レポート作成コマンド
監査記録およびレポート機能用のコマンド
コマンド
Keeperコマンドリファレンス
対話型シェル、CLI、JSON設定ファイルのいずれを使用する場合でも、以下のコマンドがサポートされており、各コマンドでは追加のパラメータとオプションがご利用になれます。
特定のコマンドのヘルプを表示するには、次のコマンドを実行します。
help <command>
レポート作成コマンド
コマンド | 説明 |
---|---|
指定した日数内に特定の操作を実行しなかったユーザーを表示します | |
X日以内に変更「されなかった」記録のパスワードを特定します | |
企業の監査ログとイベントログをエクスポートします | |
監査イベントのカスタマイズされたレポートを表示します | |
全社のユーザーのボルト内の記録に関する情報を表示します | |
外部アカウントと共有されている記録に関する情報を表示します | |
管理対象会社のプランと使用可能なライセンスの情報を表示します | |
社内のユーザーごとにパスワードのセキュリティ強度のレポートを表示します | |
社内の各ユーザーのBreachwatchセキュリティ スコアのレポートを表示します | |
共有記録の情報を表示します | |
共有記録のレポートを表示します | |
ユーザーログインのレポートを表示します |
audit-logコマンド
コマンド: audit-log
audit-logコマンドは、Keeperのバックエンドサーバーが目的のエンドポイントにアクセスできない場合にSIEMプッシュ機能を提供します。また、イベントをローカルでJSONファイルにエクスポートしたいだけの場合にも有効です。イベントのエクスポートの状態は、Keeperの記録を使用して保存されることにご注意ください。そのため、audit-logコマンドを繰り返し使用すると、中断した所から再開されます。
audit-logを初めて実行する場合、Keeperの使用履歴が多いと、時間の先頭から開始されるため、処理に時間がかかります。
スイッチ:
--anonymize メールとユーザー名を企業の対応するユーザーIDに置き換えて、監査ログを匿名化します。ユーザーが削除された場合、またはユーザーのメールが変更された場合、監査レポートにはその特定のエントリが削除されたユーザーとして表示されます。
--target <{splunk, sumo, syslog, syslog-port, azure-la, json}> エクスポート対象を選択します
splunk - Splunk HTTPイベントコレクタにイベントをエクスポートします
sumo - Sumo Logic HTTPイベントコレクタにイベントをエクスポートします
syslog - イベントをsyslog形式でローカルファイルにエクスポートします
syslog-port - syslog形式のイベントをTCPポートにエクスポートします。プレーン接続とSSL接続の両方がサポートされています
azure-la - Keeper_CLという名前のカスタムログとしてイベントをAzure Log Analyticsにエクスポートします
json - イベントをJSON形式でローカルファイルにエクスポートします
--record <記録名またはUID> 現在のエクスポート状態を格納するKeeperの記録を選択します。これには、目的のエンドポイントに接続するために必要なSplunkパラメータなどのシークレットも含まれます。
--shared-folder-uid <共有フォルダUID> フィルタ: 共有フォルダUID。設定記録内の既存の設定を上書きして新しいフィールド値を設定します。
--node-id <ノードID> フィルタ: ノードID。設定記録内の既存の設定を上書きして新しいフィールド値を設定します。
--days <日数> フィルタ: 最大イベント日数。設定記録内の既存の「last_event_time」値を上書きします。
例:
すべてのイベントデータをダウンロードし、SplunkエンドポイントHTTPイベントコレクタにプッシュ配信します。Splunk HECエンドポイントの入力を求めるプロンプトが表示されます。
記録UIDを参照するすべてのイベントデータをダウンロードして、JSON形式で出力します。
ID = 368009977790518のノードの過去30日以内のイベントデータを取得します。audit-log-jsonという名前のボルト記録を使用して追加のクエリパラメータを取得し、必要に応じて更新します。
UID = 8oGAJPplH2DFUQ0obwox7Qの共有フォルダのイベントデータを取得し、Splunk HTTP イベントコレクターにエクスポートします。Splunk-Log記録に設定されたカスタムフィールド値を使用して、イベントデータクエリパラメーターを入力し、適切なSplunk アカウントにエクスポートするのに必要な情報 (HECエンドポイント、認証情報など) を渡します。
audit-reportコマンド
コマンド: audit-report
詳細: 随時カスタマイズされた高度な監査イベントレポートをraw形式および要約形式で生成します。
イベントのプロパティ:
スイッチ:
--report-type <{raw, dim, hour, day, week, month, span}> 表示するレポートの種類 (必須)
raw - すべての監査イベント。 オプションで
--report-format
を使用して形式を変更します (デフォルトリスト)hour - 時間別に要約されたレポートを表示します
day - 日別に要約されたレポートを表示します
week - 週別に要約されたレポートを表示します
month - 月別に要約されたレポートを表示します
span-監査イベントの表を表示します。デフォルトでは、発生回数のみが表示されます。
--columns
を使用してその他の列を追加しますdim - 指定した列で使用可能なすべての値と詳細情報のリストを表示します。複数の列を含めると、詳細リストが順に表示されます。
--columns
を使用する必要があります
--report-format <{_message, field_s}> 出力形式を選択します(「raw」レポート専用)
message - 以下の列を表示します (デフォルト)
created
audit_event_type
username
ip_address
keeper_version
geo_location
message
fields - 以下の列を表示します
created
audit_event_type
username
ip_address
keeper_version
geo_location
record_uid
--columns 表示する列を指定します (「raw」レポートでは無視されます)
使用可能な列:
audit_event_type
username
ip_address
keeper_version
geo_location
message
created
record_uid
record_name (コンプライアンスレポートモジュールが必要*)
使用法: 各列にスイッチを全部使用します
--aggregate <{occurrences, first_created, last_created}> 集計値。繰り返し指定できます。(rawレポートでは無視されます)
occurrences - イベントタイプの発生回数を表示します
first_created - イベントタイプが最初に発生した時刻を表示します
last_created - イベントタイプが最後に発生した時刻を表示します
使用法: 表示したい集計ごとにスイッチを全部使用します
--timezone <タイムゾーン> 特定のタイムゾーンの結果を返します
--limit <行数> 戻される行の最大数 (デフォルトは50、-1は無制限)
--order <{desc, asc}> ソート順。最初に返された列に基づいてソートします
--created <作成日> 作成日で結果をフィルタリングします
形式:
以下のリストから定義済みのフィルタ値を使用します。
today
yesterday
last_7_days
last_30_days
month_to_date
last_month
year_to_date
last_year
または、以下のカスタム日付範囲形式を使用します。
"between %Y-%m-%dT%H:%M:%SZ and %Y-%m-%dT%H:%M:%SZ"
例: "between 2022-01-01 and 2022-06-01"
--username <ユーザー名> ユーザー名でフィルタリングします
--to-username <ターゲットのユーザー名> イベントのターゲットでフィルタリングします
--record-uid <記録UID> 記録でフィルタリングします
--shared-folder-uid <共有フォルダUID> 共有フォルダでフィルタリングします
--geo-location <地理的位置> 地理的位置でフィルタリングします。以下のコマンドを実行して、利用可能な地理的位置のリストを取得します
--ip-address <IPアドレス> IPアドレスでフィルタリングします
地理的位置のフィルタ形式は「[[都市, ] 州,] 国」となります
例:
「El Dorado Hills, California, US」
「Bayern,DE」 - ドイツ、バイエルン
「CA」 - カナダ
--ip-address ユーザーのIPアドレスでフィルタリングします。たとえば、特定のIPから発生した最新の5,000件のイベントを検索するには、次の手順を実行します。
--device-type <デバイスタイプ> Keeperデバイス/アプリケーションおよびオプションのバージョン
デバイスタイプフィルタの形式は「DeviceType[, Version]」となります
例:
「Commander」 Keeper Commanderの全バージョン
「Web App, 16」 ウェブボルトバージョン「16.x.x」
--format <table, csv, json> 出力形式、表がデフォルトです
--max-record-details ローカルキャッシュで見つからない場合、追加のrecord-detailデータを取得します
例:
各イベントのメッセージを含むすべてのイベントに関する監査レポートを表示します (最新の5000イベントを表示します)
各イベントの記録UIDを含むすべてのイベントに関する監査レポートを表示します
使用可能なすべての監査イベントタイプを表示します
イベントタイプとユーザー名を含む監査レポートを日別に要約して表示します
当日の1時間ごとに実行された各イベントタイプの数の監査レポートを表示します
過去30日以内にuser@mydomain.comによって作成または更新されたすべての記録UIDを表示します
復号化された記録タイトルを含めて、当日発生した有効な記録イベントをすべて表示します
各ユーザーが各記録に最後にアクセスした時刻 (タイトルおよび関連URLも) を表示し、キャッシュを介してデータがローカルで利用可能でない場合は、各記録の詳細 (タイトル、URLなど) の追加取得を強制 (時間とリソースを大量に消費する可能性があります)
user-reportコマンド
コマンド: user-report
詳細: ユーザーステータスレポートを随時生成します
スイッチ:
--format <{table,json,csv}> レポートの形式
--output <ファイル名> 指定したファイル名に出力します
--days <日数> 最終ログイン日を遡る日数
--last-login 各ユーザーが最後にログインした時刻を表示します
例:
過去365日間のユーザーログインレポートを表示します
過去30日間のユーザーレポートを作成し、「logins.csv」という名前のファイルにcsv形式で出力します
社内の各ユーザーが最後にログインした時刻のレポートを作成し、「last-logins.csv」ファイルに保存します。
security-audit-reportコマンド
コマンド: security-audit-report
詳細: 自社ユーザーのパスワードのセキュリティ強度レポートを生成します
レポートの列:
スイッチ:
--format <{table,json,csv}> レポートの形式
--output <ファイル名> 指定したファイル名に出力します
--syntax-help レポートの各列の説明を表示します
-n、--node 結果をフィルタリングするノードの名前またはUID
-b、--breachwatch Breachwatchセキュリティレポートを表示します (Commander v16.5.5以降)
-su、--show-updated セキュリティ監査スコアを再計算して、ローカルに表示します (プレビュー)
-s、--save セキュリティ監査スコアを再計算し、更新されたスコアをKeeperにプッシュ配信します
-st、--score-type <{strong_passwords,default}> ユーザーのセキュリティスコアの計算方法を定義します (--score-type=strong_passwords
を設定すると、レポートのサマリーセキュリティスコアは、 対応するボルトのセキュリティ監査ページで計算されて表示される値と同じく、強力であると見なされた各ユーザーのパスワードの数のみに基づいて計算されます)
下位互換性を維持するため、このコマンドはデフォルトでは (最近のボルトの変更に基づいてて) セキュリティスコアの計算を更新することはありません。その後、デフォルトでは、更新されたセキュリティ スコアも保存されません。
上記の挙動を変更するには、コマンド呼び出しに--show-updatedフラグか--saveフラグのどちらかを含めます (後者のフラグが含まれている場合、前者を含める必要はありません)。
例:
セキュリティ監査レポート (社内のユーザーごとのパスワードの強度) を表示します
セキュリティ監査レポートを作成し、「security_score.json」という名前のファイルにjson形式で出力します
Breachwatchセキュリティレポートを表示します
セキュリティ監査スコアを再計算し、セキュリティ監査レポートを表示します。Keeperに変更はプッシュ配信しません
セキュリティ監査スコアを再計算し、セキュリティ監査レポートを表示して、Keeperに変更をプッシュ配信します
セキュリティ監査レポートを表示します (コマンドの省略形を使用)。結果は、企業ノードNode1に割り当てられたアカウントに制限されます
強力と見なされた各ユーザーのパスワードの数に基づいてセキュリティ監査スコアを表示し、結果をKeeperにプッシュ配信します
breachwatch reportコマンド
コマンド: breachwatch report
またはbw report
詳細: 組織内の全ユーザーのBreachwatchセキュリティレポートを実行します。
スイッチ:
--format <{table,csv}> レポートの形式
--output <ファイル名> 指定のファイル名で出力
例:
Breachwatch固有のセキュリティスコアを表示します。
Breachwatchセキュリティレポートを、Commanderの現在の作業ディレクトリ (フォルダの完全なパスを取得するには
v -v
コマンドを実行) に存在する「breachwatch_report.csv」というCSVファイルにエクスポートします。
share-reportコマンド
コマンド: share-report
詳細: 共有記録 (呼び出し元のユーザーと共有する記録および呼び出し元のユーザーが共有する記録の両方) のレポートを表示します
パラメータ:
レポートに表示する記録を含むフォルダのパスまたはUID。オプション (複数の値を指定可能)。
スイッチ:
--format <{table,csv}> レポートの形式
--output <ファイル名> 指定したファイル名に出力します
-r、--record <記録名か記録UID> レポートを表示する特定の記録を指定します
-e、--email <ユーザーのメールまたはチーム名> 共有記録のレポートを表示するユーザーまたはチームを指定します
-o、--owner 記録の所有者を表示します
--share-date 記録が共有された日付を表示します。 所有者レポートにのみ使用されます (--owner
スイッチ)。会社のレポートを実行する権限を持つユーザーのみが使用できます。
-v、--verbose レポートに記録UIDを表示します
-f、--folders レポートを共有フォルダに制限します (共有記録を除外します)
-tu、--show-team-users チーム共有情報を展開して、レポートに各共有フォルダまたは共有記録の個々のメンバーを含めます
例:
共有記録のレポートを表示します
指定したUIDを持つ記録の共有レポートを表示します
共有記録のレポートをcsv形式で出力します
「john.doe@gmail.com」と共有された記録のレポートを表示します。元の所有者と共有された日時も表示します
「Team1_Folder」という名前のフォルダとUIDがZa2aspMQG9De5In28sc3KAのフォルダに含まれる各共有記録の所有権情報と詳細な共有権限が記載されたレポートを表示します
現在のユーザーのボルト内の共有フォルダのリストと、各共有フォルダーにアクセスできるチームおよび他のユーザーを表示します
shared-records-reportコマンド
コマンド: shared-records-report
またはsrr
詳細: 共有記録に関する情報を表示します (表示される情報は、呼び出し元のユーザーが他のユーザーと共有している記録に限定されます。つまり、他のユーザーが呼び出し元のユーザーと共有している記録は除外されます。両方のタイプの記録を含めるには、share-report
コマンドをご参照ください)
パラメータ:
レポートに表示する記録を含むフォルダのパスまたはUID。オプション (複数の値を指定可能)。
スイッチ:
--format <{json,csv,table}> レポートの形式
-o、--output <ファイル名> 指定したファイル名に出力します。「table」形式の場合は無視されます
--show-team-usersまたは-tu 共有チームフォルダを使用して共有された記録のチームメンバーを表示します
例:
共有記録の情報を表形式で表示します
共有記録の情報をcsv形式で表示します
共有フォルダを使用して記録を共有するすべてのチームの個々のメンバーと共有された記録に関する情報を表示します
「My Shares」、「Team1/Shares」フォルダ (パスで識別されるフォルダ) および「_qsA0AA0XwJkeTVQdijmEg」フォルダ (UIDで識別されるフォルダ) にある共有記録に関する情報をshared_records.jsonという名前のJSON形式のファイルにエクスポートします。この場合、格納フォルダがコマンド呼び出しで明示的に指定されているため、結果のレポートに含まれる記録は、指定したフォルダ内にある記録のみに制限されます (フォルダの子として、またはサブフォルダの子としてなど)
external-shares-reportコマンド
コマンド: external-shares-report
詳細: 社外のユーザーと共有されたフォルダと記録を表示します。必要に応じて、すべての外部共有を削除します。
スイッチ:
--format {table,json,csv} 出力形式
--output <FILENAME> ファイル名に出力します。table形式を使用している場合は無視されます。
-a、--action {remove,none} 外部共有に適用する操作。確認を求めて共有を削除するには「remove」を使用し、確認を省略する場合は「none」を使用します
-t、--share-type {direct,shared-folder,all} 個別の共有記録 (direct) または共有フォルダのみを表示します。省略した場合は「all」が指定されます
-f、--force 確認を求めずに操作を強制的に適用します
-r、--refresh-data レポートを実行する前に同期して最新のデータを取得します
例:
外部共有フォルダおよび記録をすべて表示します
すべての外部共有フォルダおよび記録をshare_report.csvとして出力します
外部共有フォルダおよび記録をすべて削除します (確認プロンプトを表示)
外部で共有されている個々の記録をすべて削除しますが、共有フォルダは削除しません
外部共有フォルダはすべて削除しますが、個々の記録は削除しません
外部共有フォルダおよび記録を確認プロンプトを表示せずにすべて削除します
Keeperと同期して最新のデータを取得し、共有レポートを生成します
msp-legacy-reportコマンド
コマンド: msp-legacy-report
詳細: 管理対象会社の使用可能なライセンスの情報を表示します
スイッチ:
--format <{json. table, csv}> レポートの形式
--range <{today, yesterday, last_7_days, last_30_days, month_to_date, last_month, year_to_date, last_year}> ライセンス使用状況の期間
--from <開始日> ライセンスの使用状況を表示する期間の開始日。 監査タイプ (--type audit
)とは一緒に使用しますが、--range
フラグとは一緒に使用しません
形式:YYYY-mm-dd
例:2021-07-08
--to <終了日> ライセンスの使用状況を表示する期間の終了日。 監査タイプ (--type audit
) とは一緒に使用しますが、--range
フラグとは一緒に使用しません
形式:YYYY-mm-dd
例:2021-07-08
--output <ファイル名> レポートの出力先のファイル
例:
会社に現在割り当てられているライセンスと残りのライセンスのレポートを表示します
過去30日間のライセンス使用状況のレポートを表示します
2021年2月1日から3月1日までのライセンス使用状況のレポートを表示します
現在のライセンス使用状況のレポートを「licenses.csv」という名前のファイルにcsv形式で出力します
aging-reportコマンド
この高度なレポートには、高度なレポートとアラートモジュールとコンプライアンスモジュールが必要です。詳細については、コンプライアンスレポートのページをご参照ください
コマンド: aging-report
詳細: 指定時間内に変更「されなかった」記録のパスワードを特定します。このレポートでは、Enterpriseプラットフォームの高度なレポート作成機能と、特権管理者の記録タイトルを復号化できるコンプライアンスデータを利用します。
スイッチ:
-r、--rebuild 記録のデータベースを再構築します
--delete 記録のローカルデータベースを削除します
-nc、-no-cache コマンドの完了時に、メモリ以外のローカルデータストレージをすべて削除します
-s、--sort <{owner, title, last_changed}> 選択したフィールドで出力をソートします
--format <{table,json,csv}> レポートの形式
--output <ファイル名> 指定したファイル名に出力します
--period <期間> この期間に変更されていないパスワードを持つ記録を検索します
--username <ユーザー名> 指定したユーザーの失効したパスワードを報告します
--exclude-deleted 削除された記録をレポートから除外します (このフラグを追加すると、追加データの取得が必要になり、その後のコマンド実行時間が長くなる場合があります)
--in-shared-folder レポートを共有フォルダ内の記録に制限します
例:
監査データとコンプライアンスデータをローカルで再構築します
1年以上更新されていないパスワードの経過レポートを生成します
3か月以上更新されていない特定のユーザーのパスワードの経過レポートを生成します
各ボルトのごみ箱に現在入っている記録は無視して、パスワード経過レポートを生成します
過去3か月間パスワードが変更されていないすべての共有フォルダ内の記録をリストとして表示します
action-reportコマンド
コマンド: action-report
詳細: 特定のステータスのユーザー、または指定した期間内に操作を実行していないユーザーに関するレポートを生成したり、アクションを講じたりします。--days-since
を使用して特に指定しない限り、デフォルトの期間は過去30日です。
スイッチ:
--format <{table,json,csv}> レポートの形式
--output <ファイル名> 結果をファイルに保存したい場合
-d <日数>または--days-since <日数> 対象となる操作をこの日数だけ遡ります (省略した場合、デフォルト値の30日が使用されます)
-tまたは--target <no-logon, no-update, locked, invited, no-security-question-update, blocked> レポートまたはアクションの対象となるユーザーステータス
--columns レポートに表示する列のカンマ区切りのリスト。サポートされている列: {2fa_enabled, team_count, status, transfer_status, alias, role_count, node, teams, name, roles}
-aまたは--apply-action <lock, delete, transfer, none> 対象を指定した後で使用、対象となるユーザーステータスに一致する各ユーザーアカウントに対して講じるアクション
--target-user (上記のtransferアクションと一緒に使用) ボルトの移管先アカウント
-nまたは--dry-run --target/-tスイッチで指定されたアクションステータスのカテゴリに当てはまるアカウントおよび適用される該当管理アクション (-a/--apply-actionスイッチで指定) を表示します。ただし、アクションは実際には適用されません
-fまたは--force -a/--apply-action オプションで指定した管理アクションを確認を求めるプロンプトを表示せずに実行します (「delete」および「transfer」管理アクションにのみ適用されます)
対象ユーザーのレポート例:
過去45日以内にログインしていないユーザーの一覧を表示します
60日以上ロック状態のままのユーザーアカウントの一覧を表示します
15日以上招待状態にあるユーザーの一覧を表示します。
過去35日間に記録を更新していないユーザーの一覧を表示します
デフォルトの期間 (過去30日間) 内に自分のアカウントの秘密の質問と回答を設定/変更していないユーザーを表示します
過去30日間 (指定がない場合のデフォルトの期間) 以内にアカウントにログインしていないユーザーのレポートを生成します。これには、レポート内の各ユーザーの2FA ステータス、割り当てられているチームの数、割り当てられているロールの数、割り当てられているノード、フルネームが含まれます。
アクション対象ユーザーの例 (ドライランの場合は-nを追加) :
アカウントが招待された状態で90日以上経過しているユーザーを削除します。
180日以内にログインしていないすべてのユーザーをロックします。
compliance-reportコマンド
詳細については、コンプライアンスレポートのページをご参照ください。
コマンド: compliance-report
詳細: 全社の記録の共有状態のレポートを生成します。
このレポートは、コマンドが初めて呼び出されたときに作成されたキャッシュを利用します。企業の規模によっては、セッションの最初のコマンドが完了するまでに少し時間がかかる場合があります。
スイッチ:
--format <{table,json,csv}> レポートの形式
--output <ファイル名> 指定したファイル名に出力します
-u、--username <ユーザー名> 指定したユーザーの記録に対するフィルタ。複数のユーザーに何度でも使用できます
-n、--node <ノード名かID> 指定したノードのボルト内の記録に対するフィルタ
-jt、--job-title <職位> 指定した役職のユーザーが所有するボルトの記録に対するフィルタ。複数の職位には複数回使用します
--record <記録名かUID> 指定した記録のみを表示します。複数の記録に対しては複数回使用します
--team <チーム名> 指定したチームのユーザーのみを表示します。複数のチームに対しては複数回使用します
--url <URL> 指定されたURLを持つ記録のみを表示します。 複数のURLに対しては複数回使用します
--shared 共有されている記録のみを表示します
--deleted-items 削除された記録のみを表示します (--active-items
フラグでは無効となります)
--active-items アクティブな記録のみ表示します (--deleted-items
フラグでは無効となります)
-r、--rebuild このレポートで使用した記録のキャッシュを更新します
-nr, --no-rebuild キャッシュが存在する場合、古いキャッシュの更新を禁止します (--rebuild
フラグでは無効)
-nc, --no-cache 基礎となるレポートデータの永続的なローカルキャッシュを無効にします
例:
社内のすべてのユーザーのすべての記録の共有状態を表示します
ユーザー「user@company.com」のボルトの記録の共有状態を表示します
シカゴの管理者が所有するボルトの記録の共有状態を表示します
「user@company.com」が所有する共有記録に限定して、共有状態を表示します
キャッシュされたデータが存在する場合、タイトルが「AWS MySQL Administrator」である記録の共有状況を、キャッシュされたデータに基づいて表示します
組織内のすべてのアクティブな記録の共有状況を表示します
compliance team-reportコマンド
詳細については、コンプライアンスレポートのページをご参照ください。
コマンド: compliance team-report
スイッチ:
--format <{table,json,csv}> レポートの形式
--output <ファイル名> 指定したファイル名に出力します
-n、--node <ノード名かID> 指定したノードのボルト内の記録に対するフィルタ
-r、--rebuild このレポートで使用した記録のキャッシュを更新します
-nr, --no-rebuild キャッシュが存在する場合、古いキャッシュの更新を禁止します (--rebuild
フラグでは無効)
-nc, --no-cache 基礎となるレポートデータの永続的なローカルキャッシュを無効にします
-tu, --show-team-users レポートに各チームの個々のメンバーを表示します
例:
コンプライアンスチームのレポートを表示します
コンプライアンスチームのレポートのCSVファイル出力を保存します
レポートに各チームに割り当てられた個々のユーザーを表示します
compliance record-access-reportコマンド
詳細については、コンプライアンスレポートのページをご参照ください。
コマンド: compliance record-access-report
or compliance rar
詳細: 指定された各ユーザーがアクセスした、または現在アクセスできるすべての記録のレポートを生成します
パラメータ:
ユーザー名またはID。「@all」に設定して全ユーザーのレポートを生成します。
スイッチ:
--format <{table,json,csv}> レポートの形式
--output <ファイル名> 指定したファイル名に出力します
-n, --node <ノード名かID> 指定ノードのボルト内の記録へのフィルタ
-r, --rebuild このレポートで使用した記録のキャッシュを更新します
-nr, --no-rebuild キャッシュが存在する場合、古いキャッシュの更新を禁止します (--rebuild
フラグでは無効)
-nc, --no-cache 基礎となるレポートデータの永続的なローカルキャッシュを無効にします
--report-type レポートに含める記録アクセスデータのタイプを選択します (任意。省略した場合のデフォルトは「history」)。現在アクセス可能な記録を表示するには「vault」に設定し、以前にアクセスした記録のみを表示するには「history」に設定します。
--aging レポート内の各記録の古いデータ (最終更新日、作成日など) を含めます。
例:
user@company.comがアクセスした全記録のリストを表示します
全ユーザーのボルト内に現在存在する全記録をリストしたCSVファイルをエクスポートします
現在user1@company.comとuser2@company.comが現在アクセスできる全記録のレポートを生成します。各記録が作成された日時、最後に変更された日時、最後にローテーションされた日時を表示します。
SIEMにイベントのログを記録
Commanderを使用したSIEM連携は、ネットワーク内でHTTPイベントコレクタしか利用できないオンプレミス環境で有効です。Keeper管理コンソールバージョン13.3以降では、バックエンドのイベントデータをSIEMソリューションに統合できますが、クラウドベースのSIEMソリューションを利用していなければなりません。Commanderを使用せずにKeeperをSIEMソリューションに統合するためのサポートが必要な場合は、ビジネスサポートチーム (business.support@keepersecurity.com) までお問い合わせください。
Syslog形式でのイベントログのエクスポート
Commanderは、すべてのイベントログをsyslog形式のローカルファイルにエクスポートしたり、データを増分ファイルでエクスポートしたりすることができます。ボルトのKeeperの記録は、最後のイベントへの参照を保存するために使用されます
以下では、すべてのイベントをエクスポートし、最後にエクスポートされたイベント時刻の追跡を開始します。
これにより、ボルトに記録が作成され (この例では、「Audit Log: Syslog」というタイトル)、最後にエクスポートされたイベントのタイムスタンプと出力ファイル名を追跡します。次に、イベントデータがテキスト形式またはgzip形式でファイルにエクスポートされます。
以降の各監査ログのエクスポートは、次のコマンドで実行できます。
またはシェルから
syslogイベントを5分ごとにエクスポートするように自動化するには、以下のようなJSON設定ファイルを作成します。
次に、configパラメータを使用してCommanderを実行します。以下に例を示します。
Splunk HTTPイベントコレクタによるプッシュ配信
Keeperは、オンプレミスまたはクラウドのSplunkインスタンスにイベントログを直接POSTできます。以下はその手順となります。
Splunk Enterpriseにログインします
Settings (設定) -> Data Inputs (データ入力) -> HTTP Event Collector (HTTPイベントコレクタ) に移動します
[New Token] (新しいトークン)をクリックして名前を入力し、インデックスを選択して完了します。
最後の手順で、「Token Value」 (トークン値) をコピーし、次の手順用に保存します。
Keeper Commanderシェルにログインします
次に、SplunkとCommanderとの連携を設定します。Commanderは、指定したトークンとSplunk HTTPイベントコレクタを格納するボルトに記録を作成します。これは、その後の実行が中断した所から再開されるように、最後に捕捉したイベントの追跡にも使用されます。HECのデフォルトポートは8088であることにご注意ください。
以下の監査ログエクスポートではSplunk記録の記録UIDが確認できます。
以降の各監査ログのエクスポートは、以下のコマンドで実行できます。
またはシェルから
Splunkイベントを5分ごとにプッシュ配信するように自動化するには、以下のようなJSON設定ファイルを作成します。
次に、以下のようにconfigパラメータを使用してCommanderを実行します。
Sumo Logic HTTPイベントコレクタによるプッシュ配信
Keeperは、イベントログをSumo Logicアカウントに直接POSTできます。以下はその手順となります。
Sumo Logicにログインします
Manage Data (データ管理) -> Collection (収集) に移動します
Add Collector (コレクタを追加) -> Hosted Collector (ホストされたコレクタ)、Add Source (ソースを追加) -> HTTP Logs & Metrics (HTTPログ&メトリクス) の順にクリックします
コレクタに名前を付けて保存します。その他のフィールドはデフォルトにします
コレクタURLであるHTTPソースアドレスをメモします
Keeper Commanderシェルにログインします
次に、Sumo LogicとCommanderとの連携を設定します。Commanderは、HTTPコレクタ情報を格納するボルトに記録を作成します。これは、その後の実行が中断した所から再開されるように、最後に捕捉したイベントの追跡にも使用されます。
「HTTP Collector URL:」を求められた場合、上記のSumoインターフェースから取得したURLを貼り付けます。
この手順の後、イベントデータ統合を追跡するために使用される記録がボルトに作成されます。次の監査ログエクスポートのSumo記録の記録UIDが確認できます。
以降の各監査ログのエクスポートは、以下のコマンドで実行できます。
またはシェルから
Sumo Logicイベントを5分ごとにプッシュ配信するように自動化するには、以下のようなJSON設定ファイルを作成します。
次に、以下のようにconfigパラメータを使用してCommanderを実行します。
JSON形式でのイベントログのエクスポート
Commanderは、すべてのイベントログをJSON形式でローカルファイルにエクスポートできます。ローカルファイルは、Commanderを実行するたびに上書きされます。この種のエクスポートは、ファイルを処理する他のアプリケーションと組み合わせて使用できます。ボルトのKeeperの記録は、最後のイベントへの参照を保存するために使用されます。
すべてのイベントをエクスポートし、最後にエクスポートされたイベント時刻の追跡を開始する手順は以下のとおりです。
これにより、ボルトに記録が作成され (この例では、「Audit Log: JSON」というタイトル)、最後にエクスポートされたイベントのタイムスタンプと出力ファイル名を追跡します。その後、イベントデータがファイルにエクスポートされます。
以降の各監査ログのエクスポートは、以下のコマンドで実行できます。
またはシェルから
JSONイベントを5分ごとにエクスポートするように自動化するには、以下のようなJSON設定ファイルを作成します。
次に、以下のようにconfigパラメータを使用してCommanderを実行します。
Azure Log Analytics
Keeperは、イベントログをAzure Log Analyticsワークスペースに直接POSTできます。以下はその手順となります。
Azureポータルにログインし、Log Analyticsワークスペースを開きます
Settings (設定) -> Advanced settings (詳細設定) に移動します
ワークスペースIDとプライマリキーまたはセカンダリキーをメモします
Keeper Commanderシェルにログインします
次に、Log AnalyticsとCommanderとの連携を設定します。Commanderは、Log Analyticsのアクセス情報を格納するボルトに記録を作成します。これは、その後の実行が中断した所から再開されるように、最後に捕捉したイベントの追跡にも使用されます。
「Workspace ID:」を求められた場合、上記の詳細設定インターフェースから取得したWorkspace IDを貼り付けます。「Key:」を求められた場合、上記の詳細設定インターフェースから取得したプライマリキーまたはセカンダリキーを貼り付けます。
この手順の後、イベントデータ統合を追跡するために使用される記録がボルトに作成されます。次の監査ログエクスポートのLog Analytics記録の記録UIDが確認できます。
以降の各監査ログのエクスポートは、以下のコマンドで実行できます。
またはシェルから
Azure Log Analyticsにイベントを5分ごとにプッシュ配信するように自動化するには、以下のようなJSON設定ファイルを作成します。
次に、以下のようにconfigパラメータを使用してCommanderを実行します。
最終更新