EC2にEkran Systemをインストールして監視してみた – Clientインストール編
こんにちは、臼田です。
PCI DSSの要件等を満たすための端末の操作記録を残すソリューションであるEkran Systemをご紹介しています。
前回は実際にAWS上でEkran Systemを構築する方法として、Serverのインストールを説明しました。
今回はこの続きで、Clientのインストール方法をご紹介します。
構成図
前回同様の図ですが、今回はこの図のEkran Client部分の実装になります。
環境
今回利用するバージョンはEkran System 5.1
です。
EC2のイメージはServerと同じくWindows_Server-2012-R2_RTM-Japanese-64Bit-Base-2017.03.15 - ami-44f77e24
を利用します。
インストール要件
Ekran System 5.1のインストール要件は下記のようになっています。
- Windows クライアントの要件:
- 1 GHz 以上の CPU
- 512 MB 以上の RAM
- 100 メガビット/秒のネットワーク アダプター
- Windows 10、Windows 8.1、Windows 8、Windows 7、Windows Vista、Windows XP SP2、Windows Server 2012、Windows Server 2008、およびWindows Server 2003。x86 と x64 の両方のプラットフォームをサポート。
- クライアントをインストールするディスクに 500 MB 以上 (推奨) の空き領域(オフライン セッション中のデータ保存用)。
- Linux クライアントの要件:
- 1 GHz 以上の CPU
- 512 MB 以上の RAM
- 100 メガビット/秒のネットワーク アダプター
- Linux Kernel 2.6.16 以降
- クライアントをインストールするディスクに 500 MB 以上 (推奨) の空き領域(オフライン セッション中のデータ保存用)
Windows及びLinuxそれぞれで要件があります。
今回はWindowsにインストールするので、t2.microを利用します。
構築
インスタンスの作成
EC2のインスタンスの作成から「windows 2012 r2 japanese base」などで検索してWindows Serverを選択します。
今回は先述の通りWindows_Server-2012-R2_RTM-Japanese-64Bit-Base-2017.03.15 - ami-44f77e24
を選択します。
t2.microを選択し、次へ進みます。
インスタンスの詳細設定、ストレージ、タグの設定は、任意の設定で問題ありません。
セキュリティグループの設定
次にセキュリティグループの設定ですが、Ekran SystemのClientのポート要件は以下のようになっています。
- クライアント
- TCP 135, 139, 445
- UDP 137-138
それぞれEkran_Server_SGからのアクセスを許可する設定をします。
なお、これはWindowsクライアントに対してServerからクライアントソフトをインストールする際にWindowsのファイル共有の仕組みを利用するためで、クライアントソフトを別途ファイルを渡してインストールする際には必須ではありません。
その際のポート要件は、外部からのものは特に必要なくなります。(RDP等アクセス用は除く)
Ekran System Client インストールの準備
インスタンスの作成が完了したら、Ekran System Clientのインストールの準備をします。
まず、Windowsのパスワードを取得してRDPでアクセスします。
インスタンスにアクセスでき、デスクトップが上がって来ることを確認します。
Ekran Serverライセンス適用
Ekran ClientのインストールはServerのWeb管理ツールから可能です。
Web管理ツールにアクセスしてログインします。
ログイン名はadmin、パスワードはインストール時に設定したものになります。
ログインすると、ライセンスを求められるので適用しておきます。
クライアントインストール
クライアントをインストールします。
「クライアント管理」ページへ移動し、「クライアントのインストール」をクリックします。
まずはクライアントを探します。「IPアドレスで指定」をクリックします。
「新規検索の開始」をクリックします。
開始アドレスと終了アドレスに対象のプライベートIPアドレスを入力して「スキャン」をクリックします。
スキャンが終了したら、見つかったクライアントにチェックを入れて「次へ」をクリックします。
インストールをクリックします。
「サーバー名/IPアドレス」にはServerのプライベートIPアドレスを入力します。
その他の設定は任意ですが、今回は追加オプションで「クライアントアイコンのトレイへの表示」を有効にします。
最下部の「インストール」を押すと、クライアントのログイン情報を聞かれます。
ログイン名・パスワードを入力し、ドメイン名はクライアントWindowsのホスト名を入力します。
しばらくすると状態が「完了」となります。
Client側でも、タスクトレイからポップアップが表示されてインストールが完了したことが確認できます。
監視してみる
それでは実際に監視してみます。
クライアントソフトのインストールが完了した段階で、すでに監視は始まっています。
Ekranの監視は、クライアント側のセッションが開始されたら自動的に始まるため、AWS上のWindowsであればRDP接続したら勝手に記録されているという事になります。
「セッションプレイヤー」ベージに移動すると、記録されたデータの一覧が表示されます。
Ekranでは、記録したデータをセッションという単位で保存します。
上記では、1台のクライアントの1つのセッションしかない状況です。
セッションをクリックすると、保存されているセッションが再生されます。
セッションが継続している(現在操作されている)クライアントでは、保存されているデータの再生も可能ですが、リアルタイムの状態も中央あたりの「ライブ」ボタンで確認できます。
さて、これでEkran System Clientがインストールされて監視されていることが確認できました。
製品情報
製品についての詳細は下記をご覧ください。
株式会社松尾商店様 http://www.matsuo-shohten.co.jp Ekran System http://www.matsuo-shohten.co.jp/service/ekran 「Ekran on AWS」 http://www.matsuo-shohten.co.jp/service/ekran/coordination.php
さいごに
今回は環境構築と、監視動作の確認だけでしたが、他にもLinux環境も監視できたり、アラート機能により不正な操作に対して気づくことが出来る仕組みなどもあります。
今後はこちらも紹介していきます。