Deep Securityイベントログについて

Deep Security Agentでは、保護モジュールのルールまたは条件がトリガされると「セキュリティイベント」が記録されます。また、AgentとDeep Security Managerでは、管理またはシステム関連のイベント (管理者のログインやAgentソフトウェアのアップグレードなど) が発生すると、「システムイベント」が記録されます。イベントのデータを使用して、Deep Security Managerの各種レポートやグラフが作成されます。

イベントを表示するには、Deep Security Managerの [イベントとレポート] に移動します。

Agentでのイベントログの場所

イベントログの場所はOSによって異なります。Windowsの場合は、次の場所に保存されます。

C:\Program Data\Trend Micro\Deep Security Agent\Diag

Linuxの場合は、次の場所に保存されます。

/var/opt/ds_agent/diag

これらの場所に保存されるのは標準レベルのログのみで、診断デバッグレベルのログは別の場所に保存されます。パフォーマンス上の理由から、デバッグレベルのログは初期設定では無効になっています。デバッグログは、Trend Microのテクニカルサポートで問題を診断する場合にのみ有効にし、診断が終了したら必ず無効にしてください。

イベントがManagerに送信されるタイミング

コンピュータで発生するほとんどのイベントは、次回のハートビート処理時にDeep Security Managerに送信されます。ただし、例外として、通信の設定で、Relay/Agentから通信を開始できるようになっている場合、次のイベントはすぐに送信されます。

イベントが保持される期間

2017年5月15日以降、Deep Security as a Serviceのセキュリティイベント保持期間は32日間、システムイベント保持期間は13週間になっています。それ以上の期間イベントを保持する必要がある場合は、外部SIEMへのイベントのエクスポートを検討してください。詳細については、Deep SecurityイベントをSyslogまたはSIEMサーバに転送するを参照してください。

イベント履歴は次のイベントに対して保持されます。

  • 不正プログラム対策イベント
  • アプリケーションコントロールイベント
  • ファイアウォールイベント
  • 変更監視イベント
  • 侵入防御イベント
  • セキュリティログ監視イベント
  • Webレピュテーションイベント
  • システムイベント

システムイベント

Deep Securityのシステムイベントは、[管理]→[システム設定]→[システムイベント] タブで確認および設定できます。個々のイベントを記録するかどうか、またSIEMシステムに転送するかどうかを設定できます。システムイベントの詳細については、システムイベントを参照してください。

セキュリティイベント

各保護モジュールでは、ルールがトリガされるか、その他の設定の条件が満たされると、イベントが生成されます。セキュリティイベント生成に関する一部の設定は変更が可能です。特定の種類のセキュリティイベントに関する詳細については、次のトピックを参照してください。

コンピュータで有効になっているファイアウォールステートフル設定を変更して、TCP、UDP、およびICMPのイベントログを有効または無効にできます。ステートフルファイアウォール設定のプロパティを編集するには、[ポリシー]→[共通オブジェクト]→[その他]→[ファイアウォールステートフル設定] に移動します。ログのオプションは、ファイアウォールステートフル設定の [プロパティ] 画面の [TCP][UDP][ICMP] の各タブにあります。ファイアウォールイベントの詳細については、ファイアウォールイベントを参照してください。

ポリシーまたはコンピュータに関連付けられたイベントを確認する

ポリシーエディタClosedポリシーエディタを開くには、[ポリシー] 画面に移動し、編集するポリシーをダブルクリック (またはポリシーを選択して [詳細] をクリック) します。コンピュータエディタClosedコンピュータエディタを開くには、[コンピュータ] 画面に移動し、編集するコンピュータをダブルクリック (またはコンピュータを選択して [詳細] をクリック) します。は、どちらも保護モジュールに [イベント] タブがあります。ポリシーエディタには、現在のポリシーに関連付けられたイベントが表示されます。コンピュータエディタには、現在のコンピュータに固有のイベントが表示されます。

イベントの詳細を表示する

イベントの詳細を確認するには、ダブルクリックします。

[一般] タブには次の項目が表示されます。

  • 時刻: Deep Security Managerをホストするコンピュータ上のシステム時計に準じた時刻。
  • レベル: 発生したイベントの重要度。イベントレベルには、情報警告エラーが含まれます。
  • イベントID: イベントの種類に一意の識別子。
  • イベント: イベントIDに関連付けられたイベントの名前。
  • 対象: イベントに関連付けられたシステムオブジェクトは、ここで識別されます。オブジェクトのIDをクリックすると、オブジェクトのプロパティシートが表示されます。
  • イベント送信元: イベントの送信元であるDeep Securityコンポーネント。
  • 処理実行者: イベントをユーザが実行した場合は、そのユーザのユーザ名がここに表示されます。ユーザ名をクリックすると、[ユーザプロパティ] 画面が表示されます。
  • Manager: Deep Security Managerのコンピュータのホスト名。
  • 説明: 必要に応じて、どのような処理が実行されてこのイベントがトリガされたのか、処理の詳細がここに表示されます。

[タグ] タブには、このイベントに関連付けられているタグが表示されます。イベントのタグ付けの詳細については、[ポリシー]→[共通オブジェクト]→[その他]→[タグ]、およびイベントを識別およびグループ化するためのタグの適用を参照してください。

リストをフィルタしてイベントを検索する

[期間] ツールバーでリストをフィルタし、特定の期間内に発生したイベントだけを表示できます。

[コンピュータ] ツールバーで、コンピュータグループ別またはコンピュータポリシー別にイベントログエントリを表示できます。

[検索]→[詳細検索を開く] をクリックすると、詳細検索バーの表示を切り替えることができます。


検索バーの右側にある「検索バーの追加」ボタン (+) をクリックすると、追加の検索バーが表示され、検索に複数のパラメータを適用できます。準備が整ったら、送信ボタン (ツールバーの右側にある上部に右矢印の付いたボタン) をクリックします。

イベントをエクスポートする

表示されたイベントはCSVファイルにエクスポートできます (ページの指定はできません。すべてのページがエクスポートされます)。表示されたリストをエクスポートするか、または選択したアイテムをエクスポートするかを選択できます。

ログのパフォーマンスを向上する

イベント収集のパフォーマンスを最大限にするためのヒントを以下に示します。

  • 重要でないコンピュータのログ収集を減らすか、無効にします。
  • ファイアウォールステートフル設定の [プロパティ] 画面でログオプションの一部を無効にして、ファイアウォールルール処理のログを削減することを検討します。たとえば、UDPログを無効にすると、「許可されていないUDP応答」のログエントリは除外されます。