ファイル操作ログを参照した結果、不正行為の疑いがあるクライアント(CT)利用者が存在する場合は、その利用者が行ったファイル操作の遷移を検索/表示できます。
ファイル追跡機能は、クライアント(CT)で行われたファイル操作を「ファイル操作ログ」「ファイル持出しログ」「メール送信ログ(添付ファイルがある場合)」「メール送信中止ログ(添付ファイルがある場合)」「メール添付禁止ログ」「FTP操作ログ(FTPアップロードログ・FTPダウンロードログ)」「Web操作ログ」から、その操作遷移を検索/表示するツールです。ファイル追跡機能は、以下の機能を提供します。
ログビューアで検索したログから、ファイル追跡対象となるファイル選択し、操作追跡を行うことができます。また追跡結果の表示およびCSVファイルへの出力ができます。
追跡対象として選択できる操作ログは、ファイルの操作情報を持った以下のログです。
ファイル操作ログ
ファイル持出しログ
メール送信ログ(添付ファイルがある場合)
メール送信中止ログ(添付ファイルがある場合)
メール添付禁止ログ
FTP操作ログ(FTPアップロードログ・FTPダウンロードログ)
Web操作ログ(Webアップロードログ・Webダウンロードログ)
また、上記操作ログの補足情報として、以下のログを追跡結果に含めることができます。
印刷操作ログ
印刷禁止ログ
注意
Citrix XenApp クライアントで行ったファイル操作のログを利用して、ログビューアでファイル追跡機能を使用することはできません。
追跡の範囲は、追跡対象として設定したログが取得されたクライアント(CT)内です。複数のクライアント(CT)を横断した追跡は行えません。
ファイル操作を追跡する
追跡対象となるファイル情報を設定する方法を説明します。
ファイル追跡を行うため、追跡対象となるファイル情報を設定します。ファイル情報を設定するために、まず、ファイルの操作情報をもつ、以下のログを表示します。
ファイル操作ログ
ファイル持出しログ
メール送信ログ(添付ファイルがある場合)
メール送信中止ログ(添付ファイルがある場合)
メール添付禁止ログ
FTP操作ログ(FTPアップロードログ・FTPダウンロードログ)
Web操作ログ
印刷操作ログおよび印刷禁止ログは、ファイル追跡対象ログとして選択できません。
これらのログに含まれているファイル名を追跡対象にする場合は、[CT操作ログ - ログ検索]画面の[キーワード]に、印刷操作ログ、印刷禁止ログに含まれるファイル名を入力してログ検索してください。この検索結果に上記のログ(ファイル操作ログ、ファイル持出しログ、メール送信ログ、メール送信中止ログ、メール添付禁止ログ、FTP操作ログ、Web操作ログ)が含まれる場合は、そのログを追跡対象に設定することによりファイル追跡を行えます。
追跡対象に設定されたファイル情報からファイル追跡を行う方法を説明します。
「ファイル操作ログ」、「ファイル持出しログ」、「メール送信ログ」「メール送信中止ログ」「メール添付禁止ログ」「FTP操作ログ」および「Web操作ログ」は、追跡対象となっているファイル名(パス部分を除く)は完全一致で検索されます(パスを含む検索結果は“確度”で表現しています)。
一方、「印刷操作ログ」および「印刷禁止ログ」は、追跡対象となっているファイル名は部分一致で検索されるため、追跡対象ファイルのログが検索されると同時に、追跡対象ファイルとは関連性の低いログも検索される場合があります。
ファイル追跡条件を設定し、追跡対象ファイル情報を基準としてファイル追跡を行います。
ポイント
ログ閲覧データベースを参照するのユーザー操作ログ検索の場合でも、ファイル追跡を行うことができます。
ファイル追跡機能の使用方法は、CT操作ログの場合と同じです。
ユーザー操作ログのファイル追跡の範囲は、追跡対象として設定したログが取得されたユーザー名とクライアント(CT)内です。クライアント(CT)内に複数のユーザー名が存在する場合、複数のユーザー名を横断した追跡は行えません。
ここでは、CT操作ログのファイル追跡機能での操作手順を示しますが、ユーザー操作ログのファイル追跡機能の操作手順も同じです。
ログビューアを起動します。
ファイル追跡を実施する操作ログの[CT操作ログ - ログ検索 - ログ詳細]画面を表示します。
表示方法は、“5.2.1 [CT操作ログ]画面で参照する”を参照してください。
[ファイル追跡]ボタンをクリックします。
→選択されているログ種別が[メール送信]かつログの内容に添付ファイルが複数ある場合は[CT操作ログ-ログ検索-ファイル追跡-ログ詳細-追跡対象選択]画面が表示されます。表示条件に該当しない場合は、[CT操作ログ - ログ検索 - ファイル追跡]画面が表示されます。
以下の条件に該当する場合に[CT操作ログ-ログ検索-ファイル追跡-ログ詳細-追跡対象選択]画面が表示されます。
選択されているログ種別が[メール送信]、かつ、ログの内容に添付ファイルが複数ある場合
a) [CT操作ログ-ログ検索-ファイル追跡-ログ詳細-追跡対象選択]画面が表示されます。
b) [追跡対象選択]よりファイル追跡を行うファイルを選択します。
→選択された添付ファイル名が追跡対象ファイルとして設定されます。
[検索条件]を設定します。
項目名 | 説明 |
|---|---|
[CT名称] | [ログビューア]画面で選択したログのクライアント(CT)の名称が表示されます。ファイル追跡は、このクライアント(CT)で採取されたログの範囲内を検索対象とします。 |
[ログ種別] | [ログビューア]画面で選択したログの種別が表示されます。 |
[検索対象ファイル] | 追跡対象となるファイル名が表示されます。 |
[実施する検索] | [バックトレース] [フォワードトレース] |
[検索範囲] | 検索範囲を指定します。期間(日数)指定と日付指定の選択ができます。 初期値は「期間(日数)指定」が選択されています。 指定できる期間(日数)または日付は以下のとおりです。
|
[検索対象ログ] | [実施する検索]が[フォワードトレース]の場合、検索対象ログの種別を選択できます。ファイル操作ログは必須選択のためOFF設定できません。 |
[最大検索階層] | 検索する最大階層を指定します。「1」~「9」まで指定できます。初期値は「4」です。 |
[検索]ボタンをクリックします。
→[ファイル追跡結果一覧]に結果が表示されます。
検索条件は自動的に保存されます。保存された検索条件は、次回[ファイル追跡]画面起動時の初期値として設定されます。
項目名 | 説明 |
|---|---|
[検索ルート(種別)] | 選択ログを先頭に、追跡したログの結果がツリーで表示されます。 |
[確度] | 追跡したログの一致度合い(確度)を表します。 0:調査開始対象のログ A:ドライブ、またはUNC表記での完全一致で検索したログ B:共有名以降の一致で検索したログ C:フォルダ名以降の一致で検索したログ D:ファイル名だけの一致で検索したログ E:印刷操作ログおよび印刷禁止ログで、ファイル名が部分一致しているログ *:追跡ログの中に同じログがある場合に表示します。 上記の確度(A~E)の前に付加されます。 +:さらに追跡可能なログがある場合に表示します。 上記の確度(A~E)の前に付加されます。 |
[発生日時] | ログの発生日時を表示します。 |
[ユーザー名] | ユーザー名を表示します。 |
[ドメイン名] | ドメインにログオン時はクライアント(CT)のドメイン名です。ローカルコンピュータにログオン時はクライアント(CT)のコンピュータ名です。 |
[区分] | ログの区分(正規または違反)を表示します。 |
[付帯] | ログの付帯データの有無を表示します。付帯データの内容については“付帯データを参照する”を参照してください。 |
[内容] | ログの内容を表示します。 |
[備考] | ログの備考内容を表示します。 |
検索結果の件数が1000件を超える場合、検索処理を中断した旨のメッセージが表示され、検索結果は1000件まで表示されます。
選択したログより、過去にさかのぼってファイルがどう扱われていたかを検索します。ファイル操作ログの「複写」「移動」「変名」「作成」「更新」「削除」の操作と、ファイル持出しログの持出し操作だけを追跡します。過去のファイル操作を調査したい場合に使用します。
バックトレース検索例:
(調査対象ファイル:お客様情報.txt)
[ファイル追跡結果一覧]の[内容]に着目します。
[検索ルート(種別)]の情報 | [内容]の情報 |
|---|---|
ファイル持出しログ | [C:\Documents and Settings\Administrator\デスクトップ\お客様情報.txt]を[A:\お客様情報.txt]として[平文]で[A:]へ持出ししました。ドライブ種別:[リムーバブル]] |
元ファイル(お客様情報.txt) | [C:\Documents and Settings\Administrator\デスクトップ\お客様情報.txt]を[A:\お客様情報.txt]として[平文]で[A:]へ持出ししました。ドライブ種別:[リムーバブル]] |
ファイル操作ログ(複写) | 操作:[複写]、ファイル名元:[\\192.168.1.11\share\お客様情報.txt]、ドライブ種別元:[リモート]、ファイル名先:[C:\Documents and Settings\Administrator\デスクトップ\お客様情報.txt]、ドライブ種別先:[固定]、アプリ名:[Explorer.exe] |
調査対象ファイル(顧客情報一覧.xls)の情報が、先頭行に表示されています。下段に進むにしたがって、操作内容は過去にさかのぼります。
この検索結果を先頭行からみると、SV2というクライアント(CT)において
調査対象ファイル(お客様情報.txt)を、リムーバブルメディアに平文で持出した。
調査対象ファイルは、ファイルサーバのお客様情報.txtからSV2へ複写された。
という操作履歴になっており、ファイルサーバ上のファイル「お客様情報.txt」をデスクトップ上に複写し、リムーバブルメディアに平文で持出したことがわかります。
選択したログより、未来に向かってファイルがどう扱われているかを検索します。追跡対象として指定された操作ログの発生日時からの操作遷移を調査できます。1つのファイルが複写操作によって複数になるなど、ログによっては検索対象が拡散し検索結果が多くなる場合があります。
フォワードトレース検索例:
(調査対象ファイル:お客様情報.txt)
[ファイル追跡結果一覧]の[内容]に着目します。
[検索ルート(種別)]の情報 | [内容]の情報 |
|---|---|
ファイル持出しログ | [C:\Documents and Settings\Administrator\デスクトップ\お客様情報.txt]を[A:\お客様情報.txt]として[平文]で[A:]へ持出ししました。ドライブ種別:[リムーバブル]] |
ファイル操作ログ(削除) | 操作:[削除]、ファイル名元:[C:\Documents and Settings\Administrator\デスクトップ\お客様情報.txt]、ドライブ種別:[固定]、アプリ名:[Explorer.exe] |
調査対象ファイル(お客様情報.txt)の情報が、先頭行に表示されています。下段に進むにしたがって、調査対象ファイルが現在に向かってどのように操作されたか、表示されます。
この検索結果を先頭行からみると、SV2というクライアント(CT)において
お客様情報.txtのファイル持出しを行った。
お客様情報.txtをローカルディスクから削除した。
という操作履歴になっており、お客様情報を外部に持出してローカルディスクから削除したということがわかります。
ファイル操作の追跡結果をCSVファイルに出力する
検索したファイル追跡の結果をCSVファイルに出力する方法を説明します。
[ファイル追跡結果一覧]にCSVファイルに出力する追跡ログが表示されている状態で、[CSV出力]ボタンをクリックします。
ファイルのダウンロード画面が表示されます。[保存]ボタンをクリックします。
保存するフォルダを選択し、ファイル名を入力して、[保存]ボタンをクリックします。
以下の記号はファイル名として使用できません。
使用できない記号:「\」「/」「:」「*」「?」「"」「<」「>」「|」
出力先に同じ名前のファイルが存在していた場合は、上書きするかどうかの選択画面が表示されます。必要に応じてどちらかを選択してください。
出力されるCSVファイルの項目名と説明については、“リファレンスマニュアル”の“ファイル追跡結果ログ一覧”を参照してください。
追跡対象ファイルを再設定し、再度ファイル追跡を行う
検索したファイル追跡の結果から、追跡対象ファイルを変更して再度ファイル追跡を行う方法を説明します。
[CT操作ログ(運用系) - ログ検索 - ファイル追跡]画面の[ファイル追跡結果一覧]から、再設定するファイル情報をもったログをひとつ選択し、[発生日時]をクリックします。
「印刷操作ログ」「印刷禁止ログ」は、[ファイル追跡結果一覧]に付帯情報として表示されますが、検索対象として選択することはできません。
[追跡対象再設定]ボタンをクリックします。
→[検索対象ファイル]にファイル名が設定されます。
複数の添付ファイルのあるメール送信ログを選択した場合は、最初に[追跡対象選択]画面が表示されます。[追跡対象選択]画面で選択したひとつのファイル名が[検索対象ファイル]に設定されます。
検索条件を設定し、[検索]ボタンをクリックします。
→追跡結果が[ファイル追跡結果一覧]に表示されます。
ファイルのダウンロードが成功しない場合について
CSVファイル、原本保管ファイル、コマンドプロンプトログファイルのダウンロードが成功しない場合、“導入ガイド”の“Webブラウザを使用するPCでの準備”を参照して、Internet Explorer®の設定を変更してください。
