Windows/Linux

Windows Server 2016 (2019,2012) /Windows 10,11 にて、監査ログの出力設定を投入する

この記事は投稿日から5年以上経過しています。

当記事では、WMI における各種監査ログを出力するまでの設定方法を記載いたします。
監査ログを出力するにあたり、2つの設定方法がございます。

若手エンジニア志望者を募集!支度金あり

  • カテゴリ単位で出力設定を行う方法
  • サブカテゴリ単位で出力設定を行う方法

どちらの設定も投入した場合は、「サブカテゴリ単位で出力設定を行う方法」にて投入した設定が優先されますので、いずれかをご設定下さい。
当記事の設定対象は以下のOS /ログです。

  • OS
    • Windows Server 2019
    • Windows Server 2016
    • Windows Server 2012
    • Windows 11
    • Windows 10
  • ログ
    • ログオン/ログオフ
    • 共有オブジェクト(フォルダ・ファイル)アクセス

監査ログにつきましては、その他にも出力対象とする事が可能なログ種類がございます。
お客様社内にて利用されている機能・必要であるログを考慮した上での設定投入をお願いいたします。
なお、LogStare Collector 側のWMI 収集設定につきましては、下記の記事をご参照ください。
WMI収集の設定

設定方法 (カテゴリ単位での出力設定)

  1. 管理者権限を持つアカウントにて、対象となる端末に接続します。
  2. スタートメニューを開き「管理ツール」と検索し、「Windows 管理ツール」を開きます。
  3. 「ローカル セキュリティ ポリシー」を開きます。
  4. 「ローカルポリシー > 監査ポリシー」と展開します。
  5. 「アカウント ログオン イベントの監査」を右クリック→プロパティを開きます。
  6. 「成功」「失敗」にチェックをいれ、[OK] をクリックします。
  7. 「オブジェクト アクセスの監査」「ログオン イベントの監査」にも同様の設定を投入します。

設定方法 (サブカテゴリ単位での出力設定)

手順1~3 は、項目「設定方法 (カテゴリ内の全ログを出す設定)」と同様です。

  1. 「監査ポリシーの詳細な構成 > システム監査ポリシー - ローカル グループ ポリシー オブジェクト」と展開します。

ログオン / ログオフの設定

  1. 「ログオン/ログオフ」を選択し、「ログオフの監査」を右クリック→「プロパティ」を開きます。
  2. 「次の監査イベントを構成する」「成功」「失敗」にチェックをいれ、[OK] をクリックします。
  3. 「ログオンの監査」「その他のログオン/ログオフ イベントの監査」にも同様の設定を投入します。
  4. その他にも存在するサブ カテゴリも「プロパティ > 説明」より出力されるログ内容を確認し、必要なものに同様の設定を投入します。

※Active Directory にてユーザを管理している場合は、「アカウント ログオン > Kerberos 認証サービスの監査」を有効にする必要があります。

共有オブジェクト(フォルダ・ファイル)アクセスの設定

  1. 「オブジェクト アクセス」を選択し、「詳細なファイル共有の監査」を右クリック→「プロパティ」を開きます。
  2. 「次の監査イベントを構成する」「成功」「失敗」にチェックをいれ、[OK] をクリックします。
  3. 「ファイル共有の監査」にも同様の設定を投入します。
  4. その他にも存在するサブ カテゴリも「プロパティ > 説明」より出力されるログ内容を確認し、必要なものに同様の設定を投入します。

共有フォルダの監査設定

  1. 監査の対象としたい共有フォルダを右クリック→プロパティを開きます。
  2. 「セキュリティ」タブに移動し、「詳細設定」を開きます。
  3. 「監査」タブに移動し、「追加」を開きます。
  4. 「プリンシパルの選択」を開きます。
  5. [選択するオブジェクト名を入力してください] 欄に「Everyone」と入力した後、「名前の確認」クリックし、オブジェクトとして認識された事を確認してから[OK] をクリックします。
  6. 種類を「すべて」、適用先を「このフォルダー、サブフォルダーおよびファイル」に設定した後、監視対象とする共有フォルダに適切なアクセス許可設定を投入してください。
    その後、[OK] をクリックします。
  7. 開いた「詳細設定」「プロパティ」を[OK] をクリックし、閉じます。

以上で、Windows Server 2016 (2019,2012) /Windows 10 に対する監査ログの出力設定が完了となります。

若手エンジニア志望者を募集!支度金あり

LogStare Collector 無償版

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

Docker版 LogStare Collectorの使用方法前のページ

LSC v1.9.0 build 190925 リリースノート次のページ

ピックアップ記事

  1. Zabbixヒストリデータのレポート生成について
  2. ログフォワーダー「okurun.jar」について
  3. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  4. IoT機器「Raspberry pi」とLogStare Collectorで温…

関連記事

  1. Windows/Linux

    IIS アクセスログを収集する方法|ログの設定から収集まで

    WindowsのIIS にはアクセスログの記録を行う機能があります。I…

  2. NW機器

    GlobalProtect から特定アプリケーションの通信を除外する

    当記事では、PaloAlto のGlobalProtect を利用して…

  3. NW機器

    AWS Transit Gateway で集約したトラフィックをFortiGate で精査する

    当記事では、AWS Transit Gateway を用いて通信を集約…

  4. ログ分析・監視テクニック

    ログフォワーダー「okurun.jar」について

    当記事では、ログフォワーダー「okurun.jar」についての説明を記…

  5. Windows/Linux

    DIGを使用したDNSサーバの確認方法について

    当記事では、初学者を想定したDNSサーバの解説やDIGコマンドを利用し…

若手エンジニア志望者を募集!
LogStare Collector 無償版
クラウド活用の「困った」「焦った」事例
月額200円でM356の監査ログの運用レベルUP LogStare M365
AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について
  2. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  3. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  4. 実践記事

    DNSキャッシュポイズニングやってみた
  5. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
PAGE TOP