はじめに
Syteca(読み:サイテカ、旧:Ekran)は、ユーザーの操作内容をテキストログや画面キャプチャとして記録する証跡管理システムです。
取得したデータは、インシデント調査や証跡管理において重要な役割を果たします。
しかし、これらのデータは適切にバックアップされていなければ、障害発生時に失われ、調査や復旧が困難になる可能性があります。
そこで今回は、Sytecaアプリケーションサーバー(管理サーバーのメインコンポーネント)が動作するWindows Server等の障害に備え、バックアップ時に必要となるデータについて解説します。
バックアップ対象となるデータの範囲や手順は、お問い合わせも多く、分かりにくいポイントの一つです。本記事で整理してご紹介します。
※本記事の内容は、記事作成時点での情報です。製品の新しいバージョンや古いバージョン、使用環境、あるいは設定等の条件により動作等が異なることがあります。
バックアップ対象は 4 種類
Syteca が生成するデータのうち、バックアップの対象は次の 4 種類です。
- 「データベース」
- 「画像保存用フォルダー」
- 「設定ファイル」
- 「Ekran マスター証明書」
これらデータを含む全体像を図示します。この後、本記事にて順番に各データの説明をします。
記録データのながれ
バックアップの対象について説明する前に、Syteca の中心的なデータである、ユーザー操作の記録データの取得と保存のながれを確認します。
ユーザー操作の記録を行う各コンピューター (Windows / Linux / macOS) で動作する各 Syteca クライアント(エージェント)プログラムは、記録した記録データを Syteca アプリケーション サーバーに送信します。
Syteca アプリケーション サーバーは受信した記録データを「テキストデータ」(取得日時、ウィンドウタイトルなど)と「画像データ」(操作画面)に分けて保存します。
「テキストデータ」は必ずデータベースに保存します。
「画像データ」は Syteca アプリケーション サーバーのインストール時に、「テキストデータ」と一緒にデータベースに保存するか、またはデータベース外のファイルシステムに保存するか、を選択できます。
データベース肥大化を防ぐ等の目的のため、多くの場合は「画像データ」はデータベース外に保存する選択をします。
「データベース」のバックアップ
Syteca アプリケーションサーバーは、記録データのうちの「テキストデータ」の保存や、製品の動作設定の保存、リモート接続・パスワード入力機能(PAM)用の登録データの保存、記録対象ユーザーの統計データの保存といった目的のために、データベースを使用します。
データベースを実際に保存・管理するためのリレーショナルデータベース管理システムは、主に PostgreSQL または MS SQL Server のうち、お客様の都合の良いどちらかを選択できます。
- PostgreSQL
世界的に広く使用されているオープンソースのリレーショナルデータベース管理システムです。
日本国内で Syteca をご利用のお客様の多くは、PostgreSQL を選択されるため、動作実績が豊富です。 - MS SQL Server
Microsoft 社の商用リレーショナルデータベース管理システムです。
開発元によるデータベースサーバーの商用サポートを受けたい場合や、Volume Shadow Copy Service (VSS) を使用したデータベースのバックアップを行いたいお客様は、MS SQL Server を選択されます。 - (ご参考)クラウドサービスの完全マネージド型のリレーショナルデータベースエンジンのうち、Amazon Web Services (AWS) や Microsoft Azure で提供されている、PostgreSQL や MS SQL Server と互換性のあるリレーショナルデータベースエンジンを選択できることもあります。
Syteca が使用しているデータベースをバックアップするには、PostgreSQL や MS SQL Server の機能を使用してバックアップをしたり、VSS 対応のバックアップツールを使用したり、あるいは、Syteca アプリケーション サーバーやデータベースサーバーを停止してファイルシステムレベルのバックアップをしたりする必要があります。
Syteca 関係のデータは、次の 3 個のデータベースに保存されます。
- 記録(テキストデータ)用データベース:
ユーザー操作の記録データの保存に用います。
データ容量は、記録ユーザー数や保管期間に応じて増大し、3 個のデータベース内では最も大きくなります。 - 設定用データベース:
各クライアントプログラムの記録動作の調整パラメーター、Syteca 管理画面を使用する Syteca 管理ユーザーのアカウント名・パスワード・権限といった情報の保存に用います。
容量もあまり大きくはなりません。 - 統計用データベース:
操作記録の対象となったユーザーの統計的なプロファイル情報の保存に用います。
容量は記録用データベースと比べるとあまり大きくはなりません。 - (アーカイブ機能をお使いの場合には、さらにアーカイブ データベースの保存先やバックアップの考慮が必要です)
各データベースをもし別の日時にバックアップしてしまうと、新旧の情報が混ざった状態になってしまい Syteca の動作に影響を与える可能性がありますから、バックアップ時は毎回 3 個すべてのデータベースをバックアップする必要があります。
データベースの名前は、記録(「テキストデータ」)用データベース、設定用データベース、統計用データベースの順に次の通りです。
- ComputerName.EkranActivityDB
- ComputerName.EkranManagementDatabase
- ComputerName.EkranUbaDatabase
※「ComputerName」は Syteca アプリケーションサーバーをインストールした OS のコンピューター名です。
※Syteca のバージョンや Syteca アプリケーションサーバー インストール時の設定によって異なる場合もあります。
上記のデータベースをバックアップする必要があります。
※アーカイブ機能をお使いの場合は、アーカイブ機能設定時のデータベース名でアーカイブデータベースも作成されます。
※PostgreSQL や MS SQL Server 等の使用方法は、弊社の直接のサポート対象ではないため、具体的なバックアップ方法は製品のマニュアル等をご覧ください。
「画像保存用フォルダー」のバックアップ
Syteca アプリケーション サーバーは、記録データのうちの「画像データ」を、通常はデータベース外のファイルシステムに、画像ファイルとして保存します。
画像ファイルは独自形式のファイルであり、汎用の画像ビューアでは閲覧できません。また画像ファイルは暗号化されて保存されています。
画像を閲覧するには、Syteca 管理ツール(Web 管理画面)にてユーザー名とパスワードを入力してログインし、プレイヤーで閲覧する必要があるため、権限のないユーザーによる閲覧を防ぐことができます。
画像ファイルは Syteca アプリケーション サーバー のインストール時に指定したフォルダー等に保存されます。指定可能なフォルダー等は次の通りです。
- Syteca アプリケーション サーバーをインストールした OS のローカルディスクのフォルダー
- ネットワーク共有フォルダー(現行バージョンでは、CIFS/SMB でアクセス可能なことが条件)
- (通常のフォルダーではなく、Amazon Simple Storage Service (Amazon S3) も保存先に指定できます)
Syteca のユーザー操作記録データのうち、「テキストデータ」と「画像データ」の容量比は、環境によって異なりますが、おおむね 2 : 8 程度のため、記録データの容量管理の上では、画像データ保存用ディスクの管理が特に重要です。
また、現行バージョンでは画像データは数 KB から 数十 KB 程度の小容量・多数のファイルとして保存されるため、保存時もバックアップ時もディスクアクセスはランダムアクセスとなります。このため、容量のみならず、ディスクの性能も十分に注意して管理する必要があります。
「画像データ」の保存先フォルダー等(また「テキストデータ」等の保存先データベース)は、Syteca アプリケーションサーバーのインストール時に指定した場所ですが、もしわからない場合には次の方法で確認できます。
- Syteca アプリケーションサーバーをインストールした OS (ここでは Windows Server を想定)にログインしてください。
- 「管理者: Windows PowerShell」のウィンドウを開き、次のコマンド(レット)を実行してください。
& ((Get-CimInstance -ClassName Win32_Service |
Where-Object -Property Name -EQ EkranServer).PathName -replace '"','' |
Split-Path -Parent | Join-Path -ChildPath 'DBSetupToolUI.exe') - 現れたウィンドウの「Metadata Storage」タブに Syteca が使用しているデータベースが、「Binary Data Storage」タブに画像データ保存先フォルダーが、それぞれ表示されます。
※バージョンによってタブの位置などが多少異なることがあります
上記例でいうと、「F:\Screenshot」が「画像データ」の保存先です。
※お客様によって表示されるフォルダーのパスは異なることがあります。
上記の「画像データ」保存先フォルダーとその全サブフォルダーをバックアップする必要があります。
※なお、「F:\Screenshot」のような指定フォルダーの直下に「Cache」という名前のサブフォルダーが作成され、その下にさらに日付をフォルダー名とするサブフォルダーが作成され、画像ファイルが保存されます。
「Cache」というフォルダー名が紛らわしいのですが、このフォルダーには画像ファイル本体・元データが保存されます(アクセス速度改善用の元データのコピーが保存されるわけではありません)。
また、日付名のフォルダーは、画像ファイルの差分バックアップの際にある程度の目安として使うことができますが、Syteca クライアントが Syteca アプリケーションサーバーと通信できない状況が発生すると、Syteca クライアントは記録データをローカルに一時保存しておき、通信復帰時に過去の記録データをアップロードしてくる機能(「オフラインキャッシュ」機能といいます)があるため、現日時よりも古い日付のフォルダー配下に、画像ファイルが追加されることもあり得ますので注意が必要です。
「設定ファイル」のバックアップ
Syteca の設定のほとんどは、データベースに保存されますが、一部の設定値は設定ファイルに保存されることがあります。
※古いバージョンの Syteca ではこの設定ファイルは存在しなかったり、存在していてもほとんど使用されていないことがあります。
設定ファイルには少数の項目が保存されるのみであり、データベースと比べると更新頻度は低いものの、データベースのバックアップの際には、同時に設定ファイルもバックアップしておくと、設定値を漏らさずバックアップすることができます。
設定ファイルのファイル名・保存フォルダーは次の方法で確認できます。
- Syteca アプリケーションサーバーをインストールした OS (ここでは Windows Server を想定)にログインしてください。
- 「管理者: Windows PowerShell」のウィンドウを開き、次のコマンド(レット)を実行してください。
(Get-CimInstance -ClassName Win32_Service |
Where-Object -Property Name -EQ EkranServer).PathName -replace '"','' |
Split-Path -Parent | Join-Path -ChildPath 'EkranServer.Settings.config'
デフォルト設定でインストールした場合は、上記出力例のように、設定ファイルのフルパスは次の通りです
C:\Program Files\Ekran System\Ekran System\Server\EkranServer.Settings.config
※お客様によって表示されるファイルのパスは異なることがあります。
上記のファイルをバックアップする必要があります。
「Ekran マスター証明書」のバックアップ
Syteca はデータベースの内容の一部や、画像ファイルを暗号化して保存しています。この際に「Ekran マスター証明書」と呼ぶ電子証明書を使用します。
Ekran マスター証明書は、通常は Syteca/Ekran アプリケーションサーバーの初回インストール時に自動作成されます。
(リストア時や、別環境に Syteca アプリケーション サーバーを移行するときは、事前に元環境でバックアップしておいた Ekran マスター証明書をインポートしておくか、またはインストールウィザードで既存証明書の読み込みを選択することで、証明書の自動作成を止める必要があります)
たとえ Ekran マスター証明書以外のバックアップ済みデータである、「データベース」「画像保存用フォルダー」「設定ファイル」のすべてをリストアしても、Ekran マスター証明書が存在しなければ復号処理が行えないため、データベース等の内容の読み込みが行えません。これによりデータベース内の設定情報に動作を依存する Syteca アプリケーション サーバーは起動もできません。
Ekran マスター証明書は、原則としては、インストール後は変化しませんので、データベースのバックアップ等のタイミングでの毎回のバックアップは必要ありません。
ただし、必ず 1 回はバックアップして確実に保管しておくことを忘れないでください。
現在存在する Ekran マスター証明書のフレンドリー名、Subject、Thumbprint、保存フォルダー(証明書ストアのパス)等は次の方法で確認できます。
- Syteca アプリケーションサーバーをインストールした OS (ここでは Windows Server を想定)にログインしてください。
- 「管理者: Windows PowerShell」のウィンドウを開き、次のコマンド(レット)を実行してください。
Get-ChildItem -Path Cert:\LocalMachine\My\ |
Where-Object -Property FriendlyName -Match 'EkranMasterCertificate' |
Format-List -Property FriendlyName,Subject,Thumbprint,PSPath
Syteca アプリケーションサーバーを新規インストールするたびに異なる Ekran マスター証明書が作成され、証明書のパスは証明書の Thumbprint を含むため、環境によりバックアップすべき証明書のパスは異なります。
上記出力例でいうと、
Certificate::LocalMachine\My\4D7……85C
が Ekran マスター証明書のパスです。
※お客様によって表示される Ekran マスター証明書のパス(証明書のThumbprint)は異なります。
上記の証明書をバックアップ(エクスポート)する必要があります。
Windows Server の PowerShell で Ekran マスター証明書をエクスポートする場合は、次の方法が使用できます。
- Syteca アプリケーションサーバーをインストールした OS (ここでは Windows Server を想定)にログインしてください。
- 「管理者: Windows PowerShell」のウィンドウを開き、次のコマンド(レット)を実行してください。
function Backup-TempEkMasterCert {
param(
[string]$ExportFilePath = `
(Join-Path ([System.Environment]::GetFolderPath('Desktop')) `
-ChildPath 'EkranMasterCertificate.pfx')
)
$EkranMasterCertificateCertPath = `
Get-ChildItem -Path Cert:\LocalMachine\My\ |
Where-Object -Property FriendlyName -Match 'EkranMasterCertificate'
if ( $EkranMasterCertificateCertPath.Count -ne 1 ) {
Write-Host "@
Not found or found multiple certs.
Found: $($EkranMasterCertificateCertPath.Count)
@" `
-ForegroundColor Red
Return
}
$EkranMasterCertificateCertPath |
Export-PfxCertificate -Force -FilePath $ExportFilePath `
-Password (Read-Host `
"`nEnter the password to protect the pfx export file" `
-AsSecureString)
$ExportedCertificateData = `
Get-PfxData -FilePath $ExportFilePath `
-Password (Read-Host `
"`nEnter the password to confirm" `
-AsSecureString)
if ( ($ExportedCertificateData.EndEntityCertificates).Subject -eq
'CN=EkranMasterCertificate' )
{
Write-Host "`nPassword looks good"
} else {
Write-Host "`nPassword or something looks wrong" `
-ForegroundColor Red
}
}
Backup-TempEkMasterCert - バックアップ(エクスポート)によって作成されるファイル(デスクトップ上に 「EkranMasterCertificate.pfx」というファイルを作成します)を保護するためのパスワードを 2 回入力するよう求められますから、同じパスワードを入力してください。
※1 回目と 2 回目のパスワードが違ったり、エクスポートに失敗するとエラーメッセージが表示されます。 - 作成されたファイルを安全な場所にコピー・保存してください。
インポート(リストア)の際には、エクスポート時に入力したパスワードが必要ですので忘れないでください。
リストアの概要
リストアの手順の概要は次の通りです。
- もし、破損またはリプレースしたい Syteca アプリケーション サーバー(と Syteca 管理ツール( Web 管理画面))が存在するなら、アンインストールしてください。
- もし、必要なランタイム等が存在しないなら、インストールしてください。(新規インストール用「評価ガイド」に記載があります)
- もし、データベースサーバー(PostgreSQL または MS SQL Server)が存在しないなら、インストールしてください。
※バックアップ時と同じ種類のデータベースサーバーを使用する必要があります。 - バックアップしておいた「データベース」と「画像保存用フォルダー」をリストアしてください。
- Syteca アプリケーション サーバー(と Syteca 管理ツール)をインストールしてください。
インストールの途中でバックアップしておいた「Ekran マスター証明書」のファイルを指定して読み込んでください。
(またはインストール前に証明書をインポートしてください)
インストールの途中で、リストア済み「データベース」がインストーラーによって認識されたことを必ず確認して、引き継ぐ旨を選択してください。 - 一度 Syteca アプリケーションサーバーのサービスを停止し、バックアップしておいた「設定ファイル」で「設定ファイル」を上書きしてください。
Syteca アプリケーションサーバーのサービスを開始してください。
リストアの手順の詳細は、環境や条件によって異なりますので、お問い合わせください。
お問い合わせ
設定方法や運用についてご不明な点がありましたら、お気軽に当社までお問い合わせください。
Syteca は、無料評価版をご用意しています。
すべての機能をお試しいただけますので、ぜひお試しください。
(30 ⽇間、Windows PC / Windowsサーバー / Linux 最大5台まで)
