ビュー:
エージェントは、保護モジュールのルールまたは条件がトリガされたときに記録します (セキュリティイベント)。 Agents and Workload Securityでは、管理者によるログインやエージェントソフトウェアのアップグレードなど、管理イベントまたはシステム関連のイベント (システムイベント) の発生も記録されます。イベントデータは、Workload Securityのさまざまなレポートやグラフに入力するために使用されます。
イベントを表示するには、Workload Securityの[イベントとレポート]に移動してください。

イベントログの場所

イベントログの場所はOSによって異なります。Windowsの場合は、次の場所に保存されます。
C:\Program Data\Trend Micro\Deep Security Agent\Diag
Linuxの場合は、次の場所に保存されます。
/var/opt/ds_agent/diag
これらの場所には標準レベルのログのみが含まれています。診断用のデバッグレベルのログは異なる場所にあります。パフォーマンス上の理由から、デバッグレベルのログ記録はデフォルトでは有効になっていません。トレンドマイクロの技術サポートと問題を診断する場合にのみデバッグログを有効にし、完了したら必ずデバッグログを無効にしてください。詳細については、Deep Securityエージェントでの詳細なログの有効化を参照してください。

Workload Securityにイベントを送信するタイミング

コンピュータで発生するほとんどのイベントは、次のハートビート処理時にWorkload Securityに送信されます。ただし、通信設定でRelayまたはAgentによる通信の開始が許可されている場合はすぐに送信されます。
  • スマートスキャンサーバがオフライン
  • スマートスキャンサーバがオンライン復帰
  • 変更監視検索が完了
  • 変更監視のベースライン作成
  • 変更監視ルール内に認識できないエレメント
  • 変更監視ルールのエレメントがローカルプラットフォームでサポートされていない
  • 異常な再起動の検出
  • ディスク容量不足の警告
  • セキュリティログ監視がオフライン
  • セキュリティログ監視がオンライン復帰
  • 攻撃の予兆スキャンが検出されました ([コンピュータまたはポリシーエディタ][ファイアウォール][攻撃の予兆]で設定が有効になっている場合)

ロングイベントの保存

Workload Securityはセキュリティイベントを4週間、システムイベントを13週間保持します。より長いイベント保持期間が必要な場合は、イベントを外部のSIEMにエクスポートすることを検討してください。詳細については、Workload Securityイベントを外部のsyslogまたはSIEMサーバに転送するを参照してください。
イベント履歴は次のイベントに対して保持されます。
  • 不正プログラム対策 イベント
  • アプリケーションコントロールイベント
  • ファイアウォールイベント
  • 変更監視 イベント
  • 侵入防御イベント
  • セキュリティログ監視 イベント
  • Webレピュテーションイベント
  • システムイベント
  • デバイスコントロールイベント

システムイベント

すべての Workload Security システムイベントが表示され、[管理][システム設定][システムイベント]タブで設定できます。個々のイベントを記録するかどうか、またSIEMシステムに転送するかどうかを設定できます。システムイベントの詳細については、システムイベントを参照してください。

セキュリティイベント

各保護モジュールでは、ルールがトリガされるか、その他の設定の条件が満たされると、イベントが生成されます。セキュリティイベント生成に関する一部の設定は変更が可能です。特定の種類のセキュリティイベントに関する詳細については、次のトピックを参照してください。
コンピュータ上で有効なファイアウォールのステートフル構成は、TCP、UDP、ICMPイベントログを有効または無効にするように変更できます。ステートフルファイアウォール構成のプロパティを編集するには、[ポリシー][共通オブジェクト][その他][ファイアウォールステートフル設定]に移動します。ログオプションは、ファイアウォールのステートフル構成の[プロパティ]ウィンドウの[TCP][UDP][ICMP]タブにあります。ファイアウォールイベントの詳細については、ファイアウォールイベントを参照してください。

ポリシーまたはコンピュータに関連するイベントを表示

[ポリシー]エディターと[コンピュータ]エディターには、各保護モジュールの[イベント]タブがあります。ポリシーエディターは、現在のポリシーに関連するイベントを表示します。コンピュータエディターは、現在のコンピュータに特有のイベントを表示します。

イベントの詳細を表示する

イベントの詳細を確認するには、ダブルクリックします。
[一般]タブには次の項目が表示されます。
  • [時間:] Workload Securityをホストしているコンピュータのシステム時計による時刻。
  • [レベル:] 発生したイベントの重大度レベル。イベントレベルには[情報][警告][エラー]が含まれます。
  • [イベントID:] イベントタイプの一意の識別子。
  • [イベント:] イベントの名前 (イベントIDに関連付けられています。)
  • [対象:] イベントに関連付けられたシステムオブジェクトがここに識別されます。オブジェクトの識別をクリックすると、オブジェクトのプロパティシートが表示されます。
  • [イベント送信元:] イベントが発生したWorkload Securityコンポーネント。
  • [Action Performed By:] イベントがユーザによって開始された場合、そのユーザのユーザ名がここに表示されます。ユーザ名をクリックすると、[User Properties] ウィンドウが表示されます。
  • [Manager:] Workload Securityコンピュータのホスト名。
  • [説明] 適切な場合、このイベントを引き起こしたアクションの具体的な詳細がここに表示されます。
[タグ]タブには、このイベントに添付されたタグが表示されます。イベントタグ付けの詳細については、[ポリシー][共通オブジェクト][その他][タグ]およびイベントを識別してグループ化するためのタグの適用を参照してください。

リストをフィルタしてイベントを検索する

[期間]Trend ツールバーを使用すると、特定の期間内に発生したイベントのみを表示するようにリストをフィルタリングできます。
[コンピュータ] Trend ツールバーを使用すると、イベントログエントリをコンピュータグループまたはコンピュータポリシーで整理できます。
[検索][詳細検索を開く] をクリックすると、詳細検索バーの表示を切り替えることができます。
2016-07-08_000133_DS10=f22ede5f-8dd9-47d2-8212-a8738206155b.png
検索バーの右側にある[Add Search Bar] (+) をクリックすると、追加の検索バーが表示され、複数のパラメータを検索に適用できます。準備ができたら、[Submit Request] をクリックしてください。

イベントをエクスポートする

表示されたイベントをCSVファイルにエクスポートできます (ページングは無視され、すべてのページがエクスポートされます)。表示されているリストまたは選択した項目をエクスポートできます。

ログのパフォーマンスを向上する

イベント収集のパフォーマンスを最大化できます。
  • 重要でないコンピュータのログ収集を減らすか、無効にします。
  • ファイアウォールステートフル構成[プロパティ]ウィンドウでいくつかのログオプションを無効にして、ファイアウォールルール活動のログを減らすことを検討してください。例えば、UDPログを無効にすると、未承諾のUDPログエントリが排除されます。