イベントログ 監査ログ出力

監査ポリシーの設定

監査ポリシーの設定は「Active Directoryのグループポリシー」または「ローカルセキュリティポリシー」で設定します。Active Directoryのグループポリシーでは ドメイン、OU(組織単位)で ポリシーが設定できます。ドメインコントローラの監査を行う場合はこちらを使用します。ローカルセキュリティポリシーでは 該当サーバー(またはクライアントPC)のポリシーが設定できます。ファイルサーバーなどの監査を行う場合は こちらを使用します。

ローカルセキュリティポリシーの設定方法

ローカルセキュリティポリシーの設定方法は以下の通りです。
・該当サーバーの管理者権限を持ったユーザーでログオン
・[スタート]→[すべてのプログラム]→[管理ツール]→[ローカルセキュリティポリシー]をクリック
・「ローカルセキュリティの設定」の左側ツリーで [セキュリティの設定]→[ローカルポリシー]→[監査ポリシー]を展開
・右側に ９種類のポリシーが表示されるので 設定が必要なポリシー(例: オブジェクトアクセスの監査)をダブルクリック

・監査のプロパティが表示されるので 成功・失敗のチェックボックスをチェックし [OK]をクリック

監査ポリシーの種類と内容

監査ポリシーの種類= アカウント ログオン イベント

ネットワーク経由のドメイン ログオン/ログオフなどのイベントログ出力

監査ポリシーの種類= アカウント管理

ユーザーアカウント、グループの作成、変更、削除のイベントログ出力

監査ポリシーの種類= オブジェクトアクセス

ファイル、フォルダ、オブジェクトの検索、ユーザー操作、コンピュータ操作などのイベントログ出力

監査ポリシーの種類= システム イベント

シャットダウン・再起動、セキュリティ ログの変更・消去、環境変更のイベントログ出力

監査ポリシーの種類= ディレクトリサービスのアクセス

Active Directoryドメインコントローラ関連の作成・変更・削除などのイベントログ出力

監査ポリシーの種類= プロセス追跡

プロセスの作成、終了、ハンドル複製、間接アクセス取得などのイベントログ出力

監査ポリシーの種類= ポリシーの変更

特権(ＯＳの一部として機能、ドメインにワークステーションを追加)の変更などのイベントログ出力

監査ポリシーの種類= ログオン イベント

ローカルログオン/ログオフなどのイベントログ出力

監査ポリシーの種類= 特権使用

システム時刻の変更、リモート強制シャットダウンなどのイベントログ出力

ファイルサーバー、プリントサーバーの場合
・オブジェクトアクセス
・アカウント ログオン イベント
・ログオン イベント
の監査ポリシーを設定します。

Active Directoryドメインコントローラの場合
・アカウント ログオン イベント
・アカウント管理
・システム イベント
・ディレクトリサービスのアクセス
・ポリシーの変更
・ログオン イベント
の監査ポリシーを設定します。

監査エントリの追加

監査ポリシー設定が完了したら 監査対象とするフォルダ、ファイルに対して 監査エントリの追加を行います。
・該当サーバーの管理者権限を持ったユーザーでログオン
・エクスプローラで 監査対象とするフォルダ（またはファイル）を右クリックし、[プロパティ]をクリック
・[セキュリティ]タブで [詳細設定]をクリック
・Windows Server 2008/Server 2012の場合、セキュリティの詳細設定で、[監査]タブで [編集]をクリック
・セキュリティの詳細設定で、[監査]タブで [追加]をクリック

・ユーザー、コンピュータ または グループの選択で 監査対象とするユーザーまたはグループを入力し [OK]をクリック
※全てのユーザーを対象とする場合、Everyone を設定してください。
・監査エントリで 監査対象とする操作内容をチェックし、[OK]をクリック

・セキュリティの詳細設定で [OK]をクリック
・プロパティで [OK]をクリック

設定後の確認

監査ポリシーの設定、監査エントリの追加が完了したら イベントログが発生するような操作(例: ファイルアクセス、ログオンなど)を行い、イベントビューアでイベントログ・セキュリティにイベントが登録されるかを確認して下さい。

セキュリティ監査の仕組み

セキュリティ監査は Windowsコアコンポーネントに組み込まれていて、「監査ポリシーの設定」「監査エントリの追加」をすると 自動的に監査ログが「イベントログ セキュリティ」に出力されます。セキュリティ監査に関わる コンポーネントと説明を下表に示します。

コンポーネント= WinLogonプロセス

WinLogonプロセスは、ローカルコンピュータにユーザーがログオンする際、ユーザーアカウントとパスワードを LSAサーバーサービスに認証要求するプロセスです。

コンポーネント= NetLogonサービス

NetLogonサービスは、ネットワーク経由でのユーザーログオン要求を、WinLogonプロセスと同様に処理するサービスです。

コンポーネント= LSA（Local Security Authority）

LSAは、ユーザー認証とセキュリティログ出力をおこなう サービスです。ドメインログオンの場合はドメインコントローラに、ローカルログオンの場合は、SAMのアカウント情報をもとに認証をおこないます。

コンポーネント= SAM（Security Accounts Manager）

SAMは、ローカルコンピュータのアカウント情報を格納するデータベースです。

コンポーネント= SRM（Security Reference Monitor）

SRMは、ファイル・ディレクトリ・プリンタ・レジストリなどのオブジェクトへのアクセスを監視し、その監査情報をLSAサーバーサービスに通知するプログラムで、カーネルモードで動作します。