このページのトピック
Workload Security イベントログ
エージェントは、保護モジュールのルールまたは条件がトリガされたとき (「セキュリティイベント」) に記録されます。エージェントおよび Workload Security は、管理イベントやシステム関連のイベントが発生したときにも記録を作成します (管理者がログインした場合や、アップグレードするエージェントソフトウェアなどの「システムイベント」), の場合、イベントデータは Workload Securityでさまざまなレポートとグラフに入力されます。
イベントを表示するには、 Events&Reports から Workload Securityに移動します。
Agentでのイベントログの場所
イベントログの場所はOSによって異なります。Windowsの場合は、次の場所に保存されます。
C:\Program Data\Trend Micro\Deep Security Agent\Diag
Linuxの場合は、次の場所に保存されます。
/var/opt/ds_agent/diag
これらの場所に保存されるのは標準レベルのログのみで、診断デバッグレベルのログは別の場所に保存されます。パフォーマンス上の理由から、デバッグレベルのログは初期設定では無効になっています。トレンドマイクロのテクニカルサポートで問題を診断する場合にのみデバッグロギングを有効にして、デバッグログを無効にしてください。
イベントがWorkload Securityに送信されるのはいつですか?
コンピュータで実行されるほとんどのイベントは、次のハートビート操作中に Workload Security に送信されます。ただし、次の点が異なります。通信設定でリレー/エージェントが通信を開始できる場合は、直ちに送信されます。
- スマートスキャンサーバがオフライン
- スマートスキャンサーバがオンライン復帰
- 変更監視検索が完了
- 変更監視のベースライン作成
- 変更監視ルール内に認識できないエレメント
- 変更監視ルールのエレメントがローカルプラットフォームでサポートされていない
- 異常な再起動の検出
- ディスク容量不足の警告
- セキュリティログ監視がオフライン
- セキュリティログ監視がオンライン復帰
- 攻撃の予兆 検索が検出された場合 ( [コンピュータ] または [ポリシーエディタ] > [ファイアウォール] > [攻撃の予兆]) で設定が有効な場合
イベントが保持される期間
Workload Security は、セキュリティイベントを32日間、システムイベントを91日間保持します。それ以上の期間イベントを保持する必要がある場合は、外部SIEMへのイベントのエクスポートを検討してください。詳細については、 Workload Security イベントを外部syslogまたはSIEMサーバーに転送するを参照してください。
イベント履歴は次のイベントに対して保持されます。
- 不正プログラム対策 イベント
- アプリケーションコントロールイベント
- ファイアウォールイベント
- 変更監視 イベント
- 侵入防御 イベント
- セキュリティログ監視 イベント
- Webレピュテーション events
- システムイベント
- デバイスコントロールイベント
システムイベント
すべての Workload Security システムイベントが表示され、[管理]→[システム設定]→[システムイベント]タブで設定できます。個々のイベントを記録するかどうか、またSIEMシステムに転送するかどうかを設定できます。システムイベントの詳細については、「システムイベント」を参照してください。
セキュリティイベント
各保護モジュールでは、ルールがトリガされるか、その他の設定の条件が満たされると、イベントが生成されます。セキュリティイベント生成に関する一部の設定は変更が可能です。特定の種類のセキュリティイベントに関する詳細については、次のトピックを参照してください。
- 不正プログラム対策 イベント
- 識別されたファイル
- アプリケーションコントロールイベント
- ファイアウォールイベント
- 変更監視 イベント
- 侵入防御 イベント
- セキュリティログ監視 イベント
- Webレピュテーション events
- デバイスコントロールイベント
コンピュータで有効なファイアウォールのステートフルな設定を変更して、TCP、UDP、およびICMPのイベントログを有効または無効にすることができます。ステートフルファイアウォール設定のプロパティを編集するには、[ポリシー]→[共通オブジェクト]→[その他]→[ファイアウォールステートフル設定] に移動します。ログのオプションは、ファイアウォールステートフル設定の [プロパティ] 画面の [TCP]、[UDP]、[ICMP] の各タブにあります。ファイアウォールイベントの詳細については、「ファイアウォールイベント」を参照してください。
ポリシーまたはコンピュータに関連付けられたイベントを確認する
ポリシーエディタとコンピュータエディタの両方には、保護モジュールごとに イベント タブがあります。ポリシーエディタには、現在のポリシーに関連付けられたイベントが表示されます。コンピュータエディタには、現在のコンピュータに固有のイベントが表示されます。
イベントの詳細を表示する
イベントの詳細を確認するには、ダブルクリックします。
一般 タブが表示されます。
- 時間: Workload Securityをホストしているコンピュータ上のシステムクロックによる時間。
- レベル: 発生したイベントの重大度レベル。イベントレベルには、情報、警告、エラーが含まれます。
- イベントID: イベントの種類の一意の識別子。
- イベント: イベントの名前(イベントIDに関連付けられています)
- 対象: イベントに関連付けられたシステムオブジェクトがここで識別されます。オブジェクトのIDをクリックすると、オブジェクトのプロパティシートが表示されます。
- イベントの起点: Workload Security コンポーネント。イベントの発生元です。
- アクション実行者: イベントがユーザによって開始された場合、そのユーザのユーザ名がここに表示されます。ユーザ名をクリックすると、[ユーザプロパティ] 画面が表示されます。
- Manager: Workload Security コンピュータのホスト名。
- 説明: 必要に応じて、このイベントを実行するために実行された処理の詳細がここに表示されます。
[タグ] タブには、このイベントに関連付けられているタグが表示されます。イベントのタグ付けの詳細については、[ポリシー]→[共通オブジェクト]→[その他]→[タグ]、および「イベントを識別およびグループ化するためのタグの適用」を参照してください。
リストをフィルタしてイベントを検索する
[期間] ツールバーでリストをフィルタし、特定の期間内に発生したイベントだけを表示できます。
[コンピュータ] ツールバーで、コンピュータグループ別またはコンピュータポリシー別にイベントログエントリを表示できます。
[検索]→[詳細検索を開く] をクリックすると、詳細検索バーの表示を切り替えることができます。
検索バーの右側にある「検索バーの追加」ボタン (+) をクリックすると、追加の検索バーが表示され、検索に複数のパラメータを適用できます。準備が整ったら、送信ボタン (ツールバーの右側にある上部に右矢印の付いたボタン) をクリックします。
イベントをエクスポートする
表示されたイベントはCSVファイルにエクスポートできます(ページの指定はできません。すべてのページがエクスポートされます)。表示されたリストをエクスポートするか、または選択したアイテムをエクスポートするかを選択できます。
ログのパフォーマンスを向上する
イベント収集のパフォーマンスを最大限にするためのヒントを以下に示します。
- 重要でないコンピュータのログ収集を減らすか、無効にします。
- ファイアウォールステートフル設定の [プロパティ] 画面でログオプションの一部を無効にして、ファイアウォールルール処理のログを削減することを検討します。たとえば、UDPログを無効にすると、「許可されていないUDP応答」のログエントリは除外されます。