Workload Securityのイベントログ

エージェントは、保護モジュールのルールまたは条件がトリガされたときに記録します (セキュリティイベント)。 Agents and Workload Securityでは、管理者によるログインやエージェントソフトウェアのアップグレードなど、管理イベントまたはシステム関連のイベント (システムイベント) の発生も記録されます。イベントデータは、Workload Securityのさまざまなレポートやグラフに入力するために使用されます。

イベントを表示するには、 Events&Reports から Workload Securityに移動します。

イベントログの場所

イベントログの場所はOSによって異なります。Windowsの場合は、次の場所に保存されます。

C:\Program Data\Trend Micro\Deep Security Agent\Diag

Linuxの場合は、次の場所に保存されます。

/var/opt/ds_agent/diag

これらの場所には標準レベルのログのみが含まれています。診断用のデバッグレベルのログは異なる場所にあります。パフォーマンスの理由から、デバッグレベルのログはデフォルトでは有効になっていません。トレンドマイクロのテクニカルサポートと問題を診断する場合にのみデバッグログを有効にし、完了したらデバッグログを無効にするようにしてください。詳細については、Deep Security Agentでの詳細なログの有効化を参照してください。

Workload Securityにイベントを送信するタイミング

コンピュータで発生するほとんどのイベントは、次のハートビート処理時にWorkload Securityに送信されます。ただし、通信設定でRelayまたはAgentによる通信の開始が許可されている場合はすぐに送信されます。

• スマートスキャンサーバがオフライン
• スマートスキャンサーバがオンライン復帰
• 変更監視検索が完了
• 変更監視のベースライン作成
• 変更監視ルール内に認識できないエレメント
• 変更監視ルールのエレメントがローカルプラットフォームでサポートされていない
• 異常な再起動の検出
• ディスク容量不足の警告
• セキュリティログ監視がオフライン
• セキュリティログ監視がオンライン復帰
• 攻撃の予兆検索が検出されました ( [コンピュータエディタ] または [ポリシーエディタ]→[ファイアウォール]→[攻撃の予兆] で設定が有効になっている場合)

ロングイベントの保存

Workload Securityでは、セキュリティイベントが4週間、システムイベントが13週間保持されます。イベントの保存期間を延長する必要がある場合は、イベントを外部SIEMにエクスポートすることを検討してください。詳細については、Workload Securityイベントを外部SyslogまたはSIEMサーバに転送する を参照してください。

イベント履歴は次のイベントに対して保持されます。

• 不正プログラム対策 イベント
• アプリケーションコントロールイベント
• ファイアウォールイベント
• 変更監視 イベント
• 侵入防御 イベント
• セキュリティログ監視 イベント
• Webレピュテーション events
• システムイベント
• デバイスコントロールイベント

システムイベント

すべての Workload Security システムイベントが表示され、[管理]→[システム設定]→[システムイベント]タブで設定できます。個々のイベントを記録するかどうか、またSIEMシステムに転送するかどうかを設定できます。システムイベントの詳細については、「システムイベント」 を参照してください。

セキュリティイベント

各保護モジュールでは、ルールがトリガされるか、その他の設定の条件が満たされると、イベントが生成されます。セキュリティイベント生成に関する一部の設定は変更が可能です。特定の種類のセキュリティイベントに関する詳細については、次のトピックを参照してください。

• 不正プログラム対策 イベント
• 識別されたファイル
• アプリケーションコントロールイベント
• ファイアウォールイベント
• 変更監視 イベント
• 侵入防御 イベント
• セキュリティログ監視 イベント
• Webレピュテーション events
• デバイスコントロールイベント

コンピュータで有効なファイアウォールのステートフルな設定を変更して、TCP、UDP、およびICMPのイベントログを有効または無効にすることができます。ステートフルファイアウォール設定のプロパティを編集するには、[ポリシー]→[共通オブジェクト]→[その他]→[ファイアウォールステートフル設定] に移動します。ログのオプションは、ファイアウォールステートフル設定の [プロパティ] 画面の [TCP]、[UDP]、[ICMP] の各タブにあります。ファイアウォールイベントの詳細については、「ファイアウォールイベント」を参照してください。

ポリシーまたはコンピュータに関連付けられたイベントを確認する

Policy エディタと Computer エディタのどちらにも、各保護モジュールの [ Events ] タブがあります。ポリシーエディタに、現在のポリシーに関連付けられているイベントが表示されます。コンピュータエディタには、現在のコンピュータに固有のイベントが表示されます。

イベントの詳細を表示する

イベントの詳細を確認するには、ダブルクリックします。

一般 タブが表示されます。

• 時間： Workload Securityをホストしているコンピュータ上のシステムクロックによる時間。
• レベル： 発生したイベントの重大度レベル。イベントレベルには、情報、警告、エラーが含まれます。
• イベントID： イベントの種類の一意の識別子。
• イベント： イベントの名前（イベントIDに関連付けられています）
• 対象: イベントに関連付けられたシステムオブジェクトがここで識別されます。オブジェクトのIDをクリックすると、オブジェクトのプロパティシートが表示されます。
• イベントの起点： Workload Security コンポーネント。イベントの発生元です。
• アクション実行者： イベントがユーザによって開始された場合、そのユーザのユーザ名がここに表示されます。ユーザ名をクリックすると、[ユーザプロパティ] 画面が表示されます。
• Manager： Workload Security コンピュータのホスト名。
• 説明： 必要に応じて、このイベントを実行するために実行された処理の詳細がここに表示されます。

[タグ] タブには、このイベントに関連付けられているタグが表示されます。イベントのタグ付けの詳細については、[ポリシー]→[共通オブジェクト]→[その他]→[タグ]、および「イベントを識別およびグループ化するためのタグの適用」を参照してください。

リストをフィルタしてイベントを検索する

[ Period ] ツールバーを使用すると、リストをフィルタして、特定の期間内に発生したイベントのみを表示できます。

[コンピュータ] ツールバーで、コンピュータグループ別またはコンピュータポリシー別にイベントログエントリを表示できます。

[検索]→[詳細検索を開く] をクリックすると、詳細検索バーの表示を切り替えることができます。

検索バーの右側にある [検索バーの追加] (+) をクリックすると、追加の検索バーが表示され、複数のパラメータを検索に適用できます。準備ができたら、 [要求の送信] の順にクリックします。

イベントをエクスポートする

表示されたイベントをCSVファイルにエクスポートできます (ページングは無視され、すべてのページがエクスポートされます)。表示されているリストまたは選択した項目をエクスポートできます。

ログのパフォーマンスを向上する

イベント収集のパフォーマンスを最大化できます。

• 重要でないコンピュータのログ収集を減らすか、無効にします。
• ファイアウォールステートフル設定の [ プロパティ] ウィンドウで一部のログオプションを無効にして、ファイアウォールルールアクティビティのログを減らすことを検討してください。たとえば、UDPログを無効にすると、要求されていないUDPログエントリが削除されます。