44:ログの保存場所について

今回のテーマ

ログの保存場所について

Question: やりたいこと

DeviceLockの運用で監査ログやシャドウイングログを取得しており、また、DeviceLock Enterprise Serverを利用して、ログの一元管理(集積)もしています。

クライアントのディスクリソースの管理上、生成されたログがどこに保存されているか知りたいと思っています。

ログの保存場所が説明された資料はありますか。

Answer: こうすればできる

DeviceLockのクライアントで生成されるログ、DeviceLock Enterprise Serverで集積されるログの保存場所は、設定である程度変更することができます。

本ページでは、標準的なインストールで設定されるデフォルトの保存場所、保存先を変更する場合の設定方法について記載します。

Step: デフォルトの保存場所と変更方法

DeviceLockを標準的にインストールした場合のログの保存場所、および保存先の変更方法について説明します。

    特に断りのない限り、クライアントOSはWindows10 バージョン2004とします。

DeviceLockクライアントのログ保存場所

まず始めに、2種類ある、DeviceLockクライアントの監査ログについて、説明します。

イベントログ

クライアントコンピューターのローカルディスク内に保存される監査ログで、Windowsイベント形式で生成されます。

DeviceLock管理コンソールやDeviceLock Enterprise ManagerでクライアントコンピューターのDeviceLock Serviceに接続すると、接続先コンピューターに保存されているWindowsイベント形式の監査ログを参照することができます。

Windowsイベント形式のため、Windowsイベントビューアーでも参照することができます。

DeviceLockログ

クライアントコンピューターのローカルディスク内に一時保存される監査ログで、DeviceLock独自形式で生成され、DeviceLock Enterprise Serverに転送されるとローカルディスクから削除されます。

DeviceLock管理コンソールでDeviceLock Enterprise Serverに接続すると、各クライアントコンピューターから集積された監査ログをまとめて参照することができます。

DeviceLock独自形式のため、DeviceLock Enterprise Serverの利用以外の方法で参照することはできません。

  1. イベントログ
    Windowsイベント形式の監査ログのファイル名は「DeviceLock Log.evtx」で、クライアントローカルコンピューターの以下の場所にあります。

    %SystemRoot%\System32\Winevt\Logs

    • 「%SystemRoot%」は、Windowsがインストールされたフォルダーを表します。
      例えば、Windowsが「C:\Windows」フォルダーにインストールされている場合、上記の場所は以下になります。
      C:\Windows\System32\winevt\Logs

    DeviceLockでこの場所を変更する方法は、用意されていません。

  2. DeviceLockログとシャドウイングログ
    DeviceLock形式の監査ログの保存場所は、デフォルトでは、クライアントローカルコンピューターの以下の場所になっています。

    %SystemRoot%\SHADOW

    • 「%SystemRoot%」は、Windowsがインストールされたフォルダーを表します。
      例えば、Windowsが「C:\Windows」フォルダーにインストールされている場合、上記の場所は以下になります。
      C:\Windows\SHADOW

    DeviceLockでは、この場所を「ローカルストレージディレクトリ」と呼んでいます。
    DeviceLockでこの場所を変更する方法は、以下の通りです。

  • ローカルストレージディレクトリを変更する方法例
  1. DeviceLock管理コンソールを起動し、ローカルストレージディレクトリを変更したいクライアントコンピューターのDeviceLock Serviceに接続します。
  2. 左ペインで[DeviceLock Service]-[Serviceオプション]-[監査/シャドウイング]と展開し、右ペインで「ローカルストレージディレクトリ」項目を探してダブルクリック、または項目を右クリックして表示されるコンテキストメニューから[プロパティ]を選択するとローカルストレージディレクトリ設定画面が表示されます。
  3. [ローカルストレージディレクトリ]欄に、変更したいローカルストレージディレクトリのフルパスを入力します。デフォルト値に戻すには、[デフォルト]ボタンをクリックします。

  4. 設定を変更したら[OK]ボタンをクリックしてローカルストレージディレクトリ設定画面を閉じます。

    ローカルストレージディレクトリ(フォルダー)には、セキュリティプロテクトが設定されており、ユーザーが直接内容を参照したり、ファイルを書き込んだりすることができないようになっています。ユーザーがDeviceLock以外の何らかの方法でフォルダーの中身にアクセスしたことにより発生した障害等につきましては、弊社ではサポートいたしかねますのでご注意ください。

DeviceLock Enterprise Serverのログ保存場所

DeviceLock Enterprise Serverは、クライアントから収集した監査ログを、デフォルトで、DeviceLock Enterprise Serverを構築する際に生成したデータベース内に保存します。

また、DeviceLock Enterprise Serverは、クライアントから収集したシャドウイングログを、DeviceLock Enterprise Serverサービスが動作するコンピューターからアクセス可能なドライブ内に保存します。
デフォルトで設定されるフォルダーは以下になります。

%SystemRoot%\DLSTORE

  • 「%SystemRoot%」は、Windowsがインストールされたフォルダーを表します。
    例えば、Windowsが「C:\Windows」フォルダーにインストールされている場合、上記の場所は以下になります。
    C:\Windows\DLSTORE
  • 監査ログの保存先のデータベースを変更する方法
  1. DeviceLock管理コンソールを起動し、ログ保存場所の設定を変更したいDeviceLock Enterprise Serverに接続します。
  2. 左ペインで[DeviceLock Enterprise Server]-[Serverオプション]と展開し、右ペインで「データベース名」項目を探してダブルクリック、または項目を右クリックして表示されるコンテキストメニューから[プロパティ]を選択すると、データベース設定画面が表示されます。
  3. データベース名を変更します。
    • DeviceLock Enterprise Serverでこれまで使用したことのないデータベース名を入力すると、その名前で新しいデータベースを生成します。
    • DeviceLock Enterprise Serverでこれまで使用したことのあるデータベース名を入力すると、使用していた当時のDeviceLockバージョンにより、データベースをそのまま使用できるか、データベースのアップグレードが行なわれるか、データベースの使用ができないかの、どれかになります。
  4. 他の項目は変更せず、[次へ]をクリックして続けていくと、設定が終了します。
  • シャドウイングログの保存先を変更する方法

シャドウイングログの保存先は、デフォルトではDeviceLock Enterprise Serverサービスの動作しているコンピューターのローカルドライブですが、これを別のローカルフォルダーやネットワークドライブ、またはデータベースに変更することができます。

  1. DeviceLock管理コンソールを起動し、ログ保存場所の設定を変更したいDeviceLock Enterprise Serverに接続します。
  2. 左ペインで[DeviceLock Enterprise Server]-[Serverオプション]と展開し、右ペインで「保存パス」項目を探してダブルクリック、または項目を右クリックして表示されるコンテキストメニューから[プロパティ]を選択すると、保存先設定画面が表示されます。
  3. 新しいシャドウイングログ保存先を指定します。次のうちから選択します。

    データベースにシャドウファイルを保存
    [データベースにシャドウファイルを保存]チェックボックスにチェックすると、[データベース名]欄で指定したデータベースにシャドウイングログを保存します。
    監査ログとシャドウイングログを同じデータベースに保存できることで、ログのバックアップ等の管理がしやすくなる一方、データベースサイズが非常に大きくなる場合があります。

    保存パス

    [データベースにシャドウファイルを保存]にチェックしない場合、シャドウイングログを、DeviceLock Enterprise Serverサービスの動作しているコンピューターからアクセスできるローカルドライブまたはネットワークドライブに保存します。

    対象のフォルダーをフルパスで指定します。
    [参照]ボタンをクリックすることで、フォルダー構成ツリーからフォルダーを選択することができます。

  4. 他の項目は変更せず、[次へ]をクリックして続けていくと、設定が終了します。

Reference: 参考

  1. DeviceLock Enterprise Serverで作成したデータベースは、DeviceLockの操作で削除することはできません。
    不要になったデータベースは、「SQL Server Management Studio」等、データベース側のツールにて行なってください。
  2. ローカルストレージディレクトリ(フォルダー)には、セキュリティプロテクトが設定されており、ユーザーが直接内容を参照したり、ファイルを書き込んだりすることができなくなっています。ユーザーがDeviceLock以外の何らかの方法でフォルダーの中身にアクセスしたことにより発生した障害等につきましては、弊社ではサポートいたしかねますのでご注意ください。
  3. DeviceLockクライアントの監査ログ設定により、一定サイズを超えた監査ログが「アーカイブファイル」として残ることがありますが、このログアーカイブの中身をDeviceLockのツールを使用して参照することはできません。

DeviceLockテクニカルガイドとは?

DeviceLockテクニカルガイドは、組織のシステム管理者やセキュティ担当者の皆さんがDeviceLockをご利用になるうえでの、役に立つテクニカル情報をご提供するものです。

例えば、DeviceLockを使って組織のセキュリティ要件を満たしたいがどういう設定をしたらよいのか、DeviceLockの機能を使いたいが設定の仕方が分からない、DeviceLockでどんなことができるのか知りたい、DeviceLockのこの機能は何のためにあるのか、など、DeviceLockに係るテクニカル相談窓口となることを目指しています。

このガイドでは、無作為に設定した特定の目的に対し、それを実現するための準備や設定方法を順を追って説明します。併せて、関連する情報についても掲載し、ユーザー様のスキルアップを図ります。ぜひご活用ください。

なお、本ガイドはDeviceLockを実際にご利用になっている方を対象としていますので、DeviceLockにおける「普通の」操作についての説明は省略させて頂きます。また、DeviceLockについての体系的な説明よりも、特定の機能に絞ったピンポイントの説明を指向しますので、体系的・包括的な情報を参照したい場合は製品添付の「DeviceLockユーザーマニュアル」をご利用ください。

本ガイドでは、効率的な説明のため、DeviceLockをはじめ、Windows、Macintosh、 コンピューター(ハードウェア)、周辺機器(デバイス)、ネットワーク等についての専門用語が使用されることが多々ありますが、一般的な用語についてはガイド中での説明を省略させていただくことがあります。

テクニカルガイド申し込みフォーム 

投稿日:2020年12月17日

How to DeviceLock 記事一覧