このバージョンから、国内ユーザー向けにインストール直後の初期設定でファイル保存アクションがあるため、イベント情報を適切なフォーマットでファイル保存できるようになり、大変使いやすくなりました。
これ1本でActive Directoryサーバー配下の監査ログもセキュリティイベントログも保存管理するとともに、多彩なフィルタ機能により、不審なイベントを検知してリアルタイムにアラートを通知することも可能です。
インストール直後のデフォルト設定(ver.15.3~)
※メーカーサイトからダウンロードできるプログラムとは異なります。
アクションは以下の2つが設定されています。
1)Syslog転送:Syslogサーバーへ転送しない場合は、このアクションを「無効」にするか削除してください。
転送するSyslog形式は、RFC3164のヘッダが付き、送信メッセージ中には、以下のプロパティ情報がカンマ区切りで含まれます。
転送先サーバーで表示されるメッセージ部分は以下のように、タイプスタンプの後に、送信元情報(コンピュータ名)→Syslogタグ(EvntSlog: )→メッセージと続いて出力されます。
上記で転送されるコンピュータ名をIPアドレスに変換して転送したい場合は、転送時の設定で、
「カスタムSyslogヘッダを使用」にチェックを入れます。
%source%プロパティの代わりに%source:::toipv4address% を入れることで、転送先では送信元IPアドレスで表示されるようになります。
(EventReporterのソースプロパティ%source%はコンピュータ名です)
2)ファイルログアクション:本バージョンよりデフォルト設定に追加しました。
カスタムフォーマット:出力順は以下の通りです。
(出力プロパティ、順序、区切り文字は変更可)
イベント報告時刻(ローカルタイム),イベントチャンネル,イベントソース,イベントID,カテゴリ名,レベル,キーワード,イベントユーザー,ソース(ホスト名),メッセージ(改行削除)
30日間、フル機能が使用できる評価版をダウンロードして、ぜひご試用ください。
その他のバージョンアップによる変更点は以下をご参照ください。
EventReporter製品ページ:
