ユーザーインターフェイスタブ

EventLog Analyzerのユーザーインターフェイスタブを使用することで、製品のさまざまなセクションに移動できます。以下、各タブの説明です。

ダッシュボード（ホーム） タブ

[ダッシュボード（ホーム）]タブでは、重要なネットワークアクティビティ情報を提供する複数のダッシュボードを確認できます。以下のダッシュボードは、[ダッシュボード（ホーム）]タブをクリックするとデフォルトで表示されます。

• イベントの概要
• ネットワークの概要
• セキュリティの概要
• VPN概要

イベントの概要

このタブには、ログ傾向、Syslog重大度イベント、Windows重大度イベント、最近のアラートなどのグラフィカルレポートを生成することにより、セキュリティイベントの概要が表示されます。これらのレポートは、特定の時間枠（カスタマイズ可能）で発生するイベントに対して生成されます。チャートまたはグラフの上にマウスポインタを置くと、特定のデバイスのイベントカウント、そのIPアドレス、およびイベントの重大度（情報、通知、デバッグ、警告、アラート、エラー、重大、および緊急）に関する情報が表示されます。

ネットワークの概要

このタブには、環境内のネットワークトラフィックに関する情報が表示されます。トラフィックの傾向、許可および拒否されたネットワーク接続などの詳細を提供し、関心のあるイベントを追跡するのに役立ちます。

セキュリティの概要

セキュリティ概要ダッシュボードは、IDS/IPS、エンドポイントセキュリティソリューション、脆弱性スキャナー、その他の脅威検出ソリューションなどのネットワークデバイスからのイベントを統合します。このダッシュボードには、セキュリティチームが脆弱性や脅威などの重要なセキュリティイベントを監視するのに役立つレポートが含まれています。また、IDS / IPS攻撃に関するインタラクティブなウィジェットがあり、攻撃の種類、攻撃の試行回数、および攻撃が発生した時刻を特定するのに役立ちます。

ダッシュボードには、特定の時間枠でトリガーされたアラートの数を表示するアラート数の概要ウィジェットも含まれています。

VPN概要

画面右上の歯車アイコン → [タブを追加する] → [VPN概要] → [追加]をクリックすることで、[VPN概要]タブを追加できます。EventLog Analyzerは、VPNセッションアクティビティを監視し、関心のあるイベントを視覚化するのに役立つレポートを生成します。VPN概要ダッシュボードは、ライブセッション数、合計ログオン時間、平均ログイン時間、クローズされたセッション、トップユーザーとステータスなどのウィジェットを表示することにより、VPNユーザーとセッションのアクティビティに関する情報を提供します。画面右上の歯車アイコン → [ウィジェットの追加/ウィジェットを再配列]から、VPNダッシュボードをカスタマイズすることもできます。

[ダッシュボード（ホーム）]タブには、ログソース、日付と時刻の選択、および設定アイコンも含まれています。

ログソース タブ

[ログソース]タブをクリックすると、以下3つのタブが表示されます。

• 装置（デバイス）
• アプリケーション
• ファイルの整合性の監視

装置（デバイス）

「装置（デバイス）」セクションには、EventLog Analyzerがログを収集しているシステム（Windows、Linux、IBM AS/400、HP-UXなど）およびデバイス（ルーター、スイッチなど）の全リストが表示されます。表示されるデバイスリストは、ドロップダウンリストから選択したデバイスグループに基づいて分類されます（デフォルト：すべてのグループ）。IPアドレスまたはデバイス名に基づいて特定のデバイスを検索したり、デバイスまたはデバイスのセットを削除したり、特定のデバイスまたはデバイスのセットからのログ収集を無効/有効にしたりできます。

デバイスリストテーブルには、デバイスの種類、イベントの概要（エラー、警告、障害など）、デバイスの接続ステータス、最後のログメッセージがフェッチされた時刻、デバイスが属するデバイスグループなどの詳細が表示されます。マウスを任意のデバイス上に移動すると、いくつかのオプションが表示されます。

• 最新イベント（特定のデバイスから収集された最新の10個のイベントを表示します）
• デバイスの詳細を更新します（画面右上の"リロード"）
• デバイスにpingを実行します。
• デバイスからのログ収集を有効/無効にします。

「項目の追加/除外」アイコンをクリックすることで表示する列をカスタマイズしたり、ページごとに表示されるデバイスの数を増やしたりすることもできます（1ページあたり最小5デバイスから1ページあたり最大200デバイス）。ドロップダウンメニューを使用すると、アクティブデバイスまたは有効なデバイスのみを一覧表示でき、同期されたデバイスをADAudit Plusから除外するオプションがあります。

アプリケーション

「アプリケーション」セクションには、IIS W3C Webサーバー、IIS W3C FTPサーバー、MS SQLサーバー、Oracle Live Audit、DHCP Windows/Linuxサーバー、Apache Webサーバー、またはプリントサーバーのアプリケーションログが受信された、またはインポートされたデバイスの一覧が表示されます。表示されるデバイスリストは、ドロップダウンリストから選択したアプリケーションタイプに基づいて分類されます。[ログをインポート]を選択すると、アプリケーションログをEventLog Analyzerにインポートできます。

アプリケーションデバイスリストには、デバイス名、アプリケーションタイプ、合計イベント、最近のレコード、インポートされた時間、開始時間、終了時間などの詳細が表示されます。デバイス名または円グラフの対応するセクションをクリックして、アプリケーションイベントデータの完全な概要を取得し、対応するレポートを生成します。「項目の追加/除外」アイコンをクリックして、表示する列をカスタマイズすることもできます。

ファイルの整合性監視

ファイル整合性監視ダッシュボードは、Windows、Linux、およびUnixマシンのファイルとフォルダに加えられた変更に関する情報を提供します。作成、削除、変更、および名前変更されたファイルとフォルダを表にしてレポートします。また、ファイルとフォルダのアクセス許可に加えられた変更も表示されます。

日時

提供されている日付と時刻のボックスを使用して、必要な時間枠のすべての監査レポートを生成および表示できます。

設定アイコン

設定アイコンには、表示されるウィジェットとタブを追加、管理、および順序付けすることにより、すべてのダッシュボードをカスタマイズするための複数のオプションが表示されます。[更新間隔]オプションを使用して、製品の時間枠に加えられた変更を更新することもできます。

レポート タブ

このタブには、ネットワークで発生しているすべてのイベントのレポートを含むダッシュボードが表示されます。左上隅に、デバイス、アプリケーション、ファイル監視、脅威、脆弱性、およびVM管理に基づいてレポートを選択および表示できるドロップダウンメニューがあります。このドロップダウンメニューから必要なオプションをクリックして、カスタムレポート、ユーザーベースのレポート、およびトップレポートとトレンドレポートを表示することもできます。[エクスポート方法]ドロップダウンメニューを使用すると、CSV形式またはPDF形式でレポートをエクスポートできます。[レポートをスケジュール]タブにある[+スケジュールを追加する]オプションをクリックすると、レポートをスケジュールできます。

左側ペインには、ログソースがEventLog Analyzerに追加されたときに自動的に生成される複数のデフォルトレポートがあります。画面の左下隅にある[レポートを管理]タブをクリックして、カスタムレポートを作成することもできます。[スケジュールされたレポート]タブでは、既存のスケジュールされたレポートを表示し、必要に応じてエクスポートできます。

コンプライアンス タブ

「コンプライアンス」タブでは、様々なコンプライアンスポリシー（FISMA、PCI-DSS、SOX、HIPAA、GLBA、GPG、ISO 27001:2013）で必要とされる定型レポートのセットを提供します。左下隅の[コンプライアンスを管理] → [+新しいコンプライアンスを作成]オプションを使用すると、選択した新しいコンプライアンスポリシーに必要なレポートを作成して選択できます。表に表示されている[編集]アイコンをクリックすることで、各コンプライアンスポリシーで使用可能なレポートをカスタマイズできます。

検索 タブ

[検索]タブには、生ログを検索するための2つのオプション、基本検索と高度検索があります。検索結果はページの下半分に表示され、最終的な検索結果はレポート（PDFまたはCSV形式）として保存することができます。また、あらかじめ設定された間隔で生成され、設定されたユーザーに自動的にメールされるようにスケジュールすることもできます。

検索クエリを手動で作成する場合は、基本検索を使用できます。ここでは、フレーズ検索、ブール検索、グループ化検索、およびワイルドカード検索を使用して、検索クエリを作成できます。高度検索を使用すると、フィールドと値のペアおよび関係演算子を使用して、複雑な検索クエリを簡単に作成できます。検索結果から新しいフィールドを抽出でき、正規表現（regex）パターンを構築して、EventLog Analyzerが受信した新しいログでこれらのフィールドを識別、解析、およびインデックス付けできます。

相関（コリレーション） タブ

相関エンジンは、ネットワークのさまざまな部分から収集されたログを分析し、疑わしいイベントパターンのアラートを生成します。ダッシュボードにはデフォルトで、最近のインシデントに関するレポートが表示されます。ダッシュボードにある[ルールの管理]タブをクリックすると、相関ルールを作成および変更できます。

アラート タブ

このタブには、ダッシュボード内のアクティブなアラートの数とその重大度が表示されます。ダッシュボードで、アラート、アラートの生成時間、ステータス、および対応する応答ワークフロー（構成されている場合）に関する表形式の情報を表示できます。

設定 タブ

このセクションでは、要件に応じてEventLog Analyzerを構成できます。以下に示すように、3つのサブセクションがあります。

ログソースの構成

このセクションでは、デバイス、デバイスグループ、アプリケーションソース、インポートログデータ、脅威ソース、ファイル整合性監視、脆弱性データ、FIMテンプレート、およびvCenterを管理できます。このセクションから、脅威管理とログ転送を構成することもできます。

管理者権限

このセクションでは、アラートプロファイル、アーカイブ、技術者と役割、データベース保持設定、ログ収集フィルター、ビジネス時間設定、製品設定、ログ収集失敗アラート、ダッシュボードプロファイル、プライバシー設定、ログオン設定、ドメインとワークグループ、レポートプロファイル、リソースグルーピング、カスタムログパーサー、タグ、Log360クラウドプラットフォームを管理することで、様々な管理活動を行うことができます。

システム設定

このセクションでは、通知設定、サーバー診断、データベースアクセス、ブランド変更、NTサービス、接続設定、リスナーポートなどのさまざまな設定を構成できます。

+追加 タブ（画面右上）

このタブでは、デバイスとアプリケーションからログソースを簡単に追加できます。また、他のソースからログをインポートできるようにする機能もあります。このタブから、アラートプロファイル、ログフィルタを追加し、カスタムレポートを作成できます。