アーカイブ
EventLog Analyzerによって処理されたログファイルは、内部監査、フォレンジック、コンプライアンス監査のために定期的にアーカイブされます。要件に応じて、以下の項目を設定可能です。
- アーカイブ間隔
- アーカイブする必要があるログの種類
- アーカイブファイルの保存場所
- 保持期間
アーカイブファイルは暗号化できます。また、タイムスタンプを付与することで改ざん検知が可能となります。
アーカイブログを表示する方法
アーカイブを表示するためには、EventLog Analyzerの[設定]タブより、[管理者権限] → [アーカイブ]に移動します。
[アーカイブしたログ]画面には、以下の情報が含まれます。
- デバイス:ログ収集対象のデバイスのリスト
- フォーマット:デバイスの種類
- 開始と終了:ログが収集およびアーカイブされた期間
- サイズ:各デバイスから収集したアーカイブログのデータサイズ
- 整合性:アーカイブされたログが改ざんされているかを示します。ファイルの整合性は、以下の状態で示されます。
- 検証済み:アーカイブされたログが正常に維持されている場合
- アーカイブファイルが欠落しています:圧縮処理中にフラットファイルが見つからない場合
- アーカイブファイルが見つかりませんでした:データベースの保存場所にアーカイブファイルが見つからない場合
- アーカイブファイルが変更されています:アーカイブファイルが編集されたり、ファイルの一部が削除された場合
- ファイルが利用できます:アーカイブの整合性チェックが無効な場合の検証されたファイルまたは改ざんされたファイル
- ファイルが利用できません:アーカイブ整合性チェックが無効な場合の見つからないアーカイブファイルまたは元の場所に存在しないファイル
- アクセスが拒否されました:アーカイブが保存されているリモートパスにアクセスできない場合
- 接続に失敗しました:ネットワーク接続の問題が原因でアーカイブが保存されているAmazon S3バケットにアクセスできない場合
- アーカイブのステータスは、以下の異なる状態で示されます。
- ロード済み:アーカイブファイルは既にデータベースにロードされています。アーカイブファイルを表示するには、[閲覧]をクリックします。
- データはすでに利用可能です:アーカイブファイルが検索エンジンデータベース内にある場合
- データの一部が利用可能です:アーカイブデータの一部が検索エンジンデータベース内にある場合
- ロードされていません:アーカイブファイルが検索エンジンデータベース内にない場合
- ファイルはまだアップロードされていません:アーカイブファイルが指定された場所に転送されていない場合
注記:ファイルが削除または改ざんされた場合、「アーカイブファイルが変更されました」というメッセージを含むメール通知が送信されます。
特定のアーカイブファイルを表示する方法
- 特定のアーカイブファイルを表示するには、[デバイスを選択]より対象デバイスを選択します。
- 特定の期間に作成されたアーカイブログファイルを表示するためには、画面右上にあるカレンダーアイコンをクリックして、期間を指定します。
アーカイブファイルをフィルタリングして表示する方法
アーカイブデータのサイズまたはステータスに基づいてファイルを表示する場合は、[サイズ]または[ステータス]の横にあるフィルタアイコンをクリックして適切な値を設定します。指定された値に基づいてファイルがフィルタリングされます。
アーカイブファイルのリストを並べ替える方法
[デバイス] / [開始] / [終了]の横にあるドロップダウンアイコンをクリックすると、それぞれの列の値に基づいてリストを昇順で並べ替えることができます。もう一度クリックすると、リストを降順で並べ替えることができます。
アーカイブファイルをロードする方法
アーカイブファイルをロードするには、EventLog Analyzerの[設定]タブへ移動し、[管理者権限] → [データストレージ] → [アーカイブ]に移動します。
- デバイスに対応するアーカイブファイルのステータスを確認します。ロードされていない場合は、[アーカイブをロード]ボタンをクリックすることでファイルを検索エンジンデータベースにロードできます。
- ファイルのステータスが[ロード済み]に変更後、[閲覧]ボタンをクリックします。
注記:共有ストレージとS3バケットに保存されているアーカイブは、ローカルストレージにダウンロードされてから、読み込みが開始します。
注記:ファイルを検索エンジンデータベースから削除(アンロード)するためには、ファイルを選択して[アーカイブのアンロード]ボタンをクリックします。
注記:ファイルのステータスが[データの一部が利用可能です]と表示されている場合にアーカイブのロードを実施すると、ログデータが重複して表示される可能性があります。
アーカイブファイルを削除する方法
アーカイブファイルを削除するには、EventLog Analyzerの[設定]タブへ移動し、[管理者権限] → [データストレージ] → [アーカイブ]に移動します。
- 対象アーカイブファイルのチェックボックスを選択します。
- [アーカイブを削除](ゴミ箱)アイコンをクリックして、アーカイブファイルを削除します。
注記:デバイス管理画面からホストを削除すると、対応するアーカイブエントリがUI上からは削除されますが、将来必要となった場合に備えて物理ファイルは保存されたままになります。これらのアーカイブが不要である場合は、ファイルを手動で削除してスペースを解放してください。
まだアップロードされていないアーカイブも削除できます。ローカルの一時場所に保存されているファイルが削除されます。
グループベース/デバイスベースのアーカイブを設定する方法
アーカイブを設定するには、画面右上の[設定]をクリックします。
アーカイブ間隔、保持期間、暗号化、アーカイブのタイムスタンプ、アーカイブファイルとインデックスファイルを保存する場所を設定します。
注記:アーカイブとデータベースストレージは非同期(無関係)の操作です。
クラウドアカウントの設定:
- アーカイブが有効になっていることを確認します。デフォルトでは有効になっています。アーカイブを無効にするには、トグルボタンを使用します。
- アーカイブファイルのアーカイブ保存期間を指定します。デフォルトでは無期限に設定されています。
- ログは2つの形式「解析フィールドを含む未処理ログ」と「未処理ログ」でアーカイブできます。「解析フィールドを含む未処理ログ」はメタデータとともに保存され、「未処理ログ」はメタデータなしで保存されます。
- [一時ファイルの場所]に、フラットファイルの保存場所を入力します。[検証]をクリックして場所を検証します。
- [アーカイブ場所]に、アーカイブファイルの保存場所(パス)を入力します。
- ローカル:アーカイブをローカルの場所に保存するには、ドロップダウンメニューから[ローカル]を選択し、保存場所を入力します。
- 共有済み:アーカイブを共有パスに保存するには、ドロップダウンメニューから[共有済み]を選択し、保存場所を入力します。
- [承認が必要です]にチェックを入れると、共有パスにアクセスするための資格情報を入力できます。チェックを外すと、共有アクセス権を持つすべてのユーザーがパスにアクセスできるようになります。
- リモートマシンが利用可能であり、共有パスに対する十分な読み取りおよび書き込み権限があることを確認してください。
- S3バケット:アーカイブをS3バケットに保存するには、ドロップダウンメニューから[S3バケット]を選択し、フォルダー名を入力します。デフォルトのフォルダー名は「AwsArchive」です。
- クラウドアカウントを選択:設定済みのクラウドアカウントが表示されます。ドロップダウンメニューからクラウドアカウントを選択します。クラウドアカウントを設定するには、[クラウドアカウントを構成する]をクリックします。これにより、CloudTrailなしでAWSクラウドアカウントを設定できます。CloudTrailと一緒にクラウドアカウントを設定する方法は、こちらのページを参照してください。
- バケット:クラウドアカウントに関連付けられた設定済みのバケットが表示されます。ドロップダウンメニューからバケットを選択します。バケットに十分な権限があることを確認してください。新しいバケットを作成するには、入力フィールドにバケット名を入力し、[+]アイコンをクリックします。デフォルトでは、バケットタイプは汎用で、ホームリージョンにあります。バケット名がこちらのページに記載の命名規則に従っていることを確認してください。これらのバケットに保存されているアーカイブを暗号化する場合は、バケットに「バケットキーの有効化」権限があることを確認してください。デフォルトでは、バケットの作成時にKMSキーは無効になります。権限を付与するには、Amazon S3 → バケット → バケット名 → プロパティ → デフォルトの暗号化 → バケットキーに移動します。
- ストレージタイプ:S3ストレージクラスが表示されます。デフォルトのストレージタイプは「S3 Standard」で、無料で提供されます。ただし、追加のストレージタイプには、使用するストレージの量に基づいた料金が発生します。AWSストレージの料金と権限
- S3暗号化:バケットの暗号化が表示されます。デフォルトの暗号化は「Amazon S3 マネージドキー(SSE-S3)」です。
AWS Key Management Service(AWS KMS)とAWS KMSキーを使用したデュアルレイヤーサーバー側暗号化(DSSE-KMS)は、それぞれのKMSキーが既に存在する場合に設定できます。使用できるキーがない場合は、AWSコンソールでKMSキーを生成できます。 - AWS コンソール → サービス → すべてのサービス → キー管理サービス → キーの作成
- クラウドアカウントに設定されているKMSキーを一覧表示するには、IAMユーザーに「kms:ListKeys」ポリシー権限を付与します。
- KMSキーを使用してアーカイブを暗号化するには、KMSキー(キーARN)に「kms:GenerateDataKey」ポリシー権限を付与します。KMSキー権限の詳細は、こちらのページを参照してください。
- S3バケットのデフォルトの暗号化を使用する場合、追加料金は発生しません。
- SSE-KMSおよびDSSE-KMSの場合、AWS KMSの料金が適用されます。AWS KMSの料金表
- アーカイブログをセキュアにするには、[フラット ファイル暗号化]を有効にします。デフォルトでは無効になっています。
- [ロード保持期間]にて、ロードしたアーカイブファイルの保存期間を入力します。デフォルトの期間は7日です。
- [詳細]をクリックします。画面に表示される以下の項目を指定します。
- ファイルが作成される時間間隔を入力します。ログは指定された期間、フラットファイルに書き込まれます。
- zipファイルが作成される時間間隔を入力します。指定された期間でフラットファイルが圧縮され(40:1の比率)、zipファイルが作成されます。
- 必要に応じて[アーカイブのタイムスタンプ]を有効にします。デフォルトでは無効です。
- [アーカイブの定期的な整合性チェック]はデフォルトで有効化されています。
- 設定を保存して、ウィンドウを閉じます。すぐにアーカイブするには、[Zip作成間隔]の横にある[今すぐZip作成]ボタンをクリックします。
注記:「未処理ログ」を選択した場合、消費するストレージ容量は少なくなりますが、アーカイブファイルのロード時間が長くなります。
注記:最適なパフォーマンスを得るために、デフォルトではローカルに設定されています。
注記:ドメインとアカウントまたはアーカイブから設定されたクラウドアカウントのみがリストに表示されます。
KMSキーの作成:
権限:
料金:
注記:デフォルトの間隔は8時間です。
注記:デフォルトの間隔は1日です。
注記:デフォルトの間隔は1日です。
注記:ファイルはローカルで圧縮され、宛先の場所に転送されるため、追加のディスク容量が必要になります。システムに十分なストレージ(容量)があることを確認してください。ローカルストレージに必要なディスク容量は、チューニングガイドを使用して計算してください。
画面右上の[+新しいポリシーを作成]をクリックして、複数のアーカイブ設定を構成できます。
追加の設定:ポリシーが適用されるデバイス/グループを選択します。
設定されたポリシーの確認方法
画面右上の[設定]をクリックします。クリック後、設定したすべてのポリシーが表示される[アーカイブの設定]画面に遷移します。
- ポリシー名:ポリシーの名前が表示されます。
- アーカイブ保存場所:ポリシーのアーカイブ保存場所が表示されます。
- デバイス/グループ:ポリシーに追加されたすべてのデバイスとグループが表示されます。
- サイズ:ポリシーに追加されたすべてのデバイス/グループのアーカイブの合計サイズが表示されます。
- 保持期間:ポリシーのログ保持期間が表示されます。
- ステータス:アーカイブのステータスが表示されます。ステータスは「成功」または「アーカイブ化が無効になりました。」になります。
設定を編集するには、ポリシーにマウスオーバーし、[編集](鉛筆)アイコンをクリックします。
[アーカイブの設定]画面の右上の[+新しいポリシーを作成]クリックして新しいポリシーを追加することもできます。
ポリシーの優先度の編集方法
ポリシーの優先順位を変更するには、[優先度ポリシー]をクリックします。クリック後、ポリシーをドラッグ&ドロップして並べ替えて保存します。
注記:デバイス/グループが複数のポリシーに追加されている場合、最も優先度の高いポリシーのアーカイブ設定が適用されます。
適用されたポリシーの確認方法
[設定]タブへ移動し、[管理者権限] → [データストレージ] → [アーカイブ] → [設定] → [アーカイブのサマリー]に移動します。
- デバイス:1つ以上のポリシーに追加されているデバイスのリストが表示されます。
- 適用されたポリシー:デバイスに適用されているポリシーが表示されます。
- 場所:ポリシーのアーカイブ保存場所が表示されます。
- 全体のサイズ:特定のデバイスのアーカイブの合計サイズが表示されます。
- 場所のサイズ:特定のポリシーに基づいて収集されたアーカイブのサイズが表示されます。
サーバーの状態と使用中ストレージの確認方法
ストレージの概要:
[設定]タブへ移動し、[管理者権限] → [データストレージ] → [アーカイブ] → [設定] → [アーカイブのサマリー] → [ストレージ ベース]タブに移動します。
- サーバー名:アーカイブポリシーとアーカイブで設定されたサーバーのリストが表示されます。
- 装置数:サーバーに関連付けられているデバイスの数が表示されます。
- アーカイブ数:サーバーに存在するアーカイブの数が表示されます。
- サイズ:サーバー内のアーカイブの合計サイズが表示されます。
- 最終更新時刻:サーバーのパスワードの最終更新日時が表示されます。/li>
- 状態:サーバーへの到達可否に関するステータスが表示されます。
- アクセスが拒否されました:サーバーが利用できない、または必要な権限がない場合
- 接続に失敗しました:インターネットの切断によりクラウドにアクセスできない場合
- 認証情報の更新:サーバーのパスワードが変更された場合に新しい認証情報を設定できます。(共有サーバーにのみ適用)
サーバーのユーザー名とパスワードを更新:
アーカイブのトラブルシューティング
- パスを更新
- [設定]タブ → [管理者権限] → [データストレージ] → [アーカイブ] → 画面右上の[詳細情報] → [パスを更新]へ移動します。
- ドロップダウンメニューから元のアーカイブ場所を選択し、アーカイブを移動した場所(アーカイブが存在する新しい場所)を[移動先のアーカイブ場所]に入力して[編集]をクリックします。
注記:パスを更新は、ローカルと共有パスの場所のみに適用されます。
- アーカイブファイルの整合性を更新
- [設定]タブ → [管理者権限] → [データストレージ] → [アーカイブ] → 画面右上の[詳細情報] → [パスを更新]へ移動します。
- 右上にある更新ボタンをクリックして、ファイルの整合性ステータスを更新します。
ファイルがDBで指定されたディレクトリに存在する場合、ステータス「アーカイブファイルが見つかりませんでした」は「検証済み」に変更します。ステータス「アーカイブファイルが変更されています」も「検証済み」に変更します。
アクセス拒否や接続失敗などの整合性ステータスは、ファイルがそれぞれの場所に存在する場合、検証済みに更新されます。
- アーカイブをDBに追加
- [設定]タブ → [管理者権限] → [データストレージ] → [アーカイブ] → 画面右上の[詳細情報] → [アーカイブエントリを追加]へ移動します。
- アーカイブが存在する場所を入力します。必要に応じてデバイスを選択し、特定のデバイスのアーカイブを追加します。
注記:アーカイブエントリを追加は、ローカルと共有パスの場所のみに適用されます。
- ES\dataが欠損または破損した場合
- [設定]タブ → [管理者権限] → [データストレージ] → [アーカイブ] → 画面右上の[詳細情報] → [インデックスを再構築]へ移動します。
- アーカイブからログのインデックスを作成する必要がある日付範囲とデバイスを選択し、[再構築]をクリックします。
集中型アーカイブ
集中型アーカイブがAdminサーバーで有効になっている場合、S3バケットオプションは、Managedサーバーの新しいポリシーには表示されません。既存のS3バケットが設定されたポリシーの場合、ファイル転送は引き続きS3の場所にアップロードします。ファイルはローカルにダウンロードされてから、Adminサーバーに転送されます。集中型アーカイブが有効な場合は、最適なパフォーマンスを得るために保存場所をローカルに変更してください。また、十分なストレージがあることを確認してください。