GFI EventsManager

by user

on 28 марта 2017

Category: Documents

>> Downloads: 5

views

Report

Comments

Description

Download GFI EventsManager

Transcript

GFI EventsManager

GFI 製品マニュアル
インストールガイド
この文書の情報および内容は情報を伝えることのみを目的とし、商品性の黙示保証、特定目的への適
合性、非侵害などの明示的または暗示的な一切の保証なく、「現状のまま」で提供されます。GFI
Software は、この文書の使用に起因し得る間接的損害を含むあらゆる損害に対し、一切の責任を負い
ません。記載されている情報は、一般に利用可能な情報源から得たものです。ここに記載するデータの
正確さを確保するための十分な努力をしていますが、GFI はその情報の完全性、正確さ、最新性、また
は妥当性を主張、約束、または保証せず、誤植、古い情報、または誤りに対しての責任も負わないもの
とします。GFI は、本書に記載されている情報の正確さや完全性に関して、明示的または暗黙的な保証
をせず、法的責任も負わないものとします。
本書中に誤りがあるとお考えの場合は、弊社までご連絡ください。できるだけ早く確認いたします。
ここに記載されているすべての製品名および企業名は、それぞれの所有者の商標である可能性がありま
す。
GFI EventsManager の著作権は GFI Software Ltd. に帰属します。- 1999-2013 GFI Software Ltd. All
rights reserved.
本文書のバージョン: 13.0.0
最終更新日: 25/09/2015
目次
はじめに
GFI EventsManager について
GFI EventsManager の動作の仕組み
段階 1: イベントの収集
段階 2: イベント処理
本ガイドで使用される慣例
GFI EventsManager のインストール
展開シナリオ
ローカルエリアネットワーク (LAN) 内における GFI EventsManager
非武装地帯 (DMZ) における GFI EventsManager
ワイドエリアネットワーク (WAN) における GFI EventsManager
システム要件
ハードウェア要件
対応オペレーティングシステム (32 ビットおよび 64 ビット )
他のソフトウェアコンポーネント
ストレージ要件
ファイアウォールポートおよびプロトコル
ファイアウォール許可
イベントソース設定
ウイルス対策の例外
コンピューターの識別に関する注意事項
Microsoft® Vista 以降を実行するコンピューターからのイベントログの収集
設定のインポートおよびエクスポート
設定をファイルにエクスポート
ファイルから設定をインポート
他のインスタンスから設定をインポート
GFI EventsManager のアップグレード
旧バージョンからのアップグレード
新しい GFI EventsManager インスタンスのインストール
インストール手順
インストールのテスト
Process events - Local computer
Process events - Local domain
Process events - Selected machines
トラブルシューティング
ドキュメント
GFI SkyNet
テクニカルサポートの依頼
7
7
9
10
10
10
12
12
14
15
17
18
18
18
19
19
19
20
20
20
21
21
22
22
24
26
28
28
37
37
47
47
49
52
55
55
55
55
用語集
56
索引
60
図一覧
スクリーンショット 1: GFI EventsManager は、既存のあらゆる IT インフラに組み込むことができます。
7
スクリーンショット 2: GFI EventsManager の運用段階
9
スクリーンショット 3: リモートサイトからGFI EventsManager のメインインスタンスにデータをエクスポート
17
スクリーンショット 4: 設定をファイルにエクスポート
22
スクリーンショット 5: エクスポート先の指定
23
スクリーンショット 6: エクスポート設定の選択
23
スクリーンショット 7: ファイルから設定をインポート
24
スクリーンショット 8: 設定ファイルの場所を指定
25
スクリーンショット 9: インポートする設定の選択
25
スクリーンショット 10: GFI EventsManager の別のインスタンスから設定をインポート
26
スクリーンショット 11: インスタンスの場所を指定
27
スクリーンショット 12: GFI EventsManager の別のインスタンスからインポートする設定を選択
27
スクリーンショット 13: 前提ソフトウェアのアップグレードチェック
29
スクリーンショット 14: DLib データベースサーバー
30
スクリーンショット 15: DLib データベースサーバー EULA
30
スクリーンショット 16: DLib インストールフォルダー
31
スクリーンショット 17: DLib データベースサーバーのインストールを開始
31
スクリーンショット 18: 古いバージョンのファイルを削除
32
スクリーンショット 19: GFI EventsManager セットアップウィザードの初期画面
32
スクリーンショット 20: GFI EventsManager EULA
33
スクリーンショット 21: GFI EventsManager 登録の詳細
33
スクリーンショット 22: イベントログ監視用のリモートログオン資格情報
34
スクリーンショット 23: GFI EventsManager インストールフォルダー
35
スクリーンショット 24: GFI EventsManager インストール完了
35
スクリーンショット 25: 自動更新チェック
36
スクリーンショット 26: バックエンドデータベースの設定
36
スクリーンショット 27: 前提ソフトウェアのアップグレードチェック
38
スクリーンショット 28: DLib データベースサーバー
39
スクリーンショット 29: DLib データベースサーバー EULA
39
スクリーンショット 30: DLib インストールフォルダー
40
スクリーンショット 31: DLib データベースサーバーのインストールを開始
40
スクリーンショット 32: GFI EventsManager セットアップウィザードの初期画面
41
スクリーンショット 33: GFI EventsManager EULA
42
スクリーンショット 34: GFI EventsManager 登録の詳細
42
スクリーンショット 35: イベントログ監視用のリモートログオン資格情報
43
スクリーンショット 36: GFI EventsManager インストールフォルダー
44
スクリーンショット 37: GFI EventsManager インストール完了
44
スクリーンショット 38: 自動更新チェック
45
スクリーンショット 39: バックエンドデータベースの設定
45
スクリーンショット 40: Process events - Local computer
47
スクリーンショット 41: コンソールのメインアクション
48
スクリーンショット 42: Process events - Local domain
49
スクリーンショット 43: Automatic Network Discovery ウィザード
50
スクリーンショット 44: ネットワーク上で検出するイベントソースのタイプを選択
50
スクリーンショット 45: ネットワーク検索の進行状況
51
スクリーンショット 46: Process events - Selected machines
52
スクリーンショット 47: Add new event source ウィザード
53
表一覧
表 1: GFI EventsManager エンジン
10
表 2: 本マニュアルで使用される用語と慣例
11
表 3: GFI EventsManager が対応するデバイス
14
表 4: GFI EventsManager を DMZ にインストールすることの利点
15
表 5: ハードウェア要件
18
表 6: ストレージ要件
19
表 7: ファイアウォールポートおよびプロトコル
19
表 8: ファイアウォール許可
20
表 9: イベントソース設定
20
表 10: GFI EventsManager のアップグレード
28
表 11: EventsManager.exe を使用してインストールされるコンポーネント
37
表 12: Quick Launch Console オプション
48
表 13: 新規イベントソースを手動で追加
53
はじめに
フォレンジックや法令順守のために情報を記録しなければならない組織にとって、日々生成される大量のシス
テムイベントログの重要性が高まっています。インシデントやセキュリティ上の懸念に対処し、ビジネスの継続
性への脅威に対抗するためには、リアルタイムでネットワーク全体のイベントログを監視、分析、およびレポート
することが不可欠です。
GFI EventsManager は、イベントログの監視と管理を一元的に自動で行うことで、この途方もないタスクを支
援します。大手ベンダー製品からカスタム製品まで、アプリケーションとデバイスの両方が生成する幅広いイベ
ントタイプに対応しています。
この章では、GFI EventsManager を使用したイベント管理の実現方法に関する情報を提供します。
本章のトピック:
GFI EventsManager について
7
GFI EventsManager の動作の仕組み
9
本ガイドで使用される慣例
GFI EventsManager について
スクリーンショット 1: GFI EventsManager は、既存のあらゆる IT インフラに組み込むことができます。
GFI EventsManager は、既存のあらゆる IT インフラに組み込むことができる結果重視のイベントログ管理ソ
リューションであり、ネットワーク全体のイベント管理に関連するタスクを自動化および簡略化します。
GFI EventsManager の機能によって、以下のことができます。
10
l
l
l
l
l
l
l
l
l
l
l
テキストログ、Windows®イベントログ、Syslog、SNMP トラップメッセージ、アクティブ監視イベ
ント、カスタムイベントログなど、GFI EventsManager が対応するさまざまなイベントログによっ
て、コンピューターやネットワークデバイスを自動的に監視する
HTTP/HTTPS/FTP サイトが利用可能であることの継続的なチェック、サーバーロールクエリ、
ファイアウォールクエリなどのアクティブ監視機能によって、ネットワーク上で稼動するコンピュー
ターやサービスを監視する
ルーター、ファイアウォール、センサー、サーバー、データベースエンジンなどの重要なシステムやデバイス
を監査することで運用の問題を追跡し、セキュリティとパフォーマンスを最適化する
侵入攻撃を検出する自動化されたネットワークセキュリティシステムを作成、管理する
SOX、PCI DSS、Code of Connection、HIPAA、データ保護法などのさまざまな規制や法律を
遵守する
ハードウェアの故障などの災害につながるイベントを積極的に検出する。このようなイベントが
処理されると GFI EventsManager は早期警告を発するため、ユーザーはこれを制御し修正
措置を取ることができます
システムのダウンタイムや設定ミスによるリスクや事業損失を最小化する
広範な機能を持つイベントブラウザにより、任意の数のデータベースからのイベントを簡単に閲
覧する。これにより、最小限の入力でフォレンジック調査を実施できます
あらゆる事態に備えるため、ネットワークで発生する最も重要なイベントについて把握しておく
べき情報を収集およびハイライトし、イベントログを自動的に処理およびアーカイブする
広範なレポートのリストから技術 IT レベルおよび管理レベルのレポートを生成し、また既存のレ
ポートまたは収集したイベントから新しいレポートを作成する
ネットワークのセキュリティイベントを追跡し、ビジネスを保護するセキュリティ侵害やネットワーク脅威の
原因となっているユーザーを特定する
全機能の一覧は、http://www.gfi.com/eventsmanager#features を参照してください。
GFI EventsManager の動作の仕組み
スクリーンショット 2: GFI EventsManager の運用段階
GFI EventsManager の運用機能は、以下の段階に分割されます。
l
l
段階 1: イベントの収集
段階 2: イベント処理
段階 1: イベントの収集
イベントの収集段階において、GFI EventsManager は特定のイベントソースからログを収集します。これは、
Event Retrieval Engine および Event Receiving Engine という 2 つのイベント収集エンジンを使用してアー
カイブされます。
表 1: GFI EventsManager エンジン
エンジン
説明
Event Retrieval
Engine
ネットワーク接続されたイベントソースから Windows® イベントログやテキストログを収集するために使用され
ます。イベント収集の処理において、このエンジンは以下のことを行います。
1. イベントソースにログオンする
2. ソースからイベントを収集する
3. 収集したイベントを GFI EventsManagerサーバーに送信する
4. イベントソースからログオフする
Event Retrieval Engine は、特定の間隔でイベントを収集します。イベントの収集間隔は、GFI
EventsManager 管理コンソールから設定できます。
SQL Server® リス
ナー
リスナーは、リアルタイムでスキャンされた Microsoft® SQL Server® からトレースメッセージを受信します。受
信すると、GFI EventsManager はメッセージをただちに処理します。
Oracle Retrieval
Engine
Oracle Retrieval Engine は定期的に Oracle サーバーに接続し、特定の監査テーブルから監査を収集しま
す。Microsoft® Windows® Event Retrieval Engine と同様に、GFI EventsManager は Oracle サーバーが
生成したイベントを処理します。
Log Receiving
Engine
Event Receiving Engine は、Syslog サーバーおよび SNMP トラップサーバーとして機能します。つまり、ネット
ワーク上のさまざまなソースから送信された Syslog および SNMP トラップのイベントやメッセージをリッスンして
収集します。Event Retrieval Engine とは異なり、Event Receiving Engine はイベントソースから直接メッ
セージを受信します。このため、イベントを収集するためにイベントソースにリモートでログオンする必要はあり
ません。さらに、Syslog および SNMP トラップのイベントやメッセージはリアルタイムで収集されるため、収集の
時間間隔を設定する必要がありません。
デフォルトでは、Event Receiving Engine は Syslog メッセージをポート 514 で、SNMP トラップメッセージを
ポート 162 でリッスンします。ただし、いずれのポート設定も GFI EventsManager 管理コンソールからカスタマ
イズできます。
段階 2: イベント処理
この段階において、GFI EventsManager は収集したイベントに対して一連のイベント処理ルールを実行しま
す。イベント処理ルールは、以下のことを指示します。
l
l
l
l
l
収集したログを分析し、処理したイベントを Critical、High、Medium、Low または Noise (不
要なイベントまたは繰り返しイベント ) に分類する
特定の条件を満たすイベントをフィルターする
重要なイベントに関する電子メール、SMS およびネットワークアラートをトリガーする
重要なイベントに対して、実行ファイルやスクリプトの実行など、修復アクションをトリガーする
必要に応じ、バックエンドデータベースに収集されたイベントをアーカイブする
GFI EventsManager では、イベント処理ルールを実行することなくイベントをアーカイブするように設定できま
す。その場合、収集したログにルールは適用されませんが、イベント処理段階においてはアーカイブが実行さ
れます。詳細は、管理者ガイドのイベント処理ルールを参照してください。
重要
GFI EventsManager の主要なモジュールの一部は、管理者特権で実行する必要があります。
これらのモジュールの詳細は、http://go.gfi.com/?pageid=esm_process_rights の記事を参
照してください。
本ガイドで使用される慣例
以下の表に、本ガイドで使用する一般的な用語と慣例を説明します。
表 2: 本マニュアルで使用される用語と慣例
用語
説明
GFI EventsManager の操作に不可欠な追加情報および参考資料。
よくある問題に関する重要なお知らせと注意事項。
>
特定の機能にアクセスするための段階的な指示。
太字テキスト
ノード、メニューオプション、またはコマンドボタンなどの選択対象項目。
斜体テキスト
カスタムパスやファイル名などの、該当する値に置き換える必要のあるパラメーターおよび値。
コード
コマンドやアドレスなど、入力するテキスト値を示します。
GFI EventsManager のインストール
この章では、考えられる GFI EventsManager の展開シナリオを説明します。GFI EventsManager と監視が必
要なネットワークデバイスやコンピューターとの間で完全な通信ができるよう、製品をインストールする前にシス
テム要件およびコンピューターの設定を確認する必要があります。
本章のトピック:
展開シナリオ
12
システム要件
18
設定のインポートおよびエクスポート
22
GFI EventsManager のアップグレード
28
新しい GFI EventsManager インスタンスのインストール
37
展開シナリオ
GFI EventsManager は、ネットワーク上での位置に関係なく、最低限のシステム要件を満たす任意のコン
ピューターにインストールできます。Microsoft® Windows® Vista 以降のオペレーションシステムからイベントロ
グを収集したい場合、GFI EventsManager は Microsoft® Windows® Vista、7、Server 2008 または Server
2012 を実行するマシンにインストールする必要があります。
GFI EventsManager を使用し、以下によって生成されるイベントログを管理できます。
l
l
インストールした同一のコンピューター
インストールしたコンピューターから到達可能なすべてのサーバー、ワークステーションおよびネット
ワークデバイス
図 1: GFI EventsManager 展開シナリオ
このセクションには、以下の環境における GFI EventsManager の展開についての情報が記載されています。
l
l
l
ローカルエリアネットワーク (LAN) - 本番環境のメインネットワーク、サーバーおよびワークステー
ションのアクティビティを監視します
非武装地帯 (DMZ) - メールサーバー、Web サーバー、DNS サーバーなどの公衆サービスが生
成するイベントを監視します
ワイドエリアネットワーク (WAN) - 地理的に散在するコンピューターやネットワークデバイスが生
成するイベントを監視します
ローカルエリアネットワーク (LAN) 内における GFI EventsManager
GFI EventsManager は、Windows® ベースのネットワークに加え、Linux や Unix システムを使用する混合環境
にも展開できます。
図 2: LAN における GFI EventsManager の展開
ローカルエリアネットワーク (LAN) にインストールした場合、GFI EventsManager は LAN に接続する以下のよう
なあらゆるハードウェアやソフトウェアが生成した Windows® イベント、テキストログ、Syslog メッセージ、SNMP
トラップおよび SQL Server® 監査メッセージを管理できます。
表 3: GFI EventsManager が対応するデバイス
デバイス
例
ワークステーションおよびラップトップ
エンドユーザーコンピューターおよびシステム
サーバー
Web サーバー、メールサーバー、DNS サーバーなど
ネットワークデバイス
ルーターやスイッチなど、パフォーマンスログを生成するデバイス
ソフトウェア
GFI EndPointSecurity や GFI LanGuard など、ログを生成するアプリケーショ
ン
特化したサービス
Microsoft® インターネットインフォメーションサーバー (IIS)
PABX、キーレスアクセスシステム、侵入検知シス
テムなど
GFI EventsManager によって、ネットワークに接続したあらゆるデバイスを監
視できます。
GFI EventsManager
GFI EventsManager のインストール | 14
非武装地帯 (DMZ) における GFI EventsManager
GFI EventsManager は、LAN 内にまたは直接 DMZ 内にインストールすることで、DMZ 内のマシンが生成する
イベントを監視できます。通常ファイアウォールやルーターがこの領域をネットワークトラフィックフィルタリング機
能によって保護しているため、以下のことを確認する必要があります。
l
l
GFI EventsManager が使用する通信ポートがブロックされていないこと。GFI EventsManager
が使用する通信ポートについての詳細は、http://go.gfi.com/?pageid=esm_ports を参照し
てください。
DMZ で稼働中のコンピューターに対し、GFI EventsManager が管理者特権を有すること。
重要
ファイアウォールポートおよび許可を有効にして LAN と DMZ の間でコンピューター、サーバーおよ
びネットワークデバイスが通信できるようにするのではなく、GFI EventsManager を直接 DMZ 内
にインストールすることを GFI はお勧めします。
図 3: DMZ は、組織内の LAN とインターネットの間に位置します。
DMZ は、企業等の「内側」のネットワークと「外の世界」(インターネット ) との間に位置する中立のネットワーク
です。DMZに GFI EventsManager を展開することは、以下のように、DMZ のハードウェアおよびソフトウェアシ
ステムが生成するイベントの管理を自動化する助けとなります。
表 4: GFI EventsManager を DMZ にインストールすることの利点
DMZ における自
動化
説明
Web サーバーや
メールサーバーの
イベントの管理を
自動化
DMZ ネットワークは通常、HTTP サーバー、FTP サーバー、メールサーバーなどインターネット特有の役割を持
つハードウェアおよびソフトウェアシステムを稼動するために使用されます。
したがって、以下のサーバーが生成するイベントを自動的に管理するよう GFI EventsManager を展開すること
ができます。
l
GFI EventsManager
LAMP Web プラットフォームにおいて Apache Web サーバーが生成する W3C Web ログを含む、Web
GFI EventsManager のインストール | 15
DMZ における自
動化
説明
l
l
l
l
サーバー
Microsoft® インターネットインフォメーションサーバー (IIS) が生成する W3C Web ログを含む、
Windows® ベースの Web サーバー
Sun Solaris v.9 以降が生成する Syslog 監査サービスメッセージを含む、Linux/Unix および
Windows® ベースのメールサーバー
DNS サーバーイベントの管理を自動化
パブリック DNS サーバーを持っている場合、DNS サーバーを DMZ で稼動することが多いはずです。した
がって、Windows® DNS サーバーログに保存されたものを含む DNS サーバーイベントを自動的に収
集および処理するために GFI EventsManager を使用できます。
DNS サーバーイベ
ントの管理を自動
化
パブリック DNS サーバーを持っている場合、DNS サーバーを DMZ で稼動することが多いはずです。したがって、
Windows® DNS サーバーログに保存されたものを含む DNS サーバーイベントを自動的に収集および処理す
るために GFI EventsManager を使用できます。
ネットワークアプラ
イアンスイベントの
管理を自動化
ルーターとファイアウォールは、DMZ でよく見られるネットワークアプライアンスです。特化したルーターやファイア
ウォール (Cisco IOS シリーズのルーターなど) は、組織内のネットワークを保護するだけでなく、システムの運用
パフォーマンスを向上させることができるポートアドレス変換 (PAT) などの特化した機能を提供します。
DMZ に GFI EventsManager を展開することで、そのようなネットワークアプライアンスが生成するイベントを収
集できます。たとえば、GFI EventsManager を Syslog サーバーとして動作するよう設定し、Cisco IOS が生成
した Syslog メッセージをリアルタイムで収集できます。
GFI EventsManager
GFI EventsManager のインストール | 16
ワイドエリアネットワーク (WAN) における GFI EventsManager
GFI EventsManager は、地理的に異なる場所に複数のサイトがある環境にインストールすることができます。
スクリーンショット 3: リモートサイトからGFI EventsManager のメインインスタンスにデータをエクスポート
これは、GFI EventsManager のインスタンスを各サイトにインストールすることで実現できます。定期的に (スケ
ジュールに基づいて) リモートサイトからイベントをエクスポートして中央データベースにインポートすることで、イ
ベントログを完全に一元管理できます。
その後、イベントブラウザによってリモートサイトのイベントを表示できるようになります。リモートサイトに関する
情報のレポートも、中央データベースのデータを用いて生成できます。リモートデータベースに保存された情報
を表示またはレポートするには、Switch Database オプションを使用します。
注意
詳細は、管理者ガイドのデータベースの保守を参照してください。
GFI EventsManager
GFI EventsManager のインストール | 17
システム要件
GFI EventsManager をインストールするには、ホストコンピューターが以下に示すシステム要件を満たす必要
があります。高トラフィックのネットワークで大量のイベントソースを管理する予定の場合、より高いシステム性
能を持つコンピューターの使用を検討してください。以下に関する情報は、次のセクションを参照してください。
l
l
l
l
l
l
l
l
l
l
ハードウェア要件
対応オペレーティングシステム (32 ビットおよび 64 ビット )
他のソフトウェアコンポーネント
ストレージ要件
ファイアウォールポートおよびプロトコル
ファイアウォール許可
イベントソース設定
ウイルス対策の例外
コンピューターの識別に関する注意事項
Microsoft® Vista 以降を実行するコンピューターからのイベントログの収集
ハードウェア要件
以下の表に、GFI EventsManager のハードウェア要件を示します。
表 5: ハードウェア要件
ハードウェアコンポーネント
仕様
プロセッサ
2.5 GHz デュアルコア以上
RAM
3 GB
ハードディスク
10 GB の空き容量
注意
ハードディスクサイズは環境によって異なり、上記要件に指定したサイズは、インストールおよ
びイベントのアーカイブに最低限必要な値です。
対応オペレーティングシステム (32 ビットおよび 64 ビット )
GFI EventsManager は、以下のいずれかのオペレーティングシステムを実行するコンピューターにインストールで
きます。
l
l
l
l
l
l
l
l
l
l
Windows® Server 2012 - Foundation、Essentials、Standard または Datacenter
Windows® Server 2008 - Standard または Enterprise
Windows® Server 2008 R2 – Standard または Enterprise
Windows® Server 2003 SP2 - Standard または Enterprise
Windows® 8 - Standard、Professional または Enterprise
Windows® 7 - Enterprise、Professional または Ultimate
Windows® Vista SP1 - Enterprise、Business または Ultimate
Windows® XP Professional SP3
Windows® SBS 2008
Windows® SBS 2003
GFI EventsManager
GFI EventsManager のインストール | 18
注意
GFI EventsManager は、Server Core インストールされたオペレーションシステムにはインストー
ルできません。
他のソフトウェアコンポーネント
GFI EventsManager が完全に機能するよう、以下の追加ソフトウェアコンポーネントをインストールすることをお
勧めします。
l
l
l
Microsoft® .NET framework 4.0
Microsoft® Data Access Components (MDAC) 2.8 以降
メールサーバー (電子メールアラートが必要な場合 )
注意
Microsoft® Data Access Components (MDAC) 2.8 は、http://go.gfi.com/?pageid=esm_
mdac からダウンロードできます。
ストレージ要件
以下のストレージ要件は、イベントログの平均サイズ (イベントあたり 535 バイト ) に基づきます。以下の使用
は、インフラの要求に応えるために必要なハードディスクサイズを示します。
表 6: ストレージ要件
ハードディスク領域
イベント数
1 GB のストレージに保存できるイベント
2,006,994
500 GB のストレージに保存できるイベント
1,003,497,032
ファイアウォールポートおよびプロトコル
以下の表に、GFI EventsManager ホストのファイアウォールで許可する必要があるポートとプロトコルを示しま
す。
表 7: ファイアウォールポートおよびプロトコル
ポート
プロト
コル
説明
135
UDP
および
TCP
ターゲットマシンは、このポートを使用して、利用可能な動的ポートに関する情報を発行します。GFI
EventsManager がターゲットマシンと通信するには、この情報が必要です。
139
および
445
UDP
および
TCP
GFI EventsManager がターゲットマシンからイベントログの説明を取得するために使用します。
162
UDP
および
TCP
GFI EventsManager が SNMP トラップを受信するために使用します。GFI EventsManager をインストールしたコ
ンピューターにおいて、このポートが開いていることを確認してください。
514
UDP
および
TCP
GFI EventsManager が Syslog メッセージを受信するために使用します。
1433
UDP
および
TCP
GFI EventsManager が SQL Server® バックエンドデータベースと通信するために使用します。GFI
EventsManager をインストールしたマシンおよびMicrosoft® SQL Server®において、このポートが開いていること
を確認してください。
1521
UDP
および
TCP
Oracle Server の監査ログを収集するために使用します。この接続のデフォルトポートは 1521 です。Oracle
Listener の設定においてこのポートを手動で変更した場合、ファイアウォールの設定もそれに合わせます。
GFI EventsManager
GFI EventsManager のインストール | 19
ポート
プロト
コル
説明
49153
UDP
および
TCP
GFI EventsManager が Microsoft® Windows® Vista または Microsoft® Windows® 7 のイベントソースからイベ
ントを収集するために使用します。
ファイアウォール許可
以下の表に、GFI EventsManager ホストのファイアウォールで許可する必要のある規則を示します。
表 8: ファイアウォール許可
ファイアウォール許
可および監査ポリ
シー
Windows® Server
2008
Windows® Server
2003
Windows® XP
Windows® 7
Windows® Vista
リモートイベントロ
グ管理
有効
該当せず
該当せず
有効
有効
ファイルとプリンター
の共有
有効
有効
有効
有効
有効
ネットワークディスカ
バリ
有効
該当せず
該当せず
有効
有効
監査ポリシー: オブ
ジェクトアクセス
有効
該当せず
該当せず
有効
有効
監査ポリシー: プロ
セス追跡
有効
該当せず
該当せず
有効
有効
監査ポリシー: 監
査アカウント管理
有効
有効
有効
有効
有効
監査ポリシー: 監
査システムイベント
有効
有効
有効
有効
有効
注意
詳細は、管理者ガイドのイベントソースの許可を手動で有効にするまたはイベントソースの許
可を自動で有効にするを参照してください。
イベントソース設定
以下の表に、イベントソースにおいて必要な設定を示します。イベントソースとは、GFI EventsManager で監
視したいコンピューターのことです。
表 9: イベントソース設定
ログタイプ
Windows®イベント
説明
ログ
リモートレジストリを有効にします。
処理
テキストログ処理
Windows® 共有によってソースフォルダーにアクセスできる必要があります。
Syslog および SNMP ト
ラップ処理
GFI EventsManager をインストールしたコンピューター/IP にメッセージを送信するためのソース/送信者
を設定します。
Windows® Vista 以降
のマシンのスキャン
Windows® Vista 以降を実行するコンピューターに GFI EventsManager をインストールします。
システム監査
イベントソースの監査を有効にします。詳細は、管理者ガイドのイベントソース許可を手動で有効に
するまたはイベントソース許可を自動で有効にするを参照してください。
ウイルス対策の例外
GFI EventsManager が実行しているコンピューターにウイルス対策アプリケーションがインストールされている場
合、以下のことを確認してください。
GFI EventsManager
GFI EventsManager のインストール | 20
l
l
l
GFI EventsManager が使用するポートのトラフィックがブロックされていない
esmui.exe および esmproc.exe のファイアウォール越しアクセスが許可されている
GFI EventsManagerフォルダーがリアルタイムウイルス対策スキャンから除外されている
コンピューターの識別に関する注意事項
GFI EventsManager は、コンピューター名または IP によってコンピューターを識別します。NETBIOS 対応のコン
ピューター名を使用する場合、DNS サービスが名前解決用に適切に設定されていることを確認してください。
信頼性に欠ける名前解決は、全体的なシステムパフォーマンスの低下につながります。NETBIOS over
TCP/IP を無効にした場合にも GFI EventsManager を使用できますが、IP でコンピューターを指定する必要が
あります。
Microsoft® Vista 以降を実行するコンピューターからのイベントログの収集
GFI EventsManager を Microsoft® Windows® XP にインストールして、Microsoft® Windows® Vista 以降のイ
ベントを監視することはできません。Microsoft® Windows® Vista と Microsoft® Windows® 7 では、イベントロ
ギングとイベントログ管理において、広範囲な構造変更が導入されました。この中でも、以下の変更が最も
重要です。
l
l
l
新しい XML ベースの形式によるイベントログ。これにより、システムに起きた出来事をすべて
報告するための、より構造化されたアプローチが可能となります。
4 つの異なるグループでのイベント分類 : 管理、処理、分析、デバッグ
古い evt ファイル形式に代わる新しいファイル形式 (evtx)
これらの変更のため、Microsoft® Windows® Vista 以降からイベントログを収集して処理するには、以下のオ
ペレーティングシステムを実行するコンピューターに GFI EventsManager をインストールする必要があります。
l
l
l
Windows® Vista
Windows® 7
Windows® Server 2008
注意
Windows® Vista 以降のコンピューターに GFI EventsManager をインストールした場合に
Windows® XP のイベントを収集することは可能です。
注意
GFI EventsManager が Windows® Vista 以降のコンピューターからイベントログを収集するため
に非ドメインアカウントを使用している場合、ターゲットマシンのユーザーアカウント制御 (UAC)
を無効にする必要があります。詳細は、管理者ガイドのユーザーアカウント制御 (UAC) の無
効化を参照してください。
GFI EventsManager
GFI EventsManager のインストール | 21
設定のインポートおよびエクスポート
提供されたインポート /エクスポートツールにより、GFI EventsManager のインスタンス間でシームレスに設定を
移動できます。これは、災害の際に GFI EventsManager を設定しなくても済むよう、ディザスタリカバリの一環
としても行うことができます。以下の設定を、GFI EventsManager を使用してインポートまたはエクスポートでき
ます。
l
l
l
l
イベントソース
イベント処理ルール
イベントブラウザフィルター
オプション (既定の分類アクション、アラートオプション、データベース運用など)
このセクションには、以下に関する情報が記載されています。
l
l
l
設定をファイルにエクスポート
ファイルから設定をインポート
他のインスタンスから設定をインポート
設定をファイルにエクスポート
GFI EventsManager の設定をエクスポートするには:
1. File > Import and Export Configurations... をクリックします。
スクリーンショット 4: 設定をファイルにエクスポート
2. 特定の設定をファイルにエクスポートを選択し、次へをクリックします。
GFI EventsManager
GFI EventsManager のインストール | 22
スクリーンショット 5: エクスポート先の指定
3. エクスポートしたファイルの保存先を指定するか、Browse... をクリックして保存先を探します。次へをクリッ
クします。
スクリーンショット 6: エクスポート設定の選択
4. エクスポートしたい設定を選択し、Next をクリックします。
GFI EventsManager
GFI EventsManager のインストール | 23
5. GFI EventsManager が設定をエクスポートするのを待ち、OK をクリックします。
ファイルから設定をインポート
ファイルから設定をインポートするには:
1. File > Import and Export Configurations... をクリックします。
スクリーンショット 7: ファイルから設定をインポート
2. Import the desired configurations from a file を選択し、Next をクリックします。
GFI EventsManager
GFI EventsManager のインストール | 24
スクリーンショット 8: 設定ファイルの場所を指定
3. インポートしたファイルの保存先パスを指定するか、Browse... をクリックして保存先を探します。次へをク
リックします。
]
スクリーンショット 9: インポートする設定の選択
4. インポートしたい設定を選択し、Next をクリックします。
GFI EventsManager
GFI EventsManager のインストール | 25
5. GFI EventsManager が設定をインポートするのを待ち、OK をクリックします。
注意
GFI EventsManager が他の設定を検出した場合、上書きするか両方の設定を統合するかを
選びます。
他のインスタンスから設定をインポート
GFI EventsManager の別のインスタンスから設定をインポートするには:
1. File > Import and Export Configurations... をクリックします。
スクリーンショット 10: GFI EventsManager の別のインスタンスから設定をインポート
2. [ の別のインスタンスから設定をインポート ] を選択して、次へをクリックします。
GFI EventsManager
GFI EventsManager のインストール | 26
スクリーンショット 11: インスタンスの場所を指定
3. 設定をインポートしたいインスタンスの、インストールフォルダーのパスを指定します。または、Browse... をク
リックしてインポート元を探します。次へをクリックします。
スクリーンショット 12: GFI EventsManager の別のインスタンスからインポートする設定を選択
4. インポートしたい設定を選択し、Next をクリックします。
GFI EventsManager
GFI EventsManager のインストール | 27
5. 設定がインポートされるのを待ち、OK をクリックします。
注意
GFI EventsManager が他の設定を検出した場合、上書きするか両方の設定を統合するかを
選びます。
GFI EventsManager のアップグレード
GFI EventsManager 2011 よりも古いバージョンからのアップグレードは、完全にはサポートされていません。基
盤となる技術の変更により、一部の設定が失われる可能性があります。GFI EventsManager 次のいずれかの
方法を使用してアップグレードできます。
表 10: GFI EventsManager のアップグレード
方
法
説明
自
動
新しいセットアップを実行しウィザードを完了することで、アップグレードを行いデータを保持します。詳細は、旧バージョンから
のアップグレードを参照してください。
手
動
GFI EventsManager の古いバージョンから設定とイベントをエクスポートし、Database Operations とインポート /エクスポート
ツールを使用して新しいバージョンにインポートします。詳細は、管理者ガイドのメンテナンスジョブの作成と設定のインポー
トおよびエクスポートを参照してください。
旧バージョンからのアップグレード
注意
アップグレードを開始する前に、システムで実行中のウイルス対策ソフトウェアをすべて無効にし
ます。
新しいバージョンにアップグレードするには:
1. EventsManager.exe をダブルクリックします。
GFI EventsManager
GFI EventsManager のインストール | 28
スクリーンショット 13: 前提ソフトウェアのアップグレードチェック
2. インストーラーは、製品をインストールする前にインストールされている必要のあるシステムコンポーネントのリ
ストを表示します。(必要な場合) Install をクリックし、不足しているシステムコンポーネントのインストールを開
始します。
GFI EventsManager
GFI EventsManager のインストール | 29
スクリーンショット 14: DLib データベースサーバー
3. システムコンポーネントがインストールされた後、DLib データベースサーバーのインストールウィザードが自動
的に開きます。ウィザードの初期画面で、Next をクリックします。
スクリーンショット 15: DLib データベースサーバー EULA
4. 使用許諾契約書をよくお読みください。I accept the terms in the License Agreement を選択し、Next
をクリックします。
GFI EventsManager
GFI EventsManager のインストール | 30
スクリーンショット 16: DLib インストールフォルダー
5. Next をクリックしてデータベースサーバーをデフォルトのフォルダーにインストールするか、Change... をクリック
して別のインストール先フォルダーを選択します。
スクリーンショット 17: DLib データベースサーバーのインストールを開始
6. Install をクリックし、DLib データベースサーバーのインストールを開始します。指示されたら、Finish をクリッ
クします。
GFI EventsManager
GFI EventsManager のインストール | 31
注意
データベースサーバーがインストールされた後、インストーラーは GFI EventsManager 管理コン
ソールのインストールウィザードを自動的に開きます。
7. Yes をクリックして前のバージョンの GFI EventsManager をアンインストールし、新しいバージョンをインストー
ルします。No をクリックすると、インストールを中止します。
注意
管理コンソールのインスタンスを同じコンピューターで 2 つ実行することはできません。
スクリーンショット 18: 古いバージョンのファイルを削除
8. Yes をクリックして古いバージョンの GFI EventsManager のファイルの削除を確認するか、No をクリックしてイ
ンストールを中止します。
スクリーンショット 19: GFI EventsManager セットアップウィザードの初期画面
9. GFI EventsManager セットアップウィザードの初期画面で、Next をクリックします。
GFI EventsManager
GFI EventsManager のインストール | 32
スクリーンショット 20: GFI EventsManager EULA
10. 使用許諾契約書をよくお読みください。I accept the terms in the License Agreement を選択し、
Next をクリックします。
スクリーンショット 21: GFI EventsManager 登録の詳細
11. User Name および License Key フィールドに、ユーザー名およびライセンスキーを入力します。30 日間
無料ライセンスキーを登録するには、Register をクリックします。次へをクリックします。
GFI EventsManager
GFI EventsManager のインストール | 33
スクリーンショット 22: イベントログ監視用のリモートログオン資格情報
12. GFI EventsManager がリモートコンピューターにログオンするために使用するログオン資格情報を入力しま
す。
注意
ドメイン管理者アカウントを使用するか、または GFI EventsManager が管理するすべてのリモー
トコンピューターに対して管理者特権を有するアカウントを使用することをお勧めします。
GFI EventsManager
GFI EventsManager のインストール | 34
スクリーンショット 23: GFI EventsManager インストールフォルダー
12. Next をクリックして管理コンソールをデフォルトのフォルダーにインストールするか、Change... をクリックして
別のインストール先フォルダーを選択します。
スクリーンショット 24: GFI EventsManager インストール完了
14. インストールをクリックして、インストールを開始します。
15. インストールが完了したら、Finish をクリックします。
GFI EventsManager
GFI EventsManager のインストール | 35
スクリーンショット 25: 自動更新チェック
16. インターネット接続を検出すると、GFI EventsManager は自動的に GFI の更新サーバーから製品の更新
をダウンロードしようとします。Auto Update ダイアログの情報セクションを展開してダウンロード中の更新を表
示するには、Details をクリックします。
スクリーンショット 26: バックエンドデータベースの設定
注意
製品更新が適用された後、Switch Database Server ダイアログが開きます。このダイアログ
は、管理コンソールをデータベースサーバーにリンクするために使用します。データベースサー
バーは、管理コンソールから切り替えることができます。詳細は、管理者ガイドのファイル保存
データベース間の切り替えを参照してください。
17. D-Lib データベースサーバーがインストールされているコンピューターを指定します。使用したいデータベース
の場所に従って、以下の情報を入力します。
l
l
ローカルホストにある場合、localhost (デフォルト ) と入力します
リモートコンピューターにある場合、コンピューター名またはIP アドレスを入力します
OK をクリックします。
注意
インストールが完了すると、管理コンソールが自動的に開きます。手動で開くには、[スタート ] >
[すべてのプログラム] > GFI EventsManager > Management Console をクリックします。
GFI EventsManager
GFI EventsManager のインストール | 36
注意
GFI EventsManager 2012 の設定データは削除されません。データは新しいインストールフォル
ダー (%install folder%\Data_Old) にコピーされます。このフォルダーのデータは、以前の設定を
保持するために使用されます。
注意
インストールをテストし、すべてのコンポーネントが正常にインストールされたことを確認します。
詳細は、インストールのテストを参照してください。
新しい GFI EventsManager インスタンスのインストール
以下の表の一覧に示すコンポーネントは、EventsManager.exe を使用してインストールできます。
表 11: EventsManager.exe を使用してインストールされるコンポーネント
コンポーネント
説明
システムコン
ポーネント
GFI EventsManager が完全に機能するには、以下のシステムコンポーネントが必要です。
l
l
l
l
l
l
l
Visual C++ 2010 redistributable
Microsoft® .NET Framework 2.0
Microsoft® .NET Framework 4.0
Microsoft® SQL Server® Compact 3.5 SP2
MSXML6
Microsoft® SQL Server® Native Client
Microsoft® SQL Server® Management Objects Collection
DLib データベー
スサーバー
DLib データベースサーバーは、GFI EventsManager が処理済みのログを保存するコンポーネントです。この
データベースサーバーは、GFI EventsManager を実行しているコンピューターにも、独立のリモートコンピュー
ターまたはネットワークドライブにもインストールできます。
GFI
EventsManager
ネットワークのコンピューターやデバイスが生成したイベントを管理および監視できる、実際の製品です。
インストール手順
GFI EventsManager をインストールするには：
1. EventsManager.exe をダブルクリックします。
GFI EventsManager
GFI EventsManager のインストール | 37
スクリーンショット 27: 前提ソフトウェアのアップグレードチェック
2. インストーラーは、製品をインストールする前にインストールされている必要のあるシステムコンポーネントのリ
ストを表示します。(必要な場合) Install をクリックし、不足しているシステムコンポーネントのインストールを開
始します。
GFI EventsManager
GFI EventsManager のインストール | 38
スクリーンショット 28: DLib データベースサーバー
3. システムコンポーネントがインストールされた後、DLib データベースサーバーのインストールウィザードが自動
的に開きます。ウィザードの初期画面で、Next をクリックします。
スクリーンショット 29: DLib データベースサーバー EULA
4. 使用許諾契約書をよくお読みください。I accept the terms in the License Agreement を選択し、Next
をクリックします。
GFI EventsManager
GFI EventsManager のインストール | 39
スクリーンショット 30: DLib インストールフォルダー
5. Next をクリックしてデータベースサーバーをデフォルトのフォルダーにインストールするか、Change... をクリック
して別のインストール先フォルダーを選択します。
スクリーンショット 31: DLib データベースサーバーのインストールを開始
6. Install をクリックし、DLib データベースサーバーのインストールを開始します。指示されたら、Finish をクリッ
クします。
GFI EventsManager
GFI EventsManager のインストール | 40
注意
データベースサーバーがインストールされた後、インストーラーは GFI EventsManager 管理コン
ソールのインストールウィザードを自動的に開きます。
スクリーンショット 32: GFI EventsManager セットアップウィザードの初期画面
7. ウィザードの初期画面で、Next をクリックします。
GFI EventsManager
GFI EventsManager のインストール | 41
スクリーンショット 33: GFI EventsManager EULA
8. 使用許諾契約書をよくお読みください。I accept the terms in the License Agreement を選択し、Next
をクリックします。
スクリーンショット 34: GFI EventsManager 登録の詳細
9. User Name および License Key フィールドに、ユーザー名およびライセンスキーを入力します。30 日間無
料ライセンスキーを登録するには、Register をクリックします。次へをクリックします。
GFI EventsManager
GFI EventsManager のインストール | 42
スクリーンショット 35: イベントログ監視用のリモートログオン資格情報
10. GFI EventsManager がリモートコンピューターにログオンするために使用するログオン資格情報を入力しま
す。
注意
ドメイン管理者アカウントを使用するか、または GFI EventsManager が管理するすべてのリモー
トコンピューターに対して管理者特権を有するアカウントを使用することをお勧めします。
GFI EventsManager
GFI EventsManager のインストール | 43
スクリーンショット 36: GFI EventsManager インストールフォルダー
11. Next をクリックして管理コンソールをデフォルトのフォルダーにインストールするか、Change... をクリックして
別のインストール先フォルダーを選択します。
スクリーンショット 37: GFI EventsManager インストール完了
12. インストールをクリックして、インストールを開始します。
13. インストールが完了したら、Finish をクリックします。
GFI EventsManager
GFI EventsManager のインストール | 44
スクリーンショット 38: 自動更新チェック
14. インターネット接続を検出すると、GFI EventsManager は自動的に GFI の更新サーバーから製品の更新
をダウンロードしようとします。Auto Update ダイアログの情報セクションを展開してダウンロード中の更新を表
示するには、Details をクリックします。
スクリーンショット 39: バックエンドデータベースの設定
注意
製品更新が適用された後、Switch Database Server ダイアログが開きます。このダイアログ
は、管理コンソールをデータベースサーバーにリンクするために使用します。データベースサー
バーは、管理コンソールから切り替えることができます。詳細は、管理者ガイドのファイル保存
データベース間の切り替えを参照してください。
15. D-Lib データベースサーバーがインストールされているコンピューターを指定します。使用したいデータベース
の場所に従って、以下の情報を入力します。
l
l
リモートコンピューターにある場合、コンピューター名またはIP アドレスを入力します
ローカルホストにある場合、localhost (デフォルト ) と入力します
OK をクリックします。
注意
インストールが完了すると、管理コンソールが自動的に開きます。手動で開くには、[スタート ] >
[すべてのプログラム] > GFI EventsManager > Management Console をクリックします。
GFI EventsManager
GFI EventsManager のインストール | 45
注意
インストールをテストし、すべてのコンポーネントが正常にインストールされたことを確認します。
詳細は、インストールのテストを参照してください。
GFI EventsManager
GFI EventsManager のインストール | 46
インストールのテスト
必要なコンポーネントがすべてインストールされた後、管理コンソールが自動的に開きます。デフォルトでは、
起動時に Quick Launch Console を開くように設定されています。
本章のトピック:
Process events - Local computer
47
Process events - Local domain
49
Process events - Selected machines
52
Process events - Local computer
このオプションにより、自動的に localhost をイベントソースとして追加して localhost が生成するログの処理を
開始できます。
ローカルコンピューターからのイベントを処理するには:
スクリーンショット 40: Process events - Local computer
1. Process events - Local computer をクリックします。
GFI EventsManager
インストールのテスト | 47
スクリーンショット 41: コンソールのメインアクション
2. localhost ログの処理が開始された後、以下のことをできます。
表 12: Quick Launch Console オプション
アイコン
説明
Browse events
重要なイベントを検索、分析およびフィルターするのに役立つ、組み込みのイベントブラウザおよびフォレンジックツール
にアクセスします。詳細は、管理者ガイドの保存されたイベントの閲覧を参照してください。
Generate reports
即時のまたはスケジュールされたレポート生成、自動レポート配布などの、レポーティング機能にアクセスします。詳細
は、管理者ガイドのレポーティングを参照してください。
View dashboard
GFI EventsManager ステータスダッシュボードにアクセスします。このダッシュボードでは、GFI EventsManager が収集
および処理する最重要イベントをグラフ表示できます。詳細は、管理者ガイドのアクティビティ監視を参照してくださ
い。
Customize
Syslog の有効化、SNMP トラップの処理、システムチェック、重要なイベントの通知など、GFI EventsManager の設定
をカスタマイズします。詳細は、管理者ガイドから以下の資料を参照してください。
l
l
l
l
l
GFI EventsManager
イベントソースの管理
イベント処理ルールの設定
データベース保守オプションの設定
アラートと既定のアクションの設定
アクティブ監視の設定
インストールのテスト | 48
注意
ログが正常に処理されていることを確認するには、Status タブ > Job Activity に移動し、
Operational History セクションにアクティビティログがあることを確認します。
Process events - Local domain
このオプションにより、GFI EventsManager と同じドメインまたはワークグループのコンピューターを 1 つまたは複
数追加できます。Automatic Network Discovery ウィザードにより、追加したいイベントソースのタイプを選択
し、その後検出されたソースを一覧表示できます。
同じドメインまたはワークグループのコンピューターからのイベントを処理するには:
スクリーンショット 42: Process events - Local domain
1. Process events - Local domain をクリックします。Automatic Network Discovery ウィザードが開きま
す。
注意
ウィザードは、Configuration タブ > Event Sources からも起動できます。左枠から、All event
sources を右クリックし、Scan local domain を選択します。
GFI EventsManager
インストールのテスト | 49
スクリーンショット 43: Automatic Network Discovery ウィザード
2. ウィザードの初期画面で、Next をクリックします。
スクリーンショット 44: ネットワーク上で検出するイベントソースのタイプを選択
3. ネットワーク上でウィザードが検出を試みるイベントソースのタイプを選択します。次へをクリックします。
GFI EventsManager
インストールのテスト | 50
スクリーンショット 45: ネットワーク検索の進行状況
注意
指定された資格情報でログオンできないコンピューターを GFI EventsManager が検出した場
合、選択した各コンピューターについて代替のログオン資格情報を指定できます。
4. リストからコンピューターを選択し、ユーザー名とパスワードを入力します。OK をクリックして Alternative
Credentials ダイアログを閉じます。
注意
必要なソースがすべて追加されるまで、この手順を繰り返します。
5. Next と Finish をクリックします。
注意
GFI EventsManager と同じドメインまたはワークグループに加わった新しいコンピューターを自動
的に追加するには、同期オプションを設定する必要があります。詳細は、管理者ガイドのイベ
ントソースを自動で追加を参照してください。
GFI EventsManager
インストールのテスト | 51
Process events - Selected machines
このオプションでは、以下の方法により特定のコンピューターを手動で追加できます。
l
l
l
コンピューター名および IP を入力する
到達可能なドメインおよびワークグループからコンピューターを選択する
各行に 1 つのコンピューター名を格納するテキストファイルからコンピューターをインポートする
選択したマシンのイベントを処理するには:
スクリーンショット 46: Process events - Selected machines
1. Process events - Selected machines をクリックします。
1. Add New Event Source ダイアログが開きます。
GFI EventsManager
インストールのテスト | 52
スクリーンショット 47: Add new event source ウィザード
3. 次の表で、利用可能なオプションを説明します。
表 13: 新規イベントソースを手動で追加
オプション
説明
Add
Add the following computers フィールドに、コンピューターの名前または IP アドレスを入力します。Add をクリックし
て、指定したコンピューターを Computer リストに追加します。
注意
すべてのイベントソースを選択したグループに追加するまで、この手順を繰り返します。
注意
Syslog や SNMP トラップは IP アドレスを使用してイベントのソースを判別するため、Syslog および SNMP トラップの
ソースを追加するときは、コンピューター名ではなくソースの IP アドレスを使用することをお勧めします。
Remove
Computer リストから 1 台以上のコンピューターを選択し、Remove をクリックしてそれらのコンピューターをリストから削
除します。
Select...
Select... をクリックし、Select Computers... ダイアログを起動します。
1. Domain ドロップダウンメニューで、利用可能なソースをスキャンするドメインを選択し、Search をクリックします。
2. 検索結果リストから、追加するコンピューターを選択します。
3. OK をクリックして Select Computers... ダイアログを閉じ、Add New Event Sources... ダイアログに戻ります。
Import...
Import... をクリックして、テキストファイルからコンピューターをインポートします。テキストファイルには、行ごとにコン
ピューター名または IP アドレスが 1 つだけ記述されていることを確認してください。
4. Finish をクリックして設定を確定します。GFI EventsManager は、デフォルトのログオン資格情報を使用し
て、追加されたイベントソースのスキャンを直ちに試みます。詳細は、管理者ガイドのイベントソースログオ
ン資格情報の設定を参照してください。
GFI EventsManager
インストールのテスト | 53
注意
同期が有効でない場合、Network Discovery Wizard を使用して、イベントソースを自動で
検索および追加できます。Network Discovery Wizard を起動するには、イベントソースツ
リーで All event sources を右クリックし、Scan local domain を選択します。詳細は、管理者
ガイドのイベントソースを自動で追加を参照してください。
注意
ログが正常に処理されていることを確認するには、Status タブ > Job Activity に移動し、
Operational History セクションにアクティビティログがあることを確認します。
GFI EventsManager
インストールのテスト | 54
トラブルシューティング
以下のセクションを参照し、GFI EventsManager で発生した問題を解決してください。
l
l
l
l
l
ドキュメント
GFI SkyNet
テクニカルサポートの依頼
Web フォーラム
トラブルシューティングウィザード
ドキュメント
本マニュアルがご期待に沿わなかった場合や、本資料には改善の余地があるとお考えの場合、以下宛てに
電子メールでお知らせください。[email protected]
GFI SkyNet
GFI には、よく起きる問題の解決方法を含む、広範囲なナレッジベースリポジトリが用意されています。GFI
Skynet は、技術サポートの質問とパッチの最新の一覧を常に備えています。本ガイドの情報によってインス
トール問題を解決できない場合、GFI SkyNet (http://kb.gfi.com/) を参照してください。
テクニカルサポートの依頼
上記のどの情報源でも問題を解決できない場合は、オンラインサポート依頼フォームに記入するか、または
電話で、GFI テクニカルサポートチームに連絡してください。
l
l
オンライン: サポートリクエストフォームに記入し、次のページに記載されている解説に忠実に
従って、サポートリクエストを送信してください。
http://support.gfi.com/supportrequestform.asp
電話 : 最寄りのテクニカルサポートの正確な電話番号を確かめるには、次にアクセスしてくださ
い。http://www.gfi.com/company/contact.htm
注意
テクニカルサポートに連絡する場合、事前に顧客 ID をご用意ください。顧客 ID とは、次の
GFI 顧客領域で最初にライセンスキーを登録されたときに割り当てられたオンラインアカウント
番号のことです。http://customers.gfi.com
お寄せいただいたご質問には、お客様の時間帯に応じて、24 時間以内にお答えします。
GFI Web フォーラムでは、ユーザー相互のテクニカルサポートを利用できます。Web フォーラムには、
http://forums.gfi.com からアクセスできます。
GFI EventsManager
トラブルシューティング | 55
用語集
A
Actions
イベントが特定の条件を満たしたときに実行されるアクティビティです。たとえば、イベントが Critical と分類さ
れるたびにアクションが実行されるようにすることができます。GFI EventsManager は、電子メールアラート、イベ
ントのアーカイブ、スクリプトの実行などのアクションに対応しています。
C
COM+ Network Access
クライアントマシンがサーバーのアプリケーションやサービスにアクセスできるようにするには、このファイアウォール
許可を有効にします。これにより、GFI EventsManager はすべてのサーバーのリソースにアクセスできるようにな
ります。この許可についての詳細は、次の資料を参照してください。http://technet.microsoft.com/enus/library/cc731967.aspx
I
IPsec
インターネットプロトコルセキュリティは、ネットワークまたはネットワーク通信のパケット処理層におけるセキュリ
ティに関する一連のプロトコルのフレームワークです。従来のセキュリティアプローチでは、通信モデルのアプリ
ケーション層においてセキュリティ対策を行っていました。IPsec は、仮想プライベートネットワークの実装および
プライベートネットワークへのダイヤルアップ接続によるリモートユーザーアクセスに特に有用であると言われてい
ます。IPsec の大きな利点は、個々のユーザーのコンピューターに手を加えることなくセキュリティ対策を行える
ことです。
N
Noise
同一のイベントを繰り返し報告するログエントリーです。
S
SMS アラート
特定のイベントが発生したことを受信者に伝える SMS 通知です。GFI EventsManager では、モデム機能付き
携帯電話、電子メールから SMS への Web ベースのゲートウェイなど、様々な媒体を介して SMS アラートを送
信できます。
SNMP Traps
障害やセキュリティ侵害などの重要なイベントが発生した際にアクティブなネットワークコンポーネント (ハブ、
ルーター、ブリッジなど) によって生成および SNMP サーバーに送信される通知やアラートです。SNMP トラップに
含まれるデータには、設定、ステータス、これまでのデバイス故障回数などの統計情報があります。
SNMP オブジェクト識別子 (OID)
SNMP オブジェクト識別子は、一連のドット付きの数字で構成されるアドレスです。例 : 1.3.6.1.4.1.2682.1).
これらの数字により、全ネットワーク中の特定のデバイス (ハブなど) を一意に識別し、検索します。SNMP OID
は、SNMP メッセージのアセンブルにおいて重要な要素です。個々のベンダーは、特に自社のデバイスに関連
GFI EventsManager
用語集 | 56
付けられた OID のみを含む MIB を作成することが多いです。個々のベンダーは、特に自社のデバイスに関連
付けられた OID のみを含む MIB を作成することが多いです。
Syslog メッセージ
UNIX または Linux 系システムにおいて、重要なイベントが発生した際に最も一般的に生成され Syslog サー
バーに送信される通知やアラートです。Syslog メッセージは、ワークステーションやサーバーの他、Cisco ルーター
や Cisco PIX ファイアウォールなどのアクティブなネットワークデバイスおよびアプライアンスによって生成され、故
障やセキュリティ侵害などのアクティビティを記録します。
W
W3C ログ
W3C は、World Wide Web Consortium によって開発された一般的なログフォーマットです。W3C ログはテキス
トベースの単層ファイルであり、主に Microsoft Internet Information Server (IIS) などの Web サーバーによっ
て、Web ログなど Web 関連イベントの記録に使用されます。
Windows イベントログ
Windows OS が動作中のコンピューターシステムで発生したイベントを説明するエントリーの集合です。
ア
アーカイブ
SQL Server をベースとする、GFI EventsManager のバックエンドデータベースに保存されたイベントの集合です。
アラート
特定のイベントが発生したことを受信者に伝える通知です。GFI EventsManagercan は、電子メールアラー
ト , SMS アラートおよびネットワークアラートを生成できます。
イ
イベントログ
ネットワークまたはコンピューターシステムで発生したイベントを説明するエントリーの集合です。GFI
EventsManager は、以下のような異なる種類のイベントログに対応しています。Windows イベントログ、W3C
ログ、Syslog、SNMP トラップ、SQL Server 監査イベントなど。
イベント処理ルール
イベントログに対して適用される一連の指示です。
イベント分類
Critical、High、Medium、Low または Noise の、イベントの分類です。
インターネットプロトコルセキュリティ
コンピューター間の通信セッションにおけるネットワークパケットの暗号化および認証に使用される公開標準の
フレームワークです。暗号化サービスを使用することで、IPsec はデータの整合性、認証および機密性を確保
します。
GFI EventsManager
用語集 | 57
オ
オブジェクト監査
ユーザーによるオブジェクト (ファイル、フォルダー、プリンターなど) へのアクセスイベントを監査するには、この監
査機能を有効にします。詳細については、http://technet.microsoft.com/en-us/library/cc976403.aspx
を参照してください。
ネ
ネットワークアラート
特定のイベントが発生したことを受信者に知らせる、Netsend メッセージと呼ばれるネットワークメッセージです。
これらのメッセージは、インスタントメッセンジャーシステムまたはプロトコルを通じて送信され、受信者のデスク
トップのシステムトレイにポップアップとして表示されます。ネットワークアラートを設定するには、Netsend メッ
セージ送信先コンピューターの名前または IP アドレスを指定する必要があります。
ネットワークディスカバリ
スキャン可能なネットワークに接続されたマシンの情報を GFI EventsManager が収集できるようにするには、こ
のファイアウォール許可を有効にします。詳細については、http://technet.microsoft.com/enus/library/cc181373.aspx を参照してください。
フ
ファイルとプリンターの共有
GFI EventsManager がターゲットマシンのイベント定義にアクセスできるようにするには、このファイアウォール許
可を有効にします。詳細については、http://technet.microsoft.com/en-us/library/cc779133
(WS.10).aspx を参照してください。
リ
リモートイベントログ管理
GFI EventsManager がリモートマシンにアクセスしイベントを収集するために必要です。詳細については、
http://technet.microsoft.com/en-us/library/cc766438.aspx を参照してください。
ル
ルールセット
イベント処理ルールの集合です。
ルールセットフォルダー
ルールセットを格納するフォルダーです。
未
未分類イベント
イベント処理ルールで設定したどのイベント処理条件も満たさなかったイベントです。
GFI EventsManager
用語集 | 58
監
監査アカウント管理
ユーザーアカウントやグループの作成や削除、ユーザーアカウントの有効化または無効化、ユーザーパスワー
ドの設定または変更などのアカウント管理操作が実行されたときにイベントを生成します。詳細については、
http://technet.microsoft.com/en-us/library/cc737542(WS.10).aspx を参照してください。
監査システムイベント
ユーザーがターゲットコンピューターを再起動またはシャットダウンするなどの重要なシステムイベントが発生し
たとき、またはセキュリティログに影響するイベントが発生したときにイベントを生成します。詳細については、
http://technet.microsoft.com/en-us/library/cc782518(WS.10).aspx を参照してください。
監査プロセス追跡
プログラムの起動や終了、およびその他の重要なセキュリティ情報を含む間接的オブジェクトアクセス情報など
の、アクションを追跡するイベントを生成します。詳細については、http://technet.microsoft.com/enus/library/cc775520(WS.10).aspx を参照してください。
管
管理情報ベース
MIB (管理情報ベース) は、データ辞書またはコードブックに相当します。MIB は、オブジェクト識別子 (OID) を
ルーターなどのアクティブなネットワークオブジェクトに関連する読み取り可能なラベル他様々なパラメーターに
関連付けます。その主な機能は、SNMP が有効なネットワークデバイスから送信された SNMP メッセージのアセ
ンブルと解釈です。MIB に保存された情報は階層的に整理され、通常は SNMP などのプロトコルを用いてア
クセス可能です。
電
電子メールアラート
特定のイベントが発生したことを受信者に伝える電子メール通知です。電子メールアラートを有効にするに
は、アクティブなメールサーバーにアクセスできる必要があります。
GFI EventsManager
用語集 | 59
索引
D
Database Operations 28
DLib 31, 40
DLib データベースサーバー 30, 37
DMZ 15
既
既定の分類アクション 22
非
非武装地帯 (DMZ) 13, 15
DNS 13-14, 16, 21
G
GFI EndPointSecurity 14
GFI LanGuard 14
L
LAN 13-15
Q
Quick Launch Console 47-48
S
SNMP 10, 19
Syslog 8, 10, 16, 19, 48, 53
T
Text Logs 8, 14
W
WAN 13, 17
イ
イベントソース 22
イベントブラウザ 22
イベント処理ルール 22
インストール 1, 27
ス
ステータス 48
チ
チェック 29, 38
デ
データベース 8
フ
ファイアウォール 8, 15, 18
GFI EventsManager
索引 | 60
米国、カナダ、中米および南米
4309 Emperor Blvd, Suite 400, Durham, NC 27703, USA
電話: +1 (888) 243-4329
FAX: +1 (919) 379-3402
[email protected]
英国およびアイルランド共和国
Magna House, 18-32 London Road, Staines-upon-Thames, Middlesex, TW18 4BP, UK
電話: +44 (0) 870 770 5370
FAX: +44 (0) 870 770 5377
[email protected]
ヨーロッパ、中東およびアフリカ
GFI House, Territorials Street, Mriehel, BKR 3000, Malta
電話: +356 2205 2000
FAX: +356 2138 2419
[email protected]
オーストラリアおよびニュージーランド
83 King William Road, Unley 5061, South Australia
電話: +61 8 8273 3000
FAX: +61 8 8273 3099
[email protected]