whitefox HOME | イベントログ概要 | ログ監視 | ログ保存 | ログ管理 | ログ分析 | ファイル監査


Windows ファイルサーバー監査 ログオン/ログオフ ユーザー

イベントログ概要 : 2009.09.11 Friday


概要
イベントログ(セキュリティ)を使って監査ログを出力する設定については説明しました。
お次は 具体的に ファイルサーバーの監査をどのように行うかを説明します。

ファイルサーバーの監査では以下の3つの監査があります。
・ローカル ログオン/ログオフの監査
・リモート ログオン/ログオフの監査
・ファイルアクセスの監査

ログオン/ログオフの監査は、ファイルサーバーに限らず、サーバーであれば何でも必要ですが、ファイルアクセスを考えると同時に、ログオン/ログオフを理解しておくとよろしいかと。


ローカル ログオン/ログオフの監査
ローカルコンピュータへのログオン/ログオフは、ユーザーがサーバーのデスクトップ(対話型)に ログオン/ログオフした際に記録されるイベントです。

ファイルサーバーがサーバールームに設置されていて物理的なセキュリティが保たれていても、悪意のあるサーバーオペレータの操作、悪意のないサーバーオペレータの誤操作などは考えられますので、ローカルログオン/ログオフのログと入退室記録、サーバー作業記録などとを照合・監査する必要があります。

ローカル ログオン/ログオフのイベントログは、イベントログ・セキュリティに登録されます。イベントIDとイベントの意味、イベントの説明に含まれる情報は以下の通りです。
イベントID 意味 説明に含まれる情報
528 ログオン ユーザー名、ドメイン名、ログオンID、ログオンタイプ、ワークステーション名、ソースネットワークアドレス
538 ログオフ ユーザー名、ドメイン名、ログオンID、ログオンタイプ

イベントID 528(ログオン)には ログオンしたユーザー、ドメイン、ワークステーション名(=コンピュータ名)、ソースネットワークアドレス(=IPアドレス)などが記録されます。ローカルログオンですので そのコンピュータに、何というユーザーアカウントでログオンしたかがわかります。

イベントID 538(ログオフ)には ログオフしたユーザーの情報が記録されます。このイベントログは ローカルログオン、ネットワークログオンの両方に対応するログオフイベントなので やっかいです(^-^; ログオンIDが一致するイベントID 528(ログオン)を探すと ログオン/ログオフの対応がとれ、どのユーザーが何時何分から何時何分までログオンしていたかが解ります。

ログオンタイプには 2=対話型(Interactive)、3=ネットワーク(Network)、4=バッチ(Batch)、5=サービス(Service)、7=アンロック(Unlock)、8=ネットワーククリアテキスト(NetworkCleartext)、9=新規証明書(NewCredentials)、10=リモート対話型(RemoteInteractive)、11=キャッシュ対話型(CashedInteractive)があるみたいです。よく見かけるのは、2, 3, 5 でしょうか。
ローカル ログオンに関連するイベントログには 他にもあり、ログオンの失敗などは セキュリティ侵害の可能性もありますので、ログオン/ログオフと同様に監査が必要です。
イベントID 意味 内容
529 不明ユーザー 不明なユーザー名、または既知のユーザー名と無効なパスワードを使用してログオンしようとした場合に発生するイベント。
530 時間外 ユーザーアカウントが 認められた時間外にログオンしようとした場合に発生するイベント。
531 無効アカウント 無効なユーザーアカウントを使用してログオンしようとした場合に発生するイベント。
532 期限切れアカウント 期限切れのアカウントを使用してログオンしようとした場合に発生するイベント。
533 認められていないアカウント 該当コンピュータへのログオンが認められていないアカウントを使用してログオンしようとした場合に発生するイベント。
534 認められていないログオンタイプ ユーザーがネットワーク、対話型、バッチ、サービス、リモート対話型など、認められていないログオンタイプでログオンしようとした場合に発生するイベント。
535 パスワード期限切れ 指定されたユーザーアカウントのパスワードの期限がきれている場合に発生するイベント。
537 その他理由 その他の理由でログオンが失敗した場合に発生するイベント。
539 ロックアウト ユーザーアカウントがロックアウトされている状態でログオンしようとした場合に発生するイベント。


リモート ログオン/ログオフの監査
リモートコンピュータへのログオン/ログオフは、ユーザーがネットワークを経由して リモートコンピュータ(別コンピュータ)に ログオン/ログオフした際に記録されるイベントです。

ログオン/ログオフの時間などを調べ、出勤簿・タイムカードなどと照合・監査する必要があります。

リモート ログオン/ログオフのイベントログは、イベントログ・セキュリティに登録されます。イベントIDとイベントの意味、イベントの説明に含まれる情報は以下の通りです。
イベントID 意味 説明に含まれる情報
540 ネットワーク
ログオン
ユーザー名、ドメイン名、ログオンID、ログオンタイプ、ワークステーション名、ソースネットワークアドレス
538 ログオフ ユーザー名、ドメイン名、ログオンID、ログオンタイプ

イベントID 540(ログオン)には ログオンしたユーザー、ドメイン、ワークステーション名(=コンピュータ名)、ソースネットワークアドレス(=IPアドレス)などが記録されます。どこのコンピュータ、IPアドレスから、何というユーザーアカウントでログオンしたかがわかります。

イベントID 538(ログオフ)には ログオフしたユーザーの情報が記録されます。このイベントログは ローカルログオン、ネットワークログオンの両方に対応するログオフイベントなので やっかいです(^-^; ログオンIDが一致するイベントID 540(ログオン)を探すと ログオン/ログオフの対応がとれ、どのユーザーが何時何分から何時何分までログオンしていたかが解ります。

リモート ログオンに関連するイベントログには 他にもあり、ログオンの失敗などは セキュリティ侵害の可能性もありますので、ログオン/ログオフと同様に監査が必要です。
イベントID 意味 内容
675 事前認証の失敗 事前認証が失敗した場合に発生するイベント。
677 TGSチケット未保証 TGSチケットが保証されない場合に発生するイベント。
682 ターミナルサービス再接続 ユーザーが切断されたターミナルサービスセッションを再接続した場合に発生するイベント。
683 ターミナルサービス切断 ユーザーがログオフすることなくターミナルサービスセッションを切断した場合に発生するイベント。


Windows Vista,Windows 7,Windows Server 2008 ログオン/ログオフの監査
Windows Vista,Windows 7,Windows Server 2008などの新しいOSでは、ローカルログオン/リモートログオンが同一のイベントIDに統一されています。

イベントID 意味
4624 ログオンの成功
4625 ログオンの失敗
4634 ユーザのログオフ



分析、監査作業の省力化には・・・
ログオン/ログオフの監査は 上記の通りなのですが、実際の運用で手作業でログオン/ログオフの対応をとるのは困難です。
また、ログオンの失敗などのイベントをフィルタリングして セキュリティ侵害の可能性を検知することも 手作業では困難です。

そんな システム管理者、セキュリティ管理者のために!?
弊社では「イベントログ分析ツール WhiteFox EventLog Analyzer」というツールを販売しています。
イベントログ分析ツールは、イベントログ(CSV,EVT,直接)を定期的に読み込み、分析するツールです。





お役立ちリンク
あなたのサーバー動いていますか? |  ログを採るだけで満足? |  イベントログ ツールズ |  Windows Vista/7/2008イベントログ |  SQL Server Express管理 | 
SharePoint 2010 Tips |  Windows Server サポート終了日

ライセンス購入・保守契約
製品購入 |  保守契約 |  FAQ |  お問合せ |  サイトマップ