エンドユーザのアクティビティをモニタするレポートの生成
レポートの概要
Web Security Appliance では概要レポートが生成されるので、ネットワークで起きていることを把握したり、特定のドメイン、ユーザ、カテゴリのトラフィックの詳細を表示することができます。レポートを実行して特定の期間内のシステム アクティビティをインタラクティブに表示したり、レポートをスケジュールして定期的に実行することができます。
関連項目
レポートでのユーザ名の使用
認証をイネーブルにすると、Web プロキシで認証される際に、ユーザはユーザ名でレポートに一覧表示されます。デフォルトでは、ユーザ名は認証サーバに表示されるとおりに書き込まれます。ただし、すべてのレポートでユーザ名を識別できないようにすることができます。
(注) 管理者の場合は、常にレポートにユーザ名が表示されます。
手順 1 [セキュリティサービス(Security Services)] > [レポート(Reporting)] を選択し、[設定を編集(Edit Settings)] をクリックします。
手順 2 [ローカルレポート(Local Reporting)] で、[レポートでユーザ名を匿名にする(Anonymize usernames in reports)] を選択します。
手順 3 変更を送信して確定します([送信(Submit)] と [変更を確定(Commit Changes)])。
レポート ページ
Web Security Appliance には以下のレポートがあります。
- マイ ダッシュボード(レポートの「ホームページ」。メニュー バーの左端にある [ホーム(Home)] アイコンをクリックしてアクセスすることもできます。)
- 概要
- Users
- Web サイト(Web Sites)
- URL カテゴリ(URL Categories)
- アプリケーションの表示(Application Visibility)
- マルウェア対策(Anti-Malware)
- 高度なマルウェア防御(Advanced Malware Protection)
- ファイル分析(File Analysis)
- AMP 判定のアップデート(AMP Verdict Updates)
- クライアント マルウェア リスク(Client Malware Risk)
- Web レピュテーション フィルタ(Web Reputation Filters)
- L4 トラフィック モニタ(L4 Traffic Monitor)
- SOCKS プロキシ(SOCKS Proxy)
- ユーザの場所別レポート(Reports by User Location)
- Web トラッキング(Web Tracking)
- システム容量(System Capacity)
- システム ステータス(System Status)
- スケジュール設定されたレポート(Scheduled Reports)
- アーカイブ レポート(Archived Reports)
[レポート(Reporting)] ページの使用
さまざまなレポート ページにシステム アクティビティの概要が表示され、システム データを表示するための複数のオプションがあります。Web サイトおよびクライアント固有のデータをページごとに検索することもできます。
レポート ページでは、以下のタスクが実行できます。
時間範囲の変更
[時間範囲(Time Range)] フィールドを使用して、各セキュリティ コンポーネントの表示データを更新できます。このオプションを使用して、定義済みの時間範囲のアップデートを生成できます。また、開始時刻と終了時刻を指定してカスタム時間範囲を定義することもできます。
(注) 選択した時間範囲は、[時間範囲(Time Range)] メニューで異なる値を選択するまで、すべてのレポート ページ全体で使用されます。
|
|
時間(Hour) |
60 分間と、追加で最大 5 分間 |
日(Day) |
直近の 24 時間とその時点の 1 時間未満の時間を含めた時間に対して 1 時間間隔 |
Week |
直近の 7 日間にその時点の日にちを足した日数に対して 1 日間隔 |
月(30 日)(Month (30 days)) |
直近の 30 日間にその時点の日にちを足した日数に対して 1 日間隔 |
昨日(Yesterday) |
Web Security Appliance に定義されているタイム ゾーンを使用した直近の 24 時間(00:00 から 23:59) |
カスタム範囲(Custom Range) |
定義済みのカスタム時間範囲。 [カスタム範囲(Custom Range)] を選択すると、開始時刻と終了時刻を入力できるダイアログボックスが表示されます。 |
(注) すべてのレポートで、システム設定のタイム ゾーンに基づき、グリニッジ標準時(GMT)オフセットで日付および時刻情報が表示されます。ただし、データ エクスポートでは、世界の複数のタイム ゾーンの複数のシステムに対応するためにのみ、GMT で時刻が表示されます。
データの検索
一部のレポートには、特定のデータ ポイントを検索するために使用できるフィールドがあります。データを検索するときに、レポートは検索する特定のデータ セットのレポート データを調整します。入力する文字列に完全に一致する値や入力する文字列で始まる値を検索できます。以下のレポート ページには検索フィールドがあります。
|
|
|
ユーザ名またはクライアント IP アドレスでユーザを検索します。
|
Web サイト(Web Sites) |
ドメインまたはサーバの IP アドレスでサーバを検索します。 |
URL カテゴリ(URL Categories) |
URL カテゴリを検索します。 |
アプリケーションの表示(Application Visibility) |
AVC エンジンがモニタし、ブロックするアプリケーション名を検索します。 |
クライアント マルウェア リスク(Client Malware Risk) |
ユーザ名またはクライアント IP アドレスでユーザを検索します。 |
(注) クライアント IP アドレスおよびクライアント ユーザ ID を表示するには、認証を設定する必要があります。
チャート化するデータの選択
各 Web レポーティング ページのデフォルト チャートには、一般に参照されるデータが表示されますが、代わりに異なるデータをチャート化するように選択できます。ページに複数のチャートがある場合は、チャートごとに変更できます。チャートのオプションは、レポートのテーブルの列見出しと同じです。
手順 1 チャートの下の [グラフ オプション(Chart Options)] をクリックします。
手順 2 表示するデータを選択します。
手順 3 [完了(Done)] をクリックします。
カスタム レポート
既存のレポート ページのチャート(グラフ)と表を組み合わせて、カスタムのレポート ページを作成できます。
|
|
カスタム レポート ページにモジュールを追加 |
参照先:
|
カスタム レポート ページの表示 |
1. [レポート(Reporting)] > [マイ レポート(My Reports)] を選択します。 2. 表示する時間範囲を選択します。選択した時間範囲は、[マイレポート(My Reports)] ページのすべてのモジュールを含め、すべてのレポートに適用されます。 新しく追加されたモジュールは関連するセクションの上部に表示されます。 |
カスタム レポート ページでのモジュールの再配置 |
目的の場所にモジュールをドラッグ アンド ドロップします。 |
カスタム レポート ページからのモジュールの削除 |
モジュールの右上にある [X] をクリックします。 |
カスタム レポートの PDF または CSV バージョンの生成 |
[レポート(Reporting)] > [アーカイブレポート(Archived Reports)] を選択し、[今すぐレポートを生成(Generate Report Now)] をクリックします。 |
カスタム レポートの PDF または CSV バージョンの定期的な生成 |
[レポート(Reporting)] > [スケジュールされたレポート(Scheduled Reports)] を選択します。 |
カスタム レポート ページの作成
はじめる前に
手順 1 以下のいずれかの方法でカスタム レポート ページにモジュールを追加します。
(注) 一部のモジュールは、以下のいずれかの方法を使用した場合のみ利用できます。ある方式を使用してモジュールを追加できない場合は、別の方法を試してください。
- 追加するモジュールがあるレポート ページに移動し、モジュールの上部にある [+] ボタンをクリックします。
- [レポート(Reporting)] > [マイ レポート(My Reports)] に移動し、[+] ボタン(いずれかのセクションの上部にある)をクリックして、追加するレポート モジュールを選択します。モジュールを見つけるには、[マイ レポート(My Reports)] ページの各セクションにある [+] ボタンをクリックする必要があります。
各モジュールは一度だけ追加できます。すでに特定のモジュールをレポートに追加している場合は、追加オプションが利用できなくなっています。
手順 2 カスタマイズした(たとえば、カラムの追加、削除、または順序変更をした、あるいはチャートにデフォルト以外のデータを表示した)モジュールを追加する場合は、これらのモジュールを [マイレポート(My Reports)] ページでカスタマイズします。
モジュールがデフォルト設定に追加されます。元のモジュールの時間範囲は保持されません。
手順 3 別に凡例を持つチャート(たとえば、[概要(Overview)] ページからのグラフ)を追加する場合は、別途凡例を追加します。必要に応じて、説明するデータの隣にドラッグ アンド ドロップします。
レポートおよびトラッキングにおけるサブ ドメインとセカンド レベル ドメインの比較
レポーティングおよびトラッキングの検索では、セカンドレベルのドメイン( http://george.surbl.org/two-level-tlds [英語] に表示されている地域ドメイン)は、ドメイン タイプがサブドメインと同じように見えますが、サブドメインとは別の方法で処理されます。次に例を示します。
- レポートには、
co.uk
などの 2 レベルのドメインの結果は含まれませんが、 foo.co.uk
の結果は含まれます。レポートには、 cisco.com
などの主要な企業ドメインの下にサブドメインが含まれます。
- 地域ドメイン
co.uk
に対するトラッキング検索結果には、 foo.co.uk
などのドメインは含まれませんが、 cisco.com
に対する検索結果には subdomain.cisco.com
などのサブドメインが含まれます。
レポート ページからのレポートの印刷とエクスポート
ページ右上隅の [印刷可能(PDF)(Printable (PDF))] リンクをクリックすると、すべてのレポート ページを印刷形式の PDF 版で生成できます。また、[エクスポート(Export)] リンクをクリックして、未処理データをカンマ区切り形式(CSV)ファイルとしてエクスポートすることもできます。
CSV エクスポートには未処理データのみが含まれるため、Web ベースのレポート ページからエクスポートされたデータには、パーセンテージなどの計算データが含まれていない場合があります(そのデータが Web ベースのレポートで表示される場合でも、含まれていない場合があります)。
レポート データのエクスポート
ほとんどのレポートには、未処理データをカンマ区切り形式(CSV)のファイルにエクスポートできる [エクスポート(Export)] リンクが用意されています。CSV ファイルにデータをエクスポートすると、Microsoft Excel などのアプリケーションを使用し、データにアクセスして処理することができます。
エクスポートされた CSV データは、Web Security Appliance でのタイム ゾーン設定にかかわらず、すべてのメッセージ トラッキングおよびレポーティング データをグリニッジ標準時(GMT)で示します。GMT 時間への変換の目的は、アプライアンスに依存せずにデータを使用したり、複数のタイム ゾーンにあるアプライアンスからのデータを参照する際にデータを使用したりできるようにするためです。
以下の例は、Anti-Malware カテゴリ レポートの raw データ エクスポートのエントリであり、太平洋夏時間(PDT)が GMT 7 時間で表示されています。
Begin Timestamp, End Timestamp, Begin Date, End Date, Name, Transactions Monitored, Transactions Blocked, Transactions Detected
1159772400.0, 1159858799.0, 2006-10-02 07:00 GMT, 2006-10-03 06:59 GMT, Adware, 525, 2100, 2625
|
|
|
Begin Timestamp |
1159772400.0 |
エポックからの秒数で表されたクエリ開始時刻。 |
End Timestamp |
1159858799.0 |
エポックからの秒数で表されたクエリ終了時刻。 |
Begin Date |
2006-10-02 07:00 GMT |
クエリの開始日。 |
End Date |
2006-10-03 06:59 GMT |
クエリの終了日。 |
Name |
Adware |
マルウェア カテゴリの名前。 |
Transactions Monitored |
525 |
モニタリングされたトランザクション数。 |
Transactions Blocked |
2100 |
ブロックされたトランザクション数。 |
Transactions Detected |
2625 |
トランザクションの総数 = (検出されたトランザクションの数) + (ブロックされたトランザクションの数)。 |
(注) カテゴリ ヘッダーは、レポートのタイプごとに異なります。
(注) ローカライズされた CSV データをエクスポートすると、ブラウザによっては見出しが正しく表示されない場合があります。これは、ブラウザによっては、ローカライズされたテキストに対して適切な文字セットが使用されない場合があることから発生します。この問題の回避策として、ローカル マシンにファイルを保存し、[ファイル(File)] > [開く(Open)] を使用して任意の Web ブラウザでファイルを開きます。ファイルを開いたら、ローカライズされたテキストを表示するための文字セットを選択します。
集約管理レポートのイネーブル化
組織に複数の Web Security Appliance があり、Cisco コンテンツ セキュリティ管理アプライアンスを使用して集約レポートのデータを管理および表示する場合、各 Web Security Appliance で集約管理レポートを有効にする必要があります。
(注) Web Security Appliance のみが、ローカル レポートについて収集されたすべてのデータを保存します。集約管理レポートがアプライアンスで有効な場合、Web セキュリティ アプライアンスはシステム容量データとシステム ステータス データのみを保持します。これらは Web Security Appliance で使用できる唯一のレポートです。
手順 1 [セキュリティサービス(Security Services)] > [レポート(Reporting)] を選択し、[設定を編集(Edit Settings)] をクリックします。
手順 2 [集約管理レポート(Centralized Reporting)] を選択します。
手順 3 変更を送信して確定します([送信(Submit)] と [変更を確定(Commit Changes)])。
次の作業
管理アプライアンスでのこの機能の設定については、Cisco コンテンツ セキュリティ管理アプライアンス ユーザ ガイドの集約管理 Web レポートの使用とトラッキングに関する章を参照してください。
レポートのスケジュール設定
日単位、週単位、または月単位で実行されるようにレポートをスケジュール設定することができます。スケジュール化したレポートは、前日、過去 7 日間、または前月のデータを含めるように設定できます。
レポートをスケジュール設定できるレポート タイプは以下のとおりです。
- 概要
- Users
- Web サイト(Web Sites)
- URL カテゴリ(URL Categories)
- アプリケーションの表示(Application Visibility)
- マルウェア対策(Anti-Malware)
- 高度なマルウェア防御(Advanced Malware Protection)
- 高度なマルウェア防御判定の更新(Advanced Malware Protection Verdict Updates)
- クライアント マルウェア リスク(Client Malware Risk)
- Web レピュテーション フィルタ(Web Reputation Filters)
- L4 トラフィック モニタ(L4 Traffic Monitor)
- SOCKS プロキシ(SOCKS Proxy)
- ユーザの場所別レポート(Reports by User Location)
- システム容量(System Capacity)
- マイ ダッシュボード
スケジュール設定されたレポートの追加
手順 1 [レポート(Reporting)] > [スケジュールされたレポート(Scheduled Reports)] を選択し、[定期レポートの追加(Add Scheduled Report)] をクリックします。
手順 2 レポート [タイプ(Type)] を選択します。
手順 3 レポートのわかりやすい [タイトル(Title)] を入力します。
同じ名前のレポートを複数作成しないでください。
手順 4 レポートに含めるデータの時間範囲を選択します。
手順 5 生成されるレポートの [形式(Format)] を選択します。
デフォルト形式は PDF です。ほとんどのレポートでは、raw データを CSV ファイルとして保存することも可能です。
手順 6 設定するレポートのタイプに応じて、含める行数やデータをソートする列など、さまざまなレポート オプションを指定できます。必要に応じて、これらのオプションを設定します。
手順 7 [スケジュール(Schedule)] セクションで、レポートを実行する周期(毎日、毎週、または毎月)と時間を選択します。
手順 8 [メールの送信先(Email to)] フィールドに、生成されたレポートを送信する相手の電子メール アドレスを入力します。
電子メール アドレスを指定しなかった場合は、レポートのアーカイブのみが行われます。
手順 9 データの [レポート言語(Report Language)] を選択します。
手順 10 変更を送信して確定します([送信(Submit)] と [変更を確定(Commit Changes)])。
スケジュール設定されたレポートの編集
手順 1 [レポート(Reporting)] > [スケジュールされたレポート(Scheduled Reports)] を選択します。
手順 2 リストからレポートのタイトルを選択します。
手順 3 設定を変更します。
手順 4 変更を送信して確定します([送信(Submit)] と [変更を確定(Commit Changes)])。
スケジュール設定されたレポートの削除
手順 1 [レポート(Reporting)] > [スケジュールされたレポート(Scheduled Reports)] を選択します。
手順 2 削除するレポートに対応するチェックボックスをオンにします。
手順 3 スケジュール設定されたレポートをすべて削除するには、[すべて(All)] チェックボックスをオンにします。
手順 4 削除して変更を確定します([削除(Delete)] と [変更を確定(Commit Changes)])。
(注) 削除されたレポートのアーカイブ版は削除されません。
オンデマンドでのレポートの生成
手順 1 [レポート(Reporting)] > [アーカイブレポート(Archived Reports)] を選択します。
手順 2 [今すぐレポートを生成(Generate Report Now)] をクリックします。
手順 3 レポート [タイプ(Type)] を選択します。
手順 4 レポートのわかりやすい [タイトル(Title)] を入力します。
同じ名前のレポートを複数作成しないでください。
手順 5 レポートに含めるデータの時間範囲を選択します。
手順 6 生成されるレポートの [形式(Format)] を選択します。
デフォルト形式は PDF です。ほとんどのレポートでは、raw データを CSV ファイルとして保存することも可能です。
手順 7 設定するレポートのタイプに応じて、含める行数やデータをソートする列など、さまざまなレポート オプションを指定できます。必要に応じて、これらのオプションを設定します。
手順 8 [配信オプション(Delivery Options)] のいずれかを選択します。
- レポートの [アーカイブ(Archive)] (レポートが [アーカイブ レポート(Archived Reports)] ページに表示されます)。
- [今すぐ受信者にメールを送信(Email now to recipients)](1 つまたは複数の電子メール アドレスを指定します)。
手順 9 データの [レポート言語(Report Language)] を選択します。
手順 10 [このレポートを配信(Deliver This Report)] をクリックして、レポートを生成します。
手順 11 変更を確定します([変更を確定(Commit Changes)])。
アーカイブ レポート
[レポート(Reporting)] > [アーカイブレポート(Archived Reports)] ページには、使用可能なアーカイブ済みのレポートが一覧表示されます。[レポートのタイトル(Report Title)] 列のそれぞれの名前は、そのレポートのビューにリンクしています。[表示(Show)] メニューは、一覧表示されたレポートのタイプをフィルタリングします。列見出しをクリックして、各列のデータをソートすることができます。
アプライアンスでは、スケジュール設定されたレポートごとに最大 12 のインスタンスが保存されます(最大で合計 1000 レポート)。アーカイブ済みのレポートは、アプライアンスの /periodic_reports
ディレクトリに保管されます。アーカイブ済みのレポートは自動的に削除されます。新しいレポートが追加されると、古いレポートが削除され、常に 1000 という数が維持されます。12 インスタンスという制限は、同じ名前と時間範囲のスケジュール設定された各レポートに適用されます。