クライアント(CT)で以下の操作を実施したときのログです。

• ログオン

• ログオフ

• PC起動

• PC終了

• PC休止

• PC復帰

• PC接続

• PC切断

ログオン/ログオフログを採取した場合、以下のように活用できます。

• 悪意を持った第三者の、セーフモードでのPC起動(Systemwalker Desktop Keeperに記録を残さない)によるファイル持出しなど、不正を見つけることができます。

• 業務終了後は電源を落とす、一定時間使用しない場合は休止モードを利用する、など、システムの運用方針に沿ってPCを使用しているか、確認できます。

• PCの電源を入れたまま、長時間使用している利用者を見つけることができます。

• リモート端末への接続/切断を記録することにより、ログビューアでログを検索する際にそれぞれの端末のログを紐付けて検索できます。端末ごとに操作を確認するのではなく、互いの端末の操作を同時に参照でき、利用者の操作を明確に把握できます。

[端末初期設定]画面、または管理コンソール起動直後の画面(CTポリシー設定画面)で設定します。
[Windows]の[ログを採取する操作]で、[ログオン/ログオフ ログ]に[する]を設定します。

ログオン/ログオフログで採取される情報について説明します。

以下の契機で該当動作が実行されたことをログとして記録します。

• PC起動ログ

  クライアント(CT)のOSを起動したときの情報です。
  起動モードとして、以下のどちらかの情報を取得します。

  • [通常モード起動]

  • [セーフモード起動] (コマンドでのセーフモードを含みます)

  • [ネットワークが使えるセーフモード起動]

• ログオンログ

  クライアント(CT)でWindowsにログオンしたときの情報です。
  認証先のコンピュータ名を取得します。

• PC休止ログ

  クライアント(CT)が、スタンバイ状態または休止状態に入ったときの情報です。
  前回の電源投入後から、PC休止動作に入るまでの時間を取得します。

• PC復帰ログ

  クライアント(CT)がスタンバイ状態または休止状態から復帰したときの情報です。

• ログオフログ

  クライアント(CT)でWindowsからログオフしたときの情報です。

• PC終了ログ

  クライアント(CT)のOSがシャットダウン動作に入ったときの情報です。
  前回の電源投入後から、シャットダウン動作に入るまでの時間を取得します。
  また、OSを起動したときから、シャットダウン動作に入るまでの時間(OS起動時間)も取得します。

  

• PC接続ログ

  リモート端末へ接続したときの情報です。

• PC切断ログ

  リモート端末から切断したときの情報です。

• 悪意を持った第三者の、セーフモードでのPC起動(Systemwalker Desktop Keeperに記録を残さない)によるファイル持出しなど、不正を見つける場合

  ログビューアのログ一覧画面で以下の条件を設定すると、セーフモードで起動したPC起動ログだけを検索できます。

  • [キーワード]に“セーフ”と入力します。

  • [種別]に[ログオン/ログオフ]を設定します。

• 業務終了後はPCの電源を落とす、PCを一定時間使用しない場合は休止状態にする、など、システムの運用方針に沿ってPCを使用しているか確認する場合

  ログビューアのログ一覧画面で以下の条件を設定すると、PC休止ログとPC復帰ログを検索できます。
  これらのログから、休止状態を設定しているPCを判別できます。

  • [キーワード]に“休止”と“復帰”を入力します。

  • [OR条件]ボタンを選択します。

  • [種別]に[ログオン/ログオフ]を設定します。

  また、PC休止ログとPC復帰ログが翌日にまたがって採取されているPCがある場合は、PCの電源が落とされていないと予測できます。

• PCの電源を入れたまま、長時間使用している利用者を見つける場合

  ログビューアのログ一覧画面で以下の条件を設定すると、PC終了ログとPC休止ログを検索できます。
  PC終了ログの[OS起動時間]から、長時間使用されているPCを判別できます。
  また、PC終了ログとPC休止ログの[起動時間]を合計することによって、休止時間を除く起動時間を把握できます。

  • [キーワード]に“PC終了”と“PC休止”入力します。

  • [OR条件]ボタンを選択します。

  • [種別]に[ログオン/ログオフ]を設定します。

キーワード検索項目について

PC起動ログの場合は、“通常モード起動”、“セーフモード起動”、“ネットワークが使えるセーフモード起動”の文字列で検索できます。
初回の検索では、キーワードを全角で入力してください。次回からは、前回入力された文字列が、プルダウンメニューに表示されます。

PC終了ログの場合は、“XX時間YY分”の文字列で検索できます。時間は、部分一致または完全一致で検索されます。大小検索は行えません。
数値(“XX”や“YY”)は、半角で入力してください。
“時間”と“分”は、全角で入力してください。

参照できるログの内容は以下のとおりです。

[名称]：クライアント(CT)の名称

[発生日時]：クライアント(CT)におけるログ採取日時

[ユーザー名]：以下の情報が表示されます。(注)

• PC起動時：SYSTEM(固定)

• PC終了時：SYSTEM(固定)

• PC休止時：SYSTEM(固定)

• PC復帰時：SYSTEM(固定)

• ログオン時：クライアント(CT)のログオンユーザー名

• ログオフ時：クライアント(CT)のログオンユーザー名

• PC接続時：リモート端末へログオンしたログオンユーザー名

• PC切断時：リモート端末へログオンしたログオンユーザー名

[ドメイン名]：以下の情報が表示されます。

• PC起動時：クライアント(CT)のコンピュータ名

• PC終了時：クライアント(CT)のコンピュータ名

• PC休止時：クライアント(CT)のコンピュータ名

• PC復帰時：クライアント(CT)のコンピュータ名

• ログオン時：ドメインにログオン時はクライアント(CT)のドメイン名、ローカルコンピュータにログオン時はクライアント(CT)のコンピュータ名

• ログオフ時：ドメインにログオン時はクライアント(CT)のドメイン名、ローカルコンピュータにログオン時はクライアント(CT)のコンピュータ名

• PC接続時：リモート端末でドメインにログオン時はドメイン名、ローカルコンピュータにログオン時はコンピュータ名

• PC切断時：リモート端末でドメインにログオン時はドメイン名、ローカルコンピュータにログオン時はコンピュータ名

[種別]：ログ種別ごとに以下が表示されます(固定)。

• PC起動

• PC終了

• PC休止

• PC復帰

• ログオン

• ログオフ

• PC接続

• PC切断

[区分]：正規(固定)

[付帯]：(表示されません)

[内容]：以下の内容が表示されます。

• PC起動時：コンピュータを起動しました。起動モード：[起動モードの表示] (注)

  [起動モードの表示]部分には以下が表示されます。

  • [通常モード起動]

  • [セーフモード起動](コマンドでのセーフモードを含みます)

  • [ネットワークが使えるセーフモード起動]

• PC終了時：コンピュータを終了しました。起動時間：[起動時間の表示] (注)、OS起動時間：[起動時間の表示] (注)

  [起動時間の表示]部分には、[××時間××分]という形式で、時間と分が表示されます。
  秒については切り上げて表示されます。
  例：0時間3分0秒の場合は[0時間03分]と出力されます。0時間3分1秒の場合は[0時間04分]と出力されます。

• PC休止時：コンピュータを休止しました。起動時間：[起動時間の表示] (注)

• PC復帰時：コンピュータを復帰しました。

• ログオン時：ログオンしました。認証先：[認証先の表示](注)

  [認証先の表示]部分には、[コンピュータ名](local認証の場合)または[ドメイン名](ドメイン認証の場合)が表示されます。

• ログオフ時：ログオフしました。

• PC接続時：コンピュータ[コンピュータ名(物理PC)]からコンピュータ[コンピュータ名(仮想PC)]に接続しました。

• PC切断時：コンピュータ[コンピュータ名(物理PC)]からコンピュータ[コンピュータ名(仮想PC)]への接続を終了しました。

注) ログビューアでのキーワード検索時、キーワードとして指定できます。

[備考]：以下の内容が表示されます。

• [種別]が[ログオン]の場合

  • 接続方法(注)

  • 操作端末(注)

  • ログオン方法(注)

  • ログオン権限(注)

  • セッション番号(注)

• [種別]が[PC終了]で、PCの電源を強制的に切断した場合

  • 終了動作:[異常終了(注)]

注) ログビューアでのキーワード検索時、キーワードとして指定できます。

[備考]の表示例：

クライアント(CT)にユーザー権限で直接ローカルログオンした場合

接続方法：[ローカル]、操作端末：[自コンピュータ名]、ログオン方法：[ローカルログオン]、ログオン権限：[ユーザー権限]、セッション番号：[セッションID]

ターミナルサービス経由で管理者権限を利用してドメインログオンした場合

接続方法：[リモート]、操作端末：[接続操作を行ったコンピュータ名]、ログオン方法：[ドメインログオン]、ログオン権限：[管理者権限]、セッション番号：[セッションID]

PCの電源を強制的に切断した場合

終了動作:[異常終了]

ログの表示例：

CLIENT1  2013/11/1 14:15  SYSTEM  D-DOMAIN  PC起動  正規    コンピュータを起動しました。起動モード:[通常モード起動]
CLIENT1  2013/11/1 14:20  user01  D-DOMAIN  ログオン  正規    ログオンしました。認証先:[D-DOMAIN]   接続方法：[ローカル]、操作端末：[CLIENT1]、ログオン方法：[ドメインログオン]、ログオン権限：[ユーザー権限]、セッション番号：[0]
CLIENT1  2013/11/1 14:15  SYSTEM  D-DOMAIN  PC休止  正規    コンピュータを休止しました。起動時間:[3時間12分]
CLIENT1  2013/11/1 14:15  SYSTEM  D-DOMAIN  PC復帰  正規    コンピュータを復帰しました。
CLIENT1  2013/11/1 14:18  user01  D-DOMAIN  ログオフ  正規    ログオフしました。
CLIENT1  2013/11/1 14:15  SYSTEM  D-DOMAIN  PC終了  正規    コンピュータを終了しました。起動時間:[6時間28分]、OS起動時間:[6時間28分]

Windows Server® 2003上で動作するActive Directoryは、オブジェクトの半角/全角、仮名の種類(カタカナ/ひらがな)、濁音、半濁音、拗音、促音を区別しません。一方、Systemwalker Desktop Keeperのログは、実際にログインした情報で作成します。
したがって、Active Directoryで登録したユーザー名とSystemwalker Desktop Keeperのログに出力されるユーザー名とは異なる場合があります。

例：
Active Directoryへの登録時に入力したユーザー名が“fujitsu”(半角)で、ログイン時には“ＦＵＪＩＴＳＵ”(全角)と入力してログインした場合、そのあとに記録されるログのユーザー名は、“ＦＵＪＩＴＳＵ”(全角)になります。