EventLog Analyzer ナレッジベース

ワークフロー機能について


EventLog Analyzerでは、ワークフロー機能の概要および設定方法を紹介します。

前提条件

  • 使用しているビルドが「12050以上」であること
  • Windows版のEventLog Analyzerであること

機能概要

本機能「ワークフロー」は、アラート通知時の二次アクションを設定します。
つまり、ワークフローを使用するためには、EventLog Analyzerにあらかじめ、アラートプロファイルを設定しておく必要があります。

ワークフロー機能を利用することにより、EventLog Analyzerがアラートを検知した際、
対象機器の停止や機器にログインしているユーザーの無効化といった二次アクションを自動的に実施します。

ワークフローにて設定可能なアクションは以下のとおりです。

アクション 設定可能なパラメーター
ネットワークアクション
pingの実行: 対象のデバイスへpingを実行し、接続を確認
    • ping先のデバイス
    • 送信するエコーリクエストの数
    • 送信パケットのサイズ
    • アクションのタイムアウト
    • 制限時間内にリトライする回数
tracert (traceroute)の実行: デバイスへのtracert (traceroute)を実行
    • 実行対象のデバイス
    • 最大ホップ数
    • アクションのタイムアウト
プロセスアクション
プロセスのテスト: 対象のデバイスにて、特定のプロセスの状態を確認
    • 対象のデバイス
    • 対象のプロセス
    • プロセスの実行パスなど(オプション)
プロセスの起動: 対象のデバイスにて、特定プロセスを起動
    • 対象のデバイス
    • プロセスのワーキングディレクトリ
    • プロセス起動のためのコマンド
プロセスの停止: 対象のデバイスにて、特定のプロセスを停止
    • 対象のデバイス
    • 対象のプロセス
    • プロセスの実行パスなど(オプション)
サービスアクション
サービスのテスト: 対象のデバイスにて、特定のサービスの状態を確認
    • 対象のデバイス
    • 対象のサービス
サービスの起動: 対象のデバイスにて、特定のサービスを起動
    • 対象のデバイス
    • 対象のサービス
サービスの停止: 対象デバイスにて、特定のサービスを停止
    • 対象のデバイス
    • 対象のサービス
Windowsアクション
ログオフ: 現行のセッションからログオフ
    • 対象のWindowsデバイス
    • アクション強制の有無
シャットダウン: Windowsデバイスのシャットダウン
    • 対象のWindowsデバイス
    • アクション強制の有無
再起動: Windowsデバイスの再起動
    • 対象のデバイス
    • アクション強制の有無
Windowsのスクリプト実行: Windowsデバイスにて、特定のスクリプトファイルを実行

※EventLog Analyzerサーバー上に配置したスクリプトファイルを実行するには、[宛先デバイス]に「 localhost」 と設定する必要があります

    • 対象のデバイス
    • スクリプトファイルの種類
    • スクリプトファイル
    • 引数
    • アクションのタイムアウト
    • スクリプト実行時のワーキングディレクトリー
USBの無効化: デバイスのUSBポートを無効化
    • 対象のWindowsデバイス
Linuxアクション
シャットダウン: Linuxデバイスのシャットダウン
    • 対象のデバイス
    • アクション強制の有無
再起動: Linuxデバイスの再起動
    • 対象のデバイス
    • アクション強制の有無
Linuxのスクリプト実行: Linuxデバイスにて、特定のスクリプトファイルを実行
    • 対象のデバイス
    • スクリプトファイルの種類
    • スクリプトファイル
    • 引数
    • アクションのタイムアウト
    • スクリプト実行時のワーキングディレクトリー
通知アクション
ポップアップメッセージの送信: デバイス画面上にて、ポップアップメッセージを表示
    • 対象のデバイス
    • メッセージ内容
メールの送信: メールを送信
    • 送信先メールアドレス
    • 件名および内容
Active Directoryアクション
ユーザーの無効化: ユーザーアカウントを無効化
    • 対象のユーザーアカウント
ユーザーの削除: ユーザーアカウントを削除
    • 対象のユーザーアカウント
コンピューターの無効化: コンピューターアカウントを無効化
    • 対象のコンピューターアカウント
その他アクション
ファイルへ書き込み: ファイルへメッセージを書き込み
    • 対象のデバイス
    • ファイル名
    • ファイルが存在する絶対パス
    • 書き込む内容
    • ファイルがすでに存在していた場合、追記もしくは上書きの設定
ロジックブロック
決定: 条件分岐のオプション  こちらを使用することで、ワークフロー作成時に条件分岐の設定が可能となります
時間の遅延: アクション実行の時間を遅延
    • 遅延時間

設定方法

1. [アラート]タブ>>画面右上の設定アイコン(歯車アイコン)>>[ワークフロー]をクリックします。

※製品にデフォルトで備えられているワークフローのリストが表示されます。

2. 画面右上の[ワークフローを作成]をクリックしてください。

3. 任意の[ワークフロー名]を入力してください。

※今回は例として、以下のワークフローを作成します。

①対象のWindowsデバイスにログイン中のユーザーをログオフ(強制)>>②ユーザーを無効化>>③Windowsデバイスをシャットダウン

4. 画面左のアクションリストの[Windowsのアクション]配下より、「ログオフ」をドラッグ&ドロップしてください。

5. 設定画面にて、[強制アクション]にチェックを入れ、[OK]をクリックしてください。
※[宛先デバイス]はデフォルトで「%HOSTNAME%」(変数)となっており、自動的にアラート対象のデバイスが設定されます

6. 画面左のアクションリストの[Active Directory]配下より、「ユーザーの無効化」をドラッグ&ドロップしてください。

7. 設定画面にて、[OK]をクリックしてください。
※[ユーザー]はデフォルトで「%DOMAIN%\%USERNAME%」(変数)となっており、自動的にアラート対象のデバイスにログイン中のデバイスが設定されます

8. 画面左のアクションリストの[Windowsのアクション]配下より、「システムをシャットダウン」をドラッグ&ドロップしてください。

9. 設定画面にて、[強制アクション]にチェックを入れ、[OK]をクリックしてください。
※[宛先デバイス]はデフォルトで「%HOSTNAME%」(変数)となっており、自動的にアラート対象のデバイスが設定されます

設定後のワークフローは、以下のようになります。

10. 画面右上の[保存]をクリックし、ワークフローを保存してください。

11. 作成したワークフローは、アラートプロファイル作成/編集時に設定することが出来ます。
※以下、参照画像となります。

 

発生したアラート/インシデントに対してワークフロー実行する方法

ビルド12235より、既に発生したアラートまたはインシデントに対してワークフローの実行が可能となりました。

発生したアラートからワークフローを実行する方法
[アラート]タブにて、発生したアラートの列「ワークフローの状態」より「ワークフローを実行する」をクリックします。

「ワークフローを実行する」をクリック後に表示される画面にて、実行するワークフローの詳細を指定できます。
アラートプロファイルに関連付ける」をクリックすることで、該当アラートプロファイルに指定したワークフローを設定できます。

発生または生成したインシデントからワークフローを実行する方法
[アラート] -> [インシデント] -> 該当インシデントをクリック -> 証拠タブ下に記録した証拠情報より「ワークフローを実行する」をクリックします。

「ワークフローを実行する」をクリック後に表示される画面にて、実行するワークフローの詳細を指定できます。
証拠タブから「ワークフローを実行する」をクリックした場合は、「アラートプロファイルに関連付ける」リンクは表示されません。

 

以上です。