収集したログをログアナライザサーバで分析・集計する場合、事前に設定した絞込条件および除外条件を設定します。

この条件設定が適切に行われなかった場合、分析・集計結果の精度が低くなります。このため、設計段階でどのような条件を設定すべきかを検討し、決定しておいてください。

設定する内容は以下のとおりです。

絞込条件

以下の項目を指定して、分析条件を決定します。

• キーワード ： ファイルまたはファイルパスに含まれる文字列(部分一致)

• ドメイン： メールアドレスに含まれる文字列(後方一致)

• URL ： URLに含まれる文字列(部分一致)

• アプリケーション： 拡張子を除く実行ファイル名(完全一致)

除外条件

以下のようなPCを集計の対象外とするために、除外条件を決定します。

• 業務上の重要なファイルへのアクセスが必要なPC

• 日常的に大量のファイルアクセスを行うPC

より精度の高い分析を行うためには、以下の考慮が必要です。

• 絞込条件は、ログアナライザサーバごとに設定します。このため、複数の部署が対象となる場合に、ある特定の部署に限定されるキーワードが多く設定されるとその部署以外の分析が妥当でなくなる可能性があります。
  キーワードは、できるだけ共通のキーワードを抽出し、部門に閉じたキーワードを細かく設定しないように配慮してください。
  または、同じ機密情報を扱う部署を1台のログアナライザサーバで管理できるような構成にしてください。構成の観点については、“1.2.1 システム構成を決定する”の“1.2.1.3 ログアナライザサーバの設置基準”も参照してください。

• 除外条件は、上述のような例外PCを見極めておくことが重要です。集計結果の精度が低くなるような特別なPCはできるだけ集計対象とならないよう検討してください。