レポート作成コマンド

監査記録およびレポート機能用のコマンド

コマンド

Keeperコマンドリファレンス

対話型シェル、CLI、JSON設定ファイルのいずれを使用する場合でも、以下のコマンドがサポートされており、各コマンドでは追加のパラメータとオプションがご利用になれます。

特定のコマンドのヘルプを表示するには、次のコマンドを実行します。

help <command>

レポート作成コマンド

コマンド説明

指定した日数内に特定の操作を実行しなかったユーザーを表示します

X日以内に変更「されなかった」記録のパスワードを特定します

企業の監査ログとイベントログをエクスポートします

監査イベントのカスタマイズされたレポートを表示します

全社のユーザーのボルト内の記録に関する情報を表示します

外部アカウントと共有されている記録に関する情報を表示します

管理対象会社のプランと使用可能なライセンスの情報を表示します

社内のユーザーごとにパスワードのセキュリティ強度のレポートを表示します

社内の各ユーザーのBreachwatchセキュリティ スコアのレポートを表示します

共有記録の情報を表示します

共有記録のレポートを表示します

ユーザーログインのレポートを表示します

audit-logコマンド

コマンド: audit-log

audit-logコマンドは、Keeperのバックエンドサーバーが目的のエンドポイントにアクセスできない場合にSIEMプッシュ機能を提供します。また、イベントをローカルでJSONファイルにエクスポートしたいだけの場合にも有効です。イベントのエクスポートの状態は、Keeperの記録を使用して保存されることにご注意ください。そのため、audit-logコマンドを繰り返し使用すると、中断した所から再開されます。

audit-logを初めて実行する場合、Keeperの使用履歴が多いと、時間の先頭から開始されるため、処理に時間がかかります。

スイッチ:

--anonymize メールとユーザー名を企業の対応するユーザーIDに置き換えて、監査ログを匿名化します。ユーザーが削除された場合、またはユーザーのメールが変更された場合、監査レポートにはその特定のエントリが削除されたユーザーとして表示されます。

--target <{splunk, sumo, syslog, syslog-port, azure-la, json}> エクスポート対象を選択します

  • splunk - Splunk HTTPイベントコレクタにイベントをエクスポートします

  • sumo - Sumo Logic HTTPイベントコレクタにイベントをエクスポートします

  • syslog - イベントをsyslog形式でローカルファイルにエクスポートします

  • syslog-port - syslog形式のイベントをTCPポートにエクスポートします。プレーン接続とSSL接続の両方がサポートされています

  • azure-la - Keeper_CLという名前のカスタムログとしてイベントをAzure Log Analyticsにエクスポートします

  • json - イベントをJSON形式でローカルファイルにエクスポートします

--record <記録名またはUID> 現在のエクスポート状態を格納するKeeperの記録を選択します。これには、目的のエンドポイントに接続するために必要なSplunkパラメータなどのシークレットも含まれます。

--shared-folder-uid <共有フォルダUID> フィルタ: 共有フォルダUID。設定記録内の既存の設定を上書きして新しいフィールド値を設定します。

--node-id <ノードID> フィルタ: ノードID。設定記録内の既存の設定を上書きして新しいフィールド値を設定します。

--days <日数> フィルタ: 最大イベント日数。設定記録内の既存の「last_event_time」値を上書きします。

:

audit-log --target=splunk
audit-log --record BhRRhjeL4armInSMqv2_zQ --target=json
audit-log --record=audit-log-json --target=json --days=30 --node-id=368009977790518
audit-log --shared-folder-uid=8oGAJPplH2DFUQ0obwox7Q --target=splunk --record=Splunk-Log
  1. すべてのイベントデータをダウンロードし、SplunkエンドポイントHTTPイベントコレクタにプッシュ配信します。Splunk HECエンドポイントの入力を求めるプロンプトが表示されます。

  2. 記録UIDを参照するすべてのイベントデータをダウンロードして、JSON形式で出力します。

  3. ID = 368009977790518のノードの過去30日以内のイベントデータを取得します。audit-log-jsonという名前のボルト記録を使用して追加のクエリパラメータを取得し、必要に応じて更新します。

  4. UID = 8oGAJPplH2DFUQ0obwox7Qの共有フォルダのイベントデータを取得し、Splunk HTTP イベントコレクターにエクスポートします。Splunk-Log記録に設定されたカスタムフィールド値を使用して、イベントデータクエリパラメーターを入力し、適切なSplunk アカウントにエクスポートするのに必要な情報 (HECエンドポイント、認証情報など) を渡します。

audit-reportコマンド

コマンド: audit-report

詳細: 随時カスタマイズされた高度な監査イベントレポートをraw形式および要約形式で生成します。

イベントのプロパティ:

  id                イベントID
  created           イベント時間
  username          監査イベントを作成したユーザー
  to_username       監査イベントのターゲットユーザー
  from_username     監査イベントのソースユーザー
  ip_address        IPアドレス
  geo_location      場所
  audit_event_type  監査イベントタイプ
  keeper_version    Keeperアプリケーション
  channel           2FAチャネル
  status            Keeper API result_code
  record_uid        記録UID
  shared_folder_uid 共有フォルダのUID
  node_id           ノードID (Enterpriseイベントのみ)
  team_uid          チームUID (Enterpriseイベントのみ)

スイッチ:

--report-type <{raw, dim, hour, day, week, month, span}> 表示するレポートの種類 (必須)

  • raw - すべての監査イベント。 オプションで--report-formatを使用して形式を変更します (デフォルトリスト)

  • hour - 時間別に要約されたレポートを表示します

  • day - 日別に要約されたレポートを表示します

  • week - 週別に要約されたレポートを表示します

  • month - 月別に要約されたレポートを表示します

  • span-監査イベントの表を表示します。デフォルトでは、発生回数のみが表示されます。--columnsを使用してその他の列を追加します

  • dim - 指定した列で使用可能なすべての値と詳細情報のリストを表示します。複数の列を含めると、詳細リストが順に表示されます。--columnsを使用する必要があります

--report-format <{_message, field_s}> 出力形式を選択します(「raw」レポート専用)

  • message - 以下の列を表示します (デフォルト)

    • created

    • audit_event_type

    • username

    • ip_address

    • keeper_version

    • geo_location

    • message

  • fields - 以下の列を表示します

    • created

    • audit_event_type

    • username

    • ip_address

    • keeper_version

    • geo_location

    • record_uid

--columns 表示する列を指定します (「raw」レポートでは無視されます)

使用可能な列:

  • audit_event_type

  • username

  • ip_address

  • keeper_version

  • geo_location

  • message

  • created

  • record_uid

  • record_name (コンプライアンスレポートモジュールが必要*)

使用法: 各列にスイッチを全部使用します

audit-report --report-type day --columns username --columns ip_address

--aggregate <{occurrences, first_created, last_created}> 集計値。繰り返し指定できます。(rawレポートでは無視されます)

  • occurrences - イベントタイプの発生回数を表示します

  • first_created - イベントタイプが最初に発生した時刻を表示します

  • last_created - イベントタイプが最後に発生した時刻を表示します

使用法: 表示したい集計ごとにスイッチを全部使用します

audit-report --report-type day --aggregate occurrences --aggregate last_created

--timezone <タイムゾーン> 特定のタイムゾーンの結果を返します

--limit <行数> 戻される行の最大数 (デフォルトは50、-1は無制限)

--order <{desc, asc}> ソート順。最初に返された列に基づいてソートします

--created <作成日> 作成日で結果をフィルタリングします

形式:

以下のリストから定義済みのフィルタ値を使用します。

  • today

  • yesterday

  • last_7_days

  • last_30_days

  • month_to_date

  • last_month

  • year_to_date

  • last_year

または、以下のカスタム日付範囲形式を使用します。

"between %Y-%m-%dT%H:%M:%SZ and %Y-%m-%dT%H:%M:%SZ"

例: "between 2022-01-01 and 2022-06-01"

--username <ユーザー名> ユーザー名でフィルタリングします

--to-username <ターゲットのユーザー名> イベントのターゲットでフィルタリングします

--record-uid <記録UID> 記録でフィルタリングします

--shared-folder-uid <共有フォルダUID> 共有フォルダでフィルタリングします

--geo-location <地理的位置> 地理的位置でフィルタリングします。以下のコマンドを実行して、利用可能な地理的位置のリストを取得します

audit-report --report-type=dim --columns=geo_location

--ip-address <IPアドレス> IPアドレスでフィルタリングします

地理的位置のフィルタ形式は「[[都市, ] 州,] 国」となります

例:

「El Dorado Hills, California, US」

「Bayern,DE」 - ドイツ、バイエルン

「CA」 - カナダ

--ip-address ユーザーのIPアドレスでフィルタリングします。たとえば、特定のIPから発生した最新の5,000件のイベントを検索するには、次の手順を実行します。

audit-report --report-type raw --format csv --limit 5000 --ip-address 11.22.33.44

--device-type <デバイスタイプ> Keeperデバイス/アプリケーションおよびオプションのバージョン

audit-report --report-type=dim --columns=device_type

デバイスタイプフィルタの形式は「DeviceType[, Version]」となります

例:

「Commander」 Keeper Commanderの全バージョン

「Web App, 16」 ウェブボルトバージョン「16.x.x」

--format <table, csv, json> 出力形式、表がデフォルトです

--max-record-details ローカルキャッシュで見つからない場合、追加のrecord-detailデータを取得します

例:

audit-report --report-type raw --limit 5000
audit-report --report-type raw --report-format fields
audit-report --report-type dim --column audit_event_type
audit-report --report-type day --column username --column audit_event_type
audit-report --report-type hour --aggregate occurrences --column audit_event_type --created today
audit-report --report-type=span --event-type=record_add --event-type=record_update --username=user@mydomain.com --column=record_uid --created=last_30_days
audit-report --format=table --report-type=day --event-type=open_record --columns username --columns ip_address --columns record_uid --columns record_title --created today
audit-report --report-type=span --event-type=open_record --column=username --column=record_title --column=record_url --aggregate=last_created --max-record-details
  1. 各イベントのメッセージを含むすべてのイベントに関する監査レポートを表示します (最新の5000イベントを表示します)

  2. 各イベントの記録UIDを含むすべてのイベントに関する監査レポートを表示します

  3. 使用可能なすべての監査イベントタイプを表示します

  4. イベントタイプとユーザー名を含む監査レポートを日別に要約して表示します

  5. 当日の1時間ごとに実行された各イベントタイプの数の監査レポートを表示します

  6. 過去30日以内にuser@mydomain.comによって作成または更新されたすべての記録UIDを表示します

  7. 復号化された記録タイトルを含めて、当日発生した有効な記録イベントをすべて表示します

  8. 各ユーザーが各記録に最後にアクセスした時刻 (タイトルおよび関連URLも) を表示し、キャッシュを介してデータがローカルで利用可能でない場合は、各記録の詳細 (タイトル、URLなど) の追加取得を強制 (時間とリソースを大量に消費する可能性があります)

user-reportコマンド

コマンド: user-report

詳細: ユーザーステータスレポートを随時生成します

スイッチ:

--format <{table,json,csv}> レポートの形式

--output <ファイル名> 指定したファイル名に出力します

--days <日数> 最終ログイン日を遡る日数

--last-login 各ユーザーが最後にログインした時刻を表示します

例:

user-report
user-report --format csv --output logins.csv --days 30
user-report --format csv --output last-logins.csv 
  1. 過去365日間のユーザーログインレポートを表示します

  2. 過去30日間のユーザーレポートを作成し、「logins.csv」という名前のファイルにcsv形式で出力します

  3. 社内の各ユーザーが最後にログインした時刻のレポートを作成し、「last-logins.csv」ファイルに保存します。

security-audit-reportコマンド

コマンド: security-audit-report

詳細: 自社ユーザーのパスワードのセキュリティ強度レポートを生成します

レポートの列:

My Vault> security-audit-report --syntax-help

Security Audit Report Command Syntax Description:

Column Name       Description
  username          user name
  email             e-mail address
  weak              number of records whose password strength is in the weak category
  medium            number of records whose password strength is in the medium category
  strong            number of records whose password strength is in the strong category
  reused            number of reused passwords
  unique            number of unique passwords
  securityScore     security score
  twoFactorChannel  2FA - ON/OFF

スイッチ:

--format <{table,json,csv}> レポートの形式

--output <ファイル名> 指定したファイル名に出力します

--syntax-help レポートの各列の説明を表示します

-n、--node 結果をフィルタリングするノードの名前またはUID

-b、--breachwatch Breachwatchセキュリティレポートを表示します (Commander v16.5.5以降)

-su、--show-updated セキュリティ監査スコアを再計算して、ローカルに表示します (プレビュー)

-s、--save セキュリティ監査スコアを再計算し、更新されたスコアをKeeperにプッシュ配信します

-st、--score-type <{strong_passwords,default}> ユーザーのセキュリティスコアの計算方法を定義します (--score-type=strong_passwordsを設定すると、レポートのサマリーセキュリティスコアは、 対応するボルトのセキュリティ監査ページで計算されて表示される値と同じく、強力であると見なされた各ユーザーのパスワードの数のみに基づいて計算されます)

下位互換性を維持するため、このコマンドはデフォルトでは (最近のボルトの変更に基づいてて) セキュリティスコアの計算を更新することはありません。その後、デフォルトでは、更新されたセキュリティ スコアも保存されません。

上記の挙動を変更するには、コマンド呼び出しに--show-updatedフラグか--saveフラグのどちらかを含めます (後者のフラグが含まれている場合、前者を含める必要はありません)。

例:

security-audit-report
security-audit-report --format json --output security_score.json
security-audit-report -b
security-audit-report -su
security-audit-report -s
sar -n Node1
security-audit-report --score-type=strong_passwords --save
  1. セキュリティ監査レポート (社内のユーザーごとのパスワードの強度) を表示します

  2. セキュリティ監査レポートを作成し、「security_score.json」という名前のファイルにjson形式で出力します

  3. Breachwatchセキュリティレポートを表示します

  4. セキュリティ監査スコアを再計算し、セキュリティ監査レポートを表示します。Keeperに変更はプッシュ配信しません

  5. セキュリティ監査スコアを再計算し、セキュリティ監査レポートを表示して、Keeperに変更をプッシュ配信します

  6. セキュリティ監査レポートを表示します (コマンドの省略形を使用)。結果は、企業ノードNode1に割り当てられたアカウントに制限されます

  7. 強力と見なされた各ユーザーのパスワードの数に基づいてセキュリティ監査スコアを表示し、結果をKeeperにプッシュ配信します

breachwatch reportコマンド

コマンド: breachwatch reportまたはbw report

詳細: 組織内の全ユーザーのBreachwatchセキュリティレポートを実行します。

スイッチ:

--format <{table,csv}> レポートの形式

--output <ファイル名> 指定のファイル名で出力

例:

breachwatch report
bw report --format csv --output breachwatch_report.csv
  1. Breachwatch固有のセキュリティスコアを表示します。

  2. Breachwatchセキュリティレポートを、Commanderの現在の作業ディレクトリ (フォルダの完全なパスを取得するにはv -vコマンドを実行) に存在する「breachwatch_report.csv」というCSVファイルにエクスポートします。

share-reportコマンド

コマンド: share-report

詳細: 共有記録 (呼び出し元のユーザーと共有する記録および呼び出し元のユーザーが共有する記録の両方) のレポートを表示します

パラメータ:

レポートに表示する記録を含むフォルダのパスまたはUID。オプション (複数の値を指定可能)。

スイッチ:

--format <{table,csv}> レポートの形式

--output <ファイル名> 指定したファイル名に出力します

-r、--record <記録名か記録UID> レポートを表示する特定の記録を指定します

-e、--email <ユーザーのメールまたはチーム名> 共有記録のレポートを表示するユーザーまたはチームを指定します

-o、--owner 記録の所有者を表示します

--share-date 記録が共有された日付を表示します。 所有者レポートにのみ使用されます (--ownerスイッチ)。会社のレポートを実行する権限を持つユーザーのみが使用できます。

-v、--verbose レポートに記録UIDを表示します

-f、--folders レポートを共有フォルダに制限します (共有記録を除外します)

-tu、--show-team-users チーム共有情報を展開して、レポートに各共有フォルダまたは共有記録の個々のメンバーを含めます

例:

share-report
share-report --record 5R7Ued8#JctulYbBLwM$
share-report --format csv --output share_report.csv
share-report -e john.doe@gmail.com --owner --share-date -v
share-report -o -v Team1_Folder Za2aspMQG9De5In28sc3KA
share-report --folders
  1. 共有記録のレポートを表示します

  2. 指定したUIDを持つ記録の共有レポートを表示します

  3. 共有記録のレポートをcsv形式で出力します

  4. 「john.doe@gmail.com」と共有された記録のレポートを表示します。元の所有者と共有された日時も表示します

  5. Team1_Folder」という名前のフォルダとUIDがZa2aspMQG9De5In28sc3KAのフォルダに含まれる各共有記録の所有権情報と詳細な共有権限が記載されたレポートを表示します

  6. 現在のユーザーのボルト内の共有フォルダのリストと、各共有フォルダーにアクセスできるチームおよび他のユーザーを表示します

shared-records-reportコマンド

コマンド: shared-records-reportまたはsrr

詳細: 共有記録に関する情報を表示します (表示される情報は、呼び出し元のユーザーが他のユーザーと共有している記録に限定されます。つまり、他のユーザーが呼び出し元のユーザーと共有している記録は除外されます。両方のタイプの記録を含めるには、share-reportコマンドをご参照ください)

パラメータ:

レポートに表示する記録を含むフォルダのパスまたはUID。オプション (複数の値を指定可能)。

スイッチ:

--format <{json,csv,table}> レポートの形式

-o、--output <ファイル名> 指定したファイル名に出力します。「table」形式の場合は無視されます

--show-team-usersまたは-tu 共有チームフォルダを使用して共有された記録のチームメンバーを表示します

例:

shared-records-report
shared-records-report --format csv
shared-records-report --show-team-users 
srr --format json -o shared_records.json 'My Shares' Team1/Shares _qsA0AA0XwJkeTVQdijmEg
  1. 共有記録の情報を表形式で表示します

  2. 共有記録の情報をcsv形式で表示します

  3. 共有フォルダを使用して記録を共有するすべてのチームの個々のメンバーと共有された記録に関する情報を表示します

  4. 「My Shares」「Team1/Shares」フォルダ (パスで識別されるフォルダ) および「_qsA0AA0XwJkeTVQdijmEg」フォルダ (UIDで識別されるフォルダ) にある共有記録に関する情報をshared_records.jsonという名前のJSON形式のファイルにエクスポートします。この場合、格納フォルダがコマンド呼び出しで明示的に指定されているため、結果のレポートに含まれる記録は、指定したフォルダ内にある記録のみに制限されます (フォルダの子として、またはサブフォルダの子としてなど)

external-shares-reportコマンド

コマンド: external-shares-report

詳細: 社外のユーザーと共有されたフォルダと記録を表示します。必要に応じて、すべての外部共有を削除します。

スイッチ:

--format {table,json,csv} 出力形式

--output <FILENAME> ファイル名に出力します。table形式を使用している場合は無視されます。

-a、--action {remove,none} 外部共有に適用する操作。確認を求めて共有を削除するには「remove」を使用し、確認を省略する場合は「none」を使用します

-t、--share-type {direct,shared-folder,all} 個別の共有記録 (direct) または共有フォルダのみを表示します。省略した場合は「all」が指定されます

-f、--force 確認を求めずに操作を強制的に適用します

-r、--refresh-data レポートを実行する前に同期して最新のデータを取得します

例:

external-shares-report
external-shares-report --format csv --output share_report.csv
external-shares-report -a remove
external-shares-report -a remove -t direct
external-shares-report -a remove -t shared-folder
external-shares-report -a remove -f 
external-shares-report -r
  1. 外部共有フォルダおよび記録をすべて表示します

  2. すべての外部共有フォルダおよび記録をshare_report.csvとして出力します

  3. 外部共有フォルダおよび記録をすべて削除します (確認プロンプトを表示)

  4. 外部で共有されている個々の記録をすべて削除しますが、共有フォルダは削除しません

  5. 外部共有フォルダはすべて削除しますが、個々の記録は削除しません

  6. 外部共有フォルダおよび記録を確認プロンプトを表示せずにすべて削除します

  7. Keeperと同期して最新のデータを取得し、共有レポートを生成します

msp-legacy-reportコマンド

コマンド: msp-legacy-report

詳細: 管理対象会社の使用可能なライセンスの情報を表示します

スイッチ:

--format <{json. table, csv}> レポートの形式

--range <{today, yesterday, last_7_days, last_30_days, month_to_date, last_month, year_to_date, last_year}> ライセンス使用状況の期間

--from <開始日> ライセンスの使用状況を表示する期間の開始日。 監査タイプ (--type audit)とは一緒に使用しますが、--rangeフラグとは一緒に使用しません

形式:YYYY-mm-dd 例:2021-07-08

--to <終了日> ライセンスの使用状況を表示する期間の終了日。 監査タイプ (--type audit) とは一緒に使用しますが、--rangeフラグとは一緒に使用しません

形式:YYYY-mm-dd 例:2021-07-08

--output <ファイル名> レポートの出力先のファイル

例:

msp-legacy-report
msp-legacy-report --range last_30_days
msp-legacy-report --from 2021-02-01 --to 2021-03-01
msp-legacy-report --format csv --output licenses.csv
  1. 会社に現在割り当てられているライセンスと残りのライセンスのレポートを表示します

  2. 過去30日間のライセンス使用状況のレポートを表示します

  3. 2021年2月1日から3月1日までのライセンス使用状況のレポートを表示します

  4. 現在のライセンス使用状況のレポートを「licenses.csv」という名前のファイルにcsv形式で出力します

aging-reportコマンド

この高度なレポートには、高度なレポートとアラートモジュールとコンプライアンスモジュールが必要です。詳細については、コンプライアンスレポートのページをご参照ください

コマンド: aging-report

詳細: 指定時間内に変更「されなかった」記録のパスワードを特定します。このレポートでは、Enterpriseプラットフォームの高度なレポート作成機能と、特権管理者の記録タイトルを復号化できるコンプライアンスデータを利用します。

スイッチ:

-r、--rebuild 記録のデータベースを再構築します

--delete 記録のローカルデータベースを削除します

-nc、-no-cache コマンドの完了時に、メモリ以外のローカルデータストレージをすべて削除します

-s、--sort <{owner, title, last_changed}> 選択したフィールドで出力をソートします

--format <{table,json,csv}> レポートの形式

--output <ファイル名> 指定したファイル名に出力します

--period <期間> この期間に変更されていないパスワードを持つ記録を検索します

--username <ユーザー名> 指定したユーザーの失効したパスワードを報告します

--exclude-deleted 削除された記録をレポートから除外します (このフラグを追加すると、追加データの取得が必要になり、その後のコマンド実行時間が長くなる場合があります)

--in-shared-folder レポートを共有フォルダ内の記録に制限します

例:

aging-report --rebuild
aging-report --period=1y
aging-report --period=3m --format=table --username user@company.com
aging-report --exclude-deleted
aging-report --in-shared-folder
  1. 監査データとコンプライアンスデータをローカルで再構築します

  2. 1年以上更新されていないパスワードの経過レポートを生成します

  3. 3か月以上更新されていない特定のユーザーのパスワードの経過レポートを生成します

  4. 各ボルトのごみ箱に現在入っている記録は無視して、パスワード経過レポートを生成します

  5. 過去3か月間パスワードが変更されていないすべての共有フォルダ内の記録をリストとして表示します

action-reportコマンド

コマンド: action-report

詳細: 特定のステータスのユーザー、または指定した期間内に操作を実行していないユーザーに関するレポートを生成したり、アクションを講じたりします。--days-sinceを使用して特に指定しない限り、デフォルトの期間は過去30日です。

スイッチ:

--format <{table,json,csv}> レポートの形式

--output <ファイル名> 結果をファイルに保存したい場合

-d <日数>または--days-since <日数> 対象となる操作をこの日数だけ遡ります (省略した場合、デフォルト値の30日が使用されます)

-tまたは--target <no-logon, no-update, locked, invited, no-security-question-update, blocked> レポートまたはアクションの対象となるユーザーステータス

--columns レポートに表示する列のカンマ区切りのリスト。サポートされている列: {2fa_enabled, team_count, status, transfer_status, alias, role_count, node, teams, name, roles}

-aまたは--apply-action <lock, delete, transfer, none> 対象を指定した後で使用、対象となるユーザーステータスに一致する各ユーザーアカウントに対して講じるアクション

--target-user (上記のtransferアクションと一緒に使用) ボルトの移管先アカウント

-nまたは--dry-run --target/-tスイッチで指定されたアクションステータスのカテゴリに当てはまるアカウントおよび適用される該当管理アクション (-a/--apply-actionスイッチで指定) を表示します。ただし、アクションは実際には適用されません

-fまたは--force -a/--apply-action オプションで指定した管理アクションを確認を求めるプロンプトを表示せずに実行します (「delete」および「transfer」管理アクションにのみ適用されます)

対象ユーザーのレポート例:

  1. 過去45日以内にログインしていないユーザーの一覧を表示します

action-report --target no-logon --days-since 45
  1. 60日以上ロック状態のままのユーザーアカウントの一覧を表示します

action-report --target locked --days-since 60
  1. 15日以上招待状態にあるユーザーの一覧を表示します。

action-report -t invited -d 15
  1. 過去35日間に記録を更新していないユーザーの一覧を表示します

action-report --target no-update --days-since 35
  1. デフォルトの期間 (過去30日間) 内に自分のアカウントの秘密の質問と回答を設定/変更していないユーザーを表示します

action-report -t no-security-question-update
  1. 過去30日間 (指定がない場合のデフォルトの期間) 以内にアカウントにログインしていないユーザーのレポートを生成します。これには、レポート内の各ユーザーの2FA ステータス、割り当てられているチームの数、割り当てられているロールの数、割り当てられているノード、フルネームが含まれます。

action-report -t=no-logon --columns=2fa_enabled,team_count,role_count,node,name

アクション対象ユーザーの例 (ドライランの場合は-nを追加) :

  1. アカウントが招待された状態で90日以上経過しているユーザーを削除します。

action-report   -d 90
action-report -t locked -d 90 -a transfer --target-user destination.vault@email.com
  1. 180日以内にログインしていないすべてのユーザーをロックします。

action-report -t no-logon -d 180 -a lock

compliance-reportコマンド

詳細については、コンプライアンスレポートのページをご参照ください。

コマンド: compliance-report

詳細: 全社の記録の共有状態のレポートを生成します。

このレポートは、コマンドが初めて呼び出されたときに作成されたキャッシュを利用します。企業の規模によっては、セッションの最初のコマンドが完了するまでに少し時間がかかる場合があります。

スイッチ:

--format <{table,json,csv}> レポートの形式

--output <ファイル名> 指定したファイル名に出力します

-u、--username <ユーザー名> 指定したユーザーの記録に対するフィルタ。複数のユーザーに何度でも使用できます

-n、--node <ノード名かID> 指定したノードのボルト内の記録に対するフィルタ

-jt、--job-title <職位> 指定した役職のユーザーが所有するボルトの記録に対するフィルタ。複数の職位には複数回使用します

--record <記録名かUID> 指定した記録のみを表示します。複数の記録に対しては複数回使用します

--team <チーム名> 指定したチームのユーザーのみを表示します。複数のチームに対しては複数回使用します

--url <URL> 指定されたURLを持つ記録のみを表示します。 複数のURLに対しては複数回使用します

--shared 共有されている記録のみを表示します

--deleted-items 削除された記録のみを表示します (--active-itemsフラグでは無効となります)

--active-items アクティブな記録のみ表示します (--deleted-itemsフラグでは無効となります)

-r、--rebuild このレポートで使用した記録のキャッシュを更新します

-nr, --no-rebuild キャッシュが存在する場合、古いキャッシュの更新を禁止します (--rebuildフラグでは無効)

-nc, --no-cache 基礎となるレポートデータの永続的なローカルキャッシュを無効にします

例:

compliance-report
compliance-report -u "user@company.com"
compliance-report --node "Chicago" -jt "Manager"
compliance-report -u "user@company.com" --shared
compliance-report --nr --record="AWS MySQL Administrator"  
compliance-report --active-items
  1. 社内のすべてのユーザーのすべての記録の共有状態を表示します

  2. ユーザー「user@company.com」のボルトの記録の共有状態を表示します

  3. シカゴの管理者が所有するボルトの記録の共有状態を表示します

  4. 「user@company.com」が所有する共有記録に限定して、共有状態を表示します

  5. キャッシュされたデータが存在する場合、タイトルが「AWS MySQL Administrator」である記録の共有状況を、キャッシュされたデータに基づいて表示します

  6. 組織内のすべてのアクティブな記録の共有状況を表示します

compliance team-reportコマンド

詳細については、コンプライアンスレポートのページをご参照ください。

コマンド: compliance team-report

スイッチ:

--format <{table,json,csv}> レポートの形式

--output <ファイル名> 指定したファイル名に出力します

-n、--node <ノード名かID> 指定したノードのボルト内の記録に対するフィルタ

-r、--rebuild このレポートで使用した記録のキャッシュを更新します

-nr, --no-rebuild キャッシュが存在する場合、古いキャッシュの更新を禁止します (--rebuildフラグでは無効)

-nc, --no-cache 基礎となるレポートデータの永続的なローカルキャッシュを無効にします

-tu, --show-team-users レポートに各チームの個々のメンバーを表示します

例:

compliance team-report
compliance team-report --format csv --output "team-report.csv"
compliance team-report --show-team-users
  1. コンプライアンスチームのレポートを表示します

  2. コンプライアンスチームのレポートのCSVファイル出力を保存します

  3. レポートに各チームに割り当てられた個々のユーザーを表示します

compliance record-access-reportコマンド

詳細については、コンプライアンスレポートのページをご参照ください。

コマンド: compliance record-access-report or compliance rar

詳細: 指定された各ユーザーがアクセスした、または現在アクセスできるすべての記録のレポートを生成します

パラメータ:

ユーザー名またはID。「@all」に設定して全ユーザーのレポートを生成します。

スイッチ:

--format <{table,json,csv}> レポートの形式

--output <ファイル名> 指定したファイル名に出力します

-n, --node <ノード名かID> 指定ノードのボルト内の記録へのフィルタ

-r, --rebuild このレポートで使用した記録のキャッシュを更新します

-nr, --no-rebuild キャッシュが存在する場合、古いキャッシュの更新を禁止します (--rebuildフラグでは無効)

-nc, --no-cache 基礎となるレポートデータの永続的なローカルキャッシュを無効にします

--report-type レポートに含める記録アクセスデータのタイプを選択します (任意。省略した場合のデフォルトは「history」)。現在アクセス可能な記録を表示するには「vault」に設定し、以前にアクセスした記録のみを表示するには「history」に設定します。

--aging レポート内の各記録の古いデータ (最終更新日、作成日など) を含めます。

例:

compliance record-access-report user@company.com
compliance rar --report-type vault --format csv --output "all_vaults.csv" @all
compliance rar --report-type vault --aging user1@company.com user2@company.com
  1. user@company.comがアクセスした全記録のリストを表示します

  2. 全ユーザーのボルト内に現在存在する全記録をリストしたCSVファイルをエクスポートします

  3. 現在user1@company.comuser2@company.comが現在アクセスできる全記録のレポートを生成します。各記録が作成された日時、最後に変更された日時、最後にローテーションされた日時を表示します。

SIEMにイベントのログを記録

Commanderを使用したSIEM連携は、ネットワーク内でHTTPイベントコレクタしか利用できないオンプレミス環境で有効です。Keeper管理コンソールバージョン13.3以降では、バックエンドのイベントデータをSIEMソリューションに統合できますが、クラウドベースのSIEMソリューションを利用していなければなりません。Commanderを使用せずにKeeperをSIEMソリューションに統合するためのサポートが必要な場合は、ビジネスサポートチーム (business.support@keepersecurity.com) までお問い合わせください。

Syslog形式でのイベントログのエクスポート

Commanderは、すべてのイベントログをsyslog形式のローカルファイルにエクスポートしたり、データを増分ファイルでエクスポートしたりすることができます。ボルトのKeeperの記録は、最後のイベントへの参照を保存するために使用されます

$ keeper shell

以下では、すべてのイベントをエクスポートし、最後にエクスポートされたイベント時刻の追跡を開始します。

My Vault> audit-log --target=syslog
Do you want to create a Keeper record to store audit log settings? [y/n]: y
Choose the title for audit log record [Default:Audit Log:Syslog]:
Enter filename for syslog messages.
...             Syslog file name: all_events.log
...         Gzip messages? (y/N): n
Exported 3952 audit events
My Vault>

これにより、ボルトに記録が作成され (この例では、「Audit Log: Syslog」というタイトル)、最後にエクスポートされたイベントのタイムスタンプと出力ファイル名を追跡します。次に、イベントデータがテキスト形式またはgzip形式でファイルにエクスポートされます。

以降の各監査ログのエクスポートは、次のコマンドで実行できます。

$ keeper audit-log --format=syslog --record=<your record UID>

またはシェルから

My Vault> audit-log --target=syslog --record=<your record UID>

syslogイベントを5分ごとにエクスポートするように自動化するには、以下のようなJSON設定ファイルを作成します。

{
    "server":"https://keepersecurity.com",
    "user":"user@company.com",
    "password":"your_password_here",
    "mfa_token":"filled_in_by_commander",
    "mfa_type":"device_token",
    "debug":false,
    "plugins":[],
    "commands":["sync-down","audit-log --target=syslog"],
    "timedelay":600
}

次に、configパラメータを使用してCommanderを実行します。以下に例を示します。

$ keeper --config=my_config_file.json

Splunk HTTPイベントコレクタによるプッシュ配信

Keeperは、オンプレミスまたはクラウドのSplunkインスタンスにイベントログを直接POSTできます。以下はその手順となります。

  • Splunk Enterpriseにログインします

  • Settings (設定) -> Data Inputs (データ入力) -> HTTP Event Collector (HTTPイベントコレクタ) に移動します

  • [New Token] (新しいトークン)をクリックして名前を入力し、インデックスを選択して完了します。

  • 最後の手順で、「Token Value」 (トークン値) をコピーし、次の手順用に保存します。

  • Keeper Commanderシェルにログインします

$ keeper shell

次に、SplunkとCommanderとの連携を設定します。Commanderは、指定したトークンとSplunk HTTPイベントコレクタを格納するボルトに記録を作成します。これは、その後の実行が中断した所から再開されるように、最後に捕捉したイベントの追跡にも使用されます。HECのデフォルトポートは8088であることにご注意ください。

$ keeper audit-log --format=splunk

Do you want to create a Keeper record to store audit log settings? [y/n]: y
Choose the title for audit log record [Default:Audit Log:Splunk]: <enter> 

Enter HTTP Event Collector (HEC) endpoint in format [host:port].
Example: splunk.company.com:8088
...          Splunk HEC endpoint:192.168.51.41:8088
Testing 'https://192.168.51.41:8088/services/collector' ...Found.
...                 Splunk Token: e2449233-4hfe-4449-912c-4923kjf599de

以下の監査ログエクスポートではSplunk記録の記録UIDが確認できます。

My Vault> search splunk

  #  Record UID              Title              Login    URL
---  ----------------------  -----------------  -------  -----
  1  schQd2fOWwNchuSsDEXfEg  Audit Log:Splunk

以降の各監査ログのエクスポートは、以下のコマンドで実行できます。

$ keeper audit-log --format=splunk --record=<your record UID>

またはシェルから

My Vault> audit-log --target=splunk --record=<your record UID>

Splunkイベントを5分ごとにプッシュ配信するように自動化するには、以下のようなJSON設定ファイルを作成します。

{
    "server":"https://keepersecurity.com",
    "user":"user@company.com",
    "password":"your_password_here",
    "mfa_token":"filled_in_by_commander",
    "mfa_type":"device_token",
    "debug":false,
    "plugins":[],
    "commands":["sync-down","audit-log --target=splunk"],
    "timedelay":600
}

次に、以下のようにconfigパラメータを使用してCommanderを実行します。

$ keeper --config=my_config_file.json

Sumo Logic HTTPイベントコレクタによるプッシュ配信

Keeperは、イベントログをSumo Logicアカウントに直接POSTできます。以下はその手順となります。

  • Sumo Logicにログインします

  • Manage Data (データ管理) -> Collection (収集) に移動します

  • Add Collector (コレクタを追加) -> Hosted Collector (ホストされたコレクタ)、Add Source (ソースを追加) -> HTTP Logs & Metrics (HTTPログ&メトリクス) の順にクリックします

  • コレクタに名前を付けて保存します。その他のフィールドはデフォルトにします

  • コレクタURLであるHTTPソースアドレスをメモします

  • Keeper Commanderシェルにログインします

$ keeper shell

次に、Sumo LogicとCommanderとの連携を設定します。Commanderは、HTTPコレクタ情報を格納するボルトに記録を作成します。これは、その後の実行が中断した所から再開されるように、最後に捕捉したイベントの追跡にも使用されます。

$ keeper audit-log --format=sumo

「HTTP Collector URL:」を求められた場合、上記のSumoインターフェースから取得したURLを貼り付けます。

この手順の後、イベントデータ統合を追跡するために使用される記録がボルトに作成されます。次の監査ログエクスポートのSumo記録の記録UIDが確認できます。

My Vault> search sumo

  #  Record UID              Title              Login    URL
---  ----------------------  -----------------  -------  -----
  1  schQd2fOWwNchuSsDEXfEg  Audit Log:Sumo

以降の各監査ログのエクスポートは、以下のコマンドで実行できます。

$ keeper audit-log --format=sumo --record=<your record UID>

またはシェルから

My Vault> audit-log --target=sumo --record=<your record UID>

Sumo Logicイベントを5分ごとにプッシュ配信するように自動化するには、以下のようなJSON設定ファイルを作成します。

{
    "server":"https://keepersecurity.com",
    "user":"user@company.com",
    "password":"your_password_here",
    "mfa_token":"filled_in_by_commander",
    "mfa_type":"device_token",
    "debug":false,
    "plugins":[],
    "commands":["sync-down","audit-log --target=sumo"],
    "timedelay":600
}

次に、以下のようにconfigパラメータを使用してCommanderを実行します。

$ keeper --config=my_config_file.json

JSON形式でのイベントログのエクスポート

Commanderは、すべてのイベントログをJSON形式でローカルファイルにエクスポートできます。ローカルファイルは、Commanderを実行するたびに上書きされます。この種のエクスポートは、ファイルを処理する他のアプリケーションと組み合わせて使用できます。ボルトのKeeperの記録は、最後のイベントへの参照を保存するために使用されます。

$ keeper shell

すべてのイベントをエクスポートし、最後にエクスポートされたイベント時刻の追跡を開始する手順は以下のとおりです。

My Vault> audit-log --target=json
Do you want to create a Keeper record to store audit log settings? [y/n]: y
Choose the title for audit log record [Default:Audit Log:JSON]:
JSON file name: all_events.json
Exported 3952 audit events
My Vault>

これにより、ボルトに記録が作成され (この例では、「Audit Log: JSON」というタイトル)、最後にエクスポートされたイベントのタイムスタンプと出力ファイル名を追跡します。その後、イベントデータがファイルにエクスポートされます。

以降の各監査ログのエクスポートは、以下のコマンドで実行できます。

$ keeper audit-log --format=json --record=<your record UID>

またはシェルから

My Vault> audit-log --target=json --record=<your record UID>

JSONイベントを5分ごとにエクスポートするように自動化するには、以下のようなJSON設定ファイルを作成します。

{
    "server":"https://keepersecurity.com",
    "user":"user@company.com",
    "password":"your_password_here",
    "mfa_token":"filled_in_by_commander",
    "mfa_type":"device_token",
    "debug":false,
    "plugins":[],
    "commands":["sync-down","audit-log --target=json"],
    "timedelay":600
}

次に、以下のようにconfigパラメータを使用してCommanderを実行します。

$ keeper --config=my_config_file.json

Azure Log Analytics

Keeperは、イベントログをAzure Log Analyticsワークスペースに直接POSTできます。以下はその手順となります。

  • Azureポータルにログインし、Log Analyticsワークスペースを開きます

  • Settings (設定) -> Advanced settings (詳細設定) に移動します

  • ワークスペースIDとプライマリキーまたはセカンダリキーをメモします

  • Keeper Commanderシェルにログインします

$ keeper shell

次に、Log AnalyticsとCommanderとの連携を設定します。Commanderは、Log Analyticsのアクセス情報を格納するボルトに記録を作成します。これは、その後の実行が中断した所から再開されるように、最後に捕捉したイベントの追跡にも使用されます。

$ keeper audit-log --format=azure-la

「Workspace ID:」を求められた場合、上記の詳細設定インターフェースから取得したWorkspace IDを貼り付けます。「Key:」を求められた場合、上記の詳細設定インターフェースから取得したプライマリキーまたはセカンダリキーを貼り付けます。

この手順の後、イベントデータ統合を追跡するために使用される記録がボルトに作成されます。次の監査ログエクスポートのLog Analytics記録の記録UIDが確認できます。

My Vault> search analytics

  #  Record UID              Title                           Login                                 URL
---  ----------------------  ------------------------------  ------------------------------------  -----
  1  schQd2fOWwNchuSsDEXfEg  Audit Log:Azure Log Analytics  <WORKSPACE GUID>

以降の各監査ログのエクスポートは、以下のコマンドで実行できます。

$ keeper audit-log --format=azure-la --record=<your record UID>

またはシェルから

My Vault> audit-log --target=azure-la --record=<your record UID>

Azure Log Analyticsにイベントを5分ごとにプッシュ配信するように自動化するには、以下のようなJSON設定ファイルを作成します。

{
    "server":"https://keepersecurity.com",
    "user":"user@company.com",
    "password":"your_password_here",
    "mfa_token":"filled_in_by_commander",
    "mfa_type":"device_token",
    "debug":false,
    "plugins":[],
    "commands":["sync-down","audit-log --target=azure-la"],
    "timedelay":600
}

次に、以下のようにconfigパラメータを使用してCommanderを実行します。

$ keeper --config=my_config_file.json

最終更新