アーカイブ

EventLog Analyzerによって処理されたログファイルは、内部監査、フォレンジック、コンプライアンス監査のために定期的にアーカイブされます。要件に応じて、以下の項目を設定可能です。

  • アーカイブ間隔
  • アーカイブする必要があるログの種類
  • アーカイブファイルの保存場所
  • 保持期間

アーカイブファイルは暗号化できます。また、タイムスタンプを付与することで改ざん検知が可能となります。

アーカイブログを表示する方法

アーカイブを表示するためには、EventLog Analyzerの[設定]タブより、[管理者権限] → [アーカイブ]に移動します。

archivefiles

[アーカイブしたログ]画面には、以下の情報が含まれます。

  • デバイス:ログ収集対象のデバイスのリスト
  • フォーマット:デバイスの種類
  • 開始終了:ログが収集およびアーカイブされた期間
  • サイズ:各デバイスから収集したアーカイブログデータのサイズ
  • 整合性:アーカイブされたログが改ざんされているかを示します。アーカイブされたファイルの整合性は、次の4つの状態で示されます。
    1. 検証済み:アーカイブされたログが正常に維持されている場合
    2. アーカイブファイルが欠落しています:圧縮処理中にフラットファイルが見つからない場合
    3. アーカイブファイルが見つかりませんでした:データベースの保存場所にアーカイブファイルが見つからない場合
    4. アーカイブファイルが変更されています:アーカイブファイルが編集されたり、ファイルの一部が削除された場合

      メモ:ファイルが削除または改ざんされた場合、「アーカイブファイルが変更されました」というメッセージのメール通知が送信されます。

    5. ファイルが利用できます:アーカイブの整合性チェックが無効な場合の検証されたファイルまたは改ざんされたファイル
    6. ファイルが利用できません:アーカイブ整合性チェックが無効な場合の見つからないアーカイブファイルまたは元の場所に存在しないファイル
  • アーカイブのステータスは、次の4つの異なる状態で示されます。
    1. ロード済み:アーカイブファイルはすでにデータベースにロードされています。アーカイブファイルを表示するには、[閲覧]をクリックします。
    2. データはすでに利用可能です:アーカイブファイルが検索エンジンデータベースにある場合
    3. データの一部が利用可能です:アーカイブデータの一部が検索エンジンデータベースにある場合
    4. ロードされていません:アーカイブファイルが検索エンジンデータベースにない場合
 

特定のアーカイブファイルを表示する方法

  • 特定のアーカイブファイルを表示するには、[デバイスを選択]より対象デバイスを選択します。
  • 特定の期間に作成されたアーカイブログファイルを表示するためには、ページ右上にあるカレンダーアイコンをクリックして、期間を指定します。
archivefiles-01

アーカイブファイルをフィルタリングして表示する方法

アーカイブデータのサイズまたはステータスに基づいてファイルを表示する場合は、[サイズ]または[ステータス]の横にあるフィルタアイコンをクリックして適切な値を設定します。指定された値に基づいてファイルがフィルタリングされます。

archivefiles-02

アーカイブファイルのリストを並べ替える方法

[デバイス] / [開始] / [終了]の横にあるドロップダウンアイコンをクリックすると、それぞれの列の値に基づいてリストを昇順で並べ替えることができます。もう一度クリックすると、リストを降順で並べ替えることができます。

archivefiles-03

アーカイブファイルをロードする方法

アーカイブファイルをロードするには、EventLog Analyzerの[設定]タブへ移動し、[管理者権限] → [データストレージ] → [アーカイブ]に移動します。

  1. デバイスに対応するアーカイブファイルのステータスを確認してください。ロードされていない場合は、[アーカイブをロード]ボタンをクリックすることでファイルを検索エンジンデータベースにロードします。
  2. ファイルのステータスが[ロード済み]に変更後、[閲覧]ボタンをクリックします。
archivefiles-04

注意:ファイルを検索エンジンデータベースから削除するためには、ファイルを選択して[アーカイブのアンロード]ボタンをクリックします。

archivefiles-05

注意:ファイルのステータスが[データの一部が利用可能です]と表示されている場合にアーカイブのロードを実施すると、ログデータが重複して表示される可能性があります。

archivefiles-06

アーカイブファイルを削除する方法

アーカイブファイルを削除するには、EventLog Analyzerの[設定]タブへ移動し、[管理者権限] → [データストレージ] → [アーカイブ]に移動します。

  1. 対象アーカイブファイルのチェックボックスを選択します。
  2. 削除アイコンをクリックして、アーカイブファイルを削除します。
archivefiles-07

グループベース/デバイスベースのアーカイブ設定を構成する方法

アーカイブ設定を構成するには、画面右上の[設定]をクリックします。

アーカイブ間隔、保持期間、暗号化、アーカイブのタイムスタンプ、アーカイブファイルとインデックスファイルを保存する場所を設定します。

注意:アーカイブとデータベースストレージは非同期(無関係)の操作です。

archivefiles-08
archivefiles-09
  1. アーカイブが有効になっていることを確認してください。デフォルトでは有効になっています。アーカイブを無効にするには、トグルボタンを使用します。
  2. アーカイブファイルの暗号化が可能です。デフォルトでは無効になっています。
  3. アーカイブファイルのアーカイブ保存期間を指定します。デフォルトでは無期限に設定されています。
  4. ログは2つの形式「解析フィールドを含む未処理ログ」と「未処理ログ」でアーカイブできます。「解析フィールドを含む未処理ログ」はメタデータとともに保存され、「未処理ログ」はメタデータなしで保存されます。

    注意:「未処理ログ」を選択した場合、消費するストレージ容量は少なくなりますが、アーカイブファイルのロードに時間を要します。

  5. [アーカイブ場所]にて、アーカイブファイルの保存場所(パス)を入力します。[場所を承認]をクリックすることで、保存先の有効性を確認できます。
  6. [ロード保持期間]にて、ロードしたアーカイブファイルが検索エンジンデータベースに保存される期間を入力します。デフォルトの期間は7日です。
  7. [詳細]をクリックします。画面に表示される次の項目を指定します。
    1. ファイルが作成される時間間隔を入力します。ログは指定された期間、フラットファイルに書き込まれます。

      注意:デフォルトの間隔は8時間です。

    2. zipファイルが作成される時間間隔を入力します。指定された期間でフラットファイルが圧縮され(40:1の比率)、zipファイルが作成されます。

      注意:デフォルトの間隔は1日です。

    3. 必要に応じて[アーカイブのタイムスタンプ]を有効にします。デフォルトでは無効です。
    4. [アーカイブの定期的な整合性チェック]はデフォルトで有効化されています。

      注意:デフォルトの間隔は1日です。

  8. 設定を保存して、ウィンドウを閉じます。すぐにアーカイブするには、[Zip作成間隔]の横にある[今すぐZip作成]ボタンをクリックします。 画面右上の[+新しいポリシーを作成]をクリックして、複数のアーカイブ設定を構成できます。
    archivefiles-10
    archivefiles-11
    追加の設定:ポリシーが適用されるデバイス/グループを選択します。

設定されたポリシーの確認方法

画面右上の[設定]をクリックします。クリック後、設定したすべてのポリシーが表示される[アーカイブの設定]画面に遷移します。

archivefiles-12
archivefiles-13
  • ポリシー名:ポリシーの名前を表示します。
  • アーカイブ保存場所:ポリシーのアーカイブ保存場所を表示します。
  • デバイス/グループ:ポリシーに追加されたすべてのデバイスとグループを表示します。
  • サイズ:ポリシーに追加されたすべてのデバイス/グループのアーカイブの合計サイズを表示します。
  • 保持期間:ポリシーのログ保持期間を表示します。
  • ステータス:アーカイブのステータスを表示します。ステータスは「成功」または「アーカイブが無効」になります。

構成された設定を編集するには、ポリシーにマウスオーバーし、[編集]をクリックします。

archivefiles-14

[アーカイブの設定]画面の右上の[+新しいポリシーを作成]クリックして新しいポリシーを追加することもできます。

archivefiles-15

ポリシーの優先度の編集方法

ポリシーの優先順位を変更するには、[優先ポリシー] をクリックします。クリック後、ポリシーをドラッグ&ドロップして並べ替えて保存します。

注意:デバイス/グループが複数のポリシーに追加されている場合、最も優先度の高いポリシーのアーカイブ設定が適用されます。

archivefiles-16
archivefiles-17

適用されたポリシーの確認方法

[設定]タブへ移動し、[管理者権限] → [データストレージ] → [アーカイブ] → [設定] → [アーカイブサマリー]に移動します。

archivefiles-18
  • デバイス:1つ以上のポリシーに追加されているデバイスのリストを表示します。
  • 適用されたポリシー:デバイスに適用されているポリシーを表示します。
  • 場所:ポリシーのアーカイブ保存場所を表示します。
  • 合計サイズ:特定のデバイスのアーカイブの合計サイズを表示します。
  • 場所のサイズ:特定のポリシーに基づいて収集されたアーカイブのサイズを表示します。

アーカイブのトラブルシューティング

archivefiles-19
  1. パスを更新
    • [設定]タブ → [管理者権限] → [データストレージ] → [アーカイブ] → 画面右上の[詳細情報] → [パスを更新]へ移動します。
    • ドロップダウンから古いアーカイブの保存場所を選択し、アーカイブが移動されたまたは存在する新しい場所をアーカイブの移動先に入力して編集をクリックします。
    archivefiles-20
  2. アーカイブファイルの整合性を更新
    • [設定]タブ → [管理者権限] → [データストレージ] → [アーカイブ] → 画面右上の[詳細情報] → [パスを更新]へ移動します。/li>
    • 右上にある更新ボタンをクリックして、ファイルの整合性ステータスを更新します。
     

    ファイルがDBで指定されたディレクトリに存在する場合、ステータス「ファイルが見つかりませんでした」は「検証済み」に変更します。ステータス「アーカイブファイルが変更されています」も「検証済み」に変更します。

    archivefiles-21
  3. アーカイブをDBに追加
    • [設定]タブ → [管理者権限] → [データストレージ] → [アーカイブ] → 画面右上の[詳細情報] → [アーカイブエントリを追加]へ移動します。
    • アーカイブが存在する場所を入力します。必要に応じてデバイスを選択し、特定のデバイスのアーカイブを追加します。
    archivefiles-22
  4. ES/dataが紛失または破損した場合
    • [設定]タブ → [管理者権限] → [データストレージ] → [アーカイブ] → 画面右上の[詳細情報] → [インデックスを再構築]へ移動します。
    • アーカイブからログのインデックスを作成する必要がある日付範囲とデバイスを選択し、[再構築]をクリックします。
    archivefiles-23

EventLog AnalyzerがバンドルするElasticsearch(検索エンジンデータベース)のインデックス保存場所を変更する手順

注意:

ES\dataフォルダーにはインデックスデータが含まれています。

ES\archiveフォルダーにはインデックスのアーカイブデータが含まれています。

ES\repoフォルダーには、アーカイブデータが作成される際の一時的なファイルが含まれています。

ES\repo、ES\data、ES\archive の保存先パスは異なる必要があります。


保存先パスの記述例:

リモートパスの場合

  • path.data: ["//リモートマシン名/shared folder/data"]
  • path.repo : ["//リモートマシン名/shared folder/repo"]

Windowsローカルストレージの場合

  • path.data: ["C:\\ManageEngine\\EventLog Analyzer\\ES\\data"]
  • path.repo : ["C:\\ManageEngine\\EventLog Analyzer\\ES\\repo"]

Linuxローカルストレージの場合

  • path.data: ["/opt/ManageEngine/EventLog Analyzer/ES/data"]
  • path.repo : ["/opt/ManageEngine/EventLog Analyzer/ES/repo"]

ケース1:EventLog Analyzer単体での利用(Log360と未統合)

  1. EventLog Analyzerを停止します。
  2. <Eventlog home>\ES\config\elasticsearch.ymlを開き、path.dataのパスを更新してファイルを保存します。
  3. <ManageEngine>\<EventLog>\ES\dataフォルダー下のファイルを、更新したパスに移動します。
  4. EventLog Analyzerを起動します。

ケース2:EventLog AnalyzerがLog360とともにインストールされ、EventLog AnalyzerがLog360と統合されている場合

この場合、EventLog Analyzerは他のモジュールと共有される共通のES(Elasticsearch)を使用します。

注意:

Log360では統合モジュールに1つのESしかありません。[管理] → [検索エンジン管理]画面で確認できます。詳細をクリックすると、<ManageEngine>\elasticsearch\ESフォルダから起動していることがわかります。

search_engine_management_1
  1. EventLog AnalyzerとLog360を停止します。
  2. 共通ESを停止します。
    1. <ManageEngine>\elasticsearch\ES\binにて、管理者としてコマンドプロンプトを開きます。
    2. stopES.batを実行します。
  3. <ManageEngine>\elasticsearch\ES\config\elasticsearch.ymlを開き、path.dataのパスを更新してファイルを保存します。
  4. ファイルを<ManageEngine>\elasticsearch\ES\dataフォルダー下のファイルを、更新したパスに移動します。

ケース3:EventLog Analyzerを手動でLog360と統合している場合:

この場合、EventLog Analyzerは、既存の(統合前の)ローカルESと共通ES(Log360との統合後)を使用します。

注意:

デフォルトでは、統合モジュールに2つのESがあり、[管理] → [検索エンジン管理]画面で確認できます。詳細をクリックすると、1つはEventLog Analyzer(<Eventlog home>\ESフォルダ)から実行され、もう1つは<ManageEngine>\elasticsearch\ESフォルダから実行されていることがわかります。

search_engine_management_2
  1. EventLog AnalyzerとLog360を停止します。
  2. 共通ESを停止します。
    1. <ManageEngine>\elasticsearch\ES\binにて、管理者としてコマンドプロンプトを開きます。
    2. stopES.batを実行します。
  3. <ManageEngine>\elasticsearch\ES\config\elasticsearch.ymlを開き、path.dataのパスを更新してファイルを保存します。
  4. ファイルを<ManageEngine>\elasticsearch\ES\dataフォルダー下のファイルを、更新したパスに移動します。
  5. <ManageEngine>\<EventLog Analyzer>\ES\config\elasticsearch.ymlを開き、path.dataのパスを更新して(手順3で共通ESに指定したパスとは異なる必要があります)ファイルを保存します。
  6. <ManageEngine>\<EventLog Analyzer>\data フォルダー下のファイルを、更新したパスに移動します。

EventLog Analyzer がバンドルする Elasticsearch が保持する全てのデータの保存場所を変更する手順

注意:

ES\dataフォルダーにはインデックスデータが含まれています。

ES\archiveフォルダーにはインデックスのアーカイブデータが含まれています。

ES\repoフォルダーには、アーカイブデータが作成される際の一時的なファイルが含まれています。

ES\repo、ES\data、ES\archive の保存先パスは異なる必要があります。


保存先パスの記述例:

リモートパスの場合

  • path.data: ["//リモートマシン名/shared folder/data"]
  • path.repo : ["//リモートマシン名/shared folder/repo"]

Windowsローカルストレージの場合

  • path.data: ["C:\\ManageEngine\\EventLog Analyzer\\ES\\data"]
  • path.repo : ["C:\\ManageEngine\\EventLog Analyzer\\ES\\repo"]

Linuxローカルストレージの場合

  • path.data: ["/opt/ManageEngine/EventLog Analyzer/ES/data"]
  • path.repo : ["/opt/ManageEngine/EventLog Analyzer/ES/repo"]

ケース1:EventLog Analyzer単体での利用(Log360と未統合)

  1. EventLog Analyzerを停止します。
  2. <Eventlog home>\ES\config\elasticsearch.ymlを開き、path.dataのパスを更新してファイルを保存します。
  3. さらに、path.repoのパスを更新して(path.dataに指定したパスと並列にしてください)ファイルを保存します。
  4. <ManageEngine>\<EventLog Analyzer>\dataフォルダー下のファイルを、path.dataに指定したパスに移動します。
  5. path.dataにて指定した保存先パスと同じ場所に、archiveという名前のフォルダーを作成します。
  6. ManageEngine\EventLog Analyzer\ES\archiveフォルダー下のファイルを、新規作成した「archive」フォルダーに移動します。

ケース2:EventLog AnalyzerがLog360とともにインストールされ、EventLog AnalyzerがLog360と統合されている場合

この場合、EventLog Analyzerは、他のモジュールと共有される共通のESを使用します

注意:

Log360では統合モジュールに1つのESしかなく、[管理] > [検索エンジン管理]のページで確認できます。詳細をクリックすると、<ManageEngine>\elasticsearch\ESフォルダから実行されていることがわかります。

search_engine_management_1
  1. EventLog AnalyzerとLog360を停止します。
  2. 共通ESを停止します。
    1. <ManageEngine>\elasticsearch\ES\binにて、管理者としてコマンドプロンプトを開きます
    2. stopES.batを実行します
  3. <ManageEngine>\elasticsearch\ES\config\elasticsearch.ymlを開き、path.dataのパスを更新してファイルを保存します。
  4. また、<Eventlog home>\ES\config\elasticsearch.ymlpath.dataを、手順3で更新したパスと同じ内容に更新してファイルを保存します。
  5. <ManageEngine>\elasticsearch\ES\config\elasticsearch.ymlを開き、path.repoのパスを更新してファイルを保存します(path.dataにて指定したパスと並列にしてください)。
  6. <Eventlog home>\ES\config\elasticsearch.ymlを開き、path.repoを、手順5で更新したパスと同じ内容に更新してファイルを保存します。
  7. <ManageEngine>\elasticsearch\ES\dataフォルダー下のファイルを、手順3で指定したパスに移動します。
  8. archiveという名前のフォルダを作成します(path.dataにて指定したパスと並列にしてください)。
  9. <ManageEngine>\EventLog Analyzer\ES\archiveフォルダー下のファイルを、新規作成した「archive」フォルダに移動します。

ケース3:EventLog Analyzerを手動でLog360と統合している場合

この場合、EventLog Analyzerは、既存の(統合前の)ローカルESと共通ES(Log360との統合後)を使用します。

注意:

デフォルトでは、統合モジュールに2つのESがあり、[管理] > [検索エンジン管理]ページで確認できます。詳細をクリックすると、1つはEventLog Analyzer(<Eventlog home>\ESフォルダ)から実行され、もう1つは<ManageEngine>\elasticsearch\ESフォルダから実行されていることがわかります。

search_engine_management_2
  1. EventLog AnalyzerとLog360を停止します。
  2. 共通ESを停止します。
  3. <ManageEngine>\elasticsearch\ES\binで管理者としてコマンドプロンプトを開きます
  4. stopES.batを実行します
I. 共通ESの変更
  1. <ManageEngine>\elasticsearch\ES\config\elasticsearch.ymlを開き、path.dataのパスを更新してファイルを保存します。
  2. さらに、path.repoのパスを更新してファイルを保存します(path.dataにて指定したパスと並列にしてください)。
  3. <ManageEngine>\elasticsearch\ES\dataフォルダー下のファイルを、path.dataに指定したパスに移動します。
II. ローカルESの変更(ここで指定するパスは、共通ESで指定したパスとは異なる必要があります)
  1. <ManageEngine>\EventLog Analyzer\ES\config\elasticsearch.ymlを開き、path.dataのパスを更新してファイルを保存します。
  2. さらに、path.repoのパスを、共通ESで指定したパスを同じ場所に更新します。
  3. path.dataにて指定した保存先パスと同じ場所に、archiveという名前のフォルダを作成します。
  4. <ManageEngine>\EventLog Analyzer\ES\dataフォルダー下のファイルを、path.dataにて指定したパスに移動します。
  5. <ManageEngine>\EventLog Analyzer\ES\archiveフォルダー下のファイルを、新規作成した「archive」フォルダーに移動します。