EventLog AnalyzerとPassword Manager Proの連携機能
作成日:2018年11月28日 | 更新日:2024年9月25日
EventLog AnalyzerとPassword Manager Proを連携することで、Password Manager Pro経由でITリソースに接続した際のイベントログを取得することができます。
本ナレッジでは、連携機能についてご紹介します。
※利用ビルドに関係なく、新体系ライセンスをご利用の場合、
ELAの「アプリケーションログ管理」オプションライセンス が必要です。
1.前提条件
2.設定手順
3.セッションレポートの生成手順
4.トラブルシューティング
5. EventLog Analyzerでのアラート設定例
1.前提条件
下記項目は、本連携機能を使用する際の前提条件となります。
※以下より、Eventlog AnalyzerをELA、Password Manager ProをPMPと表記いたします
1. ELAにPMPサーバー、およびPMPの監査対象サーバー(リモート接続先)がホストとして登録されていること
2.リモート接続先のサーバーにおいて、イベントID 4624のログが出力されること
グループポリシー エディタ―から以下の項目にチェックが入っているか、確認ください。
[コンピューターの構成]>[Windowsの設定]>[セキュリティの設定]>[監査ポリシーの詳細な構成]>[システム監査ポリシー]>[ログオン/ログオフ]の"ログオフの監査"と"ログオンの監査"の[成功]と[失敗]のチェックボックス3.Password Manager Pro上に登録したリソース/ホストの[FQDN/IPアドレス]とEventLog Analyzer上の[ホスト名]が等しいこと
4.Password Manager Pro、EvenLog Analyzer、リモート接続先の3つのサーバーの設定時刻が正しいこと
5. リモート接続先のサーバーとのセッションを 90秒 以上、継続すること
6. PMP経由のセッションを終了する際に、ブラウザーのタブを閉じるのではなく、サインアウトしてセッションを終了すること
2.設定手順
EventLog Analyzer上の設定
1. ELAにてホストとして登録済みのPMPサーバーをアプリケーションソースとして登録
(1) ELAダッシュボード上にて、[設定]タブ>[アプリケーションソース管理]>[その他のアプリケーションソース]に移動し、[アプリケーションの追加]をクリックしてください。
図 アプリケーションソース画面
(2) 追加画面にて、以下を設定し、[追加]をクリックしてください。
アプリケーションの種類 : Password Manager Pro (ManageEngine Apps配下に存在します)
デバイス : PMPサーバーとなっているホスト
図 アプリケーションソース追加画面
(3) 追加後、以下のようにPMPサーバーがアプリケーションソースとして登録されます。
図 アプリケーションソース追加後の画面
2. ELAのPMPセッションレポート生成のためのコリレーションルールを有効化
(1) ELAダッシュボード上にて、[コリレーション]タブ>[ルール管理(画面右上)]>[アクティビティルール]タブ にて、[PMPセッション]を有効化してください。
※ステータスをクリックすることで有効化することができます
図 アクティビティルール画面
Password Manager Pro上の設定
1.Syslog送信設定
管理者アカウントでPassword Manager Proにログイン後、[管理]タブの[SNMPトラップ/Syslog設定]からSyslogメッセージの送信先としてEventLog Analyzerを設定します。
図 Syslog送信設定
2.Syslogとして送信する監査ログを設定
[監査]タブの[リソース監査]の[監査アクション]から[リソース監査の設定]をクリックします。すべてのリソース監査ログをSyslogとして生成するよう設定します。図 Syslog生成設定
3.セッションレポートの生成手順
1.EventLog Analyzerにログインします。
2.[コリレーション]タブに移動して、[動作監視レポート]内の[PMPセッション]から、Password Manager Proから接続したセッションが表示されます。
図 PMPセッションレポート
表示された項目をマウスオーバーすると、[履歴の表示]という項目が表示されます。[履歴の表示]をクリックするとセッション内で取得したログが表示されます。
図 PMPセッションレポート
[高度な表示]をクリックすることで、さらに詳細なログの情報を確認できます。
図 PMPセッションレポート
4.トラブルシューティング
PMPセッションレポートが表示されない場合には、下記項目を確認してください。
- EventLog Analyzerの[Syslog受信状況]にて、Password Manager ProのSyslogを受信していること。
- リモート接続先のサーバーから、[イベントID:4624/ログオンタイプ:10]のイベントログを収集していること。
- リモート接続先のサーバーから収集した[イベントID:4624/ログオンタイプ:10]のイベントログのタイムスタンプが、Password Manager Proから受信する[RDPセッション開始]に関するSyslogのタイムスタンプより、後であること。つまり、タイムスタンプの順番が「[イベントID:4624/ログオンタイプ:10]のイベントログ → Password Manager Proから受信する[RDPセッション開始]に関するSyslog 」であること。
- EventLog AnalyzerサーバーおよびPassword Manager Proサーバーの時刻が同時刻を共有していること。
- EventLog Analyzerのデバイス管理ページで表示されているリモート接続先の[ホスト名]が、Password Manager Proのリソース管理ページで表示されている[リソース名]および[FQDN/IPアドレス]が同じ名前であること。
【EventLog Analyzerの[ホスト名]】
【Password Manager Proの[リソース名]および[FQDN/IPアドレス]】
※EventLog Analyzerは、Windowsのイベントログを10分に一度収集しています(デフォルト)。そのため、リモート接続直後にセッションレポートを確認した場合、まだログが収集されていない可能性があります。即座にセッションレポートを確認したい場合には、EventLog Analyzerの[ホーム]>[ホスト]の画面で、[今すぐスキャン]をクリックしてください。
5.EventLog Analyzerでのアラート設定例
EventLog Analyzerのアラート機能を使用することで、Password Manager Proを経由しないWindowsログオン(リモートデスクトップ接続)を検知できます。アラートプロファイルの設定手順はこちらのナレッジをご参照ください。
以上