whitefox HOME | イベントログ概要 | ログ監視 | ログ保存 | ログ管理 | ログ分析 | ファイル監査


Windows 監査ログの出力 イベントログ 監査ポリシー

イベントログ概要 : 2009.09.11 Friday


概要
イベントログ(セキュリティ)に監査ログを出力するためには、
・監査ポリシーの設定
・監査エントリの追加
という2つの作業が必要です。

監査ポリシーの設定
監査ポリシーの設定は「ActiveDirectoryのグループポリシー」または「ローカルセキュリティポリシー」で設定します。
ActiveDirectoryのグループポリシーでは ドメイン、OU(組織単位)で ポリシーが設定できます。ドメインコントローラの監査を行う場合はこちらを使用します。
ローカルセキュリティポリシーでは 該当サーバー(またはクライアントPC)のポリシーが設定できます。ファイルサーバーなどの監査を行う場合は こちらを使用します。

ローカルセキュリティポリシーの設定方法
・該当サーバーの管理者権限を持ったユーザーでログオン
・[スタート]→[すべてのプログラム]→[管理ツール]→[ローカルセキュリティポリシー]をクリック
・「ローカルセキュリティの設定」の左側ツリーで [セキュリティの設定]→[ローカルポリシー]→[監査ポリシー]を展開
・右側に 9種類のポリシーが表示されるので 設定が必要なポリシー(例: オブジェクトアクセスの監査)をダブルクリック

・監査のプロパティが表示されるので 成功・失敗のチェックボックスをチェックし [OK]をクリック


監査ポリシーの種類と内容
種類 内容
アカウント ログオン イベント ネットワーク経由のドメイン ログオン/ログオフなどのイベントログ出力
アカウント管理 ユーザーアカウント、グループの作成、変更、削除のイベントログ出力
オブジェクトアクセス ファイル、フォルダ、オブジェクトの検索、ユーザー操作、コンピュータ操作などのイベントログ出力
システム イベント シャットダウン・再起動、セキュリティ ログの変更・消去、環境変更のイベントログ出力
ディレクトリサービスのアクセス ActiveDirectoryドメインコントローラ関連の作成・変更・削除などのイベントログ出力
プロセス追跡 プロセスの作成、終了、ハンドル複製、間接アクセス取得などのイベントログ出力
ポリシーの変更 特権(OSの一部として機能、ドメインにワークステーションを追加)の変更などのイベントログ出力
ログオン イベント ローカルログオン/ログオフなどのイベントログ出力
特権使用 システム時刻の変更、リモート強制シャットダウンなどのイベントログ出力

ファイルサーバー、プリントサーバーの場合
・オブジェクトアクセス
・アカウント ログオン イベント
・ログオン イベント
の監査ポリシーを設定します。

ActiveDirectoryドメインコントローラの場合
・アカウント ログオン イベント
・アカウント管理
・システム イベント
・ディレクトリサービスのアクセス
・ポリシーの変更
・ログオン イベント
の監査ポリシーを設定します。

監査エントリの追加
監査ポリシー設定が完了したら 監査対象とするフォルダ、ファイルに対して 監査エントリの追加を行います。
・該当サーバーの管理者権限を持ったユーザーでログオン
・エクスプローラで 監査対象とするフォルダ(またはファイル)を右クリックし、[プロパティ]をクリック
・[セキュリティ]タブで [詳細設定]をクリック
・Windows Server 2008/Server 2012の場合、セキュリティの詳細設定で、[監査]タブで [編集]をクリック
・セキュリティの詳細設定で、[監査]タブで [追加]をクリック

・ユーザー、コンピュータ または グループの選択で 監査対象とするユーザーまたはグループを入力し [OK]をクリック
※全てのユーザーを対象とする場合、Everyone を設定してください。
・監査エントリで 監査対象とする操作内容をチェックし、[OK]をクリック

・セキュリティの詳細設定で [OK]をクリック
・プロパティで [OK]をクリック

設定ができたら確認を...
監査ポリシーの設定、監査エントリの追加が完了したら イベントログが発生するような操作(例: ファイルアクセス、ログオンなど)を行い、イベントビューアでイベントログ・セキュリティにイベントが登録されるかを確認して下さい。

セキュリティ監査の仕組み
セキュリティ監査は Windowsコアコンポーネントに組み込まれていて、
「監査ポリシーの設定」「監査エントリの追加」をすると
自動的に監査ログが「イベントログ セキュリティ」に出力されます。

セキュリティ監査に関わる コンポーネントと説明を下表に示します。
コンポーネント 説明
WinLogonプロセス WinLogonプロセスは、ローカルコンピュータにユーザーがログオンする際、ユーザーアカウントとパスワードを LSAサーバーサービスに認証要求するプロセスです。
NetLogonサービス NetLogonサービスは、ネットワーク経由でのユーザーログオン要求を、WinLogonプロセスと同様に処理するサービスです。
LSA(Local Security Authority) LSAは、ユーザー認証とセキュリティログ出力をおこなう サービスです。ドメインログオンの場合はドメインコントローラに、ローカルログオンの場合は、SAMのアカウント情報をもとに認証をおこないます。
SAM(Security Accounts Manager) SAMは、ローカルコンピュータのアカウント情報を格納するデータベースです。
SRM(Security Reference Monitor) SRMは、ファイル・ディレクトリ・プリンタ・レジストリなどのオブジェクトへのアクセスを監視し、その監査情報をLSAサーバーサービスに通知するプログラムで、カーネルモードで動作します。




お役立ちリンク
あなたのサーバー動いていますか? |  ログを採るだけで満足? |  イベントログ ツールズ |  Windows Vista/7/2008イベントログ |  SQL Server Express管理 | 
SharePoint 2010 Tips |  Windows Server サポート終了日

ライセンス購入・保守契約
製品購入 |  保守契約 |  FAQ |  お問合せ |  サイトマップ