Symantec Endpoint Protection Manager (SEPM) でログデータを管理する方法を知りたい。

データベースに保存されるログを管理するために、多くのオプションを設定することができます。

ログデータと保存について

コンソールにアップロードされたすべてのログのデータは、コンソールデータベースに格納されます。

以下の種類のログデータがデータベース内の 2 つのテーブルに保存されます。

• アプリケーションとデバイス制御ログ
• 監査ログ
• エンフォーサーログ
• ネットワーク脅威防御ログ
• システムログ

他のログのデータは 1 つのテーブルに保存されます。2 つのテーブルに保存されているデータベースログを管理するためのログオプションを設定することができます。

他のログのデータを含む単一のテーブルは、サイトプロパティのデータベースメンテナンスオプションを使用して管理されます。1 つのテーブルに保存されているデータに影響するデータベースメンテナンスオプションを設定できます。2 つのテーブルに格納されているログについては、1 つのテーブル (テーブル A) が現在のログテーブルです。新しいログエントリーはこのテーブルに書き込まれます。ログのしきい値または有効期限が切れると、新しいログエントリが 2 番目のテーブル (テーブルB) に保存されます。テーブル A のデータは、テーブル B が閾値に達するか、Expired after フィールドで指定された日数に達するまで、テーブル A に残ります。テーブル B が閾値に達するか有効期限が切れると、テーブル A は完全にクリアされ、新しいエントリがそこに保存されます。テーブル B の情報は、切り替えが発生するまで残ります。一方のテーブルから他方のテーブルへの切り替えは、データベースのスイープ処理とも呼ばれ、自動的に行われます。切り替えのタイミングは、サイトのプロパティで設定したログ設定に依存します。スイープが自動であるか手動であるかにかかわらず、処理は同じです。

データベースの定期保守の一環として実施したい場合、データベースをバックアップした後に手動でスイープを実行することができます。

自動スイープを許可した場合、データベースのバックアップの頻度が十分でないと、一部のログデータが失われる可能性があります。データベースのバックアップを実行した後に、定期的に手動でログスイープを実行すると、すべてのログデータを確実に保持することができます。この手順は、1 年間など、比較的長い期間ログを保持する必要がある場合に非常に便利です。

注: 以下で説明する手動の手順は、データベース内の単一のテーブルに保存されているログのデータには影響しません。

データベースから手動でログデータをスイープする

手動でログを消去することもできますが、この手順はオプションであり必ず実行する必要はありません。

データベースからログデータを手動でスイープするには

1. バックアップが発生するまでデータベースの自動スイープを行わないようにするには、サイトのプロパティのログ設定を最大まで増やします。
2. 適宜バックアップを実行します。
3. 管理サーバーがインストールされているコンピュータで Web ブラウザを開き、次の URL を入力します。
   
   https://localhost:8443/servlet/ConsoleServlet?ActionType=ConfigServer&action=SweepLogs
   
   このタスクを実行すると、すべてのタイプのログのエントリが代替データベーステーブルに保存されます。元のテーブルは、次のスイープが開始されるまで保持されます。
4. 最新のエントリ以外を空にするには、2 回目のスイープを実行します。元のテーブルがクリアされ、エントリが再び保存されるようになります。

レガシークライアントからのログデータ

Symantec Endpoint Protection のレポート機能は、いくつかの目的のために <SEPM インストールフォルダ>\Inetpub\Reporting\Temp を一時フォルダとして使用します。管理者の中には、この一時フォルダーを定期的にクリーニングするために、独自の自動タスクをスケジュールしたい人もいるかもしれません。その場合、Legacy.sabファイルがあれば、削除しないように注意してください。このファイルを削除すると、レガシー Symantec AntiVirus クライアントからの受信データが失われます。

サイト内のサーバーのログ設定を行う

ディスクスペースの使用量を制御するために、サイトのログでサーバーに保存されるエントリ数を設定することができます。また、エントリを保存する日数も設定できます。サイトごとに異なる設定を行うことができます。

サイト内のサーバーのログ設定を構成するには

1. コンソールで [管理] をクリックします。
2. 左下で [サーバー] をクリックします。
3. 設定するサイトのデータベースを選択します。
4. [タスク] で [データベースプロパティの編集] をクリックします。
5. [ログの設定] タブで、ログの種類ごとにログエントリの数と保存する日数を設定します。管理サーバーログ、クライアントログのサイズを設定することができます。
6. [OK] をクリックします。

イベント集計設定について

クライアントログのイベント集計設定は以下の 2 箇所で設定できます。

• [ポリシー] - [ウイルスとスパイウェアの対策] ポリシーの [その他] の [ログ処理] タブ

リスクイベントの集計を設定するには、ここを使用します。デフォルトの集計時間は 5 分です。イベントの最初の発生は直ちにログに記録されます。同じイベントの後続の発生は集計され、5 分ごとに発生数がクライアントに記録されます。

• [クライアント] - <グループ名> - 右側の [ポリシー] タブ - [クライントログ]

ここでウイルスとスパイウェアの対策のイベントの集計を設定します。イベントは 1 つのイベントに集約され、コンソールにアップロードされる前にダンパー期間中クライアント上に保持されます。ダンパー期間はイベントを管理可能な数に減らすのに役立ちます。ダンパー期間のデフォルト設定は [自動] です。ダンパーアイドル期間は、次の発生が新しいエントリとみなされる前に、ログエントリ間で経過しなければならない時間を決定します。デフォルトのダンパーアイドルは 10 秒です。

クライアントログの設定

いくつかのクライアントログのオプションを設定することができます。ログに保存されるエントリの数と、各エントリがクライアントに保存される日数を設定することができます。次のクライアントログについて設定を行うことができます。

• コントロール
• パケット
• リスク
• セキュリティ
• システム
• トラフィック

セキュリティ、リスク、トラフィックの各ログでは、イベント集計に使用するダンパー期間とダンパーアイドル期間も設定できます。各種クライアントログのサーバーへのアップロードの可否、アップロードの最大サイズを設定することができます。

クライアントログをアップロードしないように設定した場合、以下のような影響があります。

• コンソールから [監視] ペインの [ログ] タブを使用して、クライアントログデータを表示することができません。
• データベースをバックアップするときに、クライアントログをバックアップすることができません。
• クライアントログデータをファイルまたはログサーバにエクスポートすることはできません。

クライアントログの設定を行うには

1. コンソールで [クライアント] をクリックします。
2. 右側の [ポリシー] タブの [クライアントログ] をクリックします。
3. [クライアントログの設定] ダイアログボックスで、最大ファイルサイズとログエントリを保存する日数を設定します。
4. クライアントからサーバーに転送するログは [管理サーバーにアップロードする] をチェックします。
5. セキュリティログとトラフィックログについて、ダンパー期間とダンパーアイドル期間を設定します。これらの設定は、ネットワークとホストのエクスプロイト緩和機能イベントが集約される頻度を決定します。
6. クライアントが一度に管理サーバーにアップロードするエントリの最大数を設定します。
7. [OK] をクリックします。

ウイルスとスパイウェアの対策ポリシーのクライアントログ処理オプションの設定について

ウイルスとスパイウェアの対策ポリシーのログ処理オプションは、次のように設定できます。

• どのウイルスとスパイウェア対策のイベントがクライアントからサーバーに転送されるのか
• ウイルスとスパイウェアの対策ログのイベントをサーバーに保持する期間
• クライアントからサーバーへのイベント集計のアップロード頻度

サイトのログをバックアップする

Symantec Endpoint Protection でバックアップするように設定しない限り、ログデータはバックアップされません。ログをバックアップしない場合、バックアップ中に保存されるのはログの設定オプションのみです。バックアップを使用してデータベースを復元することはできますが、データベース内のログは、復元されたときにデータが空になっています。この設定オプションは [管理] - [サーバー] - [ローカルサイト] の他のバックアップオプションと一緒に配置されています。サイトのバックアップは最大 10 世代まで保存することを選択できます。複数のバージョンを保持する場合は、すべてのデータを保持するのに十分なディスク容量を確保する必要があります。

サイトのログをバックアップするには

1. コンソールで [管理] をクリックします。
2. データベースサーバーを選択します。
3. [タスク] で [データベースプロパティの編集] をクリックします。
4. [バックアップの設定] タブで [ログのバックアップ] をチェックします。
5. [OK] をクリックします。

大容量のクライアントログデータのアップロードについて

クライアント数が多い場合、クライアントログデータが大量に発生することがあります。
以下のような構成で、データ量を減らすかどうか検討する必要があります。

• クライアントログの一部のみをサーバーにアップロードする。
• 重要度の低いリスクイベントやシステムイベントをフィルタリングして、サーバーに転送されるデータを少なくする。

それでもなお、非常に大量のクライアントログデータがサーバーにアップロードされる見込みがある場合は、次の要因を考慮する必要があります。

• ネットワーク内のクライアント数
• ハートビート頻度 (クライアントログをサーバーにアップロードする頻度を制御する)
• データベースに挿入される前のログデータが保存されるディレクトリの容量

大量のクライアントログデータを頻繁にサーバーにアップロードする構成は、容量の問題を引き起こす可能性があります。大量のクライアントログデータをアップロードする必要がある場合、これらのスペースの問題を回避するために、いくつかのデフォルト値を調整する必要があるかもしれません。クライアントにデプロイする際には、サーバー上のログ挿入ディレクトリのスペースを監視し、必要に応じてこれらの値を調整する必要があります。ログを .dat ファイルに変換してデータベースに書き込むデフォルトのディレクトリは <SEPM インストールフォルダ>\data\inbox\log です。サーバーデータディレクトリの場所は、インストール時にサーバーデータディレクトリを選択するよう指示されます。必要に応じてスタートメニューから管理サーバー設定ウィザードを実行して、このディレクトリを変更することができます。設定されたディレクトリに \inbox\log が自動的に追加されます。

クライアントログをアップロードする頻度は [クライアント] - コンソール右側の [ポリシー] タブの [通信] で設定します。デフォルトの頻度は 5 分ごとにログをアップロードします。

データベースでのログイベント管理について

データベースは、一定量のエントリーを受け取り、そのログファイルに保存します。データベースに保存されるデータは、保存されたデータが利用可能なディスクスペースをすべて消費しないように管理する必要があります。データが多すぎると、データベースが動作しているコンピュータがクラッシュする可能性があります。

データベースのデフォルトのメンテナンス設定を理解し、データベースが使用するディスク容量が常に増加しているようであれば、設定を変更する必要があります。リスクアクティビティが大きく急増した場合、サーバー上の利用可能なディスクスペースを保護するために、一部のデータを削除する必要がある場合があります。

ログのデータベースメンテナンスオプションを設定する

管理者は、ログに保存されるデータのデータベースメンテナンスオプションを設定することができます。データベースメンテナンスオプションは、圧縮設定やデータを保存する期間を指定することで、データベースのサイズを管理するのに役立ちます。

特定のデータベースメンテナンスオプションの詳細については、SEPM コンソールの [管理] - [サーバー] - データベース名をクリック- [データベースプロパティの編集] 以下で状況依存型のヘルプの内容を参照してください。

ログのデータベース メンテナンス オプションを設定するには

1. コンソールで [管理] をクリックします。
2. サイトのデータベースをクリックし [タスク] の [データベースプロパティの編集] をクリックします。
3. [ログの設定] タブの [リスクログ設定] で次のオプションを設定します。
   1. リスクイベントを保存する日数を設定します。
   2. 同一のリスク発見イベントを 1 つのイベントに圧縮する頻度を設定します。
   3. 圧縮されたイベントを保持する日数を設定します。この値には、イベントが圧縮される前の期間も含まれます。例えば圧縮したイベントを 10 日後に削除するように指定し、7 日後にイベントを圧縮するように指定したとします。この場合イベントは圧縮されてから 3 日後に削除されます。
   4. 確認済みおよび未確認の通知を保存する日数を設定します。
   5. スキャンイベントを保存する日数を設定します。
   6. コンソールから実行したコマンドとそれに関連するコマンドのステータス情報を保持する日数を設定します。
   7. 未使用のウイルス定義と、ウイルス名として EICAR を含むウイルスイベントを削除する場合は、チェックボックスにチェックを入れてください。EICAR テストウイルスは、European Institute for Computer Anti-Virus Research (EICAR) が開発したテキストファイルです。ほとんどのアンチウイルスソフトを簡単かつ安全にテストする方法を提供します。EICAR のホームページからダウンロードすることができます。Symantec Endpoint Protection のアンチウイルス部分が動作することを確認するために使用することができます。
4. [OK] をクリックして、変更を保存します。

Interactive SQL ユーティリティと埋め込みデータベースの併用について

Symantec Endpoint Protection または Symantec Network Access Control と共に組み込みデータベースを使用する場合、以下の情報に注意する必要があります。Interactive SQL (dbisqlc.exe) という名前のデータベースアプリケーションを実行すると、埋め込みデータベースへのデータの挿入がブロックされます。このアプリケーションをしばらく使用すると、.datファイルが <SEPM インストールフォルダ>\data\inbox\log ディレクトリに蓄積されます。

.datファイルの蓄積を緩和し、データベースへのデータ挿入を再開するには、アプリケーションを終了してください。

タイムアウトパラメータの変更

多くのデータを含むレポートやログを表示したときにデータベースエラーが発生した場合、次のように変更することができます。

• Microsoft SQL サーバーの接続タイムアウトを変更する
• Microsoft SQL サーバーのコマンドタイムアウトを変更する

これらの値のレポートデフォルトは以下の通りです。

• 接続タイムアウトは 300秒 (5分) 
• コマンドタイムアウトは 300秒 (5分)

CGI エラーやプロセス終了エラーが発生する場合は、他のタイムアウトパラメータを変更するとよい場合があります。

大量のデータを照会すると管理サーバーのレポートが応答しないかタイムアウトのエラーメッセージが表示される

タイムアウトパラメータを変更するには

1. <SEPM インストールフォルダ>\Inetpub\Reporting\Resources\Reporter.php ファイルを任意のテキストエディタで開きます。
2. 以下の設定をファイルに追加します。

$CommandTimeout =xxxx
$ConnectionTimeout =xxxx

タイムアウトの数値は秒単位です。0 を指定した場合、またはフィールドを空白にした場合は、デフォルトの設定が使用されます。

破損したクライアントシステムログの復旧について

クライアントでシステムログが破損した場合、コンソール上のシステムログに不特定のエラーメッセージが表示されることがあります。破損している場合、クライアントでログのデータを表示することができず、データはコンソールにアップロードされません。この状態は、コンソールのコンピュータ状態、リスク、スキャンのログとレポートのデータに影響を与える可能性があります。

この状態を修正するには ウイルスを検知した情報が管理サーバーに転送されない を参照してください。

技術情報

ブラウザウィンドウで下記のコマンドを実行した場合、

https://localhost:8443/servlet/ConsoleServlet?ActionType=ConfigServer&action=SweepLogs

画面上では以下のようなメッセージが表示されますが、これは期待される出力でエラーではありません。

<?xml version="1.0" encoding="UTF-8"?>
<Response ResponseCode="0"/>

SEP 14 では conf.properies ファイルに以下を追加し、コマンドの実行を許可してください。

scm.configserver.allowed.actions=SweepLogs

アクションが実行されたことを確認するには SEPM コンソールの [管理] - [サーバー] セクションでサーバーログを調べます。以下のようなエントリが表示されているはずです。

May 21, 20xx 11:22:59 AM BST: Some logs have been swept. [Site: Site <Site Name>] [Server: <Server Name>]
May 21, 20xx 12:13:04 PM BST: Some logs have been swept. [Site: Site <Site Name>] [Server: <Server Name>]

[英語文書] Manage log data in Endpoint Protection Manager