アクティビティ監視

EventLog Analyzerは、ネットワーク全体のログデータを処理し、ネットワークデバイスとユーザーのセッションアクティビティに関するレポートを提供します。レポートにアクセスするには、[相関]タブの[動作監視レポート]配下のレポートをクリックします。

アクティビティルール

EventLog Analyzerの事前定義されたルールを使用して、セッションアクティビティに関するレポートを生成するか、個々のアクションを使用して独自のルールを作成できます。

事前定義されたアクティビティルール

  1. [相関]タブ → [ルールを管理] → [アクティビティルール]タブに移動します。
  2. 使用するルールを選択し、[管理] → [アクティブ化]をクリックします。
  3. または、ルールにマウスオーバーした際に表示される[アクティブ化]をクリックします。
session-activity-predefined-rules.jpg

カスタムアクティビティルール

カスタムのアクティビティルールを作成するためには、[相関]タブ → [ルールを管理] → [アクティビティルール]タブ → [+アクティビティルールの作成]に移動します。

  1. 画面左側にある分類されたアクションのリストから、ルールを構成する個々のアクションを選択します。
    • リストの上部にある検索バーを使用してアクションを検索できます。
    • アクションをドラッグ&ドロップして順序を並べ替えたり、右側の削除(ゴミ箱)アイコンをクリックしてアクションを削除したりできます。
    • 特定の時間間隔内での同じアクションの繰り返しを検出するには、[しきい値]にチェックを入れて、発生回数と時間間隔を入力します。
  2. [次のアクションまで]の下に、次のアクションが起こるまでの時間を指定します。提供されるドロップダウンメニューを使用して、時間間隔を秒または分単位で指定できます。
  3. 選択したアクションに対して詳細オプションを設定する場合は、アクションの右上にある[フィルタ]をクリックします。
  4. 最初のルールがセッションを開始し、最後のルールがセッションを終了します。セッションの期間は、最初のルールと最後のルールの間の時間間隔です。

詳細オプション

アクティビティルールの各アクションはログに対応しています。ログには様々なフィールドが含まれており、各フィールドには特定の値があります。詳細オプション(アクションの右側にある[フィルタ])を使用すると、ログ/アクションの各フィールドにフィルター条件を指定したり、アクションの最小繰り返し回数のしきい値を指定できます。

correlation-advanced.jpg
  1. 表示されるドロップダウンメニューからフィルターに使用するフィールドを選択できます。ドロップダウンメニューに表示されるフィールドは、選択したアクションによって異なります。
  2. 表示されるドロップダウンメニューから比較タイプを選択します。比較タイプは、次と等しい次と等しくない次を含む次で始まる次で終わるリンク先一定しているなどから選択できます。

注記:比較タイプの[次と等しい]に複数の値を指定した場合、指定した値の中で1つでも値が真であればアクションが受け入れられます。これは、次を含む次で始まる次で終わるにも当てはまります。


また、比較タイプの[次と等しくない]に複数の値を指定した場合、アクションが受け入れられるためには、指定されたすべての値が真である必要があります。


リンク先:

比較タイプの[リンク先]は、選択したフィールドの値を、他のアクション(同じルールまたは他のルールの主アクションに属するもの)のフィールドの値と照合するために使用します。例えば、アクション1のフィールド「デバイスタイプ」がアクション2の「デバイスタイプ」にリンクされている場合、アクション1は、リンクされた両方のフィールドの値が同じ場合にのみトリガーされます。

[リンク先]を選択すると、フィルターの最後に[+]アイコン()が表示されます。アイコンをクリックすると、新しいポップアップ画面が表示されます。

注記:「開始ルール」の少なくとも1つのフィールドは、「終了ルール」のフィールドにリンクする必要があります。

link-to-tab.jpg

前のアクションの値と比較する2番目のアクションのフィールドに対応するチェックボックスをクリックします。[はい]をクリックして、2つのアクションのリンクを完了します。


一定している:

比較タイプの[一定している]は、特定のフィールドを定数として扱うために使用します。この条件を選択すると、フィールドの値がすべての繰り返しを通じて一定のままである場合にのみ、一連のアクションがルールによって受け入れられます。例えば、「ターゲットユーザー」フィールドに対して「一定している」を指定した場合、「ターゲットユーザー」フィールドの値がすべての繰り返しで一定のままである場合にのみアクションがトリガーされます。「ターゲットユーザー」フィールドの値が異なるイベントが生成された場合、アクションはトリガーされません。


アクティビティ監視(動作監視)レポート

EventLog Analyzerのアクティビティ監視レポートは、Windows、Unix、およびVPNセッションに関する情報を提供します。レポートには、デバイス名、ユーザー名、開始時間、終了時間、ステータス、期間などの詳細が表示されます。

アクティビティ監視用のレポート

  • Windowsマシン用のインタラクティブセッション、リモートインタラクティブセッション、およびPMPセッションレポート
  • すべてのUnixセッションに関する詳細情報を提供するUnixセッションレポート
  • Cisco VPNセッション、Fortinet VPNセッション、Sonicwall VPNセッション、Huawei VPNセッション、H3C VPNセッション、Meraki VPNセッション、PaloAlto VPNセッション、WatchGuard VPNセッションなどのVPNセッションレポート
  • カスタムレポートがある場合は、[動作監視レポート]配下の[カスタム]に表示されます。
session-monitoring.jpg

画面右上のカレンダーアイコンを使用すると、選択したデバイス/ユーザーのセッションアクティビティを確認する期間を選択できます。アクティビティ監視レポートをスケジュールすることもできます。[エクスポート形式]をクリックすると、アクティビティ監視レポートをPDFまたはCSV形式でエクスポートできます。

特定のセッションの詳細を確認するには、セッションにマウスオーバーした際に表示される[履歴の表示]をクリックします。

session-monitoring-history.jpg

このページには、[フィールドのコンフィグ][高度な表示]が含まれています。[フィールドのコンフィグ]では、同じフィールド値(ドメイン、デバイス名、ログオン ID、ユーザー名)を持つログを抽出し、セッション中に生成された類似のログを確認できます。ドロップダウンメニューから目的のオプションをクリックして、ログを取得するフィールドを選択できます。[高度な表示]をクリックすると、セッション中の生ログをドリルダウンして表示できます。


アクティビティ監視レポートのビュー

アクティビティ監視レポートでは、デフォルトビュー(既定)に加えて、[ユーザーベースの表示]および[デバイスベースの表示]のビューでユーザーとデバイスに基づいたWindows、Unix、およびVPNセッションのアクティビティ監視レポートを表示できます。

[ユーザーベースの表示]では、特定のユーザーの週毎のログインおよびログアウトアクティビティを分析できます。生成されたユーザーベースのレポートテーブルにマウスオーバーすると、[週間ログイン表示]が表示されます。クリックすると、特定の日の特定のユーザーのアクティブセッション期間、ログイン時間、およびログアウト時間を確認でき、曜日ごとのタイムライングラフが表示されます。このビューには、ユーザーが1日あたりでアクティブだった時間と1週間全体でアクティブだった合計時間が表示されます。週間ログイン表示レポートは、デフォルトのレポートでのみ使用できます。

session-activity-raw-logs.jpg