レポート作成コマンド

監査記録およびレポート機能用コマンド

コマンド

Keeperコマンドリファレンス

対話型シェル、CLI、JSON設定ファイルのいずれを使用する場合でも、以下のコマンドがサポートされており、各コマンドでは追加のパラメータとオプションがご利用になれます。

特定のコマンドのヘルプを表示するには、次のコマンドを実行します。

help <command>

レポート作成コマンド

コマンド
説明

指定した日数内に特定の操作を実行しなかったユーザーを表示します

X日以内に変更「されなかった」レコードのパスワードを特定します

企業の監査ログとイベントログをエクスポートします

監査イベントのカスタマイズされたレポートを表示します

全社のユーザーのボルト内のレコードに関する情報を表示します

外部アカウントと共有されているレコードに関する情報を表示します

管理対象会社のプランと使用可能なライセンスの情報を表示します

社内のユーザーごとにパスワードのセキュリティ強度のレポートを表示します

社内の各ユーザーのBreachwatchセキュリティ スコアのレポートを表示します

共有レコードの情報を表示します

共有レコードのレポートを表示します

ユーザーログインのレポートを表示します

リスク管理レポート

audit-logコマンド

コマンド: audit-log

詳細:

高度なレポートとアラートモジュール (ARAM) からローカルのコマンダーインスタンスにイベントデータをダウンロードし、SIEMプロバイダにそのイベントをプッシュ配信します。プロセスを完全に自動化するために、Keeper管理コンソールで提供されるクラウドベースのSIEMエクスポートの使用をお勧めします。自動エクスポートの詳細については、こちらのページをご参照ください。

audit-logコマンドは、Keeperのバックエンドサーバーが目的のエンドポイントにアクセスできない場合にSIEMプッシュ機能を提供します。また、イベントをローカルでJSONファイルにエクスポートしたいだけの場合にも有効です。イベントのエクスポートの状態は、Keeperのレコードを使用して保存されることにご注意ください。そのため、audit-logコマンドを繰り返し使用すると、中断した所から再開されます。

audit-logを初めて実行する場合、Keeperの使用履歴が多いと、時間の先頭から開始されるため、処理に時間がかかります。

スイッチ:

--anonymize メールとユーザー名を企業の対応するユーザーIDに置き換えて、監査ログを匿名化します。ユーザーが削除された場合、またはユーザーのメールが変更された場合、監査レポートにはその特定のエントリが削除されたユーザーとして表示されます。

--target <{splunk, sumo, syslog, syslog-port, azure-la, json}> エクスポート対象を選択します。

  • splunk Splunk HTTPイベントコレクタにイベントをエクスポートします。

  • sumo Sumo Logic HTTPイベントコレクタにイベントをエクスポートします。

  • syslog イベントをsyslog形式でローカルファイルにエクスポートします。

  • syslog-port syslog形式のイベントをTCPポートにエクスポートします。プレーン接続とSSL接続の両方がサポートされています。

  • azure-la Keeper_CLという名前のカスタムログとしてイベントをAzure Log Analyticsにエクスポートします。

  • json イベントをJSON形式でローカルファイルにエクスポートします。

--record <レコード名またはUID> 現在のエクスポート状態を格納するKeeperのレコードを選択します。これには、目的のエンドポイントに接続するために必要なSplunkパラメータなどのシークレットも含まれます。

--shared-folder-uid <共有フォルダUID> フィルタ: 共有フォルダUID。設定レコード内の既存の設定を上書きして新しいフィールド値を設定します。

--node-id <ノードID> フィルタ: ノードID。設定レコード内の既存の設定を上書きして新しいフィールド値を設定します。

--days <日数> フィルタ: 最大イベント日数。設定レコード内の既存の「last_event_time」値を上書きします。

例:

audit-log --target=splunk
audit-log --record BhRRhjeL4armInSMqv2_zQ --target=json
audit-log --record=audit-log-json --target=json --days=30 --node-id=368009977790518
audit-log --shared-folder-uid=8oGAJPplH2DFUQ0obwox7Q --target=splunk --record=Splunk-Log
  1. すべてのイベントデータをダウンロードし、SplunkエンドポイントHTTPイベントコレクタにプッシュ配信します。Splunk HECエンドポイントの入力を求めるプロンプトが表示されます。

  2. レコードUIDを参照するすべてのイベントデータをダウンロードして、JSON形式で出力します。

  3. ID = 368009977790518のノードの過去30日以内のイベントデータを取得します。audit-log-jsonという名前のボルトレコードを使用して追加のクエリパラメータを取得し、必要に応じて更新します。

  4. UID = 8oGAJPplH2DFUQ0obwox7Qの共有フォルダのイベントデータを取得し、Splunk HTTP イベントコレクターにエクスポートします。Splunk-Logレコードに設定されたカスタムフィールド値を使用して、イベントデータクエリパラメーターを入力し、適切なSplunk アカウントにエクスポートするのに必要な情報 (HECエンドポイント、認証情報など) を渡します。

audit-reportコマンド

レポートを実行するには、ARAMアドオンが必要です。

コマンド: audit-report

詳細: 随時カスタマイズされた高度な監査イベントレポートをraw形式および要約形式で生成します。

イベントのプロパティ:

  id                イベントID
  created           イベント時間
  username          監査イベントを作成したユーザー
  to_username       監査イベントのターゲットユーザー
  from_username     監査イベントのソースユーザー
  ip_address        IPアドレス
  geo_location      場所
  audit_event_type  監査イベントタイプ
  keeper_version    Keeperアプリケーション
  channel           2FAチャネル
  status            Keeper API result_code
  record_uid        レコードUID
  shared_folder_uid 共有フォルダのUID
  node_id           ノードID (Enterpriseイベントのみ)
  team_uid          チームUID (Enterpriseイベントのみ)

パラメーター:

結果を指定の文字を含む行に制限します。任意。

スイッチ:

--report-type <{raw, dim, hour, day, week, month, span}> 表示するレポートの種類 (必須)。

  • raw すべての監査イベント。 オプションで--report-formatを使用して形式を変更します (デフォルトリスト)。

  • hour 時間別に要約されたレポートを表示します。

  • day 日別に要約されたレポートを表示します。

  • week 週別に要約されたレポートを表示します。

  • month 月別に要約されたレポートを表示します。

  • span 監査イベントの表を表示します。デフォルトでは、発生回数のみが表示されます。--columnsを使用してその他の列を追加します。

  • dim 指定した列で使用可能なすべての値と詳細情報のリストを表示します。複数の列を含めると、詳細リストが順に表示されます。--columnsを使用する必要があります。

--report-format <{_message, field_s}> 出力形式を選択します (「raw」レポート専用)。

  • message 以下の列を表示します (デフォルト)

    • created

    • audit_event_type

    • username

    • ip_address

    • keeper_version

    • geo_location

    • message

  • fields 以下の列を表示します

    • created

    • audit_event_type

    • username

    • ip_address

    • keeper_version

    • geo_location

    • record_uid

--columns <列> 表示する列を指定します (「raw」レポートでは無視されます)。

使用できる列:

  • audit_event_type

  • username

  • ip_address

  • keeper_version

  • geo_location

  • message

  • created

  • record_uid

  • record_name (コンプライアンスレポートモジュールが必要*)

使用法: 各列にスイッチを全部使用します

audit-report --report-type day --columns username --columns ip_address

--aggregate <{occurrences, first_created, last_created}> 集計値。繰り返し指定できます (rawレポートでは無視されます)。

  • occurrences イベントタイプの発生回数を表示します。

  • first_created イベントタイプが最初に発生した時刻を表示します。

  • last_created イベントタイプが最後に発生した時刻を表示します。

使用法: 表示したい集計ごとにスイッチを全部使用します。

audit-report --report-type day --aggregate occurrences --aggregate last_created

--timezone <タイムゾーン> 特定のタイムゾーンの結果を返します。

--limit <行数> 戻される行の最大数 (デフォルトは50、-1は無制限)。

--order <{desc, asc}> ソート順。最初に返された列に基づいてソートします。

--created <作成日> 作成日で結果をフィルタリングします。

形式:

以下のリストから定義済みのフィルタ値を使用します。

  • today

  • yesterday

  • last_7_days

  • last_30_days

  • month_to_date

  • last_month

  • year_to_date

  • last_year

または、以下のカスタム日付範囲形式を使用します。

"between %Y-%m-%dT%H:%M:%SZ and %Y-%m-%dT%H:%M:%SZ"

例: "between 2022-01-01 and 2022-06-01"

--event-type <イベントコード> イベントタイプでフィルタリングします。使用可能なすべてのイベントタイプの一覧はこちらのページをご参照ください。

--username <ユーザー名> ユーザー名でフィルタリングします。

--to-username <ターゲットのユーザー名> イベントのターゲットでフィルタリングします。

--record-uid <レコードUID> レコードでフィルタリングします。

--shared-folder-uid <共有フォルダUID> 共有フォルダでフィルタリングします。

--geo-location <地理的位置> 地理的位置でフィルタリングします。以下のコマンドを実行して、利用可能な地理的位置のリストを取得します。

audit-report --report-type=dim --columns=geo_location

--ip-address <IPアドレス> IPアドレスでフィルタリングします。

地理的位置のフィルタ形式は「[[都市, ] 州,] 国」となります。

例:

「El Dorado Hills, California, US」

「Bayern,DE」 - ドイツ、バイエルン

「CA」 - カナダ

--ip-address ユーザーのIPアドレスでフィルタリングします。たとえば、特定のIPから発生した最新の5,000件のイベントを検索するには、次の手順を実行します。

audit-report --report-type raw --format csv --limit 5000 --ip-address 11.22.33.44

--device-type <デバイスタイプ> Keeperデバイス/アプリケーションおよびオプションのバージョン。

audit-report --report-type=dim --columns=device_type

デバイスタイプフィルタの形式は「DeviceType[, Version]」となります。

例:

「Commander」 Keeper Commanderの全バージョン

「Web App, 16」 ウェブボルトバージョン「16.x.x」

--format <table, csv, json> 出力形式で、表がデフォルトです。

--max-record-details ローカルキャッシュで見つからない場合、追加のrecord-detailデータを取得します。

例:

audit-report --report-type raw --limit 5000
audit-report --report-type raw --report-format fields
audit-report --report-type dim --column audit_event_type
audit-report --report-type day --column username --column audit_event_type
audit-report --report-type hour --aggregate occurrences --column audit_event_type --created today
audit-report --report-type=span --event-type=record_add --event-type=record_update --username=user@mydomain.com --column=record_uid --created=last_30_days
audit-report --format=table --report-type=day --event-type=open_record --columns username --columns ip_address --columns record_uid --columns record_title --created today
audit-report --report-type=span --event-type=open_record --column=username --column=record_title --column=record_url --aggregate=last_created --max-record-details
  1. 各イベントのメッセージを含むすべてのイベントに関する監査レポートを表示します (最新の5000イベントを表示します)。

  2. 各イベントのレコードUIDを含むすべてのイベントに関する監査レポートを表示します。

  3. 使用可能なすべての監査イベントタイプを表示します。

  4. イベントタイプとユーザー名を含む監査レポートを日別に要約して表示します。

  5. 当日の1時間ごとに実行された各イベントタイプの数の監査レポートを表示します。

  6. 過去30日以内にuser@mydomain.comによって作成または更新されたすべてのレコードUIDを表示します。

  7. 復号化されたレコードタイトルを含めて、当日発生した有効なレコードイベントをすべて表示します。

  8. 各ユーザーが各レコードに最後にアクセスした時刻 (タイトルおよび関連URLも) を表示し、キャッシュを介してデータがローカルで利用可能でない場合は、各レコードの詳細 (タイトル、URLなど) の追加取得を強制 (時間とリソースを大量に消費する可能性があります)。

user-reportコマンド

コマンド: user-report

詳細: ユーザーステータスレポートを随時生成します。

スイッチ:

--format <{table,json,csv}> レポートの形式。

--output <ファイル名> 指定したファイル名に出力します。

--days <日数> 最終ログイン日を遡る日数。

--last-login 各ユーザーが最後にログインした時刻を表示します。

例:

user-report
user-report --format csv --output logins.csv --days 30
user-report --format csv --output last-logins.csv 
  1. 過去365日間のユーザーログインレポートを表示します。

  2. 過去30日間のユーザーレポートを作成し、「logins.csv」という名前のファイルにcsv形式で出力します。

  3. 社内の各ユーザーが最後にログインした時刻のレポートを作成し、「last-logins.csv」ファイルに保存します。

security-audit-reportコマンド

コマンド: security-audit-report

詳細: 自社ユーザーのパスワードのセキュリティ強度レポートを生成します。

レポートの列:

My Vault> security-audit-report --syntax-help

Security Audit Report Command Syntax Description:

Column Name       Description
  username          user name
  email             e-mail address
  weak              number of records whose password strength is in the weak category
  medium            number of records whose password strength is in the medium category
  strong            number of records whose password strength is in the strong category
  reused            number of reused passwords
  unique            number of unique passwords
  securityScore     security score
  twoFactorChannel  2FA - ON/OFF

スイッチ:

--format <{table,json,csv}> レポートの形式。

--output <ファイル名> 指定したファイル名に出力します。

--syntax-help レポートの各列の説明を表示します。

-n、--node 結果をフィルタリングするノードの名前またはUID。

-b--breachwatch Breachwatchセキュリティレポートを表示します (コマンダー v16.5.5以降)。

-su--show-updated セキュリティ監査スコアを再計算して、ローカルに表示します (プレビュー)。

-s--save セキュリティ監査スコアを再計算し、更新されたスコアをKeeperにプッシュ配信します。

-st--score-type <{strong_passwords,default}> ユーザーのセキュリティスコアの計算方法を定義します (--score-type=strong_passwordsを設定すると、レポートのサマリーセキュリティスコアは、 対応するボルトのセキュリティ監査ページで計算されて表示される値と同じく、強力であると見なされた各ユーザーのパスワードの数のみに基づいて計算されます)。

--attempt-fix セキュリティデータが無効と判定されたボルトに対して「ハード」同期を実行します。これにより、関連するセキュリティスコアがリセットされ、影響を受けたボルトがセキュリティデータを再計算および更新するまで、スコアは正確でなくなります。

-f--force 確認プロンプトをスキップします (非対話モード)。

下位互換性を維持するため、このコマンドはデフォルトでは (最近のボルトの変更に基づいてて) セキュリティスコアの計算を更新することはありません。その後、デフォルトでは、更新されたセキュリティスコアも保存されません。

上記の挙動を変更するには、コマンド呼び出しに--show-updatedフラグか--saveフラグのどちらかを含めます (後者のフラグが含まれている場合、前者を含める必要はありません)。

例:

security-audit-report
security-audit-report --format json --output security_score.json
security-audit-report -b
security-audit-report -su
security-audit-report -s
sar -n Node1
security-audit-report --score-type=strong_passwords --save
  1. セキュリティ監査レポート (社内のユーザーごとのパスワードの強度) を表示します。

  2. セキュリティ監査レポートを作成し、「security_score.json」という名前のファイルにjson形式で出力します。

  3. Breachwatchセキュリティレポートを表示します。

  4. セキュリティ監査スコアを再計算し、セキュリティ監査レポートを表示します。Keeperに変更はプッシュ配信しません。

  5. セキュリティ監査スコアを再計算し、セキュリティ監査レポートを表示して、Keeperに変更をプッシュ配信します。

  6. セキュリティ監査レポートを表示します (コマンドの省略形を使用)。結果は、企業ノードNode1に割り当てられたアカウントに制限されます。

  7. 強力と見なされた各ユーザーのパスワードの数に基づいてセキュリティ監査スコアを表示し、結果をKeeperにプッシュ配信します。

breachwatch reportコマンド

コマンド: breachwatch reportまたはbw report

詳細: 組織内の全ユーザーのBreachwatchセキュリティレポートを実行します。

スイッチ:

--format <{table,csv}> レポートの形式

--output <ファイル名> 指定のファイル名で出力

例:

breachwatch report
bw report --format csv --output breachwatch_report.csv
  1. Breachwatch固有のセキュリティスコアを表示します。

  2. Breachwatchセキュリティレポートを、コマンダーの現在の作業ディレクトリ (フォルダの完全なパスを取得するにはv -vコマンドを実行) に存在する「breachwatch_report.csv」というCSVファイルにエクスポートします。

share-reportコマンド

コマンド: share-report

詳細: 共有レコード (呼び出し元のユーザーと共有するレコードおよび呼び出し元のユーザーが共有するレコードの両方) のレポートを表示します。

パラメータ:

レポートに表示するレコードを含むフォルダのパスまたはUID。オプション (複数の値を指定可能)。

スイッチ:

--format <{table,csv}> レポートの形式。

--output <ファイル名> 指定したファイル名に出力します。

-r--record <レコード名かレコードUID> レポートを表示する特定のレコードを指定します。

-e--email <ユーザーのメールまたはチーム名> 共有レコードのレポートを表示するユーザーまたはチームを指定します。

-o--owner レコードの所有者を表示します。

--share-date レコードが共有された日付を表示します。 所有者レポートにのみ使用されます (--ownerスイッチ)。会社のレポートを実行する権限を持つユーザーのみが使用できます。

-sf--shared-folders 共有フォルダの詳細情報を表示します。省略した場合は、レコードが対象となります。

-v--verbose レポートにレコードUIDを表示します。

-f--folders レポートを共有フォルダに制限します (共有レコードを除外します)。

-tu--show-team-users チーム共有情報を展開して、レポートに各共有フォルダまたは共有レコードの個々のメンバーを含めます。

例:

share-report
share-report --record 5R7Ued8#JctulYbBLwM$
share-report --format csv --output share_report.csv
share-report -e john.doe@gmail.com --owner --share-date -v
share-report -o -v Team1_Folder Za2aspMQG9De5In28sc3KA
share-report --folders
  1. 共有レコードのレポートを表示します。

  2. 指定したUIDを持つレコードの共有レポートを表示します。

  3. 共有レコードのレポートをcsv形式で出力します。

  4. 「john.doe@gmail.com」と共有されたレコードのレポートを表示します。元の所有者と共有された日時も表示します。

  5. Team1_Folder」という名前のフォルダとUIDがZa2aspMQG9De5In28sc3KAのフォルダに含まれる各共有レコードの所有権情報と詳細な共有権限が記載されたレポートを表示します。

  6. 現在のユーザーのボルト内の共有フォルダのリストと、各共有フォルダーにアクセスできるチームおよび他のユーザーを表示します。

shared-records-reportコマンド

コマンド: shared-records-reportまたはsrr

詳細: 共有レコードに関する情報を表示します (表示される情報は、呼び出し元のユーザーが他のユーザーと共有しているレコードに限定されます。つまり、他のユーザーが呼び出し元のユーザーと共有しているレコードは除外されます。両方のタイプのレコードを含めるには、share-reportコマンドをご参照ください)。

パラメータ:

レポートに表示するレコードを含むフォルダのパスまたはUID。オプション (複数の値を指定可能)。

スイッチ:

--format <{json,csv,table}> レポートの形式。

-o、--output <ファイル名> 指定したファイル名に出力します。「table」形式の場合は無視されます。

--all-records すべてのレコードをレポートに含めます。デフォルトでは、所有しているレコードのみがレポートされます。

--show-team-usersまたは-tu 共有チームフォルダを使用して共有されたレコードのチームメンバーを表示します。

例:

shared-records-report
shared-records-report --format csv
shared-records-report --show-team-users 
srr --format json -o shared_records.json 'My Shares' Team1/Shares _qsA0AA0XwJkeTVQdijmEg
  1. 共有レコードの情報を表形式で表示します。。。。

  2. 共有レコードの情報をcsv形式で表示します

  3. 共有フォルダを使用してレコードを共有するすべてのチームの個々のメンバーと共有されたレコードに関する情報を表示します

  4. 「My Shares」「Team1/Shares」フォルダ (パスで識別されるフォルダ) および「_qsA0AA0XwJkeTVQdijmEg」フォルダ (UIDで識別されるフォルダ) にある共有レコードに関する情報をshared_records.jsonという名前のJSON形式のファイルにエクスポートします。この場合、格納フォルダがコマンド呼び出しで明示的に指定されているため、結果のレポートに含まれるレコードは、指定したフォルダ内にあるレコードのみに制限されます (フォルダの子として、またはサブフォルダの子としてなど)

external-shares-reportコマンド

コマンド: external-shares-report

詳細: 社外のユーザーと共有されたフォルダとレコードを表示します。必要に応じて、すべての外部共有を削除します。

スイッチ:

--format {table,json,csv} 出力形式。

--output <FILENAME> ファイル名に出力します。table形式を使用している場合は無視されます。

-a、--action {remove,none} 外部共有に適用する操作。確認を求めて共有を削除するには「remove」を使用し、確認を省略する場合は「none」を使用します。

-t、--share-type {direct,shared-folder,all} 個別の共有レコード (direct) または共有フォルダのみを表示します。省略した場合は「all」が指定されます。

-f、--force 確認を求めずに操作を強制的に適用します。。

-r、--refresh-data レポートを実行する前に同期して最新のデータを取得します

例:

external-shares-report
external-shares-report --format csv --output share_report.csv
external-shares-report -a remove
external-shares-report -a remove -t direct
external-shares-report -a remove -t shared-folder
external-shares-report -a remove -f 
external-shares-report -r
  1. 外部共有フォルダおよびレコードをすべて表示します。

  2. すべての外部共有フォルダおよびレコードをshare_report.csvとして出力します。

  3. 外部共有フォルダおよびレコードをすべて削除します (確認プロンプトを表示)。

  4. 外部で共有されている個々のレコードをすべて削除しますが、共有フォルダは削除しません。

  5. 外部共有フォルダはすべて削除しますが、個々のレコードは削除しません。

  6. 外部共有フォルダおよびレコードを確認プロンプトを表示せずにすべて削除します。

  7. Keeperと同期して最新のデータを取得し、共有レポートを生成します。

msp-license-reportコマンド

コマンド: msp-license-report

詳細: 管理対象会社の使用可能なライセンスの情報を表示します。

スイッチ:

--format <{json. table, csv}> レポートの形式。

--range <{today, yesterday, last_7_days, last_30_days, month_to_date, last_month, year_to_date, last_year}> ライセンス使用状況の期間。

--from <開始日> ライセンスの使用状況を表示する期間の開始日。 監査タイプ (--type audit)とは一緒に使用しますが、--rangeフラグとは一緒に使用しません。

形式:YYYY-mm-dd 例:2021-07-08

--to <終了日> ライセンスの使用状況を表示する期間の終了日。 監査タイプ (--type audit) とは一緒に使用しますが、--rangeフラグとは一緒に使用しません。

形式:YYYY-mm-dd 例:2021-07-08

--output <ファイル名> レポートの出力先のファイル。

例:

msp-license-report
msp-license-report --range last_30_days
msp-license-report --from 2021-02-01 --to 2021-03-01
msp-license-report --format csv --output licenses.csv
  1. 組織に現在割り当てられているライセンスと残りのライセンスのレポートを表示します。

  2. 過去30日間のライセンス使用状況のレポートを表示します。

  3. 2021年2月1日から3月1日までのライセンス使用状況のレポートを表示します。

  4. 現在のライセンス使用状況のレポートを「licenses.csv」という名前のファイルにcsv形式で出力します。

aging-reportコマンド

このレポートには、高度なレポートとアラートモジュールとコンプライアンスモジュールが必要です。詳細については、コンプライアンスレポートのページをご参照ください。

コマンド: aging-report

詳細: 指定時間内に変更「されなかった」レコードのパスワードを特定します。このレポートでは、絵エンタープライズプラットフォームの高度なレポート作成機能と、特権管理者のレコードタイトルを復号化できるコンプライアンスデータを利用します。

スイッチ:

-r、--rebuild レコードのデータベースを再構築します。

--delete レコードのローカルデータベースを削除します。

-nc、-no-cache コマンドの完了時に、メモリ以外のローカルデータストレージをすべて削除します。

-s、--sort <{owner, title, last_changed}> 選択したフィールドで出力をソートします。

--format <{table,json,csv}> レポートの形式。

--output <ファイル名> 指定したファイル名に出力します。

--period <期間> この期間に変更されていないパスワードを持つレコードを検索します。

--cutoff-date <日付> レポートを、この日付以降パスワードが変更されていないレコードに限定します。--periodスイッチと併用することはできません。

--username <ユーザー名> 指定したユーザーの失効したパスワードを報告します。

--exclude-deleted 削除されたレコードをレポートから除外します (このフラグを追加すると、追加データの取得が必要になり、その後のコマンド実行時間が長くなる場合があります)。

--in-shared-folder レポートを共有フォルダ内のレコードに制限します。

例:

aging-report --rebuild
aging-report --period=1y
aging-report --period=3m --format=table --username user@company.com
aging-report --exclude-deleted
aging-report --in-shared-folder
aging-report --cutoff-date 12/31/2020
  1. 監査データとコンプライアンスデータをローカルで再構築します。

  2. 1年以上更新されていないパスワードの経過レポートを生成します。

  3. 3か月以上更新されていない特定のユーザーのパスワードの経過レポートを生成します。

  4. 各ボルトのごみ箱に現在入っているレコードは無視して、パスワード経過レポートを生成します。

  5. 過去3か月間パスワードが変更されていないすべての共有フォルダ内のレコードをリストとして表示します。

  6. 2020年12月31日以前にパスワードが最後に変更されたすべてのレコードを一覧表示します。

risk-managementコマンド

コマンド: risk-management

詳細: リスク管理レポートを生成

My Vault> risk-management --help
Command    Description
---------  ---------------------------------
user       Show Risk Management user report
alert      Show Risk management alert report

スイッチ:

--format <{table, json,csv}> レポートの形式。

--output <ファイル名> 結果をファイルに保存したい場合に使用します。

例:

My Vault> risk-management user
My Vault> risk-management alert --format=json

action-reportコマンド

ARAMアドオンが必要となります。

コマンド: action-report

詳細: 特定のステータスのユーザー、または指定した期間内に操作を実行していないユーザーに関するレポートを生成したり、アクションを講じたりします。--days-sinceを使用して特に指定しない限り、デフォルトの期間は過去30日です。

スイッチ:

--format <{table,json,csv}> レポートの形式。

--output <ファイル名> 結果をファイルに保存したい場合に使用します。

-d <日数>または--days-since <日数> 対象となる操作をこの日数だけ遡ります (省略した場合、デフォルト値の30日が使用されます)。

-tまたは--target <no-logon, no-update, locked, invited, no-security-question-update, blocked> レポートまたはアクションの対象となるユーザーステータス。

--columns レポートに表示する列のカンマ区切りのリスト。サポートされている列: {2fa_enabled, team_count, status, transfer_status, alias, role_count, node, teams, name, roles}

-aまたは--apply-action <lock, delete, transfer, none> 対象を指定した後で使用、対象となるユーザーステータスに一致する各ユーザーアカウントに対して講じるアクション。

--target-user (上記のtransferアクションと一緒に使用) ボルトの移管先アカウント。

-nまたは--dry-run --target/-tスイッチで指定されたアクションステータスのカテゴリに当てはまるアカウントおよび適用される該当管理アクション (-a/--apply-actionスイッチで指定) を表示します。ただし、アクションは実際には適用されません。

-fまたは--force -a/--apply-action オプションで指定した管理アクションを確認を求めるプロンプトを表示せずに実行します (「delete」および「transfer」管理アクションにのみ適用されます)。

対象ユーザーのレポート例:

  1. 過去45日以内にログインしていないユーザーの一覧を表示します。

action-report --target no-logon --days-since 45
  1. 60日以上ロック状態のままのユーザーアカウントの一覧を表示します。

action-report --target locked --days-since 60
  1. 15日以上招待状態にあるユーザーの一覧を表示します。

action-report -t invited -d 15
  1. 過去35日間にレコードを更新していないユーザーの一覧を表示します。

action-report --target no-update --days-since 35
  1. デフォルトの期間 (過去30日間) 内に自分のアカウントの秘密の質問と回答を設定/変更していないユーザーを表示します。

action-report -t no-security-question-update
  1. 過去30日間 (指定がない場合のデフォルトの期間) 以内にアカウントにログインしていないユーザーのレポートを生成します。これには、レポート内の各ユーザーの2FA ステータス、割り当てられているチームの数、割り当てられているロールの数、割り当てられているノード、フルネームが含まれます。

action-report -t=no-logon --columns=2fa_enabled,team_count,role_count,node,name

アクション対象ユーザーの例 (ドライランの場合は-nを追加):

  1. アカウントが招待された状態で90日以上経過しているユーザーを削除します。

action-report   -d 90
  1. 90日間ロックされているすべてのユーザーのボルトを指定したボルトに移管します。

action-report -t locked -d 90 -a transfer --target-user destination.vault@email.com
  1. 180日以内にログインしていないすべてのユーザーをロックします。

action-report -t no-logon -d 180 -a lock

compliance-reportコマンド

コンプライアンスレポート作成のアドオンが必要となります。

詳細については、コンプライアンスコマンドのページをご参照ください。

コマンド: compliance-report

詳細: 全社のレコードの共有状態のレポートを生成します。

このレポートは、コマンドが初めて呼び出されたときに作成されたキャッシュを利用します。企業の規模によっては、セッションの最初のコマンドが完了するまでに少し時間がかかる場合があります。

スイッチ:

--format <{table,json,csv}> レポートの形式。

--output <ファイル名> 指定したファイル名に出力します。

-u--username <ユーザー名> 指定したユーザーのレコードに対するフィルタ。複数のユーザーに何度でも使用できます。

-n--node <ノード名かID> 指定したノードのボルト内のレコードに対するフィルタ。

-jt--job-title <職位> 指定した役職のユーザーが所有するボルトのレコードに対するフィルタ。複数の職位には複数回使用します。

--record <記録名かUID> 指定したレコードのみを表示します。複数のレコードに対しては複数回使用します。

--team <チーム名> 指定したチームのユーザーのみを表示します。複数のチームに対しては複数回使用します。

--url <URL> 指定されたURLを持つレコードのみを表示します。 複数のURLに対しては複数回使用します。

--shared 共有されているレコードのみを表示します。

--deleted-items 削除されたレコードのみを表示します (--active-itemsフラグでは無効となります)。

--active-items アクティブなレコードのみ表示します (--deleted-itemsフラグでは無効となります)。

-r--rebuild このレポートで使用したレコードのキャッシュを更新します。

-nr, --no-rebuild キャッシュが存在する場合、古いキャッシュの更新を禁止します (--rebuildフラグでは無効)。

-nc--no-cache 基礎となるレポートデータの永続的なローカルキャッシュを無効にします。

例:

compliance-report
compliance-report -u "user@company.com"
compliance-report --node "Chicago" -jt "Manager"
compliance-report -u "user@company.com" --shared
compliance-report --nr --record="AWS MySQL Administrator"  
compliance-report --active-items
  1. 社内のすべてのユーザーのすべてのレコードの共有状態を表示します。

  2. ユーザー「user@company.com」のボルトのレコードの共有状態を表示します。

  3. シカゴの管理者が所有するボルトのレコードの共有状態を表示します。

  4. 「user@company.com」が所有する共有レコードに限定して、共有状態を表示します。

  5. キャッシュされたデータが存在する場合、タイトルが「AWS MySQL Administrator」であるレコードの共有状況を、キャッシュされたデータに基づいて表示します。

  6. 組織内のすべてのアクティブなレコードの共有状況を表示します。

compliance team-reportコマンド

コンプライアンスレポート作成のアドオンが必要となります。

詳細については、コンプライアンスコマンドのページをご参照ください。

コマンド: compliance team-report

スイッチ:

--format <{table,json,csv}> レポートの形式。

--output <ファイル名> 指定したファイル名に出力します。

-n--node <ノード名かID> 指定したノードのボルト内のレコードに対するフィルタ。

-r--rebuild このレポートで使用したレコードのキャッシュを更新します。

-nr--no-rebuild キャッシュが存在する場合、古いキャッシュの更新を禁止します (--rebuildフラグでは無効)。

-nc--no-cache 基礎となるレポートデータの永続的なローカルキャッシュを無効にします。

-tu--show-team-users レポートに各チームの個々のメンバーを表示します。

例:

compliance team-report
compliance team-report --format csv --output "team-report.csv"
compliance team-report --show-team-users
  1. コンプライアンスチームのレポートを表示します。。。

  2. コンプライアンスチームのレポートのCSVファイル出力を保存します

  3. レポートに各チームに割り当てられた個々のユーザーを表示します

compliance record-access-reportコマンド

コンプライアンスレポート作成のアドオンとARAMアドオンが必要となります。

詳細については、コンプライアンスコマンドのページをご参照ください。

コマンド: compliance record-access-report or compliance rar

詳細: 指定された各ユーザーがアクセスした、または現在アクセスできるすべてのレコードのレポートを生成します。

パラメータ:

ユーザー名またはID。「@all」に設定して全ユーザーのレポートを生成します。

スイッチ:

--format <{table,json,csv}> レポートの形式。

--output <ファイル名> 指定したファイル名に出力します。

-n--node <ノード名かID> 指定ノードのボルト内のレコードへのフィルタ。

-r--rebuild このレポートで使用したレコードのキャッシュを更新します。

-nr--no-rebuild キャッシュが存在する場合、古いキャッシュの更新を禁止します (--rebuildフラグでは無効)。

-nc--no-cache 基礎となるレポートデータの永続的なローカルキャッシュを無効にします。

--report-type レポートに含めるレコードアクセスデータのタイプを選択します (任意。省略した場合のデフォルトは「history」)。現在アクセス可能なレコードを表示するには「vault」に設定し、以前にアクセスしたレコードのみを表示するには「history」に設定します。

--aging レポート内の各レコードの古いデータ (最終更新日、作成日など) を含めます。

例:

compliance record-access-report user@company.com
compliance rar --report-type vault --format csv --output "all_vaults.csv" @all
compliance rar --report-type vault --aging user1@company.com user2@company.com
  1. user@company.comがアクセスした全レコードのリストを表示します。。

  2. 全ユーザーのボルト内に現在存在する全レコードをリストしたCSVファイルをエクスポートします

  3. 現在user1@company.comuser2@company.comが現在アクセスできる全レコードのレポートを生成します。各レコードが作成された日時、最後に変更された日時、最後にローテーションされた日時を表示します。

SIEMにイベントのログを記録

コマンダーは、Splunk、Sumo、汎用Syslog形式などの一般的なSIEMソリューションとの連携に対応しています。イベントのより一般的なレポートについては、audit-reportコマンドの使用をお勧めします。オンプレミスSIEMにイベントデータをプッシュ配信する場合は、audit-logコマンドの使用をお勧めします。最後にエクスポートされたイベントを自動的に追跡し、増分更新のみを送信するためです。100を超えるイベントタイプの一覧は、こちらのページに記載されています。

コマンダーを使用したSIEM連携は、ネットワーク内でHTTPイベントコレクタしか利用できないオンプレミス環境で有効です。Keeper管理コンソールバージョン13.3以降では、バックエンドのイベントデータをSIEMソリューションに統合できますが、クラウドベースのSIEMソリューションを利用していなければなりません。コマンダーを使用せずにKeeperをSIEMソリューションに統合するためのサポートが必要な場合は、ビジネスサポートチーム (business.support@keepersecurity.com) までお問い合わせください。

Syslog形式でのイベントログのエクスポート

コマンダーは、すべてのイベントログをsyslog形式のローカルファイルにエクスポートしたり、データを増分ファイルでエクスポートしたりすることができます。ボルトのKeeperのレコードは、最後のイベントへの参照を保存するために使用されます。

$ keeper shell

以下では、すべてのイベントをエクスポートし、最後にエクスポートされたイベント時刻の追跡を開始します。

My Vault> audit-log --target=syslog
Do you want to create a Keeper record to store audit log settings? [y/n]: y
Choose the title for audit log record [Default:Audit Log:Syslog]:
Enter filename for syslog messages.
...             Syslog file name: all_events.log
...         Gzip messages? (y/N): n
Exported 3952 audit events
My Vault>

これにより、ボルトにレコードが作成され (この例では、「Audit Log: Syslog」というタイトル)、最後にエクスポートされたイベントのタイムスタンプと出力ファイル名を追跡します。次に、イベントデータがテキスト形式またはgzip形式でファイルにエクスポートされます。

以降の各監査ログのエクスポートは、次のコマンドで実行できます。

$ keeper audit-log --format=syslog --record=<your record UID>

またはシェルから以下のように実行します。

My Vault> audit-log --target=syslog --record=<your record UID>

syslogイベントを5分ごとにエクスポートするように自動化するには、以下のようなJSON設定ファイルを作成します。

{
    "server":"https://keepersecurity.com",
    "user":"user@company.com",
    "password":"your_password_here",
    "mfa_token":"filled_in_by_commander",
    "mfa_type":"device_token",
    "debug":false,
    "plugins":[],
    "commands":["sync-down","audit-log --target=syslog"],
    "timedelay":600
}

次に、configパラメータを使用してコマンダーを実行します。以下はその例です。

$ keeper --config=my_config_file.json

Splunk HTTPイベントコレクタによるプッシュ配信

Keeperは、オンプレミスまたはクラウドのSplunkインスタンスにイベントログを直接POSTできます。以下はその手順となります。

  • Splunk Enterpriseにログインします。

  • Settings (設定) -> Data Inputs (データ入力) -> HTTP Event Collector (HTTPイベントコレクタ) に移動します。

  • [New Token] (新しいトークン)をクリックして名前を入力し、インデックスを選択して完了します。

  • 最後の手順で、「Token Value」 (トークン値) をコピーし、次の手順用に保存します。

  • Keeperコマンダーシェルにログインします。

$ keeper shell

次に、Splunkとコマンダーとの連携を設定します。コマンダーは、指定したトークンとSplunk HTTPイベントコレクタを格納するボルトにレコードを作成します。これは、その後の実行が中断した所から再開されるように、最後に捕捉したイベントの追跡にも使用されます。HECのデフォルトポートは8088であることにご注意ください。

$ keeper audit-log --format=splunk

Do you want to create a Keeper record to store audit log settings? [y/n]: y
Choose the title for audit log record [Default:Audit Log:Splunk]: <enter> 

Enter HTTP Event Collector (HEC) endpoint in format [host:port].
Example: splunk.company.com:8088
...          Splunk HEC endpoint:192.168.51.41:8088
Testing 'https://192.168.51.41:8088/services/collector' ...Found.
...                 Splunk Token: e2449233-4hfe-4449-912c-4923kjf599de

以下の監査ログエクスポートではSplunkレコードのレコードUIDが確認できます。

My Vault> search splunk

  #  Record UID              Title              Login    URL
---  ----------------------  -----------------  -------  -----
  1  schQd2fOWwNchuSsDEXfEg  Audit Log:Splunk

以降の各監査ログのエクスポートは、以下のコマンドで実行できます。

$ keeper audit-log --format=splunk --record=<your record UID>

またはシェルから以下のように実行します。

My Vault> audit-log --target=splunk --record=<your record UID>

Splunkイベントを5分ごとにプッシュ配信するように自動化するには、以下のようなJSON設定ファイルを作成します。

{
    "server":"https://keepersecurity.com",
    "user":"user@company.com",
    "password":"your_password_here",
    "mfa_token":"filled_in_by_commander",
    "mfa_type":"device_token",
    "debug":false,
    "plugins":[],
    "commands":["sync-down","audit-log --target=splunk"],
    "timedelay":600
}

次に、以下のようにconfigパラメータを使用してコマンダーを実行します。

$ keeper --config=my_config_file.json

Sumo Logic HTTPイベントコレクタによるプッシュ配信

Keeperは、イベントログをSumo Logicアカウントに直接POSTできます。以下はその手順となります。

  • Sumo Logicにログインします。。。。。。

  • Manage Data (データ管理) -> Collection (収集) に移動します

  • Add Collector (コレクタを追加) -> Hosted Collector (ホストされたコレクタ)、Add Source (ソースを追加) -> HTTP Logs & Metrics (HTTPログ&メトリクス) の順にクリックします

  • コレクタに名前を付けて保存します。その他のフィールドはデフォルトにします

  • コレクタURLであるHTTPソースアドレスをメモします

  • Keeperコマンダーシェルにログインします

$ keeper shell

次に、Sumo Logicとコマンダーとの連携を設定します。コマンダーは、HTTPコレクタ情報を格納するボルトにレコードを作成します。これは、その後の実行が中断した所から再開されるように、最後に捕捉したイベントの追跡にも使用されます。

$ keeper audit-log --format=sumo

「HTTP Collector URL:」を求められた場合、上記のSumoインターフェースから取得したURLを貼り付けます。

この手順の後、イベントデータ統合を追跡するために使用されるレコードがボルトに作成されます。次の監査ログエクスポートのSumoレコードのレコードUIDが確認できます。

My Vault> search sumo

  #  Record UID              Title              Login    URL
---  ----------------------  -----------------  -------  -----
  1  schQd2fOWwNchuSsDEXfEg  Audit Log:Sumo

以降の各監査ログのエクスポートは、以下のコマンドで実行できます。

$ keeper audit-log --format=sumo --record=<your record UID>

またはシェルから以下のように実行します。

My Vault> audit-log --target=sumo --record=<your record UID>

Sumo Logicイベントを5分ごとにプッシュ配信するように自動化するには、以下のようなJSON設定ファイルを作成します。

{
    "server":"https://keepersecurity.com",
    "user":"user@company.com",
    "password":"your_password_here",
    "mfa_token":"filled_in_by_commander",
    "mfa_type":"device_token",
    "debug":false,
    "plugins":[],
    "commands":["sync-down","audit-log --target=sumo"],
    "timedelay":600
}

次に、以下のようにconfigパラメータを使用してコマンダーを実行します。

$ keeper --config=my_config_file.json

JSON形式でのイベントログのエクスポート

コマンダーでは、すべてのイベントログをJSON形式でローカルファイルにエクスポートできます。ローカルファイルは、コマンダーを実行するたびに上書きされます。この種のエクスポートは、ファイルを処理する他のアプリケーションと組み合わせて使用できます。ボルトのKeeperのレコードは、最後のイベントへの参照を保存するために使用されます。

$ keeper shell

すべてのイベントをエクスポートし、最後にエクスポートされたイベント時刻の追跡を開始する手順は以下のとおりです。

My Vault> audit-log --target=json
Do you want to create a Keeper record to store audit log settings? [y/n]: y
Choose the title for audit log record [Default:Audit Log:JSON]:
JSON file name: all_events.json
Exported 3952 audit events
My Vault>

これにより、ボルトにレコードが作成され (この例では、「Audit Log: JSON」というタイトル)、最後にエクスポートされたイベントのタイムスタンプと出力ファイル名を追跡します。その後、イベントデータがファイルにエクスポートされます。

以降の各監査ログのエクスポートは、以下のコマンドで実行できます。

$ keeper audit-log --format=json --record=<your record UID>

またはシェルから以下のように実行します。

My Vault> audit-log --target=json --record=<your record UID>

JSONイベントを5分ごとにエクスポートするように自動化するには、以下のようなJSON設定ファイルを作成します。

{
    "server":"https://keepersecurity.com",
    "user":"user@company.com",
    "password":"your_password_here",
    "mfa_token":"filled_in_by_commander",
    "mfa_type":"device_token",
    "debug":false,
    "plugins":[],
    "commands":["sync-down","audit-log --target=json"],
    "timedelay":600
}

次に、以下のようにconfigパラメータを使用してコマンダーを実行します。

$ keeper --config=my_config_file.json

Azure Log Analytics

Keeperは、イベントログをAzure Log Analyticsワークスペースに直接POSTできます。以下はその手順となります。

  • Azureポータルにログインし、Log Analyticsワークスペースを開きます。

  • Settings (設定) -> Advanced settings (詳細設定) に移動します

  • ワークスペースIDとプライマリキーまたはセカンダリキーをメモします

  • Keeperコマンダーシェルにログインします

$ keeper shell

次に、Log Analyticsとコマンダーとの連携を設定します。コマンダーは、Log Analyticsのアクセス情報を格納するボルトにレコードを作成します。これは、その後の実行が中断した所から再開されるように、最後に捕捉したイベントの追跡にも使用されます。

$ keeper audit-log --format=azure-la

「Workspace ID:」を求められた場合、上記の詳細設定インターフェースから取得したWorkspace IDを貼り付けます。「Key:」を求められた場合、上記の詳細設定インターフェースから取得したプライマリキーまたはセカンダリキーを貼り付けます。

この手順の後、イベントデータ統合を追跡するために使用されるレコードがボルトに作成されます。次の監査ログエクスポートのLog AnalyticsレコードのレコードUIDが確認できます。

My Vault> search analytics

  #  Record UID              Title                           Login                                 URL
---  ----------------------  ------------------------------  ------------------------------------  -----
  1  schQd2fOWwNchuSsDEXfEg  Audit Log:Azure Log Analytics  <WORKSPACE GUID>

以降の各監査ログのエクスポートは、以下のコマンドで実行できます。

$ keeper audit-log --format=azure-la --record=<your record UID>

またはシェルから以下のように実行します。

My Vault> audit-log --target=azure-la --record=<your record UID>

Azure Log Analyticsにイベントを5分ごとにプッシュ配信するように自動化するには、以下のようなJSON設定ファイルを作成します。

{
    "server":"https://keepersecurity.com",
    "user":"user@company.com",
    "password":"your_password_here",
    "mfa_token":"filled_in_by_commander",
    "mfa_type":"device_token",
    "debug":false,
    "plugins":[],
    "commands":["sync-down","audit-log --target=azure-la"],
    "timedelay":600
}

次に、以下のようにconfigパラメータを使用してコマンダーを実行します。

$ keeper --config=my_config_file.json

最終更新