フィルターについて
本記事では、フィルター機能について解説します。
フィルター追加項目
レポートの設定において、フィルターとして追加できる項目は以下の通りです。
| 項目 | 説明 |
|---|---|
| ユーザー | ユーザー名 |
| サーバ | 監査対象のサーバ名 |
| 対象 | 監査の対象(フォルダー名やファイル名など) |
| 曜日 | レポートの対象とする曜日。詳細は「曜日-休日の扱い」を参照 |
| 時間帯 | 時間帯 |
| しきい値 | レポートの対象となるアクセスログの行数。詳細は「しきい値」を参照 |
| 表示名 | AD連携で取得したユーザー情報に登録されている表示名 |
| グループ名 | [管理]-[AD連携]で登録したグループ名。AD連携でグループ設定がない場合はこの項目は表示されない |
| AppName | 操作を実行したアプリケーション名グループ設定がない場合はこの項目は表示されない |
| AuditUser | ユーザーがsudoやsuを行った際の、最初にログインしたユーザー名 |
| AuthType | 認証の種類 - Kerberos = Kerberos認証 - NTLM = NTLM認証 |
| ClientIP | 操作を実行したクライアントPC もしくは接続先PC のIP アドレス |
| ClientName | 操作を実行したクライアントPC もしくは接続先PC のコンピューター名 |
| Count | ログ変換処理によってマージされたイベントログ(生ログ)のレコード数 ※イベントログの特性として、ユーザーによる1回の操作に対し同じ内容を示すログレコードが複数行出力されることがあり、ALogでは「ユーザー」、「サーバ」、「対象」および「詳細(Countを除く)」が同じログレコードにおいて、5秒以内に同じ「操作」のレコードが連続して発生した場合、これらを1レコードにマージしている |
| CurrentDir | コマンドを実行したときのカレントワーキングディレクトリー |
| DB | アクセスしたデータベース名 |
| DBID | 接続したデータベースのデータベースID |
| ErrorCause | for Windows:認証失敗の理由 for Linux:認証失敗だけでなく、各操作の失敗の理由 |
| EventID | 操作が記録されたWindowsイベントログID |
| LogonType | ログオン処理の種類 - RemoteInteractive = リモートデスクトップ接続 - Script = ログオン/ログオフスクリプトのログである場合 ※Windowsで定義されているログオンタイプと完全に一致するものではない |
| OSUser | データベース接続時にOSへのログオンに利用したユーザーアカウント名 |
| Pages | 印刷対象となったページ数(印刷部数、印刷枚数は出力されない) |
| Printer | 印刷を行ったプリンター名 |
| Protocol | 「SMB」以外の通信プロトコル名 |
| RowCounts | SELECTコマンド実行時にヒットしたレコード件数 |
| Schema | アクセスしたデータベーススキーマ名 |
| SesId | データベース接続時のセッションID |
| To | ファイル・フォルダーの名前変更/移動/コピー操作を行った場合の、RENAME/COPY/MOVE後のファイル・フォルダーのパス |
| Tty | レコードに紐づけられた仮想コンソール名(Tty名) |
| Zone | アクセスゾーン名 |
条件指定ボックスの使い方
一つの項目ごとに[対象とする]と[除外する]がありますので、目的に合わせて入力します。 それぞれの欄において複数指定する場合は、改行すると入力ボックスが広がります。複数指定したら、それぞれをAND条件で検索するかOR条件で検索するかを決定します。
詳しい説明は、「各フィルター項目の設定方法」を参照してください。
条件タブの使い方
条件タブは複雑な検索を行うための機能です。
多くのケースは1つのタブで検索することができます。最大で5つの条件タブが作成できます。
詳しい説明は、「条件タブについて」を参照してください。
しきい値
しきい値のフィルターを追加すると「しきい値の間隔」フィルターも追加されます。
「しきい値の間隔」で設定した期間内に、レポートの対象となるアクセスログの行数が「しきい値」以上となる場合にレポートを作成します。
「しきい値の間隔」で設定した期間内に、レポートの対象となるアクセスログの行数が「しきい値」以上となる場合にレポートを作成します。
曜日-休日の扱い
曜日のフィルターを追加すると「休日の扱い」フィルターも追加されます。
曜日という定義と併せて、休日をレポート対象にするか、除外するかを選択できます。
「休日を対象にする」、「休日を除外する」の設定は、どちらか一方を選択するものです。
曜日という定義と併せて、休日をレポート対象にするか、除外するかを選択できます。
「休日を対象にする」、「休日を除外する」の設定は、どちらか一方を選択するものです。
| 項目 | 説明 |
|---|---|
| 休日を対象にする | 選択した曜日に加えて、休日をレポートの対象とする 曜日を選択しない場合は、休日のみが対象となる |
| 休日を除外する | 選択した曜日から休日を除外してレポートする 曜日の選択は必須となる |
<設定例>
| 1 | 2 |
|---|---|
|
|
|
| No. | 目的 | 設定 | 説明 |
|---|---|---|---|
| 1 | 休日のログをレポート対象としたい | 曜日:[土、日]を選択 休日の扱い:[休日を対象にする]を選択 |
土日に加え、休日登録されている日がレポートの対象となる |
| 2 | 営業日のみのログをレポート対象としたい | 曜日:[月~金]を選択します 休日の扱い:[休日を除外する]を選択 |
月~金のうち、休日に登録されていない日がレポートの対象となる |