EC2にEkran Systemをインストールして監視してみた – Clientインストール編

ekran_logo

こんにちは、臼田です。

PCI DSSの要件等を満たすための端末の操作記録を残すソリューションであるEkran Systemをご紹介しています。

前回は実際にAWS上でEkran Systemを構築する方法として、Serverのインストールを説明しました。

EC2にEkran Systemをインストールして監視してみた – Serverインストール編

今回はこの続きで、Clientのインストール方法をご紹介します。

構成図

ekran_diagram

前回同様の図ですが、今回はこの図のEkran Client部分の実装になります。

環境

今回利用するバージョンはEkran System 5.1です。

EC2のイメージはServerと同じくWindows_Server-2012-R2_RTM-Japanese-64Bit-Base-2017.03.15 - ami-44f77e24を利用します。

インストール要件

Ekran System 5.1のインストール要件は下記のようになっています。

  • Windows クライアントの要件:
    • 1 GHz 以上の CPU
    • 512 MB 以上の RAM
    • 100 メガビット/秒のネットワーク アダプター
    • Windows 10、Windows 8.1、Windows 8、Windows 7、Windows Vista、Windows XP SP2、Windows Server 2012、Windows Server 2008、およびWindows Server 2003。x86 と x64 の両方のプラットフォームをサポート。
    • クライアントをインストールするディスクに 500 MB 以上 (推奨) の空き領域(オフライン セッション中のデータ保存用)。
  • Linux クライアントの要件:
    • 1 GHz 以上の CPU
    • 512 MB 以上の RAM
    • 100 メガビット/秒のネットワーク アダプター
    • Linux Kernel 2.6.16 以降
    • クライアントをインストールするディスクに 500 MB 以上 (推奨) の空き領域(オフライン セッション中のデータ保存用)

Windows及びLinuxそれぞれで要件があります。

今回はWindowsにインストールするので、t2.microを利用します。

構築

インスタンスの作成

EC2のインスタンスの作成から「windows 2012 r2 japanese base」などで検索してWindows Serverを選択します。

01_select_instance

今回は先述の通りWindows_Server-2012-R2_RTM-Japanese-64Bit-Base-2017.03.15 - ami-44f77e24を選択します。

t2.microを選択し、次へ進みます。

02_select_micro

インスタンスの詳細設定、ストレージ、タグの設定は、任意の設定で問題ありません。

セキュリティグループの設定

次にセキュリティグループの設定ですが、Ekran SystemのClientのポート要件は以下のようになっています。

  • クライアント
    • TCP 135, 139, 445
    • UDP 137-138

それぞれEkran_Server_SGからのアクセスを許可する設定をします。

01_client_sg

なお、これはWindowsクライアントに対してServerからクライアントソフトをインストールする際にWindowsのファイル共有の仕組みを利用するためで、クライアントソフトを別途ファイルを渡してインストールする際には必須ではありません。

その際のポート要件は、外部からのものは特に必要なくなります。(RDP等アクセス用は除く)

Ekran System Client インストールの準備

インスタンスの作成が完了したら、Ekran System Clientのインストールの準備をします。

まず、Windowsのパスワードを取得してRDPでアクセスします。

04_get_pass

インスタンスにアクセスでき、デスクトップが上がって来ることを確認します。

Ekran Serverライセンス適用

Ekran ClientのインストールはServerのWeb管理ツールから可能です。

Web管理ツールにアクセスしてログインします。

ログイン名はadmin、パスワードはインストール時に設定したものになります。

ログインすると、ライセンスを求められるので適用しておきます。

001_license_activate

クライアントインストール

クライアントをインストールします。

「クライアント管理」ページへ移動し、「クライアントのインストール」をクリックします。

002_client_management

まずはクライアントを探します。「IPアドレスで指定」をクリックします。

003_client_install

「新規検索の開始」をクリックします。

004_new_search

開始アドレスと終了アドレスに対象のプライベートIPアドレスを入力して「スキャン」をクリックします。

005_scan_ip

スキャンが終了したら、見つかったクライアントにチェックを入れて「次へ」をクリックします。

006_scan_client

インストールをクリックします。

007_install

「サーバー名/IPアドレス」にはServerのプライベートIPアドレスを入力します。

008_install_init

その他の設定は任意ですが、今回は追加オプションで「クライアントアイコンのトレイへの表示」を有効にします。

009_add_option

最下部の「インストール」を押すと、クライアントのログイン情報を聞かれます。

ログイン名・パスワードを入力し、ドメイン名はクライアントWindowsのホスト名を入力します。

010_login_info

しばらくすると状態が「完了」となります。

011_complete_install

Client側でも、タスクトレイからポップアップが表示されてインストールが完了したことが確認できます。

012_client_install

監視してみる

それでは実際に監視してみます。

クライアントソフトのインストールが完了した段階で、すでに監視は始まっています。

Ekranの監視は、クライアント側のセッションが開始されたら自動的に始まるため、AWS上のWindowsであればRDP接続したら勝手に記録されているという事になります。

「セッションプレイヤー」ベージに移動すると、記録されたデータの一覧が表示されます。

013_session_

Ekranでは、記録したデータをセッションという単位で保存します。

上記では、1台のクライアントの1つのセッションしかない状況です。

セッションをクリックすると、保存されているセッションが再生されます。

014_play

セッションが継続している(現在操作されている)クライアントでは、保存されているデータの再生も可能ですが、リアルタイムの状態も中央あたりの「ライブ」ボタンで確認できます。

さて、これでEkran System Clientがインストールされて監視されていることが確認できました。

製品情報

製品についての詳細は下記をご覧ください。

株式会社松尾商店様 http://www.matsuo-shohten.co.jp Ekran System http://www.matsuo-shohten.co.jp/service/ekran 「Ekran on AWS」 http://www.matsuo-shohten.co.jp/service/ekran/coordination.php

さいごに

今回は環境構築と、監視動作の確認だけでしたが、他にもLinux環境も監視できたり、アラート機能により不正な操作に対して気づくことが出来る仕組みなどもあります。

今後はこちらも紹介していきます。