EventLog AnalyzerとPassword Manager Proの連携機能
作成日:2018年11月28日 | 更新日:2026年3月6日
EventLog AnalyzerとPassword Manager Proを連携することで、Password Manager Pro経由でITリソースに接続した際のイベントログを取得することができます。
本ナレッジでは、連携機能についてご紹介します。
※利用ビルドに関係なく、ELAの「アプリケーションログ管理」オプションライセンスが必要です。
ライセンスの詳細は、EventLog Analyzerの価格表をご確認ください。
1.前提条件
2.設定手順
3.セッションレポートの生成手順
4.トラブルシューティング
5. EventLog Analyzerでのアラート設定例
1.前提条件
下記項目は、本連携機能を使用する際の前提条件となります。
※以下より、Eventlog AnalyzerをELA、Password Manager ProをPMPと表記いたします
- ELAにPMPサーバー、およびPMPの監査対象サーバー(リモート接続先)がホストとして登録されていること
- リモート接続先のサーバーにおいて、イベントID 4624のログが出力されること
グループポリシー エディタ―から以下の項目にチェックが入っているか、確認ください。
[コンピューターの構成]>[Windowsの設定]>[セキュリティの設定]>[監査ポリシーの詳細な構成]>[システム監査ポリシー]>[ログオン/ログオフ]の"ログオフの監査"と"ログオンの監査"の[成功]と[失敗]のチェックボックス - Password Manager Pro上に登録したリソース/ホストの[FQDN/IPアドレス]とEventLog Analyzer上の[ホスト名]が等しいこと
- Password Manager Pro、EvenLog Analyzer、リモート接続先の3つのサーバーの設定時刻が正しいこと
- リモート接続先のサーバーとのセッションを 90秒 以上、継続すること
- PMP経由のセッションを終了する際に、ブラウザーのタブを閉じるのではなく、サインアウトしてセッションを終了すること
2.設定手順
EventLog Analyzer上の設定
- ELAにてホストとして登録済みのPMPサーバーをアプリケーションソースとして登録
(1-1).ELAダッシュボード上にて、[設定]タブ→[ログソースの構成]→[アプリケーション]→[MEアプリケーション]に移動し、[MEアプリケーションを追加]をクリックしてください。
図 アプリケーションソース画面
(1-2).追加画面にて、以下を設定し、[追加]をクリックしてください。
アプリケーション : Password Manager Pro
ホスト : PMPのインストールサーバー
図 アプリケーションソース追加画面
(1-3).追加後、以下のようにPMPサーバーがアプリケーションソースとして登録されます。
図 アプリケーションソース追加後の画面
- ELAのPMPセッションレポート生成のためのコリレーションルールを有効化
ELAダッシュボード上にて、[相関]タブ→[ルールを管理(画面右上)]→[アクティビティルール]タブ にて、「PMPセッション」の「ルールステータス」をアクティブにしてください。
図 アクティビティルール画面
Password Manager Pro上の設定
- Syslog送信設定
管理者アカウントでPassword Manager Proにログイン後、[管理]タブの[SNMPトラップ/Syslog設定]からSyslogメッセージの送信先としてEventLog Analyzerを設定します。
図 Syslog送信設定
- Syslogとして送信する監査ログを設定
[監査]タブの[リソース監査]/[ユーザー監査]/[タスク監査]→の[監査アクション]から[リソース監査の設定]をクリックし、Syslogとして生成する操作(イベント)を「SYSLOGを生成」欄のチェックボックスにチェックを入れ指定し、[保存]をクリックします。
図 Syslog生成設定
すべてのイベントをSyslogとして生成したい場合、「SYSLOGを生成」の左横のチェックボックスを選択することで全選択可能です。
3.セッションレポートの生成手順
- EventLog Analyzerにログインします。
- [相関]タブに移動して、[動作監視レポート]内の[Windowsセッション]→[PMPセッションで、Password Manager Proから接続したセッションが表示されます。
図 PMPセッションレポート
-
表示された項目をマウスオーバーすると、[履歴の表示]という項目が表示されます。[履歴の表示]をクリックするとセッション内で取得したログが表示されます。
図 PMPセッションレポート
-
[高度な表示]をクリックすることで、さらに詳細なログの情報を確認できます。
図 PMPセッションレポート
4.トラブルシューティング
PMPセッションレポートが表示されない場合には、下記項目を確認してください。
- EventLog Analyzerの[Syslog受信状況]にて、Password Manager ProのSyslogを受信していること。
- リモート接続先のサーバーから、[イベントID:4624/ログオンタイプ:10]のイベントログを収集していること。
- リモート接続先のサーバーから収集した[イベントID:4624/ログオンタイプ:10]のイベントログのタイムスタンプが、Password Manager Proから受信する[RDPセッション開始]に関するSyslogのタイムスタンプより、後であること。つまり、タイムスタンプの順番が「[イベントID:4624/ログオンタイプ:10]のイベントログ → Password Manager Proから受信する[RDPセッション開始]に関するSyslog 」であること。
- EventLog AnalyzerサーバーおよびPassword Manager Proサーバーの時刻が同時刻を共有していること。
- EventLog Analyzerのデバイス管理ページに表示されているリモート接続先の[ホスト名]が、Password Manager Proのリソース管理ページで表示されている[リソース名]および[FQDN/IPアドレス]が同じ名前であること。
【EventLog Analyzerの[ホスト名]】
【Password Manager Proの[リソース名]および[FQDN/IPアドレス]】
※EventLog Analyzerは、Windowsのイベントログを10分に一度収集しています(デフォルト)。そのため、リモート接続直後にセッションレポートを確認した場合、まだログが収集されていない可能性があります。即座にセッションレポートを確認したい場合には、EventLog Analyzerの[ホーム]>[ホスト]の画面で、[今すぐスキャン]をクリックしてください。
5.EventLog Analyzerでのアラート設定例
EventLog Analyzerのアラート機能を使用することで、Password Manager Proを経由しないWindowsログオン(リモートデスクトップ接続)を検知できます。アラートプロファイルの設定手順はこちらのナレッジをご参照ください。
以上