Password Manager Pro ナレッジベース

EventLog AnalyzerとPassword Manager Proの連携機能


EventLog AnalyzerとPassword Manager Proを連携することで、Password Manager Pro経由でITリソースに接続した際のイベントログを取得することができます。

本ナレッジでは、連携機能についてご紹介します。

 

 

1.前提条件

下記項目は、本連携機能を使用する際の前提条件となります。
※以下より、Eventlog AnalyzerをELA、Password Manager ProをPMPと表記いたします

1. ELAにPMPサーバー、およびPMPの監査対象サーバー(リモート接続先)がホストとして登録されていること

2.リモート接続先のサーバーにおいて、イベントID 4624のログが出力されること

グループポリシー エディタ―から以下の項目にチェックが入っているか、確認ください。

[コンピューターの構成]>[Windowsの設定]>[セキュリティの設定]>[監査ポリシーの詳細な構成]>[システム監査ポリシー]>[ログオン/ログオフ]の"ログオフの監査"と"ログオンの監査"の[成功]と[失敗]のチェックボックス

3.Password Manager Pro上に登録したリソース/ホストの[FQDN/IPアドレス]とEventLog Analyzer上の[ホスト名]が等しいこと

4.Password Manager Pro、EvenLog Analyzer、リモート接続先の3つのサーバーの設定時刻が正しいこと

5. リモート接続先のサーバーとのセッションを 90秒 以上、継続すること

6. PMP経由のセッションを終了する際に、ブラウザーのタブを閉じるのではなく、サインアウトしてセッションを終了すること

 

2.設定手順

EventLog Analyzer上の設定

1. ELAにてホストとして登録済みのPMPサーバーをアプリケーションソースとして登録
(1) ELAダッシュボード上にて、[設定]タブ>[アプリケーションソース管理]>[その他のアプリケーションソース]に移動し、[アプリケーションの追加]をクリックしてください。

図 アプリケーションソース画面

(2) 追加画面にて、以下を設定し、[追加]をクリックしてください。
アプリケーションの種類 : Password Manager Pro (ManageEngine Apps配下に存在します)
デバイス : PMPサーバーとなっているホスト

図 アプリケーションソース追加画面

(3) 追加後、以下のようにPMPサーバーがアプリケーションソースとして登録されます。

図 アプリケーションソース追加後の画面

2. ELAのPMPセッションレポート生成のためのコリレーションルールを有効化
(1) ELAダッシュボード上にて、[コリレーション]タブ>[ルール管理(画面右上)]>[アクティビティルール]タブ にて、[PMPセッション]を有効化してください。
※ステータスをクリックすることで有効化することができます

図 アクティビティルール画面

Password Manager Pro上の設定

1.Syslog送信設定

管理者アカウントでPassword Manager Proにログイン後、[管理]タブの[SNMPトラップ/Syslog設定]からSyslogメッセージの送信先としてEventLog Analyzerを設定します。

図 Syslog送信設定

2.Syslogとして送信する監査ログを設定

[監査]タブの[リソース監査]の[監査アクション]から[リソース監査の設定]をクリックします。すべてのリソース監査ログをSyslogとして生成するよう設定します。

図 Syslog生成設定

3.セッションレポートの生成手順

1.EventLog Analyzerにログインします。

2.[コリレーション]タブに移動して、[動作監視レポート]内の[PMPセッション]から、Password Manager Proから接続したセッションが表示されます。

図 PMPセッションレポート

表示された項目をマウスオーバーすると、[履歴の表示]という項目が表示されます。[履歴の表示]をクリックするとセッション内で取得したログが表示されます。

図 PMPセッションレポート

[高度な表示]をクリックすることで、さらに詳細なログの情報を確認できます。

図 PMPセッションレポート

4.トラブルシューティング

PMPセッションレポートが表示されない場合には、下記項目を確認してください。

  1. EventLog Analyzerの[ログレシーバー]にて、Password Manager ProのSyslogを受信していること。
  2. リモート接続先のサーバーから、[イベントID:4624/ログオンタイプ:10]のイベントログを収集していること。
  3. リモート接続先のサーバーから収集した[イベントID:4624/ログオンタイプ:10]のイベントログのタイムスタンプが、Password Manager Proから受信する[RDPセッション開始]に関するSyslogのタイムスタンプより、後であること。つまり、タイムスタンプの順番が「[イベントID:4624/ログオンタイプ:10]のイベントログ → Password Manager Proから受信する[RDPセッション開始]に関するSyslog 」であること。
  4. EventLog AnalyzerサーバーおよびPassword Manager Proサーバーの時刻が同時刻を共有していること。
  5. EventLog Analyzerのデバイス管理ページで表示されているリモート接続先の[ホスト名]が、Password Manager Proのリソース管理ページで表示されている[リソース名]および[FQDN/IPアドレス]が同じ名前であること。

【EventLog Analyzerの[ホスト名]】

 

【Password Manager Proの[リソース名]および[FQDN/IPアドレス]】

 

※EventLog Analyzerは、Windowsのイベントログを10分に一度収集しています(デフォルト)。そのため、リモート接続直後にセッションレポートを確認した場合、まだログが収集されていない可能性があります。即座にセッションレポートを確認したい場合には、EventLog Analyzerの[ホーム]>[ホスト]の画面で、[今すぐスキャン]をクリックしてください。

 

5.EventLog Analyzerでのアラート設定例

EventLog Analyzerのアラート機能を使用することで、Password Manager Proを経由しないWindowsログオン(リモートデスクトップ接続)を検知できます。アラートプロファイルの設定手順はこちらのナレッジをご参照ください。

以上