イベントログ プリンタ監査

ログ収集設定の追加

プリンタサーバーで ログ収集設定の追加を行います。
1) プリンタサーバーに管理者権限を持ったユーザーでローカルログオン
2) [スタート]→[プリンタとFAX]をクリック
3) プリンタとFAXで、監査対象のプリンタをクリックし、[ファイル]メニュー→[サーバーのプロパティ]をクリック
4) サーバーのプロパティで、[詳細設定]タブをクリックし、「スプーラのエラーイベントのログを収集する」「スプーラの警告イベントのログを収集する」「スプーラの情報イベントのログを収集する」をチェックし、[OK]をクリック

これで、ログ収集設定の追加は完了です。引き続き、ジョブ保存設定の追加を行います。

ジョブ保存設定の追加

ジョブ保存設定の追加手順は以下の通りです。
1) [スタート]→[プリンタとFAX]をクリック
2) プリンタとFAXで、監査対象のプリンタを右クリックし、[プロパティ]をクリック
3) プリンタのプロパティで、[セキュリティ]タブをクリックし、[詳細設定]をクリック
4) 詳細設定で、「印刷後ドキュメントを残す」をチェックし、[OK]をクリック

これで、印刷ジョブの情報が保存されるようになりました。試しに何かを印刷して、プリンタの画面を表示すると、通常は印刷が完了したドキュメントは消えますが、上記の設定後は印刷後もドキュメントが「印刷済」で残ります。

プリンタ、印刷ジョブの監査

プリンタの動作に関するイベントログは、「印刷」はイベントログ・システムに、「オープン」はイベントログ・セキュリティに記録されます。

イベントID= 10 (印刷)

ドキュメント名、プリンタ名、ドキュメントバイト数、印刷ページ数

イベントID= 560 (オープン)

種類、ファイル名、ハンドルID、プロセスID、ユーザー名、ドメイン名、操作内容

イベントID 10（印刷）には、印刷したドキュメントの情報が記録されます。ドキュメント名が 一致するイベントID 560（オープン）を探し、ユーザー名を対応付けます。また、イベントID 560（オープン）とログオンIDが一致する イベントID 540,528（ログオン）を探し、ログオン時間を対応づけします。対応づけが完了したら、どのファイルが、いつ、どのユーザーに印刷されたかがわかります。

Windows Vista以降の プリンタ監査

Windows Vista,Windows 7,Windows Server 2008などの新しいOSでは、イベントIDが異なります。

イベントID= 4656

ファイルオープン