01:監査ログのローテーションを設定するには?

今回のテーマ ・・・ 監査ログのローテーションを設定するには?

Question:やりたいこと

DeviceLockでクライアントのデバイス制御をしています。使用者ごとのデバイス使用頻度を調べたり、許可されていないデバイスを使用した等の履歴をとるために「監査ログ」を生成するように設定しています。

しかし長い間パソコンを使用していると監査ログが増えてきて、パソコンのハードディスク容量を圧迫し始めています。監査ログを全部削除するのではなく、「1年間」などの一定期間保持してそれより古いものを自動的に削除するような機能はあるのでしょうか。

なお監査ログはサーバーに集めておらず、各クライアントにたまるものだけです。

Answer:こうすればできる

監査ログの保持条件を設定するには、監査ログビューアーの「監査ログ設定」機能を使います。
ここでは、監査ログの最大ファイルサイズや、監査ログサイズが最大値に達したときの上書き方法の設定が行なえます。

クライアントにためる監査ログでは、Windows Vista/Windows Server 2008 以降のOSでは、保持期間(90日、1年間など)の設定はできませんが、最大ファイルサイズを超えた場合は超過分を「アーカイブ」として別途保存します。

DeviceLock Enterprise Serverを使って監査ログを集積する場合は、集積した先で保持期間を設定できます。

Step:設定方法

  1. DeviceLock管理コンソールを起動し、対象のDeviceLockServiceに接続します。
  2. [DeviceLock]-[DeviceLock Service]-[Serviceオプション]-[監査/シャドウイング]と展開します。
  3. 右ペインの[監査ログ設定]でマウスを右クリックし、表示されるコンテキストメニューから[プロパティ…]を実行すると、監査ログの設定画面が表示されます。
    その際、DeviceLock ServiceがインストールされているコンピューターのOSが、Windows XP/Windows Server 2003 までと、Windows Vista/Windows Server 2008 以降では、設定項目が一部異なります。
  4. 「監査ログ設定」画面で、各パラメーターを設定します。

    最大ログサイズ
     ログファイルの最大サイズを指定します。
     ログファイルがこのサイズを超えた場合の動作を、次の「ログサイズが最大値に達したときの動作」から選択します。

    ログサイズが最大値に達したときの動作
     必要に応じてイベントを上書きする(最古イベントから)     
       ログが最大ログサイズに達しても新しいイベントは保存され続けます。     
       新たに発生するイベントは古いログから置き換えられます。

     ログが最大ログサイズに達したらアーカイブし、イベントを上書きしない (Windows Vista/Windows Server 2008 以降)   
       必要に応じて自動的にこれまでのログをアーカイブ(※)して別途保存します。
       そのためイベントは上書きされずに、アーカイブとして残ります。

     イベントを上書きする (~ 日経過) (Windows XP/Windows Server 2003 まで)
       ログが最大ログサイズに達すると、指定日付よりも古いイベントだけを新しいイベントで置き換えます。
       このとき、上書きできるレコード(指定日付よりも古いイベント)がない場合、
       新しい監査ログレコードを書き込むことができません。

     イベントを上書きしない(手動でログを消去)
       ログが最大ログサイズに達したら新しいイベントは保存されません。
       新しいイベントを保存するには、手動でログをクリアして領域を開ける必要があります。

  • アーカイブ
    通常使用するログファイルとは別に、レコードの追加などを考慮しない固定された状態で、 「Archive-DeviceLock Log-2019-02-06-03-08-21-748」のような名前が付与され、Windowsイベントビューアー内で参照のみできる形式で保存される。

Reference:参考

  1. クライアントにたまる監査ログのローテーション設定はDeviceLockの機能ではなく、Windowsのイベントログ設定に依存しています。これはDeviceLockの監査ログがWindowsのイベント形式で保存されていることを意味しています。Windows Vista以降、ログのアーカイブ保存機能が、ログ保存の日数指定機能に差し替わる形で設定されたため、DeviceLockの監査ログ設定もそのように設定されます。「ログサイズが最大値に達したときの動作」がOSのバージョンによって異なるのはそのためです。
  2. 監査ログのアーカイブは、Windowsのイベントビューアーで参照できますが、DeviceLockではこれを削除する方法を提供していませんので、不要になった古いアーカイブは、Windowsイベントビューアーを使って、必要であれば別のストレージに退避後、手動にて削除してください。
  3. Windowsイベント形式の監査ログは、1レコードあたり1KBから、内容によっては4KB程度のディスク容量を必要とします。ログが生成される都度Windows起動ドライブのディスク容量が減っていきますので、DeviceLockの導入前にトライアル版などで、一定期間中に発生が見込まれるログ量を推計して、これを基に最大ログ容量を設計することをお勧めします。
  4. DeviceLock Enterprise Serverを構築してクライアントの監査ログを集積していても、監査ログデータの送信後もWindowsイベントログ形式の監査ログはクライアントから消去されません。DeviceLock Enterprise Serverで集積するための監査ログデータは別にあり、これはDeviceLock Enterprise Serverに送られると自動消去されています。

DeviceLockテクニカルガイド

DeviceLockテクニカルガイドは、組織のシステム管理者やセキュティ担当者の皆さんがDeviceLockをご利用になるうえでの、役に立つテクニカル情報をご提供するものです。

例えば、DeviceLockを使って組織のセキュリティ要件を満たしたいがどういう設定をしたらよいのか、DeviceLockの機能を使いたいが設定の仕方が分からない、DeviceLockでどんなことができるのか知りたい、DeviceLockのこの機能は何のためにあるのか、など、DeviceLockに係るテクニカル相談窓口となることを目指しています。

このガイドでは、無作為に設定した特定の目的に対し、それを実現するための準備や設定方法を順を追って説明します。併せて、関連する情報についても掲載し、ユーザー様のスキルアップを図ります。ぜひご活用ください。

なお、本ガイドはDeviceLockを実際にご利用になっている方を対象としていますので、DeviceLockにおける「普通の」操作についての説明は省略させて頂きます。また、DeviceLockについての体系的な説明よりも、特定の機能に絞ったピンポイントの説明を指向しますので、体系的・包括的な情報を参照したい場合は製品添付の「DeviceLockユーザーマニュアル」をご利用ください。

本ガイドでは、効率的な説明のため、DeviceLockをはじめ、Windows、Macintosh、 コンピューター(ハードウェア)、周辺機器(デバイス)、ネットワーク等についての専門用語が使用されることが多々ありますが、一般的な用語についてはガイド中での説明を省略させていただくことがあります。

テクニカルガイド申し込みフォーム