Systemwalker Desktop Keeper 運用ガイド 管理者編 V13.3.0 - Microsoft(R) Windows(R) -
目次 索引 前ページ次ページ
第2章 運用> 2.2 クライアント(CT)での操作を監査する> 2.2.2 ログを参照する

2.2.2.1 [ログ一覧]画面で参照する

[ログ一覧]画面を表示して、クライアント(CT)から採取されたログを参照する方法について説明します。

手順は、以下のとおりです。

  1. [ログビューア]を起動します。
  2. 階層構成ツリーからログを参照するクライアント(CT)またはCTグループを選択します。

    →選択したクライアント(CT)またはCTグループが反転表示されます。

    以下の場合は、CTグループやCTリストの情報を最新にしてください

    ログビューアの接続先が統合管理サーバの場合に、以下の動作により、画面に表示される統合管理サーバ配下の管理サーバのCTグループ、およびCTリストの情報が最新になっていないことがあります。

    • 管理コンソールでCTグループツリーが変更された場合
    • Active Directory連携が実行され、グループツリーが変更となった場合

    最新にするには、[ツリー設定]メニューから[最新表示]を選択してください。

     

  3. [表示]メニューから[ログ一覧表示]を選択します。

    →以下の画面が表示されます。

  4. 以下の情報を、検索を行いたい条件に応じて入力します。

    項目名

    説明

    [検索範囲]

    期間の範囲を指定した検索を行えます。[検索範囲]の開始および終了を空白にすると、すべての期間が検索対象になります。

    また開始日を空白にするとその月の月初(1日)からの検索になります。

    また終了日を空白にするとその月の月末(最終日)までの検索になります。

    [詳細検索]

    上記の[検索範囲]を、さらに詳細に検索する場合に[指定する]をチェックして、[曜日帯]および[時間帯]をチェックします。

    • [曜日帯]の指定は、複数の曜日のうち、1つ以上の曜日を含む「OR検索」となります
    • [時間帯]の指定は、複数の時間のうち、1つ以上の時間を含む「OR検索」となります
    • [曜日帯]および[時間帯]の指定は、複数の条件をすべて含む「AND検索」となります

    [キーワード]

    ログのキーワードによる検索を行えます。なお、キーワードを複数指定する場合は、キーワードとキーワードの間に半角または全角の空白を入力します。

    なお、[検索条件]に[OR条件]を指定すると、指定された複数のキーワードのうち、1つ以上のキーワードを含む「OR検索」となります。また、[検索条件]に[AND条件]を指定すると、指定された複数のキーワードをすべて含む「AND検索」となります。なお、キーワードは過去入力した値が9つまで保存されますので過去入力した値で検索する場合はプルダウンメニューから選択してください。

    [検索条件]

    キーワードを複数指定した場合にそのキーワードがOR条件かAND条件かを選択します。

    [ユーザID]

    ユーザIDによる検索を行えます。なお入力できるユーザIDは1つまでです。

    [種別]

    [ログ一覧]に表示するログの種類を選択できます。ログの種類については、“参照可能なログの種類”を参照してください。

    [ドライブ種別]

    ドライブ種別による検索を行えます。
    ドライブ種別は、[種別]に以下の項目を設定した場合に、有効となる条件です。

    • [全て]
    • [ファイル操作]
    • [ファイル持出し]

    指定できるのは、以下の4種類です。同時に複数指定できます。

    • リムーバブル:ドライブレターとして認識される以下の媒体です
      • フロッピーディスク
      • 外付けハードディスク(USB、IEEE1394、PCMCIA接続など取り外し可能なハードディスクの場合)
      • MO
      • USBメモリ
      • コンパクトフラッシュメモリ
    • リモート:ネットワークドライブです。
    • CD/DVD:CD/DVDを挿入できるドライブです。
    • 固定:PCに固定されているドライブです。

     

    【[種別]と[ドライブ種別]の設定内容と、検索されるログの関係について】

    • [種別]に[ファイル操作]を設定した場合、以下のA)〜J)の場所として[ドライブ種別](リムーバブル、リモート、CD/DVD、固定)が指定されているログが、検索結果として表示されます。
      • A) 新規作成時における、ファイル作成先
      • B) 更新時における、更新ファイルの存在場所
      • C) 参照時における、参照ファイルの存在場所
      • D) 削除時における、削除ファイルの存在場所
      • E) 変名時における、変名前ファイルの存在場所
      • F) 変名時における、変名後ファイルの存在場所
      • G) 複写時における、複写元ファイルの存在場所
      • H) 複写時における、ファイル複写先
      • I) 移動時における、移動元ファイルの存在場所
      • J) 移動時における、ファイル移動先
    • [種別]に[ファイル持出し]を設定した場合、ファイルの持ち出し先として[ドライブ種別](リムーバブル、リモート、CD/DVD、固定)が指定されているログが、検索結果として表示されます。

    [区分]

    ポリシーの設定で、許可された操作または許可されていない操作かを選択することができます。許可された操作を検索する場合は[正規]、許可されていない操作を検索する場合は[違反]を選択します。[全て]を選択すると、[正規]および[違反]を選択したことになります。

     

  5. [検索]ボタンをクリックします。

    →以下の画面が表示され、対象データ件数が計測されます。

    検索結果の件数が10000件を超える場合、以下の画面が表示されます。[はい]ボタンをクリックすると検索を継続し、[いいえ]ボタンをクリックすると検索条件の画面になります。この画面が表示された場合は、[いいえ]ボタンをクリックし、検索条件を見直したあとで、再度検索することを推奨します。

    件数が10000件以下の場合、または検索継続を選択した場合は、[処理状態]が[検索中]に変わります。

    検索途中に[キャンセル]ボタンをクリックすると、以下の画面が表示されます。

    →検索が完了すると、入力した検索条件に応じて[ログ一覧]にログが表示されます。

    以下の抑止ログは、赤字で表示されます。

    ログビューアでは、ファイル操作ログの対象ファイルのパス長は、519バイトまで表示されます。UNICODE文字を含むパス名は、UNICODE文字の箇所がエスケープ化された表現で表示されます。

    検索結果件数が多い場合は、タイムアウトが発生し、以下のメッセージが表示されることがあります。そのときは、検索条件を絞り込んで検索を行ってください。

    【検索条件の絞り込み例】

  6. 表示されたログの行をダブルクリック、または、[詳細表示]ボタンをクリックします。

    →[ログ詳細]画面が表示されます。

    この画面で[前へ]ボタンをクリックすると、一つ前のログが表示され、[次へ]ボタンをクリックすると、次のログが表示されます。

    ログにUNICODE文字が含まれていて、「?」やエスケープ化した表現(具体的には、“ꪪ”という表現で、AAAA部分は4ケタまたは5ケタの16進コードです)で表示されている場合、[文字確認]ボタンをクリックすると、「?」やエスケープ化した表現に変換される前のUNICODE文字を確認できます。

     

[SE]
付帯データを参照する

ウィンドウタイトルログやファイル持出しログを採取する場合、キャプチャした画面データや持ち出したファイルの原本データを同時に保存できます。これらのデータは、参照することが可能で、実際に表示していた画面や持ち出したファイルの中身を把握できます。

付帯データは、サーバ設定ツールの[管理者情報設定]画面の[詳細権限]で[付帯データ参照/保存]がチェックされている場合に、参照、保存できます。

 

◆画面キャプチャデータを参照/保存する

画面キャプチャデータがあるウィンドウタイトルログの場合、[ログ詳細]画面の[画像表示]ボタンをクリックすると、キャプチャした画面を参照することができます。画面キャプチャデータがあるウィンドウタイトルログはログ一覧の[付帯]項目に1画面の画面キャプチャがあるログの場合は[1]、2画面の画面キャプチャがあるログの場合は[2]と表示されます。また、[ログ詳細]画面で[付帯]項目に1画面の画面キャプチャがあるログの場合は[1度取得]、2画面の画面キャプチャがあるログの場合は[2度取得]と表示されます。

  1. [画像表示]ボタンをクリックします。

    →画面キャプチャした画像が表示されます。

    画面キャプチャデータを表示できない場合があります

    [画像表示]ボタンをクリックした場合に、以下のメッセージが表示される場合があります。これは画面キャプチャデータがまだクライアント(CT)から管理サーバに送信されていない場合、または、CTに画面キャプチャデータを保存する設定にした場合に表示されます。[OK]ボタンをクリックした後、しばらく待ってから参照してください。画面キャプチャデータの保存場所、送信タイミングの設定は管理コンソールの[端末動作設定]で設定されています。設定内容を確認し、運用に応じて設定を変更してください。[端末動作設定]内容の確認方法については、“端末動作設定をおこなう”を参照してください。

     

  2. 2画面目を採取するポリシーが設定されている場合は、[2画面目表示]ボタンをクリックします。

    →2画面目の画像が表示されます。

  3. 再度、1画面目の画像を表示する場合は[1画面目表示]ボタンをクリックします。

    →1画面目の画像が表示されます。

  4. 画像を原寸で表示する場合は、[原寸表示]ボタンをクリックします。

  5. [ファイル保存]ボタンをクリックします。
    →[名前を付けて保存]画面が表示されますので、保存する場所を選択し、[保存]ボタンをクリックします。画像がpngファイル形式で指定した場所に保存されます。

    ファイル名は、初期表示されています。
    ウィンドウタイトルログの画面キャプチャデータファイル名:" CTの名称" + '-' + ログ発生日時(yyyymmddhhmnss)+'.'+拡張子(例 PC382686-20061215203412.png)

  6. [閉じる]ボタンをクリックします。

     

◆原本保管ファイルを保存する

原本保管ファイルがあるファイル持出しログや連携アプリケーションログの場合、[ログ詳細]画面の[ファイル保存]ボタンをクリックすると、原本保管したファイルを任意の場所に保存することができます。原本保管ファイルがあるファイル持出しログや連携アプリケーションログは、[ログ一覧]の[付帯]項目に[原本ファイル有り]と表示されます。

  1. [ファイル保存]ボタンをクリックします。

    →[名前を付けて保存]画面が表示されますので、保存する場所を選択し、[保存]ボタンをクリックします。
    ファイル名には、原本保管時のファイル名が初期表示されています。必要に応じて、ファイル名を変更して保存してください。

    原本保管ファイルを保存できない場合があります

    [ファイル保存]ボタンをクリックした場合に、以下のメッセージが表示される場合があります。これは原本保管ファイルが、クライアント(CT)から管理サーバにまだ送信されていない場合、または、クライアント(CT)に原本ファイルを保存する設定にした場合に表示されます。[OK]ボタンをクリックした後、しばらく待ってから参照してください。原本ファイルの保存場所、送信タイミングの設定は管理コンソールの[端末動作設定]で設定されています。設定内容を確認し、運用に応じて設定を変更してください。[端末動作設定]内容の確認方法については、“端末動作設定をおこなう”を参照してください。

     

■CT単位でログを参照する

  1. ログビューアを起動します。
  2. ログを参照するクライアント(CT)またはCTグループを選択し、[表示]メニューから[ログ一覧表示]を選択します。

    →以下の画面が表示されます。

  3. [CT一覧]ボタンをクリックします。

    →[CT一覧]画面が表示されます。

    項目名

    説明

    [名称]

    クライアント(CT)に付けることができる名称で、初期値はコンピュータ名です。

    変更する場合は、“CTポリシーを変更する”を参照してください。

    [件数]

    検索されたクライアント(CT)のログの件数です。

    [適用ポリシー]

    適用されているポリシーです。

    [CT]:CTポリシーが設定されていることを示します。
    [グループ]:CTグループポリシーが設定されていることを示します。

    [コンピュータ名]

    クライアント(CT)のコンピュータ名です。

    [MACアドレス]

    クライアント(CT)のMACアドレスです。

    [IPアドレス]

    クライアント(CT)のIPアドレスです。

    [OS]

    クライアント(CT)のOS名です。

    [CT区分]

    クライアント(CT)がStandard Editionの場合だけ[SE]と表示されます。

    [CTバージョン]

    インストールされているSystemwalker Desktop Keeperのクライアント(CT)のバージョンです。なお、製品のバージョン/エディションとの対応は、“Systemwalker Desktop Keeper リファレンスマニュアル”の“CTバージョン”を参照してください。

    [DTPID]

    Systemwalker Desktop Patrolのクライアント(CT)の「ユーザID(+)PC名」です。

    Systemwalker Desktop Keeperのクライアント(CT)およびSystemwalker Desktop Patrolのクライアント(CT)が同一のマシンにインストールされている場合に表示されます。

    [組織名]

    クライアント(CT)のOSに設定されている組織名です。

    [所有者名]

    クライアント(CT)のOSに設定されている所有者名です。

    [サブネットマスク]

    クライアント(CT)のネットワークで設定されているサブネットマスクです。

    [Active Directory連携]

    クライアント(CT)が、Active Directory連携によって情報を取り込んでいるかどうかが表示されます。

    • Active Directory連携によって情報を取り込んでいるクライアント(CT)の場合:
      (空欄)
    • Active Directory連携以外の方法で情報を取り込んでいるクライアント(CT)の場合:
      [非対象]と表示されます。

    [ネットワーク参加状況]

    クライアント(CT)のネットワーク参加状況が表示されます。

    • [ドメイン]:
      ドメインに所属している場合に表示されます。
    • [ワークグループ]:
      ドメインに所属していない場合に表示されます。

    [所属ドメイン名]

    クライアント(CT)が所属しているドメイン名が表示されます。
    [ネットワーク参加状況]が[ワークグループ]の場合は、ワークグループ名が表示されます。

    [最終ログオン日時]

    クライアント(CT)は起動時に統合管理サーバまたは管理サーバと通信します。その通信でサーバがクライアント(CT)に実施した以下の処理の最終日時です。

    • CTポリシー送信
    • ユーザポリシー送信

    [クライアントポリシー更新日時]

    管理サーバまたは統合管理サーバが、クライアント(CT)にCTポリシーを送信した最終日時です。
    以下の場合に表示または更新されます。

    • CTリストに追加されたクライアント(CT)が再起動されて、統合管理サーバまたは管理サーバとの通信が開始されたとき
    • 管理コンソールの[即時更新を行う]ボタンをクリックして、クライアント(CT)に対してCTポリシーが反映されたとき

    [サーバ(DB)更新日時]

    管理サーバまたは統合管理サーバがクライアント(CT)のポリシーを更新し、データベースに反映した最終日時です(即時更新も含みます)。

    [備考]

    クライアント(CT)のポリシー反映時に入力した情報です。

    変更する場合は、“CTポリシーを変更する”を参照してください。

     

  4. ログを参照するクライアント(CT)を選択します。

    →選択したクライアント(CT)のログだけが[ログ一覧]に表示されます。

     

[ログ一覧]の表示内容をCSVファイルに出力する

CSVファイルへの出力、保存は、サーバ設定ツールの[管理者情報設定]画面の[詳細設定]で[CSVファイル保存]がチェックされている場合に実行できます。

  1. [ログ一覧]にCSVファイルに出力するログが表示されている状態で、[CSV出力]ボタンをクリックします。
  2. 保存するフォルダを選択し、ファイル名を入力して、[保存]ボタンをクリックします。

    →[ログビューア]画面が表示されます。

  3. [OK]ボタンをクリックします。

出力先に同じ名前のファイルが存在していた場合は、上書き、追記、または、キャンセルの選択画面が表示されます。必要に応じてどれかを選択してください。

出力されるCSVファイルの項目名と説明については、“Systemwalker Desktop Keeper リファレンスマニュアル”の“ログ一覧”を参照してください。

 

目次 索引 前ページ次ページ
Copyright 2005 - 2008 FUJITSU LIMITED