Issue:
Policy Manager は、ユーザーおよび管理者のアクティビティの監査ログを作成および維持しますか?たとえば、次のイベントの場合:
- ユーザーのログイン/ログオフ
- ホストの削除/追加/名前変更イベント
- ポリシーのサブドメインの削除/追加/名前変更イベント
- ポリシー設定の変更
Resolution:
ポリシー マネージャー サーバーのログは、次のフォルダーにあります。
- C:\Program Files (x86)\F-Secure\Management Server 5\logs
ユーザーのログインアクションはfspms-users.logに記録されます。ログには完全なユーザー名は表示されず、ユーザー ID のみが表示されます。完全なユーザー名を取得するには、H2Console を使用してクエリを実行する必要があります。 H2Console はデフォルトでは有効になっていないため、クエリを実行する前に有効にする必要があります。
H2Console を有効にする方法:
注:レジストリを変更する前に、レジストリをバックアップしてください。- レジストリ エディター (regedit) を開く
- Policy Manager 15: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Data Fellows\F-Secure\Management Server 5\
- Policy Manager 16: HKLM\SOFTWARE\WithSecure\Policy Manager\Policy Manager Server
- 「Additional_java_args」を編集します
- パラメータを追加: -Dh2ConsoleEnabled=true
- レジストリ エディタを閉じ、コマンド ライン コマンドnet stop fsmsおよびnet start fsms ( Policy Manager 16の場合はnet stop wspmsおよびnet start wspms ) を実行して、ポリシー マネージャ サーバー サービスを再起動します。
H2Console を開いてクエリを実行する方法:- ブラウザを開いて https://localhost:8080 に移動します。
- 「H2Console」リンクをクリックします
- クエリを入力します: SELECT * FROM users;
- 「実行」(Ctrl+Enter)をクリックしてクエリを実行します。
どのユーザー名がどのユーザー ID に対応するかを示す結果が表示されます。
ポリシー設定に加えられた変更は、 fspms-policy-audit.logに保存されます。
ポリシー ドメインのコンピュータ/サーバーに加えられた変更、または特にポリシー ドメイン構造に加えられた変更は、次の場所に保存されます。 fspms-domain-tree-audit.log 。
調べる必要があるもう 1 つのログは、fspms-active-directory-rules.log です。たとえば、AD 同期ルールが実行され、一意の ID 4d896695-8de1-4f96-9c29-0ebd2bb60418 を持つホストがドメインに移動された場合、次のようなログが記録されます。
20.06.2022 17:59:01,276 INFO [activeDirectoryRules] - 手動でトリガーされたルールの処理を開始しています [ruleId=5、domainController='LDAP://<ドメイン名>'、containerDn='OU=<OU 名>,DC=<部分ドメイン名>,DC=<部分ドメイン名>'、containerGuid='XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX'、targetDomainId=<ポリシー ドメイン ID>、enabled=true]
20.06.2022 17:59:01,386 情報 [activeDirectoryRules] - Active Directory で 1 つのホストが見つかり、そのうち 0 つは管理されていません
20.06.2022 17:59:01,388 INFO [activeDirectoryRules] - ドメイン <ポリシー ドメイン名> が更新されました
20.06.2022 17:59:01,390 INFO [activeDirectoryRules] - ID 4d896695-8de1-4f96-9c29-0ebd2bb60418 を持つホストが移動されました
20.06.2022 17:59:01,416 INFO [activeDirectoryRules] - ルールは正常に処理されました
質問: ポリシー管理コンソールでポリシーのサブドメインを削除したユーザーを確認するにはどうすればよいですか?
A: この情報は、 fspms-domain-tree-audit.logで入手できます。以下は、test というサブドメインが追加され、すぐに削除された例です。
05.12.2019 09:44:17,785 情報 [audit.domainTree] - ユーザー「admin」がドメイン テスト (id=76) をドメイン ルート (id=1) に追加しました
05.12.2019 09:44:23,615 情報 [audit.domainTree] - ユーザー「管理者」がドメイン テストを削除しました (id=76)
Article no: 000007129
The content of this article has been machine translated from the English source article.
While reasonable efforts have been made to provide accurate translations, there may still be translation errors.