コンプライアンスコマンド
Keeper Commanderコンプライアンスレポート作成コマンド
概説
コンプライアンスレポートを使用すると、全社の記録とクレデンシャルのアクセス権限を必要に応じて可視化できるため、アカウント管理者は規制を遵守できます。
Commanderを使用すると、コンプライアンスレポートをスケジュール設定して自動化し、結果をCSVファイルまたはJSONにエクスポートできます。
compliance-reportコマンド
compliance-reportコマンドを使用すると、Keeper管理コンソールで行うのと同じようにレポートを実行できます。ノード、ユーザー、タイトル別の記録権限の表示、所有する記録または共有記録によるフィルタ、結果のファイルへの出力ができます。
キャッシュ
compliance-reportコマンドは、複数のレポートクエリのパフォーマンスを向上させるためにキャッシュを利用しています。
このため、compliance-reportの最初の呼び出しでは、システムが必要なデータを取得するまでに数分かかる場合があります。
この間、Commanderは実行中の手順を説明するメッセージを表示します。
また、-rフラグを使用することでキャッシュの手動再構築を実行できます。コンプライアンスデータの最新の変更を確認するには、以下の操作を行います。
compliance-report -r
デフォルトでは (生成されたレポートが適度に最新かつ正確なデータを反映するように)、 1 日以上長くローカルにキャッシュされた古いデータは、上記のプロセスを通じて自動的に更新されます。その結果、Compliance-reportへの前回の呼び出しから 1 日以上経過してからCompliance-reportへの呼び出しが行われると、別のデータフェッチ操作が発生し、(初回呼び出しの場合のように) 完了するまでに時間がかかる可能性があります。このデフォルトの挙動を手動で上書きする方法については、次のセクションをご参照ください。
逆に、前述の自動キャッシュ更新挙動を回避し、以前にキャッシュされたデータのみに基づいてレポートを生成したい場合 (結果は古い可能性がありますが、キャッシュの更新に必要な長い読み込み時間を回避できます)、-nrまたは--no-rebuildフラグを使用します。最後のコマンド呼び出し/キャッシュ更新以降、関連データが大幅には変更されていないと確信できる場合に、コンプライアンスデータに対するクエリを迅速に実行できます。
compliance-report -nr
キャッシュを削除
コンプライアンスレポートのキャッシュは、--no-cacheフラグを使用して手動で削除できます。 これを実行すると、キャッシュされたすべてのコンプライアンスレポート情報がマシンから完全に削除されます。
compliance-report --no-cache
Commanderを実行した場所から、ディスク上のキャッシュファイルを削除することもできます。暗号化されたコンプライアンスデータが含まれているsox_<ID>.dbというファイルを削除します。
フィルタ
コンプライアンスレポートは、ノード、ユーザー、役職、記録が共有されているか否かによってフィルタリングできます。
ファイルに出力
多くのCommanderレポートと同様に、コンプライアンスレポートの結果はファイルに保存できます。 保存するには、--outputオプションと--formatオプションを使用します。
出力
--output [ファイルパス]
指定した場所のファイルに結果を書き込むようにCommanderに指示します。 ファイルが存在しない場合は作成されます。
形式
--format [csv, json, table]
Commanderにレポート結果の形式を指示します。既定の結果は表 (table) 形式で、表で結果が表示されます。他にカンマ区切り値 (CSV)、JSON (JavaScript Object Notation) がご利用になれます。
--outputフラグを付けずに --formatフラグを付加すると、結果は指定した形式でCommanderに表示されます。
complianceコマンド
Commanderでは、カスタムレポートの生成に加えて、complianceコマンドを使用すると特定のレポートも生成できます。特定のレポートは、complianceコマンドがサポートするサブコマンドを呼び出すことによって生成できます。
complianceコマンドでは、以下のサブコマンドがサポートされています。
詳細はサブコマンドのセクションをご参照ください。
コンプライアンスチームレポート
共有フォルダは個人にもチームにも共有できますが、コンプライアンスレポートには各チームがこれらの共有フォルダに対して持つアクセス権に関するレポートを表示できます。
コンプライアンスチームレポートを実行するには、Commanderで以下のコマンドを使用します。
compliance team-report
このレポートでは、前述のコンプライアンスレポートのキャッシュが使用されます。
このレポートには、共有フォルダにアクセスできる各チームと、アクセス権の種類が表示されます。
チームメンバーシップ情報 (どのユーザーがどのチームに属しているか) をレポートに含めたい場合は、以下のように、コマンド呼び出しにオプションのフラグ--show-team-users/-tuを含めます。
compliance team-report -tu
上記のコマンド呼び出しでフラグを追加した結果、生成されたレポートに「Team User」 (チームユーザー) という列 (関連チームの全メンバーのユーザー名が表示されます) が追加されます。
コンプライアンス記録アクセスレポート
コンプライアンス記録アクセスレポートには、任意のユーザーがアクセスした社内のすべての記録のリストと、その他の関連情報 (使用したアプリ、IPアドレス、イベントのタイムスタンプなど) が表示されます。
コンプライアンス記録アクセスレポートを実行するには、Commanderで次のコマンドを実行します。
compliance record-access-report user1@company.com
ここでは、user1@company.comは記録アクセスを監査したいユーザーとなります。結果の出力は以下のようになります。
同様に、同じユーザーが現在アクセスできるすべてのレコード (つまり、現在ユーザーのボールトにあるすべてのレコード) のリストを表示するには、次のコマンドを実行します。
compliance record-access-report --report-type=vault user1@company.com
上記のコマンドの出力は前の例と似ていますが、現在ユーザーのボルトにない記録は除外され、そのユーザーが一度もアクセスしたことのない記録が含まれる可能性があります。
さらに、このレポートを複数のユーザーに対して実行したい場合は、以下のようにコマンド呼び出しでスペース区切りのリストで各ユーザー名/IDを指定するか、省略表現「@all」を使用して全ユーザーに対して実行します。
compliance record-access-report user1@company.com user2@company.com
compliance record-access-report @all
コンプライアンスサマリーレポート
コンプライアンスサマリーレポートには、社内の記録に関する情報が集約されて表示されます (現在はデフォルトで記録の所有者で分類されていますが、今後他のエンティティによる分類が追加される可能性があります)。
コンプライアンスサマリーレポートを実行するには、Commanderで以下のコマンドを実行します。
compliance summary-report
または
compliance stats
結果の出力は以下のようになります。
コンプライアンス共有フォルダレポート
このコマンドは、compliance team-reportと同様にすべてのエンティティ (チームおよび個々のユーザー) が社内のすべての共有フォルダに対して持つアクセス権を詳細に示すレポートを出力します。
コンプライアンス共有フォルダレポートを実行するには、Commanderで以下のコマンドを実行します。
compliance shared-folder-report
または
compliance sfr
出力は以下のとおりです。
前述のcompliance team-reportコマンドと同様に、必要に応じて-show-team-users/-tuフラグを指定してレポートにチームメンバーシップデータを含められます。以下はその例です。
compliance sfr -tu
compliance team-report -tuの出力とは対照的に、上記のコマンドによって生成されたレポートには、既存の「Email」という列に適切なチームメンバーシップデータが追加され、チームに関連付けられた各ユーザー名の前には、それを示すために「(TU)」が付くことにご注意ください。
Commanderで使用可能なその他のレポートについては、レポート作成のドキュメントをご参照ください。
最終更新
