今回のテーマ
ログの保存場所について
Question: やりたいこと
DeviceLockの運用で監査ログやシャドウイングログを取得しており、また、DeviceLock Enterprise Serverを利用して、ログの一元管理(集積)もしています。
クライアントのディスクリソースの管理上、生成されたログがどこに保存されているか知りたいと思っています。
ログの保存場所が説明された資料はありますか。
Answer: こうすればできる
DeviceLockのクライアントで生成されるログ、DeviceLock Enterprise Serverで集積されるログの保存場所は、設定である程度変更することができます。
本ページでは、標準的なインストールで設定されるデフォルトの保存場所、保存先を変更する場合の設定方法について記載します。
Step: デフォルトの保存場所と変更方法
DeviceLockを標準的にインストールした場合のログの保存場所、および保存先の変更方法について説明します。
- 特に断りのない限り、クライアントOSはWindows10 バージョン2004とします。
DeviceLockクライアントのログ保存場所
まず始めに、2種類ある、DeviceLockクライアントの監査ログについて、説明します。
イベントログ
クライアントコンピューターのローカルディスク内に保存される監査ログで、Windowsイベント形式で生成されます。
DeviceLock管理コンソールやDeviceLock Enterprise ManagerでクライアントコンピューターのDeviceLock Serviceに接続すると、接続先コンピューターに保存されているWindowsイベント形式の監査ログを参照することができます。
Windowsイベント形式のため、Windowsイベントビューアーでも参照することができます。
DeviceLockログ
クライアントコンピューターのローカルディスク内に一時保存される監査ログで、DeviceLock独自形式で生成され、DeviceLock Enterprise Serverに転送されるとローカルディスクから削除されます。
DeviceLock管理コンソールでDeviceLock Enterprise Serverに接続すると、各クライアントコンピューターから集積された監査ログをまとめて参照することができます。
DeviceLock独自形式のため、DeviceLock Enterprise Serverの利用以外の方法で参照することはできません。
- イベントログ
Windowsイベント形式の監査ログのファイル名は「DeviceLock Log.evtx」で、クライアントローカルコンピューターの以下の場所にあります。%SystemRoot%\System32\Winevt\Logs
- 「%SystemRoot%」は、Windowsがインストールされたフォルダーを表します。
例えば、Windowsが「C:\Windows」フォルダーにインストールされている場合、上記の場所は以下になります。
C:\Windows\System32\winevt\Logs
DeviceLockでこの場所を変更する方法は、用意されていません。
- 「%SystemRoot%」は、Windowsがインストールされたフォルダーを表します。
- DeviceLockログとシャドウイングログ
DeviceLock形式の監査ログの保存場所は、デフォルトでは、クライアントローカルコンピューターの以下の場所になっています。%SystemRoot%\SHADOW
- 「%SystemRoot%」は、Windowsがインストールされたフォルダーを表します。
例えば、Windowsが「C:\Windows」フォルダーにインストールされている場合、上記の場所は以下になります。
C:\Windows\SHADOW
DeviceLockでは、この場所を「ローカルストレージディレクトリ」と呼んでいます。
DeviceLockでこの場所を変更する方法は、以下の通りです。 - 「%SystemRoot%」は、Windowsがインストールされたフォルダーを表します。
- ローカルストレージディレクトリを変更する方法例
- DeviceLock管理コンソールを起動し、ローカルストレージディレクトリを変更したいクライアントコンピューターのDeviceLock Serviceに接続します。
- 左ペインで[DeviceLock Service]-[Serviceオプション]-[監査/シャドウイング]と展開し、右ペインで「ローカルストレージディレクトリ」項目を探してダブルクリック、または項目を右クリックして表示されるコンテキストメニューから[プロパティ]を選択するとローカルストレージディレクトリ設定画面が表示されます。
- [ローカルストレージディレクトリ]欄に、変更したいローカルストレージディレクトリのフルパスを入力します。デフォルト値に戻すには、[デフォルト]ボタンをクリックします。
- 設定を変更したら[OK]ボタンをクリックしてローカルストレージディレクトリ設定画面を閉じます。
ローカルストレージディレクトリ(フォルダー)には、セキュリティプロテクトが設定されており、ユーザーが直接内容を参照したり、ファイルを書き込んだりすることができないようになっています。ユーザーがDeviceLock以外の何らかの方法でフォルダーの中身にアクセスしたことにより発生した障害等につきましては、弊社ではサポートいたしかねますのでご注意ください。
DeviceLock Enterprise Serverのログ保存場所
DeviceLock Enterprise Serverは、クライアントから収集した監査ログを、デフォルトで、DeviceLock Enterprise Serverを構築する際に生成したデータベース内に保存します。
また、DeviceLock Enterprise Serverは、クライアントから収集したシャドウイングログを、DeviceLock Enterprise Serverサービスが動作するコンピューターからアクセス可能なドライブ内に保存します。
デフォルトで設定されるフォルダーは以下になります。
%SystemRoot%\DLSTORE
- 「%SystemRoot%」は、Windowsがインストールされたフォルダーを表します。
例えば、Windowsが「C:\Windows」フォルダーにインストールされている場合、上記の場所は以下になります。
C:\Windows\DLSTORE - 監査ログの保存先のデータベースを変更する方法
- DeviceLock管理コンソールを起動し、ログ保存場所の設定を変更したいDeviceLock Enterprise Serverに接続します。
- 左ペインで[DeviceLock Enterprise Server]-[Serverオプション]と展開し、右ペインで「データベース名」項目を探してダブルクリック、または項目を右クリックして表示されるコンテキストメニューから[プロパティ]を選択すると、データベース設定画面が表示されます。
- データベース名を変更します。
- DeviceLock Enterprise Serverでこれまで使用したことのないデータベース名を入力すると、その名前で新しいデータベースを生成します。
- DeviceLock Enterprise Serverでこれまで使用したことのあるデータベース名を入力すると、使用していた当時のDeviceLockバージョンにより、データベースをそのまま使用できるか、データベースのアップグレードが行なわれるか、データベースの使用ができないかの、どれかになります。
- 他の項目は変更せず、[次へ]をクリックして続けていくと、設定が終了します。
- シャドウイングログの保存先を変更する方法
シャドウイングログの保存先は、デフォルトではDeviceLock Enterprise Serverサービスの動作しているコンピューターのローカルドライブですが、これを別のローカルフォルダーやネットワークドライブ、またはデータベースに変更することができます。
- DeviceLock管理コンソールを起動し、ログ保存場所の設定を変更したいDeviceLock Enterprise Serverに接続します。
- 左ペインで[DeviceLock Enterprise Server]-[Serverオプション]と展開し、右ペインで「保存パス」項目を探してダブルクリック、または項目を右クリックして表示されるコンテキストメニューから[プロパティ]を選択すると、保存先設定画面が表示されます。
- 新しいシャドウイングログ保存先を指定します。次のうちから選択します。
データベースにシャドウファイルを保存
[データベースにシャドウファイルを保存]チェックボックスにチェックすると、[データベース名]欄で指定したデータベースにシャドウイングログを保存します。
監査ログとシャドウイングログを同じデータベースに保存できることで、ログのバックアップ等の管理がしやすくなる一方、データベースサイズが非常に大きくなる場合があります。保存パス
[データベースにシャドウファイルを保存]にチェックしない場合、シャドウイングログを、DeviceLock Enterprise Serverサービスの動作しているコンピューターからアクセスできるローカルドライブまたはネットワークドライブに保存します。
対象のフォルダーをフルパスで指定します。
[参照]ボタンをクリックすることで、フォルダー構成ツリーからフォルダーを選択することができます。 - 他の項目は変更せず、[次へ]をクリックして続けていくと、設定が終了します。
Reference: 参考
- DeviceLock Enterprise Serverで作成したデータベースは、DeviceLockの操作で削除することはできません。
不要になったデータベースは、「SQL Server Management Studio」等、データベース側のツールにて行なってください。 - ローカルストレージディレクトリ(フォルダー)には、セキュリティプロテクトが設定されており、ユーザーが直接内容を参照したり、ファイルを書き込んだりすることができなくなっています。ユーザーがDeviceLock以外の何らかの方法でフォルダーの中身にアクセスしたことにより発生した障害等につきましては、弊社ではサポートいたしかねますのでご注意ください。
- DeviceLockクライアントの監査ログ設定により、一定サイズを超えた監査ログが「アーカイブファイル」として残ることがありますが、このログアーカイブの中身をDeviceLockのツールを使用して参照することはできません。
DeviceLockテクニカルガイドとは?
DeviceLockテクニカルガイドは、組織のシステム管理者やセキュティ担当者の皆さんがDeviceLockをご利用になるうえでの、役に立つテクニカル情報をご提供するものです。
例えば、DeviceLockを使って組織のセキュリティ要件を満たしたいがどういう設定をしたらよいのか、DeviceLockの機能を使いたいが設定の仕方が分からない、DeviceLockでどんなことができるのか知りたい、DeviceLockのこの機能は何のためにあるのか、など、DeviceLockに係るテクニカル相談窓口となることを目指しています。
このガイドでは、無作為に設定した特定の目的に対し、それを実現するための準備や設定方法を順を追って説明します。併せて、関連する情報についても掲載し、ユーザー様のスキルアップを図ります。ぜひご活用ください。
なお、本ガイドはDeviceLockを実際にご利用になっている方を対象としていますので、DeviceLockにおける「普通の」操作についての説明は省略させて頂きます。また、DeviceLockについての体系的な説明よりも、特定の機能に絞ったピンポイントの説明を指向しますので、体系的・包括的な情報を参照したい場合は製品添付の「DeviceLockユーザーマニュアル」をご利用ください。
本ガイドでは、効率的な説明のため、DeviceLockをはじめ、Windows、Macintosh、 コンピューター(ハードウェア)、周辺機器(デバイス)、ネットワーク等についての専門用語が使用されることが多々ありますが、一般的な用語についてはガイド中での説明を省略させていただくことがあります。
投稿日:2020年12月17日
How to DeviceLock 記事一覧
- 45:クライアントのServiceがアンインストールされたことを知るには
- 44:ログの保存場所について
- 43:Enterprise Serverに監査ログを集積するには
- 42:EnterpriseManagerからDeviceLockServiceをインストールするには?
- 41:EnterpriseManagerで監査ログを保存・ロードするには?
- 40:OneDrive以外のクラウドストレージ利用を禁止するには?
- 39:アクセス制御ポリシーの変更箇所を確認するには?
- 38:Mac版DeviceLockのインストール後のブロック解除
- 37:Mac版DeviceLockをアンインストールするには?
- 36:Mac版DeviceLockを利用する際の準備(NTLM認証)
- 35:DeviceLockの通信で使用するポートについて
- 34: ハードディスクのアクセス制御について
- 33:スマートフォンへのファイル書き出しを禁止するには?
- 32:マイナンバーを含むファイルの書き出しを禁止するには?
- 31:DeviceLockのログ日付を和暦で表示するには?
- 30:EnterpriseServerからServiceをインストールするには?
- 29:EnterpriseServerのDB作成でエラーが発生する?
- 28:インストール中に現れる[チャネルのロック]画面とは?
- 27:DeviceLockの現在の設定を一覧で確認するには?
- 26:アクセスを拒否した監査ログのみを抽出するには?
- 25:EnterpriseServerからSQLServerに接続できない?
- 24:特定のタイプのファイルだけ書き込みを許可するには?
- 23:イベントの発生を電子メールで通知するには?
- 22:Mac版DeviceLockをコマンドでインストールするには?
- 21:BitLocker To Goデバイスのみアクセスを許可するには?
- 20:シャドウログのローテーションを設定するには?
- 19:DeviceLock管理者を設定するには?
- 18:インストールされているバージョンとライセンスを知るには?
- 17:PC持ち出し時に自動で制御ポリシーを変えるには?
- 16:特定の時間帯だけ制御を有効にするには?
- 15:USB Devices Databaseを手作業で作成するには?
- 14:EnterpriseManagerのPCリストを作成するには?
- 13:カスタムMSIインストーラーを作成するには?
- 12:DeviceLockServiceと固定ポートで通信するには?
- 11:USBデバイスをブロックしたことをユーザーに通知するには?
- 10:DeviceLockをサイレントインストールするには?
- 09:Enterprise Managerでクライアント認証を設定するには?
- 08:ポリシーをエクスポート/インポートするには?
- 07:USBデバイスをデバイスクラス単位で使用許可するには?
- 06:インストール後にライセンスを適用するには?
- 05:適用済みのライセンスをクリアするには?
- 04:USBデバイスの利用を一時的に許可するには?
- 03:スタンドアロンクライアントのポリシーを変更するには?
- 02:DeviceLock証明書を生成するには?
- 01:監査ログのローテーションを設定するには?
- How to DeviceLockとは?