レポート作成コマンド
監査記録およびレポート機能用コマンド
コマンド
Keeperコマンドリファレンス
対話型シェル、CLI、JSON設定ファイルのいずれを使用する場合でも、以下のコマンドがサポートされており、各コマンドでは追加のパラメータとオプションがご利用になれます。
特定のコマンドのヘルプを表示するには、次のコマンドを実行します。
help <command>
レポート作成コマンド
指定した日数内に特定の操作を実行しなかったユーザーを表示します
X日以内に変更「されなかった」レコードのパスワードを特定します
企業の監査ログとイベントログをエクスポートします
監査イベントのカスタマイズされたレポートを表示します
全社のユーザーのボルト内のレコードに関する情報を表示します
外部アカウントと共有されているレコードに関する情報を表示します
管理対象会社のプランと使用可能なライセンスの情報を表示します
社内のユーザーごとにパスワードのセキュリティ強度のレポートを表示します
社内の各ユーザーのBreachwatchセキュリティ スコアのレポートを表示します
共有レコードの情報を表示します
共有レコードのレポートを表示します
ユーザーログインのレポートを表示します
リスク管理レポート
audit-logコマンド
概要
高度なレポートおよびアラートモジュール (ARAM) からイベントデータを取得し、ローカルのKeeperコマンダー経由でSIEMプロバイダーへ送信します。プロセスを完全に自動化するために、自動化された連携が必要な場合は、Keeper管理コンソールで提供されているクラウドベースのSIEMエクスポート機能の利用を推奨します。自動エクスポートの詳細については、こちらのページをご参照ください。
Keeperのバックエンドサーバーから送信先エンドポイントにアクセスできない場合でも、audit-log コマンドを使用することで、SIEMへイベントを送信できます。また、イベントをローカルのJSONファイルとしてエクスポートする用途にも適しています。イベントのエクスポート状態はKeeperレコードに保存されるため、audit-log コマンドを繰り返し実行した場合でも、前回の続きから処理が行われます。
audit-log コマンドを初めて実行する場合、Keeperの利用履歴が多い環境では処理に時間がかかることがあります。これは、最初の実行時に過去すべての履歴を対象として処理が行われるためです。
オプション
--anonymize
監査ログ内のメールアドレスおよびユーザー名を、対応するエンタープライズユーザーIDに置き換えて匿名化します。
対象のユーザーが削除されている場合、またはユーザーのメールアドレスが変更されている場合は、該当するエントリが「削除されたユーザー」として監査レポートに表示されます。
--target <{splunk, sumo, syslog, syslog-port, azure-la, json}>
エクスポート先を指定します。
splunkSplunk HTTPイベントコレクタにイベントをエクスポートします。sumoSumo Logic HTTPイベントコレクタにイベントをエクスポートします。syslogイベントをsyslog形式でローカルファイルにエクスポートします。syslog-portsyslog形式のイベントをTCPポートにエクスポートします。プレーン接続とSSL接続の両方がサポートされています。azure-laKeeper_CLという名前のカスタムログとしてイベントをAzure Log Analyticsにエクスポートします。jsonイベントをJSON形式でローカルファイルにエクスポートします。
--record <レコード名またはUID>
現在のエクスポート状態を格納するKeeperのレコードを選択します。これには、目的のエンドポイントに接続するために必要なSplunkパラメータなどのシークレットも含まれます。
--shared-folder-uid <共有フォルダUID>
共有フォルダUIDによるフィルタリングを行います。設定レコード内の既存設定は上書きされ、新しい値が設定されます。
--node-id <ノードID>
ノードIDによるフィルタリングを行います。設定レコード内の既存設定は上書きされ、新しい値が設定されます。
--days <日数>
取得対象とするイベントの最大経過日数を指定します。設定レコード内の last_event_time の値は、この指定によって上書きされます。
例
すべてのイベントデータをダウンロードし、SplunkエンドポイントHTTPイベントコレクタにプッシュ配信します。Splunk HECエンドポイントの入力を求めるプロンプトが表示されます。
レコードUIDを参照するすべてのイベントデータをダウンロードして、JSON形式で出力します。
ID = 368009977790518のノードの過去30日以内のイベントデータを取得します。audit-log-jsonという名前のボルトレコードを使用して追加のクエリパラメータを取得し、必要に応じて更新します。
UID = 8oGAJPplH2DFUQ0obwox7Qの共有フォルダのイベントデータを取得し、Splunk HTTP イベントコレクターにエクスポートします。Splunk-Logレコードに設定されたカスタムフィールド値を使用して、イベントデータクエリパラメーターを入力し、適切なSplunk アカウントにエクスポートするのに必要な情報 (HECエンドポイント、認証情報など) を渡します。
audit-reportコマンド
レポートを実行するには、ARAMアドオンが必要です。
概要
随時カスタマイズされた高度な監査イベントレポートをraw形式および要約形式で生成します。
イベントのプロパティ
パラメータ
指定したパターンに一致する行のみを結果として表示します。高度なパターン用プレフィックスと論理制御に対応しています。
パターンプレフィックス
regex:<pattern>正規表現による指定。大文字と小文字は区別されません。exact:<text>文字列の完全一致。大文字と小文字は区別されません。not:<pattern>否定指定。パターンに一致する行を除外します。not:regex:<pattern>正規表現による否定指定。not:exact:<text>完全一致による否定指定。
パターンの論理条件
デフォルト OR条件。いずれかのパターンに一致すれば対象になります。
--match-all AND条件。すべてのパターンに一致する必要があります。
パターンの例
ページ分割
audit-report コマンドでは、大量のデータを扱う場合に自動的にページ分割が行われます。
rawレポート 1000イベント単位でページ分割されます。
集計レポート 2000行単位でページ分割されます。
データ量に関係なくすべてのデータを取得したい場合は、
--limit -1を指定してください。ページネーションは、raw、span、hour、day、week、monthのすべてのレポートタイプで有効です。
例
オプション
--report-type <{raw, dim, hour, day, week, month, span}>
表示するレポートの種類を指定します。デフォルトはrawです。
rawすべての監査イベントを表示します。--report-formatを指定することで、出力形式を変更できます(デフォルトはlist)。hour1時間単位で集計したレポートを表示します。day1日単位で集計したレポートを表示します。week1週間単位で集計したレポートを表示します。month1か月単位で集計したレポートを表示します。span監査イベントの発生回数のみをデフォルトで表示する表形式のレポートを出力します。--columnsを指定することで、追加の列を表示できます。dim指定した列に対して、使用可能なすべての値と詳細情報の一覧を表示します。複数の列を指定した場合は、それぞれの詳細一覧が順に表示されます。使用するには--columnsの指定が必須です。
--report-format <{_message, field_s}>
出力形式を指定します。raw レポートでのみ有効です。
message(デフォルト) 次の列が表示されます。created
audit_event_type
username
ip_address
keeper_version
geo_location
message
fields次の列が表示されます。
created
audit_event_type
username
ip_address
keeper_version
geo_location
record_uid
--columns <列名>
表示する列を指定します。rawレポートでは無視されます。
使用可能な列は次のとおりです。
audit_event_type
username
ip_address
keeper_version
geo_location
message
created
record_uid
record_name (コンプライアンスレポートモジュールが必要*)
使用方法
列を指定する場合は、列ごとに --columns オプションを指定してください。
--aggregate <{occurrences, first_created, last_created}>
集計対象の値を指定します。複数回指定できます。raw レポートでは無視されます。
occurrencesイベントタイプの発生回数を表示します。first_createdイベントタイプが最初に発生した時刻を表示します。last_createdイベントタイプが最後に発生した時刻を表示します。
使用方法
表示したい集計項目ごとに、--aggregate オプションを指定してください。
--timezone <タイムゾーン>
指定したタイムゾーンに基づいて結果を表示します。
--limit <行数>
返される行数の上限を指定します。デフォルトは50です。-1を指定すると、レポートタイプに関係なくすべての行を取得します。
rawレポートでは、1000行単位でデータを取得します。集計レポート (span、hour、day、week、month) では、2000行単位でデータを取得します。--limit -1 を指定した場合、すべてのデータを取得するまで自動的にページ分割処理が継続されます。
--order <{desc, asc}>
ソート順。最初に返された列に基づいてソートします。
--created <作成日>
作成日時で結果を絞り込みます。
形式
次の定義済みフィルタ値から指定できます。
today
yesterday
last_7_days
last_30_days
month_to_date
last_month
year_to_date
last_year
または、以下のカスタム期間を指定できます。
between %Y-%m-%dT%H:%M:%SZ and %Y-%m-%dT%H:%M:%SZ
例
between 2022-01-01 and 2022-06-01
--event-type <イベントコード>
イベントタイプで結果を絞り込みます。使用可能なイベントタイプの一覧は、こちらのリンクを参照してください。
--username <ユーザー名>
ユーザー名で結果を絞り込みます。
--to-username <対象ユーザー名>
イベントの対象となったユーザー名で結果を絞り込みます。
--record-uid <レコードUID>
レコードUIDで結果を絞り込みます。
--shared-folder-uid <共有フォルダUID>
共有フォルダUIDで結果を絞り込みます。
--geo-location <地域>
地域で結果を絞り込みます。使用可能な地域の一覧は、次のコマンドを実行して確認してください。
--ip-address <IPアドレス>
IPアドレスで結果を絞り込みます。
地域フィルタの形式
地域は次の形式で指定します。
[[市区町村, ] 都道府県・州,] 国
例
"El Dorado Hills, California, US""Bayern, DE"(ドイツ・バイエルン州)"CA"(カナダ)
--ip-address <IPアドレス>
ユーザーのIPアドレスで結果を絞り込みます。
特定のIPアドレスから発生した直近5000件のイベントを確認する例は次のとおりです。
--device-type <デバイスタイプ>
Keeperのデバイスまたはアプリケーション種別で結果を絞り込みます。必要に応じてバージョンも指定できます。
デバイスタイプフィルタの形式
デバイスタイプは、次の形式で指定します。
デバイスタイプ[, バージョン]
例
CommanderKeeperコマンダーのすべてのバージョンを対象とします。Web App, 16ウェブボルトアプリケーションのバージョン16.x.xを対象とします。
--format <table | csv | json>
出力形式を指定します。デフォルトは table です。
--max-record-details
ローカルキャッシュに存在しない場合でも、追加のレコード詳細データを取得できるようにします。
--regex
行のフィルタとして正規表現を使用します。
--match-all
いずれかの条件に一致する場合(OR条件)ではなく、すべての条件に一致する行のみを対象とします (AND条件)。
例
各イベントのメッセージを含むすべてのイベントに関する監査レポートを表示します (最新の5000イベントを表示します)。
各イベントのレコードUIDを含むすべてのイベントに関する監査レポートを表示します。
使用可能なすべての監査イベントタイプを表示します。
イベントタイプとユーザー名を含む監査レポートを日別に要約して表示します。
当日の1時間ごとに実行された各イベントタイプの数の監査レポートを表示します。
過去30日以内に[email protected]によって作成または更新されたすべてのレコードUIDを表示します。
復号化されたレコードタイトルを含めて、当日発生した有効なレコードイベントをすべて表示します。
各ユーザーが各レコードに最後にアクセスした時刻 (タイトルおよび関連URLも) を表示し、キャッシュを介してデータがローカルで利用可能でない場合は、各レコードの詳細 (タイトル、URLなど) の追加取得を強制 (時間とリソースを大量に消費する可能性があります)。
user-reportコマンド
概要
ユーザーステータスレポートを随時生成します。
オプション
--format <table | json | csv>
レポートの出力形式を指定します。
--output <ファイル名>
指定したファイル名で出力します。
--days <日数>
最終ログイン日から遡る日数を指定します。
--last-login
各ユーザーが最後にログインした時刻を表示します。
例
過去365日間のユーザーログインレポートを表示します。
過去30日間のユーザーレポートを作成し、「logins.csv」という名前のファイルにcsv形式で出力します。
社内の各ユーザーが最後にログインした時刻のレポートを作成し、「last-logins.csv」ファイルに保存します。
security-audit-reportコマンド
概要
エンタープライズ内のユーザーを対象に、パスワードのセキュリティ強度レポートを生成します。
レポートの列
オプション
--format <{table,json,csv}>
レポートの出力形式を指定します。デフォルトは table です。
--output <ファイル名>
指定したファイル名で結果を出力します。
--syntax-help
レポートに含まれる各列の説明を表示します。
-n、--node <ノード名またはUID>
指定したノード名またはノードUIDで結果を絞り込みます。
-b、--breachwatch
BreachWatchのセキュリティレポートを表示します(Commander v16.5.5以降)。BreachWatchが有効でない場合は無視されます。
-su、--show-updated
各ボルトの現在のセキュリティ監査スコアを計算し、ローカルに表示します (プレビュー)。
-s、--save
--show-updated と同様にスコアを計算し、さらに更新後のスコアをKeeperへ送信します。
-st、--score-type <{strong_passwords,default}>
ユーザーのセキュリティスコア算出方法を指定します。strong_passwords を指定した場合、各ユーザーの「強力なパスワード数」のみに基づいて集計され、該当ボルトのセキュリティ監査ページに表示される値と同じ基準になります。
--attempt-fix
セキュリティデータが無効と判定されたボルトに対して、強制的な同期を実行します。関連するセキュリティスコアはリセットされ、対象ボルトで再計算と更新が完了するまで正確な値になりません。
-f、--force
確認プロンプトを省略して実行します (非対話モード)。
後方互換性を保つため、このコマンドはデフォルトでは、直近のボルト変更を反映したセキュリティスコアの再計算を行いません。そのため、更新後のセキュリティスコアも自動では保存されません。
この動作を変更するには、コマンド実行時に --show-updated または --save フラグを指定してください。なお、--save を指定した場合は、--show-updated を併せて指定する必要はありません。
例
セキュリティ監査レポート (社内のユーザーごとのパスワードの強度) を表示します。
セキュリティ監査レポートを作成し、「security_score.json」という名前のファイルにjson形式で出力します。
Breachwatchセキュリティレポートを表示します。
セキュリティ監査スコアを再計算し、セキュリティ監査レポートを表示します。Keeperに変更はプッシュ配信しません。
セキュリティ監査スコアを再計算し、セキュリティ監査レポートを表示して、Keeperに変更をプッシュ配信します。
セキュリティ監査レポートを表示します (コマンドの省略形を使用)。結果は、企業ノードNode1に割り当てられたアカウントに制限されます。
強力と見なされた各ユーザーのパスワードの数に基づいてセキュリティ監査スコアを表示し、結果をKeeperにプッシュ配信します。
breachwatch report (bw report) コマンド
概要
組織内の全ユーザーのBreachwatchセキュリティレポートを実行します。
オプション
--format <{table,csv}>
レポートの出力形式を指定します。
--output <ファイル名>
指定したファイル名で出力します。
例
Breachwatch固有のセキュリティスコアを表示します。
Breachwatchセキュリティレポートを、コマンダーの現在の作業ディレクトリ (フォルダの完全なパスを取得するには
v -vコマンドを実行) に「breachwatch_report.csv」としてCSV形式でエクスポートします。
share-reportコマンド
概要
共有レコード (呼び出し元のユーザーと共有するレコードおよび呼び出し元のユーザーが共有するレコードの両方) のレポートを表示します。
パラメータ
レポートに表示するレコードを含むフォルダのパスまたはUID。オプション (複数の値を指定可能)。
オプション
--format <{table,csv}>
レポートの出力形式を指定します。
--output <ファイル名>
指定したファイル名で出力します。
-r、--record <レコード名かレコードUID>
指定したレコードに対するレポートを表示します。
-e、--email <ユーザーのメールまたはチーム名>
指定したユーザーまたはチームに対する共有レコードのレポートを表示します。
-o、--owner
レコードの所有者を表示します。
--share-date
レコードが共有された日時を表示します。--ownerオプションを指定した場合にのみ使用できます。このオプションは、会社全体のレポート実行権限を持つユーザーのみ利用できます。
-sf、--shared-folders
共有フォルダの詳細情報を表示します。省略した場合は、共有レコードが対象になります。
-v、--verbose
レポートにレコードUIDを表示します。
-f、--folders
共有フォルダのみに対象を限定します (共有レコードは除外されます)。
-tu、--show-team-users
レポート内の共有フォルダまたはレコードについて、チーム共有情報を展開し、各チームの個別メンバーを表示します。
例
共有レコードのレポートを表示します。
指定したUIDを持つレコードの共有レポートを表示します。
共有レコードのレポートをcsv形式で出力します。
「[email protected]」と共有されたレコードのレポートを表示します。元の所有者と共有された日時も表示します。
「Team1_Folder」という名前のフォルダとUIDがZa2aspMQG9De5In28sc3KAのフォルダに含まれる各共有レコードの所有権情報と詳細な共有権限が記載されたレポートを表示します。
現在のユーザーのボルト内の共有フォルダのリストと、各共有フォルダーにアクセスできるチームおよび他のユーザーを表示します。
shared-records-report (srr) コマンド
概要
共有レコードに関する情報を表示します。表示対象は、実行ユーザーが他のユーザーに共有しているレコードに限られ、他のユーザーから共有されたレコードは含まれません。両方のタイプのレコードを含めるには、share-reportコマンドをご参照ください)。
パラメータ
レポートに表示するレコードを含むフォルダのパスまたはUID。オプション (複数の値を指定可能)。
オプション
--format <{json,csv,table}>
レポートの出力形式を指定します。
-o、--output <ファイル名>
指定したファイル名に出力します。table 形式では無視されます。
--all-records
すべてのレコードをレポートに含めます。デフォルトでは、所有しているレコードのみが対象になります。
--show-team-users または -tu
チーム共有フォルダ経由で共有されているレコードについて、チームのメンバーを表示します。
例
共有レコードの情報を表形式で表示します。
共有レコードの情報をcsv形式で表示します
共有フォルダを使用してレコードを共有するすべてのチームの個々のメンバーと共有されたレコードに関する情報を表示します
「My Shares」、「Team1/Shares」フォルダ (パスで識別されるフォルダ) および「_qsA0AA0XwJkeTVQdijmEg」フォルダ (UIDで識別されるフォルダ) にある共有レコードに関する情報をshared_records.jsonという名前のJSON形式のファイルにエクスポートします。この場合、格納フォルダがコマンド呼び出しで明示的に指定されているため、結果のレポートに含まれるレコードは、指定したフォルダ内にあるレコードのみに制限されます (フォルダの子として、またはサブフォルダの子としてなど)
external-shares-reportコマンド
概要
エンタープライズ外のユーザーに共有されているフォルダおよびレコードを表示します。必要に応じて、外部共有をすべて削除することもできます。
オプション
--format <table | json | csv>
出力形式。
--output <ファイル名>
指定したファイル名に出力します。table 形式では無視されます。
-a、--action {remove,none}
外部共有に対して実行する操作を指定します。remove を指定すると、確認後に外部共有を削除します。省略した場合は none となり、削除は行われません。
-t、--share-type <direct | shared-folder | all>
表示する共有の種類を指定します。direct は個別共有されたレコードのみ、shared-folder は共有フォルダのみを対象とします。省略した場合は all となります。
-f、--force
確認を求めずに操作を実行します。
-r、--refresh-data
レポート実行前にデータを同期し、最新の情報を取得します。
例
外部共有フォルダおよびレコードをすべて表示します。
すべての外部共有フォルダおよびレコードをshare_report.csvとして出力します。
外部共有フォルダおよびレコードをすべて削除します (確認プロンプトを表示)。
外部で共有されている個々のレコードをすべて削除しますが、共有フォルダは削除しません。
外部共有フォルダはすべて削除しますが、個々のレコードは削除しません。
外部共有フォルダおよびレコードを確認プロンプトを表示せずにすべて削除します。
Keeperと同期して最新のデータを取得し、共有レポートを生成します。
msp-legacy-reportコマンド
概要
管理対象会社の使用可能なライセンスの情報を表示します。
オプション
--format <json | table | csv>
レポートの出力形式を指定します。
--range <today | yesterday | last_7_days | last_30_days | month_to_date | last_month | year_to_date | last_year>
ライセンス使用状況を集計する期間を指定します。
--from <開始日>
ライセンス使用状況を表示する期間の開始日を指定します。--type audit を指定し、--range を使用しない場合に利用します。日付形式は YYYY-MM-DD です (例: 2021-07-08)。
--to <終了日>
ライセンス使用状況を表示する期間の終了日を指定します。--type audit を指定し、--range を使用しない場合に利用します。日付形式は YYYY-MM-DD です (例: 2021-07-08)。
--output <ファイル名>
指定したファイル名にレポートを出力します。
例
組織に現在割り当てられているライセンスと残りのライセンスのレポートを表示します。
過去30日間のライセンス使用状況のレポートを表示します。
2021年2月1日から3月1日までのライセンス使用状況のレポートを表示します。
現在のライセンス使用状況のレポートを「licenses.csv」という名前のファイルにcsv形式で出力します。
aging-reportコマンド
このレポートには、高度なレポートとアラートモジュールとコンプライアンスモジュールが必要です。詳細については、コンプライアンスレポートのページをご参照ください。
概要
指定した期間内にパスワードが変更されていないレコードを特定します。エンタープライズプラットフォームの高度なレポート機能に加え、特権管理者向けにレコード名の復号が可能なコンプライアンスデータを使用します。
オプション
-r、--rebuild
レコードのデータベースを再構築します。
--delete
暗号化されたコンプライアンスレコードデータを含むローカルデータベースキャッシュを削除します。
-nc、-no-cache
コマンド完了時に、メモリ以外のローカルストレージに保存されたデータをすべて削除します。
-s, --sort <owner | title | last_changed>
指定した項目で出力結果を並び替えます。
--format <table | json | csv>
レポートの出力形式を指定します。
--output <ファイル名>
指定したファイル名に出力します。
--period <期間>
指定した期間内にパスワードが変更されていないレコードを対象とします。--cutoff-date と併用することはできません。
--cutoff-date <日付>
指定した日付以降にパスワードが変更されていないレコードを対象とします。--period と併用することはできません。
--username <ユーザー名>
指定したユーザーの期限切れパスワードをレポートします。
--exclude-deleted
削除済みのレコードをレポートから除外します。このオプションを指定すると、追加のデータ取得が必要になる場合があり、コマンドの実行時間が長くなることがあります。
--in-shared-folder
共有フォルダ内のレコードのみに対象を限定します。
例
監査データとコンプライアンスデータをローカルで再構築します。
1年以上更新されていないパスワードの経過レポートを生成します。
3か月以上更新されていない特定のユーザーのパスワードの経過レポートを生成します。
各ボルトのごみ箱に現在入っているレコードは無視して、パスワード経過レポートを生成します。
過去3か月間パスワードが変更されていないすべての共有フォルダ内のレコードをリストとして表示します。
2020年12月31日以前にパスワードが最後に変更されたすべてのレコードを一覧表示します。
risk-managementコマンド
Wiz、Tenable、Saviyntなどのセキュリティポスチャ管理ツール向けのネイティブコネクターは、今後提供予定です。
現時点では、AWS CloudTrailやCloudWatchなどのミドルウェアを利用することで、KeeperのデータをWizに連携できます。設定方法の詳細については、こちらのAWSのドキュメントをご参照ください。
概要
リスク管理レポートを生成します。
オプション
--format <{table, json,csv}>
レポートの出力形式を指定します。
--output <ファイル名>
結果をファイルに保存したい場合に指定します。
例
action-reportコマンド
ARAMアドオンが必要となります。
概要
指定したステータスのユーザー、または指定期間内に特定の操作を行っていないユーザーを対象に、レポートを生成し、必要に応じて操作を実行します。期間はデフォルトで直近30日間ですが、--days-since で変更できます。
オプション
--format <table | json | csv>
レポートの出力形式を指定します。
--output <ファイル名>
結果をファイルに保存する場合に指定します。
-d <日数> または --days-since <日数>
指定した日数分さかのぼって、対象となる操作や状態を判定します。省略した場合は30日が使用されます。
-t, --target <no-logon | no-update | locked | invited | no-recovery>
レポート対象、または操作対象とするユーザーの状態を指定します。
--node <ノード名またはID>
指定したノードでユーザーを絞り込みます。
--columns <列名のカンマ区切り>
レポートに表示する列を指定します。使用可能な列は次のとおりです。
2fa_enabled, team_count, status, transfer_status, alias, role_count, node, teams, name, roles
-a, --apply-action <lock | delete | transfer | none>
--target で指定したユーザー状態に一致する各ユーザーアカウントに対して実行する操作を指定します。
--target-user <ユーザー>
transfer 操作を指定した場合のボルトの転送先となるアカウントを指定します。
-n, --dry-run
実際の操作は行わず、--target または -t で指定した条件に該当するアカウントと、-a または --apply-action で指定した管理操作内容のみを表示します。
-f, --force
確認を求めずに、-a または --apply-action で指定した管理操作を実行します。このオプションは、delete および transfer 操作の場合にのみ適用されます。
対象ユーザーのレポート例
過去45日以内にログインしていないユーザーの一覧を表示します。
特定のノード内で60日以上ロック状態のままのユーザーアカウントの一覧を表示します。
15日以上招待状態にあるユーザーの一覧を表示します。
過去35日間にレコードを更新していないユーザーの一覧を表示します。
デフォルトの期間 (過去30日間) 内に自分のアカウントの秘密の質問と回答を設定/変更していないユーザーを表示します。
過去30日間 (指定がない場合のデフォルトの期間) 以内にアカウントにログインしていないユーザーのレポートを生成します。これには、レポート内の各ユーザーの2FA ステータス、割り当てられているチームの数、割り当てられているロールの数、割り当てられているノード、フルネームが含まれます。
アクション対象ユーザーの例 (ドライランの場合は-nを追加)
アカウントが招待された状態で90日以上経過しているユーザーを削除します。
90日間ロックされているすべてのユーザーのボルトを指定したボルトに移管します。
180日以内にログインしていないすべてのユーザーをロックします。
compliance-reportコマンド
コンプライアンスレポート作成のアドオンが必要となります。
詳細については、コンプライアンスコマンドのページをご参照ください。
概要
エンタープライズ全体におけるレコードの共有状況をまとめたレポートを生成します。
このレポートは、コマンドが初めて呼び出されたときに作成されたキャッシュを利用します。企業の規模によっては、セッションの最初のコマンドが完了するまでに少し時間がかかる場合があります。
オプション
--format <table | json | csv>
レポートの出力形式を指定します。
--output <ファイル名>
指定したファイル名に出力します。
-u, --username <ユーザー名>
指定したユーザーのレコードに絞り込みます。複数のユーザーを指定する場合は、繰り返し指定してください。
-n, --node <ノード名またはID>
指定したノード内のボルトに含まれるレコードに絞り込みます。
-jt, --job-title <職種名>
指定した職種のユーザーが所有するボルト内のレコードに絞り込みます。複数の職種を指定する場合は、繰り返し指定してください。
--record <レコード名またはUID>
指定したレコードのみを表示します。複数のレコードを指定する場合は、繰り返し指定してください。
--team <チーム名>
指定したチームに属するユーザーのみを対象とします。複数のチームを指定する場合は、繰り返し指定してください。
--url <URL>
指定したURLを持つレコードのみを表示します。複数のURLを指定する場合は、繰り返し指定してください。
--shared
共有されているレコードのみを表示します。
--deleted-items
削除済みのレコードのみを表示します。--active-items とは併用できません。
--active-items
有効なレコードのみを表示します。--deleted-items とは併用できません。
-r, --rebuild
このレポートで使用されるキャッシュ済みレコードを更新します。
-nr, --no-rebuild
キャッシュが存在する場合でも、古いキャッシュの更新を行いません。--rebuild とは併用できません。
-nc, --no-cache
基盤となるレポートデータについて、永続的なローカルキャッシュを無効にします。
例
社内のすべてのユーザーのすべてのレコードの共有状態を表示します。
ユーザー「[email protected]」のボルトのレコードの共有状態を表示します。
シカゴの管理者が所有するボルトのレコードの共有状態を表示します。
「[email protected]」が所有する共有レコードに限定して、共有状態を表示します。
キャッシュされたデータが存在する場合、タイトルが「AWS MySQL Administrator」であるレコードの共有状況を、キャッシュされたデータに基づいて表示します。
組織内のすべてのアクティブなレコードの共有状況を表示します。
compliance team-reportコマンド
コンプライアンスレポート作成のアドオンが必要となります。
詳細については、コンプライアンスコマンドのページをご参照ください。
概要
少なくとも1件のレコードを含む共有フォルダごとに、アクセス権を持つチームと、それぞれの編集権限および共有権限をまとめたレポートを作成できます。
オプション
--format <table | json | csv>
レポートの出力形式を指定します。
--output <ファイル名>
指定したファイル名に出力します。
-n, --node <ノード名 または ID>
指定したノード内のボルトに含まれるレコードに絞り込みます。
-r, --rebuild
このレポートで使用されるキャッシュ済みレコードを更新します。
-nr, --no-rebuild
キャッシュが存在する場合でも、古いキャッシュの更新を行いません。--rebuild とは併用できません。
-nc, --no-cache
基盤となるレポートデータについて、永続的なローカルキャッシュを無効にします。
-tu, --show-team-users
レポート内で、各チームの個別メンバーを表示します。
例
コンプライアンスチームのレポートを表示します。
コンプライアンスチームのレポートのCSVファイル出力を保存します
レポートに各チームに割り当てられた個々のユーザーを表示します
compliance record-access-report (compliance rar) コマンド
コンプライアンスレポート作成のアドオンとARAMアドオンが必要となります。
詳細については、コンプライアンスコマンドのページをご参照ください。
概要
指定した各ユーザーについて、これまでにアクセスした、または現在アクセス可能なすべてのレコードを表示するレポートを生成します。
パラメータ
ユーザー名またはユーザーIDを指定します。@all を指定すると、すべてのユーザーを対象にレポートを実行します。
オプション
--format <table | json | csv>
レポートの出力形式を指定します。
--output <ファイル名>
指定したファイル名に出力します。
-n, --node <ノード名 または ID>
指定したノード内のボルトに含まれるレコードに絞り込みます。
-r, --rebuild
このレポートで使用されるキャッシュ済みレコードを更新します。
-nr, --no-rebuild
キャッシュが存在する場合でも、古いキャッシュの更新を行いません。--rebuild とは併用できません。
-nc, --no-cache
基盤となるレポートデータについて、永続的なローカルキャッシュを無効にします。
--report-type <vault | history>
レポートに含めるレコードアクセス情報の種類を指定します。省略した場合は history が使用されます。
vault を指定すると現在アクセス可能なレコードを表示し、history を指定すると過去にアクセスしたレコードのみを表示します。
--aging
各レコードについて、最終更新日や作成日などの経過情報を含めて表示します。
例
[email protected]がアクセスした全レコードのリストを表示します。。
全ユーザーのボルト内に現在存在する全レコードをリストしたCSVファイルをエクスポートします
現在[email protected]と[email protected]が現在アクセスできる全レコードのレポートを生成します。各レコードが作成された日時、最後に変更された日時、最後にローテーションされた日時を表示します。
SIEMにイベントのログを記録
コマンダーは、Splunk、Sumo、汎用Syslog形式などの一般的なSIEMソリューションとの連携に対応しています。イベントの一般的なレポート作成には、audit-report コマンドの使用をお勧めします。オンプレミスのSIEMへイベントデータを送信する場合は、audit-log コマンドが適しています。このコマンドは、前回エクスポートしたイベントを自動的に追跡し、差分のみを送信します。100を超えるイベントタイプの一覧については、こちらのページをご参照ください。
オンプレミス環境でHTTPイベントコレクターが社内ネットワーク内でのみ利用可能な場合、Keeperコマンダーを使用したSIEM連携が有効に機能します。Keeper管理コンソール (バージョン13.3以降) では、バックエンドのイベントデータをSIEMソリューションへ連携できますが、この機能を利用するにはクラウドベースのSIEMソリューションを使用している必要があります。Keeperコマンダーを使用せずにSIEMとの連携が必要な場合は、ビジネスサポートチーム ([email protected]) までお問い合わせください。
Syslog形式でのイベントログのエクスポート
Keeperコマンダーを使用すると、すべてのイベントログをsyslog形式でローカルファイルにエクスポートできます。また、差分のみを含む増分ファイルとしてデータをエクスポートすることも可能です。前回エクスポートしたイベントの参照情報は、ボルト内のKeeperレコードに保存されます。
以下では、すべてのイベントをエクスポートし、最後にエクスポートされたイベント時刻の追跡を開始します。
この操作により、ボルト内にレコードが作成されます(この例では「Audit Log: Syslog」というタイトルになります)。このレコードには、最後にエクスポートされたイベントのタイムスタンプと出力ファイル名が保存されます。その後、イベントデータはテキスト形式またはgzip形式のファイルとしてエクスポートされます。
以降の監査ログのエクスポートは、次のコマンドを使用して実行できます。
またはシェルから以下のように実行します。
syslogイベントを5分ごとにエクスポートするように自動化するには、以下のようなJSON設定ファイルを作成します。
次に、以下のようにconfigパラメータを指定してコマンドを実行します。
Splunk HTTP Event Collectorへの送信
Keeperでは、オンプレミスまたはクラウド環境のSplunkインスタンスへ、イベントログを直接送信できます。設定は次の手順で行います。
Splunk Enterpriseにログインします。
[Settings] (設定) -> [Data Inputs] (データ入力) -> [HTTP Event Collector] (HTTPイベントコレクタ) に移動します。
[New Token] (新しいトークン) をクリックして名前を入力し、インデックスを選択して完了します。
最後の画面で表示される「Token Value」 (トークン値) をコピーし、次の手順で使用するために保存します。
Keeperコマンダーシェルにログインします。
次に、コマンダーでSplunk連携の設定を行います。設定時に指定したトークンとSplunk HTTP Event Collectorの情報は、ボルト内のKeeperレコードに保存されます。このレコードは、取得済みの最終イベントを追跡するためにも使用され、以降の実行では前回の続きからイベントが送信されます。なお、HTTP Event Collectorのデフォルトポートは8088です。
以下の監査ログエクスポートでSplunkレコードのレコードUIDが確認できます。
以降の各監査ログのエクスポートは、以下のコマンドで実行できます。
またはシェルから以下のように実行します。
Splunkイベントを5分ごとにプッシュ配信するように自動化するには、以下のようなJSON設定ファイルを作成します。
次に、以下のようにconfigパラメータを指定してコマンドを実行します。
Sumo Logic HTTP Event Collectorへの送信
Keeperでは、Sumo Logicアカウントへイベントログを直接送信できます。設定は次の手順で行います。
Sumo Logicにログインします。
[Manage Data] (データ管理) -> [Collection] (収集) に移動します。
[Add Collector] (コレクタを追加) -> [Hosted Collector] (ホストされたコレクタ)、[Add Source] (ソースを追加) -> [HTTP Logs & Metrics] (HTTPログ&メトリクス) の順にクリックします
コレクタに名前を付けて保存します。その他のフィールドはデフォルトのままで問題ありません。
表示されるHTTP Source Address (コレクタURL) を控えておきます。
Keeperコマンダーシェルにログインします
次に、コマンダーでSumo Logic連携の設定を行います。設定したHTTP Collectorの情報は、ボルト内のKeeperレコードに保存されます。このレコードは、取得済みの最終イベントを追跡するためにも使用され、以降の実行では前回の続きからイベントが送信されます。
「HTTP Collector URL:」の入力を求められたら、先ほどSumoの画面で取得したURLを貼り付けてください。
この手順を完了すると、イベントデータ連携を追跡するためのレコードがボルト内に作成されます。以降の監査ログエクスポートで使用するため、このSumo用レコードのUIDを確認できます。
以降の各監査ログのエクスポートは、以下のコマンドで実行できます。
またはシェルから以下のように実行します。
Sumo Logicイベントを5分ごとにプッシュ配信するように自動化するには、以下のようなJSON設定ファイルを作成します。
次に、以下のようにconfigパラメータを指定してコマンドを実行します。
JSON形式でのイベントログのエクスポート
Keeperコマンダーを使用すると、すべてのイベントログをJSON形式でローカルファイルにエクスポートできます。このローカルファイルは、コマンダーを実行するたびに上書きされます。この形式のエクスポートは、ファイルを処理する他のアプリケーションと組み合わせて利用できます。前回エクスポートしたイベントの参照情報は、ボルト内のKeeperレコードに保存されます。
すべてのイベントをエクスポートし、エクスポート済みの最終イベント時刻の追跡を開始するには、次の手順を実行します。
この操作により、ボルト内にレコードが作成されます (この例では「Audit Log: JSON」というタイトルになります)。このレコードには、最後にエクスポートされたイベントのタイムスタンプと出力ファイル名が保存されます。その後、イベントデータはファイルとしてエクスポートされます。
以降の監査ログのエクスポートは、次のコマンドを使用して実行できます。
またはシェルから以下のように実行します。
JSONイベントを5分ごとにエクスポートするように自動化するには、以下のようなJSON設定ファイルを作成します。
次に、以下のようにconfigパラメータを指定してコマンドを実行します。
Azure Log Analyticsへの送信
Keeperでは、Azure Log Analyticsワークスペースへイベントログを直接送信できます。設定は次の手順で行います。
Azureポータルにログインし、Log Analyticsワークスペースを開きます。
[Settings] (設定) -> [Advanced settings] (詳細設定) に移動します。
Workspace IDと、Primary KeyまたはSecondary Keyを控えておきます。
Keeperコマンダーシェルにログインします。
次に、コマンダーでLog Analytics連携の設定を行います。設定したLog Analyticsのアクセス情報は、ボルト内のKeeperレコードに保存されます。このレコードは、取得済みの最終イベントを追跡するためにも使用され、以降の実行では前回の続きからイベントが送信されます。
「Workspace ID:」の入力を求められたら、先ほどAdvanced settings画面で確認したWorkspace IDを貼り付けてください。「Key:」の入力を求められたら、同じ画面で確認したPrimary KeyまたはSecondary Keyを貼り付けてください。
この手順を完了すると、イベントデータ連携を追跡するためのレコードがボルト内に作成されます。以降の監査ログエクスポートで使用するため、このLog Analytics用レコードのUIDを確認できます。
以降の各監査ログのエクスポートは、以下のコマンドで実行できます。
またはシェルから以下のように実行します。
Azure Log Analyticsにイベントを5分ごとにプッシュ配信するように自動化するには、以下のようなJSON設定ファイルを作成します。
次に、以下のようにconfigパラメータを指定してコマンドを実行します。
最終更新