コンプライアンスコマンド
Keeperコマンダーコンプライアンスレポート作成コマンド
概要
コンプライアンスレポート作成のアドオンが必要です
コンプライアンスレポートを使用すると、組織全体のレコードとクレデンシャルのアクセス権限を必要に応じて可視化できるため、アカウント管理者が規制を遵守するのに役立ちます。
Commanderを使用すると、コンプライアンスレポートをスケジュール設定して自動化し、結果をCSVファイルまたはJSONにエクスポートできます。
コンプライアンスレポートの詳細については、コンプライアンスレポートのドキュメントをご参照ください。
compliance-reportコマンド
compliance-reportコマンドを使用すると、Keeper管理コンソールで行うのと同じようにレポートを実行できます。ノード、ユーザー、タイトル別のレコード権限の表示、所有するレコードまたは共有レコードによるフィルタ、結果のファイルへの出力ができます。
キャッシュ
compliance-reportコマンドは、複数のレポートクエリのパフォーマンスを向上させるためにキャッシュを利用しています。
このため、compliance-reportの最初の呼び出しでは、システムが必要なデータを取得するまでに数分かかる場合があります。
この間、Commanderは実行中の手順を説明するメッセージを表示します。
また、-rフラグを使用することでキャッシュの手動再構築を実行できます。コンプライアンスデータの最新の変更を確認するには、以下の操作を行います。
compliance-report -r
デフォルトでは (生成されたレポートが適度に最新かつ正確なデータを反映するように)、 1 日以上長くローカルにキャッシュされた古いデータは、上記のプロセスを通じて自動的に更新されます。その結果、Compliance-reportへの前回の呼び出しから 1 日以上経過してからCompliance-reportへの呼び出しが行われると、別のデータフェッチ操作が発生し、(初回呼び出しの場合のように) 完了するまでに時間がかかる可能性があります。このデフォルトの挙動を手動で上書きする方法については、次のセクションをご参照ください。
逆に、前述の自動キャッシュ更新挙動を回避し、以前にキャッシュされたデータのみに基づいてレポートを生成したい場合 (結果は古い可能性がありますが、キャッシュの更新に必要な長い読み込み時間を回避できます)、-nrまたは--no-rebuildフラグを使用します。最後のコマンド呼び出し/キャッシュ更新以降、関連データが大幅には変更されていないと確信できる場合に、コンプライアンスデータに対するクエリを迅速に実行できます。
compliance-report -nr
キャッシュを削除
コンプライアンスレポートのキャッシュは、--no-cacheフラグを使用して手動で削除できます。 これを実行すると、キャッシュされたすべてのコンプライアンスレポート情報がマシンから完全に削除されます。
compliance-report --no-cache
コマンダーを実行した場所から、ディスク上のキャッシュファイルを削除することもできます。暗号化されたコンプライアンスデータが含まれているsox_<ID>.dbというファイルを削除します。
フィルタ
コンプライアンスレポートは、ノード、ユーザー、役職、レコードが共有されているか否かによってフィルタリングできます。
ノードでフィルタ
形式
--node [NODE NAME or ID]または-n [NODE NAME or ID]
例
compliance-report --node "Chicago Office"
概説
レコードの結果を、指定したノードのKeeperボルトに存在するレコードのみにフィルタリングします。デフォルトでは、ルートエンタープライズノードを使用して、すべてのボルトを検索します。
ユーザー名でフィルタ
形式
--username [USER EMAIL]または-u [USER EMAIL]
例
compliance-report --username "[email protected]"
概説
レコードの結果を、指定したユーザー名のKeeperボルトに存在するレコードのみにフィルタリングします
レコードでフィルタ
形式
--record [UID or TITLE]または-r [UID or TITLE]
例
compliance-report --record "Twitter Login"
概説
指定したUIDまたはタイトルを持つレコードに結果をフィルタリングします
URLでフィルタ
形式
--url [URL]
例
compliance-report --url "https://www.twitter.com"
概説
指定したURL値を持つレコードに結果をフィルタリングします
役職でフィルタ
形式
--job-title [TITLE]または-jt [TITLE]
例
compliance-report --job-title "Engineers"
概説
レコードの結果を、指定した役職を持つユーザーが所有するKeeperボルトに存在するレコードのみにフィルタリングします
削除済みレコードでフィルタ
形式
--deleted-items
例
compliance-report --deleted-items
概説
削除済みレコードのみを表示します (--active-itemsフラグと併用はできません)
アクティブなレコードでフィルタ
形式
--active-items
例
compliance-report --active-items
概説
アクティブなレコードのみを表示します (--deleted-itemsフラグと併用はできません)
チームでフィルタ
Commanderバージョン16.7.5以降が必要です
形式
--team <TEAM NAME>
例
compliance-report --team "Engineering"
概説
指定したチームのユーザーのみをを表示します
複数のフィルタをまとめて使用
フィルタフラグを一緒に使用すると、高度なレポートを作成できます
例
compliance-report --node "Chicago" --job-title "Managers" --shared
この例では、ChicagoノードのManagersが所有するボルトから共有されたレコードのレポートを表示します。
同じフィルタを何度も使用することもできます。
compliance-report -u "[email protected]" -u "[email protected]"
この例では、ユーザー「[email protected]」と「[email protected]」の両方のレコードを取得します。
概説
レコードの結果を、指定したノードのKeeperボルトに存在するレコードのみにフィルタリングします
ファイルに出力
コマンダーレポート機能の多くと同様に、コンプライアンスレポートの結果はファイルに保存できます。 保存するには、--outputオプションと--formatオプションを使用します。
出力
--output [ファイルパス]
指定した場所のファイルに結果を書き込むようにコマンダーに指示します。 ファイルが存在しない場合は作成されます。
形式
--format [csv, json, table]
コマンダーにレポート結果の形式を指示します。既定の結果は表 (table) 形式で、表で結果が表示されます。他にカンマ区切り値 (CSV)、JSON (JavaScript Object Notation) がご利用になれます。
--outputフラグを付けずに --formatフラグを付加すると、結果は指定した形式でCommanderに表示されます。
結果をCSV (Excel) に保存
コンプライアンスレポートの結果をExcelで表示可能なCSVファイルとして保存するには、以下のフラグを使用します。
--format csv and --output /path/to/file.csv
例
compliance-report --username "[email protected]" --format csv --output "./craig_compliance.csv"
結果は、指定した場所にcsv形式のファイルとして保存されます。
結果をJSONに保存
コンプライアンスレポートの結果をコードやスクリプトで使用するJSONファイルとして保存するには、以下のフラグを使用します。
--format json および --output /path/to/file.json
例
compliance-report --username "[email protected]" --format csv --output "./craig_compliance.json"
結果は、指定した場所にjson形式のファイルとして保存されます。
complianceコマンド
コマンダーでは、カスタムレポートの生成に加えて、complianceコマンドを使用すると特定のレポートも生成できます。特定のレポートは、complianceコマンドがサポートするサブコマンドを呼び出すことによって生成できます。
complianceコマンドでは、以下のサブコマンドがサポートされています。
詳細についてはサブコマンドのセクションをご参照ください。
Compliance Team-Report
共有フォルダは個人にもチームにも共有できますが、コンプライアンスレポートには各チームがこれらの共有フォルダに対して持つアクセス権に関するレポートを表示できます。
コンプライアンスチームレポートを実行するには、コマンダーで以下のコマンドを使用します。
compliance team-report
このレポートでは、前述のコンプライアンスレポートのキャッシュが使用されます。
このレポートには、共有フォルダにアクセスできる各チームと、アクセス権の種類が表示されます。
チームメンバーシップ情報 (どのユーザーがどのチームに属しているか) をレポートに含めたい場合は、以下のように、コマンド呼び出しにオプションのフラグ--show-team-users/-tuを含めます。
compliance team-report -tu
上記のコマンド呼び出しでフラグを追加した結果、生成されたレポートに「Team User」 (チームユーザー) という列 (関連チームの全メンバーのユーザー名が表示されます) が追加されます。
Compliance Record-Access Report
レコードアクセスのコンプライアンスレポートには、任意のユーザーがアクセスした組織内のすべてのレコードのリストと、その他の関連情報 (使用したアプリ、IPアドレス、イベントのタイムスタンプなど) が表示されます。
レコードアクセスのコンプライアンスレポートを実行するには、コマンダーで以下のコマンドを実行します。
compliance record-access-report [email protected]
ここでは、[email protected]はレコードアクセスを監査したいユーザーとなります。結果の出力は以下のようになります。
同様に、同じユーザーが現在アクセスできるすべてのレコード (つまり、現在ユーザーのボールトにあるすべてのレコード) のリストを表示するには、次のコマンドを実行します。
compliance record-access-report --report-type=vault [email protected]
上記のコマンドの出力は前の例と似ていますが、現在ユーザーのボルトにないレコードは除外され、そのユーザーが一度もアクセスしたことのないレコードが含まれる可能性があります。
さらに、このレポートを複数のユーザーに対して実行したい場合は、以下のようにコマンド呼び出しでスペース区切りのリストで各ユーザー名/IDを指定するか、省略表現「@all」を使用して全ユーザーに対して実行します。
compliance record-access-report [email protected] [email protected]
compliance record-access-report @all
Compliance Summary-Report
コンプライアンス概要レポートには、組織内のレコードに関する情報が集約されて表示されます (現在はデフォルトでレコードの所有者で分類されていますが、今後他のエンティティによる分類が追加される可能性があります)。
コンプライアンス概要レポートを実行するには、コマンダーで以下のコマンドを実行します。
compliance summary-report
または
compliance stats
結果の出力は以下のようになります。
Compliance Shared-Folder-Report
このコマンドで、compliance team-reportと同様にすべてのエンティティ (チームおよび個々のユーザー) が組織内のすべての共有フォルダに対して持つアクセス権を詳細に示すレポートを出力します。
コンプライアンス共有フォルダレポートを実行するには、コマンダーで以下のコマンドを実行します。
compliance shared-folder-report
または
compliance sfr
出力は以下のとおりです。
前述のcompliance team-reportコマンドと同様に、必要に応じて-show-team-users/-tuフラグを指定してレポートにチームメンバーシップデータを含められます。以下はその例です。
compliance sfr -tu
compliance team-report -tuの出力とは対照的に、上記のコマンドによって生成されたレポートには、既存の「Email」という列に適切なチームメンバーシップデータが追加され、チームに関連付けられた各ユーザー名の前には、それを示すために「(TU)」が付くことにご注意ください。
コマンダーで使用可能なその他のレポートについては、レポート作成のドキュメントをご参照ください。
最終更新