アーカイブの仕様について
EventLog Analyzerによって処理されるログファイルは定期的にアーカイブ化され、内部監査、法監査、コンプライアンス監査に使用することが出来ます。アーカイブの間隔と保持期間は変更可能であり、アーカイブ ファイルは暗号化やタイムスタンプに対応しているため、セキュリティ確保と改ざん防止が可能です。
アーカイブに対する基本操作
アーカイブの設定方法
画面右上の[設定] リンクをクリックすることで、アーカイブの設定を変更できます。
※詳細は アーカイブの設定についてをご参照ください。
アーカイブステータスの概要
- 「ロード済み」
アーカイブデータのデータベースへのロードが完了したことを示しています。
アーカイブファイルを表示するためには、[閲覧]をクリックします。
- 「データはすでに利用可能です」
アーカイブデータがデータベースに存在します。
ロードすることなく、検索タブやレポートタブでデータを閲覧できます。
- 「データの一部が利用可能です」
アーカイブデータの一部がデータベースに存在します。
ロードを実施すると、ログデータが重複して表示される場合があります。
- 「ロードされていません」
アーカイブデータがデータベースに存在しません。
データを閲覧するためにはロードを実施してください(手順は下記「アーカイブデータをデータベースに復元(ロード)する方法」を参照)。
アーカイブデータを参照する方法
- ステータスが「ロード済み」となっている場合、[閲覧] リンクをクリックすることでファイル内のログを検索できます。
- データベースから該当のログを削除する場合は、対象のデータのチェックボックスにチェック入れ、[アーカイブをアンロード]をクリックしてください(archiveフォルダ内のアーカイブファイルは削除されません)。
アーカイブデータを削除する方法
- 削除したいアーカイブデータのチェックボックスをチェックします。
- ゴミ箱アイコン(削除ボタン) をクリックし、アーカイブファイルを削除します。
アーカイブデータをデータベースに復元(ロード)する方法
- 対象のデータのチェックボックスにチェックを入れます。
- [アーカイブをロード]をクリックします。
EventLog Analyzerの検索タブやレポートタブを使用してログを閲覧するためには、EventLog Analyzerがバンドルするデータベースに保存された「インデックス処理されたログデータ」が必要です。インデックス処理されたログデータの保存期間を確認・編集する場所は、[設定] タブ → [管理者権限] → [データベース保存設定]ページの「現在の日数」です(詳細はこちら)。
「現在の日数」に設定した保存期間を過ぎたインデックス処理されたログデータは削除されます。そして、保存期間を過ぎたログデータを再度検索タブやレポートタブで閲覧するためには、アーカイブデータを復元(ロード)する必要があります。
アーカイブの設定について
アーカイブ設定画面では、アーカイブ間隔、保持期間、暗号化の有無、アーカイブのタイムスタンプ、アーカイブ ファイルの保存先を設定します。
設定場所:[設定] → [管理者権限] → [アーカイブ] → 画面右上の[設定]
■ 設定内容の詳細について
| 設定名 | 解説 |
|---|---|
| 暗号データ | アーカイブファイルの安全性を高める場合、暗号化オプションを有効にします。デフォルトは無効です。 |
| アーカイブ保持期間 | アーカイブログの保持期間を選択します。期間は継続、1年、半年、3ヶ月、1ヶ月、1週間、カスタム より選択可能です。デフォルト値は「無期限」 です。カスタムでは「日」「週」「月」「年」単位で任意の保持期間を設定できます。
※アーカイブログ保存期間を現在の設定よりも短い期間に変更した場合、過去のログは2:00 AM に実行されるスケジューラーにより削除されます。 |
| アーカイブ場所 | デフォルトのアーカイブ保存場所が表示されています。変更するには [編集アイコン](鉛筆マーク)をクリックします。
※保存場所を外付けディスクなどへ変更する際は、書き込み遅延が発生しないことを確認のうえ、設定変更を実施してください。 ※指定パスに対して、EventLog Analyzerサービス起動アカウントがフルコントロール権限を有していることをご確認ください(サービス起動アカウント確認方法はこちら)。 |
| 通知メールアドレス | アーカイブ改ざん検知などのアーカイブデータについてのアラート通知先メールアドレスの設定です。 |
| ロード保持期間 | データベースに展開後のアーカイブデータの保持期間です。本期間を経過したデータはデータベース内から自動的に削除されます。データベースから削除後のアーカイブデータにつきましては、検索画面やレポート画面から閲覧することが不可となります。
例)ロード保持期間が2日の場合、展開後2日間はアーカイブデータはデータベース内にインデックスとして保持されているため、製品機能内の検索やレポート画面で閲覧することが可能です。そして、2日を経過するとデータベースよりデータは自動的削除されるため、検索やレポート画面での閲覧が不可となります。再度、アーカイブデータを展開することにより検索/レポートにてデータを閲覧することは可能です。 |
| ファイル作成間隔 | 出力したファイルのサイズが大きくならないように、ファイルを作成する間隔を設定します。時間間隔を指定することで、指定された期間ログが非圧縮のファイルに書き込まれます。デフォルト値は 8 時間です。
例)8時間と設定されている場合、8時間ごとに新しいアーカイブファイルが生成されます。 ※ファイルのサイズがしきい値(ビルド12468以前:250MB、ビルド12469以降:1GB)を超えた場合は、指定した時間間隔を待たずに新たなファイルが作成されます。 |
| Zipファイル作成間隔 | ファイル出力したログをgz圧縮する間隔を時間または日で指定します。圧縮後、ファイルサイズは1%~2.5%まで縮小されます。デフォルト値は 1 日です。
※本アーカイブファイルは EventLog Analyzer で管理される証跡データですので、テキストエディターでの直接的な参照やデータの削除は非推奨です。アーカイブデータを参照する場合は、上記に記述した「アーカイブのロード」機能を使用し、製品画面上にて参照してください。 例)1日と設定されている場合、1日分のアーカイブファイルが圧縮され、gzファイルが生成されます。 ※EventLog Analyzer が起動した時間をもとに、初回のgzおよびファイル作成を実施します。なお、次回のgz化は前回の圧縮処理が完了した時刻を起算として、次のスケジュールを決定します。例えば午後 0:00に圧縮処理が開始し、 午後0:10に終了した場合、次の開始時刻は午後0:10から開始します。 ※「Zipファイル作成間隔」に設定した日時より前までに圧縮対象のファイル数が9個作成されると、設定した日時が経過していない場合も、8個目までのファイルは、9個目のファイルが作成されるタイミングで即時圧縮されます。 |
| アーカイブのタイムスタンプ | アーカイブファイルの「改ざん防止/検知」機能を利用する場合、本タイムスタンプ機能を有効にします。デフォルトは無効です。
※暗号化オプションの設定のみでは、データの改ざん検知を行なうことはできません。 |
| 今すぐZip作成 | 直ちにアーカイブ化(gz圧縮)を行う場合は、今すぐZip作成をクリックします。 |
| 保存 | 設定情報を保存する場合は、保存をクリックします。 |
