セッション記録の設定

テキスト ベースの記録は、リモート syslog サーバとマウントしたネットワーク共有のいずれかまたは両方に格納できます。 グラフィカル記録は、マウントされている NFS、CIFS、または S3 のネットワーク共有にのみ格納できます。 このコンテンツでは、ネットワーク共有をマウントする方法について説明します。 syslog サーバの詳細については、「」を参照してください。
capam33
HID_ConfigSessionRecording
この製品で、サポートされている(CLI、RDP、VNC、および Web ポータル)接続セッションの記録を作成および格納できるように、セッション記録を設定します。
テキスト ベースの記録は、リモート syslog サーバとマウントしたネットワーク共有のいずれかまたは両方に格納できます。 グラフィカル記録は、マウントされている NFS、CIFS、または S3 のネットワーク共有にのみ格納できます。 このコンテンツでは、ネットワーク共有をマウントする方法について説明します。 syslog サーバの詳細については、「リモート Syslog サーバ設定」を参照してください。
2
NFS、CIFS、または S3 ネットワーク共有のセッション記録用のマウント
セッション記録が利用可能であることを確認し、グラフィカル セッションの記録を有効にするには、NFS、CIFS、または S3 ディレクトリをマウントします。
NFS または CIFS の共有をセッション記録用にマウントする場合は、ホスト システム上の指定したディレクトリに適切な権限を設定します。 NFS 共有の場合は、すべてのユーザに読み取り、書き込み、および実行の権限(
rwx
)を付与します。 CIFS 共有の場合は、Everyone に
フル コントロール
を付与します。
以下の手順に従います。
  1. 設定
    ]-[
    ログ
    ]-[
    セッション記録
    ]に移動します。
  2. 外部ストレージ
    ]タブを選択します。
  3. [プライマリ マウント
    設定]
    セクションで、
    [プロトコル]
    ドロップダウン リストから以下のいずれかのネットワーク共有プロトコルを選択します。
    • NFS (バージョン 3 および 4 をサポート)
    • CIFS
    • Amazon S3
    選択されたプロトコルに関連するオプション フィールドが、[プロトコル]ドロップダウン リストの下に表示されます。
  4. 選択されたプロトコルに関連付けられているオプション フィールドに入力します。
    • NFS
      • 共有パス
        : NFS マウント ポイントのディレクトリ パス名を入力します。
        スケジュール済みデータベース バックアップで使用するのと同じ NFS マウント ポイントを使用しないでください。 セッション記録とスケジュール済みデータベース バックアップのプロセスでは、リモート ストレージのステータスを確認するために同じ名前のファイルを作成して削除します。 同じ NFS マウント ポイントを指定すると、両方のプロセスが同じファイルを作成または削除しようとして、ファイルのロックが発生する場合があります。
      • ホスト名
        : 共有サーバの IP アドレスまたはホスト名を入力します。
      • Request Timeout (リクエスト タイムアウト)
        : 必要に応じ、NFS リクエストのデフォルト以外のタイムアウト値を入力します(単位: 10 分の 1 秒)。 値が指定されていない場合、デフォルト値は NFS サーバによって決定されます(通常は 600)。
        NFS サーバが迅速に応答しない場合に遅延を回避するため、
        [リクエストのタイムアウト]
        はデフォルトのままにすることをお勧めします。 ただし、NFS ストレージがダウンした場合に早期に通知を受信するために、デフォルトより小さい値を設定できます。
    • CIFS
      • 共有パス
        : 
        \\hostname\share
        形式を使用してマウント ポイントを指定します。次のようにスラッシュも使用できます:
        //<hostname>
        /<share>
      • ユーザ名
        : リモート共有への読み取りおよび書き込みアクセス権限を持つユーザを指定します。
      • パスワード
        : ユーザのパスワードを指定します。
      • ドメイン
        : CIFS ドメインを指定します。
      • SMB バージョン
        : ターゲット システムが使用するサーバ メッセージ ブロックのバージョンを選択します。 SMB は、新しいバージョンの方がより安全です。 古いファイル共有(Windows 2003 など)が不要になった場合、CIFS システムをサポートしているのであれば、SMB2 または SMB3 の使用をお勧めします。
        Azure では、Azure
        CA Privileged Access Manager
        VM と異なるリージョンでの Azure ファイル共有のマウントはサポートされていません。
    • Amazon S3
      • バケット
        : 使用する AWS バケットを入力します。
      • AWS プロビジョニング
        : ドロップダウン リストから該当するエントリを選択します。
  5. 設定を保存
    ]をクリックします。
    確認メッセージが画面の一番上に表示されます。
  6. マウント
    ]を選択します。
    成功またはエラー メッセージがページの一番上に表示されます。
設定された NFS 共有をマウント解除し、NFS サーバを再起動する必要がある場合は、共有を再マウントする前に、NFS 共有が使用可能になるまで少なくとも 2 分間待機します。
マウント ステータス
[マウント ステータス]
には、共有が「マウント済み」と「マウント解除」のどちらであるか表示されます。共有がマウント済みの場合、
[マウント可用性]
にマウントのステータスが表示されます: 「
利用可能
」または「
利用不可
」。
[マウント可用性]
が「
利用不可
」ステータスの場合、共有はマウントされますが、現在はアクセスできません(ネットワークの問題や共有権限などの理由で)。 この場合、共有を再マウントする必要はありません。 共有にアクセスできない原因である問題が解決されると、ステータスは「
利用可能
」に変わります。
デフォルトでは、アクセス ポリシーはセッションが記録されるように指定できます。 設定済みネットワーク共有を利用できなくなると、ユーザは共有への接続を確立できません。 このようなセッションの接続を許可するには、セッション記録アクセス ポリシー
[接続する。 (オペレーション セーフ)]
に変更します。 最善のセキュリティを確保するために、デフォルトのアクセス ポリシーのままにし、セッション記録のフェールオーバを設定することをお勧めします。
(オプション)セッション記録フェールオーバの設定
ストレージの障害によるセッション記録機能の消失を回避するには、フェールオーバを提供するためのセカンダリ共有をマウントします。 セッション記録フェールオーバによって、データの損失なしでセカンダリ共有に動的に切り替わります。 セカンダリ共有が使用中の場合、プライマリがリストアされるまで、セカンダリまたはプライマリ共有上のセッション記録を表示できません。 プライマリ共有でセッション記録をリストアするには、プライマリ共有がオンラインに戻る必要があります。 プライマリ共有がオンラインに戻ったら、2 つの共有の間で分割されていた記録は自動的に再結合されます。 その後、記録をシームレスに表示できます。
フェールオーバ マウント設定を構成するには、
[構成]
-
[ログ]
-
[セッション記録]
-
[外部ストレージ]
に移動します。 [フェールオーバ マウント設定]の設定は、[プライマリ マウント設定]の設定と同じです。
セッション記録をアクティブ化するためのセッション記録オプションの指定
セッション記録をアクティブ化するには、記録するセッションのタイプを 1 つまたは複数指定します。
以下の手順に従います。
  1. 設定
    ]-[
    ログ
    ]-[
    セッション記録
    ]に移動します。
  2. セッション記録
    ]タブを選択します。
  3. 記録するタイプのセッションを指定します。
    [構成]
    -
    [ログ]
    -
    [セッション記録]
    画面で以下のオプションを 1 つ以上設定します。
    • syslog サーバへのテキスト ベースの記録
    • NFS/CIFS/S3 マウント ディレクトリへのテキスト ベースの記録
    • NFS/CIFS/S3 マウント ディレクトリへのグラフィカル セッション記録
    これらの記録オプションは、必要な syslog サーバまたはネットワーク マウントを設定するまで利用できません。
  4. 大規模なセッション記録の復号化で外部ストレージを許可:
    アプライアンス上のストレージの空き容量が少なくなると、大規模なセッション記録ファイルを表示できなくなる場合があります。 外部ストレージ上での大規模なセッション記録の復号化を許可するには、このオプションを選択します。 最初にアプライアンスのストレージの使用を試行し、必要な場合にのみ外部ストレージを使用します。 復号化されたファイルは、定期的に外部ストレージから削除されます。復号化されたセッション記録ファイルを独自のストレージ上に残さないようにする場合は、このオプションをデフォルトのクリア状態のままにします。
  5. 更新
    ]ボタンを選択して変更内容を保存します。
    共有の空き容量がなくなりかけている場合は、障害を回避するために、該当するオプションをオフにします。
セッション記録のアクセス ポリシーの変更
デフォルトでは、設定済みネットワーク マウントを利用できなくなると、セッションを記録する必要があるユーザは接続を確立できません。 [
アクセス ポリシー
]タブ上のコントロールを使用して、そのようなセッションを許可するようにアクセス ポリシーを変更します。
最善のセキュリティを確保するために、デフォルトのアクセス ポリシーのままにして、このトピックで説明したセッション記録のフェールオーバを設定することをお勧めします。
以下の手順に従います。
  1. 設定
    ]-[
    ログ
    ]-[
    セッション記録
    ]に移動します。
  2. アクセス ポリシー
    ]タブを選択します。
  3. セッション記録マウントが利用できない場合に、製品がどのように応答するかを指示するために以下のオプションを 1 つ選択します。
    • エラーを示し、接続しない。 (セキュリティ セーフ):
      このオプションは、デフォルトで設定されています。 ユーザがセッション記録の対象に設定されていて、マウント ポイントを利用できない場合は、ユーザがターゲット デバイスに接続することを許可しません。
      [エラー メッセージ]
      に入力したテキストがユーザに表示されます。 以前のセッション中にマウント ポイントが失われた場合は、ユーザ接続は終了します。
    • 接続する。 (操作上安全)
      : ユーザがセッション記録の対象に設定されていて、マウント ポイントを利用できない場合に、ユーザがターゲット デバイスに接続することを許可します。 ユーザは、デバイスへのアクセスは禁止されていませんが、このセッションのセッション記録は作成されません。 以前に開始されたセッション中にマウント ポイントが失われた場合、ユーザは操作の続行を許可されますが、そのセッションは記録されなくなります。
  4. (オプション)デフォルト以外の
    [Initial Failure Timeout (初期不良タイムアウト)]
    値を指定します(単位: 秒)。 デフォルト値は 300 です。
  5. (オプション) ステップ 3 で
    [エラーを示し、接続しません]
    オプションを設定している場合は、
    [エラー メッセージ]
    を入力することができます。 このエラー メッセージは、マウント エラーによってユーザが接続できないかまたは切断されたときに表示されます。 このフィールドに何も入力していない場合は、汎用のメッセージが表示されます。
  6. 更新
    ]ボタンを選択して変更内容を保存します。
(オプション) セッション記録のパージ ポリシーの設定
必要に応じて、セッション記録のパージ ポリシーを設定して、指定した日数が経過したセッション記録の自動削除をセットアップします。
パージ ジョブは、毎晩 UTC 午前 0 時に実行されます。
以下の手順に従います。
  1. 設定
    ]-[
    ログ
    ]-[
    セッション記録
    ]に移動します。
  2. パージ ポリシー
    ]タブを選択します。
  3. パージ日数
    ]フィールドで、セッション記録が自動的にパージされるまでの日数を指定します。 たとえば、[
    次の日数より古い記録を削除
    ]を 5 に設定した場合は、5 日間より前に作成されたセッション記録はパージされます
    注: セッション記録の自動パージを無効にするには、[
    次の日数より古い記録を削除
    ]の値をゼロ(0)に設定します。
  4. 違反を含む記録をパージするには、[
    違反が含まれた記録を除外
    ]オプションを設定解除します。 「除外」チェックボックスを選択すると、違反を含む記録をパージせずに保持します。
  5. CA Threat Analytics によって不審と識別される記録をパージするには、[
    不審な記録を除外
    ]オプションを設定解除します。 「除外」チェックボックスを選択すると、不審な記録をパージせずに保持します。
  6. 更新
    ]ボタンを選択して変更内容を保存します。
記録するセッションの指定
以下のいずれかのメカニズムを使用してセッションを記録します。
  • Automatically, by policy (自動(ポリシーによる))
    – [
    ポリシー
    ]-[
    ポリシーの管理
    ]でユーザ/デバイスの各レコードでポリシーをプロビジョニングする際に、以下の条件に基づいて記録を選んでアクティブ化できます。
    • メディア タイプ: グラフィカル、コマンド ライン、双方向コマンド ライン、Web ポータル
    • 違反: ソケット フィルタまたはコマンド フィルタの違反
    詳細については、「ポリシーの設定」を参照してください。
  • 手動
    -
    CA Privileged Access Manager
    管理者は
    [セッション]
    -
    [セッションの管理]
    画面のコントロールを使用して、セッションの実行中にセッション記録をアクティブ化できます。 各接続セッションの行項目に記録の停止/開始のスイッチがあります。 詳細については、「セッション管理」を参照してください。
記録済みセッションの表示
記録済みセッションは[
セッション
]-[
セッション記録
]画面から表示できます。 詳細については、「セッション記録の表示」を参照してください。