アーカイブの仕様について
EventLog Analyzerによって処理されるログファイルは定期的にアーカイブ化され、内部監査、法監査、コンプライアンス監査に使用することが出来ます。アーカイブの間隔と保持期間は変更可能であり、アーカイブ ファイルは暗号化やタイムスタンプに対応しているため、セキュリティ確保と改ざん防止が可能です。
≪ 目次 ≫
1.アーカイブに対する基本操作
(1) アーカイブデータを削除する方法
- 削除したいアーカイブデータのチェックボックスをチェックします。
- ゴミ箱マーク(削除ボタン) をクリックし、アーカイブファイルを削除します。
(2) アーカイブの設定方法
- 画面右上の[設定] リンクをクリックし、アーカイブの設定を変更できます。
詳細は アーカイブの設定についてをご参照ください。
(3) アーカイブデータを Elasticsearch (検索エンジンデータベース)に展開する方法
EventLog Analyzerの検索タブやレポートタブを使用してログを閲覧するためには、EventLog AnalyzerがバンドルするElasticsearchに保存された「インデックス処理されたログデータ」が必要です。インデックス処理されたログデータの保存期間を確認・編集する場所は、[設定] タブ >> [管理者権限] >> [データベース保存設定]ページの「現在の日数」です。詳細はこちらのナレッジをご参照ください。
「現在の日数」に設定した保存期間を過ぎたインデックス処理されたログデータは削除されます。そして、保存期間を過ぎたログデータを再度検索タブやレポートタブで閲覧するためには、アーカイブデータをロードする(Elasticsearchに展開する)必要があります。
- 対象のデータのチェックボックスにチェックを入れます。
- [アーカイブをロード]をクリックします。
(4) アーカイブデータを参照する方法
- ステータスが「ロード済み」となっていた場合、[閲覧] リンクをクリックすることでファイル内のログを検索できます。
- データベースから該当のログを削除する場合は、対象のデータのチェックボックスにチェック入れ、[アーカイブをアンロード]をクリックしてください。
( archiveフォルダ内のアーカイブファイルは削除されません )
2.アーカイブの設定について
アーカイブ設定画面では、アーカイブ間隔、保持期間、暗号化の有無、アーカイブのタイムスタンプ、アーカイブ ファイルの保存先を設定します。
設定場所:[ 設定 ] > [ 管理者権限 ] > [ アーカイブの管理 ] > [ 設定 ]
■ 設定内容の詳細について
| 設定名 | 解説 |
|---|---|
| 暗号データ | アーカイブファイルの安全性を高める場合、暗号化オプションを有効にします。デフォルトは無効です。 |
| アーカイブ保持期間 | アーカイブログの保持期間を選択します。期間は継続、1年、半年、3ヶ月、1ヶ月、1週間、カスタム より選択可能です。デフォルト値は「無期限」 です。カスタムでは「日」「週」「月」「年」単位で任意の保持期間を設定できます。
※アーカイブログ保存期間を現在の設定よりも短い期間に変更した場合、過去ログはAM 2:00のスケジュールにより削除されます。 |
| アーカイブ場所 | デフォルトのアーカイブ保存場所が表示されています。変更するには[編集アイコン]リンクをクリックします。
※保存場所を外付けディスクなどへ変更する際は、書き込み遅延が発生しないことを確認のうえ、設定変更を実施してください。 ※指定パスに対して、EventLog Analyzerサービス起動アカウントがフルコントロール権限を有していることをご確認ください(サービス起動アカウント確認方法はこちら)。 |
| 通知メールアドレス | アーカイブ改ざん検知などのアーカイブデータについてのアラートの通知先メールアドレスの設定です。 |
| ロード保持期間 | Elasticsearchに展開後のアーカイブデータの保持期間です。本期間を経過したデータはElasticsearchフォルダー内で自動的に削除されます。Elasticsearchから削除後のアーカイブデータにつきましては、検索画面やレポート画面から閲覧することが不可となります。
例)ロード保持期間が2日の場合、展開後2日間はアーカイブデータはElasticsearch内にインデックスとして保持されているため、製品機能内の検索やレポート画面で閲覧することが可能です。そして、2日を経過するとElasticsearchよりデータは自動的削除されるため、検索やレポート画面での閲覧が不可となります。再度、アーカイブデータを展開することにより検索/レポートにてデータを閲覧することは可能です。 |
| ファイル作成間隔 | 出力したファイルのサイズが大きくならないように、ファイルを作成する間隔を設定します。時間間隔を指定することで、指定された期間ログが非圧縮のファイルに書き込まれます。デフォルト値は 8 時間です。
例)8時間と設定されている場合、8時間ごとに新しいアーカイブファイルが生成されます。 |
| Zipファイル作成間隔 | ファイル出力したログをgz圧縮する間隔を時間または日で指定します。圧縮後、ファイルサイズは1%~2.5%まで縮小されます。デフォルト値は 1 日です。
※本アーカイブファイルは EventLog Analyzer で管理される証跡データですので、テキストエディターでの直接的な参照やデータの削除は非推奨です。アーカイブデータを参照する場合は、上記に記述した「アーカイブのロード」機能を使用し、製品画面上にて参照してください。 例)1日と設定されている場合、1日分のアーカイブファイルが圧縮され、gzファイルが生成されます。 ※EventLog Analyzer が起動した時間をもとに、初回のgzおよびファイル作成を実施します。なお、次回のgz化は前回の圧縮処理が完了した時刻を起算として、次のスケジュールを決定します。例えば午後 0:00に圧縮処理が開始し、 午後0:10に終了した場合、次の開始時刻は午後0:10から開始します。 |
| アーカイブのタイムスタンプ | アーカイブファイルを「改ざん防止/検知」の機能を利用する場合、本タイムスタンプ機能を有効にします。デフォルトは無効です。
※暗号化オプションの設定のみでは、データの改ざん検知を行なうことはできません。 |
| 今すぐZip作成 | 直ちにアーカイブ化(gz圧縮)を行う場合は、今すぐZip作成をクリックします。 |
| 保存 | 設定情報を保存する場合は、保存をクリックします。 |
※クリックで拡大します
※クリックで拡大します
