新規作成
ファイルを更新

WRITE

ファイル/フォルダーを削除

DELETE 5
4

フォルダーだと判定できないイベントログの場合、READが出力されます。

5

削除したフォルダーのサブフォルダーに対しても「DELETE」が出力されます。

ユーザーの操作

元ファイル

新ファイル

ファイルをコピー

COPY/READ

WRITE

フォルダーをコピー

COPY/出力なし

WRITE 6

ファイル/フォルダーの名前変更

RENAME

WRITE/READ/出力なし
ファイルを移動
(同ドライブへの移動)

MOVE

WRITE
フォルダーを移動
(同ドライブへの移動)

MOVE/RENAME 7

WRITE/出力なし 7
ファイル/フォルダーを移動
(別ドライブへの移動)

DELETE

WRITE
コピーや移動の操作は、元ファイルと新ファイルの双方が監査対象である場合に上記のように出力されます。
監査対象外のマシンやドライブへのコピーや移動は、出力されているイベントログからわかる情報の範囲で変換されます。

コピーや移動の操作には、「新規でコピー/移動する」ケースと、「上書きでコピー/移動する」ケースがあります。この違いにより出力されるログが異なります。

6

フォルダーを上書きコピーする場合は、新ファイル「出力なし」となります。

7(1,2)

フォルダーを上書き移動する場合は、元ファイル「DELETE」/新ファイル「出力なし」となります。

注意

対象ホストに対する操作が、リモート操作か、ローカル操作かによって出力されるログに違いが出ます。

注意

ALogのファイルアクセスログ変換ロジックは、以下のアプリケーションによるファイル操作が正しく反映されるよう作成されています。 その他のアプリケーションによる操作は期待する結果が得られないことがあります。

エクスプローラー / メモ帳 / ペイント / Microsoft Word, Excel, Power Point / Adobe Acrobat Reader

2.3. 動作環境について

本章ではForwarderを利用するにあたって必要なシステム環境について説明します。

2.3.1. 対象ホストの動作環境

2.3.1.1. Windows

Windows Serverを対象ホストとする場合の動作環境は以下のとおりです。

項目

要件

対応OS
Windows Server 2012 / 2012 R2 / 2016 / 2019 / 2022
Windows Storage Server 2012 / 2012 R2 / 2016
Windows Server IoT 2019
 ※各OS のサービスパック(SP)に対応
 ※各エディション(Standard / Enterprise / Datacenter)に対応
 ※仮想環境(VMWare, Hyper-V, Citrix XenServer)に対応

◆動作条件

  1. ファイルアクセスログの出力対象となるドライブがNTFSフォーマットであること(FATフォーマットには対応していません)

  2. 対象ホストの管理共有へアクセスできること

2.3.2. Forwarderの動作環境

Forwarderの動作環境は以下のとおりです。

OS
Windows Server 2016 / 2019 / 2022
Windows 10 / 11

CPU

2コア以上

メモリ

8GB以上

HDD

500GB以上の空き

必要ソフトウェア
.NET Framework 4.8以上
対応ブラウザWebブラウザ:
- Google Chrome バージョン114以上
- Microsoft Edge

2.3.3. 動作に必要なユーザーアカウントと権限

Forwarderのプログラムが正常に動作するには以下の権限を持ったユーザーアカウントが必要です。
Forwarderを利用するにあたって、あらかじめこれらのユーザーアカウントを準備してください。

2.3.3.1. Windowsアクセスログ

対象ホスト登録時に選択するログタイプがWindowsアクセスログの場合は、以下のユーザーアカウントを準備してください。

必要なアカウント

説明

対象ホストのWindowsユーザーアカウント
対象ホストとなるWindowsからイベントログを収集するためのアカウント
- 対象ホストの管理者権限が必要
- 対象ホストのUACが有効になっている場合、以下のいずれかのアカウントが必要
  a.ローカルのAdministratorアカウント
  b.対象ホストのローカル管理者グループ(Administrators)に所属しているドメインユーザーアカウント

2.3.3.2. Windowsアクセスログ以外

対象ホスト登録時に選択するログタイプがWindowsアクセスログ以外の場合は、以下のユーザーアカウントを準備してください。

ログの収集方式

対象ホストの管理者アカウント

対象ホストのイベントログを収集

対象ホストの共有フォルダーから収集

Forwarderのローカルフォルダーから収集

-

対象ホストにSCP接続して収集

必要なアカウント

説明

対象ホストの管理者アカウント
対象ホストからログを収集するためのアカウント

1. 「対象ホストのイベントログを収集」にした場合は、対象ホストの管理者権限が必要
 対象ホストのUACが有効になっている場合、以下のいずれかのアカウントが必要
  a.ローカルのAdministratorアカウント
  b.対象ホストのローカル管理者グループ(Administrators)に所属しているドメインユーザーアカウント

2. 「対象ホストの共有フォルダーから収集」にした場合は、収集元となる共有フォルダーへのアクセス権限が必要

3. 「対象ホストにSCP接続して収集」にした場合は、対象ホストにSCP接続が可能なアカウントが必要
 rootでのみアクセス可能なファイルを収集する場合は、上記アカウントにsudoでroot権限を付与できる設定と、アカウント自身の権限で作業ディレクトリにアクセスできる必要がある

2.3.4. 通信環境(使用ポート一覧)

Forwarderで使用するポートとその方向は以下の通りです。

「Webコンソール」および「クレデンシャル設定」は製品共通で使用します。その他は使用する製品欄を確認してください。

2.3.4.1. Webコンソール

ブラウザ動作マシン⇒Forwarderをインストールしたホスト

ポート番号

用途

TCP80

HTTP (Webコンソールへのアクセス) 8
8

インストール時に指定したポート番号。Forwarder以外のマシンからWebコンソールにアクセスするためにはこのポートが解放されている必要がある

Forwarderをインストールしたホスト⇒ドメインコントローラー

ポート番号

用途
TCP389
TCP636(SSL)
WebコンソールのログインアカウントでLDAP認証を利用した場合に使用

2.3.4.2. クレデンシャル設定

Forwarderをインストールしたホストからインターネットアクセスが可能である必要があります。

注意

プロキシサーバーを経由する環境でインターネットアクセスをしている場合は、ALog宛の通信をプロキシサーバーで許可頂く必要があります。

2.3.4.2.1. 使用ポートと通信方向について

Forwarderをインストールしたホスト⇒インターネット

ポート番号

用途

TCP 443

HTTPS (ALog Cloudへのアクセス) 9
9

クレデンシャル設定とログアップロードを実施する際に、このポートが上位機器にて解放されている必要がある

2.3.4.3. Windows

Forwarderをインストールしたホスト⇒対象ホスト

ポート番号

用途

TCP445

SMB (イベントログの収集/各種監査設定)

TCP135、TCP動的ポート

RPC (イベントログの収集/各種監査設定)

ICMPエコー要求の受信許可
対象ホスト追加時Pingチェック
※チェックを行う場合のみ必要

2.3.4.4. Windows以外

2.3.4.4.1. 対象ホストのイベントログを収集

Forwarderをインストールしたホスト⇒対象ホスト

ポート番号

用途

TCP445

SMB (ログの収集)

TCP135、TCP動的ポート

RPC (ログの収集)

ICMPエコー要求の受信許可
対象ホスト追加時Pingチェック
※チェックを行う場合のみ必要
2.3.4.4.2. Forwarderのローカルフォルダーから収集

Forwarderのローカルフォルダーから収集するため、Forwarderをインストールしたホストから対象ホストへの通信は必要ありません。 そのため、特定の通信ポートを開放する必要はありません。 ただし、[対象ホスト追加時Pingチェック]をONにし、Pingチェックを行う場合は、「ICMPエコー要求の受信許可」にする必要があります。

注意

対象ホストが出力するログをForwarderをインストールしたホストへ転送するために行われる通信に対しては、システムやネットワーク機器などの仕様に応じて、適宜通信ポートを開放する必要があります。

2.3.4.4.3. 対象ホストの共有フォルダーから収集

Forwarderをインストールしたホスト⇒対象ホスト

ポート番号

用途

TCP445

SMB (ログの収集)

ICMPエコー要求の受信許可
対象ホスト追加時Pingチェック
※チェックを行う場合のみ必要
2.3.4.4.4. 対象ホストにSCP接続して収集

Forwarderをインストールしたホスト⇒対象ホスト

ポート番号

用途

TCP22

ssh (ログの収集)

ICMPエコー要求の受信許可
対象ホスト追加時Pingチェック
※チェックを行う場合のみ必要