レポート作成コマンド
監査記録およびレポート機能用コマンド
コマンド
Keeperコマンドリファレンス
対話型シェル、CLI、JSON設定ファイルのいずれを使用する場合でも、以下のコマンドがサポートされており、各コマンドでは追加のパラメータとオプションがご利用になれます。
特定のコマンドのヘルプを表示するには、次のコマンドを実行します。
help <command>
レポート作成コマンド
指定した日数内に特定の操作を実行しなかったユーザーを表示します
X日以内に変更「されなかった」レコードのパスワードを特定します
企業の監査ログとイベントログをエクスポートします
監査イベントのカスタマイズされたレポートを表示します
全社のユーザーのボルト内のレコードに関する情報を表示します
外部アカウントと共有されているレコードに関する情報を表示します
管理対象会社のプランと使用可能なライセンスの情報を表示します
社内のユーザーごとにパスワードのセキュリティ強度のレポートを表示します
社内の各ユーザーのBreachwatchセキュリティ スコアのレポートを表示します
共有レコードの情報を表示します
共有レコードのレポートを表示します
ユーザーログインのレポートを表示します
リスク管理レポート
audit-logコマンド
コマンド: audit-log
詳細:
高度なレポートとアラートモジュール (ARAM) からローカルのコマンダーインスタンスにイベントデータをダウンロードし、SIEMプロバイダにそのイベントをプッシュ配信します。プロセスを完全に自動化するために、Keeper管理コンソールで提供されるクラウドベースのSIEMエクスポートの使用をお勧めします。自動エクスポートの詳細については、こちらのページをご参照ください。
audit-logコマンドは、Keeperのバックエンドサーバーが目的のエンドポイントにアクセスできない場合にSIEMプッシュ機能を提供します。また、イベントをローカルでJSONファイルにエクスポートしたいだけの場合にも有効です。イベントのエクスポートの状態は、Keeperのレコードを使用して保存されることにご注意ください。そのため、audit-logコマンドを繰り返し使用すると、中断した所から再開されます。
audit-logを初めて実行する場合、Keeperの使用履歴が多いと、時間の先頭から開始されるため、処理に時間がかかります。
スイッチ:
--anonymize
メールとユーザー名を企業の対応するユーザーIDに置き換えて、監査ログを匿名化します。ユーザーが削除された場合、またはユーザーのメールが変更された場合、監査レポートにはその特定のエントリが削除されたユーザーとして表示されます。
--target <{
splunk, sumo, syslog, syslog-port, azure-la, json
}
>
エクスポート対象を選択します。
splunk
Splunk HTTPイベントコレクタにイベントをエクスポートします。sumo
Sumo Logic HTTPイベントコレクタにイベントをエクスポートします。syslog
イベントをsyslog形式でローカルファイルにエクスポートします。syslog-port
syslog形式のイベントをTCPポートにエクスポートします。プレーン接続とSSL接続の両方がサポートされています。azure-la
Keeper_CLという名前のカスタムログとしてイベントをAzure Log Analyticsにエクスポートします。json
イベントをJSON形式でローカルファイルにエクスポートします。
--record <レコード名またはUID>
現在のエクスポート状態を格納するKeeperのレコードを選択します。これには、目的のエンドポイントに接続するために必要なSplunkパラメータなどのシークレットも含まれます。
--shared-folder-uid <共有フォルダUID>
フィルタ: 共有フォルダUID。設定レコード内の既存の設定を上書きして新しいフィールド値を設定します。
--node-id <ノードID>
フィルタ: ノードID。設定レコード内の既存の設定を上書きして新しいフィールド値を設定します。
--days <日数>
フィルタ: 最大イベント日数。設定レコード内の既存の「last_event_time」値を上書きします。
例:
すべてのイベントデータをダウンロードし、SplunkエンドポイントHTTPイベントコレクタにプッシュ配信します。Splunk HECエンドポイントの入力を求めるプロンプトが表示されます。
レコードUIDを参照するすべてのイベントデータをダウンロードして、JSON形式で出力します。
ID = 368009977790518のノードの過去30日以内のイベントデータを取得します。audit-log-jsonという名前のボルトレコードを使用して追加のクエリパラメータを取得し、必要に応じて更新します。
UID = 8oGAJPplH2DFUQ0obwox7Qの共有フォルダのイベントデータを取得し、Splunk HTTP イベントコレクターにエクスポートします。Splunk-Logレコードに設定されたカスタムフィールド値を使用して、イベントデータクエリパラメーターを入力し、適切なSplunk アカウントにエクスポートするのに必要な情報 (HECエンドポイント、認証情報など) を渡します。
audit-reportコマンド
レポートを実行するには、ARAMアドオンが必要です。
コマンド: audit-report
詳細: 随時カスタマイズされた高度な監査イベントレポートをraw形式および要約形式で生成します。
イベントのプロパティ:
パラメーター:
結果を指定の文字を含む行に制限します。任意。
スイッチ:
--report-type <{
raw, dim, hour, day, week, month, span
}>
表示するレポートの種類 (必須)。
raw
すべての監査イベント。 オプションで--report-format
を使用して形式を変更します (デフォルトリスト)。hour
時間別に要約されたレポートを表示します。day
日別に要約されたレポートを表示します。week
週別に要約されたレポートを表示します。month
月別に要約されたレポートを表示します。span
監査イベントの表を表示します。デフォルトでは、発生回数のみが表示されます。--columns
を使用してその他の列を追加します。dim
指定した列で使用可能なすべての値と詳細情報のリストを表示します。複数の列を含めると、詳細リストが順に表示されます。--columns
を使用する必要があります。
--report-format <{_message, field_s}>
出力形式を選択します (「raw」レポート専用)。
message
以下の列を表示します (デフォルト)created
audit_event_type
username
ip_address
keeper_version
geo_location
message
fields
以下の列を表示しますcreated
audit_event_type
username
ip_address
keeper_version
geo_location
record_uid
--columns <列>
表示する列を指定します (「raw」レポートでは無視されます)。
使用できる列:
audit_event_type
username
ip_address
keeper_version
geo_location
message
created
record_uid
record_name (コンプライアンスレポートモジュールが必要*)
使用法: 各列にスイッチを全部使用します
--aggregate <{
occurrences, first_created, last_created
}>
集計値。繰り返し指定できます (rawレポートでは無視されます)。
occurrences イベントタイプの発生回数を表示します。
first_created イベントタイプが最初に発生した時刻を表示します。
last_created イベントタイプが最後に発生した時刻を表示します。
使用法: 表示したい集計ごとにスイッチを全部使用します。
--timezone <タイムゾーン>
特定のタイムゾーンの結果を返します。
--limit <行数>
戻される行の最大数 (デフォルトは50、-1は無制限)。
--order <{
desc, asc
}>
ソート順。最初に返された列に基づいてソートします。
--created <作成日>
作成日で結果をフィルタリングします。
形式:
以下のリストから定義済みのフィルタ値を使用します。
today
yesterday
last_7_days
last_30_days
month_to_date
last_month
year_to_date
last_year
または、以下のカスタム日付範囲形式を使用します。
"between %Y-%m-%dT%H:%M:%SZ and %Y-%m-%dT%H:%M:%SZ"
例: "between 2022-01-01 and 2022-06-01"
--event-type <イベントコード>
イベントタイプでフィルタリングします。使用可能なすべてのイベントタイプの一覧はこちらのページをご参照ください。
--username <ユーザー名>
ユーザー名でフィルタリングします。
--to-username <ターゲットのユーザー名>
イベントのターゲットでフィルタリングします。
--record-uid <レコードUID>
レコードでフィルタリングします。
--shared-folder-uid <共有フォルダUID>
共有フォルダでフィルタリングします。
--geo-location <地理的位置>
地理的位置でフィルタリングします。以下のコマンドを実行して、利用可能な地理的位置のリストを取得します。
--ip-address <IPアドレス>
IPアドレスでフィルタリングします。
地理的位置のフィルタ形式は「[[都市, ] 州,] 国」となります。
例:
「El Dorado Hills, California, US」
「Bayern,DE」 - ドイツ、バイエルン
「CA」 - カナダ
--ip-address
ユーザーのIPアドレスでフィルタリングします。たとえば、特定のIPから発生した最新の5,000件のイベントを検索するには、次の手順を実行します。
--device-type <デバイスタイプ>
Keeperデバイス/アプリケーションおよびオプションのバージョン。
デバイスタイプフィルタの形式は「DeviceType[, Version]」となります。
例:
「Commander」 Keeper Commanderの全バージョン
「Web App, 16」 ウェブボルトバージョン「16.x.x」
--format <
table, csv, json>
出力形式で、表がデフォルトです。
--max-record-details
ローカルキャッシュで見つからない場合、追加のrecord-detailデータを取得します。
例:
各イベントのメッセージを含むすべてのイベントに関する監査レポートを表示します (最新の5000イベントを表示します)。
各イベントのレコードUIDを含むすべてのイベントに関する監査レポートを表示します。
使用可能なすべての監査イベントタイプを表示します。
イベントタイプとユーザー名を含む監査レポートを日別に要約して表示します。
当日の1時間ごとに実行された各イベントタイプの数の監査レポートを表示します。
過去30日以内にuser@mydomain.comによって作成または更新されたすべてのレコードUIDを表示します。
復号化されたレコードタイトルを含めて、当日発生した有効なレコードイベントをすべて表示します。
各ユーザーが各レコードに最後にアクセスした時刻 (タイトルおよび関連URLも) を表示し、キャッシュを介してデータがローカルで利用可能でない場合は、各レコードの詳細 (タイトル、URLなど) の追加取得を強制 (時間とリソースを大量に消費する可能性があります)。
user-reportコマンド
コマンド: user-report
詳細: ユーザーステータスレポートを随時生成します。
スイッチ:
--format <{
table,json,csv
}>
レポートの形式。
--output <ファイル名>
指定したファイル名に出力します。
--days <日数>
最終ログイン日を遡る日数。
--last-login
各ユーザーが最後にログインした時刻を表示します。
例:
過去365日間のユーザーログインレポートを表示します。
過去30日間のユーザーレポートを作成し、「logins.csv」という名前のファイルにcsv形式で出力します。
社内の各ユーザーが最後にログインした時刻のレポートを作成し、「last-logins.csv」ファイルに保存します。
security-audit-reportコマンド
コマンド: security-audit-report
詳細: 自社ユーザーのパスワードのセキュリティ強度レポートを生成します。
レポートの列:
スイッチ:
--format <{
table,json,csv
}>
レポートの形式。
--output <ファイル名>
指定したファイル名に出力します。
--syntax-help
レポートの各列の説明を表示します。
-n、--node
結果をフィルタリングするノードの名前またはUID。
-b
、--breachwatch
Breachwatchセキュリティレポートを表示します (コマンダー v16.5.5以降)。
-su
、--show-updated
セキュリティ監査スコアを再計算して、ローカルに表示します (プレビュー)。
-s
、--save
セキュリティ監査スコアを再計算し、更新されたスコアをKeeperにプッシュ配信します。
-st
、--score-type <{
strong_passwords,default
}>
ユーザーのセキュリティスコアの計算方法を定義します (--score-type=strong_passwords
を設定すると、レポートのサマリーセキュリティスコアは、 対応するボルトのセキュリティ監査ページで計算されて表示される値と同じく、強力であると見なされた各ユーザーのパスワードの数のみに基づいて計算されます)。
--attempt-fix
セキュリティデータが無効と判定されたボルトに対して「ハード」同期を実行します。これにより、関連するセキュリティスコアがリセットされ、影響を受けたボルトがセキュリティデータを再計算および更新するまで、スコアは正確でなくなります。
-f
、--force
確認プロンプトをスキップします (非対話モード)。
下位互換性を維持するため、このコマンドはデフォルトでは (最近のボルトの変更に基づいてて) セキュリティスコアの計算を更新することはありません。その後、デフォルトでは、更新されたセキュリティスコアも保存されません。
上記の挙動を変更するには、コマンド呼び出しに--show-updated
フラグか--save
フラグのどちらかを含めます (後者のフラグが含まれている場合、前者を含める必要はありません)。
例:
セキュリティ監査レポート (社内のユーザーごとのパスワードの強度) を表示します。
セキュリティ監査レポートを作成し、「security_score.json」という名前のファイルにjson形式で出力します。
Breachwatchセキュリティレポートを表示します。
セキュリティ監査スコアを再計算し、セキュリティ監査レポートを表示します。Keeperに変更はプッシュ配信しません。
セキュリティ監査スコアを再計算し、セキュリティ監査レポートを表示して、Keeperに変更をプッシュ配信します。
セキュリティ監査レポートを表示します (コマンドの省略形を使用)。結果は、企業ノードNode1に割り当てられたアカウントに制限されます。
強力と見なされた各ユーザーのパスワードの数に基づいてセキュリティ監査スコアを表示し、結果をKeeperにプッシュ配信します。
breachwatch reportコマンド
コマンド: breachwatch report
またはbw report
詳細: 組織内の全ユーザーのBreachwatchセキュリティレポートを実行します。
スイッチ:
--format <{
table,csv
}>
レポートの形式
--output <ファイル名>
指定のファイル名で出力
例:
Breachwatch固有のセキュリティスコアを表示します。
Breachwatchセキュリティレポートを、コマンダーの現在の作業ディレクトリ (フォルダの完全なパスを取得するには
v -v
コマンドを実行) に存在する「breachwatch_report.csv」というCSVファイルにエクスポートします。
share-reportコマンド
コマンド: share-report
詳細: 共有レコード (呼び出し元のユーザーと共有するレコードおよび呼び出し元のユーザーが共有するレコードの両方) のレポートを表示します。
パラメータ:
レポートに表示するレコードを含むフォルダのパスまたはUID。オプション (複数の値を指定可能)。
スイッチ:
--format <{
table,csv
}>
レポートの形式。
--output <ファイル名>
指定したファイル名に出力します。
-r
、--record <レコード名かレコードUID>
レポートを表示する特定のレコードを指定します。
-e
、--email <ユーザーのメールまたはチーム名>
共有レコードのレポートを表示するユーザーまたはチームを指定します。
-o
、--owner
レコードの所有者を表示します。
--share-date
レコードが共有された日付を表示します。 所有者レポートにのみ使用されます (--owner
スイッチ)。会社のレポートを実行する権限を持つユーザーのみが使用できます。
-sf
、--shared-folders
共有フォルダの詳細情報を表示します。省略した場合は、レコードが対象となります。
-v
、--verbose
レポートにレコードUIDを表示します。
-f
、--folders
レポートを共有フォルダに制限します (共有レコードを除外します)。
-tu
、--show-team-users
チーム共有情報を展開して、レポートに各共有フォルダまたは共有レコードの個々のメンバーを含めます。
例:
共有レコードのレポートを表示します。
指定したUIDを持つレコードの共有レポートを表示します。
共有レコードのレポートをcsv形式で出力します。
「john.doe@gmail.com」と共有されたレコードのレポートを表示します。元の所有者と共有された日時も表示します。
「Team1_Folder」という名前のフォルダとUIDがZa2aspMQG9De5In28sc3KAのフォルダに含まれる各共有レコードの所有権情報と詳細な共有権限が記載されたレポートを表示します。
現在のユーザーのボルト内の共有フォルダのリストと、各共有フォルダーにアクセスできるチームおよび他のユーザーを表示します。
shared-records-reportコマンド
コマンド: shared-records-report
またはsrr
詳細: 共有レコードに関する情報を表示します (表示される情報は、呼び出し元のユーザーが他のユーザーと共有しているレコードに限定されます。つまり、他のユーザーが呼び出し元のユーザーと共有しているレコードは除外されます。両方のタイプのレコードを含めるには、share-report
コマンドをご参照ください)。
パラメータ:
レポートに表示するレコードを含むフォルダのパスまたはUID。オプション (複数の値を指定可能)。
スイッチ:
--format
<{json,csv,table}> レポートの形式。
-o、--output <ファイル名> 指定したファイル名に出力します。「table」形式の場合は無視されます。
--all-records
すべてのレコードをレポートに含めます。デフォルトでは、所有しているレコードのみがレポートされます。
--show-team-users
または-tu
共有チームフォルダを使用して共有されたレコードのチームメンバーを表示します。
例:
共有レコードの情報を表形式で表示します。。。。
共有レコードの情報をcsv形式で表示します
共有フォルダを使用してレコードを共有するすべてのチームの個々のメンバーと共有されたレコードに関する情報を表示します
「My Shares」、「Team1/Shares」フォルダ (パスで識別されるフォルダ) および「_qsA0AA0XwJkeTVQdijmEg」フォルダ (UIDで識別されるフォルダ) にある共有レコードに関する情報をshared_records.jsonという名前のJSON形式のファイルにエクスポートします。この場合、格納フォルダがコマンド呼び出しで明示的に指定されているため、結果のレポートに含まれるレコードは、指定したフォルダ内にあるレコードのみに制限されます (フォルダの子として、またはサブフォルダの子としてなど)
external-shares-reportコマンド
コマンド: external-shares-report
詳細: 社外のユーザーと共有されたフォルダとレコードを表示します。必要に応じて、すべての外部共有を削除します。
スイッチ:
--format {table,json,csv}
出力形式。
--output <FILENAME>
ファイル名に出力します。table形式を使用している場合は無視されます。
-a、--action {remove,none}
外部共有に適用する操作。確認を求めて共有を削除するには「remove」を使用し、確認を省略する場合は「none」を使用します。
-t、--share-type {direct,shared-folder,all}
個別の共有レコード (direct) または共有フォルダのみを表示します。省略した場合は「all」が指定されます。
-f、--force
確認を求めずに操作を強制的に適用します。。
-r、--refresh-data
レポートを実行する前に同期して最新のデータを取得します
例:
外部共有フォルダおよびレコードをすべて表示します。
すべての外部共有フォルダおよびレコードをshare_report.csvとして出力します。
外部共有フォルダおよびレコードをすべて削除します (確認プロンプトを表示)。
外部で共有されている個々のレコードをすべて削除しますが、共有フォルダは削除しません。
外部共有フォルダはすべて削除しますが、個々のレコードは削除しません。
外部共有フォルダおよびレコードを確認プロンプトを表示せずにすべて削除します。
Keeperと同期して最新のデータを取得し、共有レポートを生成します。
msp-license-reportコマンド
コマンド: msp-license-report
詳細: 管理対象会社の使用可能なライセンスの情報を表示します。
スイッチ:
--format <{
json. table, csv
}>
レポートの形式。
--range <{
today, yesterday, last_7_days, last_30_days, month_to_date, last_month, year_to_date, last_year
}>
ライセンス使用状況の期間。
--from <開始日>
ライセンスの使用状況を表示する期間の開始日。 監査タイプ (--type audit
)とは一緒に使用しますが、--range
フラグとは一緒に使用しません。
形式:YYYY-mm-dd
例:2021-07-08
--to <終了日>
ライセンスの使用状況を表示する期間の終了日。 監査タイプ (--type audit
) とは一緒に使用しますが、--range
フラグとは一緒に使用しません。
形式:YYYY-mm-dd
例:2021-07-08
--output <ファイル名>
レポートの出力先のファイル。
例:
組織に現在割り当てられているライセンスと残りのライセンスのレポートを表示します。
過去30日間のライセンス使用状況のレポートを表示します。
2021年2月1日から3月1日までのライセンス使用状況のレポートを表示します。
現在のライセンス使用状況のレポートを「licenses.csv」という名前のファイルにcsv形式で出力します。
aging-reportコマンド
このレポートには、高度なレポートとアラートモジュールとコンプライアンスモジュールが必要です。詳細については、コンプライアンスレポートのページをご参照ください。
コマンド: aging-report
詳細: 指定時間内に変更「されなかった」レコードのパスワードを特定します。このレポートでは、絵エンタープライズプラットフォームの高度なレポート作成機能と、特権管理者のレコードタイトルを復号化できるコンプライアンスデータを利用します。
スイッチ:
-r、--rebuild
レコードのデータベースを再構築します。
--delete
レコードのローカルデータベースを削除します。
-nc、-no-cache
コマンドの完了時に、メモリ以外のローカルデータストレージをすべて削除します。
-s、--sort <{
owner, title, last_changed
}>
選択したフィールドで出力をソートします。
--format <{
table,json,csv
}>
レポートの形式。
--output <ファイル名>
指定したファイル名に出力します。
--period <期間>
この期間に変更されていないパスワードを持つレコードを検索します。
--cutoff-date <日付>
レポートを、この日付以降パスワードが変更されていないレコードに限定します。--period
スイッチと併用することはできません。
--username <ユーザー名>
指定したユーザーの失効したパスワードを報告します。
--exclude-deleted
削除されたレコードをレポートから除外します (このフラグを追加すると、追加データの取得が必要になり、その後のコマンド実行時間が長くなる場合があります)。
--in-shared-folder
レポートを共有フォルダ内のレコードに制限します。
例:
監査データとコンプライアンスデータをローカルで再構築します。
1年以上更新されていないパスワードの経過レポートを生成します。
3か月以上更新されていない特定のユーザーのパスワードの経過レポートを生成します。
各ボルトのごみ箱に現在入っているレコードは無視して、パスワード経過レポートを生成します。
過去3か月間パスワードが変更されていないすべての共有フォルダ内のレコードをリストとして表示します。
2020年12月31日以前にパスワードが最後に変更されたすべてのレコードを一覧表示します。
risk-managementコマンド
コマンド: risk-management
詳細: リスク管理レポートを生成
スイッチ:
--format <{table, json,csv}>
レポートの形式。
--output <ファイル名>
結果をファイルに保存したい場合に使用します。
例:
action-reportコマンド
ARAMアドオンが必要となります。
コマンド: action-report
詳細: 特定のステータスのユーザー、または指定した期間内に操作を実行していないユーザーに関するレポートを生成したり、アクションを講じたりします。--days-since
を使用して特に指定しない限り、デフォルトの期間は過去30日です。
スイッチ:
--format <{
table,json,csv
}>
レポートの形式。
--output <ファイル名>
結果をファイルに保存したい場合に使用します。
-d <日数>
または--days-since <日数>
対象となる操作をこの日数だけ遡ります (省略した場合、デフォルト値の30日が使用されます)。
-t
または--target <no-logon, no-update, locked, invited, no-security-question-update, blocked>
レポートまたはアクションの対象となるユーザーステータス。
--columns
レポートに表示する列のカンマ区切りのリスト。サポートされている列: {2fa_enabled, team_count, status, transfer_status, alias, role_count, node, teams, name, roles}
-a
または--apply-action <lock, delete, transfer, none>
対象を指定した後で使用、対象となるユーザーステータスに一致する各ユーザーアカウントに対して講じるアクション。
--target-user
(上記のtransferアクションと一緒に使用) ボルトの移管先アカウント。
-n
または--dry-run
--target/-t
スイッチで指定されたアクションステータスのカテゴリに当てはまるアカウントおよび適用される該当管理アクション (-a/--apply-action
スイッチで指定) を表示します。ただし、アクションは実際には適用されません。
-f
または--force -a/--apply-action
オプションで指定した管理アクションを確認を求めるプロンプトを表示せずに実行します (「delete」および「transfer」管理アクションにのみ適用されます)。
対象ユーザーのレポート例:
過去45日以内にログインしていないユーザーの一覧を表示します。
60日以上ロック状態のままのユーザーアカウントの一覧を表示します。
15日以上招待状態にあるユーザーの一覧を表示します。
過去35日間にレコードを更新していないユーザーの一覧を表示します。
デフォルトの期間 (過去30日間) 内に自分のアカウントの秘密の質問と回答を設定/変更していないユーザーを表示します。
過去30日間 (指定がない場合のデフォルトの期間) 以内にアカウントにログインしていないユーザーのレポートを生成します。これには、レポート内の各ユーザーの2FA ステータス、割り当てられているチームの数、割り当てられているロールの数、割り当てられているノード、フルネームが含まれます。
アクション対象ユーザーの例 (ドライランの場合は-nを追加):
アカウントが招待された状態で90日以上経過しているユーザーを削除します。
90日間ロックされているすべてのユーザーのボルトを指定したボルトに移管します。
180日以内にログインしていないすべてのユーザーをロックします。
compliance-reportコマンド
コンプライアンスレポート作成のアドオンが必要となります。
詳細については、コンプライアンスコマンドのページをご参照ください。
コマンド: compliance-report
詳細: 全社のレコードの共有状態のレポートを生成します。
このレポートは、コマンドが初めて呼び出されたときに作成されたキャッシュを利用します。企業の規模によっては、セッションの最初のコマンドが完了するまでに少し時間がかかる場合があります。
スイッチ:
--format
<
{
table,json,csv
}>
レポートの形式。
--output <ファイル名>
指定したファイル名に出力します。
-u
、--username <ユーザー名>
指定したユーザーのレコードに対するフィルタ。複数のユーザーに何度でも使用できます。
-n
、--node <ノード名かID>
指定したノードのボルト内のレコードに対するフィルタ。
-jt
、--job-title <職位>
指定した役職のユーザーが所有するボルトのレコードに対するフィルタ。複数の職位には複数回使用します。
--record <記録名かUID>
指定したレコードのみを表示します。複数のレコードに対しては複数回使用します。
--team <チーム名>
指定したチームのユーザーのみを表示します。複数のチームに対しては複数回使用します。
--url <URL>
指定されたURLを持つレコードのみを表示します。 複数のURLに対しては複数回使用します。
--shared
共有されているレコードのみを表示します。
--deleted-items
削除されたレコードのみを表示します (--active-items
フラグでは無効となります)。
--active-items
アクティブなレコードのみ表示します (--deleted-items
フラグでは無効となります)。
-r
、--rebuild
このレポートで使用したレコードのキャッシュを更新します。
-nr
, --no-rebuild
キャッシュが存在する場合、古いキャッシュの更新を禁止します (--rebuild
フラグでは無効)。
-nc
、--no-cache
基礎となるレポートデータの永続的なローカルキャッシュを無効にします。
例:
社内のすべてのユーザーのすべてのレコードの共有状態を表示します。
ユーザー「user@company.com」のボルトのレコードの共有状態を表示します。
シカゴの管理者が所有するボルトのレコードの共有状態を表示します。
「user@company.com」が所有する共有レコードに限定して、共有状態を表示します。
キャッシュされたデータが存在する場合、タイトルが「AWS MySQL Administrator」であるレコードの共有状況を、キャッシュされたデータに基づいて表示します。
組織内のすべてのアクティブなレコードの共有状況を表示します。
compliance team-reportコマンド
コンプライアンスレポート作成のアドオンが必要となります。
詳細については、コンプライアンスコマンドのページをご参照ください。
コマンド: compliance team-report
スイッチ:
--format <{
table,json,csv
}>
レポートの形式。
--output <ファイル名>
指定したファイル名に出力します。
-n
、--node <ノード名かID>
指定したノードのボルト内のレコードに対するフィルタ。
-r
、--rebuild
このレポートで使用したレコードのキャッシュを更新します。
-nr
、--no-rebuild
キャッシュが存在する場合、古いキャッシュの更新を禁止します (--rebuild
フラグでは無効)。
-nc
、--no-cache
基礎となるレポートデータの永続的なローカルキャッシュを無効にします。
-tu
、--show-team-users
レポートに各チームの個々のメンバーを表示します。
例:
コンプライアンスチームのレポートを表示します。。。
コンプライアンスチームのレポートのCSVファイル出力を保存します
レポートに各チームに割り当てられた個々のユーザーを表示します
compliance record-access-reportコマンド
コンプライアンスレポート作成のアドオンとARAMアドオンが必要となります。
詳細については、コンプライアンスコマンドのページをご参照ください。
コマンド: compliance record-access-report
or compliance rar
詳細: 指定された各ユーザーがアクセスした、または現在アクセスできるすべてのレコードのレポートを生成します。
パラメータ:
ユーザー名またはID。「@all」に設定して全ユーザーのレポートを生成します。
スイッチ:
--format <{
table,json,csv
}>
レポートの形式。
--output <ファイル名>
指定したファイル名に出力します。
-n
、--node <ノード名かID>
指定ノードのボルト内のレコードへのフィルタ。
-r
、--rebuild
このレポートで使用したレコードのキャッシュを更新します。
-nr
、--no-rebuild
キャッシュが存在する場合、古いキャッシュの更新を禁止します (--rebuild
フラグでは無効)。
-nc
、--no-cache
基礎となるレポートデータの永続的なローカルキャッシュを無効にします。
--report-type
レポートに含めるレコードアクセスデータのタイプを選択します (任意。省略した場合のデフォルトは「history」)。現在アクセス可能なレコードを表示するには「vault」に設定し、以前にアクセスしたレコードのみを表示するには「history」に設定します。
--aging
レポート内の各レコードの古いデータ (最終更新日、作成日など) を含めます。
例:
user@company.comがアクセスした全レコードのリストを表示します。。
全ユーザーのボルト内に現在存在する全レコードをリストしたCSVファイルをエクスポートします
現在user1@company.comとuser2@company.comが現在アクセスできる全レコードのレポートを生成します。各レコードが作成された日時、最後に変更された日時、最後にローテーションされた日時を表示します。
SIEMにイベントのログを記録
コマンダーは、Splunk、Sumo、汎用Syslog形式などの一般的なSIEMソリューションとの連携に対応しています。イベントのより一般的なレポートについては、audit-report
コマンドの使用をお勧めします。オンプレミスSIEMにイベントデータをプッシュ配信する場合は、audit-log
コマンドの使用をお勧めします。最後にエクスポートされたイベントを自動的に追跡し、増分更新のみを送信するためです。100を超えるイベントタイプの一覧は、こちらのページに記載されています。
コマンダーを使用したSIEM連携は、ネットワーク内でHTTPイベントコレクタしか利用できないオンプレミス環境で有効です。Keeper管理コンソールバージョン13.3以降では、バックエンドのイベントデータをSIEMソリューションに統合できますが、クラウドベースのSIEMソリューションを利用していなければなりません。コマンダーを使用せずにKeeperをSIEMソリューションに統合するためのサポートが必要な場合は、ビジネスサポートチーム (business.support@keepersecurity.com) までお問い合わせください。
Syslog形式でのイベントログのエクスポート
コマンダーは、すべてのイベントログをsyslog形式のローカルファイルにエクスポートしたり、データを増分ファイルでエクスポートしたりすることができます。ボルトのKeeperのレコードは、最後のイベントへの参照を保存するために使用されます。
以下では、すべてのイベントをエクスポートし、最後にエクスポートされたイベント時刻の追跡を開始します。
これにより、ボルトにレコードが作成され (この例では、「Audit Log: Syslog」というタイトル)、最後にエクスポートされたイベントのタイムスタンプと出力ファイル名を追跡します。次に、イベントデータがテキスト形式またはgzip形式でファイルにエクスポートされます。
以降の各監査ログのエクスポートは、次のコマンドで実行できます。
またはシェルから以下のように実行します。
syslogイベントを5分ごとにエクスポートするように自動化するには、以下のようなJSON設定ファイルを作成します。
次に、configパラメータを使用してコマンダーを実行します。以下はその例です。
Splunk HTTPイベントコレクタによるプッシュ配信
Keeperは、オンプレミスまたはクラウドのSplunkインスタンスにイベントログを直接POSTできます。以下はその手順となります。
Splunk Enterpriseにログインします。
Settings (設定) -> Data Inputs (データ入力) -> HTTP Event Collector (HTTPイベントコレクタ) に移動します。
[New Token] (新しいトークン)をクリックして名前を入力し、インデックスを選択して完了します。
最後の手順で、「Token Value」 (トークン値) をコピーし、次の手順用に保存します。
Keeperコマンダーシェルにログインします。
次に、Splunkとコマンダーとの連携を設定します。コマンダーは、指定したトークンとSplunk HTTPイベントコレクタを格納するボルトにレコードを作成します。これは、その後の実行が中断した所から再開されるように、最後に捕捉したイベントの追跡にも使用されます。HECのデフォルトポートは8088であることにご注意ください。
以下の監査ログエクスポートではSplunkレコードのレコードUIDが確認できます。
以降の各監査ログのエクスポートは、以下のコマンドで実行できます。
またはシェルから以下のように実行します。
Splunkイベントを5分ごとにプッシュ配信するように自動化するには、以下のようなJSON設定ファイルを作成します。
次に、以下のようにconfigパラメータを使用してコマンダーを実行します。
Sumo Logic HTTPイベントコレクタによるプッシュ配信
Keeperは、イベントログをSumo Logicアカウントに直接POSTできます。以下はその手順となります。
Sumo Logicにログインします。。。。。。
Manage Data (データ管理) -> Collection (収集) に移動します
Add Collector (コレクタを追加) -> Hosted Collector (ホストされたコレクタ)、Add Source (ソースを追加) -> HTTP Logs & Metrics (HTTPログ&メトリクス) の順にクリックします
コレクタに名前を付けて保存します。その他のフィールドはデフォルトにします
コレクタURLであるHTTPソースアドレスをメモします
Keeperコマンダーシェルにログインします
次に、Sumo Logicとコマンダーとの連携を設定します。コマンダーは、HTTPコレクタ情報を格納するボルトにレコードを作成します。これは、その後の実行が中断した所から再開されるように、最後に捕捉したイベントの追跡にも使用されます。
「HTTP Collector URL:」を求められた場合、上記のSumoインターフェースから取得したURLを貼り付けます。
この手順の後、イベントデータ統合を追跡するために使用されるレコードがボルトに作成されます。次の監査ログエクスポートのSumoレコードのレコードUIDが確認できます。
以降の各監査ログのエクスポートは、以下のコマンドで実行できます。
またはシェルから以下のように実行します。
Sumo Logicイベントを5分ごとにプッシュ配信するように自動化するには、以下のようなJSON設定ファイルを作成します。
次に、以下のようにconfigパラメータを使用してコマンダーを実行します。
JSON形式でのイベントログのエクスポート
コマンダーでは、すべてのイベントログをJSON形式でローカルファイルにエクスポートできます。ローカルファイルは、コマンダーを実行するたびに上書きされます。この種のエクスポートは、ファイルを処理する他のアプリケーションと組み合わせて使用できます。ボルトのKeeperのレコードは、最後のイベントへの参照を保存するために使用されます。
すべてのイベントをエクスポートし、最後にエクスポートされたイベント時刻の追跡を開始する手順は以下のとおりです。
これにより、ボルトにレコードが作成され (この例では、「Audit Log: JSON」というタイトル)、最後にエクスポートされたイベントのタイムスタンプと出力ファイル名を追跡します。その後、イベントデータがファイルにエクスポートされます。
以降の各監査ログのエクスポートは、以下のコマンドで実行できます。
またはシェルから以下のように実行します。
JSONイベントを5分ごとにエクスポートするように自動化するには、以下のようなJSON設定ファイルを作成します。
次に、以下のようにconfigパラメータを使用してコマンダーを実行します。
Azure Log Analytics
Keeperは、イベントログをAzure Log Analyticsワークスペースに直接POSTできます。以下はその手順となります。
Azureポータルにログインし、Log Analyticsワークスペースを開きます。
Settings (設定) -> Advanced settings (詳細設定) に移動します
ワークスペースIDとプライマリキーまたはセカンダリキーをメモします
Keeperコマンダーシェルにログインします
次に、Log Analyticsとコマンダーとの連携を設定します。コマンダーは、Log Analyticsのアクセス情報を格納するボルトにレコードを作成します。これは、その後の実行が中断した所から再開されるように、最後に捕捉したイベントの追跡にも使用されます。
「Workspace ID:」を求められた場合、上記の詳細設定インターフェースから取得したWorkspace IDを貼り付けます。「Key:」を求められた場合、上記の詳細設定インターフェースから取得したプライマリキーまたはセカンダリキーを貼り付けます。
この手順の後、イベントデータ統合を追跡するために使用されるレコードがボルトに作成されます。次の監査ログエクスポートのLog AnalyticsレコードのレコードUIDが確認できます。
以降の各監査ログのエクスポートは、以下のコマンドで実行できます。
またはシェルから以下のように実行します。
Azure Log Analyticsにイベントを5分ごとにプッシュ配信するように自動化するには、以下のようなJSON設定ファイルを作成します。
次に、以下のようにconfigパラメータを使用してコマンダーを実行します。
最終更新