本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

Deep Securityイベントログについて

Deep Security Agentは、保護モジュールのルールまたは条件がトリガされたとき（「セキュリティイベント」）に記録されます。AgentおよびDeep Security Managerは、管理イベントやシステム関連のイベントが発生したときにも記録を作成します（), 、管理者ログイン、アップグレード対象のエージェントソフトウェアなど）。イベントデータは、 Deep Security Managerのさまざまなレポートとグラフを設定するために使用します。

イベントを表示するには、 Deep Security Managerの[イベントとレポート]に移動します。

Agentでのイベントログの場所

イベントログの場所はOSによって異なります。Windowsの場合は、次の場所に保存されます。

C:\Program Data\Trend Micro\Deep Security Agent\Diag

Linuxの場合は、次の場所に保存されます。

/var/opt/ds_agent/diag

これらの場所には標準レベルのログのみが含まれています。診断デバッグレベルのログは別の場所にあります。パフォーマンス上の理由から、デバッグレベルのログ記録はデフォルトでは有効になっていません。トレンドマイクロのテクニカルサポートと問題を診断する場合にのみデバッグログを有効にし、完了したらデバッグログを無効にするようにしてください。詳細については、Deep Security Agent (DSA) での詳細なログ記録の有効化を参照してください。

イベントがManagerに送信されるタイミング

コンピュータで実行されるほとんどのイベントは、次のハートビート操作中にDeep Security Managerに送信されます。ただし、通信設定でRelay/Agent/ appliance が通信を開始できるようになった場合は、直ちに送信されます。

スマートスキャンサーバがオフライン
スマートスキャンサーバがオンライン復帰
変更監視検索が完了
変更監視のベースライン作成
変更監視ルール内に認識できないエレメント
変更監視ルールのエレメントがローカルプラットフォームでサポートされていない
異常な再起動の検出
ディスク容量不足の警告
セキュリティログ監視がオフライン
セキュリティログ監視がオンライン復帰
攻撃の予兆検索の検出 (コンピュータまたはポリシーエディタこれらの設定は、ポリシーまたは特定のコンピュータについて変更できます。ポリシーの設定を変更するには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。コンピュータの設定を変更するには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。の [ファイアウォール]→[攻撃の予兆] で、設定が有効になっている場合)

イベントが保持される期間

Deep Security Managerによって収集されたイベントは、[管理]→[システム設定]→[ストレージ] 画面で指定された期間保存されます。詳細については、ログとイベントの保存に関するベストプラクティスを参照してください。

システムイベント

すべてのDeep Securityシステムイベントが表示され、 の[管理]→[システム設定]→[システムイベント] [ ]タブで設定できます。個々のイベントを記録するかどうか、またSIEMシステムに転送するかどうかを設定できます。システムイベントの詳細については、システムイベントを参照してください。

セキュリティイベント

各保護モジュールでは、ルールがトリガされるか、その他の設定の条件が満たされると、イベントが生成されます。セキュリティイベント生成に関する一部の設定は変更が可能です。特定の種類のセキュリティイベントに関する詳細については、次のトピックを参照してください。

コンピュータで有効になっているファイアウォールステートフル設定を変更して、TCP、UDP、およびICMPのイベントログを有効または無効にできます。ステートフルファイアウォール設定のプロパティを編集するには、[ポリシー]→[共通オブジェクト]→[その他]→[ファイアウォールステートフル設定] に移動します。ログのオプションは、ファイアウォールステートフル設定の [プロパティ] 画面の [TCP]、[UDP]、[ICMP] の各タブにあります。ファイアウォールイベントの詳細については、ファイアウォールイベントを参照してください。

ポリシーまたはコンピュータに関連付けられたイベントを確認する

ポリシーエディタポリシーエディタを開くには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。とコンピュータエディタコンピュータエディタを開くには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。は、どちらも保護モジュールに [イベント] タブがあります。ポリシーエディタには、現在のポリシーに関連付けられたイベントが表示されます。コンピュータエディタには、現在のコンピュータに固有のイベントが表示されます。

イベントの詳細を表示する

イベントの詳細を確認するには、ダブルクリックします。

[一般] タブには次の項目が表示されます。

時間：Deep Security Managerをホストしているコンピュータ上のシステムクロックによる時間。
レベル: 発生したイベントの重要度。イベントレベルには、情報、警告、エラーが含まれます。
イベントID: イベントの種類に一意の識別子。
イベント: イベントIDに関連付けられたイベントの名前。
対象: イベントに関連付けられたシステムオブジェクトは、ここで識別されます。オブジェクトのIDをクリックすると、オブジェクトのプロパティシートが表示されます。
イベントの起点：イベントが発生したDeep Securityコンポーネントです。
処理実行者: イベントをユーザが実行した場合は、そのユーザのユーザ名がここに表示されます。ユーザ名をクリックすると、[ユーザプロパティ] 画面が表示されます。
Manager：Deep Security Managerコンピュータのホスト名。
説明: 必要に応じて、どのような処理が実行されてこのイベントがトリガされたのか、処理の詳細がここに表示されます。

[タグ] タブには、このイベントに関連付けられているタグが表示されます。イベントのタグ付けの詳細については、[ポリシー]→[共通オブジェクト]→[その他]→[タグ]、およびイベントを識別およびグループ化するためのタグの適用を参照してください。

リストをフィルタしてイベントを検索する

[期間] ツールバーでリストをフィルタし、特定の期間内に発生したイベントだけを表示できます。

[コンピュータ] ツールバーで、コンピュータグループ別またはコンピュータポリシー別にイベントログエントリを表示できます。

[検索]→[詳細検索を開く] をクリックすると、詳細検索バーの表示を切り替えることができます。

検索バーの右側にある「検索バーの追加」ボタン (+) をクリックすると、追加の検索バーが表示され、検索に複数のパラメータを適用できます。準備が整ったら、送信ボタン (ツールバーの右側にある上部に右矢印の付いたボタン) をクリックします。

イベントをエクスポートする

表示されたイベントはCSVファイルにエクスポートできます(ページの指定はできません。すべてのページがエクスポートされます)。表示されたリストをエクスポートするか、または選択したアイテムをエクスポートするかを選択できます。

ログのパフォーマンスを向上する

イベント収集のパフォーマンスを最大限にするためのヒントを以下に示します。

重要でないコンピュータのログ収集を減らすか、無効にします。
ファイアウォールステートフル設定の [プロパティ] 画面でログオプションの一部を無効にして、ファイアウォールルール処理のログを削減することを検討します。たとえば、UDPログを無効にすると、「許可されていないUDP応答」のログエントリは除外されます。