印刷 ブックマーク 友達に教える トレンドマイクロ Q&Aページ

Deep Security as a Service イベントログ取得スクリプトについて

Solution ID
1117084
対象製品 
Deep Security as a Service - All; 
対象OS 
Windows - All 
公開日 
2017/04/11 1:01 午後 
最終更新日 
2018/08/23 10:18 午前 

Deep Security as a Service(以下、DSaaS) で利用できる、イベントログを出力するスクリプトの説明になります。
このツールは、DSaaSから定期的にイベントログを出力させることを目的にしています。

使用許諾

本ツールは、以下使用許諾に同意のもとご利用ください。

ログ収集ツール使用許諾書

ツール実行環境

  • ・OS:Windows 7/2008以降(本ツールの実行には管理者権限は不要です。)
  • ・Windows Powershell バージョン:2.0以降
  • ・.NET Framework 4.5 以上

取得できるログ一覧

  • ・システムイベントログ
  • ・不正プログラム対策イベントログ
  • ・Webレピュテーションイベントログ
  • ・侵入防御イベントログ
  • ・ファイアウォールイベントログ
  • ・変更監視イベントログ
  • ・セキュリティログ監視イベントログ
  • ・アプリケーションコントロールセキュリティイベントログ

事前準備

  1. こちらよりツールをダウンロードします。ダウンロードしたファイルに含まれる、「export_logs.ps1」と「run.cmd」をログを保存したいフォルダに配置してください。
  2. DSaaSへログイン後、イベントログ取得用ユーザを作成します。
    イベント取得用ユーザに割り当ている権限は以下を設定してください。
    <イベント取得用ユーザの「役割」の設定について>
    ・一般:[アクセスの種類]の[Deep Security Managerユーザインタフェースへのアクセスを許可]にチェックを入れます。
    ・コンピュータの権限: [コンピュータとグループの権限]で[すべてのコンピュータ]を選択します。その他は変更不要です。
     ・ポリシーの権限:[ポリシーの権限]で[選択したポリシー]を選択します。その他は変更不要です。
     上記以外のタブの設定はデフォルトのままにします。
  3. 2.で作成したユーザでログインできることを確認した後、[run.cmd]ファイルをテキストエディタで開き、[スクリプト配置場所]、[Account Name]、[Username]、[Password]、[イベント取得期間]、[イベント保存フォルダ]を記入して保存します。

■run.cmdファイル

powershell -ExecutionPolicy RemoteSigned [スクリプト配置場所]\export_event.ps1
 -Account [Account Name] -Username [Username] -Password [Password] -day [イベント取得期間] -savefolder [イベント保存先]

▼変更パラメータ
・[スクリプト配置場所]:スクリプトの配置場所をフルパスで記入します。
・[Account Name]:DSaaSへログインする際に入力する、[Account Name]を記入します。
・[Username]:DSaaSへログインする際に入力する、[Username]を記入します
・[Password]:DSaaSへログインする際に入力する、[Password]を記入します。
・[イベント取得期間]:取得したい期間を数字で入力します。例えば、7日間のイベントを取得する場合「7」と記入します。
・[イベント保存フォルダ] :取得したイベントの保存先を指定します。

■コマンド例:2017年4月1日0時~4月8日0時のイベントを取得し、デスクトップ上に保存する場合

powershell -ExecutionPolicy RemoteSigned C:\Users\test\Desktop\export_event.ps1
 -Account testaccount -Username Loguser -Password Loguser -day 7 -savefolder C:\Users\test\Desktop\

動作確認

タスクスケジューラに登録する前に、スクリプトを手動で実行してイベントが取得できることを確認します。

確認手順

  1.  デスクトップ上に「export_logs.ps1」と「run.cmd」があることを確認します。
  2. 「run.cmd」を編集します。
  3. 「run.cmd」をダブルクリックし、コマンドプロンプトが起動することを確認します。
  4. コマンドプロンプト上に各種イベントログが取得されているメッセージが出力されることを確認します。
  5. スクリプト終了後、デスクトップ上に「Events_スクリプト実行日」のフォルダが作成されていることを確認し、フォルダ内に各種イベントログが保存されていることを確認します。

ツールを実行するマシンのPowershellのバージョン次第では、以下メッセージが出る場合がありますが、ツールの動作に影響はありません。
■対象ログ
Start-Transcript : トランスクリプションを開始できません。
発生場所 C:\Users\test\Desktop\collect_logs.ps1:15 文字:21 + Start-Transcript <<<< $(Join-Path$OutputPath 'diagnostic.log') + CategoryInfo : InvalidOperation: (:) [Start-Transcript]、PSInval idOperationException + FullyQualifiedErrorId : CannotStartTranscription,Microsoft.PowerShell.Co mmands.StartTranscriptCommand

タスクスケジューラへの登録

  1. [動作確認」完了後、「export_logs.ps1」と「run.cmd」を任意のフォルダに配置します。
    配置するフォルダは、タスク実行ユーザの権限で書き込みができる場所にします。 
  2. タスクスケジューラに「run.cmd」を登録します。タスクの実行間隔は任意に設定します。

ツール実行の失敗例

DSaaSのログイン情報が間違っている場合

[Account Name]、[Username]、[Password]のどれかを間違えている場合は、以下ログが出力されます。以下ログが出力される場合、上記引数の確認をしてください。

■実行結果

エラーが発生しました
ログインに失敗しました。Account Name、Username、Passwordを確認してください。

注意事項

  1. 本ツールの2次配布および本件でお伝えしている以外の用途での利用はご遠慮ください。
  2. 上記記載の方法での使用時に発生するトラブルや他の目的での利用に関するお問い合わせは回答致しかねますので、予めご了承ください。
  3. 機能追加のご要望については、必ずしも実装することはお約束できないことを、予めご了承ください。
  4. 本ツール利用前に、使用許諾書およびツールに同梱されているReadmeをご参照ください。

このソリューションに関して、ご意見をお聞かせください。

  • このソリューションは問題解決に役に立ちましたか。

  • このソリューションの内容を改善するために、ご提案/ご意見がありましたらお聞かせください。
    • ※こちらにご質問などをいただきましてもご返答する事ができません。
      何卒ご了承いただきますようお願いいたします。

再検索する

検索

こんなQ&Aもチェックされています

問い合わせする

お役立ち情報