- 締切済み
セキュリティイベントログの失敗の監査について
WindowsXPproをファイルサーバとして運用しています。 そこでは、フォルダ毎にアクセス権を設定し、 特定のユーザからしかフォルダを開けないようにしています。 そのフォルダに対してアクセス権を持たないユーザがアクセスしてきたことを知りたいので、 グループポリシーの監査ポリシーで、 「オブジェクト アクセスの監査」を失敗だけ監査するよう設定しました。 この状態で、フォルダにアクセス権のないユーザがフォルダを開こうとすると、 「失敗の監査」にアクセスしてきたログが残るのかと思っていたのですが、何も記録されません。 「オブジェクト アクセスの監査」の「失敗の監査」とは、 どのような時に発生するのでしょうか。 ファイルやフォルダのオープン、削除などが対象になっていることは分かるのですが、 フォルダのオープンが失敗しているのにログに出されないため、悩んでいます。 どうぞ、よろしくお願い致します。
- geroro
- お礼率100% (2/2)
- Windows系OS
- 回答数2
- ありがとう数3
- みんなの回答 (2)
- 専門家の回答
みんなの回答
- nin2-y
- ベストアンサー率43% (14/32)
#1です。 ごめんなさい、既に設定済みなのですね。 んん、自分の環境では別に特殊な設定をすることもなく取れたのですが、何が違うんでしょうかねぇ。。。 すいません、役立たずでした。 既に解決済みかも知れませんが、一応もう一つ参考になるページを。。。 ここの「オブジェクト アクセス」にログが取られる仕組みが書いてあります。
- nin2-y
- ベストアンサー率43% (14/32)
ポリシーで監査を有効にするだけではなく、フォルダ毎に監査を行う設定が必要ですが、それは行っていますか? リンク先の「ファイルおよびフォルダの監査の有効化と編集」です。
- 参考URL:
- http://www.microsoft.com/japan/technet/security/prodtech/windows2000/w2kccadm/secfunc/w2kadm11.mspx
お礼
早速の回答、ありがとうございます。 フォルダの監査の有効化は、設定していました。 ユーザを、 ユーザ名をダイレクト、user、everyone など試してみましたが、全て同じ結果でした。 「成功の監査」はきちんとログに吐き出されました。 教えて頂いたリンク先の内容を確認して、 もう一度設定しなおしましたが、やはり同じ結果でした。 他に考えられることは、何かありますでしょうか。
関連するQ&A
- (Windows Server 2003)「オブジェクトアクセスの監査」の設定方法
環境:シングルドメイン、ファイルサーバ(ドメインのメンバサーバ) ファイルサーバは、まとめてFSV_OUと言うOU内に整理している。 実施したい事:このファイルサーバ上の特定の共有フォルダに対して、 アクセスと試みた人の監査ログを取りたいです。 (1)FSV_OUのグループポリシーオブジェクトで「オブジェクトアクセスの監査」を有効にしました。 (とりあえずは、成功・失敗の両方をチェックする様に設定しました。) (2)監査したいファイルサーバ上の共有フォルダ(プロパティ)で監査エントリを作成。 (とりあえずは、Everyoneに設定しました。) (1)(2)を試したけど、イベントビューア(セキュリティ)何も表示されませんでした。 <そこで、質問です。> ・どの様に設定したら、上記のような事ができるのか教えてください。 ・また、オブジェクトアクセスの監査ログは、ドメインコントローラ上、それともファイルサーバ上、 どちらのサーバ上のイベントビューアに表示されるのでしょうか?
- ベストアンサー
- その他(ITシステム運用・管理)
- イベントIDが529と680の失敗の監査について
別の方が質問されていますが、ぜんぜん解決していませんので同内容で質問いたします。 内部統制に伴うサーバーセキュリティ対策として不正アクセス検出方法として、ローカルセキュリティポリシーでログオン/ログオフの監査を成功・失敗で設定したのですが、イベントビューアのセキュリティに失敗の監査としてイベントID:529と680の組み合わせで記録されています。ユーザー当人にこのサーバーにアクセスしたか確認しましたが、このサーバーには一切アクセスしていないそうです。 この失敗の監査が出ないようにするにはどうしたらいいのでしょうか?
- ベストアンサー
- Windows系OS
- クライアントだけで監査ログ収集するには?
XPproを使用しています。 フォルダーの共有設定をすれば、 セキュリティのタグは現れるのかな?と思いきや、現れません(>_<) ドメインに参加することなく、 クライアント内の監査ログを収集するにはどうすればいいのでしょうか?ご存じの方がおられましたら、ご伝授下さいm(__)m 監査ポリシーには、ログオンイベント、アカウント管理、オブジェクトアクセス、ディレクトリーサービスには、成功・失敗の設定は行っています。
- ベストアンサー
- Windows系OS
- Windows2000サーバーのログ
ファイルサーバーを導入したのですが ユーザーが誤って、ファイルを移動したり 削除したりすることが多いので ログをとりたいと思いました。 その場合、フォルダー右クリックーセキュリティの 監査で設定するのと、監査ポリシーの 「オブジェクトアクセスの監査」・「プロセス追跡の監査」、どれを使用するのがベストでしょうか? いろいろと調べているのですが、特に監査ポリシーは 具体的な内容がつかめずに困っています。 よろしくお願いします。
- ベストアンサー
- その他(ITシステム運用・管理)
- Windows共有のログ解析について
Windows2000で共有をはっているフォルダ、ファイルに 他のネットワークマシンからアクセスしたログを 取りたいのですが 「ローカルポリシー」-「セキュリティの設定」-「監査ポリシー」で オブジェクト、アクセスの監査を「成功、失敗」にしてイベントビューアのセキュリティログにログが出るようになったのですが 接続してきた側のコンピューター名が出てきません。 接続してきた側のコンピューター名が表示されるようにするには どのような設定をすればいいでしょうか。
- ベストアンサー
- ネットワーク
- 監査ポリシーの設定がグレーアウトされていて変更できない
Windows 2003 server Standard Edition SP1 の監査ポリシー(オブジェクト アクセスの監視)の設定がグレーアウトされているため変更できません。どうすれば「オブジェクトアクセスの監視」の設定ができるのでしょうか? ファイルサーバで、「誰がどのファイルを開いた(もしくは消した)」などをイベントログに残すために、監査ポリシーの「オブジェクトアクセスの監視」の設定を変更したいです。(最初は失敗にチェックがついている状態) 変更しようと思い「オブジェクトアクセスの監視」のプロパティを開いたところ、グレーアウトされており「成功」にチェックを入れることができません。Microsoftから提示されている「マイクロソフトサーバ製品のログ監査ガイド」を読みましたが、普通に成功にもチェックを入れることができるようです。(グレーアウトされていた場合の対処の記述は無し) もしかすると、何か手順を踏めば、このグレーアウトが解除されて「成功」にチェックを入れることができるのではないか? と思っていろいろ調べていますが見つかりませんので、知っている方がいましたらご教示ください。 その他情報 ・Administrator で監査ポリシーを変更しようとしたが、グレーアウトされていた。 ・パソコンに詳しくないためできれば「レジストリの変更」などは避けたい。 以上、よろしくお願いします。
- ベストアンサー
- その他(ITシステム運用・管理)
- 特定ドライブのアクセスエラーログについて
Windows 2000 Serverにおいて、管理者権限以外のユーザには、Cドライブを参照できないようにローカルセキュリティポリシーで制限し、管理者権限を持たないユーザがCドライブに対してアクセスした場合には、アクセスエラーがイベントログに記録できるように設定するとします。 アクセス制限はうまくできました。 ただし、アクセスエラーをイベントログに記録できません。現状、試しているローカルセキュリティポリシーは、監査ポリシーの「オブジェクトアクセスの監査」を「失敗」のみ有効にしています。 どうすれば適切にアクセスエラーが記録できるのが、心当たりのある方がおられましたら、ご教授ください。
- ベストアンサー
- Windows系OS
- イベントIDが529と680の失敗の監査について
Windows2003のサーバにイベントビューアに、失敗の監査であるイベントIDが529と680の組み合わせで記録されています。ユーザ名の当人にこのサーバにアクセスしたか確認しましたが、このサーバには一切アクセスしていないそうです。 この失敗の監査をどう解析した良いかわかりません。どなたかわかる方教えて下さい。
- ベストアンサー
- ハードウェア・サーバー
- 監査ポリシーの設定について
どなたかご存知でしたら教えて下さい。 Windows2003ServerにてActiveDirectoryを構築し、ログの設定を行っております。 ローカルセキュリティポリシーを起動して、 [セキュリティの設定] → [ローカルポリシー] → [監査ポリシー]の中に各設定項目があるのですが、その中に 『ディレクトリ サービスのアクセスの監査』 という設定項目があります。 これはいったい何を意味するものなのでしょうか? この監査ログを取得するようにするとどのようなイベントがロギングされるのでしょうか?
- ベストアンサー
- Windows系OS
お礼
お返事が遅くなり、申し訳ありません。 残念ながら、未だ解決出来ない状態でいます。 設定はきちんとしている”つもり”なのですが、不備がどこかしらにあるのかもしれません。 教えて頂いたページを良く読んで再度トライしてみます。 色々と情報をありがとうございました。 また何かありましたら、よろしくお願い致します。