エージェントは、保護モジュールのルールまたは条件がトリガされたときに記録します (セキュリティイベント)。 Agents and Workload Securityでは、管理者によるログインやエージェントソフトウェアのアップグレードなど、管理イベントまたはシステム関連のイベント (システムイベント) の発生も記録されます。イベントデータは、Workload Securityのさまざまなレポートやグラフに入力するために使用されます。
イベントを表示するには、[Events & Reports] から Workload Securityに移動します。

イベントログの場所

イベントログの場所はOSによって異なります。Windowsの場合は、次の場所に保存されます。
C:\Program Data\Trend Micro\Deep Security Agent\Diag
Linuxの場合は、次の場所に保存されます。
/var/opt/ds_agent/diag
これらの場所には標準レベルのログのみが含まれています。診断用のデバッグレベルのログは異なる場所にあります。パフォーマンス上の理由から、デバッグレベルのログ記録はデフォルトでは有効になっていません。トレンドマイクロの技術サポートと問題を診断する場合にのみデバッグログを有効にし、完了したら必ずデバッグログを無効にしてください。詳細については、Deep Securityエージェントでの詳細なログの有効化を参照してください。

Workload Securityにイベントを送信するタイミング

コンピュータで発生するほとんどのイベントは、次のハートビート処理時にWorkload Securityに送信されます。ただし、通信設定でRelayまたはAgentによる通信の開始が許可されている場合はすぐに送信されます。
  • スマートスキャンサーバがオフライン
  • スマートスキャンサーバがオンライン復帰
  • 変更監視検索が完了
  • 変更監視のベースライン作成
  • 変更監視ルール内に認識できないエレメント
  • 変更監視ルールのエレメントがローカルプラットフォームでサポートされていない
  • 異常な再起動の検出
  • ディスク容量不足の警告
  • セキュリティログ監視がオフライン
  • セキュリティログ監視がオンライン復帰
  • 攻撃の予兆スキャンが検出されました ([コンピュータまたはポリシーエディタ][ファイアウォール][攻撃の予兆]で設定が有効になっている場合)

ロングイベントの保存

Workload Securityはセキュリティイベントを4週間、システムイベントを13週間保持します。より長いイベント保持期間が必要な場合は、イベントを外部のSIEMにエクスポートすることを検討してください。詳細については、Workload Securityイベントを外部のsyslogまたはSIEMサーバに転送するを参照してください。
イベント履歴は次のイベントに対して保持されます。
  • 不正プログラム対策 イベント
  • アプリケーションコントロールイベント
  • ファイアウォールイベント
  • 変更監視 イベント
  • 侵入防御イベント
  • セキュリティログ監視 イベント
  • Webレピュテーションイベント
  • システムイベント
  • デバイスコントロールイベント

システムイベント

すべての Workload Security システムイベントが表示され、[管理][システム設定][システムイベント]タブで設定できます。個々のイベントを記録するかどうか、またSIEMシステムに転送するかどうかを設定できます。システムイベントの詳細については、システムイベントを参照してください。

セキュリティイベント

各保護モジュールでは、ルールがトリガされるか、その他の設定の条件が満たされると、イベントが生成されます。セキュリティイベント生成に関する一部の設定は変更が可能です。特定の種類のセキュリティイベントに関する詳細については、次のトピックを参照してください。
コンピュータで有効なファイアウォールのステートフルな設定を変更して、TCP、UDP、およびICMPのイベントログを有効または無効にすることができます。ステートフルファイアウォール設定のプロパティを編集するには、[ポリシー][共通オブジェクト][その他][ファイアウォールステートフル設定] に移動します。ログのオプションは、ファイアウォールステートフル設定の [プロパティ] 画面の [TCP][UDP][ICMP] の各タブにあります。ファイアウォールイベントの詳細については、ファイアウォールイベントを参照してください。

ポリシーまたはコンピュータに関連付けられたイベントを確認する

[ポリシー] エディタと [コンピュータ] エディタのどちらにも、各保護モジュールの [イベント] タブがあります。ポリシーエディタに、現在のポリシーに関連付けられているイベントが表示されます。コンピュータエディタには、現在のコンピュータに固有のイベントが表示されます。

イベントの詳細を表示する

イベントの詳細を確認するには、ダブルクリックします。
[一般] タブが表示されます。
  • 時間: Workload Securityをホストしているコンピュータ上のシステムクロックによる時間。
  • レベル: 発生したイベントの重大度レベル。イベントレベルには、[情報][警告][エラー]が含まれます。
  • イベントID: イベントの種類の一意の識別子。
  • イベント: イベントの名前 (イベントIDに関連付けられています)
  • 対象: イベントに関連付けられたシステムオブジェクトがここで識別されます。オブジェクトのIDをクリックすると、オブジェクトのプロパティシートが表示されます。
  • イベントの発生元: Workload Security コンポーネント。イベントの発生元です。
  • アクション実行者: イベントがユーザによって開始された場合、そのユーザのユーザ名がここに表示されます。ユーザ名をクリックすると、[ユーザプロパティ] 画面が表示されます。
  • Manager: Workload Security コンピュータのホスト名。
  • 説明: 必要に応じて、このイベントを実行するために実行された処理の詳細がここに表示されます。
[タグ]タブには、このイベントに添付されたタグが表示されます。イベントタグ付けの詳細については、[ポリシー][共通オブジェクト][その他][タグ]およびタグを適用してイベントを識別およびグループ化するを参照してください。

リストをフィルタしてイベントを検索する

[期間] ツールバーでリストをフィルタし、特定の期間内に発生したイベントだけを表示できます。
[コンピュータ] ツールバーで、コンピュータグループ別またはコンピュータポリシー別にイベントログエントリを表示できます。
[検索][詳細検索を開く] をクリックすると、詳細検索バーの表示を切り替えることができます。
2016-07-08_000133_DS10=f22ede5f-8dd9-47d2-8212-a8738206155b.png
検索バーの右側にある [検索バーの追加] (+) をクリックすると、追加の検索バーが表示され、複数のパラメータを検索に適用できます。準備ができたら、 [要求の送信] の順にクリックします。

イベントをエクスポートする

表示されたイベントをCSVファイルにエクスポートできます (ページングは無視され、すべてのページがエクスポートされます)。表示されているリストまたは選択した項目をエクスポートできます。

ログのパフォーマンスを向上する

イベント収集のパフォーマンスを最大化できます。
  • 重要でないコンピュータのログ収集を減らすか、無効にします。
  • ファイアウォールステートフル設定の [プロパティ] ウィンドウで一部のログオプションを無効にして、ファイアウォールルールアクティビティのログを減らすことを検討してください。たとえば、UDPログを無効にすると、要求されていないUDPログエントリが削除されます。