6. その他

6.1. バックアップ・リストア手順

サーバ上で動作しているALog SMASHのバックアップ、リストアを行う場合、以下の手順を実施してください。

6.1.1. バックアップ

【事前準備】

  1. Webコンソールの[管理]-[ステータス]画面を確認し、ALog SMASHの各タスクが実行されていないことを確認する

実行されているタスクを停止したい場合
1. [ステータス]-[ALogタスクスケジューラー]の[停止]ボタンをクリックする
2. [実行中のタスクを停止する]にチェックをつけて[OK]ボタンをクリックする

  1. すべてのタスクが停止されたことを確認し、サービス「Smash Compute Engine」を停止する

【バックアップするフォルダー】
 以下のフォルダーをバックアップしてください。
1. プログラムインストール先フォルダー 例)「X:\ALogSmash」(既定のフォルダー名称)
 ※ 通常は必要なし。該当フォルダー配下の設定ファイルを変更している場合はバックアップが必要
2. アプリケーションデータ用フォルダー 例)「X:\ALogSmashData」(既定のフォルダー名称)
3. アクセスログ/イベントログバックアップ出力先フォルダー
 ※ 通常は必要なし。出力先をアプリケーションデータ用フォルダー以外に変更している場合はバックアップが必要
 ※ 出力先フォルダーの設定は[管理]-[出力設定]から確認できる
【バックアップ後の作業】
 事前準備でサービスを停止しているのでサービス「Smash Compute Engine」の開始を忘れずに行う

6.1.2. リストア

【リストア手順】
1. ALog SMASHをインストールする
2. Webコンソールの[管理]-[ステータス]画面を確認し、ALog SMASHのタスクが実行されていないことを確認する
実行されているタスクを停止したい場合
1. [ステータス]-[ALogタスクスケジューラー]の[停止]ボタンをクリックする
2. [実行中のタスクを停止する]にチェックをつけて[OK]ボタンをクリックする
3. すべてのタスクが停止されたことを確認し、サービスの「Smash Compute Engine」を停止する
4. バックアップしたフォルダーのうち、アプリケーションデータ用フォルダー以外を元の場所に上書きコピーする
5. 現在のアプリケーションデータ用フォルダーを削除し、バックアップしたアプリケーションデータ用フォルダーに差し替える
6. サービス「Smash Compute Engine」を開始する

注意

イベントログの最終収集日時がバックアップした日時になるため、バックアップした時点から現在までのログ欠落(LogOverFlow)が発生する可能性があります。

注意

リストア先のサーバの構成がバックアップ時と異なる場合、上記手順ではリストアできません。

6.2. ALog SMASHのアンインストール

ALog SMASHのアンインストール手順を説明します。

6.2.1. サーバの監査設定の変更

ALog SMASHアンインストール後にイベントログが不要な場合は、以下の手順で監査設定を変更してください。

  1. Webコンソールの[管理]をクリックし、ページ左側のメニューの[基本設定]をクリックする

  2. [基本設定]画面で[監査ポリシーの設定]を開き、[無効にする]をクリックする

※グループポリシーによって監査ポリシーの設定が行われている場合は、ドメインコントローラーの設定を変更する必要がある

  1. [イベントログ設定]-[イベントログのOS設定]-[変更]ボタンをクリック、「イベントログを上書きしないでログをアーカイブする」設定になっている場合は、「必要に応じてイベントを上書きする」に変更して[OK]ボタンをクリックする

※ALog SMASHが動作しない状態でアーカイブ設定の場合、ディスク枯渇を招く可能性があるため上書き設定に変更する必要がある

  1. [フォルダーの監査設定]を開き、[変更]ボタンをクリック、必要に応じて青色のフォルダーの監査設定を削除する

6.2.2. ALog SMASHの削除

  1. サーバのスタートメニューから[コントロールパネル]‐[プログラムと機能]を開く

  2. 一覧から「ALog SMASH」を選択して[アンインストール]をクリックする

  3. アンインストール後、サーバの以下のフォルダーに設定ファイルやデータ等が残るので、必要に応じて手動で削除する

  • プログラムインストール先フォルダー X:\ALogSmash (既定のインストール先フォルダーにインストールした場合)

  • アプリケーションデータ用フォルダー X:\ALogSmashData (既定のアプリケーションデータ用フォルダーにインストールした場合)

注意

アクセスログバックアップ出力先を個別に指定している場合は、上記のフォルダーを削除してもファイルが残ります。必要に応じて手動で削除してください。

6.3. 制限事項

ALog SMASHでは、以下の制限事項があります。

6.3.1. ログ変換に関する制限事項

6.3.1.1. 実際の操作と異なるファイルアクセスログが記録されることがある場合について

ALog SMASHは、インストール先のサーバのイベントログを収集し、アクセスログに変換するシステムです。
収集したイベントログの内容によってアクセスログの内容が決まるため、ALog SMASHをインストールしたサーバやクライアントPCのOS、ユーザーが利用するアプリケーションの制約などにより、ユーザーが行った操作通りのログが出力されないことがあります。

  • ファイルアクセスのログ変換ロジックは、以下のアプリケーションによるファイル操作が正しく反映されるよう作成されています。

    エクスプローラー / メモ帳 / ペイント / Microsoft Word, Excel, Power Point / Adobe Acrobat Reader

    ※ その他のアプリケーションを利用した操作によるアクセスログは、実行されたシステムコールの内容を識別して、ユーザーの操作に近いログに置き換えますが、ALog SMASHをインストールしたサーバやクライアントPCのOS、ユーザーが利用するアプリケーションの組み合わせによっては、ユーザーが行った操作どおりのログが出力されない場合があります。

  • ALog SMASHでは、コピー元/コピー先双方のログがイベントログに書き込まれ、それぞれの関連性が読み取れる場合に「COPY」操作として出力します。「COPY」操作の出力の中には、アプリケーションの状況や処理により、実際にユーザーがCOPY操作を行っていない場合も出力される場合があります。この場合の「COPY」は、「READ」および「WRITE」が行われたことを示します。

6.3.1.2. COPY/MOVE操作のログ出力について

「COPY」や「MOVE」のユーザー操作は、イベントログ上は「COPY」や「MOVE」という形では記録されません。
ALog SMASHではアクセスログの可読性を上げるため、以下の通り特定の条件が合致した場合に「COPY」「MOVE」としています。
ユーザー操作ではコピー、移動を行った場合でも、イベントログに条件に合致するログが出力されていない場合は「COPY」「MOVE」と出力されない場合があります。
[COPY]
コピーしたファイルに対しREADもしくはWRITEが特定の条件で出力し関連が読み取れる場合に、「COPY」とします。
[MOVE]
移動を行ったファイルは「RENAME」として記録されているため、移動元(名前変更前)と移動先(名前変更後)でファイル名が維持された「RENAME」の場合に「MOVE」として出力します。
ファイルを移動した際、移動先の情報がイベントログに記録されない場合があります。
このような場合はALogの変換において移動元で「MOVE」、移動先で「WRITE」とすることができません。
ALogの変換では以下のような出力になります。

  • 移動元…「RENAME」として出力され、詳細項目の[To]欄は非表示になる

  • 移動先…何も出力されない

6.3.1.3. 「ClientName」、「ClientIP」が表示される条件について

アクセスログの詳細項目である「ClientName」、「ClientIP」が表示されるか否かは、元となるイベントログにある情報に基づき決定されます。

  • ファイルアクセスログ … ファイルアクセスのイベント前にログオン情報が記録されている場合のみ表示されます。

※リモートホストからのWindowsファイルアクセスについて「ClientName」、および「ClientIP」が出力されるのは、以下のすべての条件を満たしたときのみとなります。

  • 事前に上記アクセスログに変換されるイベントがイベントログに発生しているとき

6.3.1.4. ファイルアクセスログにおいて成功操作でFailureが出力されることがある場合について

ファイルアクセスログ(READ/WRITE/RENAME/DELETE)におけるFailureの出力は、当該ファイル/フォルダーに対するアクセス権の確認に失敗したことを示しています。
しかし、『Failureのアクセスログが出力された』ことは、必ずしも『ファイルへのアクセスに失敗した』ことを意味するものではありません。
ユーザーがファイル/フォルダーにアクセスした際、OSは権限チェックを行い、アクセスしようとしているユーザーに紐づいた複数のアクセス権を順番にチェックします。
Failureが出力されているケースでは、いくつか行われたアクセス権チェックにおいて、「失敗」(権限がない)の判定が出たことを意味しています。
しかし、このあと次の権限チェックを行う中で、ファイル/フォルダー操作に対して必要な権限を持っていることが判明した場合、ユーザー操作としては成功します。
この場合、ログの読み方としては、最終的にそのファイルへのアクセスが成功したログが出力されていれば、実際にはファイルアクセスは成功しています。

6.3.1.5. ファイルアクセスログにおいて期待したFailureが出力されないことがある場合について

実際のユーザー操作でファイルアクセスに失敗した場合、イベントログに「失敗」が記録されていないとアクセスログでFailureのログを出力することはできません。 ファイル破損等の権限以前の問題でファイルが開けないような場合も同様です。

また、何らかの障害でファイル操作に失敗した場合は、操作の途中で処理が中断されるため、失敗操作の種類を特定することができません。 実行されたシステムコールの内容をアクセスログに変換しますが、『書き込み処理でREAD-Failureになる』『削除処理でWRITE-Failureになる』など、実際の操作と異なるアクセスログが出力されることがあります。

6.3.1.6. フォルダーのアクセス失敗(READ-Failure)を出力しない場合について

フォルダー”folder1”とそのサブフォルダー”folder2”があり、ユーザーは”folder1”を開くことができるが、”folder2”はアクセス権がなく開けないとします。
このとき、このユーザーが”folder1”を開くと、”folder2”に対するREAD-Failureの履歴がイベントログに出力されます。
このイベントログをそのままアクセスログに変換すると、実際には”folder2”を開こうとした訳ではないのにREAD-Failureのログが記録されてしまうことから、ALog SMASHはフォルダーのアクセス失敗(READ-Failure)の履歴をアクセスログに出力しません。
なお、ファイルへのアクセスが失敗した場合(ユーザーがファイルを開こうとしたがアクセス権が無く開けなかった、等)はアクセスログに出力されます。

6.3.1.7. フォルダーを開くだけで配下のファイルのREADが出力されることがある場合について

サーバは、フォルダーを開いた時に「フォルダー内にあるすべてのファイルの情報」を読み取り、すべてのファイルのイベントログを出力します。
ALog SMASHは、この「フォルダーを開いた時のファイルのREAD」のイベントログと「実際にファイルを読み込んだ」時に発生するイベントログの違いを識別し、フォルダーを開いただけではファイルのREADを出力しないよう処理しています。
しかし、イベントログの問題により、稀にこの判別を行うことが出来ない場合があります(この問題は一度現象が起こると連続的に発生する場合があります)。
その場合は以下のいずれの条件も満たすアクセスログを目視で確認し、「フォルダーを開くだけで出力された、ファイルのREAD」を識別します。

  1. フォルダー内のすべてのファイルがREADと記録されている

  2. アクセスログの「ユーザー」と「時刻」がほとんど同じ内容になっている

時刻

ユーザー

対象

操作

2015/05/18 14:04:51.890

Domain\Yamaguchi

D:\営業部\業務受託案件リスト.doc

READ

2015/05/18 14:04:51.890

Domain\Yamaguchi

D:\営業部\社員名簿.xls

READ

2015/05/18 14:04:51.890

Domain\Yamaguchi

D:\営業部\受注登録シートマスター.xls

READ

2015/05/18 14:04:51.890

Domain\Yamaguchi

D:\営業部\090430運営委員会議事録.doc

READ

2015/05/18 14:04:51.890

Domain\Yamaguchi

D:\営業部\(社外秘)新卒採用シート.xls

READ

2015/05/18 14:04:51.890

Domain\Yamaguchi

D:\営業部\2008下期営業部業績.xls

READ
なお、ファイルの縮小版の表示や、フォルダー内のファイルのマイナー属性項目の表示などは、実際にファイルを操作しているとみなされ、READが記録されます。

6.3.1.8. 0byteのファイル/フォルダー操作について

サーバ内のファイルやフォルダーの操作では、中身のあるファイル/フォルダーの操作(nbyteの操作)と、中身のないファイル/フォルダーの操作(0byteの操作)で、変換の元となるイベントログに記録される内容が異なります。
ALogの変換は、nbyteの操作を優先したログ変換ロジックとなっており、0byteの操作は必ずしもnbyteの操作と同じアクセスログにならない場合があります。
例1:0byteのファイルを開いた場合、操作したアプリケーションによってアクセスログが出力されないことがあります。
例2:0byteのファイルをコピーした場合、元ファイルのCOPYもしくはREADが出ず、新ファイルのWRITEだけが出力されることがあります。
例3:0byteのWordファイルを移動した場合、MOVEおよびWRITEが2回出力されることがあります。
例4:0byteのフォルダーを別ドライブに移動した場合、元フォルダーのCOPYが出力されることがあります。

6.3.1.9. 拡張子の無いファイルはフォルダーとして扱われる可能性がある場合について

イベントログの解析によりファイルかフォルダーかの判断がつかないファイルアクセスに関しては、その判断を拡張子の有無で行っているため、拡張子のないファイルアクセスはフォルダーアクセスと見なされてREADが出力されないことがあります。

6.3.1.10. ユーザー名の末尾が「$」となるログの出力について

ローカルシステムアカウント(ドメイン名\コンピューター名$と表記されるアカウント)によるアクセスは、ユーザーの操作によるログとみなさない為、末尾が「$」となるユーザーによるアクセスログは出力されません。

6.3.1.11. RENAME先のファイル名の確認方法

「RENAME」操作が行われた際の変更後のファイル名は、「RENAME」のアクセスログ行の詳細項目「To」欄に記録されます。
また、直後に「WRITE」のアクセスログが出力されます。
但し、「RENAME」先のファイル名がイベントログに出力されないケースを確認しており、この場合はアクセスログに出力できません。

  • 「RENAME」先のファイル名がイベントログに記録されるケースでは「RENAME」行の後に「WRITE」が出力されます。

表 6.1 正しく出力される例

対象

操作

詳細

C:\XX\ファイル名A

RENAME

To:C:\XX\ファイル名B

C:\XX\ファイル名B

WRITE

  • 「RENAME」先のファイル名がイベントログに記録されない、関連が明確にならないケースでは、アクセスログが正しく出力できません。

表 6.2 「To」欄、後続のWRITEともに変更後のファイル名が不明なため出力されない例

対象

操作

詳細

C:\XX\ファイル名A

RENAME

(Toが出力されない)

(この行が出力されない)
表 6.3 変更後のパスが不明で正しく出力されない例

対象

操作

詳細

C:\XX\ファイル名A

RENAME

To:C:\YY\ファイル名B

C:\YY\ファイル名B

WRITE

6.3.1.12. ファイルアクセス時のアプリケーション名

リモートアクセスの場合、イベントログにAppName相当の情報が出力されないため、AppNameは表示されません。
ファイルアクセスにおけるAppNameの表示は、ローカルアクセスの場合のみに限定されます。

6.3.1.13. ファイルサーバ内のファイル操作に関するファイルアクセスログについて

ファイルサーバ内でのファイル操作では、共有経由でのファイル操作とは異なるイベントログが出力されるため、アクセスログの出力結果も異なる場合があります。
以下のようなケースを確認しています。

  • ケース

    操作:OfficeのアプリケーションにおいてPDF形式で保存する
    アクセスログの出力:「WRITE」を期待するが「DELETE」と出力される

6.3.1.14. アクセスログに「UnknownXXX(User/Workstation)」と出力されることがある場合について

アクセスログのユーザー名欄に「(UnknownUser)」、対象欄に「(UnknownWorkstation)」と出力される場合があります。
これらの出力は、収集したイベントログ内にユーザー名またはワークステーション名が無かった事を意味しています。

6.3.2. その他の制限事項

6.3.2.1. イベントログが破損している場合におけるタスクへの影響と変換について

Windowsのイベントログは、稀にOSから出力されている時点で既に破損している事があります。 破損の程度は、ファイル全体が破損しているケースから、1行の特定レコードが破損しているケース、または特定レコードの中の特定のパラメータが破損している等、様々です。

ALog SMASHでは完全に破損している場合、収集タスクでエラーが発生し収集することが出来ません。
また、収集の際、収集対象となるイベントログファイルの先頭30行、および末尾30行の中に破損があれば、破損の行をスキップして収集します。 このときに、該当する先頭・末尾行以外に破損があってもエラーとはなりませんが、当該ログの変換時に、その破損レコードが変換対象となった場合には変換をスキップして処理を継続するため、アクセスログに変換できないレコードが発生します。
また、破損の状況によっては破損と認識せずに、その破損したデータをそのまま利用して変換等を行う場合があります。その場合はアクセスログにその壊れたデータがそのまま表示される場合があります。

6.3.2.2. イベントログのOS設定について

イベントログの出力先を変更した際、変更先のフォルダーに既に過去のイベントログが存在していると、過去のフォルダーにおける収集履歴はリセットされているため、すべてのイベントログが収集対象となります。 重複したログの収集を避けるためには、変更先のフォルダーの中のイベントログを退避する必要があります。

6.3.2.3. 複数のアクセスログ/イベントログ出力設定(バックアップ)で、同じ保存先フォルダーを指定すると、保存や自動削除が正しく動作しない場合について(Webコンソール)

アクセスログ/イベントログ出力設定において、複数の出力設定で同じ保存先フォルダーを指定してしまうと、保存や自動削除の機能が正しく動作しません。 アクセスログ/イベントログ出力設定を複数にする際は、それぞれ保存先フォルダーを分けてください。
また、既に作成している出力設定の内容を変更する場合も、出力先を変更するか、それまで出力していたデータを事前に別フォルダーに退避させてください。

6.3.2.4. 検索画面でアクセスログの各項目に表示できる上限値について(Webコンソール)

検索画面においてアクセスログの各項目で表示できる上限値は以下になります。
上限値以上の場合、検索用DBへのインポート時にカットされます。
a. ユーザー:1000文字
b. 対象:utf-8形式の4000バイト
c. 操作:1000文字
d. 詳細:utf-8形式の4000バイト

6.3.2.5. ALog SMASHで扱えるフォルダー、ファイルのパスの長さの制限について(Webコンソール)

ALog SMASHにおいて収集/変換等で様々なファイル処理が発生しますが、.NET Frameworkの制限により、フォルダーパスが「248文字以上」および、ファイルパスが「260文字以上」に該当する場合、エラーとなり扱えません。

6.3.2.6. バックアップ機能やアンチウィルスソフトがデータファイルを排他で開き、エラーとなる場合について

ALog SMASHのアプリケーションデータ用フォルダーをバックアップ機能(robocopy等)のコピー対象や、アンチウィルスソフトのリアルタイムスキャンの対象にしている場合、バックアップ機能やアンチウィルスソフトがALog SMASHのデータファイルを排他で開き、各種処理がデータファイルを開けずエラーになることがあります。
アプリケーションデータ用フォルダーはバックアップ機能やアンチウィルスソフトの対象外にしてください。