イベント ビューア
Application Control 2021.1で導入されたイベント ビューアは強力なクエリ ツールです。イベントを表示、グループ化、フィルタリング、検索してから、特定されたイベントを使用して、ドラッグやコピー ジェスチャで構成ルールを変更または作成できます。イベント ビューア クエリはイベント タイプに基づいています。このクエリを簡単にカスタマイズして、特定の期間、ユーザ、コンピュータに集中し、フィルタリングまたは検索して特定のイベント属性を特定できます。
このセクションの内容
イベント ビューアの一般的な使用例は、Application Control の初期設定時に繰り返し監査データをレビューし、それに応じて構成を修正することです。ユーザ要求または業務要件に対応する特定のクエリも高い価値があります。このようなレビューを定期的に実施することで、構成が目的に合っていて、組織全体のユーザの要件に適合していることを保証できます。
次の動画は、イベント ビューア機能の概要について説明します。
イベント ビューア ツールは Ivanti Management Center (MC) ユーザのみが使用できます。つまり、Management Center を使用してイベント データを収集する場合にのみ使用できます。
イベント ビューアのデータが想定通りに返されることを保証するには、ユーザは Application Control と MC の両方を最新バージョンにアップグレードする必要があります。
オフラインでクエリを分析するには、結果をファイルに保存し、その後で共有したり、開いたり、変更したりできます。データベース接続を確立したり、維持したりする必要はありません (2021.3以降)。
MC で記録されたアプリケーション イベント ID の一覧については、使用可能なイベント をご参照ください (ヘルプ デスク ポータル申請ログ)。
クエリの作成
1.コンソール リボンで [管理] > [イベント ビューア] を選択します。
[Application Control イベント] ダイアログが表示されます。
2.[接続の管理] をクリックします。
[管理サーバ データベース接続] ダイアログが開きます。
接続詳細情報は、Ivanti Management Center 経由で構成を保存および配布するためにエンタープライズ モードの AppSense で使用される情報と同じです。以前にデータベース接続を保存した場合、ユーザ プロファイルの一部として詳細情報が保存され、ここで一覧表示されます。MC 接続を追加または変更するには、次の「MC 接続の作成:」をご参照ください。
3.[管理サーバの選択] ダイアログで、任意の接続をクリックするか、接続を選択して、[接続] をクリックします。
ユーザ接続ダイアログが開きます。
4.[ユーザ接続] ダイアログで任意のオプションを選択します。
ユーザ名を指定して接続
現在のユーザ - このオプションを選択すると、現在のユーザ プロファイルを使用して接続します。
カスタム ユーザ - このオプションを選択すると、代替ユーザ プロファイルを使用して接続します。
選択した MC ユーザ プロファイルにアクセスするには、データベース アクセス権が必要です。
記憶する - 必要に応じてこのチェックボックスをオンまたはオフにします。
完了したら、[OK] をクリックして、接続認証資格情報を保存します。
接続詳細情報が入力されていると、[ユーザ接続] ダイアログが閉じ、接続が確立されます。
5.[ビュー] フィールドで矢印アイコンをクリックし、リストから任意のビューを選択します。
一覧には、あらかじめ構成されたビューと、以前に保存したカスタマイズされたビューが表示されます。
各ビューは照会できるイベントのカテゴリを表し、対応するイベント ID に基づいて結果を返します。
あらかじめ構成されたビュー
あらかじめ構成されたビューには次の項目があります。
•拒否された実行ファイル
•許可された実行ファイル
•ポリシー変更申請
•ポリシー変更の実行可能ファイル
•権限管理
•権限検出
•自己承認
•自己昇格
•UAC 置換
•ブラウザ制御
ほとんどのビューは単一のイベント タイプのみを返します。たとえば、[権限管理] には、アプリケーション権限が変更された日時が表示されます (イベント ID 9018)。他のビューは多数のイベント タイプを返します。たとえば、[拒否された実行ファイル] には、拒否された実行、アプリケーション制限拒否、時間制限拒否、アプリケーション終了、拒否された実行 (信頼できる所有権を使用)、拒否された実行 (ルール ポリシーを使用) のイベントが表示されます。
対象の変更イベント タイプ
複数のイベント ID が含まれ、管理者は必要に応じてリストを変更して減らすことができます (Application Control 2021.3 )。
-
[変更] を選択します。 [イベント選択] ダイアログが表示され、ビューに含まれるすべてのイベントが一覧表示されます。
-
必要に応じて各イベントのチェックボックスをオンまたはオフにし、[OK] をクリックします。
一般的に、特定のクエリは大量のデータを返します。特に、データベースが非常に大きい場合は、実行に長時間かかることがあります。時間範囲、配布グループ、ユーザ、またはコンピュータなどのフィルタを使用してこのようなクエリを制限し、必要に応じて [概要のみ] を選択することを強くお勧めします。
1.[配布グループ] フィールドで矢印アイコンをクリックし、リストから任意のグループを選択します。一覧の配布グループは、データベース接続の時点で MC で定義されたグループです。現在のセッションでグループを追加または削除した場合は、MC に再接続し、一覧のグループを更新します。
2.任意の特定の配布グループを選択します。あるいは、次を選択します。
•すべて - 定義されたすべての配布グループからイベントを返します。
•(既定) - MC の定義に従い、既定の配布グループからイベントを返します。
3.[時間範囲] フィールドで矢印アイコンをクリックし、リストから任意の期間を選択します。
あるいは、<カスタム期間を指定> を選択し、[カスタム時間範囲] ダイアログで任意の時間範囲の開始時刻と終了時刻を指定して、[OK] をクリックします。
4.必要に応じて、[ユーザ] フィールドの横の省略記号をクリックし、[ユーザの選択] ダイアログから任意のユーザを選択 (または指定) して、[OK] をクリックします。
特定のユーザでフィルタリングされたイベント ビューア クエリでは、報告されたユーザの問題や要求をトラブルシューティングして対処できます。クエリの時間範囲を追加すると、結果がかなり絞り込まれます。クエリは、任意のユーザと時間範囲に対して発生したイベントのみを返します。
任意のユーザを指定するには、ドメインとユーザ名で構成される完全一致を入力します。例: ivanti/example.username
ユーザの選択
[概要のみ] チェックボックスがオンの場合、[ユーザ] フィールドは使用できません。
•[ユーザの選択] ダイアログで [詳細...] をクリックして、ダイアログを展開します。
•[共通クエリ] パネルで、[名前] または [説明] フィールドに検索条件を入力し、[今すぐ検索] をクリックします。
一致した結果が一覧表示されます。
•任意のユーザを選択し、[OK] をクリックして確認します。
5.必要に応じて、[コンピュータ] フィールドの横の省略記号をクリックして、任意のコンピュータを選択します。あるいは、コンピュータ ドメインおよび名前の完全一致を直接入力します。
[概要のみ] チェックボックスがオンの場合、[コンピュータ] フィールドは使用できません。
6.必要に応じて、[概要のみ] チェックボックスをオンまたはオフにします。
[概要のみ] オプションは類似したイベントをグループ化し、特定されたすべてのインスタンスの合計発生数とユーザ数を表示します。このデータにより、管理者は、繰り返しイベントやユーザ数をただちに確認できます。たとえば、最も頻繁にブロックされたファイルや、許可されたアプリケーションを特定します。[概要のみ] ビューはユーザおよびコンピュータ固有のデータを無視し、インスタンス数のみが表示されます。許可/拒否された実行ファイル クエリでのみ使用できます。
[概要のみ] オプションがオフの場合、合計またはユーザ数がない簡易グリッドとしてすべてのイベント データが返されます。
7.クエリを実行するには、[クエリの実行] を選択します。
結果の一覧が表示され、レビューできます。ビューまたはフィルタを変更する場合は、クエリを再実行して、結果を更新する必要があります。
環境変数
Application Control はイベントで特定された実行ファイルの絶対ファイル パスを正規化します。特定のユーザまたはコンピュータ固有の値の代わりに標準環境変数を使用します。つまり、別のユーザまたは別のコンピュータで同じファイルにアクセスするときには、正規化されたパスはこれを同一であると表示します。
例:
|
絶対パス |
正規化されたパス |
|---|---|
|
C:\ProgramData D:\ProgramData |
%programdata% |
|
C:\users\test\desktop\test.exe |
%userprofile%\desktop\test.exe |
MC 接続の作成:
•[管理サーバの選択] ダイアログで [追加] アイコンをクリックします。
[サーバの追加] ダイアログが開きます。
•[サーバの追加] ダイアログで MC の接続詳細情報を入力します。
このような詳細情報は、MC が構成されるときに決定されます。「Management Center」を参照するか、システム管理者に問い合わせてください。
フレンドリ名 - 任意のサーバの「フレンドリ」名またはわかりやすい名前。
サーバの選択
プロトコル - HTTP または HTTPS を選択します。
サーバ名 - MC サーバ名を入力または選択します。
ポート - MC への接続で使用するポート。
完全 URL - MC サーバの完全 URL。
•詳細を入力したら、[追加] をクリックします。
接続が保存され、[管理サーバの選択] ダイアログに一覧表示されます。
表示されるクエリ結果をカスタマイズ
クエリを実行すると、結果の表示をカスタマイズしたり、カスタマイズされたビューを保存したり、結果をエクスポートしたりできます。
表示の構成
[Application Control イベント] ダイアログの結果セクションは構成可能です。
• 列見出しでグループ化結果 - 例します。列見出しを結果テーブルの上部にドラッグします。この処理では、選択した列見出しに従って、返された結果がグループ化されます。
•検索結果 - 例ツールを使用すると、検索条件と一致するイベントのみを含めることができます。検索はすべての列に適用されます。条件には、ファイル名または拡張子、ユーザ名またはコンピュータ名などを含めることができます。多数のイベント ID が返される拒否された実行ファイル クエリの場合、特定のイベント ID などを検索できます。
•フィルタ列 - 例を1つ以上の列見出しに適用します。これにより、条件と一致するイベントを追加または除外できます。
[フィルタ エディタを表示] をクリックすると、フィルタがクエリ結果に追加されます。あるいは、列見出しにカーソルを置き、フィルタ アイコンをクリックします。
[フィルタ エディタ] ダイアログが開き、任意のフィルタ条件を指定できます。
フィルタの作成と適用の図解については、権限検出の使用事例の動画をご参照ください。
•[列の選択] をクリックすると、クエリ結果に表示する列をカスタマイズできます。
•列を並べ替えるには、列見出しを新しい場所にドラッグします。
•列見出し内をクリックすると、昇順または降順で列が並べ替えられます。
グループ化結果 - 例
結果の表見出しには [列でグループ化するにはここに列見出しをドラッグ] というテキストが表示されます。
1.クエリ結果をグループ化するには、任意の列見出しを選択し、ダイアログ内の見出し行までドラッグします。
2.結果は、適用された列見出しに従ってグループ化されます。
次の例では、会社名別に結果がグループ化されます。
3.結果を構造化されたリストで表示する必要がある場合は、さらにグループ化を適用できます。
グループ構造は表見出し内に表示されます。
グループ化解除
•グループを削除するには、表見出し行で選択してから、選択内容を任意の場所にドラッグします。
•列見出しを移動して、列をグループ化解除して、返された結果の列を保持します。
•[イベント ビューア] ダイアログの外部に移動して、列をグループ化解除してクエリ結果から削除します。
エラーの列見出しを削除する場合は、クエリを再実行する必要があります。
検索結果 - 例
検索を開始するには、検索するテキストを検索バーに入力し、[検索] をクリックします。 検索条件と一致するイベントが表示されます。他のイベントはすべて非表示です。
検索フィールドが表示されない場合、結果ビューの列見出しを右クリックし、コンテキストメニューから [検索パネルを表示] を選択します。
イベント ビューア検索ツールのヒント
•検索ツールは現在表示されている情報でのみ機能します。
列見出しを右クリックして、検索対象の列を追加または削除できます。
•フィルタが適用された場合、検索条件とフィルタ条件の両方に一致する更新のみが表示されます。
•すべての部分一致が表示されます。
•検索では大文字と小文字が区別されません。
•ワイルドカードの使用はサポートされていません。
•[消去] をクリックすると、検索条件が消去されます。
フィルタ列 - 例
[フィルタ エディタを表示] をクリックするか、列見出しにカーソルを置いてから、フィルタ アイコンをクリックします。あるいは、任意の列を右クリックして、コンテキストメニューから [フィルタ エディタ] を選択します。
•[フィルタ エディタ] ダイアログで任意の条件を入力します。
表示されている例では、フィルタを作成し、パスが C:\users で始まるものだけを表示します。
•条件を指定したら、[OK] をクリックします。
あるいは、[適用] をクリックしてフィルタ結果を表示し、続行するときに [OK] をクリックします。
•返された結果にフィルタが適用され、条件が表示されます。
•フィルタを削除するには、フィルタ条件チェックボックスをオフにします。
カスタム クエリの保存と管理
変更内容はカスタム クエリとして保存し、必要に応じて変更を維持したり、再検討したり、クエリを再実行したりできます。保存されたカスタム クエリはビューのリストから選択できます (「[ビュー] フィールド」を参照)。
•[保存] をクリックすると、カスタム クエリの変更が保存されます。
•[名前を付けて保存] をクリックすると、一意の名前で現在のカスタム クエリを保存します。[名前を付けて保存] オプションを有効にするには、まずクエリを実行する必要があります。
•[管理] をクリックして、すべてのカスタム クエリの一覧を表示します。[ビューの管理] ダイアログでは、クエリを選択し、名前の変更や削除ができます。
データのエクスポート
クエリ結果は CSV 形式でエクスポートできます。
[データのエクスポート] をクリックして、任意のオプションを選択します。
•現在のビューと選択した列をエクスポート - 現在カスタマイズされたビューのみをエクスポートします。
•現在のビューとすべての列をエクスポート - すべての返されたクエリ結果をエクスポートします。
オフライン イベント表示 (2021.3以降)
クエリ結果を AC イベント ファイル (.acevents) に保存し、オフライン イベント表示および編集を有効にすることができます。クエリを再実行したり、データベース接続を確立または維持したりせずに、ファイルを共有し、データをレビュー、修正できます。
イベントの保存
イベントを AC イベント ファイルに保存するには:
•[イベントの保存] を選択します。
•[名前を付けて保存] ダイアログで任意のフォルダの場所に移動し、ファイル名を入力して、[保存] を選択します。
保存されたイベントの表示
AC イベント ファイルを開いて表示するには:
-
[アプリケーション制御イベント] ダイアログで [保存されたイベントを開く] ボタンを選択します。
-
[開く] ダイアログで任意のフォルダの場所に移動し、任意のファイル名を選択して、[開く] を選択します。
新しいダイアログで .acevents ファイルが開きます。
保存されたイベント データの編集
データはフィルタリングしたり、編集したり、構成ルールを修正または作成するために使用したりできます。
使用可能な機能の説明については、次の構成ルールの修正をご参照ください。
構成ルールの修正
イベント ビューアは、Application Control コンソールとは別のウィンドウで実行されます。ユーザはビューアからコンソールに項目をドラッグ (またはコピーして貼り付け) し、任意のルールをすぐに修正または作成できます。
一覧の結果はドラッグするか、コピーして貼り付けて、次のファイル パス、ファイル名、フォルダまたはファイル ハッシュ ルール項目を作成できます。
•ルール コレクション
•ルール セット > 実行ファイル制御 > 許可/拒否
•ルール セット > 権限管理 > アプリケーション/自己昇格
クエリを実行して、結果を確認します。
1.Application Control コンソールを開き、[構成ナビゲーション] ウィンドウで [ルール] を展開して、任意の構成ルールを選択します。
2.[イベント ビューア] ダイアログで、任意のイベントを選択し、アイテムを構成ダイアログにコピーするかドラッグします。
必要に応じて、複数のイベントを選択し、構成に追加できます。
3.[ルール項目タイプの選択] ダイアログが表示されます。
任意のルール タイプを選択します。
•ファイル パス - イベント ID からファイルの完全パスをコピーします。ファイル ルールに適用します。
•ファイル名 - イベント ID からファイル名をコピーします。ファイル ルールに適用します。
•フォルダ - イベント ID からフォルダ名とパスをコピーします。フォルダ ルールに適用します。
•ファイル ハッシュ - イベント ID からファイル ハッシュをコピーします。署名ルールに適用します。
4.ルール項目はただちに構成に追加されます。
5.追加された項目がファイルまたはフォルダの場合、プロパティとメタデータを表示/編集し、整合性を保証できます。
新しく追加された項目をダブルクリックして [編集] ダイアログを開くか、項目を右クリックして [編集] を選択します。
既定では、イベント ビューアで追加された項目のメタデータは有効ではありません。[編集] ダイアログの [メタデータ] タブをクリックして、任意のデータのチェックボックスをオンにします。関連するデータがただちに表示されます。詳細については、「メタデータ」をご参照ください。
イベント ビューアを使用して構成を修正する - 例:
許可された項目を追加
イベント ビューアを使用して、複数のユーザが許可したファイルの繰り返しイベントを特定し、すべてのユーザに公開できます。
1.Application Control コンソールを開き、[構成ナビゲーション] ウィンドウで [全員] > [許可された項目] を選択します。
2.[イベント ビューア] ダイアログで、任意のイベントを選択し、アイテムを構成ダイアログにコピーするかドラッグします。
3.[ルール項目タイプの選択] ダイアログが表示されます。
この例では、ファイル パスを選択します。
4.ルール項目が追加されます。
アプリケーション固有のユーザ権限
[権限検出] ビューを使用してイベント ビューア クエリを実行します。返された結果には、特定の Microsoft の Application started elevated イベント (ID 9062) が表示されます。それに応じて、ユーザ権限を変更することを決定します。
1.Application Control コンソールを開き、[構成ナビゲーション] ウィンドウで [全員] > [ユーザ権限] を選択し、[アプリケーション] タブを表示します。
2.[イベント ビューア] ダイアログで、任意のイベントを選択し、項目を構成の [アプリケーション] タブにコピーするかドラッグします。
3.[ルール項目タイプの選択] ダイアログが表示されます。
この例では、ファイル名またはフォルダ名を選択して、特定の場所のファイルを指定します。
4.ルール項目が追加されます。
5.項目をダブルクリックします。[編集] ダイアログで [メタデータ] タブをクリックします。
6.製品名とベンダの横のチェックボックスをオンにします。
これらのフィールドの値はただちに表示されます。
7.[製品名] および [ベンダー] フィールドが有効な場合、一致するメタデータ値があるアプリケーションの実行のみが許可されます。他のすべての類似した名前のファイルはブロックされます。
結果コンテキストメニュー
列見出しを右クリックすると、コンテキストメニューが表示されます。メニューにはさまざまな追加の処理が一覧表示されます。
処理
•昇順で並べ替え: 選択した列を昇順で並べ替えます。
•降順で並べ替え: 選択した列を降順で並べ替えます。
•並べ替えを消去: 現在列に設定されている昇順または降順の並べ替え条件を消去します。
•この列でグループ化: 選択した列のデータを使用してリストをグループ化します。列値ごとに1つの展開可能なリストが作成されます。
後続の任意の列でこの処理を実行すると、展開可能なリストの下位のレベルでネストされたグループとしてデータが表示されます。
[グループ パネルを表示] が有効な場合、列見出しの真上の領域に [グループ化] ボックスが表示されます。
ヒント: [この列でグループ化] 機能をオフにして、元のビューに戻すには、[グループ パネルを表示] を有効にします。 各 [グループ化] ボックスで [グループ化解除] を選択します。 列見出しを右クリックして、[グループ パネルを非表示] を選択します。
•グループ パネルを表示 / グループ パネルを非表示: [グループ化] ボックスを含む列見出しの真上の領域を表示または非表示にします。現在 [この列でグループ化] が有効な各列見出しごとに1つの [グループ化] ボックスが表示されます。この領域との間で列見出しをドラッグすることもできます。
表は、ボックスのデータに従ってグループ化されます。2つ以上のボックスがある場合、グループがネストされます。左端のボックスが最上位に表示され、2番目のボックスが2番目に表示されます。
•列選択を表示: グリッド内に情報を追加して非表示にできます。[列選択を表示] を選択すると、[列選択] ダイアログが表示されます。このダイアログは、グリッドに表示する使用可能な列を指定するために使用されます。ダイアログでリストのエントリを新しい位置までドラッグすると、グリッドの列が一致するように並べ替えられます。
•最適: 見出しテキストが最適な量のスペースに表示されるように選択した列の幅を調整します。
•最適 (すべての列): 見出しテキストが最適な量のスペースに表示されるように表のすべての列の幅を調整します。
•フィルタ エディタ: [フィルタ エディタ] ダイアログには、列見出しで現在有効な高度なフィルタがすべて表示されます。エディタでは、使用可能なフィルタ条件と論理演算子を使用して、既存のフィルタ条件を修正し、新しい条件を作成できます。