Enterprise Vault™ 監査

Last Published:
Product(s): Enterprise Vault (14.4)
  1. このマニュアルについて
    1.  
      本書について
    2. Enterprise Vault についての詳細情報の入手方法
      1.  
        Enterprise Vault トレーニングモジュール
  2. Enterprise Vault の監査の概要
    1.  
      Enterprise Vault の監査について
  3. 監査の設定
    1.  
      監査の設定
    2.  
      監査データベースの作成
    3.  
      監査の設定と管理
    4.  
      監査の開始または停止
    5.  
      監査の調整
    6.  
      監査データベースの移動
    7.  
      OData Web サービスを使用して非アクティブな監査データベースの以前のバージョンにアクセスする
  4. 監査データベースエントリの表示
    1.  
      監査データベースエントリの表示について
    2. Audit Viewer を使用した監査データベースエントリの表示
      1.  
        Audit Viewer による監査データのレポートの実行
      2.  
        Audit Viewer の検索結果のコピー
      3.  
        Audit Viewer の設定の変更
    3. SQL クエリーを使用した監査データベースエントリの表示
      1.  
        ユーザーフレンドリな形式でのアーカイブ権限への監査済み変更の取得
    4. OData Web サービスを使用する監査データベースエントリの表示
      1.  
        Enterprise Vault OData Web サービスにアクセスするユーザーアカウントの準備
      2.  
        利用可能な監査エンドポイント
      3.  
        Microsoft Excel での OData サービスの使用
      4.  
        Microsoft SQL Server Reporting Services (SSRS)での OData サービスの使用
  5. データ保護コンプライアンスの監査
    1. 一般的な削除操作の監査
      1.  
        一般的なアイテム削除の監査エントリ用のクエリー検索例
    2. 権限がある削除操作の監査
      1.  
        権限がある削除の監査エントリ用のクエリー検索例
  6. 付録 A. 監査データベースエントリの形式
    1.  
      監査データベースエントリの形式

監査データベースエントリの形式

Enterprise Vault 12.3 では、管理アクティビティの監査 ([管理アクティビティ]監査カテゴリ) の機能が強化されました。具体的には、次の領域の管理アクティビティに関連する情報の品質が大幅に向上します。

  • Exchange、SMTP、検索ポリシー

  • Exchange と SMTP タスク

  • Exchange と SMTP ターゲット

  • Exchange メッセージクラス

  • アーカイブ

役割ベースの管理、ボルトストアとパーティションの管理、詳細設定の監査にも改良が加えられています。

強化された情報は、管理コンソールで、または PowerShell コマンドレットを使用して実行する処理に関して使用できます。

メモ:

Veritas はいくつかのリリースにわたって Enterprise Vault 監査を向上してきました。この付録に記載された詳しい情報は、将来のリリースで変更される可能性があります。

監査データベースの EVAuditView データベースビューは、監査エントリの表示に使用でき、次の列で構成されます。

表: EVAuditView 列の説明

列のタイトル

内容の説明

AuditID

監査エントリの一意の識別子です。

Status

SUCCESS または FAILURE です。操作が正常に完了したか失敗したかを示します。

AuditDate

監査エントリの原因となった処理または操作の日時を示します。

UserName

処理を実行したユーザーを示します。

CategoryName

Enterprise Vault によって定義される監査カテゴリの名前。

SubCategoryName

監査エントリの特定の分類を示します。

ObjectID

変更されたエンティティの ID を示します。たとえば Saveset ID、Site ID、Archive ID です。

Vault

大量の監査の場合のみ、これには Archive ID または ArchivePoint ID が含まれることがよくあります。

Info

実行された処理に関する詳細情報が自由形式テキストで提供されます。

Enterprise Vault 12.3 以降では、この列に監査処理に関するより詳しい情報が提供されます。各種監査エントリのこの列の内容が、この付録の主なトピックです。

MachineName

監査エントリが生成されたマシンを示します。

Info 列に新しい形式が導入されました。これにより、監査処理についての情報を構造化された一貫性がある方法で表示することが可能になります。この付録の残りの部分では、さまざまな監査エントリの Info 列の内容について説明します。完全な監査エントリには、日時、処理を実行したユーザー、変更されたエンティティの ID などの前述の情報も含まれることに注意してください。

監査エントリを日付範囲、ユーザー名、ObjectID などの条件に基づいて表示およびフィルタ処理するには、SQL クエリーを使用することをお勧めします。

結果に形成された XML を返すには、次のようなクエリーを使用します。

USE EnterpriseVaultAudit 
SELECT TOP 50 ObjectID, AuditDate, UserName, 
  TRY_CAST(info AS XML) AS infoXML
FROM EVAuditView
ORDER BY auditid DESC
単純な監査エントリの Info の内容

次の例に、Exchange メールボックスポリシーの設定が変更されたときに作成された監査エントリの Info 列の内容を示します。表: 例の XML フィールドの説明に、含まれる値について説明します。

<Update ObjectType="ExchangePolicyView" 
     ObjectName="Exchange Mailbox Policy 2">
  <Property Name="ProcessUnreadMail">
    <Previous Value="0" />
    <Current Value="1" />
  </Property>
  <Property Name="ProcessUnreadMail:TextValue">
    <Previous Value="Off" />
    <Current Value="On" />
  </Property>
</Update>

表: 例の XML フィールドの説明

XML フィールド

説明

Update

処理の種類を示します。これは、通常 CreateUpdate、または Delete です。

ObjectType

この処理の影響を受けるエンティティの種類を示します。多くの場合、変更されたデータベーステーブルまたはビューの名前です。ただし、エントリによってはわかりやすい名前が提供されることがあります。

ObjectName

変更されたエンティティの名前を示します。ObjectName は、該当する値がない場合はポピュレートされないことがあります。

Property Name

エンティティに関連するプロパティの名前を示します。(メモ 1 を参照してください)。

Create 操作と Delete 操作の場合、ほとんどのプロパティが値を取得するか失うため、ほとんどのプロパティが一覧表示されます。(メモ 2 を参照してください)。

Update 操作の場合、変更されたプロパティのみが含まれます(メモ 3 を参照してください)。

Property Name フィールドの末尾の :TextValue は、次の値が設定のテキスト形式の値であることを示します。この例では、値のテキスト形式での値は "0""1""Off""On" を示します。

Previous Value

処理が実行される前のプロパティの値です。

Current Value

処理が実行された後のプロパティの値です。

メモ

  1. 多くの場合、名前はデータベースで使用される名前のため、ユーザーインターフェースの名前と完全には一致しないことがあります。
  2. 監査証跡の不要な膨張を避けるため、Exchange メールボックスのサイズなどの非常に頻繁に変更される一部のプロパティは含まれません。
  3. 追加のプロパティがコンテキストに含められる場合があります。これは、他の種類の監査エントリにも適用されます。
複合プロパティの Info の内容

Enterprise Vault データベースの一部の設定では、複数の設定が単一の値で表されます。監査エントリは、これらの設定を個別のプロパティに分割します。通常 Update エントリには、変更された設定のみが表示されます。

次の例では、Info の内容が、Exchange メールボックスポリシーの[ショートカットの内容]タブで[バナーを含める]と[アーカイブされたアイテムへのリンクを含める]という設定の変更後に監査エントリ内で生成されました。これら 2 つの設定は、Enterprise Vault データベースに単一の値として保存されます。 

<Update ObjectType="ExchangePolicyView" 
     ObjectName="Exchange Mailbox Policy 2">
  <Property Name="excShortcutDetail">
    <Previous Value="1000005" />
    <Current Value="1000029" />
  </Property>
  <Property Name="excShortcutDetail:IncludeArchivedBanner">
    <Previous Value="False" />
    <Current Value="True" />
  </Property>
  <Property Name="excShortcutDetail:IncludeLinkToArchivedItem">
    <Previous Value="False" />
    <Current Value="True" />
  </Property>
</Update>

例からわかるように、[バナーを含める]設定と[アーカイブされたアイテムへのリンクを含める]設定に関する情報は、個別のプロパティとして表示されます。

複数の設定が単一のプロパティに格納されている場合の Info の内容

次の例では、Info の内容は SMTP ターゲットが削除されたときに監査エントリ内に生成されました。

<Delete ObjectType="SmtpTargetViewEx" 
     ObjectName="JDoe@example.com">
  <Property Name="TargetId">
    <Current Value="19" />
  </Property>
  <Property Name="Address">
    <Current Value="JDoe@example.com" />
  </Property>
  <Property Name="poName">
    <Current Value="Default SMTP Policy" />
  </Property>
  <Property Name="RetentionCategoryName">
    <Current Value="RetCat01" />
  </Property>
  <Property Name="poPolicyEntryId">
    <Current Value="1781F4D98B1045F438445AC9
       8AD9579331s10000ev.local" />
  </Property>
  <Property Name="RetentionCategoryId">
    <Current Value="141E6B5A255237C4D83BB499
       390F27F091b10000ev.local" />
  </Property>
  <Property Name="ArchivingEnabled">
    <Current Value="1" />
  </Property>
  <Property Name="TargetType">
    <Current Value="1" />
  </Property>
  <Property Name="ArchiveInformation">
    <Current Value="<AI tn="JDoe@example.com" tid="19" 
       an="Archive1" at="2049" aid="1868FD2720BFF62
       4483309845BDCCFEDB1110000ev.local" vs="Store1" 
       ev="ev.local"/><AI tn="JDoe@example.com" tid=
       "19" an="Archive2" at="2049" aid="151D27
       0BA9638354DBE2B02FBFF7AF25C1110000ev.local" vs="Store1" 
       ev="ev.local"/><AI tn="JDoe@example.com" tid="19" 
       an="Archive3" at="2049" aid="13C3DC68A1FB836
       479CA542E4AE0CF9761110000ev.local" vs="Store2" 
       ev="ev.local"/>" />
  </Property>
</Delete>

ArchiveInformation プロパティには、SMTP ターゲットに割り当てられた 3 つのアーカイブの詳細を示す XML が含まれます。

ArchiveInformation プロパティ内の情報をより読みやすくするため、各アーカイブについて個別の監査エントリが作成されます。次の例は、前の ArchiveInformation プロパティ内の Archive3 の監査エントリを示します。

<Delete ObjectType="SmtpTargetViewEx:ArchiveInformation" 
ObjectName="JDoe@example.com">
  <Property Name="TargetAddress">
    <Current Value="JDoe@example.com" />
  </Property>
  <Property Name="TargetId">
    <Current Value="19" />
  </Property>
  <Property Name="ArchiveName">
    <Current Value="Archive3" />
  </Property>
  <Property Name="ArchiveType">
    <Current Value="2049" />
  </Property>
  <Property Name="ArchiveId">
    <Current Value="13C3DC68A1FB836479CA542
       E4AE0CF9761110000ev.local" />
  </Property>
  <Property Name="VaultStoreName">
    <Current Value="Store2" />
  </Property>
  <Property Name="EvServer">
    <Current Value="ev.local" />
  </Property>
</Delete>

1 つの監査エントリの複数エントリへの分割は、情報をより明確に示すために使用されます。複数の監査エントリを作成するその他の例として、役割ベースの管理の更新、SMTP ポリシーでの X-Header の管理などがあります。