EventLog Analyzer ナレッジベース

ワークフロー機能について


EventLog Analyzerでは、ビルド12050より、ワークフローの機能が追加されました。
以下にて、ご紹介いたします。

前提条件

  • 使用しているビルドが「12050以上」であること
  • Windows版のEventLog Analyzerであること

機能概要

本機能「ワークフロー」は、アラート通知時の二次アクションを設定するものとなります。
※よって、ワークフローを使用するためには、EventLog Analyzerにあらかじめ、アラートプロファイルを設定しておく必要があります
EventLog Analyzerが監査対象に対して、アラートを検知した際、以前ではメール通知もしくはスクリプトの実行のみが可能でしたが、
ワークフロー機能を利用することにより、対象機器の停止や機器にログインしているユーザーの無効化などを自動的に行なえるようになります。

以下、ワークフローにて設定可能なアクション一覧となります。

アクション 設定可能なパラメーター
ネットワークアクション
pingの実行: 対象のデバイスへpingを実行し、接続を確認
    • ping先のデバイス
    • 送信するエコーリクエストの数
    • 送信パケットのサイズ
    • アクションのタイムアウト
    • 制限時間内にリトライする回数
tracert (traceroute)の実行: デバイスへのtracert (traceroute)を実行
    • 実行対象のデバイス
    • 最大ホップ数
    • アクションのタイムアウト
プロセスアクション
プロセスのテスト: 対象のデバイスにて、特定のプロセスの状態を確認
    • 対象のデバイス
    • 対象のプロセス
    • プロセスの実行パスなど(オプション)
プロセスの起動: 対象のデバイスにて、特定プロセスを起動
    • 対象のデバイス
    • プロセスのワーキングディレクトリ
    • プロセス起動のためのコマンド
プロセスの停止: 対象のデバイスにて、特定のプロセスを停止
    • 対象のデバイス
    • 対象のプロセス
    • プロセスの実行パスなど(オプション)
サービスアクション
サービスのテスト: 対象のデバイスにて、特定のサービスの状態を確認
    • 対象のデバイス
    • 対象のサービス
サービスの起動: 対象のデバイスにて、特定のサービスを起動
    • 対象のデバイス
    • 対象のサービス
サービスの停止: 対象デバイスにて、特定のサービスを停止
    • 対象のデバイス
    • 対象のサービス
Windowsアクション
ログオフ: 現行のセッションからログオフ
    • 対象のWindowsデバイス
    • アクション強制の有無
シャットダウン: Windowsデバイスのシャットダウン
    • 対象のWindowsデバイス
    • アクション強制の有無
再起動: Windowsデバイスの再起動
    • 対象のデバイス
    • アクション強制の有無
Windowsのスクリプト実行: Windowsデバイスにて、特定のスクリプトファイルを実行

※EventLog Analyzerサーバー上に配置したスクリプトファイルを実行するには、[宛先デバイス]に「 localhost」 と設定する必要があります

    • 対象のデバイス
    • スクリプトファイルの種類
    • スクリプトファイル
    • 引数
    • アクションのタイムアウト
    • スクリプト実行時のワーキングディレクトリー
USBの無効化: デバイスのUSBポートを無効化
    • 対象のWindowsデバイス
Linuxアクション
シャットダウン: Linuxデバイスのシャットダウン
    • 対象のデバイス
    • アクション強制の有無
再起動: Linuxデバイスの再起動
    • 対象のデバイス
    • アクション強制の有無
Linuxのスクリプト実行: Linuxデバイスにて、特定のスクリプトファイルを実行
    • 対象のデバイス
    • スクリプトファイルの種類
    • スクリプトファイル
    • 引数
    • アクションのタイムアウト
    • スクリプト実行時のワーキングディレクトリー
通知アクション
ポップアップメッセージの送信: デバイス画面上にて、ポップアップメッセージを表示
    • 対象のデバイス
    • メッセージ内容
メールの送信: メールを送信
    • 送信先メールアドレス
    • 件名および内容
Active Directoryアクション
ユーザーの無効化: ユーザーアカウントを無効化
    • 対象のユーザーアカウント
ユーザーの削除: ユーザーアカウントを削除
    • 対象のユーザーアカウント
コンピューターの無効化: コンピューターアカウントを無効化
    • 対象のコンピューターアカウント
その他アクション
ファイルへ書き込み: ファイルへメッセージを書き込み
    • 対象のデバイス
    • ファイル名
    • ファイルが存在する絶対パス
    • 書き込む内容
    • ファイルがすでに存在していた場合、追記もしくは上書きの設定
ロジックブロック
決定: 条件分岐のオプション  こちらを使用することで、ワークフロー作成時に条件分岐の設定が可能となります
時間の遅延: アクション実行の時間を遅延
    • 遅延時間

設定方法

1. EventLog Analyzer画面にて、[アラート]>>[ワークフローを管理]に移動してください。

※製品に既存で備わっているワークフローのリストが表示されます

2. 画面右上の[ワークフローを作成]をクリックしてください。

3. 任意の[ワークフロー名]を入力してください。

※今回は例として、以下のワークフローを作成します。

①対象のWindowsデバイスにログイン中のユーザーをログオフ(強制)>>②ユーザーを無効化>>③Windowsデバイスをシャットダウン

4. 画面左のアクションリストの[Windowsのアクション]配下より、「ログオフ」をドラッグ&ドロップしてください。

5. 設定画面にて、[強制アクション]にチェックを入れ、[OK]をクリックしてください。
※[宛先デバイス]はデフォルトで「%HOSTNAME%」(変数)となっており、自動的にアラート対象のデバイスが設定されます

6. 画面左のアクションリストの[Active Directory]配下より、「ユーザーの無効化」をドラッグ&ドロップしてください。

7. 設定画面にて、[OK]をクリックしてください。
※[ユーザー]はデフォルトで「%DOMAIN%\%USERNAME%」(変数)となっており、自動的にアラート対象のデバイスにログイン中のデバイスが設定されます

8. 画面左のアクションリストの[Windowsのアクション]配下より、「システムをシャットダウン」をドラッグ&ドロップしてください。

9. 設定画面にて、[強制アクション]にチェックを入れ、[OK]をクリックしてください。
※[宛先デバイス]はデフォルトで「%HOSTNAME%」(変数)となっており、自動的にアラート対象のデバイスが設定されます

設定後のワークフローは、以下のようになります。

10. 画面右上の[保存]をクリックし、ワークフローを保存してください。

11. 作成したワークフローは、アラートプロファイル作成/編集時に設定することが出来ます。
※以下、参照画像となります。

以上です。