制限事項

Mac端末のログ収集について(操作ログ)

表の「収集の制限」の記号の説明
  • 【○】Windows端末と同様にMac端末で収集できるログです。
  • 【-】Mac端末では収集の対象外のログです。
  • 【△】Windows端末と比較して、Mac端末では一部または条件付きで収集できるログです。

共通項目

項目名 収集の制限 備考
端末エージェント名  
コンピューター名  
ログオンユーザー名 root プロセスの場合、最後にログインしたユーザー名となります。
(アクセス、操作)日時  
ログ種別  
防止・禁止  
DB登録日時  

ファイルアクセス

項目名 収集の制限 備考
操作
  • ゴミ箱への移動は「削除」として出力されます。
  • ゴミ箱から元に戻す操作はログを取得できません。
  • 一度に大量のファイルコピーを行った場合など、「コピー」ではなく、「書込み」になることがあります。
  • 「コピー」とともに「書込み」のログが出力されることがあります。
  • Finderでのコピー操作で、「削除」が出力されることがあります。
  • アプリケーションの処理やポリシーの設定によっては、「名前変更」と「移動」が、「削除」になります。
  • 同名のファイルを異なるフォルダーに複数回コピーしたとき、実際には行っていないコピー操作が出力されることがあります。
  • 異なるファイルパスに存在する同名のファイルを同時にコピーした場合、コピー元とコピー先のファイルパスが正しく取得できないことがあります。
  • 「移動」のログの前後に「削除」や「書込み」が出力されることがあります。
ファイル名 アプリケーションの処理やポリシーの設定によっては、パスのみになります。
変更後ファイル名  
プロセス名  
ドライブ種別 こちらを参照してください。
デバイスインスタンスID  
  • macOS 10.13~10.15では、APFSボリューム上のファイルに対するFinderでのファイルコピーのログは取得できません。
  • macOS 11以降では、APFSボリューム上のファイルに対してFinderでファイルコピーを行った場合、ログが重複して取得されることがあります。
  • macOS 11以降では、Finderで大量のファイルコピーを行った場合、コピーのログが欠落することがあります。
  • macOS 11以降では、同一ネットワークドライブ内でフォルダーのコピーを行った場合、フォルダー内のファイルコピーのログは取得できません。
  • macOS 11以降では、システム設定の[SP_ACSLOG_TYPE]について、以下の制限事項があります。

    • APFSボリューム内のコピー操作は、[SP_ACSLOG_TYPE]の値にかかわらず、「コピー」ログとして取得されます。
    • APFSボリューム外のコピー操作は、[SP_ACSLOG_TYPE]が[0]の場合、「読込み」および「書込み」ログとして取得できますが、ログが欠落することがあリます。
  • 以下のプロセスは、ファイルアクセスのログ収集を行いません。

    • MaLion関連のプロセス
    • launchd
    • kextstat
    • kextutil
    • kextload
    • kextunload
    • Google Chrome
    • dscl
    • installd
    • shove
    • installer
    • backupd
    • finder(iOSデバイスへのファイル操作の場合)

ドライブ種別取得可能項目

項目名 収集の制限 備考
フロッピードライブ 取得できません。ただし、一部のUSB-フロッピードライブはUSB-リムーバブルメディアとして認識され、ログを取得できる場合があります。
CD/DVDドライブ データが一度も書き込まれていないブランクメディア(CD-R、DVD-R、BD-Rなど)は、ログを取得できません。
USB-リムーバブルメディア  
USB-CD/DVDドライブ
  • データが一度も書き込まれていないブランクメディア(CDR、DVD-R、BD-Rなど)は、ログを取得できません。
  • ドライブを接続したときの操作ログは、「利用可能な状態です」と出力されます。また、取り外したときのログは出力されません。
USB-ハードディスク USB-リムーバブルメディアとなります。
その他リムーバブルメディア ThunderboltまたはFireWireで接続されたストレージ、およびApple純正の内蔵SDカードリーダーに挿入されたメディアは、その他リムーバブルメディアとして認識されます。
Windowsポータブルデバイス 取得できません。
iOSデバイス iOSデバイスとは、UDIDが取得可能なデバイス(iPhone、iPad)のことです。
Bluetoothデバイス Bluetooth機能の状態が出力されます。
不明ドライブ すべての種別に当てはまらない場合です。
  • ボリューム名のない(Finderで「Untitled」と認識される)デバイスはログが取得できない場合があります。

デバイス操作

項目名 収集の制限 備考
操作 デバイスを禁止した場合、同じデバイスに対するリアルタイムログおよび操作ログが2行出力されることがあります。
ドライブ名 BSD名が表示されます。
デバイスタイプ
  • USB-HDDとUSB-リムーバブルの区別がなく、USB-リムーバブルメディアとなります。
  • USB-CD/DVDドライブは、挿入されたメディアのフォーマットによってはUSB-リムーバブルメディアとなります。
  • ThunderboltまたはFireWireで接続されたストレージ、およびApple純正の内蔵SDカードリーダーに挿入されたメディアは、その他リムーバブルメディアとなります。
デバイスインスタンスID USBデバイスのみ表示されます。
  • iOSデバイスは、10秒程度までの短い接続の後に切断した場合、または切断後10秒程度待たずに再接続した場合に、一連の操作のログを取得できないことがあります。
  • Bluetoothデバイスのログは、Bluetooth機能の入/切が切り替わったとき、およびOSを起動したときの状態が出力されます。
  • 以下の条件を両方とも満たす場合、対象デバイスへのFinderを使用した書き込みは禁止されますが、操作ログは取得されません。

    • [防止・禁止]-[デバイス操作]の[デバイス種別指定]で、USB-リムーバブルメディアまたはその他リムーバブルメディアに[読み込みのみ許可]ポリシーが設定されている
    • [ログ環境設定]の[ファイルアクセス除外]で、[監視するアプリケーション]の一覧から「Finder」、「DesktopServicesH」、「Locum」が削除されている、または[監視しないアプリケーション]の一覧に「Finder」、「DesktopServicesH」、「Locum」が追加されている

印刷

項目名 収集の制限 備考
ドキュメント名 拡張子は取得できないことがあります。
プリンター名 [システム環境設定]-[プリンタとスキャナ]-[オプションとサプライ]の[一般]タブの[キュー名]または[装置名]が表示されます。
印刷部数 環境により取得できないことがあります。
印刷枚数 常に0になります。
カラー 取得できません。
サイズ 環境により取得できないことがあります。

Webアクセス

項目名 収集の制限 備考
ウィンドウタイトル
URL プロキシサーバーを経由する場合は、「プロキシ設定を使用しないホストとドメイン」に、「127.0.0.1」を追加してください。
カテゴリ
サブカテゴリ
操作種別 HTTPおよびHTTPSのみ取得されます(FTPアップロードおよびFTPダウンロードは取得されません)。
  • FTPプロトコルのWebアクセス(アップロード/ダウンロード)のログは取得されません。
  • MaLionのブラウザー拡張が無効なWebブラウザーの場合、[ウィンドウタイトル]が取得できません。
  • MaLionのブラウザー拡張が無効、かつローカルプロキシによる通信監視も行わない場合、HTTPSプロトコルのWebアクセスログは取得できません。
  • SafariでTop Sitesを表示したときにログが記録される場合があります。
  • Google Chromeのスタート画面はログが取得されません。
  • ネットワークのサービス名に「/(スラッシュ)」が含まれている場合、そのネットワークを経由したWebサービスは、ローカルプロキシによる監視ができません。監視する場合は、ネットワークのサービス名を変更してください。
    なお、サービス名を変更した場合、監視は端末の再起動後に有効になります。
  • アンチウイルスソフトウェアがWebアクセスの監視を行っている場合、MaLionでWebアクセスログが取得できなかったり、同一のログが重複して取得されたりすることがあります。
  • macOS 11以降では、MaLionのブラウザー拡張が無効、かつローカルプロキシによる通信監視も行わない場合、Webアクセスログは取得できません。
    ただしmacOS 12以降では、同じ条件でも、機能拡張(MarWebExtension)を有効にするとSafariのWebアクセスログを取得できます。なお、MarWebExtensionによるWebアクセスログでは、ウィンドウタイトルは取得できません。

Webアップロード

項目名 収集の制限 備考
ウィンドウタイトル
URL  
操作種別 書き込みのログは取得できません。常に「ファイルアップロード」となります。
ID 常に「file」となります。
アップロードデータ ファイル名のみ取得できます。
データ種別  
テキスト 取得できません。
  • MaLionのブラウザー拡張が有効なGoogle ChromeまたはMozilla Firefoxを使用して、Googleドライブ、OneDrive(OneDrive for Business を除く)、DropBox、Box、Google Chatへファイルをアップロードしたとき、およびGoogle Chat またはChatGPT にテキストを送信したときに、ログを取得できます。
  • ローカルプロキシによるWebアップロード監視はできません。
  • ローカルプロキシによる通信監視とMaLionのブラウザー拡張が有効な状態でWebアップロードログが記録された場合、同一のログが重複して記録されることがあります。

送信メール

項目名 収集の制限 備考
種類  
メールタイトル  
差出人  
宛先  
添付ファイル名  
添付ファイル種別  
メール本文  
  • セキュリティ対策ソフトなどでメール監視を行っている場合、ログを正常に取得できないことがあります。この場合、セキュリティ対策ソフトの設定を変更、または無効にすることでログを取得できるようになります。
  • WebブラウザーでOutlook.comを使用した送信メールログは、取得できません。
  • WebブラウザーでGmail を使用した送信メールのログを取得するには、ブラウザー拡張が有効で、かつ[ログやインベントリ収集の開始/ 停止]で以下のように設定されている必要があります。

    • Web アクセス監視が「開始」または「開始(違反)」
    • 送信メール監視が「開始」
  • macOS 10.12~macOS10.15の場合、SSLやSTARTTLSのメールの内容は取得できません。[種類]に「SSL」、[メールタイトル]に「暗号化されたメールを送信しました」と表示されます。ただし、プロトコルによっては、ログを取得できない場合があります。
  • macOS 11の場合、送信メールログは取得できません。
  • macOS 12以降の場合、メール拡張を有効にすることで、OS標準のメールアプリ(Mail.app)を使用して送信したメールのみ、ログが取得できます。
  • macOS 12以降でtext/plain以外の形式のメール本文を取得した場合、メール本文がhtml形式などで表示されることがあります。

受信メール

項目名 収集の制限 備考
種類  
メールタイトル  
差出人  
宛先  
添付ファイル名  
添付ファイル種別  
メール本文  
  • セキュリティ対策ソフトなどでメール監視を行っている場合、ログを正常に取得できないことがあります。この場合、セキュリティ対策ソフトの設定を変更、または無効にすることでログを取得できるようになります。「avast!」の場合、「avast!」の「Mail Shield」機能を無効にすることでログを取得できます。
  • macOS 10.12~macOS 10.15の場合、SSLやSTARTTLSのメールの内容は取得できません。[種類]に「SSL」、[メールタイトル]に「暗号化されたメールを受信しました」と表示されます。 ただし、プロトコルによっては、ログを取得できない場合があります。
  • macOS 11の場合、受信メールログは取得できません。
  • macOS 12以降の場合、メール拡張を有効にすることで、OS標準のメールアプリ(Mail.app)を使用して受信したメールのみ、ログが取得できます。ただし、一部の受信メールの添付ファイルログは取得できないことがあります。
  • macOS 12以降でtext/plain以外の形式のメール本文を取得した場合、メール本文がhtml形式などで表示されることがあります。

アプリケーション起動

項目名 収集の制限 備考
種別  
実行ファイルパス  
実行ファイル名  

ログオン

項目名 収集の制限 備考
種別  
ログオン先 システムインベントリのドメインと同じ値がセットされます。
  • ログオン後、即座にログオフした場合、ログオフログが取得できないことがあります。

アクティブウィンドウ

項目名 収集の制限 備考
ウィンドウタイトル
  • 一部タイトルが取得できないウィンドウがあります。例:「このMacについて」など
  • 一部のウィンドウにはタイトルがないため、空白が記録されることがあります。
  • 一部のアプリケーションでは、アプリケーション側の仕様によりウィンドウタイトルが取得できない場合があります。
    例:Google Chrome、Vivaldi
実行ファイルパス  
実行ファイル名  
  • システムによって表示されるウィンドウは、ログを取得できないことがあります。
  • 端末をログアウトするとき[再ログイン時にウインドウを再度開く]にチェックを付けると、次回ログインしたとき、開いたウィンドウのログを取得できないことがあります。この場合、ウィンドウを保持するアプリケーションを一度終了しないとログを取得できません。

共有フォルダー

取得できません。

クリップボード

項目名 収集の制限 備考
ウィンドウタイトル 取得できません。
実行ファイルパス コピー直後にアクティブな実行ファイル名と、パスがセットされます。
実行ファイル名 コピー直後にアクティブな実行ファイル名がセットされます。
クリップボード種類  
テキスト内容  
  • デスクトップにファイル保存するスクリーンキャプチャのログは取得されません。
  • システム設定の[SP_MAC_CLIPBOARD_USE_EXCLUSION_TYPES]が[1:有効]の場合、[SP_MAC_CLIPBOARD_EXCLUSION_TYPES](Macのクリップボードでテキスト内容を取得しないデータタイプ)で指定した形式のデータは、[テキスト内容]が取得されません。標準では、Adobe製アプリケーションのSVG形式(com.adobe.illustrator.svg)の[テキスト内容]は取得されません。

無線LAN

項目名 収集の制限 備考
接続状態
SSID
アダプター名

Apple社製以外の内蔵アダプターと、すべての外付けのアダプターには対応していません。

電源

  • 端末のスリープ開始から終了までの間に、スリープ開始ログが複数回連続して取得されることがあります。
  • 端末のスリープ中に電源がオフになった場合、スリープ終了ログが正常に取得できないことがあります。
  • 端末の起動とシャットダウンを数分以内の短い間隔で繰り返した場合、起動ログはすべて取得されますが、シャットダウンログは最後の1回のみ取得されることがあります。
▲