概要
これまでのCTEのご紹介記事でファイルシステムレベル暗号のご紹介と、実際の利用手順を解説させていただきました。
CTEには、監査ログの機能があり、ファイルシステム上のGuardPointに対してのアクセスを記録することができ、ランサムウェアや、内部不正等による不正なアクセスを検知することが可能です。
目的
監査ログの確認方法の概要を理解し、基本的な監査ログの確認方法を試してみます。
参照ドキュメント
-
CipherTrust Transparent Encryption Agent
- User Guides > CTE Agent for Linux Advanced Configration
-
Additional Resources
- "Event Log and Messages Guide"参照
- CipherTrust Manager > Administration
- CipherTrust Manager
- System Monitoring > Records
- CTE Administration
- CipherTrust Manager
監査ログ確認の手順
CTE Agentをインストールしたサーバ側での確認方法
Windowsの場合
1. CTE Agent をインストールした Windows Server のタスクトレイ中の “CTE Agent”のアイコンを右クリック
2. Log > View > File System > Log を選択で、下記のようなCTE Agent 側のログをご確認いただけます。
(C:\ProgramData\Vormetric\DataSecurityExpert\agent\log\vorvmd.log)
Linuxの場合
/var/log/vormetric/vmd.log 参照
CM管理画面での確認方法
Profileの設定
CTE Agent のログを CMへ転送設定や、ログのレベル等、ログの詳細を Profile として管理することができます。
1. CM管理画面 > "Transparent Encryption" > Settings > Profiles > "DefaultClientProfile"(又は、任意のProfile) > "CLIENT LOGGING CONFIGRATION" を選択
2.\ "Log Upload to Key Manager" を選択し、"Update"をクリック
ログの確認
CM管理画面 > Records > "Loki Audit Records" > "Client Records" 選択
補足
CipherTrust Managerのストレージは有限ですので、過去にわたって長期間大量のログを保存することができません。
Syslogサーバや、SEIM製品を用い、ログを転送、保存いただくことをお勧めします。
- CipherTrust Manager > Administration > CipherTrust Manager Administration