whitefox HOME | イベントログ概要 | ログ監視 | ログ保存 | ログ管理 | ログ分析 | ファイル監査


Windows プリンタ監査 プリンタサーバー

イベントログ概要 : 2009.09.11 Friday


概要
Windowsサーバーにプリンタを接続した「プリンタサーバー(プリントサーバー、印刷サーバー)」は 現在では高機能な複合機の登場で あまり出番はなくなってきたようですが・・・。
そんなプリンタサーバーで印刷の監査を行う方法について説明します。
監査の準備作業は、以下の通りです。
・監査ポリシーの設定 → 監査ログの出力 を参照して下さい。
・ログ収集設定の追加
・ジョブ保存設定の追加


ログ収集設定の追加
プリンタサーバーで ログ収集設定の追加を行います。
1) プリンタサーバーに管理者権限を持ったユーザーでローカルログオン
2) [スタート]→[プリンタとFAX]をクリック
3) プリンタとFAXで、監査対象のプリンタをクリックし、[ファイル]メニュー→[サーバーのプロパティ]をクリック
4) サーバーのプロパティで、[詳細設定]タブをクリックし、「スプーラのエラーイベントのログを収集する」「スプーラの警告イベントのログを収集する」「スプーラの情報イベントのログを収集する」をチェックし、[OK]をクリック

これで、ログ収集設定の追加は完了です。引き続き、ジョブ保存設定の追加を行います。


ジョブ保存設定の追加
ジョブ保存設定の追加手順は以下の通りです。
1) [スタート]→[プリンタとFAX]をクリック
2) プリンタとFAXで、監査対象のプリンタを右クリックし、[プロパティ]をクリック
3) プリンタのプロパティで、[セキュリティ]タブをクリックし、[詳細設定]をクリック
4) 詳細設定で、「印刷後ドキュメントを残す」をチェックし、[OK]をクリック

これで、印刷ジョブの情報が保存されるようになりました。
試しに何かを印刷して、プリンタの画面を表示すると、通常は印刷が完了したドキュメントは消えますが、上記の設定後は印刷後もドキュメントが「印刷済」で残ります。


プリンタ、印刷ジョブの監査
プリンタの動作に関するイベントログは、「印刷」はイベントログ・システムに、「オープン」はイベントログ・セキュリティに記録されます。
イベントID 意味 説明に含まれる情報
10 印刷 ドキュメント名、プリンタ名、ドキュメントバイト数、印刷ページ数
560 オープン 種類、ファイル名、ハンドルID、プロセスID、ユーザー名、ドメイン名、操作内容

イベントID 10(印刷)には、印刷したドキュメントの情報が記録されます。
ドキュメント名が 一致するイベントID 560(オープン)を探し、ユーザー名を対応付けます。
また、イベントID 560(オープン)とログオンIDが一致する イベントID 540,528(ログオン)を探し、ログオン時間を対応づけします。
対応づけが完了したら、どのファイルが、いつ、どのユーザーに印刷されたかがわかります。

Windows Vista,Windows 7,Windows Server 2008 プリンタ監査
Windows Vista,Windows 7,Windows Server 2008などの新しいOSでは、イベントIDが異なります。

イベントID 意味
4656ファイルオープン


分析、監査作業の省力化には・・・
プリンタ、印刷ジョブの監査は 上記の通りなのですが、実際の運用で手作業でオープン/印刷の対応をとるのはイベントログのシステムを見たり、セキュリティを見たり・・・とても困難です。

そんな システム管理者、セキュリティ管理者のために!?
弊社では「イベントログ分析ツール WhiteFox EventLog Analyzer」というツールを販売しています。
イベントログ分析ツールは、イベントログ(CSV,EVT,直接)を定期的に読み込み、分析するツールです。





お役立ちリンク
あなたのサーバー動いていますか? |  ログを採るだけで満足? |  イベントログ ツールズ |  Windows Vista/7/2008イベントログ |  SQL Server Express管理 | 
SharePoint 2010 Tips |  Windows Server サポート終了日

ライセンス購入・保守契約
製品購入 |  保守契約 |  FAQ |  お問合せ |  サイトマップ