```
3. 15日以上招待状態にあるユーザーの一覧を表示します。
```
action-report -t invited -d 15
```
4. 過去35日間にレコードを更新していないユーザーの一覧を表示します。
```
action-report --target no-update --days-since 35
```
5. デフォルトの期間 (過去30日間) 内にアカウントの復旧設定を設定または変更していないユーザーを表示します。
```
action-report -t no-recovery
```
6. 過去30日間 (指定がない場合のデフォルトの期間) 以内にアカウントにログインしていないユーザーのレポートを生成します。これには、レポート内の各ユーザーの2FA ステータス、割り当てられているチームの数、割り当てられているロールの数、割り当てられているノード、フルネームが含まれます。
```
action-report -t=no-logon --columns=2fa_enabled,team_count,role_count,node,name
```
#### アクション対象ユーザーの例 (ドライランの場合は-nを追加)
1. アカウントが招待された状態で90日以上経過しているユーザーを削除します。
action-report -t invited -a delete -d 90
2. 90日間ロックされているすべてのユーザーのボルトを指定したボルトに[移管](https://app.gitbook.com/s/eJwa6ByNJ2qindnPknCW/account-transfer-policy)します。
```
action-report -t locked -d 90 -a transfer --target-user destination.vault@email.com
```
3. 180日以内にログインしていないすべてのユーザーをロックします。
```
action-report -t no-logon -d 180 -a lock
```
4. ノード「EU」とそのサブノードにいるすべてのユーザーを、移動先ノード「EMEA」へ移動します。
{% code overflow="wrap" %}
```
action-report -t all --node "EU" --recursive --target-node "EMEA"
```
{% endcode %}
### compliance-reportコマンド
{% hint style="info" %}
[コンプライアンスレポート作成](https://app.gitbook.com/s/eJwa6ByNJ2qindnPknCW/compliance-reports)のアドオンが必要となります。
詳細については、[コンプライアンスコマンドのページ](https://docs.keeper.io/jp/keeperpam/commander-cli/command-reference/enterprise-management-commands/compliance-commands)をご参照ください。
{% endhint %}
#### **概要**
**コマンド:** `compliance-report` / `compliance report`
各ユーザーのボルトにある、すべての所有レコードについてレポートを生成します。レコードが共有されている場合、共有関係ごとに行が複製されます。
{% hint style="info" %}
`compliance report` は、所有に焦点を当てたレポートです。ユーザー単位のボルト可視性 (所有レコードに加え、ユーザーのボルトへ共有されたレコード) を完全に把握するには、`compliance record-access-report --report-type vault` と併用し、`compliance report` のユーザー名と `rar.vault_owner`、および `record_uid` が一致する行同士で結合してください。
{% endhint %}
{% hint style="info" %}
このレポートは、コマンドが初めて呼び出されたときにキャッシュが構築されます。企業の規模によっては、セッション内で初めて実行する際に完了まで時間がかかることがあります。生成速度を上げるには、ユーザーを指定してレポートを絞り込むことを検討してください。
{% endhint %}
#### オプション
`--format `
レポートの出力形式を指定します。
`--output <ファイル名>`
指定したファイル名に出力します。
`-u`, `--username <ユーザー名>`
指定したユーザーのレコードに絞り込みます。複数のユーザーを指定する場合は、繰り返し指定してください。
`-n`, `--node <ノード名またはID>`
指定したノード内のボルトに含まれるレコードに絞り込みます。
`-jt`, `--job-title <職種名>`
指定した職種のユーザーが所有するボルト内のレコードに絞り込みます。複数の職種を指定する場合は、繰り返し指定してください。
`--record <レコード名またはUID>`
指定したレコードのみを表示します。複数のレコードを指定する場合は、繰り返し指定してください。
`--team <チーム名>`
指定したチームに属するユーザーのみを対象とします。複数のチームを指定する場合は、繰り返し指定してください。
`--url `
指定したURLを持つレコードのみを表示します。複数のURLを指定する場合は、繰り返し指定してください。
`--shared`
共有されているレコードのみを表示します。共有フォルダ内のレコードは、フォルダが他ユーザーと共有されていなくても共有されているものとして扱われます。
`--deleted-items`
削除済みのレコードのみを表示します。`--active-items` とは併用できません。
`--active-items`
有効なレコードのみを表示します。`--deleted-items` とは併用できません。[Lost Access](https://app.gitbook.com/s/-LSGVtOTYUIkVBoYtFvK/web-vault#lost-access) レコードも含まれます。
`-r`, `--rebuild`
このレポートで使用されるキャッシュ済みレコードを更新します。
`-nr`, `--no-rebuild`
キャッシュが存在する場合でも、古いキャッシュの更新を行いません。`--rebuild` とは併用できません。
`-nc`, `--no-cache`
基盤となるレポートデータについて、永続的なローカルキャッシュを無効にします。
`--aging`
経過に関する列 (`Created`、`Last Pw Change`、`Last Modified`、`Last Rotation`) を含めます。
#### 例
```
compliance-report --rebuild
compliance-report -u user@company.com
compliance-report --node "Chicago" -jt "Manager"
compliance-report --team "Admins" --shared
compliance-report --nr --deleted-items --record="AWS MySQL Administrator"
compliance-report -nc -r --active-items --aging -u user1@company.com -u user2@company.com
```
1. エンタープライズ全体のユーザーについて、所有レコードと共有関係の情報を最新のキャッシュで取得します。
2. ユーザー `user@company.com` が所有するレコードと共有関係を返します。
3. シカゴノードに属し、職種がManagerのユーザーが所有するレコードと共有関係を返します。
4. Adminsチームのユーザーが所有するレコードのうち、共有されているもののみを返します。
5. キャッシュが存在する場合に限り、タイトルが「AWS MySQL Administrator」の削除済みレコードについて、所有者と共有関係を返します。
6. ユーザー `user1@company.com` および `user2@company.com` について、削除済みレコードを除き、経過列を含めた最新の所有レコードと共有関係を返します。
### compliance team-reportコマンド
{% hint style="info" %}
[コンプライアンスレポート作成](https://app.gitbook.com/s/eJwa6ByNJ2qindnPknCW/compliance-reports)のアドオンが必要となります。
詳細については、[コンプライアンスコマンドのページ](https://docs.keeper.io/jp/keeperpam/commander-cli/command-reference/enterprise-management-commands/compliance-commands)をご参照ください。
{% endhint %}
#### 概要
少なくとも1件のレコードを含む共有フォルダごとに、アクセス権を持つチームと、それぞれの編集権限および共有権限をまとめたレポートを作成できます。
#### オプション
`--format `
レポートの出力形式を指定します。
`--output <ファイル名>`
指定したファイル名に出力します。
`-n`, `--node <ノード名 または ID>`
指定したノード内のボルトに含まれるレコードに絞り込みます。
`-r`, `--rebuild`
このレポートで使用されるキャッシュ済みレコードを更新します。
`-nr`, `--no-rebuild`
キャッシュが存在する場合でも、古いキャッシュの更新を行いません。`--rebuild` とは併用できません。
`-nc`, `--no-cache`
基盤となるレポートデータについて、永続的なローカルキャッシュを無効にします。
`-tu`, `--show-team-users`
レポート内で、各チームの個別メンバーを表示します。
#### 例
```
compliance team-report
compliance team-report --format csv --output "team-report.csv"
compliance team-report --show-team-users
```
1. コンプライアンスチームのレポートを表示します。
2. コンプライアンスチームのレポートのCSVファイル出力を保存します
3. レポートに各チームに割り当てられた個々のユーザーを表示します
### compliance record-access-report (compliance rar) コマンド
{% hint style="info" %}
[コンプライアンスレポート作成](https://docs.keeper.io/enterprise-guide/compliance-reports)のアドオンと[ARAM](https://docs.keeper.io/enterprise-guide/event-reporting)アドオンが必要となります。
詳細は、[コンプライアンスコマンドのページ](https://docs.keeper.io/jp/keeperpam/commander-cli/command-reference/enterprise-management-commands/compliance-commands)をご参照ください。
{% endhint %}
#### 概要
ユーザーのボルトで利用可能なレコードのうち、少なくとも1つの共有関係があるものについてレポートを生成します。[コンプライアンスレポート](#compliance-report-command)は各ユーザーのボルト内の所有レコードのみを列挙しますが、本レポートではユーザーがアクセスできるレコードも含みます。一方、共有されていないレコードは含みません。
#### パラメータ
ユーザー名またはユーザーIDを指定します。`@all` を指定すると、すべてのユーザーを対象にレポートを実行します。
#### オプション
`--format `
レポートの出力形式を指定します。
`--output <ファイル名>`
指定したファイル名に出力します。
`-n`, `--node <ノード名 または ID>`
指定したノード内のボルトに含まれるレコードに絞り込みます。
`-r`, `--rebuild`
このレポートで使用されるキャッシュ済みレコードを更新します。
`-nr`, `--no-rebuild`
キャッシュが存在する場合でも、古いキャッシュの更新を行いません。`--rebuild` とは併用できません。
`-nc`, `--no-cache`
基盤となるレポートデータについて、永続的なローカルキャッシュを無効にします。
`--report-type `
レポートに含めるレコードアクセス情報の種類を指定します。省略した場合は `history` が使用されます。\
`vault` を指定すると現在アクセス可能なレコードを表示し、`history` を指定すると過去にアクセスしたレコードのみを表示します。
`--aging`
経過に関する列 (`Created`、`Last Pw Change`、`Last Modified`、`Last Rotation`) を含めます。
{% hint style="warning" %}
一部のコマンダーバージョンでは、`--report-type vault` にすべての共有レコードが含まれない場合があります。ボルト全体を完全に可視化するには、`compliance report` (所有レコード) と `compliance record-access-report --report-type vault` (共有関係) を併用し、`compliance report.username == rar.vault_owner` かつ `record_uid` が一致する行同士で結合してください。
{% endhint %}
#### 例
```
compliance record-access-report user@company.com
compliance rar --report-type vault --format csv --output "all_vaults.csv" -e @all
compliance rar --report-type vault --aging -e user1@company.com -e user2@company.com
```
1. `user@company.com` が過去にアクセスしたすべてのレコードの一覧を表示します。
2. すべてのユーザーについて、現在それぞれのボルト内にある共有レコードをCSVファイルとしてエクスポートします。
3. **** および **** が現在アクセスできる共有レコードについて、各レコードの作成日時、最終変更日時、最終ローテーション日時を含むレポートを生成します。
## SIEMにイベントのログを記録
コマンダーは、Splunk、Sumo、汎用Syslog形式などの一般的なSIEMソリューションとの連携に対応しています。イベントの一般的なレポート作成には、`audit-report` コマンドの使用をお勧めします。オンプレミスのSIEMへイベントデータを送信する場合は、`audit-log` コマンドが適しています。このコマンドは、前回エクスポートしたイベントを自動的に追跡し、差分のみを送信します。イベントタイプは200種類を超え、その一覧はエンタープライズガイドの[こちらのページ](https://app.gitbook.com/s/eJwa6ByNJ2qindnPknCW/event-reporting)に記載されています。
オンプレミス環境でHTTPイベントコレクターが社内ネットワーク内でのみ利用可能な場合、Keeperコマンダーを使用したSIEM連携が有効に機能します。Keeper管理コンソール (バージョン13.3以降) では、バックエンドのイベントデータをSIEMソリューションへ連携できますが、この機能を利用するにはクラウドベースのSIEMソリューションを使用している必要があります。Keeperコマンダーを使用せずにSIEMとの連携が必要な場合は、ビジネスサポートチーム () までお問い合わせください。
### **Syslog形式でのイベントログのエクスポート**
Keeperコマンダーを使用すると、すべてのイベントログをsyslog形式でローカルファイルにエクスポートできます。また、差分のみを含む増分ファイルとしてデータをエクスポートすることも可能です。前回エクスポートしたイベントの参照情報は、ボルト内のKeeperレコードに保存されます。
```
$ keeper shell
```
以下では、すべてのイベントをエクスポートし、最後にエクスポートされたイベント時刻の追跡を開始します。
```
My Vault> audit-log --target=syslog
Do you want to create a Keeper record to store audit log settings? [y/n]: y
Choose the title for audit log record [Default:Audit Log:Syslog]:
Enter filename for syslog messages.
... Syslog file name: all_events.log
... Gzip messages? (y/N): n
Exported 3952 audit events
My Vault>
```
この操作により、ボルト内にレコードが作成されます(この例では「Audit Log: Syslog」というタイトルになります)。このレコードには、最後にエクスポートされたイベントのタイムスタンプと出力ファイル名が保存されます。その後、イベントデータはテキスト形式またはgzip形式のファイルとしてエクスポートされます。
以降の監査ログのエクスポートは、以下のコマンドを使用して実行できます。
```
$ keeper audit-log --format=syslog --record=
```
またはシェルから以下のように実行します。
```
My Vault> audit-log --target=syslog --record=
```
syslogイベントを5分ごとにエクスポートするように自動化するには、以下のようなJSON設定ファイルを作成します。
```
{
"server":"https://keepersecurity.com",
"user":"user@company.com",
"password":"your_password_here",
"mfa_token":"filled_in_by_commander",
"mfa_type":"device_token",
"debug":false,
"plugins":[],
"commands":["sync-down","audit-log --target=syslog"],
"timedelay":600
}
```
次に、以下のようにconfigパラメータを指定してコマンドを実行します。
```
$ keeper --config=my_config_file.json
```
### Splunk HTTP Event Collectorへの送信
Keeperでは、オンプレミスまたはクラウド環境のSplunkインスタンスへ、イベントログを直接送信できます。設定は以下の手順で行います。
* Splunk Enterpriseにログインします。
* **\[Settings]** (設定) -> **\[Data Inputs]** (データ入力) -> **\[HTTP Event Collector]** (HTTPイベントコレクタ) に移動します。
* **\[New Token]** (新しいトークン) をクリックして名前を入力し、インデックスを選択して完了します。
* 最後の画面で表示される「Token Value」 (トークン値) をコピーし、以降の手順で使用するために保存します。
* Keeperコマンダーシェルにログインします。
```
$ keeper shell
```
次に、コマンダーでSplunk連携の設定を行います。設定時に指定したトークンとSplunk HTTP Event Collectorの情報は、ボルト内のKeeperレコードに保存されます。このレコードは、取得済みの最終イベントを追跡するためにも使用され、以降の実行では前回の続きからイベントが送信されます。なお、HTTP Event Collectorのデフォルトポートは8088です。
```
$ keeper audit-log --format=splunk
Do you want to create a Keeper record to store audit log settings? [y/n]: y
Choose the title for audit log record [Default:Audit Log:Splunk]:
Enter HTTP Event Collector (HEC) endpoint in format [host:port].
Example: splunk.company.com:8088
... Splunk HEC endpoint:192.168.51.41:8088
Testing 'https://192.168.51.41:8088/services/collector' ...Found.
... Splunk Token: e2449233-4hfe-4449-912c-4923kjf599de
```
以下の監査ログエクスポートでSplunkレコードのレコードUIDが確認できます。
```
My Vault> search splunk
# Record UID Title Login URL
--- ---------------------- ----------------- ------- -----
1 schQd2fOWwNchuSsDEXfEg Audit Log:Splunk
```
以降の各監査ログのエクスポートは、以下のコマンドで実行できます。
```
$ keeper audit-log --format=splunk --record=
```
またはシェルから以下のように実行します。
```
My Vault> audit-log --target=splunk --record=
```
Splunkイベントを5分ごとに送信するよう自動化するには、以下のようなJSON設定ファイルを作成します。
```
{
"server":"https://keepersecurity.com",
"user":"user@company.com",
"password":"your_password_here",
"mfa_token":"filled_in_by_commander",
"mfa_type":"device_token",
"debug":false,
"plugins":[],
"commands":["sync-down","audit-log --target=splunk"],
"timedelay":600
}
```
次に、以下のようにconfigパラメータを指定してコマンドを実行します。
```
$ keeper --config=my_config_file.json
```
### Sumo Logic HTTP Event Collectorへの送信
Keeperでは、Sumo Logicアカウントへイベントログを直接送信できます。設定は以下の手順で行います。
* Sumo Logicにログインします。
* **\[Manage Data]** (データ管理) -> **\[Collection]** (収集) に移動します。
* **\[Add Collector]** (コレクタを追加) -> **\[Hosted Collector]** (ホストされたコレクタ)、**\[Add Source]** (ソースを追加) -> **\[HTTP Logs & Metrics]** (HTTPログ&メトリクス) の順にクリックします
* コレクタに名前を付けて保存します。その他のフィールドはデフォルトのままで問題ありません。
* 表示されるHTTP Source Address (コレクタURL) を控えておきます。
* Keeperコマンダーシェルにログインします
```
$ keeper shell
```
次に、コマンダーでSumo Logic連携の設定を行います。設定したHTTP Collectorの情報は、ボルト内のKeeperレコードに保存されます。このレコードは、取得済みの最終イベントを追跡するためにも使用され、以降の実行では前回の続きからイベントが送信されます。
```
$ keeper audit-log --format=sumo
```
「HTTP Collector URL:」の入力を求められたら、先ほどSumoの画面で取得したURLを貼り付けてください。
この手順を完了すると、イベントデータ連携を追跡するためのレコードがボルト内に作成されます。以降の監査ログエクスポートで使用するため、このSumo用レコードのUIDを確認できます。
```
My Vault> search sumo
# Record UID Title Login URL
--- ---------------------- ----------------- ------- -----
1 schQd2fOWwNchuSsDEXfEg Audit Log:Sumo
```
以降の各監査ログのエクスポートは、以下のコマンドで実行できます。
```
$ keeper audit-log --format=sumo --record=
```
またはシェルから以下のように実行します。
```
My Vault> audit-log --target=sumo --record=
```
Sumo Logicイベントを5分ごとに送信するよう自動化するには、以下のようなJSON設定ファイルを作成します。
```
{
"server":"https://keepersecurity.com",
"user":"user@company.com",
"password":"your_password_here",
"mfa_token":"filled_in_by_commander",
"mfa_type":"device_token",
"debug":false,
"plugins":[],
"commands":["sync-down","audit-log --target=sumo"],
"timedelay":600
}
```
次に、以下のようにconfigパラメータを指定してコマンドを実行します。
```
$ keeper --config=my_config_file.json
```
### **JSON形式でのイベントログのエクスポート**
Keeperコマンダーを使用すると、すべてのイベントログをJSON形式でローカルファイルにエクスポートできます。このローカルファイルは、コマンダーを実行するたびに上書きされます。この形式のエクスポートは、ファイルを処理する他のアプリケーションと組み合わせて利用できます。前回エクスポートしたイベントの参照情報は、ボルト内のKeeperレコードに保存されます。
```
$ keeper shell
```
すべてのイベントをエクスポートし、エクスポート済みの最終イベント時刻の追跡を開始するには、以下の手順を実行します。
```
My Vault> audit-log --target=json
Do you want to create a Keeper record to store audit log settings? [y/n]: y
Choose the title for audit log record [Default:Audit Log:JSON]:
JSON file name: all_events.json
Exported 3952 audit events
My Vault>
```
この操作により、ボルト内にレコードが作成されます (この例では「Audit Log: JSON」というタイトルになります)。このレコードには、最後にエクスポートされたイベントのタイムスタンプと出力ファイル名が保存されます。その後、イベントデータはファイルとしてエクスポートされます。
以降の監査ログのエクスポートは、以下のコマンドを使用して実行できます。
```
$ keeper audit-log --format=json --record=
```
またはシェルから以下のように実行します。
```
My Vault> audit-log --target=json --record=
```
JSONイベントを5分ごとにエクスポートするように自動化するには、以下のようなJSON設定ファイルを作成します。
```
{
"server":"https://keepersecurity.com",
"user":"user@company.com",
"password":"your_password_here",
"mfa_token":"filled_in_by_commander",
"mfa_type":"device_token",
"debug":false,
"plugins":[],
"commands":["sync-down","audit-log --target=json"],
"timedelay":600
}
```
次に、以下のようにconfigパラメータを指定してコマンドを実行します。
```
$ keeper --config=my_config_file.json
```
### **Azure Log Analyticsへの送信**
Keeperでは、Azure Log Analyticsワークスペースへイベントログを直接送信できます。設定は以下の手順で行います。
* Azureポータルにログインし、Log Analyticsワークスペースを開きます。
* **\[Settings]** (設定) -> **\[Advanced settings]** (詳細設定) に移動します。
* Workspace IDと、Primary KeyまたはSecondary Keyを控えておきます。
* Keeperコマンダーシェルにログインします。
```
$ keeper shell
```
次に、コマンダーでLog Analytics連携の設定を行います。設定したLog Analyticsのアクセス情報は、ボルト内のKeeperレコードに保存されます。このレコードは、取得済みの最終イベントを追跡するためにも使用され、以降の実行では前回の続きからイベントが送信されます。
```
$ keeper audit-log --format=azure-la
```
「Workspace ID:」の入力を求められたら、先ほどAdvanced settings画面で確認したWorkspace IDを貼り付けてください。「Key:」の入力を求められたら、同じ画面で確認したPrimary KeyまたはSecondary Keyを貼り付けてください。
この手順を完了すると、イベントデータ連携を追跡するためのレコードがボルト内に作成されます。以降の監査ログエクスポートで使用するため、このLog Analytics用レコードのUIDを確認できます。
```
My Vault> search analytics
# Record UID Title Login URL
--- ---------------------- ------------------------------ ------------------------------------ -----
1 schQd2fOWwNchuSsDEXfEg Audit Log:Azure Log Analytics
```
以降の各監査ログのエクスポートは、以下のコマンドで実行できます。
```
$ keeper audit-log --format=azure-la --record=
```
またはシェルから以下のように実行します。
```
My Vault> audit-log --target=azure-la --record=
```
Azure Log Analyticsにイベントを5分ごとに送信するよう自動化するには、以下のようなJSON設定ファイルを作成します。
```
{
"server":"https://keepersecurity.com",
"user":"user@company.com",
"password":"your_password_here",
"mfa_token":"filled_in_by_commander",
"mfa_type":"device_token",
"debug":false,
"plugins":[],
"commands":["sync-down","audit-log --target=azure-la"],
"timedelay":600
}
```
次に、以下のようにconfigパラメータを指定してコマンドを実行します。
```
$ keeper --config=my_config_file.json
```
[^1]: 「招待済み」状態の対象ユーザー
[^2]: 削除するアクション
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.keeper.io/jp/keeperpam/commander-cli/command-reference/reporting-commands.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.