AD監査の負荷をツールで大幅軽減！【3】 リアルタイムのアラート通知

前回の記事(AD監査の負荷をツールで大幅軽減！【2】 リアルタイムのログ収集)の中で、ADAudit Plusのリアルタイム・アラート通知機能について触れましたが、今回はそのアラートをどのように設定するのか、アラートの設定方法についてご紹介したいと思います。

1．アラートプロファイルを定義する

多くのIT管理者からすると、変更や異常があった際に、即座に異常を検知する必要があります。ADAudit Plusでは、アラートの設定および管理は、[アラート]タブから行うことが可能です。ADAudit Plusは「22」の定義済みアラートプロファイルを用意しており、重要なイベントについてはアラート通知が行われるよう、予め設定されています。しかし、それ以外のアラートプロファイルを自分で作成したいという場合、[新規アラート プロファイル]から新たにプロファイルを定義することが可能です。

図1　新規アラート プロファイル

アラートプロファイルの設定項目は、大きく分けて「基本設定」・「高度な設定」・「メール通知」の3つがあります。

2．アラートプロファイルの基本設定

必ず設定する必要がある項目が、この「基本設定」です。基本設定では、「名前」・「説明」・「基準」・「レポートプロファイル」・「アラートメッセージ」の設定を行います。 中でも重要なのが、「レポートプロファイル」の設定です。レポートプロファイルのカテゴリは20項目用意されており、カテゴリを選択すると、そのカテゴリに対応するレポートプロファイルが表示されます。

例）カテゴリとしてアカウント作成を選択した場合：
「ユーザーの作成」・「グループの作成」・「コンピューターの作成」の3つのレポートプロファイルが対応

ここで選択したレポートプロファイルに対して、発生したイベントをトリガーとしてアラートが生成されるため、どのレポートプロファイルを選択するかがポイントになります。

図2　レポートプロファイルの選択

さらに、もう一つ重要となるのが、「アラートメッセージ」の設定です。ADAudit Plusでは、変数を組み合わせてアラートメッセージを自由にカスタマイズすることができます。管理者がメッセージを見ただけで、必要な情報を確認できるようきちんと定義しておくことで、業務の効率化を図ることが可能です。

例）「ユーザーの作成」に対するアラートメッセージの場合：
%CALLER_USER_NAME%がユーザー%ACCOUNT_NAME%を作成しました

図3　アラートメッセージの編集

3．「高度な設定」から細かい条件を指定

基本設定のみでアラートプロファイルの作成は可能ですが、より細かく条件を指定したい場合は、「高度な設定」から設定を行うことができます。「高度な設定」には、以下の4つのオプションがあります：

・ しきい値ベースのアラート
・ ユーザーベースのアラート
・ ビジネス時間のアラート
・ フィルター

以下では、各オプションについて、具体的な設定例とともに簡単にご説明していきます。

• しきい値ベースのアラート
  ( 指定したしきい値を越えてイベントが発生した際にアラートを生成 )

例）短期間の間にログオン失敗イベントが大量に発生した際にアラート通知を行う場合：
イベント数<100>/発生within<5>[分単位]

• ユーザーベースのアラート
  ( 指定したユーザー/グループに対してイベントが生成された際にアラートを生成 )

例）管理者グループに所属するユーザーへのイベントに対してアラート通知を行う場合：
[ユーザーの選択]から"Domain Admin"と"Administrators"を追加

• ビジネス時間のアラート
  ( 設定したビジネス時間内/非ビジネス時間内に発生したイベントに対してアラートを生成 )

例）ビジネス時間外に発生したイベントに対してアラート通知を行う場合：
[非ビジネス時間]を選択

• フィルター
  ( レポートプロファイルに対応したフィルターと条件を指定し、一致した際にアラートを生成 )

例）指定したネットワーク以外からのアクセスがあった際にアラート通知を行う場合：
<クライアントIPアドレス>　　<で始まらない>　　<192.168.83>

4．アラート発生時にメールによる通知を行う

リアルタイム・アラートを、毎回ADAudit PlusのWeb画面上から確認していては、発生に気が付くまでに時間がかかる恐れがあります。そこでエラーやイベントが発生した際に、メールによる通知を行うように設定することで、リアルタイム・アラート通知機能を最大限に生かすことができます。

なお、ADAudit Plusでは、コンテンツの内容を「アラートメッセージ」と「イベントの詳細」から選択することが可能です。「アラートメッセージ」のみを選択した場合、2．の基本設定で設定したアラートメッセージのみが表示されます。しかし、メールからも詳細な内容まで確認したい、という場合は「イベントの詳細」を選択することで、図4のように細かい情報まで確認できるようになります。

図4　アラート通知メール

このように、ADAudit Plusでは、アラートの生成条件から通知内容に関する様々なオプションを用意しており、クリティカルなイベントに対するリアルタイムな検知をサポートします。

もし、少しでもADAudit Plusにご興味を持っていただけましたら、「３０日間の無料トライアル（評価版）」を是非お試しください。評価期間中は、技術サポートもご利用可能です。

※本記事にて掲載しているスクリーンショットは、ADAudit Plusビルド5000に基づいています。

製品ホームページ  >> Active Directoryログ監査レポート・ログ管理ツール | ADAudit Plus
ADAudit Plus無料評価版のダウンロードはこちらから >> ADAudit Plus 評価版ダウンロード

( → 次のページへ移動 )

☆☆導入から設定までを解説したスタートアップガイドはこちら
☆☆☆ADAudit Plusの概要を紹介した資料はこちら