search cancel

DLPサーバ ログファイル: ログの場所と内容について

book

Article ID: 242152

calendar_today

Updated On:

Products

Data Loss Prevention Network Monitor Data Loss Prevention Network Prevent for Email Data Loss Prevention Enforce Data Loss Prevention Network Discover

Issue/Introduction

このドキュメントは、異なる種類のSymantec Data Loss Prevention (DLP) サーバーに保存されているログファイルの格納場所や、それぞれのログファイルにどのような情報が含まれているか説明しています。

Resolution

DLPは、システムがどのように動作しているか解析するために利用可能な多くの操作ログを提供しています。

DLP 15.0とそれ以前のバージョンでは、ログフォルダ(ディレクトリ)は以下の場所にあります。

  • Linux: /var/log/SymantecDLP/
  • Windows: \SymantecDLP\Protect\logs\

現在サポートされているDLPバージョン (このリンク先にリストがあります) では、ログフォルダ(ディレクトリ) は以下の場所にあります。

Windows:

  • C:\ProgramData\Symantec\DataLossPrevention\EnforceServer\<version-number>\logs\
  • C:\ProgramData\Symantec\DataLossPrevention\DetectionServer\<version-number>\logs\

Linux:

  • /var/log/Symantec/DataLossPrevention/EnforceServer/<version-number>/
  • /var/log/Symantec/DataLossPrevention/DetectionServer/<version-number>/

 

ログファイル名 概要

サーバー

Aggregator0.log このファイルには検出サーバーとエージェント間の通信が記録されています。
以下の問題のトラブルシューティングをする際、このログを確認してください。
* エージェントへの接続
* 表示されるはずのインシデントが表示されない場合
* 予期しないエージェントのイベント(問題)が発生した場合
エンドポイント 検出サーバー
BoxMonitor0.log このファイルは通常、サイズがとても小さく、アプリケーションのプロセスがどのように動作しているか示します。
BoxMonitorプロセスは、特定のサーバーの種類に関連する検出サーバのプロセスを監視しています。 例えば、Network Monitorで動作するプロセスは、ファイルリーダーとパケットキャプチャです。
すべての検出サーバ―
ContentExtractor0.log このログファイルは、ContextExtractorの問題のトラブルシューティングを行うために参考になります。 すべての検出サーバ―
DiscoverNative.log.0 このファイルには、Network Discoverネイティブコードが発行するログステートメントが含まれています。
現在、pstファイルのスキャンに関連する情報が含まれています。
このログファイルは、WindowsプラットフォームでNetwork Discoverサーバーが動作している環境にのみ作成されます。
Discover 検出サーバー
FileReader0.log このログファイルはファイルリーダープロセスに関連しており、アプリケーション固有のログを含んでいます。検出やインシデントの作成で問題が発生した際の問題解決に参考になります。
インシデントが検出されなかった原因を確認する際に、このログを確認してください。
現れる症状の1つとして、コンテンツ抽出のタイムアウトがあります。
すべての検出サーバ―
IncidentPersister0.log このログファイルはIncident Persisterプロセスと関連しています。このプロセスはEnforceサーバーのインシデントフォルダよりインシデントを読み取り、データベースに書き込みます。
Enforceサーバー (Manager) のインシデントキューが肥大化した場合は、このログを確認してください。
この問題は、Enforceサーバーでインシデントフォルダをチェックし、インシデントがバックアップされているか調べることでも確認することができます。
Enforce サーバー
Indexer0.log このログファイルにはEDMプロファイルがインデックスされる際の情報が含まれています。
これには外部のIndexerが使用された際に収集された情報も含まれています。インデックスに失敗した場合は、このログを確認してください。
Enforce サーバー、および、Remote Indexerが動作しているコンピューター
jdbc.log このログファイルは、データベースへ送られたJDBCコールのトレースしたものです。
デフォルトではログの書き込みは無効に設定されています。
Enforce サーバー
MonitorController0.log このログファイルは、Enforceサーバと検出サーバ間の接続の詳細ログです。
この2つのサーバ間で交換される情報の詳細を確認することができます。この詳細情報には、ポリシーが検出サーバに対してプッシュされたかどうかの情報も含まれています。
Enforce サーバー
PacketCapture.log このログファイルは、パケットをメッセージに再構築し、drop_pcapディレクトリに書き込みを行う、パケットキャプチャのプロセスに関連しています。
パケット落ちやトラフィックが予想される値よりも低いなどの問題が発生している場合、このログを確認してください。
PacketCaptureはJavaプロセスではありません。そのため、Symantec Data Loss Prevention システムの他のプロセスのように、同じLoggingのルールを適用することができません。
Network Monitor 検出サーバーのみ
PacketCapture0.log このログファイルはPacketCaptureの通信で発生する問題を示しています。 Network Monitor 検出サーバーのみ
RequestProcessor0.log このログファイルはSMTP Preventにのみに関連しています。
ログファイルは、主にSmtpPrevent_operational0.logが不十分な場合に使用されます。
SMTP Prevent 検出サーバー
ScanDetail-target-0.log

target」にはスキャンターゲットの名前が入ります。
ターゲット名に含まれているすべての空白(スペース)は、ハイフンで置き換えられます。
このログファイルは Discover サーバーのスキャンに関連しており、スキャンで何が発生したかをファイルごとに記録しています。 ファイルのスキャンが成功した場合、Success (成功)を読み込み、スキャンされたファイルのパス、サイズ、時間、所有者、ACLの情報が読み込まれます。
失敗した場合、警告メッセージ、続いてファイル名が表示されます。

Discover 検出サーバー
SmtpPrevent_operational0.log この操作ログファイルは、SMTP Preventにのみ関連しています。
Mail Preventシステムの健全性とアクティビティを追跡するための主要なログです。
MTAと検出サーバ間で通信の問題が発生した場合、このファイルを確認してください。
SMTP Prevent 検出サーバー
Tomcat\Localhost.<date>.log このログファイルには、ユーザインターフェイスに関連するすべてのアクションの情報が含まれています。
ログには、ユーザインターフェイスに表示される赤いエラーメッセージボックス、ログオン時のパスワード入力の失敗、Oracleエラー (例: ORA–#) が含まれています。
Enforceサーバー
Tomcat\Localhost_access_log.<date>.txt このログにはリクエストされたすべてのURLの記録が含まれています。 Enforceサーバー
SymantecDLPIncidentPersister.log このログファイルには、最小限の情報 - stdout と stderr  (Fatalイベント) のみ含まれています。 Enforceサーバー
SymantecDLPManager.log このログファイルには、最小限の情報 - stdout と stderr  (Fatalイベント) のみ含まれています。 Enforceサーバー
SymantecDLPDetectionServer.log このログファイルには、最小限の情報 - stdout と stderr  (Fatalイベント) のみ含まれています。 すべての検出サーバー
SymantecDLPDetectionServerController.log このログファイルには、最小限の情報 - stdout と stderr  (Fatalイベント) のみ含まれています。 Enforceサーバー
SymantecDLPNotifier.log このログファイルは、NotifierサービスとEnforceサーバー、および、DetectionServerControllerサービスとの通信に関連しています。
DetectionServerControllerサービスがポリシーの変更を登録したかどうか確認する際、このファイルを確認してください。
Enforceサーバー
WebPrevent_Access0.log このアクセスログは、Web Preventにのみ関連しています。
Web Preventプロセスに対するすべてのリクエストを記録しています。
ProxyサーバーのWeb アクセスログに似ています。
Web Prevent 検出サーバー
WebPrevent_Operational0.log この操作ログファイルは、Web Preventにのみ関連しています。
システムが起動または停止しているかどうか、接続の管理など、Web Preventの操作状況を示しています。
このログはWeb Preventの操作を追跡するための主要なログファイルです。
Web Prevent 検出サーバー

 

 

Additional Information

※ このドキュメントは、以下のドキュメントを参考に作成しています。

DLP Server Log files: location and description