Windows/Linux

Windows Server 2016 (2019,2012) /Windows 10,11 にて、監査ログの出力設定を投入する

この記事は投稿日から4年以上経過しています。

当記事では、WMI における各種監査ログを出力するまでの設定方法を記載いたします。
監査ログを出力するにあたり、2つの設定方法がございます。

  • カテゴリ単位で出力設定を行う方法
  • サブカテゴリ単位で出力設定を行う方法

どちらの設定も投入した場合は、「サブカテゴリ単位で出力設定を行う方法」にて投入した設定が優先されますので、いずれかをご設定下さい。
当記事の設定対象は以下のOS /ログです。

  • OS
    • Windows Server 2019
    • Windows Server 2016
    • Windows Server 2012
    • Windows 11
    • Windows 10
  • ログ
    • ログオン/ログオフ
    • 共有オブジェクト(フォルダ・ファイル)アクセス

監査ログにつきましては、その他にも出力対象とする事が可能なログ種類がございます。
お客様社内にて利用されている機能・必要であるログを考慮した上での設定投入をお願いいたします。
なお、LogStare Collector 側のWMI 収集設定につきましては、下記の記事をご参照ください。
WMI収集の設定

設定方法 (カテゴリ単位での出力設定)

  1. 管理者権限を持つアカウントにて、対象となる端末に接続します。
  2. スタートメニューを開き「管理ツール」と検索し、「Windows 管理ツール」を開きます。
  3. 「ローカル セキュリティ ポリシー」を開きます。
  4. 「ローカルポリシー > 監査ポリシー」と展開します。
  5. 「アカウント ログオン イベントの監査」を右クリック→プロパティを開きます。
  6. 「成功」「失敗」にチェックをいれ、[OK] をクリックします。
  7. 「オブジェクト アクセスの監査」「ログオン イベントの監査」にも同様の設定を投入します。

設定方法 (サブカテゴリ単位での出力設定)

手順1~3 は、項目「設定方法 (カテゴリ内の全ログを出す設定)」と同様です。

  1. 「監査ポリシーの詳細な構成 > システム監査ポリシー - ローカル グループ ポリシー オブジェクト」と展開します。

ログオン / ログオフの設定

  1. 「ログオン/ログオフ」を選択し、「ログオフの監査」を右クリック→「プロパティ」を開きます。
  2. 「次の監査イベントを構成する」「成功」「失敗」にチェックをいれ、[OK] をクリックします。
  3. 「ログオンの監査」「その他のログオン/ログオフ イベントの監査」にも同様の設定を投入します。
  4. その他にも存在するサブ カテゴリも「プロパティ > 説明」より出力されるログ内容を確認し、必要なものに同様の設定を投入します。

※Active Directory にてユーザを管理している場合は、「アカウント ログオン > Kerberos 認証サービスの監査」を有効にする必要があります。

共有オブジェクト(フォルダ・ファイル)アクセスの設定

  1. 「オブジェクト アクセス」を選択し、「詳細なファイル共有の監査」を右クリック→「プロパティ」を開きます。
  2. 「次の監査イベントを構成する」「成功」「失敗」にチェックをいれ、[OK] をクリックします。
  3. 「ファイル共有の監査」にも同様の設定を投入します。
  4. その他にも存在するサブ カテゴリも「プロパティ > 説明」より出力されるログ内容を確認し、必要なものに同様の設定を投入します。

共有フォルダの監査設定

  1. 監査の対象としたい共有フォルダを右クリック→プロパティを開きます。
  2. 「セキュリティ」タブに移動し、「詳細設定」を開きます。
  3. 「監査」タブに移動し、「追加」を開きます。
  4. 「プリンシパルの選択」を開きます。
  5. [選択するオブジェクト名を入力してください] 欄に「Everyone」と入力した後、「名前の確認」クリックし、オブジェクトとして認識された事を確認してから[OK] をクリックします。
  6. 種類を「すべて」、適用先を「このフォルダー、サブフォルダーおよびファイル」に設定した後、監視対象とする共有フォルダに適切なアクセス許可設定を投入してください。
    その後、[OK] をクリックします。
  7. 開いた「詳細設定」「プロパティ」を[OK] をクリックし、閉じます。

以上で、Windows Server 2016 (2019,2012) /Windows 10 に対する監査ログの出力設定が完了となります。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

Docker版 LogStare Collectorの使用方法前のページ

LSC v1.9.0 build 190925 リリースノート次のページ

ピックアップ記事

  1. ログフォワーダー「okurun.jar」について
  2. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  3. IoT機器「Raspberry pi」とLogStare Collectorで温…
  4. Zabbixヒストリデータのレポート生成について

関連記事

  1. NW機器

    SonicWall UTMのログ活用事例

    当記事では、SonicWall社製UTMのログ活用事例としてSyslo…

  2. Windows/Linux

    snmpd.confに関する個人的まとめ

    当記事は、新人研修の一環でLinuxのnet-snmpの設定ファイルs…

  3. SysmonForLinuxをUbuntuとAlmaLinuxに入れてログ取得

    Windows/Linux

    SysmonForLinuxをUbuntuとAlmaLinuxに入れてログ取ってみた

    今回はSysmon(プロセス作成、ネットワーク作成、ファイル操作等のW…

  4. NW機器

    VMware ESXiにおけるSNMPサービス有効化手順

    当記事では、VMware ESXiにおけるSNMPサービスの有効化方法…

  5. ログ分析・監視テクニック

    ZabbixヒストリデータをLSCにて収集する方法について

    当記事では、ZabbixヒストリデータをLogStare Collec…

月額200円でM356の監査ログの運用レベルUP LogStare M365

AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  2. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  3. 実践記事

    DNSキャッシュポイズニングやってみた
  4. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  5. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
PAGE TOP