EventLog Analyzer ナレッジベース

アーカイブの仕様について


EventLog Analyzerによって処理されるログファイルは定期的にアーカイブ化され、内部監査、法監査、コンプライアンス監査に使用することが出来ます。アーカイブの間隔と保持期間は変更可能であり、アーカイブ ファイルは暗号化やタイムスタンプに対応しているため、セキュリティ確保と改ざん防止が可能です。

 

 1.アーカイブに対する基本操作

 

(1) アーカイブデータを削除する方法

  • 削除したいアーカイブデータのチェックボックスをチェックします。
  • ゴミ箱マーク(削除ボタン) をクリックし、アーカイブファイルを削除します。

 

(2) アーカイブの設定方法

  • 画面右上の[設定] リンクをクリックし、アーカイブの設定を変更できます。

詳細は アーカイブの設定についてをご参照ください。

 

(3) アーカイブデータを Elasticsearch (検索エンジンデータベース)に展開する方法

EventLog Analyzerの検索タブやレポートタブを使用してログを閲覧するためには、EventLog AnalyzerがバンドルするElasticsearchに保存された「インデックス処理されたログデータ」が必要です。インデックス処理されたログデータの保存期間を確認・編集する場所は、[設定] タブ >> [管理者権限] >> [データベース保存設定]ページの「現在の日数」です。詳細はこちらのナレッジをご参照ください。

「現在の日数」に設定した保存期間を過ぎたインデックス処理されたログデータは削除されます。そして、保存期間を過ぎたログデータを再度検索タブやレポートタブで閲覧するためには、アーカイブデータをロードする(Elasticsearchに展開する)必要があります。

  • 対象のデータのチェックボックスにチェックを入れます。
  • [アーカイブをロード]をクリックします。

 

(4) アーカイブデータを参照する方法

  • ステータスが「ロード済み」となっていた場合、[閲覧] リンクをクリックすることでファイル内のログを検索できます。
  • データベースから該当のログを削除する場合は、対象のデータのチェックボックスにチェック入れ、[アーカイブをアンロード]をクリックしてください。
    ( archiveフォルダ内のアーカイブファイルは削除されません )

 

 

 2.アーカイブの設定について

アーカイブ設定画面では、アーカイブ間隔、保持期間、暗号化の有無、アーカイブのタイムスタンプ、アーカイブ ファイルの保存先を設定します。

設定場所:[ 設定 ] > [ 管理者権限 ] > [ アーカイブの管理 ] > [ 設定 ]

■ 設定内容の詳細について

設定名 解説
暗号データ アーカイブファイルの安全性を高める場合、暗号化オプションを有効にします。デフォルトは無効です。

【イメージ図を参照】

アーカイブ保持期間 アーカイブログの保持期間を選択します。期間は継続、1年、半年、3ヶ月、1ヶ月、1週間、カスタム より選択可能です。デフォルト値は「無期限」 です。カスタムでは「日」「週」「月」「年」単位で任意の保持期間を設定できます。

※アーカイブログ保存期間を現在の設定よりも短い期間に変更した場合、過去ログはAM 2:00のスケジュールにより削除されます。

アーカイブ場所 デフォルトのアーカイブ保存場所が表示されています。変更するには[編集アイコン]リンクをクリックします。

※保存場所を外付けディスクなどへ変更する際は、書き込み遅延が発生しないことを確認のうえ、設定変更を実施してください。

※指定パスに対して、EventLog Analyzerサービス起動アカウントがフルコントロール権限を有していることをご確認ください(サービス起動アカウント確認方法はこちら)。

通知メールアドレス アーカイブ改ざん検知などのアーカイブデータについてのアラートの通知先メールアドレスの設定です。
ロード保持期間 Elasticsearchに展開後のアーカイブデータの保持期間です。本期間を経過したデータはElasticsearchフォルダー内で自動的に削除されます。Elasticsearchから削除後のアーカイブデータにつきましては、検索画面やレポート画面から閲覧することが不可となります。

例)ロード保持期間が2日の場合、展開後2日間はアーカイブデータはElasticsearch内にインデックスとして保持されているため、製品機能内の検索やレポート画面で閲覧することが可能です。そして、2日を経過するとElasticsearchよりデータは自動的削除されるため、検索やレポート画面での閲覧が不可となります。再度、アーカイブデータを展開することにより検索/レポートにてデータを閲覧することは可能です。

ファイル作成間隔 出力したファイルのサイズが大きくならないように、ファイルを作成する間隔を設定します。時間間隔を指定することで、指定された期間ログが非圧縮のファイルに書き込まれます。デフォルト値は 8 時間です。

例)8時間と設定されている場合、8時間ごとに新しいアーカイブファイルが生成されます。

Zipファイル作成間隔 ファイル出力したログをgz圧縮する間隔を時間または日で指定します。圧縮後、ファイルサイズは1%~2.5%まで縮小されます。デフォルト値は 1 日です。

※本アーカイブファイルは EventLog Analyzer で管理される証跡データですので、テキストエディターでの直接的な参照やデータの削除は非推奨です。アーカイブデータを参照する場合は、上記に記述した「アーカイブのロード」機能を使用し、製品画面上にて参照してください。

例)1日と設定されている場合、1日分のアーカイブファイルが圧縮され、gzファイルが生成されます。

※EventLog Analyzer が起動した時間をもとに、初回のgzおよびファイル作成を実施します。なお、次回のgz化は前回の圧縮処理が完了した時刻を起算として、次のスケジュールを決定します。例えば午後 0:00に圧縮処理が開始し、 午後0:10に終了した場合、次の開始時刻は午後0:10から開始します。

アーカイブのタイムスタンプ アーカイブファイルを「改ざん防止/検知」の機能を利用する場合、本タイムスタンプ機能を有効にします。デフォルトは無効です。

※暗号化オプションの設定のみでは、データの改ざん検知を行なうことはできません。

【イメージ図を参照】

今すぐZip作成 直ちにアーカイブ化(gz圧縮)を行う場合は、今すぐZip作成をクリックします。
保存 設定情報を保存する場合は、保存をクリックします。

 

■ アーカイブデータの暗号化 イメージ図

※クリックで拡大します

 

■ アーカイブのタイムスタンプ付け イメージ図

※クリックで拡大します