Deep Security Agentは、保護モジュールのルールまたは条件がトリガされると「セキュリティイベント」を記録します。AgentとDeep Security Managerは、管理またはシステム関連のイベント (管理者のログインやAgentソフトウェアのアップグレードなど) が発生すると「システムイベント」を記録します。イベントデータは、Deep Security Managerのさまざまなレポートやグラフに使用されます。
イベントを表示するには、Deep Security Managerの[イベントとレポート]に移動します。

Agentでのイベントログの場所

イベントログの場所はOSによって異なります。Windowsの場合は、次の場所に保存されます。
C:\Program Data\Trend Micro\Deep Security Agent\Diag
Linuxの場合は、次の場所に保存されます。
/var/opt/ds_agent/diag
注意
注意
これらの場所には標準レベルのログのみが含まれています。診断デバッグレベルのログは別の場所にあります。パフォーマンス上の理由から、デバッグレベルのログ記録はデフォルトでは有効になっていません。トレンドマイクロのテクニカルサポートと問題を診断する場合にのみデバッグログを有効にし、完了したらデバッグログを無効にするようにしてください。詳細については、Deep Security Agent (DSA) での詳細なログ記録の有効化を参照してください。

イベントがManagerに送信されるタイミング

コンピュータで実行されるほとんどのイベントは、次のハートビート操作中にDeep Security Managerに送信されます。ただし、通信設定でRelay/Agentが通信を開始できるようになった場合は、直ちに送信されます。
  • スマートスキャンサーバがオフライン
  • スマートスキャンサーバがオンライン復帰
  • 変更監視検索が完了
  • 変更監視のベースライン作成
  • 変更監視ルール内に認識できないエレメント
  • 変更監視ルールのエレメントがローカルプラットフォームでサポートされていない
  • 異常な再起動の検出
  • ディスク容量不足の警告
  • セキュリティログ監視がオフライン
  • セキュリティログ監視がオンライン復帰
  • 攻撃の予兆スキャンが検出されました ([コンピュータまたはポリシーエディタ]→[ファイアウォール]→[攻撃の予兆]で設定が有効になっている場合)

イベントが格納される期間

Deep Security Managerによって収集されたイベントは、[管理][システム設定][ストレージ]ページで指定された期間保存されます。詳細については、ログとイベントの保存に関するベストプラクティスを参照してください。

システムイベント

すべてのDeep Securityシステムイベントが表示され、 [管理]→[システム設定]→[システムイベント]タブで設定できます。個々のイベントを記録するかどうか、またSIEMシステムに転送するかどうかを設定できます。 システムイベントの詳細については、システムイベントを参照してください。

セキュリティイベント

各保護モジュールでは、ルールがトリガされるか、その他の設定の条件が満たされると、イベントが生成されます。セキュリティイベント生成に関する一部の設定は変更が可能です。特定の種類のセキュリティイベントに関する詳細については、次のトピックを参照してください。
コンピュータ上で有効なファイアウォールのステートフル構成は、TCP、UDP、およびICMPイベントのログ記録を有効または無効にするように変更できます。ステートフルファイアウォール構成のプロパティを編集するには、[ポリシー]→[共通オブジェクト]→[その他]→[ファイアウォールステートフル設定]に移動します。ログ記録オプションは、ファイアウォールのステートフル構成の[プロパティ]ウィンドウの[TCP][UDP]、および[ICMP]タブにあります。ファイアウォールイベントの詳細については、ファイアウォールイベントを参照してください。

ポリシーまたはコンピュータに関連付けられたイベントを確認する

[ポリシーエディタ][コンピュータエディタ]の両方に、各保護モジュールの[イベント]タブがあります。ポリシーエディタは、現在のポリシーに関連するイベントを表示します。コンピュータエディタは、現在のコンピュータに特有のイベントを表示します。

イベントの詳細を表示する

イベントの詳細を確認するには、ダブルクリックします。
[一般]タブには次の項目が表示されます:
  • 日時::Deep Security Managerをホストしているコンピュータ上のシステムクロックによる時間。
  • レベル::発生したイベントの重大度レベル。イベントレベルには[情報][警告][エラー]が含まれます。
  • イベントID::イベントの種類に一意の識別子。
  • イベント::イベントIDに関連付けられたイベントの名前
  • 対象::イベントに関連付けられたシステムオブジェクトは、ここで識別されます。オブジェクトのIDをクリックすると、オブジェクトのプロパティシートが表示されます。
  • イベント送信元::イベントの発生元であるDeep Securityコンポーネント。
  • 処理実行者::イベントをユーザが実行した場合は、そのユーザのユーザ名がここに表示されます。ユーザ名をクリックすると、[ユーザプロパティ] 画面が表示されます。
  • Manager::Deep Security Managerコンピュータのホスト名。
  • 説明::必要に応じて、どのような処理が実行されてこのイベントがトリガされたのか、処理の詳細がここに表示されます。
[タグ] タブには、このイベントに関連付けられているタグが表示されます。イベントのタグ付けの詳細については、[ポリシー]→[共通オブジェクト]→[その他]→[タグ]、およびイベントを識別およびグループ化するためのタグの適用を参照してください。

リストをフィルタしてイベントを検索する

[期間] ツールバーでリストをフィルタし、特定の期間内に発生したイベントだけを表示できます。
[コンピュータ] ツールバーで、コンピュータグループ別またはコンピュータポリシー別にイベントログエントリを表示できます。
[検索]→[詳細検索を開く] をクリックすると、詳細検索バーの表示を切り替えることができます。
2016-07-08_000133_DS10=7fdd9351-ca80-4f6e-80b0-3899019dd7c3.png
検索バーの右側にある「検索バーの追加」ボタン (+) をクリックすると、追加の検索バーが表示され、検索に複数のパラメータを適用できます。準備が整ったら、送信ボタン (ツールバーの右側にある上部に右矢印の付いたボタン) をクリックします。

イベントをエクスポートする

表示されたイベントはCSVファイルにエクスポートできます(ページの指定はできません。すべてのページがエクスポートされます)。表示されたリストをエクスポートするか、または選択したアイテムをエクスポートするかを選択できます。

ログのパフォーマンスを向上する

イベント収集のパフォーマンスを最大限にするためのヒントを以下に示します。
  • 重要でないコンピュータのログ収集を減らすか、無効にします。
  • ファイアウォールステートフル設定の [プロパティ] 画面でログオプションの一部を無効にして、ファイアウォールルール処理のログを削減することを検討します。たとえば、UDPログを無効にすると、「許可されていないUDP応答」のログエントリは除外されます。