本製品の基本的な機能

• 本製品の管理者とユーザーのアカウント名。
• 本製品のユーザーアカウントのアクセス権限。
• ローカル管理者のパスワードのハッシュ
• ユーザーの IP アドレス
• 本製品がプロキシサーバーへの接続に使用するユーザーアカウントの名前とパスワード。
• LDAP サーバーへの接続で使用する keytab ファイル
• LDAP 内のユーザーアカウントの名前およびその他の LDAP 属性の情報

製品設定

/var/opt/kaspersky

無期限

• LDAP 内のユーザーアカウントの名前およびその他の LDAP 属性の情報
• ユーザーの IP アドレス
• コメント

トラフィック処理ルール

/var/opt/kaspersky

無期限

Web リソースへのアクセス要求から取得された情報：

• ユーザーの IP アドレス
• ユーザーアカウント名およびユーザーのドメイン
• 要求された Web リソースの URL

製品の統計情報

/var/opt/kaspersky

無期限

Web リソースへのアクセス要求から取得された情報：

• ユーザーのユーザーエージェントと IP アドレス
• ユーザーアカウント名およびユーザーのドメイン
• 要求された Web リソースの URL
• ダウンロードしたファイルの名前

ユーザーの LDAP 属性に関する情報：

• LDAP 内のユーザーアカウントの名前およびその他の LDAP 属性の情報

トラフィック処理のイベントログ

• /var/opt/kaspersky
• Syslog イベントログ（管理者による設定）

本製品のユーザーが指定した設定に従います。

既定では、保存期間は 3 日で、ログの容量の上限は 1 GB です。

上限に達すると、古いレコードから削除されます。

• イベントを開始したユーザーアカウント名
• アップデートをダウンロードするために使用される IP アドレス
• アップデート元の IP アドレス
• ダウンロードされたファイルとダウンロード速度に関する情報

システムイベントログ

• /var/opt/kaspersky
• Syslog イベントログ（管理者による設定）

本製品のユーザーが指定した設定に従います。

既定では 10 万件のレコードが保存されます。

上限に達すると、古いレコードから削除されます。

Web リソースへのアクセス要求から取得された情報：

• ユーザーの IP アドレス
• ユーザーアカウント名およびユーザーのドメイン
• 要求された Web リソースの URL
• ダウンロードしたファイルの名前

アップデートに関するデータ：

• アップデートをダウンロードするために使用される IP アドレス
• アップデート元の IP アドレス
• ダウンロードされたファイルとダウンロード速度に関する情報

ユーザーアカウントに関する情報：

• 本製品の Web インターフェイスにサインインしたユーザーアカウントの名前。
• LDAP 内のユーザーアカウントの名前およびその他の LDAP 属性の情報

トレースファイル

/var/log/kaspersky

無期限

各トレースにつき、容量が 150 GB に達したら、その中で最も古いレコードが削除されます。

/var/log/kaspersky/extra

無期限

各トレースにつき、容量が 400 GB に達したら、その中で最も古いレコードが削除されます。

Web リソースへのアクセス要求から取得された情報：

• ユーザーの IP アドレス
• ユーザーアカウント名およびユーザーのドメイン
• 要求された Web リソースの URL
• Cookie を含む HTTP メッセージの本文、およびダウンロードされたファイル

一時ファイル

/tmp/kwtstmp

本製品が再起動されるまでの期間

KATA（Kaspersky Anti Targeted Attack Platform）との連携

ユーザーのファイル

KATA サーバーへのファイルの送信

/tmp/kwtstmp

本製品が再起動されるまでの期間

待機用のキューの上限は 5000 ファイルです。この上限に達すると、ファイルはキューに追加されなくなります。

KATA からのアラートで取得された情報：

• ファイルの MD5 ハッシュまたは SHA256 ハッシュ
• URL

KATA で検知されたオブジェクトの取得

/var/opt/kaspersky/kwts/detects.cache

キャッシュの保存期間 (時間) 設定でユーザーが指定。

既定値は 48 時間です。

Active Directory® との連携

• ユーザーの正規名（DN）のレコード
• ユーザーの正規名（CN）のレコード
• sAMAccountName
• UPN サフィックス
• objectSID

• トラフィック処理ルール
• シングルサインオン認証
• ユーザーのロールと権限の管理操作およびトラフィック処理ルールの設定操作でのユーザーアカウントの自動入力補助

/var/opt/kaspersky/kwts/ldap/cache.dbm

無期限

データは定期的にアップデートされます。

Active Directory との連携を無効にすると、データは削除されます。

Kaspersky Security Network（KSN）の使用

• スキャンしたファイルの MD5 ハッシュまたは SHA256 ハッシュ
• スキャンしたファイルのファイル種別の識別子とファイル形式の識別子
• カスペルスキーの分類による検知された脅威の名前
• 定義データベースの識別子とファイルのスキャンに使用された定義データベースのレコードの識別子
• 定義データベースの公開日時
• スキャン対象のファイルのダウンロード元の URL
• スキャン対象のオブジェクトのダウンロードまたはスキャン対象のメッセージあるいはリンクの受信に使用されたプロセスのファイル名
• 要求された Web リソースの正規化された形式の URL（プロトコル種別とポート番号を含む）
• ファイルの署名に使用した証明書のフィンガープリントと公開鍵の SHA256 ハッシュ

KSN リクエストの送信

/var/opt/kaspersky

無期限

保存できるレコードの最大数は 36 万件です。上限に達すると、最後に要求されてから最も時間が経っているレコードが削除されます。

• ユーザーの IP アドレス

本製品とインストール先のコンピューターに関する情報：

• 本製品がインストールされているコンピューターの一意な識別子
• 本製品のインストールの一意な識別子
• インストールされている本製品の詳細なバージョン情報
• 本製品のアプリケーション種別の識別子
• コンピューターにインストールされたオペレーティングシステムに関する情報（種別、バージョン、エディション、ビット数、実行モードの設定）
• インストールされたアップデートパッケージに関する情報

アンチウイルス機能またはアンチフィッシング機能による URL スキャンの結果に関する情報：

• 脅威が検知された Web リソースの URL
• リンク元ページまたはリダイレクト元ページの URL
• 定義データベースの公開日時
• 攻撃対象の組織名と Web リソース
• スキャン結果に関する情報（信頼度、判定の重みと状態）
• イベント発生時刻

スキャンしたファイルに関する情報：

• スキャンしたファイルの名前、容量、チェックサム（MD5 と SHA256）
• ファイル種別の識別子とファイル形式の識別子
• カスペルスキーの分類による検知された脅威の名前
• 定義データベースの識別子とファイルのスキャンに使用された定義データベースのレコードの識別子
• 定義データベースの公開日時
• スキャン対象のファイルのダウンロード元の URL
• スキャン対象のオブジェクトのダウンロードまたはスキャン対象のメッセージあるいはリンクの受信に使用されたプロセスのファイル名

本製品の動作中に発生したイベントに関する情報：

• エラーが発生した本製品のコンポーネントの識別子。
• エラー種別の識別子
• 機能の動作に関するログの一部

製品コンポーネントと定義データベースのアップデートに関する情報：

• 定義データベースのアップデートが実行されたコンポーネントのバージョン
• 定義データベースのアップデートのエラーコード（エラーが発生した場合）
• 定義データベースのアップデート実行後の本製品の状態
• 定義データベースのアップデートが失敗した回数
• アップデートを実行してコンポーネントが異常終了した回数

アップデーター機能の動作に関する情報：

• アップデーター機能のバージョン
• アップデーター機能のアップデートタスクの結果
• アップデーター機能のアップデートエラーの種別と識別子（エラーが発生した場合）
• アップデーター機能のアップデートタスクの完了コード
• アップデートタスクの実行中にアップデーター機能が異常終了した回数
• アップデーター機能のアップデートタスクが失敗した回数

KSN 統計情報

/var/opt/kaspersky

KSN に統計情報が送信されるまでの期間

アプリケーション設定で KSN 統計の送信を無効にすると、次回の送信試行時にデータが削除されます。

本製品を ISO イメージから導入する場合のみ利用可能な機能。

TLS/SSL 接続の復号：

• SSL Bump 用の証明書
• 証明書の署名リクエスト（CSR）から取得した共通名と組織フィールドの情報
• 信頼する証明書の SHA1 フィンガープリントまたは SHA256 フィンガープリント
• 証明書の秘密鍵ファイル

  ファイルには、製品の Web インターフェイスを使用して SSH の公開鍵がアップロードされてから、SSH プロトコル経由でのみアクセスできます。

Kerberos 認証の設定：

• keytab ファイル
• ユーザーのトークン（ハッシュ文字列）
• ユーザーのドメイン識別子（SID）
• ユーザーアカウントの名前

NTLM 認証の設定：

• Active Directory サーバーのアドレス
• Active Directory サーバーの証明書

ビルトインプロキシサーバーの設定

/etc/squid/

/var/opt/kaspersky/

無期限

本製品の Web インターフェイスで該当する設定が削除されると、保存されているデータも削除されます。

証明書ファイルは、証明書の置き換え時に上書きされる可能性があります。

Web リソースへのアクセス要求から取得された情報：

• 要求された Web リソースの URL
• Web サーバーの IP アドレスと DNS 名
• 信頼するロードバランサーの IP アドレス
• ICAP サーバーの IP アドレス
• ユーザーの IP アドレス
• 処理された HTTP メッセージの HTTP ヘッダー

プロキシサーバーのイベントログ

/var/log/squid/icap.log

/var/log/squid/ssl.log

/var/log/squid/squid.out

/var/log/squid/access.log

/var/log/squid/cache.log

無期限

各トレースにつき、容量が 3 GB に達したら、その中で最も古いレコードが削除されます。

Kerberos 認証の設定：

• keytab ファイル
• ユーザーのトークン（ハッシュ文字列）
• ユーザーのドメイン識別子（SID）
• ユーザーアカウントの名前

プロキシサーバーのイベントログ

/var/log/squid/cache.log

無期限

各トレースにつき、容量が 10 GB に達したら、その中で最も古いレコードが削除されます。

NTLM 認証の設定：

• ユーザーのドメイン識別子（SID）
• ユーザーアカウントの名前
• NTLM メッセージの本文（Base64 エンコード）
• エンコードされた LDAP メッセージ

プロキシサーバーのイベントログ

/var/log/squid/cache.log

無期限

各トレースにつき、容量が 10 GB に達したら、その中で最も古いレコードが削除されます。

SSH プロトコル経由での接続：

• ユーザーの IP アドレス
• ユーザーアカウント名
• SSH 鍵のフィンガープリント

Web インターフェイスを使用しての接続：

• ユーザーの IP アドレス
• ユーザーアカウント名

認証イベントログ

/var/log/secure

5 週間以内

週に 1 回の頻度でファイルのローテーションが実行されます。

Web リソースへのアクセス要求から取得された情報：

• ユーザーのユーザーエージェントと IP アドレス
• ユーザーアカウント名およびユーザーのドメイン
• 要求された Web リソースの URL
• ダウンロードしたファイルの名前

ユーザーの LDAP 属性に関する情報：

• LDAP 内のユーザーアカウントの名前およびその他の LDAP 属性の情報

システムイベントに関する情報：

• イベントを開始したユーザーアカウント名
• アップデートをダウンロードするために使用される IP アドレス
• アップデート元の IP アドレス
• ダウンロードされたファイルとダウンロード速度に関する情報

システムイベントとトラフィック処理イベントのログ

/var/log/kwts-messages

5 週間以内

週に 1 回の頻度でファイルのローテーションが実行されます。