イベントログ プリンタ監査
Windowsサーバーにプリンタを接続した「プリンタサーバー(プリントサーバー、印刷サーバー)」は 現在では高機能な複合機の登場で あまり出番はなくなってきました。そんなプリンタサーバーで印刷の監査を行う方法について説明します。監査の準備作業は、以下の通りです。
・監査ポリシーの設定
・ログ収集設定の追加
・ジョブ保存設定の追加
プリンタサーバーで ログ収集設定の追加を行います。
1) プリンタサーバーに管理者権限を持ったユーザーでローカルログオン
2) [スタート]→[プリンタとFAX]をクリック
3) プリンタとFAXで、監査対象のプリンタをクリックし、[ファイル]メニュー→[サーバーのプロパティ]をクリック
4) サーバーのプロパティで、[詳細設定]タブをクリックし、「スプーラのエラーイベントのログを収集する」「スプーラの警告イベントのログを収集する」「スプーラの情報イベントのログを収集する」をチェックし、[OK]をクリック
これで、ログ収集設定の追加は完了です。引き続き、ジョブ保存設定の追加を行います。
ジョブ保存設定の追加手順は以下の通りです。
1) [スタート]→[プリンタとFAX]をクリック
2) プリンタとFAXで、監査対象のプリンタを右クリックし、[プロパティ]をクリック
3) プリンタのプロパティで、[セキュリティ]タブをクリックし、[詳細設定]をクリック
4) 詳細設定で、「印刷後ドキュメントを残す」をチェックし、[OK]をクリック
これで、印刷ジョブの情報が保存されるようになりました。試しに何かを印刷して、プリンタの画面を表示すると、通常は印刷が完了したドキュメントは消えますが、上記の設定後は印刷後もドキュメントが「印刷済」で残ります。
プリンタの動作に関するイベントログは、「印刷」はイベントログ・システムに、「オープン」はイベントログ・セキュリティに記録されます。
ドキュメント名、プリンタ名、ドキュメントバイト数、印刷ページ数
種類、ファイル名、ハンドルID、プロセスID、ユーザー名、ドメイン名、操作内容
イベントID 10(印刷)には、印刷したドキュメントの情報が記録されます。ドキュメント名が 一致するイベントID 560(オープン)を探し、ユーザー名を対応付けます。また、イベントID 560(オープン)とログオンIDが一致する イベントID 540,528(ログオン)を探し、ログオン時間を対応づけします。対応づけが完了したら、どのファイルが、いつ、どのユーザーに印刷されたかがわかります。
Windows Vista,Windows 7,Windows Server 2008などの新しいOSでは、イベントIDが異なります。