2. ALog ConVerterの概要

本章ではALog ConVerterの機能や仕組みを説明します。

2.1. ALog ConVerterとは

2.1.1. ALog ConVerterとは

ALog ConVerterは、ユーザーの行動記録をサーバから収集する「サーバアクセスログ」製品です。

サーバが出力する複雑なイベントログ(生ログ)を解析し、実際にユーザーが実行した操作パターン(アクセスログ)に分析変換することから、ALog（Audit Log/Access Log）ConVerter（変換）という製品名が付けられています。

イベントログのままでは解読が難しい「いつ、誰が、どのファイルに、何をした」が、ALog ConVerterによって一目でわかります。

2.1.2. ALog ConVerterの仕組み

ALog ConVerterは、対象サーバが出力するイベントログ(生ログ)を収集し、マネージャーサーバでアクセスログに変換します。

アクセスログはALog ConVerterに内蔵されたデータベースに保存されると同時に、任意のフォルダーにCSVファイルとして出力されます。『直近のアクセスログを検索するためのデータベース』、『長期保管のためのCSVファイル』と言う使い分けが適しています。

../_images/DB-CSV_DataStorageMethods.png

2.1.3. イベントログの収集の仕組み

イベントログの収集方式にはエージェントレス方式とエージェント方式があります。

エージェントレス方式は、対象サーバに出力されたイベントログをマネージャーサーバが自動的に収集します。通常はこの方式を使用します。

エージェント方式は、対象サーバにサービスを追加し、イベントログを定期的にマネージャーサーバに転送します。

エージェントレス方式
エージェント方式

注意

エージェント方式に対応している製品は、Windows、SQL Server、Oracle(Windows)の3製品です。

ヒント

エージェント方式は、対象サーバにALogのサービスを追加し、イベントログを定期的にマネージャーサーバに転送します。次のような環境の場合はエージェント方式を推奨します。

通信速度が遅い環境

ポート開放条件を少なくしたい

対象サーバが多いため、マネージャーサーバのリソース消費を軽減したい

2.2. アクセスログについて

2.2.1. アクセスログのフォーマット

ALog ConVerterのアクセスログのフォーマットは以下のとおりです。

フィールド名	概要
時刻	操作が記録された日時フォーマットは “yyyy/mm/dd hh:mm:ss.fff”
ユーザー	操作を実行したユーザーアカウント名
サーバ	操作が記録されたサーバ名。通常は対象サーバのサーバ名となる
対象	操作の対象 (例: ファイル/フォルダーパス)、または操作内容や操作した端末名が表記される
操作	実行された操作が表記される。詳しくは「アクセスログの種別」を参照
詳細	上記のいずれにも含まれない詳細情報が表記される例：操作を実行したアプリケーション名、クライアントPCのIPアドレスなど詳しくは「詳細項目一覧」を参照

2.2.2. アクセスログの種別

ALog ConVerterで収集できるアクセスログには以下の種別があり、対象サーバによって収集可能なログが異なります。

表 2.1 対象サーバ別の対応ログ種別
ログ種別	Windows SE 1	Windows AE 2	NetApp	EMC	PowerScale	SQL Server	Oracle	Linux	Amazon FSx for Windows	Amazon FSx for NetApp
ファイルアクセスログ	○	○	○	○	○	-	-	○	-	○
ログオンログ	○	○	-	-	-	-	-	-	-	-
管理者操作ログ	-	○	-	-	-	-	-	-	-	-
プリントログ	-	○	-	-	-	-	-	-	-	-
ログオン/ログオフログ(スクリプト)	-	○	-	-	-	-	-	-	-	-
アプリケーション起動ログ	-	○	-	-	-	-	-	-	-	-
アクセス権変更ログ	-	○	○	○	○	-	-	○	-	○
DBアクセスログ	-	-	-	-	-	○	○	-	-	-
DBログオン/ログオフログ	-	-	-	-	-	○	○	-	-	-
DB管理者操作ログ	-	-	-	-	-	○	○	-	-	-
RAWSQLログ	-	-	-	-	-	○	○ 3 4	-	-	-
SYSDBAログ	-	-	-	-	-	-	○	-	-	-
コマンド実行ログ	-	-	-	-	-	-	-	○	-	-
ログオン/ログオフログ	-	-	-	-	-	-	-	○	-	-
syslog	-	-	-	-	-	-	-	○	-	-
オブジェクトアクセスログ	-	-	-	-	-	-	-	-	○	-

1: ALog ConVerter for Windows Standard Editionのライセンスキーを利用する場合
2: ALog ConVerter for Windows Advanced Editionのライセンスキーを利用する場合
3: RAWSQLログは、トレースログの出力形式が「DB出力」もしくは「XML出力」の場合に取得可能です。「OS出力」の場合は取得できません。
4: RAWSQLログを選択するとログ量が増加しますので、収集対象とする際は、対象サーバとマネージャーサーバのディスク空き容量を大きくしてください。また、出力するログ量に応じてCPUの負荷が高くなる場合があります。

ヒント

ログオン/ログオフログ(スクリプト)についてイベントログからログオン/ログオフの操作を正確に把握することが難しいため、ユーザーのドメインへのログオン/ログオフ時にスクリプトを実行して明示的にログを出力します。

それぞれのアクセスログにおいて出力される操作内容は以下のとおりです。

注意

各製品において失敗のログ（XXX-Failure）は環境、条件によっては出力されないことがあります。

2.2.2.1. Windows

ログ種別	出力内容 (操作)	概要
ファイルアクセスログ	READ READ-Failure WRITE WRITE-Failure DELETE DELETE-Failure RENAME RENAME-Failure MOVE COPY	ファイルの読み込みファイルの読み込みの失敗ファイルまたはフォルダーへの書き込みファイルまたはフォルダーへの書き込みの失敗ファイルまたはフォルダーの削除ファイルまたはフォルダーの削除の失敗ファイルまたはフォルダーの名前変更/移動ファイルまたはフォルダーの名前変更/移動の失敗ファイルまたはフォルダーの移動 5 ファイルのコピー 6
ログオンログ	LOGON LOGON-Failure	ユーザーアカウントの認証 7 ユーザーアカウントの認証の失敗 7
管理者操作ログ	ADMIN ADMIN-Failure	管理者による操作管理者による操作の失敗
プリントログ	PRINT	プリントサーバによる印刷
ログオン/ログオフログ(スクリプト)	LOGON LOGOFF	ドメイン認証によるログオンドメインからのログオフ
アプリケーション起動ログ	CREATE EXIT	アプリケーションプロセスの起動アプリケーションプロセスの終了
アクセス権変更ログ	P-ACCESS P-ACCESS-Failure	ファイルまたはフォルダーのアクセス権変更ファイルまたはフォルダーのアクセス権変更の失敗

5: MOVEは、同ドライブにおいて移動元/移動先双方のログがイベントログに書き込まれ、それぞれの関連性が読み取れる場合に出力されます。
6: COPYは、コピー元/コピー先双方のログがイベントログに書き込まれ、それぞれの関連性が読み取れる場合に出力されます。
7(1,2): ドメインコントローラーにおけるドメインアカウントの認証、またはサーバにおけるローカルアカウントの認証を表します。詳細項目として、認証方式を表す「AuthType」が付加されます。

ヒント

管理者操作ログ（ADMIN）は以下の操作を実行したときに出力されます。

ドメインのポリシー変更 / 監査ポリシーの変更 / セキュリティオプションの変更
ユーザーアカウントの作成、変更、削除、無効化、有効化、パスワード変更
ロックアウト、ロックアウト解除 / アカウント名の変更 / グループの作成、変更、削除
グループメンバの追加、削除 / コンピュータアカウントの作成、変更、削除

2.2.2.2. NetApp

ログ種別	出力内容 (操作)	概要
ファイルアクセスログ	READ READ-Failure WRITE WRITE-Failure DELETE DELETE-Failure RENAME MOVE	ファイルの読み込みファイルの読み込みの失敗ファイルまたはフォルダーへの書き込みファイルまたはフォルダーへの書き込みの失敗ファイルまたはフォルダーの削除ファイルまたはフォルダーの削除の失敗ファイルまたはフォルダーの名前変更/移動ファイルまたはフォルダーの移動 8
アクセス権変更ログ	P-ACCESS	ファイルまたはフォルダーのアクセス権変更

8: MOVEは、同ドライブにおいて移動元/移動先双方のログがイベントログに書き込まれ、それぞれの関連性が読み取れる場合に出力されます。(ONTAPのみ)

2.2.2.3. EMC

ログ種別	出力内容 (操作)	概要
ファイルアクセスログ	READ READ-Failure WRITE WRITE-Failure DELETE DELETE-Failure RENAME RENAME-Failure	ファイルの読み込みファイルの読み込みの失敗ファイルまたはフォルダーへの書き込みファイルまたはフォルダーへの書き込みの失敗ファイルまたはフォルダーの削除ファイルまたはフォルダーの削除の失敗ファイルまたはフォルダーの名前変更/移動ファイルまたはフォルダーの名前変更/移動の失敗
アクセス権変更ログ	P-ACCESS P-ACCESS-Failure	ファイルまたはフォルダーのアクセス権変更ファイルまたはフォルダーのアクセス権変更の失敗

2.2.2.4. PowerScale

ログ種別	出力内容 (操作)	概要
ファイルアクセスログ	READ READ-Failure WRITE WRITE-Failure DELETE DELETE-Failure RENAME RENAME-Failure MOVE	ファイルの読み込みファイルの読み込みの失敗ファイルまたはフォルダーへの書き込みファイルまたはフォルダーへの書き込みの失敗ファイルまたはフォルダーの削除ファイルまたはフォルダーの削除の失敗ファイルまたはフォルダーの名前変更/移動ファイルまたはフォルダーの名前変更/移動の失敗ファイルまたはフォルダーの移動 9
アクセス権変更ログ	P-ACCESS P-ACCESS-Failure	ファイルまたはフォルダーのアクセス権変更ファイルまたはフォルダーのアクセス権変更の失敗

9: MOVEは、同ドライブにおいて移動元/移動先双方のログがイベントログに書き込まれ、それぞれの関連性が読み取れる場合に出力されます。

2.2.2.5. SQL Server

ログ種別	出力内容 (操作)	概要
DBアクセスログ	DB_SELECT DB_SELECT-Failure DB_INSERT DB_INSERT-Failure DB_DELETE DB_DELETE-Failure DB_UPDATE DB_UPDATE-Failure	テーブルのデータの参照テーブルのデータの参照の失敗テーブルへのデータの追加テーブルへのデータの追加の失敗テーブルのデータの削除テーブルのデータの削除の失敗テーブルのデータの更新テーブルのデータの更新の失敗
DBログオン/ログオフログ	DB_LOGON DB_LOGON-Failure DB_LOGOFF	データベースへのログオンデータベースへのログオンの失敗データベースからのログオフ
DB管理者操作ログ	DB_ADMIN DB_ADMIN-Failure	データベース管理者による操作データベース管理者による操作の失敗
RAWSQLログ	DB_RAWSQL DB_RAWSQL-Failure	実行されたSQLコマンド文実行に失敗したSQLコマンド文

ヒント

DB管理者操作ログ（DB_ADMIN）は、主に以下の操作を実行したときに出力されます。

テーブルの追加 / 変更 / 削除
インデックスの追加 / 変更 / 削除
ユーザーの追加 / 変更 / 削除

2.2.2.6. Oracle

ログ種別	出力内容 (操作)	概要
DBアクセスログ	DB_SELECT DB_SELECT-Failure DB_INSERT DB_INSERT-Failure DB_DELETE DB_DELETE-Failure DB_UPDATE DB_UPDATE-Failure	テーブルのデータの参照テーブルのデータの参照の失敗テーブルへのデータの追加テーブルへのデータの追加の失敗テーブルのデータの削除テーブルのデータの削除の失敗テーブルのデータの更新テーブルのデータの更新の失敗
DBログオン/ログオフログ	DB_LOGON DB_LOGON-Failure DB_LOGOFF	データベースへのログオンデータベースへのログオンの失敗データベースからのログオフ
DB管理者操作ログ	DB_ADMIN DB_ADMIN-Failure	データベース管理者による操作データベース管理者による操作の失敗
SYSDBAログ	DB_SYSDBA	SYSDBA権限/SYSOPER権限で実行されたコマンド文
RAWSQLログ	DB_RAWSQL DB_RAWSQL-Failure	実行されたSQLコマンド文実行に失敗したSQLコマンド文

ヒント

DB管理者操作ログ（DB_ADMIN）は、主に以下の操作を実行したときに出力されます。

テーブルの追加 / 変更 / 削除
インデックスの追加 / 変更 / 削除
ユーザーの追加 / 変更 / 削除

2.2.2.7. Linux

ログ種別	出力内容 (操作)	概要
ファイルアクセスログ	READ READ-Failure WRITE WRITE-Failure DELETE DELETE-Failure RENAME RENAME-Failure	ファイルの読み込みファイルの読み込みの失敗ファイルまたはフォルダーへの書き込みファイルまたはフォルダーへの書き込みの失敗ファイルまたはフォルダーの削除ファイルまたはフォルダーの削除の失敗ファイルまたはフォルダーの名前変更/移動ファイルまたはフォルダーの名前変更/移動の失敗
アクセス権変更ログ	P-ACCESS P-ACCESS-Failure	ファイルまたはフォルダーのアクセス権変更ファイルまたはフォルダーのアクセス権変更の失敗
コマンド実行ログ 10	EXEC EXEC-Failure	Linuxコマンドの起動 Linuxコマンドの起動失敗 11
ログオン/ログオフログ	LOGON LOGON-Failure LOGOFF	Linuxマシンへのログオン Linuxマシンへのログオン失敗 Linuxマシンからのログオフ
syslog	SYSLOG	syslogの1レコード

10: コマンド実行ログはLinuxコマンドのうち、外部コマンドを実行した履歴です。シェルのビルトインコマンド(組み込みコマンド)は出力されません。
11: EXEC-Failureはコマンド実行そのものの失敗(プロセスの起動失敗)の場合にのみ出力されます。

2.2.2.8. Amazon FSx for Windows File Server

Amazon FSx for Windows File Server は通常のWindowsOSと比較して出力されるイベントログの一部がカットされています。

そのためALogでは、出力されたログの中からオブジェクトアクセス(ファイルへのアクセス、失敗)に関するログを整形した形で出力します。

ログ種別	出力内容 (操作)	概要
オブジェクトアクセスログ	ObjectAccess ObjectAccess-Failure	ファイルへのアクセスファイルへのアクセス失敗

ヒント

実際にどのような操作が行われたかは、詳細フィールドに記録されるAccessList、AccessMaskを参照してください。

2.2.2.9. Amazon FSx for NetApp ONTAP

Amazon FSx for NetApp ONTAP は通常のNetAppと同様のログが出力できます。

ログ種別	出力内容 (操作)	概要
ファイルアクセスログ	READ READ-Failure WRITE WRITE-Failure DELETE DELETE-Failure RENAME MOVE	ファイルの読み込みファイルの読み込みの失敗ファイルまたはフォルダーへの書き込みファイルまたはフォルダーへの書き込みの失敗ファイルまたはフォルダーの削除ファイルまたはフォルダーの削除の失敗ファイルまたはフォルダーの名前変更/移動ファイルまたはフォルダーの移動 12
アクセス権変更ログ	P-ACCESS	ファイルまたはフォルダーのアクセス権変更

12: MOVEは、同ドライブにおいて移動元/移動先双方のログがイベントログに書き込まれ、それぞれの関連性が読み取れる場合に出力されます。

2.2.3. ファイルアクセスログの出力パターン

ユーザーがファイルまたはフォルダーを操作したときに出力されるアクセスログは、以下のパターンで出力されます。

製品ごとに出力されるイベントログが異なるため、同じ操作内容であっても変換結果はすべての製品で必ずしも同一にはなりません。

ユーザーの操作	製品	操作ファイル
ファイルを開く	Windows NetApp EMC PowerScale	READ READ READ READ
フォルダーを開く	Windows NetApp EMC PowerScale	出力なし 13 出力なし 13 出力なし 13 出力なし 13
ファイル/フォルダーを新規作成ファイルを更新	Windows NetApp EMC PowerScale	WRITE WRITE WRITE WRITE
ファイル/フォルダーを削除	Windows NetApp EMC PowerScale	DELETE 14 DELETE 14 DELETE 14 DELETE 14

13(1,2,3,4): フォルダーだと判定できないイベントログの場合、READが出力されます。
14(1,2,3,4): 削除したフォルダーのサブフォルダーに対しても「DELETE」が出力されます。

ユーザーの操作	製品	元ファイル	新ファイル
ファイルをコピー	Windows NetApp EMC PowerScale	COPY/READ READ READ READ	WRITE WRITE WRITE WRITE
フォルダーをコピー	Windows NetApp EMC PowerScale	COPY/出力なし出力なし出力なし出力なし	WRITE 15 WRITE 15 WRITE 15 WRITE 15
ファイル/フォルダーの名前変更	Windows NetApp EMC PowerScale	RENAME RENAME RENAME RENAME	WRITE/READ/出力なし WRITE READ/出力なし WRITE
ファイルを移動 (同ドライブへの移動)	Windows NetApp EMC PowerScale	MOVE MOVE RENAME MOVE	WRITE WRITE READ/出力なし WRITE
フォルダーを移動 (同ドライブへの移動)	Windows NetApp EMC PowerScale	MOVE/RENAME 16 MOVE 16 RENAME DELETE	WRITE/出力なし 16 WRITE 16 READ/出力なし出力なし
ファイル/フォルダーを移動 (別ドライブへの移動)	Windows NetApp EMC PowerScale	DELETE DELETE DELETE DELETE	WRITE WRITE WRITE WRITE/READ

※: コピーや移動の操作は、元ファイルと新ファイルの双方が監査対象である場合に上記のように出力されます。監査対象外のマシンやドライブへのコピーや移動は、出力されているイベントログからわかる情報の範囲で変換されます。
※: コピーや移動の操作には、「新規でコピー/移動する」ケースと、「上書きでコピー/移動する」ケースがあります。この違いにより出力されるログが異なります。

15(1,2,3,4): フォルダーを上書きコピーする場合は、新ファイル「出力なし」となります。
16(1,2,3,4): フォルダーを上書き移動する場合は、元ファイル「DELETE」/新ファイル「出力なし」となります。

注意

対象サーバに対する操作が、リモート操作か、ローカル操作かによって出力されるログに違いが出ます。

注意

ALog ConVerterのファイルアクセスログ変換ロジックは、以下のアプリケーションによるファイル操作が正しく反映されるよう作成されています。その他のアプリケーションによる操作は期待する結果が得られないことがあります。

エクスプローラー / メモ帳 / ペイント / Microsoft Word, Excel, Power Point / Adobe Acrobat Reader

2.2.4. アクセスログの出力例

アクセスログの出力例をログ種別毎に記載します。

2.2.4.1. ファイルサーバ製品(Windows/NetApp/EMC/PowerScale/Amazon FSx for NetApp ONTAP)

一例として対象サーバがWindowsの場合の出力例を記載します。

2.2.4.1.1. ファイルアクセスログ

時刻	ユーザー	サーバ	対象	操作	詳細
2017/05/18 20:04:00.508	Domain\Kawasaki	Server002	D:\共有\file.xls	READ	ClientIP:192.168.0.1 Count:3
2017/05/18 20:04:54.590	Domain\Kawasaki	Server002	D:\共有\file.xls	WRITE	ClientIP:192.168.0.1 Count:1

2.2.4.1.2. ログオンログ

時刻	ユーザー	サーバ	対象	操作	詳細
2017/05/21 20:32:48.892	Domain\Kawasaki	DC001	CLPC001	LOGON	AuthType:NTLM ClientName:CLPC001 Count:1
2017/05/22 15:24:59.800	AMIYA\user01	ws2012r2ad	192.168.1.111	LOGON	AuthType:Kerberos ClientIP:192.168.1.111 Count:2

2.2.4.1.3. 管理者操作ログ

時刻	ユーザー	サーバ	対象	操作	詳細
2017/05/21 20:32:05.115	AMIYA\Admin	BVSRV01	監査ポリシーの変更	ADMIN	Count:1 EventID:4719

2.2.4.1.4. プリントログ

時刻	ユーザー	サーバ	対象	操作	詳細
2017/05/27 17:48:00.630	suzuki	PTSV1	設計書社外秘.doc	PRINT	Count:1 Pages:4 Printer:Epson-LP9000
2017/05/27 18:23:10.001	sakura	PTSV1	http://www.amiya.co.jp	PRINT	Count:1 Pages:2 Printer:Epson-LP9000

2.2.4.1.5. ログオン/ログオフログ（スクリプト）

時刻	ユーザー	サーバ	対象	操作	詳細
2017/05/27 17:48:00.233	Domain\Kawasaki	DC001	CLPC001[169.254.123.159]	LOGON	ClientIP:169.254.123.159 ClientName: CLPC001 Count:1 LogonType:Script
2017/05/27 17:48:00.909	Domain\Kawasaki	DC001	CLPC001[169.254.123.159]	LOGOFF	ClientIP:169.254.123.159 ClientName: CLPC001 Count:1 LogonType:Script

2.2.4.1.6. アプリケーション起動ログ

時刻	ユーザー	サーバ	対象	操作	詳細
2017/05/18 20:04:03.160	Domain\Kawasaki	ALOG	C:\windows\system32\cmd.exe	CREATE	AppName:C:\Windows\System32\cmd.exe Count:1
2017/05/18 20:23:10.748	Domain\Kawasaki	ALOG	C:\windows\system32\cmd.exe	EXIT	AppName:C:\Windows\System32\cmd.exe Count:1

2.2.4.1.7. アクセス権変更ログ

時刻	ユーザー	サーバ	対象	操作	詳細
2017/06/01 19:24:44.560	Domain\Kawasaki	FS01	E:\共有\01_顧客情報	P-ACCESS	ClientIP:192.168.0.1 Count:1

2.2.4.2. DB製品 (SQL Server/Oracle)

一例として対象サーバがOracleの場合の出力例を記載します。

2.2.4.2.1. DBアクセスログ

時刻	ユーザー	サーバ	対象	操作	詳細
2016/10/29 13:58:48.776	ALOGUSER	DC001\ins01	テーブル[t_user]にデータが挿入されました	DB_INSERT	AppName:sqlplus.exe ClientName:AMIYA.CO.JP\CL001 Count:1 DBID:1886913119 OSUser:tanaka Schema:ALOGUSER SesId:629453

2.2.4.2.2. DBログオン/ログオフログ

時刻	ユーザー	サーバ	対象	操作	詳細
2016/10/29 11:00:02.000	ALOGUSER	DC001\ins01	AMIYA.CO.JP\TANAKA	DB_LOGON	ClientIP:10.255.111.15 ClientName: AMIYA.CO.JP\CL001 Count:1 DBID:1886913119 OSUser: tanaka SesId: 629248
2016/10/29 14:04:53.856	ALOGUSER	DC001\ins01	AMIYA.CO.JP\TANAKA	DB_LOGOFF	AppName:sqlplus.exe ClientName: AMIYA.CO.JP\CL001 Count:1 DBID:1886913119 OSUser:tanaka SesId:629465

2.2.4.2.3. DB管理者操作ログ

時刻	ユーザー	サーバ	対象	操作	詳細
2016/10/29 14:04:48.453	ALOGUSER	DC001\ins01	ALOGUSERからの[SELECT ANY TABLE]操作が許可されました	DB_ADMIN	AppName:sqlplus.exe ClientName: AMIYA.CO.JP\CL001 Count:1 DBID:1886913119 OSUser:tanaka SesId:629465
2016/10/29 14:04:19.585	ALOGUSER	DC001\ins01	テーブル[t_add]の作成に失敗しました	DB_ADMIN-Failure	AppName:sqlplus.exe ClientName: AMIYA.CO.JP\CL001 Count:1 DBID:1886913119 OSUser:tanaka Schema:ALOGUSER SesId:629465

2.2.4.2.4. RAWSQLログ

時刻	ユーザー	サーバ	対象	操作	詳細
2016/10/29 14:04:26.272	ALOGUSER	DC001\ins01	drop table t_score	DB_RAWSQL	AppName:sqlplus.exe ClientName: AMIYA.CO.JP\CL001 Count:1 DBID:1886913119 OSUser:tanaka Schema:ALOGUSER SesId:629465

2.2.4.2.5. SYSDBAログ

時刻	ユーザー	サーバ	対象	操作	詳細
2016/10/29 13:56:34.000	/SYSDBA	DC001\ins01	SHUTDOWN	DB_SYSDBA	ClientName:DC001 Count:1 OSUser:NT AUTHORITY\SYSTEM

2.2.4.3. Linux

対象サーバがLinuxの場合の出力例を記載します。

2.2.4.3.1. ファイルアクセスログ

時刻	ユーザー	サーバ	対象	操作	詳細
2017/03/09 11:51:20.789	a_satou	192.168.2.235	/tmp/dir123copy/資料/ファイルB	WRITE	AppName:/usr/bin/cp ClientIP:192.168.0.54 Count:1 Tty:pts1

2.2.4.3.2. アクセス権変更ログ

時刻	ユーザー	サーバ	対象	操作	詳細
2017/03/09 09:28:26.097	a_satou	192.168.2.235	/home/a_satou/90_backup	P-ACCESS	AppName:/usr/bin/chmod ClientIP:192.168.0.54 Count:1 Tty:pts1

2.2.4.3.3. コマンド実行ログ

時刻	ユーザー	サーバ	対象	操作	詳細
2017/03/09 11:51:20.786	a_satou	192.168.2.235	cp -r dir123/dir123copy	EXEC	AppName:/usr/bin/cp ClientIP:192.168.0.54 Count:1 CurrentDir:/tmp Tty:pts1

2.2.4.3.4. ログオン/ログオフログ

2.2.4.3.4.1. SSH接続の場合

時刻	ユーザー	サーバ	対象	操作	詳細
2017/03/08 21:06:04.699	devadmin	192.168.2.235	192.168.0.54	LOGON	AppName:/usr/bin/su AuditUser:a_satou ClientIP:192.168.0.54 Count:1
2017/03/08 21:05:40.027	devadmin	192.168.2.235	192.168.0.54	LOGON-Failure	AppName:/usr/bin/su AuditUser: a_satou ClientIP:192.168.0.54 Count:1 ErrorCause:Unauthenticated
2017/03/09 09:17:12.364	devadmin	192.168.2.235	192.168.0.54	LOGOFF	AppName:/usr/bin/su AuditUser:aloguser ClientIP:192.168.0.54 Count:1

2.2.4.3.4.2. ローカルログインの場合

ローカルログインは対象欄が空欄になるのが特徴です。詳細欄にClientIPも付与されません。

時刻	ユーザー	サーバ	対象	操作	詳細
2017/02/22	root	192.168.2.235		LOGON	AppName:/usr/sbin/crond Count:1

2.2.4.3.5. syslog

時刻	ユーザー	サーバ	対象	操作	詳細
2017/10/10 16:20:01.000	RHEL73-01\cron	RHEL73-01	CROND[25194]: (root)CMD (/usr/lib64/sa/sa1 1 1)	SYSLOG	Count:1
2017/10/10 05:00:00.000	RHEL73-01\messages	RHEL73-01	fprintd: Launching FprintObject	SYSLOG	Count:1

2.2.4.4. Amazon FSx for Windows File Server

対象サーバがAmazon FSx for Windows File Server の場合の出力例を記載します。

2.2.4.4.1. オブジェクトアクセスログ

時刻

ユーザー

サーバ

対象

操作

詳細

2021/11/09 15:12:20.789

a_satou

192.168.2.235

\Device\HarddiskVolume14\share\○○案件資料.xlsx

ObjectAccess

AccessList:%%1537 %%4423

AccessMask:0x10080

Count:1

2.2.5. Windows「LOGON」のアクセスログについて

2.2.5.1. 対象サーバWindowsの場合のログオンログ出力ケースについて

アクセスログに「LOGON」と出力されるログ種別は2種類あります。

ログ種別「ログオンログ」
ログ種別「ログオン/ログオフログ(スクリプト)」

1.の「ログオンログ」は、基本的に「認証」(ユーザー名とパスワードによる本人確認)が行われたもののみを出力する方針です。例外としてリモートデスクトップ接続のみ、「認証」ではありませんがログオンログに含めて出力しています。

2.の「ログオン/ログオフログ(スクリプト)」は、設置しておいたスクリプトがログオン時に実行され、ログが書き込まれます。そのログを基にログオンログを出力します。

ログオンログを取得したいがどのサーバを対象サーバとして登録すればよいか不明な場合、以下の記述のほか、「Windows「LOGON」に関する補足情報」も参考にしてください。

2.2.5.1.1. ログ種別「ログオンログ」

ログ種別「ログオンログ」を取得する場合は、”認証が行われるサーバ” を対象サーバとして登録してください。

ドメインアカウントの認証を表すLOGONを収集したい場合は、ドメインコントローラーのサーバを対象サーバとして指定する
ローカルアカウントの認証を表すLOGONを収集したい場合は、該当アカウントが存在するコンピューターを対象サーバとして指定する

「ログオンログ」のアクセスログは、「詳細」フィールドに「AuthType」情報が出力されます。これは「認証」の種類を表す項目です。以下の2種類の出力があります。

　- [AuthType:Kerberos] … Kerberos認証

　- [AuthType:NTLM] … NTLM認証

対象サーバに対してリモートデスクトップ接続を行う場合のみ、認証を表すLOGONではなく、リモートデスクトップでログオンしたことを表すLOGONを追加で収集しています。この場合、アクセスログの「詳細」フィールドに [LogonType:RemoteInteractive] と出力されます。

[AuthType]と[LogonType]が同時に1つのアクセスログに出力される場合もあります。その場合は、その対象サーバで認証し、その後そのサーバにログオンしたことを意味しています。

2.2.5.1.2. ログ種別「ログオン/ログオフログ(スクリプト)」

ログ種別「ログオン/ログオフログ(スクリプト)」を取得する場合は、”スクリプト作成時に指定した書き込み先サーバ” を対象サーバとして登録してください。

スクリプトの作成/設置手順については「ログオン/ログオフログ(スクリプト)」を参照してください。

「ログオン/ログオフログ(スクリプト)」のアクセスログは、「詳細」フィールドに [LogonType:Script] が出力されます。 (スクリプトによるLOGONには「AuthType」は出力されません。)

2.3. 動作環境について

本章ではALogの利用にあたって必要なシステム環境について説明します。

2.3.1. 対象サーバの動作環境

対象サーバの動作環境は以下のとおりです。対象サーバごとに対応OSや動作条件が異なります。

なお、下記、対応OS、対応SQL Serverおよび対応Oracle Databaseに記載のあるバージョンであっても、すでに開発元のサポートが終了している場合は、十分なサポートを提供できないため、対象サーバは開発元のサポートが終了していないバージョンにアップデートすることを推奨します。

注意

クライアントマシンにWindows10をご利用の場合、以前のクライアントOSに比べてイベントログ量が純増します。ログ出力先のドライブの容量や、イベントログを保存する場合の保存先の容量は以前のクライアントOSに比べて多めに見積もってください。

2.3.1.1. Windows

Windows Serverを対象サーバとする場合の動作環境は以下のとおりです。

項目	要件
対応OS	Windows Server 2016 / 2019 / 2022 Windows Storage Server 2016 Windows Server IoT 2019 　※各OS のサービスパック（SP）に対応　※各エディション（Standard / Enterprise / Datacenter）に対応　※仮想環境（VMWare, Hyper-V, Citrix XenServer）に対応
必要ソフトウェア	.NET Framework 4.5 SP1 以上 (エージェント方式の場合のみ)

◆動作条件

ファイルアクセスログの出力対象となるドライブがNTFSフォーマットであること（FATフォーマットには対応していません）

対象サーバの管理共有へアクセスできること

ログの収集方式がエージェント方式の場合、対象サーバからマネージャーサーバの共有フォルダーへファイルの書き込みができること

2.3.1.2. NetApp

NetApp FAS/AFFシリーズを対象サーバとする場合の動作環境は以下のとおりです。

項目	要件
対応OS	ONTAP 9.5～9.13.1 　サポート対象バージョン 17 　9.5、9.6、9.7、9.8、9.9.1、9.10、9.11.1、9.12.1、9.13.1 　Cloud Volumes ONTAP (旧ONTAP Cloud)、ONTAP Select に対応　Lenovo ThinkSystem(ONTAP OS) に対応

17: 上記でサポート対象バージョンであっても、開発元のサポートが終了しているバージョンについては、十分なサポートが行えないため、対象サーバは開発元のサポートが終了していないバージョンにアップデートすることを推奨します。

◆動作条件

ファイルアクセスログの出力対象となるファイル領域がCIFS領域であること（NFS領域には対応していません）

ONTAPの場合、マネージャーサーバから対象サーバに対してsshコマンドが実行できること

ログのフォーマットがevtx形式であること(XML形式には対応していません)

NetAppにおけるLDAP認証方式がActive Directory認証であること (ActiveDirectory以外のLDAP認証を選択している場合、ファイルシステムNTFSを使用出来ず監査設定が行えないためALogを使用していただくことができません)

2.3.1.3. EMC

EMC Unity / PowerStore を対象サーバとする場合の動作環境は以下のとおりです。

項目	要件
対応OS	Unity サポート対象バージョン 18 5.0.3、5.0.4、5.0.5、5.0.6、5.0.7、5.1.0、5.1.1、5.1.2、5.1.3、5.2.0、5.2.1、5.2.2 PowerStore サポート対象バージョン 18 1.0、2.0、2.1、3.0、3.2、3.5

18(1,2): 上記でサポート対象バージョンであっても、開発元のサポートが終了しているバージョンについては、十分なサポートが行えないため、対象サーバは開発元のサポートが終了していないバージョンにアップデートすることを推奨します。

◆動作条件

イベントログのAutoArchive機能が利用できること

ファイルアクセスログの出力対象となるファイル領域がCIFS領域であること（NFS領域には対応していません）

2.3.1.4. PowerScale

PowerScaleを対象サーバとする場合の動作環境は以下のとおりです。

項目	要件
対応OS	OneFS 9.0.0～9.5.0 　サポート対象バージョン 19 　9.0.0、9.1.0、9.2.0、9.2.1、9.3.0、9.4.0、9.5.0

19: 上記でサポート対象バージョンであっても、開発元のサポートが終了しているバージョンについては、十分なサポートが行えないため、対象サーバは、開発元のサポートが終了していないバージョンにアップデートすることを推奨します。

◆動作条件

ファイルアクセスログの出力対象となるファイル領域がCIFS領域であること

マネージャーサーバから対象サーバに対してsshコマンドが実行できること

2.3.1.5. SQL Server

SQL Serverを対象サーバとする場合の動作環境は以下のとおりです。

項目	要件
対応OS	Windows Server 2016 / 2019 / 2022 　※各OS のサービスパック（SP）に対応　※各エディション（Standard / Enterprise / Datacenter）に対応　※仮想環境（VMWare, Hyper-V, Citrix XenServer）に対応
対応SQL Server	Microsoft SQL Server 2014 / 2016 / 2017 / 2019 / 2022 　※各エディション（Standard, Enterprise, Business Intelligence）に対応　※32bit版、64bit版ともに対応
必要ソフトウェア	.NET Framework 4.5 SP1 以上 (エージェント方式の場合のみ)

◆動作条件

マネージャーサーバから対象サーバのSQL Serverに対しリモート接続が出来ること

対象サーバの管理共有へアクセスできること

ログの収集方式がエージェント方式の場合、対象サーバからマネージャーサーバの共有フォルダーへファイルの書き込みができること

「ストアドプロシージャの自動実行」が許可されていること 20

AWE 機能が有効になっている場合、SQL Server を起動するWindows ユーザーアカウントに「lock pages in memory」権限が付与されていること 20

20(1,2): 「SQLトレース」監査方式を選択した場合に必要

2.3.1.6. Oracle

Oracle Databaseを対象サーバとする場合の動作環境は以下のとおりです。

項目	要件
対応OS	Windows Server 2016 / 2019 / 2022 Red Hat Enterprise Linux 5 / 6 / 7 / 8 Oracle Linux 6.8 (UEKにも対応)
対応Oracle Database	Oracle Database 12.2.x / 18.3 / 19.3 / 21.1 21 Express/Personal エディションには対応していません 22
必要ソフトウェア	.NET Framework 4.5 SP1 以上（OSがWindows Serverかつエージェント方式の場合のみ） Oracle Client

21: 21.1はリリースされているOracle Cloud (Linux OS)のみ対応しています。
22: 上記以外の組み合わせはお問合せください。

◆動作条件

「AUDIT_TRAIL」によるデータベースの監査が利用できること（既に設定されている場合は監査設定が変更されることがあります）

WindowsOSの場合、対象サーバの管理共有へアクセスできること

LinuxOSの場合、FTP/SFTPサーバが使用できること。詳細については「Oracleを対象サーバとする場合のみの準備事項」参照

ログの収集方式がエージェント方式の場合、対象サーバからマネージャーサーバの共有フォルダーへファイルの書き込みができること

ログの収集方式がエージェント方式の場合、対象サーバが64bitOSであること

2.3.1.7. Linux

Linuxを対象サーバとする場合の動作環境は以下のとおりです。

項目	要件
対応OS	Red Hat Enterprise Linux 6 / 7 / 8 / 9 CentOS 7

◆動作条件

Auditd、sshd、zip、unzip、openssh-clientsがインストール済みであること

syslogを取得する場合は、「時刻」「ホスト名」「その他の情報」が半角空白で区切られた形式(Linuxのsyslogの出力形式が初期状態)であること

ログの形式はテキストファイルで、非圧縮またはZIP/GZIPの圧縮形式であること

「/usr/local/sbin」が存在する環境であること

2.3.1.8. Amazon FSx for Windows File Server

Amazon FSx for Windows File Server を対象サーバとする場合の動作環境は以下のとおりです。

項目	要件
対応サービス	Amazon FSx for Windows File Server

◆動作条件

Amazon Kinesis Data Firehoseに監査イベントログ出力用の配信ストリームが作成済みであること

Amazon FSx for Windows File Server の監査イベントログ出力先が1の配信ストリームに設定されていること

Amazon S3に監査ログ出力用のバケットが作成済みであること

1の配信ストリームの出力先が3のバケットに設定されていること

2.3.1.9. Amazon FSx for NetApp ONTAP

Amazon FSx for NetApp ONTAP を対象サーバとする場合の動作環境は以下のとおりです。

項目	要件
対応サービス	Amazon FSx for NetApp ONTAP

◆動作条件

ファイルアクセスログの出力対象となるファイル領域がCIFS領域であること（NFS領域には対応していません）

マネージャーサーバから対象サーバに対してsshコマンドが実行できること

ログのフォーマットがevtx形式であること(XML形式には対応していません)

ストレージ仮想マシンの設定を「Active Directoryへの参加」にしていること

2.3.2. マネージャーサーバの動作環境

マネージャーサーバの動作環境は以下のとおりです。

項目	要件
対応OS	Windows Server 2016 / 2019 / 2022 　※32bit版OSには対応していません　※各OS のサービスパック（SP）に対応　※各エディション（Standard / Enterprise / Datacenter）に対応　※仮想環境（VMWare, Hyper-V, Citrix XenServer）に対応
CPU	2.7GHz 8コア以上
メモリ	32GB 以上
ディスク	500GB以上の空き容量　※SSD推奨　※対象サーバの台数やアクセスログの保管期間の長さによって別途必要となります。
必要ソフトウェア	.NET Framework 4.8以上対応ブラウザWebブラウザ: - Firefox バージョン68以上 - Google Chrome バージョン76以上 - Microsoft Edge Microsoft SQL Server (対象サーバがSQL Server場合) 23

23: マネージャーサーバにSQL Serverのインストールが必要となる条件

　・対象サーバがSQL Serverで、対象サーバ追加時の監査設定で「SQLトレース」を選択する場合

　　※ログ収集対象となるSQL Serverと同等以上のバージョンが必要

2.3.3. 動作に必要なユーザーアカウントと権限

ALogのプログラムが正常に動作するには以下の権限を持ったユーザーアカウントが必要です。インストールにあたってあらかじめこれらのユーザーアカウントを準備してください。

すべての製品共通で「マネージャーサーバのWindowsユーザーアカウント」が必要になります。

2.3.3.1. Windows

対象サーバがWindowsの場合は以下のユーザーアカウントを準備してください。

必要なアカウント

説明

マネージャーサーバのWindowsユーザーアカウント

ALog内で共通アカウントとして利用されるアカウント
マネージャーサーバの管理者権限が必要
ドメイン環境で利用する場合はドメイン管理者グループ(Domain Admins)に所属している必要がある
インストール時に入力する管理者アカウント(共通アカウント)となる

対象サーバのWindowsユーザーアカウント

対象サーバとなるWindowsからイベントログを収集するためのアカウント
- 対象サーバの管理者権限が必要
- ALogの管理者アカウントと同じアカウントを設定することが可能
- 対象サーバのUACが有効になっている場合、以下のいずれかのアカウントが必要
　　a.ローカルのAdministratorアカウント
　　b.対象サーバのローカル管理者グループ(Administrators)に所属しているドメインユーザーアカウント

2.3.3.2. NetApp

2.3.3.2.1. NetApp ONTAP

対象サーバがNetApp ONTAPの場合は以下のユーザーアカウントを準備してください。

必要なアカウント	説明
マネージャーサーバのWindowsユーザーアカウント	ALog内で共通アカウントとして利用されるアカウントマネージャーサーバの管理者権限が必要ドメイン環境で利用する場合はドメイン管理者グループ（Domain Admins）に所属している必要があるインストール時に入力する管理者アカウント(共通アカウント)となる
SVMのSMBユーザーアカウント	SVM(対象サーバ)からイベントログを収集するためのアカウント SVMの管理者権限が必要 ALogの管理者アカウントと同じアカウントを設定することが可能
管理ホストのUNIXユーザーアカウント	監査設定を実行するためのアカウント管理ホストのadmin権限を持っている必要がある

2.3.3.3. EMC

対象サーバがEMCの場合は以下のユーザーアカウントを準備してください。

必要なアカウント	説明
マネージャーサーバのWindowsユーザーアカウント	ALog内で共通アカウントとして利用されるアカウントマネージャーサーバの管理者権限が必要ドメイン環境で利用する場合はドメイン管理者グループ（Domain Admins）に所属している必要があるインストール時に入力する管理者アカウント(共通アカウント)となる
EMCのSMBユーザーアカウント	EMCからイベントログを収集するためのアカウント管理者権限が必要 ALogの管理者アカウントと同じアカウントを設定することが可能

2.3.3.4. PowerScale

対象サーバがPowerScaleの場合は以下のユーザーアカウントを準備してください。

必要なアカウント	説明
マネージャーサーバのWindowsユーザーアカウント	ALog内で共通アカウントとして利用されるアカウントマネージャーサーバの管理者権限が必要ドメイン環境で利用する場合はドメイン管理者グループ（Domain Admins）に所属している必要があるインストール時に入力する管理者アカウント(共通アカウント)となる
OneFSのSMBユーザーアカウント	監査ログを収集するためのアカウント OneFSの管理者権限が必要 ALogの管理者アカウントと同じアカウントを設定することが可能
OneFSのUNIXユーザーアカウント	OneFSに対してのSSH接続に使用 root権限が必要 (ログ収集時、監査ログのログファイルの書き出し、Webコンソール経由の監査設定)

2.3.3.5. SQL Server

対象サーバがSQL Serverの場合は以下のユーザーアカウントを準備してください。

必要なアカウント	説明
マネージャーサーバのWindowsユーザーアカウント	ALog内で共通アカウントとして利用されるアカウントマネージャーサーバの管理者権限が必要ドメイン環境で利用する場合はドメイン管理者グループ（Domain Admins）に所属している必要があるインストール時に入力する管理者アカウント(共通アカウント)となる
対象サーバの管理者アカウント	対象サーバからイベントログを収集するためのアカウント対象サーバの管理者権限が必要。ALogの管理者アカウントと同じアカウントを設定することが可能対象サーバのUACが有効になっている場合、以下のいずれかのアカウントが必要　a.ローカルのAdministratorアカウント　b.対象サーバのローカル管理者グループ(Administrators)に所属しているドメインユーザーアカウント
対象サーバのSQL Serverユーザーアカウント	対象サーバの監査の設定変更および監査の開始、停止を実行するためのアカウント Sysadmin権限のアカウントを用意する ※Sysadmin権限のアカウントが用意できない場合、最低限必要な権限は以下の通り　VIEW SERVER STATE / CONTROL SERVER / 　VIEW ANY DEFINITION / ALTER ANY SERVER AUDIT / 　ALTER ANY EVENT SESSION
マネージャーサーバのSQL Serverユーザーアカウント	【SQLトレース監査を使用する場合のみ必要】マネージャーサーバにてログ変換タスクで使用するSQL Server(作業用データベース)を使用するためのアカウント ALTER TRACE権限を持っている必要がある

2.3.3.6. Oracle

対象サーバがOracle Databaseの場合は以下のユーザーアカウントを準備してください。

必要なアカウント	説明
マネージャーサーバのWindowsユーザーアカウント	【標準監査を使用する場合のみ必要】 ALog内で共通アカウントとして利用されるアカウントマネージャーサーバの管理者権限が必要ドメイン環境で利用する場合はドメイン管理者グループ（Domain Admins）に所属している必要があるインストール時に入力する管理者アカウント(共通アカウント)となる
対象サーバの管理者アカウント	対象サーバからイベントログを収集するためのアカウント対象サーバの管理者権限が必要。ALogの管理者アカウントと同じアカウントを設定することが可能対象サーバのUACが有効になっている場合、以下のいずれかのアカウントが必要　a.ローカルのAdministratorアカウント　b.対象サーバのローカル管理者グループ(Administrators)に所属しているドメインユーザーアカウント
Oracleアカウント	対象サーバの監査設定（AUDIT_TRAIL）を行い、トレースログを出力させるためのアカウント詳細は「Oracleを対象サーバとする場合のみの準備事項」
FTP/SFTP接続用アカウント	【標準監査を使用する場合のみ必要】対象サーバのOSがLinuxの場合のみ使用する通常はOracle起動プロセスのアカウントを使用するが、別のアカウントを使用する場合はOracleのインストールグループの権限が必要となる

2.3.3.7. Linux

対象サーバがLinuxの場合は以下のユーザーアカウントを準備してください。

必要なアカウント	説明
マネージャーサーバのWindowsユーザーアカウント	ALog内で共通アカウントとして利用されるアカウントマネージャーサーバの管理者権限が必要ドメイン環境で利用する場合はドメイン管理者グループ（Domain Admins）に所属している必要があるインストール時に入力する管理者アカウント(共通アカウント)となる
Linuxのユーザーアカウント	監査設定や収集を実行するためのアカウント sshで対象サーバにログオンでき、sudoでコマンドを実行する権限を持っている必要がある

2.3.3.8. ALog EVA

対象サーバがALog EVAの場合は以下のユーザーアカウントを準備してください。

ログの収集方式	マネージャーサーバの管理者アカウント	対象サーバの管理者アカウント
対象サーバのイベントログを収集	○	○
マネージャーサーバのローカルフォルダーから収集	○	-
対象サーバの共有フォルダーから収集	○	○
対象サーバにSCP接続して収集	○	○

必要なアカウント

説明

マネージャーサーバのWindowsユーザーアカウント

ALog内で共通アカウントとして利用されるアカウント
マネージャーサーバの管理者権限が必要
ドメイン環境で利用する場合はドメイン管理者グループ（Domain Admins）に所属している必要がある
インストール時に入力する管理者アカウント(共通アカウント)となる

対象サーバの管理者アカウント

対象サーバからログを収集するためのアカウント

1. 「対象サーバのイベントログを収集」にした場合は、対象サーバの管理者権限が必要
　対象サーバのUACが有効になっている場合、以下のいずれかのアカウントが必要
　　a.ローカルのAdministratorアカウント
　　b.対象サーバのローカル管理者グループ(Administrators)に所属しているドメインユーザーアカウント

2. 「対象サーバの共有フォルダーから収集」にした場合は、収集元となる共有フォルダーへのアクセス権限が必要
　ALogの管理者アカウントと同じアカウントを設定することが可能

3. 「対象サーバにSCP接続して収集」にした場合は、対象サーバにSCP接続が可能なアカウントが必要
　rootでのみアクセス可能なファイルを収集する場合は、上記アカウントにsudoでroot権限を付与できる設定と、アカウント自身の権限で作業ディレクトリにアクセスできる必要がある

2.3.3.9. Amazon FSx for Windows File Server

対象サーバがAmazon FSx for Windows File Server の場合は以下のユーザーアカウントを準備してください。

必要なアカウント	説明
マネージャーサーバのWindowsユーザーアカウント	ALog内で共通アカウントとして利用されるアカウントマネージャーサーバの管理者権限が必要ドメイン環境で利用する場合はドメイン管理者グループ(Domain Admins)に所属している必要があるインストール時に入力する管理者アカウント(共通アカウント)となる
AWSのIAMユーザーアカウント	対象サーバ(Amazon FSx for Windows File Server)からイベントログを収集するためのアクセスキーID/シークレットアクセスキーを作成するためのアカウント。以下のAWS管理ポリシーをアタッチする必要がある。 - AmazonS3FullAccess - AmazonKinesisFirehoseReadOnlyAccess - AmazonFSxReadOnlyAccess
対象サーバ(Amazon FSx for Windows File Server)のWindowsユーザーアカウント	対象サーバ(Amazon FSx for Windows File Server)の共有フォルダーに監査設定をするためのアカウント ※任意指定 - 対象サーバの管理者権限が必要 - ALogの管理者アカウントと同じアカウントを設定することが可能

2.3.3.10. Amazon FSx for NetApp ONTAP

対象サーバが Amazon FSx for NetApp ONTAP の場合は以下のユーザーアカウントを準備してください。

必要なアカウント	説明
マネージャーサーバのWindowsユーザーアカウント	ALog内で共通アカウントとして利用されるアカウントマネージャーサーバの管理者権限が必要ドメイン環境で利用する場合はドメイン管理者グループ（Domain Admins）に所属している必要があるインストール時に入力する管理者アカウント(共通アカウント)となる
ストレージ仮想マシン(SVM)のSMBユーザーアカウント	対象サーバとなるストレージ仮想マシン(SVM)からイベントログを収集するためのアカウントストレージ仮想マシン(SVM)の管理者権限が必要 ALogの管理者アカウントと同じアカウントを設定することが可能
管理エンドポイントのUNIXユーザーアカウント	監査設定を実行するためのアカウントファイルシステムの管理エンドポイントのadmin権限を持っている必要がある(fsxadmin)

2.3.4. 通信環境(使用ポート一覧)

ALogで使用するポートとその方向は以下の通りです。

「Webコンソール」は製品共通で使用します。その他は使用する製品欄を確認してください。

ヒント

動的ポートは、49152-65535 の範囲です。

2.3.4.1. Webコンソール

ブラウザ動作マシン⇒マネージャーサーバ

ポート番号

用途

TCP80

HTTP (Webコンソールへのアクセス) 24

24

インストール時に指定したポート番号。マネージャーサーバ以外のマシンからWebコンソールにアクセスするためにはこのポートが解放されている必要がある

マネージャーサーバ⇒マネージャーサーバ

ポート番号

用途

TCP10041

内部DBで使用

マネージャーサーバ⇒ドメインコントローラー

ポート番号

用途

TCP389

TCP636(SSL)

- WebコンソールのログインアカウントでLDAP認証を利用した場合に使用

- AD連携タスク動作時に使用

2.3.4.2. Windows (エージェントレス方式)

マネージャーサーバ⇒対象サーバ

ポート番号

用途

TCP445

SMB (イベントログの収集/各種監査設定)

TCP135、TCP動的ポート

RPC (イベントログの収集/各種監査設定)

ICMPエコー要求の受信許可

対象サーバ追加時Pingチェック

※チェックを行う場合のみ必要

2.3.4.3. Windows (エージェント方式)

マネージャーサーバ⇒対象サーバ

ポート番号

用途

TCP445

SMB (エージェントの設置/動作指令/削除)

TCP135、TCP動的ポート

RPC (各種監査設定)

ICMPエコー要求の受信許可

対象サーバ追加時Pingチェック

※チェックを行う場合のみ必要

対象サーバ⇒マネージャーサーバ

ポート番号

用途

TCP445

SMB (イベントログの転送)

2.3.4.4. NetApp

マネージャーサーバ⇒対象サーバ

ポート番号

用途

TCP445

SMB (イベントログの収集、フォルダーの監査設定)

TCP22

ssh (監査ポリシー設定など)

ICMPエコー要求の受信許可

対象サーバ追加時Pingチェック

※チェックを行う場合のみ必要

2.3.4.5. EMC

マネージャーサーバ⇒対象サーバ

ポート番号

用途

TCP445

SMB (イベントログの収集)

ICMPエコー要求の受信許可

対象サーバ追加時Pingチェック

※チェックを行う場合のみ必要

2.3.4.6. PowerScale

マネージャーサーバ⇒対象サーバ

ポート番号

用途

TCP445

SMB (監査ログの収集)

TCP22

ssh (監査ログの収集/SID情報収集)

ICMPエコー要求の受信許可

対象サーバ追加時Pingチェック

※チェックを行う場合のみ必要

2.3.4.7. SQL Server (エージェントレス方式)

マネージャーサーバ⇒対象サーバ

ポート番号

用途

TCP445

SMB (監査ログの収集)

TCP1433

対象SQL Serverへのアクセス

※既定のインスタンスの場合

UDP1434、TCP動的ポート

対象SQL Serverへのアクセス

※名前付きインスタンスの場合

2.3.4.8. SQL Server (エージェント方式)

マネージャーサーバ⇒対象サーバ

ポート番号

用途

TCP445

SMB (エージェントの設置/動作指令/削除)

TCP1433

対象SQL Serverへのアクセス

※既定のインスタンスの場合

UDP1434、TCP動的ポート

対象SQL Serverへのアクセス

※名前付きインスタンスの場合

対象サーバ⇒マネージャーサーバ

ポート番号

用途

TCP445

SMB (監査ログの転送)

2.3.4.9. Oracle (Windows-エージェントレス方式)

マネージャーサーバ⇒対象サーバ

ポート番号

用途

TCP445

【標準監査を使用する場合のみ必要】

SMB (イベントログの収集/トレースログ(XML)の収集)

TCP135、TCP動的ポート

【標準監査を使用する場合のみ必要】

RPC (イベントログの収集/各種監査設定)

TCP1521

対象Oracle Databaseへのアクセス

2.3.4.10. Oracle (Windows-エージェント方式)

すべて標準監査を使用する場合のみ必要

マネージャーサーバ⇒対象サーバ

ポート番号

用途

TCP445

SMB (エージェントの設置/動作指令/削除)

TCP1521

対象Oracle Databaseへのアクセス

対象サーバ⇒マネージャーサーバ

ポート番号

用途

TCP445

SMB (イベントログ/トレースログ(XML)の転送)

2.3.4.11. Oracle (Linux-エージェントレス方式)

マネージャーサーバ⇒対象サーバ

ポート番号

用途

TCP1521

対象Oracle Databaseへのアクセス

TCP21、TCP動的ポート

【標準監査を使用する場合のみ必要】

FTP (トレースログ収集)

※パッシブモード

※SFTPとの択一

TCP22

【標準監査を使用する場合のみ必要】

SFTP (トレースログ収集)

※FTPとの択一

2.3.4.12. Linux

マネージャーサーバ⇒対象サーバ

ポート番号

用途

TCP22

ssh(監査設定、auditログやsyslogの収集)

ICMPエコー要求の受信許可

対象サーバ追加時Pingチェック

※チェックを行う場合のみ必要

2.3.4.13. ALog EVA

2.3.4.13.1. 対象サーバのイベントログを収集

マネージャーサーバ⇒対象サーバ

ポート番号

用途

TCP445

SMB (ログの収集)

TCP135、TCP動的ポート

RPC (ログの収集)

ICMPエコー要求の受信許可

対象サーバ追加時Pingチェック

※チェックを行う場合のみ必要

2.3.4.13.2. マネージャーサーバのローカルフォルダーから収集

マネージャーサーバのローカルフォルダーから収集するため、マネージャーサーバから対象サーバへの通信は必要ありません。そのため、特定の通信ポートを開放する必要はありません。ただし、[対象サーバ追加時Pingチェック]をONにし、Pingチェックを行う場合は、「ICMPエコー要求の受信許可」にする必要があります。

注意

対象サーバが出力するログをマネージャーサーバへ転送するために行われる通信に対しては、システムやネットワーク機器などの仕様に応じて、適宜通信ポートを開放する必要があります。

2.3.4.13.3. 対象サーバの共有フォルダーから収集

マネージャーサーバ⇒対象サーバ

ポート番号

用途

TCP445

SMB (ログの収集)

ICMPエコー要求の受信許可

対象サーバ追加時Pingチェック

※チェックを行う場合のみ必要

2.3.4.13.4. 対象サーバにSCP接続して収集

マネージャーサーバ⇒対象サーバ

ポート番号

用途

TCP22

ssh (ログの収集)

ICMPエコー要求の受信許可

対象サーバ追加時Pingチェック

※チェックを行う場合のみ必要

2.3.4.14. Amazon FSx for Windows File Server

マネージャーサーバ⇒対象サーバ(FSx)

ポート番号

用途

TCP445

SMB (フォルダーの監査設定)

ICMPエコー要求の受信許可

対象サーバ追加時Pingチェック

※チェックを行う場合のみ必要

マネージャーサーバ⇒AWS

ポート番号

用途

HTTP443

SSL/TLS (ログの収集)

2.3.4.15. Amazon FSx for NetApp ONTAP

マネージャーサーバ⇒対象サーバ(FSx)

ポート番号

用途

TCP445

SMB (イベントログの収集、フォルダーの監査設定)

TCP22

ssh (監査ポリシー設定など)

ICMPエコー要求の受信許可

対象サーバ追加時Pingチェック

※チェックを行う場合のみ必要