3. ALog SMASHを使い始める

3.1. ALog SMASHの構築

本章ではALog SMASHの構築手順を説明します。

3.1.1. 構築の準備

はじめに、インストール予定のサーバが対応OS、ハードウェアスペック等の動作環境の条件を満たしていることを確認してください。
必要ソフトウェアがインストールされていない場合は、あらかじめインストールしておきます。
【事前準備】
ALog SMASHを構築するにあたって準備するものは以下の通りです。

  • ALog SMASHのセットアッププログラム一式

  • ライセンスキー証書 兼 保守サービス証書

  • ALog SMASHの動作に必要なユーザーアカウント

3.1.1.1. ウィルススキャン/バックアップ等のログを除外するには

サーバでウィルススキャンやバックアップソフトによるバックアップを行っている場合、そのソフトウェアの実行アカウントにドメインユーザーアカウントを指定していると、ウィルススキャンやバックアップが実行される時間帯に大量のREADログが出力されることがあります。

ソフトウェアの動作によっては数10万ファイルものREADログが発生するため、その結果イベントログがオーバーフローし、アクセスログが欠落する恐れがあります。 これを回避するために、ウィルススキャンやバックアップの実行アカウントにローカルアカウントを利用し、このアカウントを監査対象から除外してください。

ローカルアカウントでの実行が難しい場合は、下記手順に従って、監査設定を行ってください。

3.1.1.1.1. 特定のドメインアカウントを監査対象外に設定する手順

監査するアカウントと監査しないアカウントを分離する手順です。

  1. ドメインアカウント「unaudit」を作成し、監査対象から外したいアプリケーション(ウィルススキャンやバックアップなど)をこのアカウントで実行する設定にする

  2. グループ「audit_group」を作成し、監査対象としたいユーザーやグループをこれに登録する

  • 「domain users」など、1.で作成したアカウントが所属するグループは登録しない

  • ここで「audit_group」に含めないユーザーのログは出力されなくなるため、ログ取得したいユーザーはもれなく「audit_group」に含める必要がある

  1. フォルダーの監査オプションの対象ユーザーに「audit_group」を設定する

3.2. ALog SMASHのインストール

以下の手順でALog SMASHのプログラム本体をインストールします。
インストールを実行する際は、管理者権限を持っているアカウントでインストールするサーバにログオンしてください。

注意

ALog SMASHの動作に必要な.NET Framework 4.8がサーバにインストールされていない場合、インストールを促すダイアログが表示されます。 画面に従ってインストールを実行してください。.NET Frameworkのインストーラーの判定によりOS再起動が必要な場合があります。 その場合は、OS再起動後改めてセットアッププログラムを実行してください。

  1. ALog SMASHのセットアッププログラムを実行すると言語選択画面が表示される。言語を選択し[OK]ボタンをクリックする

../_images/SMASH-Setup_SelectLanguage.png

  1. セットアップウィザード開始画面が表示される。[次へ]ボタンをクリックする

../_images/SMASH-StartSetupWizard.png

  1. 使用許諾契約書が表示される。内容を確認し、[同意する]を選択して[次へ]ボタンをクリックする

../_images/SMASH-LicenseAgreement.png

  1. インストール先フォルダーを指定し、[次へ]ボタンをクリックする

../_images/SMASH-SelectInstallationFolder.png

  1. アプリケーションの登録先およびショートカット作成をするか否かを指定し、[次へ]ボタンをクリックする

../_images/SMASH-SpecifyApplicationRegistrationDestination.png

  1. アプリケーションデータ用フォルダー(アプリケーションの設定やデータベースなどを保存するフォルダー)を指定し、[次へ]ボタンをクリックする

このフォルダーは大きいサイズのディスク領域を必要とするため、システム領域(Cドライブ)以外に作成することを推奨

../_images/SMASH-SelectApplicationDataFolder.png

  1. Webコンソールに接続する際のポート番号を指定し、[次へ]ボタンをクリックする

../_images/SMASH-SelectPortNumber.png

  1. 設定が完了したら[インストール]ボタンをクリックしてインストールを実行する

../_images/SMASH-FinishInstallPreparation.png

  1. インストールが完了したら[完了]ボタンをクリックしてセットアップウィザードを終了する

../_images/SMASH-FinishSetupWizard.png

  1. デスクトップに作成されたショートカットアイコンをクリックするか、Webブラウザを起動して以下のURLを入力し、Webコンソールにアクセスする

http://<サーバのコンピューター名またはIPアドレス>:<指定したポート番号>/Login
../_images/SMASH-LoginScreen.png

ヒント

既定の管理者ユーザー「admin」、パスワード「alog」でログインすることができます。 ログイン後、管理画面でパスワードを変更してください。

3.3. ALog SMASHの初期セットアップ

インストール後の未設定時にWebコンソールにアクセスすると、ログイン後初期セットアップウィザードが起動します。
ウィザードに従って設定を行ってください。
この手順の中に監査設定についての記載がありますが、手動で監査を設定する場合は、「手動監査設定」を参照してください。

  1. 初期セットアップウィザードの開始画面が表示される。[次へ]ボタンをクリックする

../_images/SMASH-StartInitialSetupWizard.png

  1. ライセンス登録を行う。[ライセンスキー証書 兼 保守サービス証書]に記載されたライセンスキーを入力して[次へ]ボタンをクリックする

../_images/SMASH-LicenseRegistration.png

ヒント

評価用ライセンスキーをお持ちの場合は、ここで評価用ライセンスキーを入力してください。

  1. イベントログのOS設定の方法を選択し[次へ]ボタンをクリックする

手動で設定する場合は[変更]ボタンをクリックしてダイアログから設定するか、「手動監査設定」を参照してイベントビューアーから設定する

../_images/SMASH-OS_SettingsForEventLog.png

注意

[手動設定を行う場合] 最大ログサイズは、アーカイブ方式/上書き方式共に、ALog SMASHの仕様上、「推奨するサイズ:500MB」、「機能上の制限サイズ:1GB(1024MB)」となります。

  1. アクセスログバックアップ設定を行い、[次へ]ボタンをクリックする

  • 既定でバックアップ設定が1つ設定されているが、追加で設定したい場合[追加]ボタンから設定を増やす

  • ウィザード終了後、管理画面からも設定できる

../_images/SMASH-BackupSettingsForAccessLog.png

  1. データベース設定の保持期間を設定する。設定したら[次へ]ボタンをクリックする

ウィザード終了後、管理画面からも設定できる

../_images/SMASH-DB_Settings.png

注意

データベース保持期間を長期間に設定するとディスク容量を必要とします。 必要性を十分に吟味した上で設定してください。推奨は3ヶ月です。 データベースから削除されたあともアクセスログはCSVで保存されています。 保存されたCSVは「過去ログインポート」機能からインポートすることで、再度データベースに入れて検索することが可能です。

  1. メール通知で使用するSMTPの設定を行う。設定したら[次へ]ボタンをクリックする

ウィザード終了後、管理画面からも設定できる

../_images/SMASH-SMTP_Settings.png

ヒント

Microsoft Exchange OnlineのSMTPサーバを利用する場合は、「Microsoft Exchange OnlineのSMTPサーバを利用する」を参照してください。

  1. システムログのメール通知設定を行う。設定したら[次へ]ボタンをクリックする

ウィザード終了後、管理画面からも設定できる

../_images/SMASH-EmailNotificationSettings.png

  1. フォルダーの監査設定を実施し[次へ]ボタンをクリックする

  • 別途手動でフォルダーの監査設定を行う場合は、フォルダーの監査設定を行わずに[次へ]ボタンをクリックする

  • 手順については、「手動監査設定」を参照

  • ウィザード終了後、管理画面からも設定できる

../_images/SMASH-AuditSettings.png

 <フォルダーの監査設定をWebコンソールから行う場合>

1. 監査対象とするフォルダーを選択する
2. 監査対象とするアカウント名を入力し、[追加]ボタンをクリックする
3. [適用]ボタンをクリックする
../_images/SMASH-AuditSettingsFromWebConsole.png

注意

[削除]の場合も最後に[適用]ボタンをクリックしてください。 [適用]ボタンをクリックしたタイミングで、実際の追加/削除処理を開始します。

注意

監査対象とするフォルダー配下のファイルやフォルダー数が多い場合、完了までに時間がかかります。

ヒント

アンチウイルスやバックアップソフト等のアプリケーションにより大量にログが出力される場合には、「ウィルススキャン/バックアップ等のログを除外するには」に記載された手順により、対処することが可能です。

注意

以下のフォルダーの操作、およびテンポラリファイルやシステムファイルに対する操作は変換内部で除外対象としています。

  • C:\Windows\* / C:\Program Files\* / C:\Program Files (x86)\*

  • \˜$*.xls / \˜$*.xlsx / \˜$*.doc / \˜$*.docx / \˜$*.ppt / \˜$*.pptx

  • Thumbs.db / desktop.ini / .DS_Store

  1. 設定内容を確認し[完了]ボタンをクリックする

../_images/SMASH-FinishInitialSetupWizard.png

  1. ホーム画面が表示されたら設定完了

注意

設定完了のタイミングで、サーバ自身のローカルセキュリティポリシーに対して監査ポリシー設定が有効になります。

3.4. 動作確認

初期セットアップが完了した後、ログ収集、ログ変換、インポートの動作確認を行います。
動作確認はWebコンソールのステータス画面からできます。

  1. Webコンソールの上部メニューから[管理]をクリックし、ステータス画面を表示する

  2. ステータス画面で、タスクステータスから「ログ収集」の[タスクの操作] - [開始]ボタンをクリックし、収集が正常終了するか確認する

ログ収集タスクを実行すると、自動的に「ログ変換タスク」、次に「インポートタスク」が開始される
これらが順に正常終了するか確認する
../_images/SMASH-StatusScreen.png

  1. エクスプローラーでアクセスログバックアップの出力先フォルダーを開き、アクセスログCSVが作成されているか確認する。出力先フォルダーのパスは、管理画面の左側のメニューから「出力設定」画面を開くと確認できる

  2. Webコンソールの上部メニューから[検索]をクリックし、検索でヒットするものがあるか確認する

ヒント

検索でヒットするものが無い場合は、「監査ポリシー、フォルダーの監査設定が適切に行われていない」もしくは「収集したログの中に変換の対象となる操作を含むイベントログが無かった」のいずれかのケースがほとんどです。
これらの条件を満たすか確認した上で再度上記の確認手順を行ってください。

3.5. 手動監査設定

ALog SMASHの運用に必要な監査設定には、「監査ポリシーの設定」、「イベントログの設定」、「フォルダーの監査設定」の3つのステップがあります。 これらは元々WindowsOSの提供する機能のため、ALog SMASHのWebコンソール経由ではなく、手動での設定が可能です。

本章では、手動での監査設定方法を説明します。 なお、いずれの設定を行う場合も、管理者権限を持つアカウントでサーバにログオンしてください。

3.5.1. 監査ポリシーの設定

基本的に監査ポリシーを設定する機器はサーバ自身(ローカルセキュリティポリシー)です。
ドメインに参加している環境ではグループポリシーが適用されている場合があり、この場合においてはグループポリシー上にて以下の設定を行う必要があります。
グループポリシーが適用される環境では、ローカルセキュリティポリシーの設定は一定間隔でグループポリシーによって上書きされるためです。
監査ポリシーの設定には、基本的な設定方法と、細かく出力を指定する詳細な設定方法がありますが、ログ量の削減のため後者の「監査ポリシーの詳細な構成」による設定を推奨します。

注意

基本的な「監査ポリシー」を設定すると、イベントログ(セキュリティ)のレコードが大量出力される事象を確認しております。 イベントログ(セキュリティ)の設定で、「イベントを上書きしないでログをアーカイブする」方式を選択している場合、イベントログのロスト(収集漏れ)は防止することができますが、不要なイベントログの大量出力自体を抑止したい場合には「監査ポリシーの詳細な構成」が有効です。

3.5.1.1. 基本的な「監査ポリシー」の設定方法

  1. ALog SMASHをインストールしたサーバに管理者権限を持つアカウントでログオンする

  2. スタートメニューから[コントロールパネル]‐[管理ツール]‐[ローカル セキュリティ ポリシー]を開く

  3. [ローカル セキュリティ ポリシー]画面で、[セキュリティの設定]‐[ローカル ポリシー]‐[監査ポリシー]を選択する

  4. [オブジェクト アクセスの監査]及び、[ログオンイベントの監査]をダブルクリックし[成功]および[失敗]にチェックを入れて[OK]ボタンをクリックする

../_images/SMASHmanualaudit-auditpolicybasic.png

3.5.1.2. 「監査ポリシーの詳細な構成」による監査ポリシーの設定

  1. 管理者権限をもつアカウントでログオンする

  2. スタートメニューの[管理ツール]から[ローカル セキュリティ ポリシー]を開く

  3. [ローカルセキュリティポリシー]画面が開くので[セキュリティの設定]-[ローカルポリシー]-[セキュリティオプション]と展開し、[監査: 監査ポリシーサブカテゴリの設定 (Windows Vista 以降) を強制して、監査ポリシーカテゴリの設定を上書きする]を開く

../_images/SMASHmanualaudit-auditpolicy01.png

  1. [有効]にチェックを入れて、「OK」ボタンをクリックする

../_images/SMASHmanualaudit-auditpolicy02.png

  1. [ローカルセキュリティポリシー]画面に戻り[セキュリティの設定]-[監査ポリシーの詳細な構成]-[システム監査ポリシー-ローカルグループポリシーオブジェクト]を展開する

  2. ALog SMASHで取得するファイルアクセスログに対応する項目に[成功]、[失敗]チェックを入れて[OK]ボタンをクリックし終了する

[設定項目]

ファイルアクセスログに必要な監査ポリシーは「オブジェクトアクセス」と「ログオン/ログオフ」カテゴリ配下にあります。

表 3.1 ファイルアクセスログに必要な監査ポリシー

オブジェクトアクセス

ログオン/ログオフ
../_images/SMASHmanualaudit-auditpolicy03.png ../_images/SMASHmanualaudit-auditpolicy04.png

※表における「-」は「未構成(監査なし)」を意味します

表 3.2 カテゴリ「オブジェクトアクセス」

サブカテゴリ

セキュリティの設定

生成されたアプリケーションの監査

-

証明書サービスの監査

-

詳細なファイル共有の監査

-

ファイル共有の監査

-

ファイルシステムの監査

成功および失敗

フィルタリングプラットフォームの接続の監査

-

フィルタリングプラットフォームパケットの破棄の監査

-

ハンドル操作の監査

成功および失敗

カーネルオブジェクトの監査

-

その他のオブジェクトアクセスイベントの監査

-

レジストリの監査

-

SAMの監査

-

リムーバブル記憶域の監査

-

集約型アクセスポリシーステージングの監査

-
表 3.3 カテゴリ「ログオン/ログオフ」

サブカテゴリ

セキュリティの設定

アカウントロックアウトの監査

成功および失敗

ユーザー要求/デバイスの信頼性情報の監査

-

IPsec拡張モードの監査

-

IPsecメインモードの監査

-

IPsecクイックモードの監査

-

ログオフの監査

成功および失敗

ログオンの監査

成功および失敗

ネットワークポリシーサーバの監査

-

その他のログオン/ログオフイベントの監査

成功および失敗

特殊なログオンの監査

-

3.5.2. イベントログの設定

ALog SMASHをインストールしたサーバのイベントログ設定を必要に応じて変更します。

イベントログには、以下の2つの出力方式があります。ALog SMASHでは上書き方式を推奨します。 ログ欠落を防止したい場合は「アーカイブ方式」を選択する必要があります。

方式

説明

上書き方式
イベントログは一定のサイズでローテートされ、古いイベントログは上書きされる
イベントログが上書きされる前にイベントログを収集する必要がある
指定したサイズ以上にディスク容量を消費することがないため、サーバ管理上は安全な設定

アーカイブ方式
イベントログはWindowsにより自動でアーカイブされる
ディスク容量が許す限りアーカイブされ、ログが欠落する恐れがなくなる
収集が停止した場合、ディスク容量を消費する
※アーカイブされたイベントログはイベントビューアーからは参照できなくなる

3.5.2.1. イベントログの設定変更方法

  1. スタートメニューから[コントロールパネル]‐[管理ツール]‐[イベント ビューアー]を選択する

  2. イベントビューアーが起動するので、画面左側のツリーで[イベント ビューアー]‐[Windowsログ]‐[セキュリティ]を右クリックして[プロパティ]を選択する

  3. 「ログのプロパティ」画面で、下記の通り設定したうえで[適用]ボタンをクリックする

    • 「ログのパス」 … 存在する任意のフォルダーに変更する。ファイル名は必ず”Security.evtx”のままにすること

    (例:”E:\EventLogs\Security.evtx”)

    • 「最大ログサイズ(KB)」 … 512000KB(500MB)に設定する

    • 「イベントログサイズが最大値に達したとき」 …下記のうちどちらか一方を選択する

    上書き方式:[必要に応じてイベントログを上書きする(最も古いイベントから)]
    アーカイブ方式:[イベントを上書きしないでアーカイブする]
../_images/SMASHmanualaudit-eventlogsetting.png

注意

[ログのパス]には”C:\WINDOWS”配下のフォルダーを指定しないでください。 空き容量の大きいドライブをイベントログの出力先に指定することを推奨します。

注意

[ログのパス]を変更した場合、「Windows Event Log」サービスの再起動や、OSの再起動を必要とする場合があります。 変更する際は注意してください。

注意

最大ログサイズは、アーカイブ方式/上書き方式共に、ALog SMASHの仕様上、「推奨するサイズ:500MB」、「機能上の制限サイズ:1GB(1024MB)」となります。

3.5.3. フォルダーの監査設定

ファイルアクセスのログを取得するためには、監査するフォルダーに対して監査設定を行う必要があります。

注意

ドライブ全体などの広範囲に設定を適用するとログの出力量が膨大になりますので注意してください。 必要なフォルダーのみに監査設定を行うことを推奨します。

  1. エクスプローラーでファイルアクセスログの収集対象としたいファイル、フォルダーを右クリックしてプロパティを開く

  2. 「フォルダーのプロパティ」画面の[セキュリティ]タブで[詳細設定]ボタンをクリックする

../_images/SMASHmanualaudit-folderauditsetting01.png

  1. 「セキュリティの詳細設定」画面の[監査]タブで[追加]ボタンをクリックする

../_images/SMASHmanualaudit-folderauditsetting02.png

  1. 監査エントリ画面で[プリンシパルの選択]をクリックし、ログ収集の対象としたいユーザーアカウントまたはグループアカウントを入力して[OK]ボタンをクリックする

例えば、ドメインの全ユーザーのアクセスログを収集したい場合は[Domain Users]を指定する

../_images/SMASHmanualaudit-folderauditsetting03.png

注意

アンチウイルスやバックアップソフト等のアプリケーションにより大量にログが出力される場合には、「ウィルススキャン/バックアップ等のログを除外するには」に記載された手順により、対処することが可能です。

  1. 指定したプリンシパルで監査エントリ画面が開かれるため、「種類」と「アクセス許可」の設定を変更する

  • 5-1. 種類:[すべて]を選択する

  • 5-2. 「高度なアクセス許可を表示する」をクリックし、下記の項目に対しチェックを入れる

    ../_images/SMASHmanualaudit-folderauditsetting04.png 
・フォルダーの一覧/データの読み取り
・サブフォルダーとファイルの削除
・属性の読み取り
・削除
・ファイルの作成/データの書き込み
・フォルダーの作成/データの追加