エージェントは、保護モジュールのルールまたは条件がトリガされたときに記録します (「セキュリティイベント」)。 Agentおよび Server & Workload Protection は、管理者によるログインやエージェントソフトウェアのアップグレードなど、管理イベントまたはシステム関連のイベント (「システムイベント」) の発生も記録します。イベントデータは、
Server & Workload Protectionのさまざまなレポートやグラフに入力するために使用されます。
イベントを表示するには、 Server & Workload Protectionの [イベントとレポート] に移動します。
Agentでのイベントログの場所
場所は、コンピュータのオペレーティングシステムによって異なります。 Windowsでは、イベントログは次の場所に保存されます。
C:\Program Data\Trend Micro\Deep Security Agent\DiagLinuxの場合は、次の場所に保存されます。
/var/opt/ds_agent/diag |
注意これらの場所には、標準レベルのログのみが含まれます。診断デバッグレベルのログの場所は異なります。パフォーマンス上の理由から、デバッグレベルのログは初期設定では有効になっていません。トレンドマイクロのテクニカルサポートで問題を診断する場合にのみデバッグログを有効にし、終了したらデバッグログを無効にしてください。詳細については、 Deep Security Agent (DSA) での詳細ログの有効化。
|
イベントが Server & Workload Protectionに送信されるタイミング
コンピュータで発生するほとんどのイベントは、次のハートビート処理中に Server & Workload Protection に送信されます。
- スマートスキャンサーバがオフライン
- スマートスキャンサーバがオンライン復帰
- 変更監視検索が完了
- 変更監視のベースライン作成
- 変更監視ルール内に認識できないエレメント
- 変更監視ルールのエレメントがローカルプラットフォームでサポートされていない
- 異常な再起動の検出
- ディスク容量不足の警告
- セキュリティログ監視がオフライン
- セキュリティログ監視がオンライン復帰
- 偵察検索が検出されました (
イベントの保存期間
Server & Workload Protection では、セキュリティイベントが4週間、システムイベントが13週間保持されます。より長いイベントの保持期間が必要な場合は、イベントを外部SIEMにエクスポートすることを検討してください。詳細については、 Server & Workload Protection イベントを外部SyslogサーバまたはSIEMサーバに転送する。
イベント履歴は次のイベントに対して保持されます。
- 不正プログラム対策イベント
- アプリケーションコントロールイベント
- ファイアウォールイベント
- 変更監視イベント
- 侵入防御イベント
- セキュリティログ監視イベント
- Webレピュテーションイベント
- システムイベント
- デバイスコントロールイベント
システムイベント
すべての Server & Workload Protection システムイベントが一覧表示され、タブをクリックします。個々のイベントを記録するかどうか、およびイベントをSIEMシステムに転送するかどうかを設定できます。システムイベントの詳細については、を参照してください。システムイベントどのように。
セキュリティイベント
各保護モジュールは、ルールがトリガーされたとき、またはその他の設定条件が満たされたときにイベントを生成します。このセキュリティイベントの生成の一部は設定可能です。特定の種類のセキュリティイベントについては、次の記事を参照してください。
- Anti-Malware events
- Identified files
- Application Control events
- Firewall events
- Integrity Monitoring events
- Intrusion Prevention events
- Log Inspection events
- Web Reputation events
- Device Control events
コンピュータで有効なファイアウォールステートフル設定を変更して、TCP、UDP、およびICMPのイベントログを有効または無効にすることができます。ステートフルファイアウォール設定のプロパティを編集するには、 。ログオプションは、ファイアウォールステートフル設定の [プロパティ] ウィンドウの [TCP]、 [UDP]、および [ICMP] タブにあります。ファイアウォールイベントの詳細については、を参照してください。ファイアウォールイベント。
ポリシーまたはコンピュータに関連付けられたイベントを確認する
ポリシーエディタとコンピュータエディタには、保護モジュールごとに [イベント] タブがあります。ポリシーエディタに、現在のポリシーに関連付けられているイベントが表示されます。コンピュータエディタには、現在のコンピュータに固有のイベントが表示されます。
イベントの詳細を表示する
イベントの詳細を確認するには、ダブルクリックします。
[一般] タブに次の項目が表示されます。
- [時間:] Server & Workload Protectionをホストしているコンピュータのシステム時計に基づく時刻。
- [レベル:] 発生したイベントの重大度。イベントレベルには、 [情報]、 [警告]、および [エラー]があります。
- [イベントID:] イベントタイプの一意の識別子。
- [イベント:] イベントの名前 (イベントIDに関連付けられています)。
- [対象:] イベントに関連付けられたシステムオブジェクトがここで識別されます。オブジェクトのIDをクリックすると、オブジェクトのプロパティシートが表示されます。
- [イベント送信元:] イベントの発生元の Server & Workload Protection コンポーネント。
- [処理実行者:] イベントがユーザによって開始された場合、そのユーザのユーザ名がここに表示されます。ユーザ名をクリックすると、 [ユーザプロパティ] ウィンドウが表示されます。
- [Manager:] Server & Workload Protection コンピュータのホスト名。
- [説明:] 必要に応じて、このイベントをトリガするために実行された処理の詳細が表示されます。
[タグ] タブには、このイベントに付加されたタグが表示されます。イベントのタグ付けの詳細については、「 、およびタグを適用してイベントを識別およびグループ化する。
リストをフィルタしてイベントを検索する
[期間] ツールバーを使用すると、リストをフィルタして、特定の期間内に発生したイベントのみを表示できます。
[コンピュータ] ツールバーを使用すると、コンピュータグループまたはコンピュータポリシー別にイベントログエントリの表示を整理できます。
クリック詳細検索バーの表示を切り替えます。
検索バーの右側にある [検索バーの追加] ボタン (+) をクリックすると、追加の検索バーが表示され、複数のパラメータを検索に適用できます。準備ができたら、[リクエストの送信]
ボタン (ツールバーの右側にある右矢印の付いたボタン) を押します。
イベントのエクスポート
表示されているイベントをCSVファイルにエクスポートできます。 (ページングは無視され、すべてのページがエクスポートされます。) 表示されているリストまたは選択したアイテムをエクスポートできます。
ログのパフォーマンスの向上
イベント収集のパフォーマンスを最大限にするためのヒントを以下に示します。
- 重要でないコンピュータのログ収集を減らすか、無効にします。
- ファイアウォールステートフル設定の [プロパティ] 画面で一部のログオプションを無効にして、ファイアウォールルールアクティビティのログを減らすことを検討してください。たとえば、UDPログを無効にすると、「Unsolicited UDP」ログエントリが削除されます。