イベントログ 監査ログ出力
イベントログ(セキュリティ)に監査ログを出力するためには、
・監査ポリシーの設定
・監査エントリの追加
という2つの作業が必要です。
ここでは、監査ログの出力方法を説明します。
監査ポリシーの設定は「Active Directoryのグループポリシー」または「ローカルセキュリティポリシー」で設定します。Active Directoryのグループポリシーでは ドメイン、OU(組織単位)で ポリシーが設定できます。ドメインコントローラの監査を行う場合はこちらを使用します。ローカルセキュリティポリシーでは 該当サーバー(またはクライアントPC)のポリシーが設定できます。ファイルサーバーなどの監査を行う場合は こちらを使用します。
ローカルセキュリティポリシーの設定方法は以下の通りです。
・該当サーバーの管理者権限を持ったユーザーでログオン
・[スタート]→[すべてのプログラム]→[管理ツール]→[ローカルセキュリティポリシー]をクリック
・「ローカルセキュリティの設定」の左側ツリーで [セキュリティの設定]→[ローカルポリシー]→[監査ポリシー]を展開
・右側に 9種類のポリシーが表示されるので 設定が必要なポリシー(例: オブジェクトアクセスの監査)をダブルクリック
・監査のプロパティが表示されるので 成功・失敗のチェックボックスをチェックし [OK]をクリック
ネットワーク経由のドメイン ログオン/ログオフなどのイベントログ出力
ユーザーアカウント、グループの作成、変更、削除のイベントログ出力
ファイル、フォルダ、オブジェクトの検索、ユーザー操作、コンピュータ操作などのイベントログ出力
シャットダウン・再起動、セキュリティ ログの変更・消去、環境変更のイベントログ出力
Active Directoryドメインコントローラ関連の作成・変更・削除などのイベントログ出力
プロセスの作成、終了、ハンドル複製、間接アクセス取得などのイベントログ出力
特権(OSの一部として機能、ドメインにワークステーションを追加)の変更などのイベントログ出力
ローカルログオン/ログオフなどのイベントログ出力
システム時刻の変更、リモート強制シャットダウンなどのイベントログ出力
ファイルサーバー、プリントサーバーの場合
・オブジェクトアクセス
・アカウント ログオン イベント
・ログオン イベント
の監査ポリシーを設定します。
Active Directoryドメインコントローラの場合
・アカウント ログオン イベント
・アカウント管理
・システム イベント
・ディレクトリサービスのアクセス
・ポリシーの変更
・ログオン イベント
の監査ポリシーを設定します。
監査ポリシー設定が完了したら 監査対象とするフォルダ、ファイルに対して 監査エントリの追加を行います。
・該当サーバーの管理者権限を持ったユーザーでログオン
・エクスプローラで 監査対象とするフォルダ(またはファイル)を右クリックし、[プロパティ]をクリック
・[セキュリティ]タブで [詳細設定]をクリック
・Windows Server 2008/Server 2012の場合、セキュリティの詳細設定で、[監査]タブで [編集]をクリック
・セキュリティの詳細設定で、[監査]タブで [追加]をクリック
・ユーザー、コンピュータ または グループの選択で 監査対象とするユーザーまたはグループを入力し [OK]をクリック
※全てのユーザーを対象とする場合、Everyone を設定してください。
・監査エントリで 監査対象とする操作内容をチェックし、[OK]をクリック
・セキュリティの詳細設定で [OK]をクリック
・プロパティで [OK]をクリック
監査ポリシーの設定、監査エントリの追加が完了したら イベントログが発生するような操作(例: ファイルアクセス、ログオンなど)を行い、イベントビューアでイベントログ・セキュリティにイベントが登録されるかを確認して下さい。
セキュリティ監査は Windowsコアコンポーネントに組み込まれていて、「監査ポリシーの設定」「監査エントリの追加」をすると 自動的に監査ログが「イベントログ セキュリティ」に出力されます。セキュリティ監査に関わる コンポーネントと説明を下表に示します。
WinLogonプロセスは、ローカルコンピュータにユーザーがログオンする際、ユーザーアカウントとパスワードを LSAサーバーサービスに認証要求するプロセスです。
NetLogonサービスは、ネットワーク経由でのユーザーログオン要求を、WinLogonプロセスと同様に処理するサービスです。
LSAは、ユーザー認証とセキュリティログ出力をおこなう サービスです。ドメインログオンの場合はドメインコントローラに、ローカルログオンの場合は、SAMのアカウント情報をもとに認証をおこないます。
SAMは、ローカルコンピュータのアカウント情報を格納するデータベースです。
SRMは、ファイル・ディレクトリ・プリンタ・レジストリなどのオブジェクトへのアクセスを監視し、その監査情報をLSAサーバーサービスに通知するプログラムで、カーネルモードで動作します。