Enterprise Vault™ 監査
監査データベースエントリの形式
Enterprise Vault 12.3 では、管理アクティビティの監査 ([管理アクティビティ]監査カテゴリ) の機能が強化されました。具体的には、次の領域の管理アクティビティに関連する情報の品質が大幅に向上します。
Exchange、SMTP、検索ポリシー
Exchange と SMTP タスク
Exchange と SMTP ターゲット
Exchange メッセージクラス
アーカイブ
役割ベースの管理、ボルトストアとパーティションの管理、詳細設定の監査にも改良が加えられています。
強化された情報は、管理コンソールで、または PowerShell コマンドレットを使用して実行する処理に関して使用できます。
メモ:
Veritas はいくつかのリリースにわたって Enterprise Vault 監査を向上してきました。この付録に記載された詳しい情報は、将来のリリースで変更される可能性があります。
監査データベースの EVAuditView データベースビューは、監査エントリの表示に使用でき、次の列で構成されます。
表: EVAuditView 列の説明
列のタイトル | 内容の説明 |
|---|---|
AuditID | 監査エントリの一意の識別子です。 |
Status | SUCCESS または FAILURE です。操作が正常に完了したか失敗したかを示します。 |
AuditDate | 監査エントリの原因となった処理または操作の日時を示します。 |
UserName | 処理を実行したユーザーを示します。 |
CategoryName | Enterprise Vault サーバーの[コンピュータプロパティ]で定義されている監査カテゴリを示します。 |
SubCategoryName | 監査エントリの特定の分類を示します。 |
ObjectID | 変更されたエンティティの ID を示します。たとえば Saveset ID、Site ID、Archive ID です。 |
Vault | 大量の監査の場合のみ、これには Archive ID または ArchivePoint ID が含まれることがよくあります。 |
Info | 実行された処理に関する詳細情報が自由形式テキストで提供されます。 Enterprise Vault 12.3 以降では、この列に監査処理に関するより詳しい情報が提供されます。各種監査エントリのこの列の内容が、この付録の主なトピックです。 |
MachineName | 監査エントリが生成されたマシンを示します。 |
Info 列に新しい形式が導入されました。これにより、監査処理についての情報を構造化された一貫性がある方法で表示することが可能になります。この付録の残りの部分では、さまざまな監査エントリの Info 列の内容について説明します。完全な監査エントリには、日時、処理を実行したユーザー、変更されたエンティティの ID などの前述の情報も含まれることに注意してください。
監査エントリを日付範囲、ユーザー名、ObjectID などの条件に基づいて表示およびフィルタ処理するには、SQL クエリーを使用することをお勧めします。
結果に形成された XML を返すには、次のようなクエリーを使用します。
USE EnterpriseVaultAudit SELECT TOP 50 ObjectID, AuditDate, UserName, TRY_CAST(info AS XML) AS infoXML FROM EVAuditView ORDER BY auditid DESC
次の例に、Exchange メールボックスポリシーの設定が変更されたときに作成された監査エントリの Info 列の内容を示します。表: 例の XML フィールドの説明に、含まれる値について説明します。
<Update ObjectType="ExchangePolicyView"
ObjectName="Exchange Mailbox Policy 2">
<Property Name="ProcessUnreadMail">
<Previous Value="0" />
<Current Value="1" />
</Property>
<Property Name="ProcessUnreadMail:TextValue">
<Previous Value="Off" />
<Current Value="On" />
</Property>
</Update>
表: 例の XML フィールドの説明
XML フィールド | 説明 |
|---|---|
Update | 処理の種類を示します。これは、通常 Create、Update、または Delete です。 |
ObjectType | この処理の影響を受けるエンティティの種類を示します。多くの場合、変更されたデータベーステーブルまたはビューの名前です。ただし、エントリによってはわかりやすい名前が提供されることがあります。 |
ObjectName | 変更されたエンティティの名前を示します。ObjectName は、該当する値がない場合はポピュレートされないことがあります。 |
Property Name | エンティティに関連するプロパティの名前を示します。(メモ 1 を参照してください)。 Create 操作と Delete 操作の場合、ほとんどのプロパティが値を取得するか失うため、ほとんどのプロパティが一覧表示されます。(メモ 2 を参照してください)。 Update 操作の場合、変更されたプロパティのみが含まれます (メモ 3 を参照してください)。 Property Name フィールドの末尾の :TextValue は、次の値が設定のテキスト形式の値であることを示します。この例では、値のテキスト形式での値は "0" と "1" が "Off" と "On" を示します。 |
Previous Value | 処理が実行される前のプロパティの値です。 |
Current Value | 処理が実行された後のプロパティの値です。 |
メモ
- 多くの場合、名前はデータベースで使用される名前のため、ユーザーインターフェースの名前と完全には一致しないことがあります。
- 監査証跡の不要な膨張を避けるため、Exchange メールボックスのサイズなどの非常に頻繁に変更される一部のプロパティは含まれません。
- 追加のプロパティがコンテキストに含められる場合があります。これは、他の種類の監査エントリにも適用されます。
Enterprise Vault データベースの一部の設定では、複数の設定が単一の値で表されます。監査エントリは、これらの設定を個別のプロパティに分割します。通常 Update エントリには、変更された設定のみが表示されます。
次の例では、Info の内容が、Exchange メールボックスポリシーの[ショートカットの内容]タブで[バナーを含める]と[アーカイブされたアイテムへのリンクを含める]という設定の変更後に監査エントリ内で生成されました。これら 2 つの設定は、Enterprise Vault データベースに単一の値として保存されます。
<Update ObjectType="ExchangePolicyView"
ObjectName="Exchange Mailbox Policy 2">
<Property Name="excShortcutDetail">
<Previous Value="1000005" />
<Current Value="1000029" />
</Property>
<Property Name="excShortcutDetail:IncludeArchivedBanner">
<Previous Value="False" />
<Current Value="True" />
</Property>
<Property Name="excShortcutDetail:IncludeLinkToArchivedItem">
<Previous Value="False" />
<Current Value="True" />
</Property>
</Update>例からわかるように、[バナーを含める]設定と[アーカイブされたアイテムへのリンクを含める]設定に関する情報は、個別のプロパティとして表示されます。
次の例では、Info の内容は SMTP ターゲットが削除されたときに監査エントリ内に生成されました。
<Delete ObjectType="SmtpTargetViewEx"
ObjectName="JDoe@example.com">
<Property Name="TargetId">
<Current Value="19" />
</Property>
<Property Name="Address">
<Current Value="JDoe@example.com" />
</Property>
<Property Name="poName">
<Current Value="Default SMTP Policy" />
</Property>
<Property Name="RetentionCategoryName">
<Current Value="RetCat01" />
</Property>
<Property Name="poPolicyEntryId">
<Current Value="1781F4D98B1045F438445AC9
8AD9579331s10000ev.local" />
</Property>
<Property Name="RetentionCategoryId">
<Current Value="141E6B5A255237C4D83BB499
390F27F091b10000ev.local" />
</Property>
<Property Name="ArchivingEnabled">
<Current Value="1" />
</Property>
<Property Name="TargetType">
<Current Value="1" />
</Property>
<Property Name="ArchiveInformation">
<Current Value="<AI tn="JDoe@example.com" tid="19"
an="Archive1" at="2049" aid="1868FD2720BFF62
4483309845BDCCFEDB1110000ev.local" vs="Store1"
ev="ev.local"/><AI tn="JDoe@example.com" tid=
"19" an="Archive2" at="2049" aid="151D27
0BA9638354DBE2B02FBFF7AF25C1110000ev.local" vs="Store1"
ev="ev.local"/><AI tn="JDoe@example.com" tid="19"
an="Archive3" at="2049" aid="13C3DC68A1FB836
479CA542E4AE0CF9761110000ev.local" vs="Store2"
ev="ev.local"/>" />
</Property>
</Delete>ArchiveInformation プロパティには、SMTP ターゲットに割り当てられた 3 つのアーカイブの詳細を示す XML が含まれます。
ArchiveInformation プロパティ内の情報をより読みやすくするため、各アーカイブについて個別の監査エントリが作成されます。次の例は、前の ArchiveInformation プロパティ内の Archive3 の監査エントリを示します。
<Delete ObjectType="SmtpTargetViewEx:ArchiveInformation"
ObjectName="JDoe@example.com">
<Property Name="TargetAddress">
<Current Value="JDoe@example.com" />
</Property>
<Property Name="TargetId">
<Current Value="19" />
</Property>
<Property Name="ArchiveName">
<Current Value="Archive3" />
</Property>
<Property Name="ArchiveType">
<Current Value="2049" />
</Property>
<Property Name="ArchiveId">
<Current Value="13C3DC68A1FB836479CA542
E4AE0CF9761110000ev.local" />
</Property>
<Property Name="VaultStoreName">
<Current Value="Store2" />
</Property>
<Property Name="EvServer">
<Current Value="ev.local" />
</Property>
</Delete>
1 つの監査エントリの複数エントリへの分割は、情報をより明確に示すために使用されます。複数の監査エントリを作成するその他の例として、役割ベースの管理の更新、SMTP ポリシーでの X-Header の管理などがあります。