コマンド監査ログの有効化

MID サーバー の監査ログは MID サーバー プロパティ mid.log.command_audit.enable で有効になります。このプロパティは、デフォルトでは false に設定されています。MID サーバープロパティ テーブル [ecc_agent_property_list.do] にプロパティを追加します。有効にすると、次の場所に移動してインスタンス内の MID サーバー コマンド監査ログにアクセスします MID Server > コマンド監査ログ [ecc_agent_command_audit_log_list.do]。このテーブルを表示または変更するには、ユーザーは agent_security_admin ロールが必要です。

コマンド監査ログに記録されるデータ

MID サーバー コマンド監査ログには、コマンドの名前とコマンドハッシュが記録されます。たとえば、ディスカバリー中にプローブがコマンドを実行せず、代わりにスクリプトを実行すると、スクリプト名が記録されます。コマンドハッシュは、名前に関係なく、スクリプトの内容に基づいて計算されます。そのため、名前を変更してもコマンドハッシュには影響しません。

WMIRunner などのプローブが複数の WMI フィールドを持つコマンドを実行すると、WMI はそれらのフィールドをクエリするためのスクリプトを 1 つ作成します。スクリプトは MID サーバー ホストの temp フォルダーに一時的に作成されます。スクリプトが実行されると、temp フォルダーから削除されます。スクリプトには、フィールドとランダムな番号に基づいて名前が付けられます。ただし、同じ内容のハッシュキーは常に同じです。

コマンド監査ログは、実行状況を成功または失敗として報告します。レコードエントリは、コマンドが実行された場合は成功、実行できなかった場合は失敗です。コマンド監査ログでは、実行されているコマンドの結果は考慮されません。たとえば、実行してもデータ収集に失敗したコマンドは、実行状況に成功と表示されます。

ディスカバリーは WinRM の JEA プロファイルをサポートしています。MID サーバー コマンド監査ログには、ディスカバリーコマンドの JEA プロファイルが記録されます (利用可能な場合)。JEA プロファイルの詳細については、「Microsoft Just Enough Administration (JEA) for Discovery」を参照してください。

デフォルトでは、テーブルは 7 日ごとにローテーションされます。詳細については、「テーブルローテーション」を参照してください。