Application Eventsでログを見るときの基本的な使い方

はじめに

管理テナントのSkope IT > Application EventsからNetskopeご利用ユーザーがどのようなアプリにアクセスしたか、またどのようなアクティビティを実行したかを確認できます。
ユーザーの挙動確認の他に予期せず通信がブロックされた、あるいはブロックされる想定だったが通信が許可されてしまった際にどのポリシーが適用されたかを確認することもできます。

Application Eventsで分かること

Application Eventsには、各クラウドアプリの操作ログが表示されます。ログには次のような情報が含まれます。
左端の「＋」を展開すると、イベントの詳細が表示されます。アクティビティの詳細や、デバイス情報などをまとめて確認できます。

• ユーザー、端末情報
• アプリケーション
• アクティビティ
• 適用ポリシー
• 送信元、宛先

また、左端の「＋」の隣にオレンジの●がついているものについては、BlockやAlert対象となっております。
これらの詳細はSkope It > Alertsより確認できます。Alertsについてはこちらの記事もご参照ください。

フィルタの利用方法

フィルタを利用することで、確認したい必要な情報のみを抽出することができます。
デフォルトでアプリ名の入力欄がありますが、「+ADD FILTER」をクリックするとその他のフィルタが利用できます。

また、「+ADD FILTER」の隣のボタンをクリックするとクエリ形式でのフィルタが利用できます。この形式では「eq」だけではなく「neq」の選択も可能です。
フィルタは保存することもできますので、よく利用するものはこちらから呼び出すことができます。

通信が想定外にブロック、あるいは許可された際はアプリ名やユーザー名でフィルタをかけて該当の通信を探し、適用されたポリシー名をご確認ください。
ポリシーの順序やポリシー適用ユーザーの設定等を見直すことで想定通りの挙動となることもございます。

まとめ

Application Eventsを見れば「誰が・どのアプリで・どんな操作をしたか」や「どのポリシーが適用されているか」を1か所で確認できます。
ユーザーからの問い合わせ対応だけでなく、Real-time ProtectionやDLPポリシーの動作確認にも使えるため、まずはここでログの見方とフィルタのかけ方に慣れておくと、その後の運用がかなり楽になります。