Windowsサーバ操作ログ取得「WST」

製品概要

WST(WinServer-Trace)は、Windowsサーバーに対する操作内容を記録するエージェント製品です。操作記録として必要な、誰が(ログインユーザーID)、どこから(アクセス端末IP)、いつ(ログインログオフ日時、操作日時)、何をしたか(ファイル操作、起動アプリケーション)をWEEDS独自の技術により漏れなく取得します。​

各種ガイドライン対応をはじめ、不正行為の抑止や犯行の早期発見、情報流出時の経路発見、被害状況の早期把握にご活用いただけます。

GUI操作
アプリケーション利用
CUI操作

システム構成

WST(WinServer-Trace)

Windowsサーバのアクセスログ取得エージェント。
GUI・CUI・セーフモードの操作ログを取得することが可能。

LRM(Log-Repository Manager)

統合ログ管理マネージャーです。
アクセスログの蓄積・管理や監査ポリシー登録、レポーティング機能を搭載。

特徴

OS標準では取得ができない操作も漏れなく取得

WEEDS独自技術でWidowsサーバ上での様々な操作ログ取得​

操作ログの取得でもっとも重要なことは、すべてのコンピューターで行われた操作を漏れなく取得することに他なりません。​

そこでWEEDSでは、全ての操作ログを漏れなく取得するため、イベントログ+独自技術により取得したログ情報を組み合わせることで全操作をカバーし、直感で操作内容がわかるような監査証跡として記録する製品開発を実現しています。​

OS標準ログでは取得困難な内容もWEEDS独自技術で取得致します。

① NWドライブに割り当て後のファイルコピー

② コマンドプロンプト/PowerShellでのコマンド操作

様々なIT基盤でも操作内容の取得が可能

仮想環境/シンクライアント環境/クラウド環境に対応​

従来、組織のIT基盤はオンプレミス型が主流でした。​

現在ではさまざまな環境が混在して稼働し始めています。オンプレミス型ではあっても仮想化環境やシンクライアント環境、またIT基盤としてクラウドを利用する企業も増加の傾向にあります。​

これらの環境下においても、WSTは対応できるように設計されています。

内部・外部からの不正アクセスを制御

定められた経路からのログイン以外は制御​

独自技術により許可された経路以外からのアクセスを制御します。OS標準機能では満たせない制御が可能となる為、様々なリスクからサーバを保護することができます。​

機能詳細

ログ取得項目

Windowsサーバに関するさまざまな操作ログを取得、監視し、ログ管理します。 ​

ログ取得範囲

  • コンソールログイン
  • リモートデスクトップログイン
  • セーフモードログイン
取得情報内容
ログイン情報・ ログインサーバー名​
・ ログインサーバー IPアドレス​
・ ログインユーザー名​
・ 接続元IPアドレス​
・ ログイン日時​
・ ログオフ日時
操作情報・ 起動アプリケーション​
・ 起動プロセス​
・ 印刷 ​
・ コマンド実行​
・ ウインドウタイトル​
・ アクセス URL ​
・ ファイルの作成・オープン​
・ ファイルのコピー​
・ ファイルの移動​
・ ファイルの削除​
・ ディレクトリの作成​
・ ディレクトリの削除​

監視レポート

Windowsサーバ上での操作を可視化する豊富なレポートを準備しています。​

単にアクセスログを一覧化するのではなく、“ログインだけの一覧”や“ファイル操作に特化した一覧”など目的に沿ったシステム監視運用が可能となります。

レポート名活用方法
ログイン一覧サーバ利用状況の把握に活用。​
・夜間帯・休日におけるログイン有無など​
・監視対象ユーザ(特権ID)によるログイン有無など​
ログイン失敗一覧不正アクセスの予兆検知に活用。​
・短時間で大量のログイン失敗​
アプリケーション起動一覧起動したアプリケーション情報を全て取得し、不正なアプリケーションの起動有無をチェック​
・ 未許可のアプリケーションの起動​
ファイルアクセス一覧サーバ上での全てのファイル操作より重要ファイルやフォルダへの不正アクセス有無をチェック​
・ 重要ファイル/重要フォルダへのアクセス有無​
ユーザ操作一覧コマンドプロンプトの実行コマンド/標準出力の結果やウィンドタイトル(アクセスURL)情報の把握に活用​
・ 不正なコマンドの実行有無​

監視ポリシー

WSTには、アクセスログから“不正ログイン”や“リスクのある操作”のみを自動でピックアップする為の監視ポリシー機能を有しています。​それぞれ目的に応じた監視ポリシーを登録する事でシステム監視がより簡略化され、不正操作のみを素早くチェック頂く事が可能です。​

※WSTの全ての監視ポリシーを確認されたい方はこちらから

アプリポリシー

不正なアプリケーション利用を抽出

Windowsサーバーで監視対象とするアプリケーションを指定する事で、指定対象アプリケーションの利用有無を確認する事が出来ます。​

例えば、DBサーバ上での作業中に利用目的にないDB直接ツール(SQLPLUSやManagement Consoleなど)が使用された場合、DB情報を閲覧・取得されるリスクもありますので重要なアプリが不正に使用されていない事の証明をするうえで欠かせない監視ポリシーとなります。​

対象レポート

・ アプリケーション起動一覧​
・ ユーザ総裁一覧

レポートイメージ
特権ユーザID用
定例作業用

ファイルポリシー

重要なファイル/機密情報へのアクセス監視が可能

サーバ上の重要なファイルやフォルダに対して不用意にアクセスされていないかなど監視をおこなうことは非常に需要です。​

特権ユーザであれば全てのフォルダ・ファイルに対してアクセスが可能となります。その為、各ユーザ単位に重要なファイルやフォルダを定義することでユーザー単位での監視が可能になります。​

対象レポート
  • ファイル操作一覧
レポートイメージ

コマンドポリシー

Windowsコマンド・パラメータ単位での監視が可能

コマンドプロンプトやPowershellはコマンドを用いてOSを操作するツールとなり、ファイル操作や環境情報の取得などが行える為、GUI操作のみを監視しているだけでは全ての記録を残すことは出来ません。

また、実行するユーザの権限によっては「サーバ上の全てのデータをコピーする」ことも可能となる為、実行されたコマンドやパラメータに不正操作がない事を確認する必要があります。​

コマンドポリシーはユーザ単位に監視対象となるコマンドを定義する事が出来るので、Administratorのような特権ユーザ向けの監視設定や一般ユーザ向けの設定など権限に応じたコマンド監視を行う事が可能となります。

対象レポート

・ ユーザ総裁一覧

特権ユーザID用
一般ユーザ用
レポートイメージ
その他監視レポートイメージ

動作環境

稼働条件 対象OS Windows Server 2008 R2​, Windows Server 2012, Windows Server 2012 R2​, Windows Server 2016​, Windows Server 2019
必要製品/環境 Log-RepositoryManager/アクセスログ管理サーバ
ログ取得 ログ取得範囲 コンソールまたは、リモートデスクトップログイン(GUI, CUI)、セーフモードログイン(GUI, CUI)
ログ取得項目 ログイン日時、ログオフ日時、OSユーザーID、操作日時、ログイン失敗、操作アプリケーション名、ドライブレター、ファイルパス、ファイル名、GUI・CUI操作、ファイルの作成、ファイルのオープン、ファイルのコピー、ファイルの移動、 ファイルの削除、ディレクトリの作成、ディレクトリの削除、操作アプリケーション 起動/終了、印刷操作​
暗号化 独自暗号化
ログ転送 規定間隔
ログ量 5kb/コマンド(操作量、標準出力量によって変動します)
ページトップへ戻る