ワークフロー機能について
作成日:2019年8月30日 | 更新日:2020年5月21日
EventLog Analyzerでは、ビルド12050より、ワークフローの機能が追加されました。
以下にて、ご紹介いたします。
前提条件
- 使用しているビルドが「12050以上」であること
- Windows版のEventLog Analyzerであること
機能概要
本機能「ワークフロー」は、アラート通知時の二次アクションを設定するものとなります。
※よって、ワークフローを使用するためには、EventLog Analyzerにあらかじめ、アラートプロファイルを設定しておく必要があります
EventLog Analyzerが監査対象に対して、アラートを検知した際、以前ではメール通知もしくはスクリプトの実行のみが可能でしたが、
ワークフロー機能を利用することにより、対象機器の停止や機器にログインしているユーザーの無効化などを自動的に行なえるようになります。
以下、ワークフローにて設定可能なアクション一覧となります。
アクション | 設定可能なパラメーター |
ネットワークアクション | |
pingの実行: 対象のデバイスへpingを実行し、接続を確認 |
|
tracert (traceroute)の実行: デバイスへのtracert (traceroute)を実行 |
|
プロセスアクション | |
プロセスのテスト: 対象のデバイスにて、特定のプロセスの状態を確認 |
|
プロセスの起動: 対象のデバイスにて、特定プロセスを起動 |
|
プロセスの停止: 対象のデバイスにて、特定のプロセスを停止 |
|
サービスアクション | |
サービスのテスト: 対象のデバイスにて、特定のサービスの状態を確認 |
|
サービスの起動: 対象のデバイスにて、特定のサービスを起動 |
|
サービスの停止: 対象デバイスにて、特定のサービスを停止 |
|
Windowsアクション | |
ログオフ: 現行のセッションからログオフ |
|
シャットダウン: Windowsデバイスのシャットダウン |
|
再起動: Windowsデバイスの再起動 |
|
Windowsのスクリプト実行: Windowsデバイスにて、特定のスクリプトファイルを実行
※EventLog Analyzerサーバー上に配置したスクリプトファイルを実行するには、[宛先デバイス]に「 localhost」 と設定する必要があります |
|
USBの無効化: デバイスのUSBポートを無効化 |
|
Linuxアクション | |
シャットダウン: Linuxデバイスのシャットダウン |
|
再起動: Linuxデバイスの再起動 |
|
Linuxのスクリプト実行: Linuxデバイスにて、特定のスクリプトファイルを実行 |
|
通知アクション | |
ポップアップメッセージの送信: デバイス画面上にて、ポップアップメッセージを表示 |
|
メールの送信: メールを送信 |
|
Active Directoryアクション | |
ユーザーの無効化: ユーザーアカウントを無効化 |
|
ユーザーの削除: ユーザーアカウントを削除 |
|
コンピューターの無効化: コンピューターアカウントを無効化 |
|
その他アクション | |
ファイルへ書き込み: ファイルへメッセージを書き込み |
|
ロジックブロック | |
決定: 条件分岐のオプション | こちらを使用することで、ワークフロー作成時に条件分岐の設定が可能となります |
時間の遅延: アクション実行の時間を遅延 |
|
設定方法
1. EventLog Analyzer画面にて、[アラート]>>[ワークフローを管理]に移動してください。
※製品に既存で備わっているワークフローのリストが表示されます
2. 画面右上の[ワークフローを作成]をクリックしてください。
3. 任意の[ワークフロー名]を入力してください。
※今回は例として、以下のワークフローを作成します。
①対象のWindowsデバイスにログイン中のユーザーをログオフ(強制)>>②ユーザーを無効化>>③Windowsデバイスをシャットダウン
4. 画面左のアクションリストの[Windowsのアクション]配下より、「ログオフ」をドラッグ&ドロップしてください。
5. 設定画面にて、[強制アクション]にチェックを入れ、[OK]をクリックしてください。
※[宛先デバイス]はデフォルトで「%HOSTNAME%」(変数)となっており、自動的にアラート対象のデバイスが設定されます
6. 画面左のアクションリストの[Active Directory]配下より、「ユーザーの無効化」をドラッグ&ドロップしてください。
7. 設定画面にて、[OK]をクリックしてください。
※[ユーザー]はデフォルトで「%DOMAIN%\%USERNAME%」(変数)となっており、自動的にアラート対象のデバイスにログイン中のデバイスが設定されます
8. 画面左のアクションリストの[Windowsのアクション]配下より、「システムをシャットダウン」をドラッグ&ドロップしてください。
9. 設定画面にて、[強制アクション]にチェックを入れ、[OK]をクリックしてください。
※[宛先デバイス]はデフォルトで「%HOSTNAME%」(変数)となっており、自動的にアラート対象のデバイスが設定されます
設定後のワークフローは、以下のようになります。
10. 画面右上の[保存]をクリックし、ワークフローを保存してください。
11. 作成したワークフローは、アラートプロファイル作成/編集時に設定することが出来ます。
※以下、参照画像となります。
以上です。