セキュリティ アプライアンスによるレポート用データの収集方法
セキュリティ管理アプライアンスは、約 15 分ごとにすべての管理対象アプライアンスからすべてのレポートのデータをプルし、それらのアプライアンスのデータを集約します。使用するアプライアンスによっては、セキュリティ管理アプライアンスでレポーティング データに特定のメッセージを組み込むのに時間が掛かる場合があります。データの情報については、[システム ステータス(System Status)] ページを確認してください。
(注) セキュリティ管理アプライアンスは、レポートのデータを収集する際に、セキュリティ管理アプライアンス上で時間設定を行った際に設定した情報からタイム スタンプを適用します。セキュリティ管理アプライアンス上の時間設定の詳細については、「システム時刻の設定」を参照してください。
レポーティング データの保存方法
すべてのアプライアンスで、レポーティング データが保存されます。 表 3-2 に、各アプライアンスがデータを保存する期間を示します。
表 3-2 電子メール アプライアンスと Web セキュリティ アプライアンスでのレポーティング データの保存
|
|
|
|
|
|
|
ローカル レポート 電子メール セキュリティ アプライアンスまたはWeb セキュリティ アプライアンス |
• |
• |
• |
• |
• |
|
電子メール セキュリティ アプライアンスまたは Web セキュリティ アプライアンスでの中央集中型レポーティング |
• |
• |
• |
• |
|
|
セキュリティ管理アプライアンス |
|
• |
• |
• |
• |
• |
レポーティングおよびアップグレードについて
新しいレポーティング機能は、アップグレード前に実行されたトランザクションには適用できない場合があります。これは、これらのトランザクションについては、必須データが保持されていない場合があるためです。レポーティング データおよびアップグレードに関連する制限については、ご使用のリリースのリリース ノートを参照してください。
レポート データのビューのカスタマイズ
Web インターフェイスでレポート データを表示する場合、ビューをカスタマイズできます。
(注) すべてのレポートにすべてのカスタマイズ機能を使用できるわけではありません。
アプライアンスまたはレポーティング グループのレポーティング データの表示
電子メールおよび Web の概要レポートについて、および電子メールのシステム キャパシティ レポートについては、すべてのアプライアンスから、または中央で管理されている 1 台のアプライアンスからデータを表示できます。
電子メール レポートでは、「電子メール レポート グループの作成」の説明に従い電子メール セキュリティ アプライアンスのグループを作成した場合、各レポーティング グループのデータを表示できます。
ビューを指定するには、サポートされるページの [データ参照(View Data for)] リストからアプライアンスまたはグループを選択します。
最近、別のセキュリティ管理アプライアンスからのデータをバックアップしたセキュリティ管理アプライアンスでレポート データを表示する場合は、まず、[管理アプライアンス(Management Appliance)] > [集約管理サービス(Centralized Services)] > [セキュリティ アプライアンス(Security Appliances)] で各アプライアンスを追加する必要があります(ただし、各アプライアンスとの接続は確立しないでください)。
レポートの時間範囲の選択
ほとんどの事前定義レポート ページでは、含まれるデータの時間範囲を選択できます。選択した時間範囲は、[時間範囲(Time Range)] メニューで異なる値を選択するまで、すべてのレポート ページに対して使用されます。
使用可能な時間範囲オプションは、アプライアンスごとに異なり、またセキュリティ管理アプライアンス上の電子メール レポートおよび Web レポートによって異なります。
表 3-3 レポートの時間範囲オプション
|
|
|
|
|
|
|
過去 60 分間と最大 5 分間の延長時間 |
|
• |
|
• |
|
過去 24 時間 |
• |
• |
• |
• |
|
当日の経過時間を含む、過去 7 日間 |
• |
• |
• |
• |
|
当日の経過時間を含む、過去 30 日間 |
• |
• |
• |
• |
|
当日の経過時間を含む、過去 90 日間 |
• |
• |
• |
|
|
過去 12 ヵ月と現在月の経過日数 |
• |
|
|
|
|
アプライアンスで定義された時間帯を使用した、前日の 24 時間(00:00 ~ 23:59) |
• |
• |
• |
• |
先月(Previous Calendar Month)
|
月の第 1 日目の 00:00 からその月の最終日の 23:59 まで |
• |
• |
• |
|
|
ユーザ指定の時間範囲。 開始日時と終了日時を選択する場合は、このオプションを選択します。 |
• |
• |
• |
• |
(注) レポート ページの時間範囲は、グリニッジ標準時(GMT)オフセットで表示されます。たとえば、太平洋標準時は、GMT + 7 時間(GMT + 07:00)です。
(注) すべてのレポートで、システム設定の時間帯に基づき、グリニッジ標準時(GMT)オフセットで日付および時刻情報が表示されます。ただし、データ エクスポートでは、世界の複数のタイム ゾーンの複数のシステムに対応するために、GMT で時刻が表示されます。
ヒント ログインするたびに常に表示する、デフォルトの時間範囲を指定できます。詳細については、「プリファレンスの 設定」を参照してください。
(Web レポートのみ)チャート化するデータの選択
各 Web レポーティング ページのデフォルト チャートには、一般に参照されるデータが表示されますが、代わりに異なるデータをチャート化するように選択できます。ページに複数のチャートがある場合は、チャートごとに変更できます。
通常、チャートのオプションは、レポート内のテーブルのカラムと同じです。ただし、チャート化できないカラムもあります。カラムの見出しについては、「Web レポートのテーブル カラムの説明」を参照してください。
チャートには、関連付けられたテーブルに表示するように選択した項目(行)数に関係なく、テーブル カラムの使用可能なすべてのデータが反映されます。
手順
ステップ 1 チャートの下の [グラフ オプション(Chart Options)] をクリックします。
ステップ 2 表示するデータを選択します。
ステップ 3 [完了(Done)] をクリックします。
レポート ページのテーブルのカスタマイズ
表 3-4 Web レポート ページのテーブルのカスタマイズ
|
|
|
• 追加のカラムを表示する • 表示可能なカラムを非表示にする • テーブルに使用可能なカラムを判断する |
テーブルの下の [列(Columns)] リンクをクリックし、表示するカラムを選択して、[完了(Done)] をクリックします。 |
ほとんどのテーブルでは、デフォルトで一部のカラムが非表示になります。 レポート ページごとに、異なるカラムが提供されます。 カラムの詳細については、次の項を参照してください。 • 「電子メール レポーティング ページのテーブル カラムの説明」 • 「Web レポートのテーブル カラムの説明」 |
テーブル カラムの順序を変える |
カラムの見出しを目的の位置までドラッグします。 |
-- |
選択した見出しでテーブルをソートする |
カラムの見出しをクリックします。 |
-- |
表示するデータの行数を加減する |
テーブルの右上にある [表示されたアイテム(Items Displayed)] ドロップダウン リストから、表示する行数を選択します。 |
Web レポートの場合、デフォルトの表示行数を設定することもできます。「プリファレンスの 設定」を参照してください。 |
可能な場合は、テーブル エントリの詳細を表示する |
テーブル内の青色のエントリをクリックします。 |
「レポートに含まれるメッセージやトランザクションの詳細の表示」も参照してください。 |
データのプールを特定のサブセットに絞り込む |
可能な場合は、テーブルの下のフィルタ設定で値を選択するか、入力します。 |
Web レポートの使用可能なフィルタについては、各レポート ページの説明に記載されています。「Web レポーティング ページについて」を参照してください。 |
カスタム レポート
既存のレポートのページからチャート(グラフ)とテーブルを組み合わせてカスタム電子メール セキュリティ レポートのページおよびカスタム Web セキュリティ レポートのページを作成できます。
|
|
カスタム レポート ページへのモジュールの追加 |
1. [メール(Email)] または [Web] > [レポート(Reporting)] > [マイ レポート(My Reports)] に移動し、必要としないサンプル モジュールの右上隅の [X] をクリックしてそのモジュールを削除します。 2. 次のいずれかを実行します。 – カスタム レポートにモジュールを追加するには、[メール(Email)] タブまたは [Web] タブのレポート ページ内のモジュール上の [+ マイ レポート(+My Reports)] ボタンをクリックします。 – [メール(Email)] または [Web] > [レポート(Reporting)] > [マイ レポート(My Reports)] に移動し、[+ モジュール レポート(+ Report Module)] ボタンをクリックし、次に追加するレポート モジュールを選択します。 3. モジュールがデフォルト設定に追加されます。カスタマイズした(たとえば、列を追加、削除、または並べ替えしたり、チャートのデフォルト以外のデータを表示したりして)モジュールを追加する場合は、これらのモジュールを追加した後、再度カスタマイズします。元のモジュールの時間範囲は保持されません。 4. 別の凡例を含むチャートを追加する場合(たとえば、([概要(Overview)] ページからのグラフ)は、凡例を別に追加します。必要に応じて、凡例で説明しているデータの側の位置にドラッグ アンド ドロップします。 (注) • レポート ページやモジュールによっては上記の方法の 1 つのみが使用可能なものもあります。1 つの方法を使用してモジュールを追加できない場合は、他の方法を試してください。 • カスタム レポートに次のモジュールは追加できません。 – [管理アプライアンス(Management Appliance)] > [集約管理サービス(Centralized Services)] > [システム ステータス(System Status)] ページのすべてのモジュール – [Web] > [レポート(Reporting)] > [使用可能なデータ(Data Availability)]のページのすべてのモジュール – [メール(Email)] > [レポート(Reporting)] > [有効なレポート データ(Reporting Data Availability)] ページ のすべてのモジュール – [メール(Email)] > [メッセージ トラッキング(Message Tracking)] > [有効なメッセージ トラッキング データ(Message Tracking Data Availability)] ページのすべてのモジュール – 送信者プロファイル詳細レポートのページからの、[SenderBase からの最新情報(Current Information from SenderBase)]、[送信者グループ情報(Sender Group Information)]、および [ネットワーク情報(Network Information)] といったドメイン単位のモジュール – [アウトブレイク フィルタ(Outbreak Filters)] レポート ページの [過去 1 年間のウイルス アウトブレイク サマリー(Past Year Virus Outbreak Summary)] チャートおよび、[過去 1 年間のウイルス アウトブレイク(Past Year Virus Outbreaks)] テーブル – すべてのレポートの検索結果 • 各モジュールを追加できるのは 1 回だけで、レポートにすでに特定のモジュールを追加している場合は、そのモジュールを追加するオプションが使用可能ではありません。 |
カスタム レポート ページの表示 |
1. [メール(Email)] または [Web] > [レポート(Reporting)] > [マイ レポート(My Reports)] を選択します。 2. すべてのレポートのページに選択された時間範囲が、[マイ レポート(My Reports)] ページのすべてのモジュールに適用されます。表示する時間範囲を選択します。 新しく追加されたモジュールはカスタム レポートの上部に表示されます。 |
カスタム レポート ページのモジュールの再配置 |
目的の場所にモジュールをドラッグ アンド ドロップします。 |
カスタム レポート ページからのモジュールの削除 |
モジュールの右上隅にある [X] をクリックします。 |
レポートに含まれるメッセージやトランザクションの詳細の表示
手順
ステップ 1 レポート ページのテーブルにある青色の番号をクリックします
(これらのリンクがあるのは、一部のテーブルのみです)。)
この数に含まれるメッセージまたはトランザクションは [メッセージ トラッキング(Message Tracking)] または [Web トラッキング(Web Tracking)] にそれぞれ表示されます。
ステップ 2 メッセージまたはトランザクションのリストを表示するには、スクロール ダウンします。
関連トピック
• 「電子メール メッセージのトラッキング」
• 「Web トラッキング(Web Tracking)」
電子メール レポートのパフォーマンスの向上
月内に固有のエントリが多数発生したことで、集約レポーティングのパフォーマンスが低下する場合は、レポーティング フィルタを使用して前年を対象としたレポート([昨年(Last Year)] レポート)でのデータの集約を制限します。これらのフィルタにより、レポート内の詳細、個々の IP、ドメイン、またはユーザ データを制限できます。概要レポートおよびサマリー情報は、引き続きすべてのレポートで利用できます。
CLI で reportingconfig -> filters メニューを使用すると、1 つ以上のレポート フィルタをイネーブルにできます。変更を有効にするには、変更をコミットする必要があります。
• [IP 接続レベルの詳細(IP Connection Level Detail)]。このフィルタをイネーブルにすると、セキュリティ管理アプライアンスは、個々の IP アドレスに関する情報を記録しません。このフィルタは、攻撃による大量の受信 IP アドレスを処理するシステムに適しています。
このフィルタは、次の [昨年(Last Year)] レポートに影響を与えます。
– Sender Profile for Incoming Mail
– IP Addresses for Incoming Mail
– IP Addresses for Outgoing Senders
• [ユーザの詳細(User Detail)]。このフィルタをイネーブルにすると、セキュリティ管理アプライアンスは、電子メールを送受信する個々のユーザ、およびユーザの電子メールに適用されるコンテンツ フィルタに関する情報を記録しません。このフィルタは、何百万もの内部ユーザの電子メールを処理するアプライアンス、またはシステムが受信者のアドレスを検証しない場合に適しています。
このフィルタは、次の [昨年(Last Year)] レポートに影響を与えます。
– Internal Users
– Internal User Details
– IP Addresses for Outgoing Senders
– Content Filters
• [メール トラフィックの詳細(Mail Traffic Detail)]。このフィルタをイネーブルにすると、セキュリティ管理アプライアンスは、アプライアンスがモニタする個々のドメインおよびネットワークに関する情報を記録しません。このフィルタは、有効な着信または発信ドメインの数が数千万の単位で測定される場合に適しています。
このフィルタは、次の [昨年(Last Year)] レポートに影響を与えます。
– Domains for Incoming Mail
– Sender Profile for Incoming Mail
– Internal User Details
– Domains for Outgoing Senders
(注) 過去 1 時間の最新のレポート データを表示するには、個々のアプライアンスにログインして、そこでデータを表示する必要があります。
レポーティング データおよびトラッキング データの印刷およびエクスポート
表 3-5 レポート データの印刷とエクスポート
|
|
|
|
|
インタラクティブ レポート ページの PDF |
• |
|
インタラクティブ レポート ページの右上にある [印刷可能(PDF)(Printable (PDF))] リンクをクリックします。 |
PDF には、現在表示しているカスタマイゼーションが反映されます。 PDF は、プリンタ対応の形式に設定されます。 |
レポート データの PDF |
• |
|
スケジュール設定されたレポートまたはオンデマンドのレポートを作成します。次の各項を参照してください。 • 「オンデマンドでの電子メール レポートの生成」 • 「電子メール レポートのスケジュール設定」 • 「オンデマンドでの Web レポートの生成」 • 「Web レポートのスケジュール設定」 |
-- |
raw データ 「カンマ区切り(CSV)ファイルとしてのレポート データのエクスポート」も参照してください。 |
|
• |
チャートまたはテーブルの下にある [エクスポート(Export)] リンクをクリックします。 |
CSV ファイルには、チャートや表で見ることのできるデータだけでなく、すべての適用可能なデータが含まれます。 |
|
• |
スケジュール設定されたレポートまたはオンデマンドのレポートを作成します。次の各項を参照してください。 • 「オンデマンドでの電子メール レポートの生成」 • 「電子メール レポートのスケジュール設定」 • 「オンデマンドでの Web レポートの生成」 • 「Web レポートのスケジュール設定」 |
各 CSV ファイルには、最大 100 行を含めることができます。 レポートに複数のテーブルが含まれる場合、各テーブルに対して別個の CSV ファイルが作成されます。 一部の拡張レポートは、CSV 形式で使用できません。 |
さまざまな言語によるレポート |
• |
|
レポートをスケジュール設定するか、オンデマンドで作成するときは、必要なレポート言語を選択します。 |
Windows コンピュータ上で中国語、日本語、または韓国語で PDF を生成するには、該当するフォント パックを Adobe.com からダウンロードして、ローカル コンピュータにインストールする必要があります。 |
(Web セキュリティ)レポート データのカスタム サブセット(特定のユーザ用のデータなど)。 |
• |
• |
[Web トラッキング(Web Tracking)] で検索を実行し、[Web トラッキング(Web Tracking)] ページの [印刷可能なダウンロード(Printable Download)] リンクをクリックします。PDF 形式または CSV 形式を選択します。 |
PDF には、Web ページのすべての情報が含まれていない場合があります。具体的には、PDF ファイルには以下が含まれます。 • 最大 1,000 のトランザクション。 • 詳細を表示する場合、関連する 100 のトランザクション • 関連トランザクションごとに最大 3000 文字。 CSV ファイルには、検索条件に一致するすべての raw データが含まれます。 |
(電子メール セキュリティ)データのカスタム サブセット(特定のユーザ用のデータなど)。 |
|
• |
[メッセージ トラッキング(Message Tracking)] で検索を実行し、検索結果の上にある [エクスポート(Export)] リンクまたは [すべてをエクスポート(Export All)] リンクをクリックします。 |
[エクスポート(Export)] リンクでは、表示された検索結果を使用して検索基準で指定された制限まで CSV ファイルをダウンロードします。 [すべてをエクスポート(Export All)] リンクでは、検索条件に一致する最大 50,000 件のメッセージを含む CSV ファイルをダウンロードします。 ヒント:50,000 件以上のメッセージをエクスポートする必要がある場合は、短い時間範囲のエクスポートのセットを実行します。 |
カンマ区切り(CSV)ファイルとしてのレポート データのエクスポート
raw データをカンマ区切り(CSV)ファイルにエクスポートし、Microsoft Excel などのデータベース アプリケーションを使用してアクセスおよび処理できます。データをエクスポートするその他の方法については、「レポーティング データおよびトラッキング データの印刷およびエクスポート」を参照してください。
CSV エクスポートには raw データのみ含まれるため、Web ベースのレポート ページからエクスポートされたデータには、パーセンテージなどの計算データが含まれていない場合があります(そのデータが Web ベースのレポートで表示された場合でも、含まれていない場合があります)。
電子メール メッセージ トラッキングおよびレポーティング データについては、セキュリティ管理アプライアンスに設定されている内容に関係なく、エクスポートした CSV データはすべて GMT で表示されます。これにより、特に複数のタイム ゾーンのアプライアンスからデータを参照する場合に、アプライアンスとは関係なくデータを使用することが容易になります。
次の例は、Anti-Malware カテゴリ レポートの raw データ エクスポートのエントリであり、太平洋夏時間(PDT)が GMT - 7 時間で表示されています。
Begin Timestamp, End Timestamp, Begin Date, End Date, Name, Transactions Monitored, Transactions Blocked, Transactions Detected
1159772400.0, 1159858799.0, 2006-10-02 07:00 GMT, 2006-10-03 06:59 GMT, Adware, 525, 2100, 2625
表 3-6 raw データ エントリの表示
|
|
|
Begin Timestamp |
1159772400.0 |
エポックからの秒数で表されたクエリー開始時刻。 |
End Timestamp |
1159858799.0 |
エポックからの秒数で表されたクエリー終了時刻。 |
Begin Date |
2006-10-02 07:00 GMT |
クエリーの開始日。 |
End Date |
2006-10-03 06:59 GMT |
クエリーの終了日。 |
Name |
Adware |
マルウェア カテゴリの名前。 |
Transactions Monitored |
525 |
モニタリングされたトランザクション数。 |
Transactions Blocked |
2100 |
ブロックされたトランザクション数。 |
Transactions Detected |
2625 |
トランザクションの合計数: 検出されたトランザクション数 + ブロックされたトランザクション数。 |
(注) カテゴリ ヘッダーは、レポートのタイプごとに異なります。
ローカライズされた CSV データをエクスポートすると、ブラウザによっては見出しが正しく表示されない場合があります。これは、ブラウザによっては、ローカライズされたテキストに対して適切な文字セットが使用されない場合があることから発生します。この問題の回避策としては、ローカル マシンにファイルを保存し、[ファイル(File)] > [開く(Open)] を使用して任意の Web ブラウザでファイルを開きます。ファイルを開いたら、ローカライズされたテキストを表示するための文字セットを選択します。
レポーティングおよびトラッキングにおける サブドメインとセカンドレベル ドメインの比較
レポーティングおよびトラッキングの検索では、セカンドレベルのドメイン( http://george.surbl.org/two-level-tlds に表示されている地域ドメイン)は、ドメイン タイプがサブドメインと同じように見えますが、サブドメインとは別の方法で処理されます。次に例を示します。
• レポートには、 co.uk
などの 2 レベルのドメインの結果は含まれませんが、 foo.co.uk
の結果は含まれます。レポートには、 cisco.com
などの主要な企業ドメインの下にサブドメインが含まれます。
• 地域ドメイン co.uk
に対するトラッキング検索結果には、 foo.co.uk
などのドメインは含まれませんが、 cisco.com
に対する検索結果には subdomain.cisco.com
などのサブドメインが含まれます。