4. Webコンソール

4.1. Webコンソールの概要

本章ではALog に用意されているWebコンソールの機能概要を説明します。

4.1.1. メニューバー

ALog Webコンソールでは、細かな条件を指定した検索やレポート出力、アクセスログの出力先変更など、さまざまな設定を行うことができます。

メニューバーとそれぞれの機能の概要は以下のとおりです。

項目	概要
ホーム	ホーム画面では、ダッシュボードを作ることができる
検索	ログ検索画面を表示する ログ検索画面では、データベースに格納したアクセスログを検索することができる
レポート/アラート	レポート/アラート画面を表示する レポート/アラート画面では、指定した条件でのアクセスログのレポート作成やファイル出力、アラートの設定などを行うことができる
リスクスコアリング	※リスクスコアリング機能使用時にメニュー表示 リスクスコアリング画面では、機械学習の技術によって計算された「普段と異なる行動」レポート結果を確認することができる
WorkTime	※WorkTimeライセンス適用時にメニュー表示 WorkTime画面では、アクセスログのログオン/ログオフ状態から作成された勤怠データを確認することができる
管理	管理画面を表示する 管理画面では、ALogの状態の確認や、データベースの設定など、ALogの管理に必要な操作を行うことができる
ヘルプ	ヘルプ画面を表示する ヘルプ画面では、バージョン情報やサポート情報、ドキュメントを確認することができる
ログインユーザー名	ログインユーザーメニューを表示する ログイン中のユーザーのパスワード変更、ログアウトを行うことができる

4.2. ホーム画面

4.2.1. ダッシュボード

ホーム画面では、ログインアカウント毎にダッシュボードを作成することができます。

• ダッシュボードは複数ボード作成可能、ダッシュボード切り替えは右上プルダウン

• 1つのダッシュボード内には、最大24個のパネルを設置可能

• 右上の[＋]ボタンからダッシュボードやパネルを追加する

• パネルの位置、大きさなどはユーザーが自由に調整可能

• レポート結果は右上の日付やボタンなどで切り替え可能

ヒント

ダッシュボードはChrome、Edge(chromium)が最も快適に動作します。IE11は表示に時間がかかる傾向があります。

4.2.2. 追加メニュー

「ダッシュボードの追加/削除」「パネル追加」は画面右上の[＋]ボタンからできます。

表 4.1 ダッシュボードを追加・削除

項目	概要
ダッシュボードを追加	新たにダッシュボードを追加する ダッシュボード名を入力して作成可能 「初期プリセットで登録」 する機能もある
ダッシュボードを削除	追加メニュー画面を開いたときに選択したダッシュボードを削除する ダッシュボードが1つのみのときは削除できない

表 4.2 パネルを追加

項目	概要
レポートグラフ	レポートのグラフを表示するパネル レポートはパネル追加後に選択する
リスクスコア分布	リスクスコアリングのレポートグラフを表示するパネル レポートはパネル追加後に選択する
未確認のシステムアラート	未確認のシステムアラート件数を表示するパネル 件数をクリックするとシステムアラート内容を確認できる
ディスク使用率	ALogをインストールしたドライブのディスク使用率を表示するパネル
ライセンス	登録したライセンスの情報を表示するパネル ALog EVAのライセンスが登録されている場合、当日/前日分の変換ログ量も表示する
お気に入りのレポート	お気に入り(★)設定したレポートの結果をワンクリックで開けるパネル パネル内で検索できる
保存した検索条件	保存した検索条件をワンクリックで実行できるパネル パネル内で検索できる

ヒント

ログインアカウントに設定された権限により追加できるパネルの種類には違いがあります。

---

4.3. ログ検索

アクセスログの検索は、「検索」画面から行います。

「検索」画面は、メニューバーの[検索]をクリックすることで表示されます。

4.3.1. 検索画面の基本的な使い方

1. 検索画面を開くとその時点で検索できるデータを検索し、降順で表示している

• スクロールすると古いログを100件ずつロードする

• タイトルバーをクリックするとソート順を変更できる

• [今日](初期値)と表示されたボタンから日時指定ダイアログで検索日時が変更できる

• PDF/CSV出力ボタンをクリックするとファイル出力ができる(PDFの場合最大10,000件まで)

2. 検索したいキーワードを検索ボックスに入力し、[Enter]キーもしくは「検索」ボタンを押す

検索ボックスを使用すると、どのカラムに入っているかわからないキーワードをまとめて検索できる。

例えば、「DELETE」が含まれるログを検索する場合、 DELETE と検索ボックスに入力する。

このようにカラム名(列名)を指定せずに入力したキーワードは、部分一致検索で実行されるため、入力した文字列がどのカラムにあってもヒットする。

• 特定のカラムにある情報を検索したい場合は、 ClientIP:10.249.2.1 というようにカラム名をつけて検索する

• カラム名入力のためサジェスト機能が用意されており、一部を入力すると候補が表示される

• カラム名を付けた場合は完全一致検索となるため、必要に応じて先頭や末尾にワイルドカードをつける (例 対象:*機密*、ClientIP:10.249.2.* )

ヒント

検索ボックスは、簡単な使い方もできますし、より複雑な指定をすることもできます。詳細は「検索ボックスの使い方」を参照してください。

3. 検索結果から特定の文字列を見つけたい場合はマーカーアイコンをクリックして文字列を入力、[Enter]キーを押す

• 入力した文字列をマーカー(ハイライト)するため見つけやすくなる

• 複数の文字列を指定したい場合はスペース区切りで指定する

• 正規表現を使用できる

4. 検索結果からさらに絞り込みたい場合、右クリックメニューを活用する

• 検索結果のセルを右クリックすると、そのセルで使える絞り込み条件が表示される

• 時刻の条件を選択すると、日時指定ダイアログ内のユーザー指定範囲に反映される

• 時刻以外の条件を選択すると、検索ボックスに追加される

5. 前回と同じ検索をしたい場合は、時計アイコンをクリックして履歴を呼び出す

• 検索ボックス内で[↓]キーでも呼び出せる

• 履歴はログインアカウント-ブラウザ毎に100件保持される

6. その他のメニューは左メニューを開いて使用する

• 検索ボックスでは検索しにくい場合、左メニュー[フィルター追加]から検索したいカラムを追加し、キーワードを指定して検索する

• 日付指定は検索ボックス側のダイアログと連動しているのでどちらで設定しても良い

• [表示項目]で検索結果の表示をカスタマイズ可能

• [検索条件保存]では、検索ボックスも左メニューの指定もまとめて保存でき、[保存している検索条件]で呼び出し検索ができる

• 左メニューのその他情報は 「左メニューの使い方」 を参照

ヒント

検索ボックスを含め指定している検索条件は「クリア」ボタンでクリアできます。

ヒント

指定した検索条件は、完全一致で検索しますが、「*（アスタリスク）」を利用することで、部分一致での検索が可能です。 大文字と小文字は区別しません。

4.3.2. 左メニューの使い方

4.3.2.1. 各フィルター項目の設定方法（対象とする/ 除外する、AND/OR）

項目ごとに[対象とする]と[除外する]がありますので、目的に合わせて入力します。 それぞれの項目において複数指定する場合は、改行すると入力ボックスが広がります。 複数指定したら、それぞれをAND条件で検索するかOR条件で検索するかを決定します。

詳しい説明は、「条件設定のボックスの使い方(AND/OR)」を参照してください。

4.3.2.2. 条件タブについて

条件タブは複雑な検索を行うための機能です。

多くのケースは1つのタブで検索することができます。最大で5つの条件タブが作成できます。

詳しい説明は、「条件タブの使い方」を参照してください。

4.3.2.3. フィルター追加項目

フィルターとして追加できる項目は以下のとおりです。 項目は登録したライセンスにより異なります。

項目	説明
表示名	AD連携で取得したユーザー情報に登録されている表示名
グループ名	[管理]-[AD連携]で登録したグループ名。グループが登録されていない場合、この項目は表示されない
曜日	検索の対象とする曜日。詳細はレポート側の解説「フィルター「曜日」-「休日の扱い」」を参照
しきい値	検索の対象となるアクセスログの行数。検索を集計した結果に対してしきい値による絞り込みを行う。詳細はレポート側の解説「フィルター「しきい値」」を参照
AppName	操作を実行したアプリケーション名
AuditUser	ユーザーがsudoやsuを行った場合の、最初にログインしたユーザー名
AuthType	認証の種類 - Kerberos = Kerberos認証 - NTLM = NTLM認証
ClientIP	操作を実行したクライアントPC もしくは接続先PC のIP アドレス
ClientName	操作を実行したクライアントPC もしくは接続先PC のコンピューター名
Count	ログ変換処理によってマージされたイベントログ（生ログ）のレコード数 ※イベントログの特性として、ユーザーによる1回の操作に対し、同じ内容を示すログレコードが複数行出力されることがあり、ALogでは、「ユーザー」、「サーバ」、「対象」および「詳細（Countを除く）」が同じログレコードにおいて、5秒以内に同じ「操作」のレコードが連続して発生した場合、これらを1レコードにマージしている
CurrentDir	コマンドを実行したときのカレントワーキングディレクトリ
DB	アクセスしたデータベース名
DBID	接続したデータベースのデータベースID
ErrorCause	for Windows：認証失敗の理由 for Linux：認証だけでなく、各操作の失敗の理由
EventID	操作が記録されたWindowsイベントログID
LogonType	ログオン処理の種類 - RemoteInteractive = リモートデスクトップ接続 - Script = ログオン/ログオフスクリプトのログである場合 　※Windowsで定義されているログオンタイプと完全に一致するものではない
OSUser	データベース接続時にOSへのログオンに利用したユーザーアカウント名
Pages	印刷対象となったページ数（印刷部数、印刷枚数は出力されない）
Printer	印刷を行ったプリンター名
Protocol	「SMB」以外の通信プロトコル名
RowCounts	SELECTコマンド実行時にヒットしたレコード件数
Schema	アクセスしたデータベーススキーマ名
SesId	データベース接続時のセッションID
To	ファイル・フォルダーの名前変更/移動/コピー操作を行った場合の、RENAME/COPY/MOVE後ファイル・フォルダーのパス
Tty	レコードに紐づけられた仮想コンソール名（Tty名）
Zone	アクセスゾーン名

ヒント

「グループ名」は[管理]-[AD連携]で登録したグループ名です。ドメインまたはローカルのグループアカウントを直接指定はできません。

4.3.3. 検索ボックスの使い方

4.3.3.1. 概要

クエリ形式で検索したい条件を指定することができます。

ここで入力した値は、左メニューで指定した条件とAND結合されます。

長文を入力する場合、検索ボックスの中で Shift + Enter を入力することで改行することができます。

4.3.3.1.1. 検索ボックスでのクエリ記述例

検索ボックスでのクエリの記述例を記載します。 文法は後述します。

時刻:<=2021-04-21T20\:12\:30 ユーザー:(*User-Name OR *User-Name-2)

(時刻が 2021-04-21T20:12:30 以下である)かつ (ユーザーが User-Name または User-Name-2 に後方一致する)

時刻:{* TO 2021-04-21T20\:12\:30} ユーザー:(*User-Name OR *User-Name-2)

(時刻が 2021-04-21T20:12:30 未満である) かつ (ユーザーが User-Name または User-Name-2 に後方一致する)

User-Name READ

(いずれかの項目にUser-Nameに部分一致する文言がある) かつ (いずれかの項目にREADに部分一致する文言がある)

*IP*:192.168.0.1 OR NOT サーバ:Tokyo_server

(IPを含む項目に 192.168.0.1 がある) または ( サーバが Tokyo_server でない)

_missing_:ユーザー サーバ:Osaka_server

(ユーザーの値が空である) かつ ( サーバが Osaka_server である)

test1 AND test2 OR test3

(いずれかの項目に test1 に部分一致する文言がある かつ いずれかの項目に test2 に部分一致する文言がある) または (いずれかの項目に test3 に部分一致する文言がある)

4.3.3.2. 文法

4.3.3.2.1. 項目の指定方法

以下のように項目名と値をコロン( : )で結合することで、項目名を指定することができます。

項目名:値

項目名を省略することも可能です。省略した場合、全ての項目に対して部分一致検索が行われます。

項目名にアスタリスク( * )をワイルドカードとして使用することができます。

ワイルドカードにより複数の項目が対象になる場合は、各項目はOR結合されます。

例

ABC*:Login

ABC で始まる全ての項目について、値が Login に完全一致するログがヒットします。

4.3.3.2.2. 値の指定方法

4.3.3.2.2.1. 項目名を指定するとき

値は完全一致で検索されます。

アスタリスク( * )をワイルドカードとして使用することができます。

アスタリスクをエスケープしたい場合は、 ** とする必要があります。

例

ユーザー:Value

ユーザーの値が Value に完全一致するログがヒットします。

ユーザー:*Value

ユーザーの値が Value に後方一致するログがヒットします。

ユーザー:Value*

ユーザーの値が Value に前方一致するログがヒットします。

ユーザー:*Value*

ユーザーの値が Value に部分一致するログがヒットします。

4.3.3.2.2.2. 項目名を指定しないとき

値が全項目に対して部分一致検索されます。この場合のみ、両端のアスタリスク(*)は無視されます。

4.3.3.2.3. 比較演算子

4.3.3.2.3.1. 大なり小なり

以下の形式で大なり小なり、以上以下が指定可能です。

項目:>値

項目:>=値

項目:<値

項目:<=値

値には整数と以下の形式のDateTime型またはTime型の文字列を使用することができます。

DateTime型

以下の形式が指定可能です。

yyyy/M/d

yyyy-M-d

yyyy-M-dTH\:m\:s

ここで、各記号の意味は以下の通りです。

yyyy ..西暦

M ..月

d ..日

H ..時間

m ..分

s ..秒

Time型

以下の形式が指定可能です。

H\:m\:s

ここで、各記号の意味は以下の通りです。

H ..時間

m ..分

s ..秒

例

時刻:<=2021-04-21T20\:12\:30

時刻が 2021-04-21T20:12:30 以前であるログがヒットします。

時刻:>20\:12\:30

時刻の時間部分が 20:12:30 より後であるログがヒットします。

Count:>5

Count の値が5より大きいログがヒットします。

*:>5

全ての数値型項目うち、少なくとも一つの値が5より大きいログがヒットします。

ヒント

詳細項目で数値型、DateTime型、Time型の比較をしたい場合、あらかじめ詳細キータイプ設定を作成しておく必要があります。

詳しい説明は、「詳細キータイプ設定」を参照してください。

4.3.3.2.3.2. 範囲指定

以下の形式で範囲指定が可能です。

項目:[値1 TO 値2]

項目:{値1 TO 値2}

[] は境界を含み、 {} は境界を含みません。

値には整数、DateTime型、Time型、及び指定なしの意味でアスタリスク( * )が使用可能です。

例

時刻:[* TO 2021-04-21T20\:12\:30]

時刻が 2021-04-21T20:12:30 以前であるログがヒットします。

時刻:{20\:12\:30 TO *}

時刻の時間部分が 20:12:30 より後であるログがヒットします。

Count:{5 TO *}

Count の値が5より大きいログがヒットします。

*:{5 TO *}

全ての数値型項目うち、少なくとも一つの値が5より大きいログがヒットします。

ヒント

詳細項目で数値型、DateTime型、Time型の比較をしたい場合、あらかじめ詳細キータイプ設定を作成しておく必要があります。

詳しい説明は、「詳細キータイプ設定」を参照してください。

4.3.3.2.4. 論理演算子

4.3.3.2.4.1. AND(かつ)

AND または && で条件を結合することで、両方の条件を同時に満たすログをヒットさせることができます。

演算子を省略した場合もAND結合になります。

結合はANDの方がORよりも優先されます。

例

test1 AND test2

test1 && test2

test1 test2

いずれも test1 を含み、かつ test2 を含むログがヒットします。

4.3.3.2.4.2. OR(または)

OR または || で条件を結合することで、どちらか一方の条件を満たすログをヒットさせることができます。

結合はANDの方がORよりも優先されます。

例

test1 OR test2

test1 || test2

いずれも test1 を含むか、 test2 を含むログがヒットします。

4.3.3.2.4.3. NOT(否定)

NOT を条件の前に付けることで、条件を満たさないログをヒットさせることができます。

例

test1 NOT test2

test1 を含み、かつ test2 を含まないログがヒットします。

4.3.3.2.5. グループ化

4.3.3.2.5.1. 条件のグループ化

() で複数の条件をくくることで、条件単位でグループを指定することができます。

グループ化された条件は優先順位が上がり、先に評価されます。

例

test1 AND (test2 OR Test3 AND test4)

test2 OR Test3 AND test4 部分が先に評価されます。

4.3.3.2.5.2. 項目の値のグループ化

項目の値を () でくくることで、一つの項目に対して複数の条件を同時に指定することができます。

例

testItem:(test1 test2)

項目 testItem の値が test1 かつ test2 であるログがヒットします。

testItem:(test1 OR test2)

項目 testItem の値が test1 または test2 であるログがヒットします。

4.3.3.2.6. 項目の存在判定

4.3.3.2.6.1. _exists_

以下のように _exists_ と項目名をコロン( : )で結合することで、項目が存在し、かつその値も存在するログのみをヒットさせることができます。

項目名にアスタリスク( * )をワイルドカードとして使用可能です。ワイルドカードにより複数の項目が対象になる場合は、各項目はOR結合されます。

_exists_:項目名

例

_exists_:ClientName

項目 ClientName が存在し、その値が空でないログがヒットします。

_exists_:Client*

Client で始まる項目の少なくとも一つについて、項目が存在し、その値が空でないログがヒットします。

4.3.3.2.6.2. _missing_

以下のように _missing_ と項目名をコロン( : )で結合することで、項目が存在しないか、その値が空であるログのみをヒットさせることができます。

項目名にアスタリスク( * )をワイルドカードとして使用可能です。ワイルドカードにより複数の項目が対象になる場合は、各項目はOR結合されます。

_missing_:項目名

例

_missing_:ClientName

項目 ClientName が存在しないか、その値が空であるログがヒットします。

_missing_:Client*

Client で始まる項目の少なくとも一つについて、項目が存在しないか、その値が空であるログがヒットします。

4.3.3.2.7. 特殊文字

以下の特殊記号を文字列として検索したい場合は、バックスラッシュ( \ )を特殊記号の前に使用するか、ダブルクォーテーション( " )でくくる必要があります。

+ - ! ( ) { } [ ] ^ " ~ :

以下の特殊記号を文字列として検索したい場合は、ダブルクォーテーション( " )でくくる必要があります。

&& || スペース

また、アスタリスク( * )をエスケープしたい場合は、 ** と指定する必要があります。

上記の特殊記号以外の前に出現したバックスラッシュ( \ )は文字列として解釈されます。

例

\(1\+1\)\:2

(1+1):2 という文字列を含むログがヒットします。

"A && B || C"

A && B || C という文字列を含むログがヒットします。

ヒント

スペースのみの検索は出来ません。

4.3.4. その他の検索画面の使い方

4.3.4.1. 表示名やグループ設定で表示/検索する

AD連携機能によってユーザー情報を取得している環境では、ユーザー検索をアカウント名(ドメイン名\ユーザー名)ではなくADに登録された氏名(表示名)で検索することができます。

また、「AD連携」でグループを設定している場合にはグループ単位での検索もできます。

• 表示項目として「表示名」「グループ名」を指定した場合、以下のように検索結果に表示されます。

• フィルター項目の中から「表示名」や「グループ名」を追加すると、指定するためのボックスが追加されます。「表示名」はそのまま入力し、グループ名は[選択]ボタンから登録済みのグループを選択してフィルターします。

ヒント

表示名に漢字の氏名が表示されるためには、AD内に漢字の氏名が登録されている必要があります。

4.3.4.2. 対象レポートからレポート設定の条件を指定して検索する

「対象レポート」のプルダウンよりレポート設定を選択することで、レポート設定と同条件での検索が簡単に行えます。

レポート設定が1つ以上登録され、レポート参照権限のあるユーザーでログインした場合に使用できます。

4.3.4.3. 検索画面で設定した条件でレポートを作成する

検索結果エリア上部の「レポート設定登録」ボタンをクリックすると、その時点の検索条件を引き継いでレポートを作成することができます。

レポート独自の設定があるため、プレビューで確認しながら「表示形式」や「集計キー」を選択して登録します。

4.3.4.4. 検索結果から右クリックで表示項目を追加する

検索結果の詳細カラムを右クリックした際のメニューに「表示項目」への追加メニューがあります。

選択すると、「表示項目」に追加された状態で検索結果が表示されます。

4.3.4.5. 表示項目の設定を維持したままのPDF/CSV出力

「表示項目」で項目を追加したり順番を変更したりした状態のまま、右上のボタンからPDFやCSVの出力が可能です。

注意

アクセスログの基本的な項目順は["時刻","ユーザー","サーバ","対象","操作","詳細"]です。 表示項目の順番を変更した結果の出力CSVファイルを過去ログインポートすることはできません。

---

4.4. レポート/アラート

[レポート/アラート]画面では、ALogによって作成されたアクセスログをレポートの形式にして活用していくことができます。

レポートは、Webコンソール上で確認できるほか、PDFやCSV形式で出力したりメールで受け取ったりすることができます。

4.4.1. レポート/アラート機能とは

[レポート/アラート]画面には、レポート機能とアラート機能があります。

それぞれについて以下に説明します。

リスクスコアリング機能については「リスクスコアリングを使う」を参照してください。

機能名	機能紹介	関連するタスク
レポート機能	- 日次/週次/月次の単位でレポートを作成する機能 - レポートの設定画面で「レポート」にチェックを入れることで有効になる - まとまった単位でアクセスログの出力結果を確認したい場合に適している	レポートタスク
アラート機能	- 指定した条件のアクセスログを検知し、そのログを抽出してメール送信/画面表示する機能 - レポートの設定画面で「アラート」にチェックを入れることで有効になる - ALogのデータベースへのインポートが行われる都度、該当するアクセスログが含まれているかチェックを行うため、より早く問題行動などを管理者が把握することができる	インポートタスク

4.4.2. レポートの作成～結果確認

レポート設定の作成方法と、結果の確認方法を説明します。

4.4.2.1. レポート設定の作成

1. [新規作成]ボタンをクリックする

2. [新規作成-テンプレート選択]画面で作成したい内容にあわせてテンプレートを選択する

左側でカテゴリを選択し、右側でテンプレートを決定する

ヒント

テンプレートはプリセットされているほか、サポートサイトからダウンロードしたものを管理画面でインポートして追加できます。

3. レポート設定の編集ダイアログでレポート条件などを設定する

例:監視レポート - 「ログオン失敗」 　　操作「LOGON-Failure」が選択されているテンプレート
変更の例 監視したいサーバを限定する場合はフィルター追加から「サーバ」を追加しサーバ名を入力する 「ファイル出力」からPDF出力を有効化する 「メール通知」からアラートメールを有効化する

4. [プレビュー(レポート)]をクリックし、現在の条件でどのようなレポートができるか確認し、[OK]ボタンをクリックする

この時点で、集計項目やグラフのイメージ、詳細の表示項目などを確認し、目的にあった設定に調節する

サマリー	詳細

ヒント

プレビューはレポート設定をわかりやすく行うための機能であり、件数等は実際のレポート作成結果とは必ずしも一致しません。

ヒント

プレビュー機能は、その時点でデータベースに格納されているアクセスログを対象にして動作します。 サマリーのプレビューでは、アクセスログの2000件までを処理の対象として表示します。

5. レポートの一覧画面に作成したレポート設定が表示されることを確認する

4.4.2.2. レポートテンプレートの種類について

あらかじめ用意しているテンプレートを説明します。

以下の中からレポートしたい内容に最も近いテンプレートを選び、特定のユーザーやファイルなど任意の設定を追加することで、レポートの設定をします。

カテゴリ	説明
標準テンプレート	ALogでレポートを使っていくにあたって簡単に設定できるシンプルなテンプレート群
基本監査パック	ADサーバ/ファイルサーバ/DBなど、用途に合わせた具体的な監査を想定したテンプレート群
サイバー攻撃自動検知パック	サイバー攻撃自動検知用に具体的な検知項目を想定したテンプレート群 プリセットはされていないため、使用したい場合はサポートサイトからダウンロードし、管理画面からインポートする
Microsoft 365 パック	Microsoft 365向けに具体的な監査項目を想定したテンプレート群 プリセットはされていないため、使用したい場合はサポートサイトからダウンロードし、管理画面からインポートする

【標準テンプレート】

グループ	テンプレート名	説明	形式
集計	時間別アクセス	サーバに対する日/週/月ごとのアクセスの推移をレポートとして作成する	時系列
	ファイルアクセスランキング	アクセスログの「対象」欄をキーとしてランキングを作成する	ランキング
	サーバアクセスランキング	アクセスログの「サーバ」欄をキーとしてランキングを作成する	ランキング
	ユーザーアクセスランキング	アクセスログの「ユーザー」欄をキーとしてランキングを作成する	ランキング
	新規作成	条件指定のないテンプレート。すべての設定項目を任意に指定したい場合に使用する	ランキング
監視	ログオン失敗	ログオン失敗を示す操作「LOGON-Failure」を条件とし、それに該当するアクセスログを「ユーザー」欄をキーとしてカウントし、レポートを作成する	ランキング
	ファイルの読込	ファイルの読込を示す操作「READ」を条件とし、それに該当するアクセスログを「ユーザー」欄をキーとしてカウントし、レポートを作成する	ランキング
	土日のアクセス	曜日「土日」、アクセスを示す操作「READ」を条件とし、それに該当するアクセスログを「ユーザー」欄をキーとしてカウントし、レポートを作成する	ランキング
	夜間のアクセス	時間帯「22:00-6:00」、アクセスを示す操作「READ」を条件とし、それに該当するアクセスログを「ユーザー」欄をキーとしてカウントし、レポートを作成する	ランキング
	新規作成	条件指定のないテンプレート。最初から指定したい場合に使用する	ランキング
既存のレポートからコピーして作成	(初期はなし)	作成したレポート設定をコピーし、レポート設定の一部を変更して使いたい場合に使用する	-

【基本監査パック】

用途	説明
ADサーバ	ADサーバ向けに具体的な監査項目を想定したテンプレート
ファイルサーバ	ファイルサーバ向けに具体的な監査項目を想定したテンプレート
DB	データベース向けに具体的な監査項目を想定したテンプレート

ヒント

サポートサイトからダウンロードしたテンプレートデータは、管理画面の「設定のインポート/エクスポート」からインポートします。 詳細は 設定のインポート/エクスポート を参照してください。

4.4.2.3. レポート結果の確認をするには

レポート設定を作成後、目的通りにレポーティングされるか結果の確認をする前に別のタスク実行が必要となります。

「レポートタスク」を実行して「レポートの結果確認」、「インポートタスク」を実行して「アラートの結果確認」をしてください。

• 日々のレポート作成について

• 毎日のレポート作成は、「レポートタスク」のスケジュール実行によって行われる

• レポートのファイル出力やメール送信は、「レポートタスク」が実行されたタイミングで行われる

• レポート設定の作成を行っただけではレポートは作成されない

• すぐにレポート結果を確認したい場合

• 一覧画面の「操作」から「再作成」機能を使用する

• 再作成処理ではメール送信は行わない

• レポートの設定を編集した場合も、再作成を実行して再集計を行う

• アラートの確認について

• 「インポートタスク」の実行後に可能

• 「レポートタスク」や「再作成」ではアラート機能は動作しない

これらの処理を行ったあと、レポート一覧画面の「レポート名」をクリック、もしくは「未確認アラート」の列のリンクから結果ダイアログを開くことで結果を確認することができます。

詳細は「レポート/アラート結果の確認」を参照してください。

ヒント

レポート/アラートはALogのデータベースにインポートされたアクセスログを基に作成します。 データベースにインポートされたアクセスログがない場合、レポート作成は行われません。

4.4.3. レポート一覧画面の使い方

レポート一覧画面の使い方を説明します。

この画面から、新規作成、編集、結果確認、各種操作がまとめて行えます。

一覧画面の項目は以下のとおりです。

エリア	説明
レポート設定一覧エリア	作成したレポート設定を一覧で表示する。詳細は「レポート設定一覧エリア」を参照
新規作成	レポート設定を新規作成するためのボタン
フィルター/フィルター解除	レポート設定の一覧をフィルターする機能 「フィルター」ボタンをクリックするとフィルターメニューが開く 「フィルター解除」ボタンをクリックするとフィルターが解除される 詳細は「フィルター」を参照
確認済みにする	複数のレポートの「未確認アラート」を一括で確認済みにしたい場合に使用する。一覧の左側にあるチェックボックスで複数レポートにチェックを入れてから「確認済みにする」ボタンをクリックすることで、一括操作が可能
操作	レポート設定の削除、再作成、編集ができる。チェックボックスを利用することで一括操作が可能。詳細は「操作」を参照
更新	レポート一覧を最新の状態に更新する

4.4.3.1. レポート設定一覧エリア

表になっているレポート設定一覧エリアについて説明します。

項目	説明
チェックボックス	チェックボックスにチェックを入れたレポートに対し、各種一括操作が可能 すべてのレポートを選択したい場合は、タイトル行にあるチェックボックスをクリックする
お気に入り	☆をクリックすることでレポート設定をお気に入りに登録することが出来る お気に入りに登録すると、ホーム画面からのショートカット表示、フィルターでの絞り込み、レポート表示ダイアログへのショートカット配置が可能 お気に入りの設定はユーザー毎に保持される
レポート名	レポート名を表示する。クリックすると、日次/週次/月次のレポート表示ダイアログが表示される 「レポート」機能にチェックがついているとレポート名がクリック可能になる。 「アラート」機能のみが有効なレポート設定は、レポート名はリンクにならない
概要説明	レポートの概要説明を表示する
未確認アラート	レポート設定で「アラート」機能をONにしていた場合に、条件にヒットするアクセスログが検知されると「未確認あり」と表示する。 「未確認あり」をクリックすると、ヒットしたアクセスログを確認するためのダイアログが開く
最終更新日時	レポートもしくはアラートいずれかの最終更新日時を表示する
状態	レポート設定の「状態」が有効になっている場合に✔がつく
有効な機能	レポート設定の「機能」で「レポート」「アラート」「リスクスコアリング」それぞれチェックを入れ、有効にした場合、アイコンが強調される
PDF出力	レポート設定の「ファイル出力」で「PDF出力」が有効になっている場合に✔がつく
CSV出力	レポート設定の「ファイル出力」で「CSV出力」が有効になっている場合に✔がつく
メール通知	レポート設定の「メール通知」が有効になっている場合に✔がつく
編集	クリックすると編集ダイアログを開く

4.4.3.2. フィルター

レポート一覧から目的のレポートを探しやすくするための機能です。

項目	説明
お気に入り	お気に入りに設定したレポート設定のみに絞り込む
未確認のみ	未確認のアラートがあるレポート設定のみに絞り込む
レポート名	入力したキーワードを含むレポート設定のみに絞り込む

4.4.3.3. 操作

一覧でチェックボックスにチェックを入れた複数のレポート設定をまとめて操作するための機能です。

(レポート再作成画面)

項目		説明
削除	－	選択したレポート設定をまとめて削除する
再作成	－	レポートを、現在のレポート設定、現在のデータベースの状態で再作成する。設定を編集した後や、過去ログインポートしたデータに対するレポート作成等で使用する 再作成する期間はダイアログで指定できる 再作成実行中にダイアログを閉じても、改めて再作成ボタンを押すことで進捗状況を確認することが可能
編集	状態	選択したレポート設定の状態を一括で切り替える
	PDF出力	選択したレポート設定のPDF出力設定を一括で切り替える
	CSV出力	選択したレポート設定のCSV出力設定を一括で切り替える
	お気に入り	選択したレポート設定のお気に入り設定を一括で切り替える

ヒント

編集画面で設定できない内容は操作メニューからも設定できません。 アラート機能のみ有効なレポート設定に対してはPDF出力/CSV出力は設定できません。

4.4.4. 新規作成/編集ダイアログの使い方

レポート設定を新規作成、編集する際は新規作成/編集ダイアログから行います。

設定できる項目は、テンプレート内の「機能」項目の選択（レポート/アラート）によって決まります。 集計レポート/監視レポートどちらのテンプレートから進んでも設定できる項目に違いはありません。

項目	説明
基本設定	レポート設定としての基本的な設定やレポート条件をメイン画面で設定する
条件タブ	複雑な検索を行いたい場合に条件タブを追加する
プレビュー(レポート)	設定中の設定値でレポート結果をプレビューする
プロパティ	レポートのプロパティを確認する
ファイル出力	ファイル出力の設定を行うダイアログを表示する
メール通知	メール通知の設定を行うダイアログを表示する
詳細設定	レポートに関わる細かな設定を行うダイアログを表示する
高度な設定	複雑な設定を行う「高度な設定」は、通常はチェックOFFになっている チェックを入れると「レポートの詳細設定」や「しきい値の詳細設定」など、細かい条件を指定するためのメニューが表示される 「アラート」機能がONの場合、「外部連携」ボタンも表示される

各設定項目の機能ごとの機能差と説明は以下のとおりです。

■基本設定

項目	レポート	アラート	説明
状態	○	○	レポート設定を有効にするか、無効にするかを設定する
機能	○	○	レポート機能、アラート機能の使用有無を指定する ※「リスクスコアリング」にチェックをつける場合は、「リスクスコアリングを使う」を参照
レポート名	○	○	レポートの名称を指定する
概要説明	○	○	レポートの概要を記載する
レポートの詳細設定	○	－	新規作成/編集ダイアログの下部に表示されている「高度な設定」にチェックを入れた場合に表示される。集計レポートの「新規作成」からレポートを作成した場合のみ、ダイアログ表示時からチェックが入る
レポートの詳細設定 表示形式	○	－	「高度な設定」ON時の機能 「ランキング」か「時系列」を選択する。初期状態では選択したテンプレートの内容に合わせて推奨の表示形式が選択される。詳細は「[高度な設定]の使い方」を参照
レポートの詳細設定 集計キー	○	－	「高度な設定」ON時の機能 レポートとして集計したいキーを指定する。初期状態では選択したテンプレートの内容に合わせて集計キーが選択される。詳細は「[高度な設定]の使い方」を参照
レポートの詳細設定 集計方法	○	－	「高度な設定」ON時の機能 「アクセスログの行数をカウントする」か「特定項目を合計する」を選択する。詳細は「[高度な設定]の使い方」を参照
レポートの詳細設定 XX毎の出力件数	○	－	「高度な設定」ON時の機能 集計キーの設定において第3キーを設定した場合のみ表示される。第2キーに設定した項目の名前が入って表示される。第2キー毎に出力する件数を指定する。詳細は「[高度な設定]の使い方」を参照
出力件数	○	－	ランキング形式の場合に表示される ランキング上位何件を出力するかを指定する
ユーザー	○	○	レポート対象とするユーザー名を指定する
対象	○	○	レポート対象とするファイル名やフォルダー名を指定する
操作	○	○	レポート対象とする操作を指定する
クエリでフィルター	○	○	クエリ形式で検索したい条件を指定する。入力方法は「検索ボックスの使い方」を参照
項目でフィルター	○	○	アクセスログの項目単位の条件（「曜日」など）を追加する場合に指定する。詳細は「フィルター追加項目」を参照
グラフ種別	○	－	レポート内に表示するグラフ種別（棒、円、なし）を指定する。「時系列」のグラフについては、折れ線グラフの指定もできる
参照可能ユーザー	○	○	レポートを参照可能とするユーザーを指定する

■プレビュー(レポート)

項目	レポート	アラート	説明
プレビュー(レポート)	○	－	レポートのサマリーまたは詳細をプレビューする

■プロパティ

項目	レポート	アラート	説明
作成ユーザー/作成日時	○	○	レポート設定を作成したユーザーと日時を表示する
更新ユーザー/更新日時	○	○	レポート設定を更新したユーザーと日時を表示する
検索可能範囲 　サーバ 　対象パス	○	○	Webコンソールにログイン時、管理者権限のあるアカウントでログインした場合にのみ設定変更が可能 当該レポート設定においてレポートの対象とするサーバと対象パスを指定する

注意

レポートのプロパティは、レポートを新規作成するユーザーに与えられた検索可能範囲を引き継いで作成されます。

そのユーザーに対する検索可能範囲が変更されても、レポートプロパティの検索範囲は変更されません。

■ファイル出力

項目	レポート	アラート	説明
出力対象	○	－	レポートの出力単位を指定する。日次、週次、月次が選択可能で複数選択することもできる
出力タイプ	○	－	ファイル出力するタイプを指定する。サマリー、詳細が選択可能
PDF出力	○	－	PDF出力の有効（出力する）または、無効（出力しない）を指定する
CSV出力	○	－	CSV出力の有効（出力する）または、無効（出力しない）を指定する
出力先	○	－	出力先を指定する。このレポート設定単体で別の出力先を指定する場合は個別設定を指定し、他のレポートと同じ出力先を指定する場合は、共通設定を指定する。共通設定については「レポート」を参照
自動削除	○	－	レポート（CSV/PDF出力されたファイル）の削除までの期間を指定する。前述の出力先で「共通設定」を指定している場合は、管理の「レポート」画面で設定している削除までの期間が適用される

ヒント

レポートの出力先をネットワーク上の共有フォルダーに指定できるのはALogの管理者のみです。

複数の設定で同一サーバ上に出力する設定を行う場合は、同一のアカウントを設定してください。

■メール通知

項目	レポート	アラート	説明
件名	○	○	メール通知で送信されるメールの件名を指定する
送信元アドレス	○	○	メール通知の際に使用する送信元メールアドレスを指定する
送信先アドレス	○	○	メール通知で送信されるメールの送信先メールアドレスを指定する
テスト送信	○	○	入力した設定でメール送信ができるかテストする
レポート 通知対象	○	－	メール通知のレポートの単位を指定する 日次、週次、月次が選択可能で複数選択することもできる
レポート メール本文	○	－	メール本文の編集、レポート名/URLの付与を指定する
レポート ファイル添付	○	－	メール通知の際、レポートを添付するかを指定する サマリー、詳細、またはそのどちらもの選択が可能
アラート 通知対象	－	○	レポート機能とアラート機能を同時に有効にした場合にのみ表示される アラート機能のみ有効時は、非表示だが有効状態になる アラート機能で該当するアクセスログがあった際にメール通知する、しないを設定する
アラート メール本文	－	○	アラートメール本文の編集、レポート名/URLの付与を指定する
アラート ファイル添付(PDF)	－	○	アラート機能によるメール通知の際、レポートを添付するかどうかを指定する
アラート 通知条件	－	○	アラート機能によるメール通知の条件を指定する 「初回のみ通知」の場合、前回までのアラートが確認済みになっている(未確認なし)場合にメール通知する 「常に通知」の場合、前回までのアラート件数に関わらずメール通知する

■詳細設定

項目	レポート	アラート	説明
1日の区切り時間	○	－	ランキング形式の場合に表示される 通常、1日の区切り時間を「0:00」としてレポートを作成しているが、これを別の時刻に変更するための設定 「5:00」と設定した場合はその日の5:00 -翌日の4:59:59までを1日として扱う
0件レポートの作成	○	－	レポート条件に対して該当するアクセスログが0件だった場合、通常レポートは作成されない 0件の場合にもレポートを作成したい場合、本設定を有効にする 「ファイル出力」もしくは「メール通知」が有効な場合にのみ機能する
アクセスログのソート	○	○	ヒットしたアクセスログを「詳細」で確認する際のソート順を指定できる 前提条件として、日単位でのソートは必ず行われる。その後、指定したキーでのソートが行われる
アクセスログの表示項目	○	○	レポートの詳細を表示するときのアクセスログの表示項目を指定する ファイル出力にも反映される

ヒント

「1日の区切り時間」を設定した場合は、設定した時間に合わせてレポートタスクのスケジュールを調整してください。

レポートタスクの初期値である「2:00」は、「1日の区切り時間」が「0:00」となっている前提の時刻です。

例えば「1日の区切り時間」を「5:00」と設定した場合、レポートタスクは「6:00」や「7:00」ごろに設定することを推奨します。

「5:00」までのアクセスログデータを扱いたいということになりますので、5:00に発生したイベントログを収集して変換、インポートが完了したあとにレポートタスクが動作するよう設定します。

4.4.4.1. フィルター追加項目

レポートの設定において、フィルターとして追加できる項目は以下のとおりです。

項目	説明
ユーザー	ユーザー名
サーバ	監査対象のサーバ名
対象	監査の対象（フォルダー名やファイル名など）
操作	レポートの対象とする操作
曜日	レポートの対象とする曜日。詳細は「フィルター「曜日」-「休日の扱い」」を参照
時間帯	時間帯
しきい値	レポートの対象となるアクセスログの行数。詳細は「フィルター「しきい値」」を参照
表示名	AD連携で取得したユーザー情報に登録されている表示名
グループ名	[管理]-[AD連携]で登録したグループ名。AD連携でグループ設定がない場合はこの項目は表示されない
AppName	操作を実行したアプリケーション名
AuditUser	ユーザーがsudoやsuを行った際の、最初にログインしたユーザー名
AuthType	認証の種類 - Kerberos = Kerberos認証 - NTLM = NTLM認証
ClientIP	操作を実行したクライアントPC もしくは接続先PC のIP アドレス
ClientName	操作を実行したクライアントPC もしくは接続先PC のコンピューター名
Count	ログ変換処理によってマージされたイベントログ（生ログ）のレコード数 ※イベントログの特性として、ユーザーによる1回の操作に対し同じ内容を示すログレコードが複数行出力されることがあり、ALogでは「ユーザー」、「サーバ」、「対象」および「詳細（Countを除く）」が同じログレコードにおいて、5秒以内に同じ「操作」のレコードが連続して発生した場合、これらを1レコードにマージしている
CurrentDir	コマンドを実行したときのカレントワーキングディレクトリー
DB	アクセスしたデータベース名
DBID	接続したデータベースのデータベースID
ErrorCause	for Windows：認証失敗の理由 for Linux：認証失敗だけでなく、各操作の失敗の理由
EventID	操作が記録されたWindowsイベントログID
LogonType	ログオン処理の種類 - RemoteInteractive = リモートデスクトップ接続 - Script = ログオン/ログオフスクリプトのログである場合 　※Windowsで定義されているログオンタイプと完全に一致するものではない
OSUser	データベース接続時にOSへのログオンに利用したユーザーアカウント名
Pages	印刷対象となったページ数（印刷部数、印刷枚数は出力されない）
Printer	印刷を行ったプリンター名
Protocol	「SMB」以外の通信プロトコル名
RowCounts	SELECTコマンド実行時にヒットしたレコード件数
Schema	アクセスしたデータベーススキーマ名
SesId	データベース接続時のセッションID
To	ファイル・フォルダーの名前変更/移動/コピー操作を行った場合の、RENAME/COPY/MOVE後のファイル・フォルダーのパス
Tty	レコードに紐づけられた仮想コンソール名（Tty名）
Zone	アクセスゾーン名

注意

登録したライセンスによって、指定できる項目が異なります。

ヒント

グループ名は[管理]-[AD連携]で登録したグループ名です。

ドメインまたはローカルのグループアカウントを直接指定はできません。

4.4.4.2. 条件設定のボックスの使い方(AND/OR)

ユーザー欄やサーバ欄、対象欄をはじめとしたテキストボックスによる条件指定のフィルター項目では、[対象とする][除外する]の2つの入力ボックスが表示されます。

<条件の入力>

• 入力した文字列は、基本的に完全一致で検索します。

• 部分一致検索を行う場合、アスタリスク(*)をつけて指定します。

例：

[XXXX.co.jp*]　…指定したドメインのユーザーを先頭一致で検索します。

[*administrator]…指定したユーザーを後方一致で検索します。

[*機密*]…指定したキーワードを含むファイルパスをあいまい検索します。

<複数条件の入力>

• 複数条件を設定したい場合、Enterキーを入力して改行することで入力行を増やすことができます。

• 複数条件のコピー&ペーストにも対応しています。

<[対象とする]とAND/OR>

『対象とする+複数指定+OR』を選択した場合、複数条件のうち「いずれか」に該当したものをレポートします。

『対象とする+複数指定+AND』を選択した場合、複数条件の「いずれにも」該当したものをレポートします。

ケースA：「*個人情報*」と「*顧客*」を入力、「OR」を選択した場合

\\server\営業部\個人情報\xxxx	ヒットする
\\server\営業部\顧客管理\xxxx	ヒットする
\\server\サポート部\顧客data\個人情報(要削除)\xxxx	ヒットする
\\server\サポート部\社内議事録\xxxx	ヒットしない

ケースB：「*個人情報*」と「*顧客*」を入力、「AND」を選択した場合

\\server\営業部\個人情報\xxxx	ヒットしない
\\server\営業部\顧客管理\xxxx	ヒットしない
\\server\サポート部\顧客data\個人情報(要削除)\xxxx	ヒットする
\\server\サポート部\社内\議事録\xxxx	ヒットしない

<[除外する]とAND/OR>

『除外する+複数指定+OR』を選択した場合、複数条件「いずれか」に該当したものを除外してレポートします。

『除外する+複数指定+AND』を選択した場合、複数条件の「どちらにも」該当したものを除外してレポートします。

ケースC：「*個人情報*」と「*顧客*」を入力、「OR」を選択した場合

\\server\営業部\個人情報\xxxx	ヒットしない
\\server\営業部\顧客管理\xxxx	ヒットしない
\\server\サポート部\顧客data\個人情報(要削除)\xxxx	ヒットしない
\\server\サポート部\社内議事録\xxxx	ヒットする

ケースD：「*個人情報*」と「*顧客*」を入力、「AND」を選択した場合

\\server\営業部\個人情報\xxxx	ヒットする
\\server\営業部\顧客管理\xxxx	ヒットする
\\server\サポート部\顧客data\個人情報(要削除)\xxxx	ヒットしない
\\server\サポート部\社内\議事録\xxxx	ヒットする

ヒント

ケースDのように[除外する]とANDを組み合わせる場合は、必ず部分一致検索(アスタリスクを含む条件)になるよう指定してください。

4.4.4.3. 条件タブの使い方

条件タブは複雑な検索を1回で行えるようにしたものです。最大5つの条件タブを追加することができます。 タブごとに「フィルター追加」の項目は変更することが可能です。

(タブを5タブまで追加した画面)

単独のタブで検索する場合、項目間は「AND」固定で検索しています。

複数タブでは、タブ間の条件を「AND」もしくは「OR」に切り替えることが可能になります。

<タブ間をORで指定する例>

　「OR」の場合、「条件1タブの検索結果」と、「条件2タブの検索結果」を、すべてまとめてレポート対象にします。

<タブ間をANDで指定する例>

　「AND」の場合、「条件1タブの検索結果」と、「条件2タブの検索結果」をあわせたときに重複する部分をレポート対象にします。重複部分を抽出したいレポートに使用します。

ヒント

フィルター項目の中の「しきい値」、「時間帯」、「曜日」は検索結果に対し、ユニークとなるべき項目のため、条件タブの中では指定できません。

4.4.4.4. フィルター「しきい値」

しきい値のフィルターを追加すると「しきい値の間隔」フィルターも追加されます。

「しきい値の間隔」で設定した期間内に、レポートの対象となるアクセスログの行数が「しきい値」以上となる場合にレポートを作成します。

項目	設定値	説明
しきい値	回数入力	レポートの対象となる操作の回数を指定する
しきい値の間隔	1分/5分/10分/15分/30分/1時間/2時間/3時間/6時間/12時間/1日	「しきい値」で設定した値をカウントする間隔を指定する - 間隔の起点となる時間は詳細設定にある「1日の区切り時間」 - 「1日の区切り時間　7:00」、「しきい値の間隔 2時間」と設定した場合、7:00から2時間毎に区切ったまとまりで計算を行う

4.4.4.5. フィルター「曜日」-「休日の扱い」

曜日のフィルターを追加すると、「休日の扱い」フィルターも追加されます。

曜日という定義と併せて、休日をレポートの対象とするか、除外とするかを選択できます。

「休日を対象にする」、「休日を除外する」の設定は、どちらか一方を選択するものです。

項目	説明
休日を対象にする	選択した曜日に加えて、休日をレポートの対象とする 曜日を選択しない場合は、休日のみが対象となる
休日を除外する	選択した曜日から休日を除外してレポートする 曜日の選択は必須となる

<設定例>

1	2

No.	目的	設定	説明
1	休日のログをレポート対象としたい	曜日：[土、日]を選択 休日の扱い：[休日を対象にする]を選択	土日に加え、休日登録されている日がレポートの対象となる
2	営業日のみのログをレポート対象としたい	曜日：[月～金]を選択します 休日の扱い：[休日を除外する]を選択	月～金のうち、休日に登録されていない日がレポートの対象となる

ヒント

休日は[管理]-[休日・祝日設定]で確認/設定ができます。

4.4.4.6. 詳細設定 - アクセスログの表示項目

「アクセスログの表示項目」では、レポート結果「詳細」画面にてアクセスログを確認する際の項目をカスタマイズすることができます。 この設定は、Webコンソール上での確認だけでなく、レポートのファイル出力設定によってCSVやPDFを出力する際にも反映されます。 プレビューしながら設定すると便利です。

例1：サーバ欄と詳細欄は不要。かわりに詳細項目の「To」「ClientIP」「ClientName」を確認したい

例2：AD連携しているので、「表示名」と「グループ名」を同時に確認したい

ヒント

表示名に漢字の氏名が表示されるためには、AD内に漢字の氏名が登録されている必要があります。 グループ名の表示には、グループ登録が必要です。 詳しくは「AD連携」を参照してください。

4.4.5. レポート/アラート結果の確認

4.4.5.1. レポート結果ダイアログ

レポート結果ダイアログでは、レポート結果を「サマリー」もしくは「詳細」で確認することができます。

サマリー	詳細

エリア	項目	説明
左ペイン	カレンダー	表示するレポートの日付を選択する
	日次/週次/月次	レポートの単位を切り替える
	時間別/曜日別/日別	「時系列」形式のレポートのみで表示される選択肢
	お気に入りレポート	レポート一覧画面でお気に入りに設定したレポートがある場合、結果ダイアログにショートカットが表示される。ダイアログは開いたまま別のレポートの結果に切り替えることが可能
開閉バー	－	開閉バーの矢印ボタンをクリックすると、左ペインを閉じたり開いたりすることが出来る。右ペインに表示される範囲を広げたい場合に使用する
右ペイン	サマリー(グラフ/集計結果)	「サマリー」画面の場合、レポート結果をグラフと表で表示する
	詳細	「詳細」画面の場合、レポートの条件にヒットしたアクセスログを表示する
下部バー	詳細を表示	サマリー表示中に表示されるボタン クリックすると右ペインを詳細表示に切り替える
	サマリーを表示	詳細表示中に表示されるボタン クリックすると右ペインをサマリー表示に切り替える
	PDF出力	右ペインの表示内容に合わせてPDFを作成する 詳細の場合、PDFは最大10,000件までの出力となる
	CSV出力	右ペインの表示内容に合わせてCSVを作成する
	検索画面を開く	別タブで検索画面を開いて、レポート設定の条件で検索した結果を表示する

ヒント

アクセスログのソート機能を「対象」欄で設定した場合、大文字/小文字を区別します。

4.4.5.2. アラート結果ダイアログ

アラート結果ダイアログでは、条件にヒットしたアクセスログをすばやく確認することができます。

確認後は「確認済みにする」をクリックすることで、次回以降の未確認ログを確認しやすくします。

エリア	項目	説明
アクセスログ表示エリア	－	レポートに設定した条件にヒットしたアクセスログを表示する
下部バー	PDF出力	表示内容に合わせてPDFを作成する PDFは最大10,000件までの出力となる
	CSV出力	表示内容に合わせてCSVを作成する
	確認済みにする	ヒットしたアクセスログを確認したら、「確認済みにする」をクリックする。これにより、次回以降の未確認ログを確認しやすくする

4.4.5.3. ダイアログの便利な使い方

4.4.5.3.1. ダイアログを複数開く

結果ダイアログは、1つのブラウザ内で複数開くことが可能です。

複数のレポートや日付の違うダイアログを並べて表示することが可能です。

4.4.5.3.2. レポート結果ダイアログから検索画面を開く

レポート結果ダイアログの下部メニュー[検索画面を開く]を押下すると、レポート設定の条件で検索した検索画面を別タブで開きます。 検索画面でレポート設定の条件から更に特定のユーザー、時間帯などを絞り込んで確認したい場合、簡単にレポート設定の条件を反映することが可能です。

4.4.5.4. レポート再作成の実行による結果差異について

通常の運用ではレポートタスクによってレポートを作成します。

レポートタスクで作成されたレポート結果は、サマリーと詳細のアクセスログ件数が一致します。

その後、ログ収集、ログ変換、データベースへのインポートが行われると、データベース内にアクセスログが追加された状態になりますが、画面上のサマリーと詳細は、引き続きレポートタスクで作成された時点のデータを表示します。

再作成を行うと、再作成時点のデータベースの情報で作成を行います。

その後、ログ収集、ログ変換、データベースへのインポートが行われると、画面上では詳細の表示のみ最新のデータベースの情報で表示されます。

この状態は、次回のレポートタスクの実行によりリセットされます。

4.4.5.5. 「時間別アクセス」の時系列について

「時間別アクセス」のレポート設定を「時間別」で参照する場合、週次または月次でも日ごとに時間別でレポートします。

時系列のみで参照する場合は「総合」、日ごとの時系列で参照する場合は「推移」を選択します。

総合グラフ	推移グラフ

ヒント

日ごとの時間別表示のため、日次の場合は「総合」「推移」の切替は表示されません。

ヒント

ファイル出力を有効にした場合、週次および月次は「総合」「推移」がそれぞれ出力されます。

日次の場合は「総合」のみ出力されます。

4.4.5.6. グラフ操作について

Webコンソールから「サマリー」のグラフを閲覧する場合、一部のグラフでグラフを操作することができます。

操作例

• 「時間別アクセス」などの時系列形式のレポートをグラフ表示した際、月次グラフを見て気になる日があればそのままグラフ上で日を選択することができ、日次-時間別グラフを確認できる。グラフ上の「戻る」ボタンで月次グラフに戻ることもできる

• 「円グラフ」では「その他」に分類されて表示されることがあるが「その他」をクリックすることで内訳もグラフで確認できる。グラフ上の「─」ボタンで戻ることもできる

• 「折れ線グラフ」ではグラフ下の範囲をドラッグ＆ドロップすることで期間指定ができる。グラフ上の「─」ボタンで戻ることもできる

グラフ種別	グラフ例
棒グラフ
円グラフ
折れ線グラフ

ヒント

ドリルダウンした後、別の日を選択、あるいは期間選択を切り替えると戻るボタンは非表示になります。

ヒント

可動グラフはWebコンソールのみです。PDFのグラフは動かせません。

4.4.6. [高度な設定]の使い方

「高度な設定」は、レポート新規作成/編集ダイアログの下部にあるメニューです。

複雑で高度な設定になりますので、初期表示の時点では基本的にチェックが入っていません。

複雑な条件のレポートを作成したい場合にチェックをつけてください。

　(下部メニューの右端にあります)

ヒント

集計レポートのテンプレート「新規作成」を選択してレポート設定を作成する場合は、初期表示から「高度な設定」にチェックがついています。

「高度な設定」にチェックをいれると、設定項目が追加されます。「レポート」「アラート」のチェック状態によっても表示内容は異なります。

• 「レポートの詳細設定」メニューが表示されます。

  集計キーが第3キーまで設定されていると「出力件数」の下に「XX毎の出力件数」が表示されます。

• 「しきい値」がフィルター追加されている場合、「しきい値の詳細設定」が表示されます。

• 「アラート」機能にチェックが入っている場合、下部のメニューに「外部連携」ボタンが表示されます。

ヒント

集計キーとして選択できる「詳細項目」の種類は、適用されたライセンスやインポート済みデータによって変わります。

ヒント

「集計レポート」、「監視レポート」のテンプレートのどちらを選択しても、「高度な設定」から自由に設定変更が可能です。

4.4.6.1. 「レポートの詳細設定」：「表示形式」選択の考え方

レポートの目的に合わせて最初に「表示形式」(ランキング/時系列)を選択します。

「時系列」形式の場合、集計キーは第1キーのみである必要があります。

いずれかの項目の多い順にランキングでレポートしたい 　⇒「ランキング」形式を選択する	何時に特定操作が多いかレポートしたい 　⇒「時系列」形式を選択する
何曜日に特定操作が多いかレポートしたい 　⇒「時系列」形式を選択する	1か月のうち何日に特定操作が多いかレポートしたい 　⇒「時系列」形式を選択する

ヒント

「時系列」形式は1つのレポート設定で「時間別」「曜日別」「日別」の3種を作成します。

4.4.6.2. 「レポートの詳細設定」：「ランキング」形式を選択した場合

「ランキング」形式を選択した場合は、以下の項目をそれぞれ指定してください。

	設定内容	説明
1	「集計キー」を指定する	集計したい項目を集計キーに指定する 「ランキング」形式の場合は、最大第3キーまで指定可能
2	「集計方法」を指定する	「アクセスログの行数をカウントする」、もしくは「特定項目を合計する」を指定する
3	「出力件数」を指定する	ランキングTOP XX位まで閲覧したいかを指定する
4	※集計キーを第3キーまで指定した場合 「XX毎の出力件数」を指定	第2キー毎に第3キーの値を何件レポート表示するかを指定する

■ 「第1キー」のみ設定する

第1キーのみの場合、グラフ右上のプルダウンは表示されない

第1キー：サーバ
第1キー：ClientIP

■ 「第1キー」+「第2キー」を設定する

グラフ右上のプルダウンは第1キーとなる

第1キー：サーバ 第2キー：ユーザー
第1キー：ユーザー 第2キー：ClientName

■ 「第1キー」～「第3キー」まで設定する

グラフ右上のプルダウンは第1キー、表の左側に第2キー、右側に第3キーとなる

第1キー：サーバ 第2キー：ユーザー 第3キー：ClientName
第1キー：サーバ 第2キー：対象 第3キー：ユーザー

ヒント

詳細項目を集計キーに設定する場合、アクセスログにおいて指定した詳細項目に値が入っていないケースで結果が変わります。

サマリー上は表示されませんが（集計が「0」）、詳細表示に切り替えると表示されます。サマリーと詳細表示のアクセスログ件数を一致させたい場合、指定した詳細項目のフィルターを追加し、「対象とする」に「*」を指定してください。

4.4.6.3. 「レポートの詳細設定」：「時系列」形式を選択した場合

「時系列」形式を選択した場合は、以下の項目をそれぞれ指定してください。

	設定内容	説明
1	「集計キー」を指定する	「時系列」形式の場合、第1キーのみ指定可能
2	「集計方法」を指定する	「アクセスログの行数をカウントする」、もしくは「特定項目を合計する」

※右上のプルダウンは第1キーの中に含まれる値です。第1キーを「サーバ」にした場合、「サーバ」毎に絞り込みができます。

4.4.6.4. 「レポートの詳細設定」：その他

4.4.6.4.1. 「集計方法」の解説

集計方法には2つの選択肢があります。

レポートする内容に合わせて選択してください。

選択肢1	選択肢2	解説
アクセスログの行数をカウントする		レポートの条件にヒットしたアクセスログの行数を、集計キーの指定に合わせて集計する。行数を集計した値でランキングを作成、もしくは時系列のデータを作成する
特定の項目を合計する		※主にALog EVAユーザー向けの機能 レポートの条件にヒットしたアクセスログの中の、指定した「数値」項目のデータを合計する。合計した値で、ランキングを作成、もしくは時系列のデータを作成する
	指定なし	純粋に特定の項目の合計のみ合計する。選択する項目は、「文字列」ではなく「数値」が入る項目にする必要がある
	合計結果の表示単位を変更する(byte)	合計した数値が大きくて読み辛い場合にファイルサイズ単位で丸めることができる 単位の選択肢 … KB / MB / GB / TB 　※合計値は四捨五入される
	時間を合計する	時間としてデータを合計することができる 入力フォーマット ：ログの時刻形式を選択肢から指定 　[ss , mm:ss , hh:mm:ss] 　※フォーマットはアクセスログの中のデータと完全一致している必要がある 出力フォーマット ：レポートのサマリーでの表示形式を選択肢から指定 　[自動 , ss , mm:ss , hh:mm:ss] 　※「自動」を選択した場合、形式を自動で判断して表示する

例：「特定の項目を合計する」を選択し、数値項目となる「SentSize」を指定した場合

ヒント

「特定の項目を合計する」機能では、整数のみ集計されます。 また、1以上の集計結果になるユーザーのみ表やグラフに表示します。

4.4.6.4.2. 「XX毎の出力件数」の解説

「集計キー」の設定を「第3キー」まで増やすと、「XX毎の出力件数」というメニューが表示されます。

「XX」には、「第2キー」で選択したキー名が入ります。

例：「第2キー：ユーザー」、「第3キー：ClientName」とし、「ユーザー毎の出力件数：5件」とする

• 第2キーに「ユーザー」を選択しているので、「ユーザー毎の出力件数」と表示されています。

• レポートの結果では、ユーザー毎に「第3キー：ClientName」が最大5件表示されています。

• 「ユーザー毎の出力件数」を増やすと、表の行数は増加します。

例の設定では「出力件数30件」ｘ「XX毎の出力件数5件」=最大で150行の表になります。

4.4.6.5. 「しきい値の詳細設定」

「しきい値」をフィルター追加し、その上で「高度な設定」にチェックが入っていると、「しきい値の詳細設定」が表示されます。

初期値は「無効」です。

ヒント

検索画面でしきい値のフィルターを使用する場合は、前提となるレポートの集計キーが存在しないため「有効/無効」ボタンは表示されず、常に「有効」で動作します。

しきい値用の集計キーは、正しく検索するために指定する必要があります。

4.4.6.5.1. しきい値の詳細設定「無効」設定時のしきい値の動作について

「しきい値の詳細設定：無効」という設定は、しきい値の判定を「レポートの詳細設定」側の集計キー/集計方法に委ねるという設定です。 ほとんどのレポートは「無効」の状態で使用できます。

画像の設定の場合、アクセスログが1時間に10件を超えたユーザーのみレポート対象になります。

ヒント

機能の選択で「アラート」のみチェックが入っている場合は、「レポートの詳細設定」が非表示になっています。

この場合のしきい値は「集計キー：ユーザー」、「集計方法：アクセスログの行数をカウントする」で動作します。

4.4.6.5.2. しきい値の詳細設定を「有効」設定にするケースの例

「しきい値の詳細設定：有効」という設定は、しきい値の判定を「レポートの詳細設定」側の集計キー/集計方法ではなく、独自に決めるという設定です。

画像の設定の場合、全ユーザーで1時間に10件を超えた場合に、ユーザー毎に集計してレポートを作成します。

しきい値で「時間を合計する」を指定した場合

• しきい値の集計方法の「特定項目」として選択した項目に入った値「秒」として扱い合計する

• しきい値欄に設定した値は「秒数の指定」とみなすため、秒に変換して指定する

例：「AccessTime」という項目の合計が1日のうちで合計10分に達したらアラートをあげたいという場合、しきい値欄には600(秒)を設定する。

4.4.6.6. 「外部連携」

「アラート」機能ON +「高度な設定」ONの場合に、下部メニューに「外部連携」ボタンが表示されます。

「外部連携」では、インポートタスクでアラートを検知した際の外部へのアクションを設定できます。

外部連携種別	説明
アラートSyslog通知	アラート検知時、登録した条件でSyslogを送信します
アラートプロセス起動	アラート検知時、登録したプロセスを起動します

4.4.6.6.1. 外部連携設定一覧

登録した外部連携設定の一覧を確認、新規作成、編集、削除することができます。

編集したい場合は、編集したい設定の名前をクリックすると編集画面が表示されます。

削除したい場合は、削除したい設定の左のチェックボックスで選択してから削除ボタンを押してください。

4.4.6.6.2. アラートSyslog通知

アラートが発生した際に、syslogで通知する設定を登録します。

フィルターにヒットしたアクセスログ1件に対して、syslogを1件送信します。

詳細な情報は 「レポート-アラート機能「外部連携」の詳細情報」を参照してください。

項目	説明
名前	この設定の名称を指定する
リモートホスト	syslogの送信先となるホスト名、またはIPアドレスを指定する
リモートポート	syslogの送信先となるポート番号を指定する
ローカルホスト	送信元としてsyslogに記載されるホスト名、またはIPアドレスを指定する
Facility	syslogのFacility値を選択する
Severity	syslogのSeverity値を選択する
syslog本文	syslogのメッセージの内容を指定する 本設定はカスタマイズ可能 詳細は「レポート-アラート機能「外部連携」の詳細情報」を参照

4.4.6.6.3. アラートプロセス起動

アラートが発生した際に、起動するプロセスを登録します。

項目	説明
名前	この設定の名称を指定する
状態	設定の有効無効を指定する
プログラムパス	プロセスとして実行したいプログラムのパスを指定する (入力可能なパス) 　- 環境変数に追加している値 　- 絶対パス
引数	プログラムパスで起動したプロセスで何を実行するかを指定する

例1: アラート発生時に、powershell(環境変数にpowershellが値として入っている場合)を起動して、起動していたメモ帳のプロセスを消したい場合

プログラムパス	powershell
引数	kill -Name notepad

例2: アラート発生時に、pythonを起動して、アラートが発生したことをTeamsに通知をするスクリプト(teamsScript.pyというスクリプトが作成されているとする)を呼び出したい場合

プログラムパス	C:\<ユーザー>\AppData\Local\Programs\Python\python.exe
引数	C:\teamsScript.py