イベント ビューア
このセクション:
[イベント] ダイアログを起動するには、[表示] メニューに移動して、[アプリケーション制御 イベント] を選択します。 または、アプリケーション制御 の構成エディタで [イベントの表示] を選択することもできます。
イベント データは、エージェント ポリシーの [全般設定] で指定されている間隔でコンピュータがチェックインした際に収集されます。このチェックが行われる前にデータを取得するには、[表示] > [コンピュータ] を選択し、コンピュータをハイライトさせて右クリックして、[Application Control] > [イベントを取得する] を選択っします。これでジョブがすぐに実行されます。
[イベントの表示] ダイアログには、アプリケーション制御 の構成エディタ > [イベント] > [選択]/[フィルタリング] で設定されている、すべての アプリケーション制御 イベントが表示されます。
このビューを使用して、アプリケーション制御 で発生している特定の監査イベントに対するクエリを実行します。
クエリの表示
次のような定義済みのイベントに対するクエリを実行することも、カスタム クエリを作成することもできます。
- すべてのイベント タイプ
- 拒否された実行ファイル
- 許可された実行ファイル
- 自己権限付与
- 権限管理
- 権限検出
- 自己昇格
- ブラウザ制御
クエリの実行 - クエリを実行する場合は、このオプションを選択します。 [表示]、[フィルタ]、または [含まれるイベント タイプ] を変更した場合は、クエリを再実行して結果を更新してください。
クエリを実行後、ビューを調整してイベントのグループ化、フィルタリング、またはソートを行い、結果を CSV 形式でエクスポートできます。
ビューをは、次のようなさまざまな方法でカスタマイズできます。
- フィルタを適用してイベントを検索します。
- 検索を使用して、検索条件と一致するイベントのみを表示します。
- 列を並び替えるには、列ヘッダーを新しい場所にクリックしてドラッグします。
- 列ヘッダーをクリックして、列を昇順または降順で並べ替えます。
- 1つ以上の列ヘッダーに、より詳細なフィルタを適用します。 列見出しにカーソルを置き、右上端のフィルタ アイコンをクリックします。
保存 - カスタム クエリに対して行った変更を保存する場合は、このオプションを選択します。
名前を付けて保存 - [名前を付けて保存] オプションを実行するには、最初に [クエリの実行] を選択する必要があります。 結果を新しいカスタム クエリとして保存する場合は、このオプションを選択し、そのカスタム クエリに付ける名前を入力します。これで、そのカスタム クエリが [表示] ドロップダウン リストに表示されるようになります。
管理 - すべてのカスタム クエリのリストを表示する場合は、このオプションを選択します。このリストで、クエリの名前変更や削除を行えます。
含まれるイベント タイプ
利用できるイベント タイプは、どのビューが選択されているかによって異なります。
アプリケーション制御 のイベントの完全なリストは、「使用可能なイベント」で確認できます。
カスタム ビューを選択した場合は、含めるイベントを選択できます。[変更] を選択すると、選択ダイアログが表示されます。
含めるイベント タイプを変更した場合は、[クエリの実行] を再度実行する必要があることを忘れないでください。
フィルタ
次のオプションを使用してクエリを変更できます。
- 時間範囲 - 事前設定された時間範囲 (10分、1時間、6時間、24時間、1週間、1ヶ月) から選択します。 カスタムの時間範囲を作成することもできます。
- ユーザ - 指定したユーザに関して発生したイベントのみを表示します。
- コンピュータ - 指定したコンピュータ名またはクライアント名から発生したイベントのみを表示します。
- 概要のみ - [拒否された実行ファイル] ビューおよび [許可された実行ファイル] ビューにのみ適用されます。 選択すると、ファイル パスとイベント ID で結果がグループ化されます。
フィルタを1つでも更新した場合は、忘れずに再度クエリの実行を行ってください。
検索
検索を開始するには、検索対象のテキストを入力して、[検索] をクリックします。検索条件と一致するイベントのみが表示されます。 その他のイベントはすべて非表示になります。
検索ツールを使用するためのヒント
- 検索ツールは、現在表示されている情報に対してのみ機能します。 列見出しを右クリックし、検索される列を追加または削除できます。
- フィルタが適用されている場合は、検索条件とフィルタ条件の両方と一致する更新のみが表示されます。
- すべての部分一致が表示されます。
- 検索では大文字と小文字は区別されません。
- ワイルドカードは使用できません。
- 検索条件をクリアするには、検索ボックスの右側にある
アイコンをクリックします。
[検索] フィールドが表示されていない場合は、[結果] ビューで列ヘッダーを右クリックし、コンテキスト メニューから [検索パネルを表示] を選択します。
結果
[クエリの実行] を選択すると、最下部のパネルにクエリ結果が表示されます。
リストされたイベントをドラッグ アンド ドロップして、あるいはコピーして貼り付けることによって、次の項目用のファイル パス、ファイル名、フォルダ ハッシュ、ファイル ハッシュといったルール項目を作成できます。
- ルール コレクション
- [ルールセット] > [実行ファイル制御] > [許可]/[拒否]
- [ルールセット] > [権限管理] > [アプリケーション]/[自己昇格]
例:
- アプリケーション制御 の構成エディタで、ルール項目を作成する場所に移動します。 例: [ルールセット] > [すべてのユーザ] > [実行ファイル制御] > [許可]
- [イベント ビューア] ダイアログで必要なイベントを選択し、コピーまたはドラッグで [許可] ダイアログに入れます。
- ドロップまたは貼り付けすると [ルール項目タイプを選択] ダイアログが表示されます。
- 作成する項目のタイプを選択します (ファイル パス、ファイル名、フォルダ ハッシュ、またはファイル ハッシュ)。
- ルール項目が追加されます。
データのエクスポート - 現在のビューを CSV 形式でエクスポートする場合は、このオプションを選択します。現在選択している列のみをエクスポートするのか、すべての列をエクスポートするのかを選択できます。
フィルタ エディタを表示 - クエリ結果にフィルタを追加する場合は、このオプションを選択します。
列を選択 - クエリ結果にどの列を表示するかカスタマイズする場合は、このオプションを選択します。
結果コンテキスト メニュー
列ヘッダを右クリックすると表示されるコンテキスト メニューでは、さまざまな追加処理を実行できます。
処理
- 昇順で並べ替え: 選択した列を昇順で並べ替えます。
- 降順で並べ替え: 選択した列を降順で並べ替えます。
- 並べ替えのクリア: 列に現在設定されている並べ替えの条件 (昇順または降順) をクリアします。
- この列でグループ化: 選択した列のデータを使用してリストをグループ化します。 各列値に対して1つの展開可能なリストが作成されます。
- グループ パネルを表示/グループ パネルを非表示: 列見出しの上に [グループ化] ボックスを含む領域を表示または非表示にします。 [この列でグループ化] が有効な各列見出しには、1つの [グループ化] ボックスが表示されます。この領域との間で列見出しをドラッグできます。
- 列選択の表示: グリッド内で情報を追加または非表示にできます。 [列選択の表示] を選択すると、[列の選択] ダイアログが表示されます。このダイアログは、グリッド内に表示する使用可能な列を指定するために使用されます。 リストのエントリをクリックし、ダイアログの新しい位置にドラッグする場合、グリッドの列が一致するように並べ替えられます。
- 自動調整: 選択した列の幅を変更し、ヘッダー テキストが最適なスペースを使用して表示されるようにします。
- 自動調整 (すべての列): 表のすべての列の幅をサイズ調整し、最適な分量のスペースにヘッダー テキストが表示されるようにします。
- フィルタ エディタ: [フィルタ エディタ] ダイアログには、列ヘッダで現在アクティブになっているすべての詳細なフィルタが表示されます。 エディタを使用して、既存のフィルタ条件を修正し、使用可能なフィルタ条件と論理演算子で新しい条件を構築します。
後続の列でこの処理を実行する場合は、展開可能なリスト内の下位レベルで、ネストされたグループとしてデータが表示されます。
[グループ パネルを表示する] が有効な場合、列見出しの上の領域に [グループ化] ボックスが表示されます。
ヒント: [この列でグループ化] 機能をオフにして、元のビューに戻るには、[グループ パネルを表示する] を有効にし、[グループ化] ボックスを右クリックして、[グループ解除] を選択してから、列見出しを右クリックして、[グループ パネルを非表示にする] を選択します。
表は、ボックスのデータに従ってグループ化されます。 2つ以上のボックスがある場合は、グループがネストされ、一番左側のボックスが最上位になり、2番目以降のボックスが2番目以降のレベルになります。