今回のテーマ
Enterprise Serverに監査ログを集積するには
Question: やりたいこと
社内のワークグループネットワーク環境でDeviceLockを運用しています。
デバイス制御はもちろんですが、社員のデバイス使用状況を把握するために監査ログを取得しています。
しかし監査ログを確認するために、DeviceLock管理コンソールから、各クライアントコンピューターに一台一台接続して確認しており、効率が悪く、工数の無駄を感じています。
もっと効率的にクライアントの監査ログを確認する方法はありますか。
Answer: こうすればできる
DeviceLockでは、コンピューターで生成された各種ログ(監査ログ、シャドウイングログ)は、コンピューターのローカルディスク内に保存されます。
ですから、DeviceLockの管理者は、DeviceLock管理コンソールから一台ずつコンピューターに接続して、そのコンピューターのみのログを閲覧していく作業を、コンピューター台数分繰り返すことになります。
しかし、DeviceLockの無償オプションである「DeviceLock Enterprise Server」を導入すると、ネットワーク上の各コンピューターで生成されたログを、一つまたは複数のデータベースに集積することで、複数のコンピューターのログを一度に閲覧することが可能になります。
Step: DeviceLock Enterprise Serverのインストール方法
まず、DeviceLock Enterprise Serverの代表的なインストール方法について簡単に説明します。
なお、DeviceLock Enterprise Serverの運用に必要なデータベースソフトウェアは、既にインストール・設定されているものとします。
- 本ページでは「Microsoft SQL Server Express Edition」を使用し、DeviceLock Enterprise Serverをインストールするコンピューターと同じコンピューターに既にインストールされているものとします。
Setup.exeによる、DeviceLock Enterprise Serverのインストール
- DeviceLock Enterprise ServerをインストールするコンピューターにWindows管理者権限ユーザーでログオンし、DeviceLockのインストールセットから「setup.exe」を実行します。
警告事項等を読み、[次へ]をクリックして先に進みます。
- 注意事項等を読み、[次へ]をクリックして先に進みます。
- 「使用許諾契約」の画面では、使用許諾契約書を読み、[使用許諾契約の条項に同意します]をチェックします。
[次へ]をクリックして先に進みます。
- 「ユーザー情報」の画面では、[ユーザー名][組織]を入力し、[次へ]をクリックして先に進みます。
- [ユーザー名][組織]は空欄のままでも構いません。
- 「セットアップタイプ」の画面では、[サーバー + コンソール]をチェックし、[次へ]をクリックして先に進みます。
このセットアップタイプは、DeviceLock Enterprise Server Serviceに加え、「DeviceLock管理コンソール」などの管理ツールをコンピューターにインストールします。- DeviceLock管理コンソールは、DeviceLock Enterprise Serverの各種設定や、データベースに集積されたログを参照するのに使用します。
- [インストール]をクリックしてインストールを開始します。
- インストールの前に[DeviceLockのショートカットをデスクトップに追加する]をチェックしておくと、DeviceLock管理ツールへのショートカットアイコンがデスクトップに作成されます。
- インストールが開始され、進行状況が表示されます。
- インストールの途中で、「DeviceLock証明書」の作成を促してきます。
ここではDeviceLock証明書を作成しますので、[はい]をクリックして進めます。- DeviceLock Enterprise ServerとDeviceLock Serviceの間で、ユーザー認証を用いず、DeviceLock証明書に基づいた認証を有効にしたい場合、DeviceLock Enterprise Serverに秘密鍵を、DeviceLock Serviceに対になる公開鍵を適用する必要があります。
ユーザー認証
リモートコンピューター上のDeviceLock Serviceへのフル管理アクセス権を持つユーザーアカウントで、DeviceLock Enterprise Serverが実行されます。DeviceLock証明書認証
DeviceLock Enterprise Serverを実行しているユーザーがリモートコンピューター上のDeviceLock Serviceにアクセスできない場合、DeviceLock証明書に基づいた認証を行なう必要があります。
- ここでDeviceLockのライセンスファイルを読み込ませライセンスを適用することができます。
有効なライセンスファイルの配置場所を指定して[OK]をクリックすると、ライセンスが適用されます。- 有効なライセンスファイルがない場合、[キャンセル]をクリックすると、インストール後30日間有効なトライアルバージョンとしてセットアップされます。
- 一旦トライアルバージョンとしてセットアップしておいて、後でライセンスを適用することもできます。
- 続いて、DeviceLock Enterprise Serverの設定画面が表示されます。
ログオン ・・・ DeviceLock Enterprise Serverサービスを実行するアカウントを指定します。
ローカルシステムアカウント
DeviceLock Enterprise Serverサービスを実行するコンピューターのローカルシステム(LocalSystem)アカウントでDeviceLock Enterprise Serverサービスを実行します。- このアカウントで実行されるように設定されたDeviceLock Enterprise Serverはリモートコンピューター(ファイルサーバーなど)にシャドウデータを保存することができません。
また、リモートコンピューター上のDeviceLock Serviceへの認証にDeviceLock証明書が必要になります。
アカウントを指定
Enterprise Serverサービスを実行するアカウントのアカウント名とパスワードをを明示的に指定します。
この場合、DeviceLock Serviceを実行しているすべてのコンピューターに対して管理者権限を持つユーザーアカウントを使うことが望ましく、そうでなければDeviceLock証明書による認証が必要になります。ここでは、[ローカルシステムアカウント]を選択しておきます。
接続設定 ・・・ DeviceLock Enterprise Serverが固定TCPポートを使用して管理コンソールとの通信を行なうように指定すると、ファイアウォールの構成が簡単になります。動的ポート
RPC通信で動的ポートを使用する場合に選択します。
デフォルトでは、ポート9133を使用します。
固定TCPポート
管理コンソールとの通信を固定TCPポートを使用して行なうように指定する場合、ポート番号を入力します。ここでは、[動的ポート]を選択しておきます。
- このアカウントで実行されるように設定されたDeviceLock Enterprise Serverはリモートコンピューター(ファイルサーバーなど)にシャドウデータを保存することができません。
- [デフォルトのセキュリティを有効にする]では、「DeviceLock Enterprise Server管理者」を指定できます。
デフォルトのセキュリティを有効にした(DeviceLock Enterprise Server管理者を指定しない)状態では、ローカル管理者権限を持つすべてのユーザー(ローカルのAdministratorsグループメンバー)は、管理コンソールを使用してDeviceLock Enterprise Serverに接続し、設定を変更することができます。
ここでは、項目をチェックした(デフォルトのセキュリティが有効な)状態にしておきます。
また、本ページでは、ローカルシステム(LocalSystem)アカウントでDeviceLock Enterprise Serverサービスを実行するように設定しているため、リモートコンピューター上のDeviceLock Serviceへの認証にDeviceLock証明書が必要になります。
ここで「Step: DeviceLock Enterprise Serverのインストール方法」8項で作成したDeviceLock証明書ファイル(秘密鍵)を指定します。
- 適用されたDeviceLockライセンスの確認画面が表示されます。
- ここでは、DeviceLockライセンスを適用せず、トライアルモードになっている画面を掲載しています。
[ライセンスをロード]ボタンをクリックすると、有効なDeviceLockライセンスファイルから
ライセンスをロードすることができます。[次へ]をクリックして先に進みます。
- DeviceLock Enterprise Serverで使用するデータベースの設定画面が表示されます。
データベース名
DeviceLock Enterprise Serverからアクセスされるデータベースの名前を任意に指定します。
接続タイプ
DeviceLock Enterprise Serverからデータベースへの接続方法を次のうちから選択します。- SQL Server ODBC ドライバー
- PostgreSQL ODBC ドライバー(※)
- システムデータソース
- DeviceLockバージョン8.3日本語版は、PostgreSQLに対応していません。
接続タイプを指定すると、続いてそれに応じた認証情報の入力になります。
接続テスト
これまでの入力内容に基づいて、データベースへの接続テストを行ないます。
エラーになった場合は、データベース設定、認証情報等を確認してください。
データベースにシャドウファイルを保存
シャドウイングログをDeviceLock Enterprise Serverに集積する場合、DeviceLock Enterprise Serverがインストールされたコンピューターからアクセスできるドライブに保存するか、データベース内のデータとして保存するか、選択することができます。
[データベースにシャドウファイルを保存]をチェックすると、集積したシャドウイングデータを、データベース内のデータとして保存します。
[データベースにシャドウファイルを保存]をチェックしないと、集積したシャドウイングログを、DeviceLock Enterprise Serverがインストールされたコンピューターからアクセスできるドライブに保存します。保存先は、[保存パス]欄に指定します。[次へ]をクリックして先に進みます。
続いてデータベースの作成が始まりますが、ここでデータベースの生成エラーが発生する場合の対処方法については、「テクニカルガイド 第29回 EnterpriseServerのDB作成でエラーが発生する」をご覧ください。
- インストールが終了します。[DeviceLockホームページを開く]のチェックを外して、[終了]をクリックします。
以上で、DeviceLock Enterprise Serverのインストールは終了です。
Step: クライアントコンピューターのDeviceLock Enterprise Server設定
ここでは、DeviceLockのクライアントコンピューターから、DeviceLock Enterprise Serverに監査ログを転送する、クライアント側の設定について説明します。
なお、DeviceLock Enterprise Serverは、既にインストールされ正しく稼働している状態にあるものとします。
また、DeviceLock Enterprise Serverとの接続にDeviceLock証明書を使用する場合、DeviceLock Enterprise Server側と、クライアントコンピューターのDeviceLock Service側に、対になるDeviceLock証明書が適用されている必要があります。
DeviceLock証明書の適用方法につきましては、「DeviceLockテクニカルガイド 第2回 DeviceLock証明書を生成するには」をご覧ください。
DeviceLock Enterprise Serverへの接続設定
- DeviceLock管理ツールをインストールしたコンピューターで、DeviceLock管理コンソールを起動し、設定対象のコンピューターに接続します。
- DeviceLock管理コンソールの左ペインで[DeviceLock]-[DeviceLock Service]-[Serviceオプション]と展開し、右ペインの[DeviceLock Enterprise Server]をダブルクリックして開くか、右クリックして表示されるコンテキストメニューから[プロパティ]を選択します。
「DeviceLock Enterprise Server」の設定画面が表示されたら、[ユーザー]に「Everyone」、[サーバー]にDeviceLock Enterprise Serverを実行しているコンピューターのホスト名またはIPアドレスを指定します(※)。
- このクライアントコンピューターで生成された監査ログ・シャドウイングログを、ここで指定したコンピューターにインストールされているDeviceLock Enterprise Serverに転送する、という設定になります。
- ログオンユーザー/グループ毎に異なるDeviceLock Enterprise Serverを指定することもできます。
[OK]をクリックして「DeviceLock Enterprise Server」設定画面を閉じます。
- DeviceLock管理コンソールの左ペインで[DeviceLock]-[DeviceLock Service]-[Serviceオプション]-[監査/シャドウイング]と展開し、右ペインの[監査ログタイプ]をダブルクリックして開くか、右クリックして表示されるコンテキストメニューから[プロパティ]を選択します。
「監査ログタイプ」の設定画面が表示されたら、[DeviceLockログ]をチェックします(※)。- DeviceLockの監査ログには2種類あります。
イベントログ
クライアントコンピューターのローカルディスク内に保存される監査ログで、Windowsイベント形式で生成されます。
DeviceLock管理コンソールでクライアントコンピューターのDeviceLock Serviceに接続すると、接続先のコンピューターに保存されている監査ログを参照することができます。
DeviceLockログ
クライアントコンピューターのローカルディスク内に一時保存される監査ログで、DeviceLock独自形式で生成され、DeviceLock Enterprise Serverに転送されるとローカルディスクから削除されます。
DeviceLock管理コンソールでDeviceLock Enterprise Serverに接続すると、各クライアントコンピューターから集積された監査ログをまとめて参照することができます。
DeviceLock Enterprise Serverに監査ログを集積するには、クライアントコンピューターでDeviceLockログを生成する必要があります。[OK]をクリックして「監査ログタイプ」設定画面を閉じます。
Step: クライアントコンピューターの監査ログ取得設定
次に、DeviceLockのクライアントコンピューターで、必要に応じて監査ログを生成する設定について説明します。例として、着脱可能デバイス(USBメモリーなどのリムーバブルデバイス)にファイルを書き込んだ時に監査ログを生成する設定について説明します。
監査ログの取得設定例
- DeviceLock管理ツールをインストールしたコンピューターで、DeviceLock管理コンソールを起動し、設定対象のクライアントコンピューターに接続します。
- DeviceLock管理コンソールの左ペインで[DeviceLock]-[DeviceLock Service]-[デバイス]-[監査/シャドウイング/アラート]と展開し、右ペインの[着脱可能デバイス]をダブルクリックして開くか、右クリックして表示されるコンテキストメニューから[監査/シャドウイング/アラートの設定]を選択します。
着脱可能デバイスの「監査/シャドウイング/アラート」設定画面が表示されたら、監査ログを取得する操作結果の種別(許可/拒否)、対象のユーザー/グループ、対象の操作(読込み/書込みなど)を指定します。
[OK]をクリックして「監査/シャドウイング/アラート」設定画面を閉じます。
次のステップでは、実際にデバイスをクライアントコンピューターに装着し、ファイル入出力操作をして、監査ログが生成されるか、そしてDeviceLock Enterprise Serverに転送されるか、テストします。
Step: 監査ログの転送確認
全ての設定が終了したら、実際にデバイスをクライアントコンピューターに装着し、ファイル入出力操作をして、監査ログが生成され、DeviceLock Enterprise Serverに転送されるか、テストします。
着脱可能デバイス(USBメモリー)への、ファイル書き出し
- ここまでのDeviceLock各種設定が済んだクライアントコンピューターにUSBメモリーを装着し、任意のファイルを書き込みます。
次に、DeviceLock Enterprise Serverにアクセスして、監査ログが生成されているか、確認します。
DeviceLock Enterprise Serverへの監査ログ集積確認
- DeviceLock管理ツールをインストールしたコンピューターで、DeviceLock管理コンソールを起動し、DeviceLock Enterprise Serverに接続します。
- DeviceLock管理コンソールの左ペインで[DeviceLock Enterprise Server]-[監査ログビューアー]と展開し、右ペインに表示される監査ログリストを確認します。
- クライアントコンピューターで監査ログが生成されると、直ちにDeviceLock Enterprise Serverに転送されますが、コンピューターの負荷などの影響により、遅れることがあります。
- しばらく待っても監査ログビューアーにログが表示されない場合は[F5]キーやDeviceLock管理コンソールの(最新情報に更新)ボタンを押して、表示情報の更新をお試しください。
以上で、ファイル入出力操作により生成される監査ログの、DeviceLock Enterprise Serverへの転送テストは終了です。
Reference: 参考
- DeviceLock Enterprise Serverには外部データベースソフトウェアの導入が必要です。
DeviceLock製品にデータベースソフトウェアは付属しておらず、DeviceLock Enterprise Serverをインストールしてもデータベースソフトウェアはインストールされませんので、別途入手の上、インストールする必要があります。
DeviceLockバージョン8.3は、Microsoft SQL Serverに対応しています。
DeviceLock Enterprise Serverの動作要件や、対応するMicrosoft SQL Serverのバージョンにつきましては、ラネクシーのDeviceLock製品紹介ページを参照いただくか、弊社営業宛てお問い合わせください。
- DeviceLock Enterprise Serverに転送される監査ログデータが消費するディスク容量は、生成されるログの量に依存します。
どのデバイスを対象に、どのユーザーのどの操作についてログを生成させるか、また、操作頻度や操作対象のファイルの数などによって異なってきます。 - DeviceLock Enterprise Serverデータベースのバックアップ/リストア手段については、DeviceLockからのご提供はありません。データベースソフトウェア側の機能をご利用ください。
- DeviceLock Enterprise Server側の問題(コンピューターの電源が入っていない、ネットワークに障害が発生した、データベースソフトウェアが起動していない、データベースへのアクセス認証情報の不備、など)でクライアントコンピューターからDeviceLock Enterprise Serverにログを転送できない場合は、ログはクライアントコンピューター内に留まります。問題が解消されると、(タイムラグは発生しますが)直ちに転送を開始します。
DeviceLockテクニカルガイドとは?
DeviceLockテクニカルガイドは、組織のシステム管理者やセキュティ担当者の皆さんがDeviceLockをご利用になるうえでの、役に立つテクニカル情報をご提供するものです。
例えば、DeviceLockを使って組織のセキュリティ要件を満たしたいがどういう設定をしたらよいのか、DeviceLockの機能を使いたいが設定の仕方が分からない、DeviceLockでどんなことができるのか知りたい、DeviceLockのこの機能は何のためにあるのか、など、DeviceLockに係るテクニカル相談窓口となることを目指しています。
このガイドでは、無作為に設定した特定の目的に対し、それを実現するための準備や設定方法を順を追って説明します。併せて、関連する情報についても掲載し、ユーザー様のスキルアップを図ります。ぜひご活用ください。
なお、本ガイドはDeviceLockを実際にご利用になっている方を対象としていますので、DeviceLockにおける「普通の」操作についての説明は省略させて頂きます。また、DeviceLockについての体系的な説明よりも、特定の機能に絞ったピンポイントの説明を指向しますので、体系的・包括的な情報を参照したい場合は製品添付の「DeviceLockユーザーマニュアル」をご利用ください。
本ガイドでは、効率的な説明のため、DeviceLockをはじめ、Windows、Macintosh、 コンピューター(ハードウェア)、周辺機器(デバイス)、ネットワーク等についての専門用語が使用されることが多々ありますが、一般的な用語についてはガイド中での説明を省略させていただくことがあります。
投稿日:2020年12月17日
How to DeviceLock 記事一覧
- 45:クライアントのServiceがアンインストールされたことを知るには
- 44:ログの保存場所について
- 43:Enterprise Serverに監査ログを集積するには
- 42:EnterpriseManagerからDeviceLockServiceをインストールするには?
- 41:EnterpriseManagerで監査ログを保存・ロードするには?
- 40:OneDrive以外のクラウドストレージ利用を禁止するには?
- 39:アクセス制御ポリシーの変更箇所を確認するには?
- 38:Mac版DeviceLockのインストール後のブロック解除
- 37:Mac版DeviceLockをアンインストールするには?
- 36:Mac版DeviceLockを利用する際の準備(NTLM認証)
- 35:DeviceLockの通信で使用するポートについて
- 34: ハードディスクのアクセス制御について
- 33:スマートフォンへのファイル書き出しを禁止するには?
- 32:マイナンバーを含むファイルの書き出しを禁止するには?
- 31:DeviceLockのログ日付を和暦で表示するには?
- 30:EnterpriseServerからServiceをインストールするには?
- 29:EnterpriseServerのDB作成でエラーが発生する?
- 28:インストール中に現れる[チャネルのロック]画面とは?
- 27:DeviceLockの現在の設定を一覧で確認するには?
- 26:アクセスを拒否した監査ログのみを抽出するには?
- 25:EnterpriseServerからSQLServerに接続できない?
- 24:特定のタイプのファイルだけ書き込みを許可するには?
- 23:イベントの発生を電子メールで通知するには?
- 22:Mac版DeviceLockをコマンドでインストールするには?
- 21:BitLocker To Goデバイスのみアクセスを許可するには?
- 20:シャドウログのローテーションを設定するには?
- 19:DeviceLock管理者を設定するには?
- 18:インストールされているバージョンとライセンスを知るには?
- 17:PC持ち出し時に自動で制御ポリシーを変えるには?
- 16:特定の時間帯だけ制御を有効にするには?
- 15:USB Devices Databaseを手作業で作成するには?
- 14:EnterpriseManagerのPCリストを作成するには?
- 13:カスタムMSIインストーラーを作成するには?
- 12:DeviceLockServiceと固定ポートで通信するには?
- 11:USBデバイスをブロックしたことをユーザーに通知するには?
- 10:DeviceLockをサイレントインストールするには?
- 09:Enterprise Managerでクライアント認証を設定するには?
- 08:ポリシーをエクスポート/インポートするには?
- 07:USBデバイスをデバイスクラス単位で使用許可するには?
- 06:インストール後にライセンスを適用するには?
- 05:適用済みのライセンスをクリアするには?
- 04:USBデバイスの利用を一時的に許可するには?
- 03:スタンドアロンクライアントのポリシーを変更するには?
- 02:DeviceLock証明書を生成するには?
- 01:監査ログのローテーションを設定するには?
- How to DeviceLockとは?