• 締切済み
  • 困ってます

セキュリティイベントログの失敗の監査について

WindowsXPproをファイルサーバとして運用しています。 そこでは、フォルダ毎にアクセス権を設定し、 特定のユーザからしかフォルダを開けないようにしています。 そのフォルダに対してアクセス権を持たないユーザがアクセスしてきたことを知りたいので、 グループポリシーの監査ポリシーで、 「オブジェクト アクセスの監査」を失敗だけ監査するよう設定しました。 この状態で、フォルダにアクセス権のないユーザがフォルダを開こうとすると、 「失敗の監査」にアクセスしてきたログが残るのかと思っていたのですが、何も記録されません。 「オブジェクト アクセスの監査」の「失敗の監査」とは、 どのような時に発生するのでしょうか。 ファイルやフォルダのオープン、削除などが対象になっていることは分かるのですが、 フォルダのオープンが失敗しているのにログに出されないため、悩んでいます。 どうぞ、よろしくお願い致します。

共感・応援の気持ちを伝えよう!

  • 回答数2
  • 閲覧数2122
  • ありがとう数3

みんなの回答

  • 回答No.2
  • nin2-y
  • ベストアンサー率43% (14/32)

#1です。 ごめんなさい、既に設定済みなのですね。 んん、自分の環境では別に特殊な設定をすることもなく取れたのですが、何が違うんでしょうかねぇ。。。 すいません、役立たずでした。 既に解決済みかも知れませんが、一応もう一つ参考になるページを。。。 ここの「オブジェクト アクセス」にログが取られる仕組みが書いてあります。

参考URL:
http://www.microsoft.com/japan/technet/security/prodtech/windows2000/staysecure/secops06.mspx

共感・感謝の気持ちを伝えよう!

質問者からのお礼

お返事が遅くなり、申し訳ありません。 残念ながら、未だ解決出来ない状態でいます。 設定はきちんとしている”つもり”なのですが、不備がどこかしらにあるのかもしれません。 教えて頂いたページを良く読んで再度トライしてみます。 色々と情報をありがとうございました。 また何かありましたら、よろしくお願い致します。

  • 回答No.1
  • nin2-y
  • ベストアンサー率43% (14/32)

ポリシーで監査を有効にするだけではなく、フォルダ毎に監査を行う設定が必要ですが、それは行っていますか? リンク先の「ファイルおよびフォルダの監査の有効化と編集」です。

参考URL:
http://www.microsoft.com/japan/technet/security/prodtech/windows2000/w2kccadm/secfunc/w2kadm11.mspx

共感・感謝の気持ちを伝えよう!

質問者からのお礼

早速の回答、ありがとうございます。 フォルダの監査の有効化は、設定していました。 ユーザを、 ユーザ名をダイレクト、user、everyone など試してみましたが、全て同じ結果でした。 「成功の監査」はきちんとログに吐き出されました。 教えて頂いたリンク先の内容を確認して、 もう一度設定しなおしましたが、やはり同じ結果でした。 他に考えられることは、何かありますでしょうか。

関連するQ&A

  • Windows2000サーバーのログ

    ファイルサーバーを導入したのですが ユーザーが誤って、ファイルを移動したり 削除したりすることが多いので ログをとりたいと思いました。 その場合、フォルダー右クリックーセキュリティの 監査で設定するのと、監査ポリシーの 「オブジェクトアクセスの監査」・「プロセス追跡の監査」、どれを使用するのがベストでしょうか? いろいろと調べているのですが、特に監査ポリシーは 具体的な内容がつかめずに困っています。 よろしくお願いします。

  • イベントログの仕様について

    あるフォルダにオブジェクトアクセスの失敗の監査をかけ、そのログについてレポートを作成しようと思うのですが、許可のないユーザでそのフォルダにアクセスした後、イベントビューアで確認すると、一回のみのアクセスにもかかわらず、複数の監査ログができてしまっています。 イベントログはどういう仕様になっているのでしょうか? どなたかご存知の方いらっしゃいましたら、お教えいただけませんでしょうか?

  • クライアントだけで監査ログ収集するには?

    XPproを使用しています。 フォルダーの共有設定をすれば、 セキュリティのタグは現れるのかな?と思いきや、現れません(>_<) ドメインに参加することなく、 クライアント内の監査ログを収集するにはどうすればいいのでしょうか?ご存じの方がおられましたら、ご伝授下さいm(__)m 監査ポリシーには、ログオンイベント、アカウント管理、オブジェクトアクセス、ディレクトリーサービスには、成功・失敗の設定は行っています。

  • Windows共有のログ解析について

    Windows2000で共有をはっているフォルダ、ファイルに 他のネットワークマシンからアクセスしたログを 取りたいのですが 「ローカルポリシー」-「セキュリティの設定」-「監査ポリシー」で オブジェクト、アクセスの監査を「成功、失敗」にしてイベントビューアのセキュリティログにログが出るようになったのですが 接続してきた側のコンピューター名が出てきません。 接続してきた側のコンピューター名が表示されるようにするには どのような設定をすればいいでしょうか。

  • ファイルにアクセスのイベントログをとりたい

    windows server2008でどのファイルにアクセスのイベントログをとりたい、aファイルのreadとか、グループポリシーのセキュリティ監査でオブジェクト監査を指定し、参照されるフォルダに監査項目を指定しているが、アクセスされたファイル名等が出力されない。

  • (Windows Server 2003)「オブジェクトアクセスの監査」の設定方法

    環境:シングルドメイン、ファイルサーバ(ドメインのメンバサーバ)     ファイルサーバは、まとめてFSV_OUと言うOU内に整理している。      実施したい事:このファイルサーバ上の特定の共有フォルダに対して、          アクセスと試みた人の監査ログを取りたいです。 (1)FSV_OUのグループポリシーオブジェクトで「オブジェクトアクセスの監査」を有効にしました。   (とりあえずは、成功・失敗の両方をチェックする様に設定しました。) (2)監査したいファイルサーバ上の共有フォルダ(プロパティ)で監査エントリを作成。  (とりあえずは、Everyoneに設定しました。) (1)(2)を試したけど、イベントビューア(セキュリティ)何も表示されませんでした。 <そこで、質問です。> ・どの様に設定したら、上記のような事ができるのか教えてください。 ・また、オブジェクトアクセスの監査ログは、ドメインコントローラ上、それともファイルサーバ上、  どちらのサーバ上のイベントビューアに表示されるのでしょうか?

  • 監査ポリシーの設定がグレーアウトされていて変更できない

    Windows 2003 server Standard Edition SP1 の監査ポリシー(オブジェクト アクセスの監視)の設定がグレーアウトされているため変更できません。どうすれば「オブジェクトアクセスの監視」の設定ができるのでしょうか? ファイルサーバで、「誰がどのファイルを開いた(もしくは消した)」などをイベントログに残すために、監査ポリシーの「オブジェクトアクセスの監視」の設定を変更したいです。(最初は失敗にチェックがついている状態) 変更しようと思い「オブジェクトアクセスの監視」のプロパティを開いたところ、グレーアウトされており「成功」にチェックを入れることができません。Microsoftから提示されている「マイクロソフトサーバ製品のログ監査ガイド」を読みましたが、普通に成功にもチェックを入れることができるようです。(グレーアウトされていた場合の対処の記述は無し) もしかすると、何か手順を踏めば、このグレーアウトが解除されて「成功」にチェックを入れることができるのではないか? と思っていろいろ調べていますが見つかりませんので、知っている方がいましたらご教示ください。 その他情報 ・Administrator で監査ポリシーを変更しようとしたが、グレーアウトされていた。 ・パソコンに詳しくないためできれば「レジストリの変更」などは避けたい。 以上、よろしくお願いします。

  • セキュリティログ

    監査ポリシーを全て成功と失敗に設定しているのに、セキュリティログには何もありません。 どうすればログを取れるのでしょうか? クライアントはドメインに参加できており、サーバーの共有フォルダを利用でき、pingも通ります。 OSは、 サーバー:2000server クライアント:2000 です。

  • イベントログの読込監査について

    サーバにあるファイルを監査対応に設定しており監査にEveryOneを追加して対応にしております。 通常にファイルを読み込んだ時にイベントログに記録されるのは良いのですが、フォルダを開いただけでそのフォルダにあるファイルの読込記録がイベントログに記録されます。またフォルダにあるファイルの一覧からマウスのアイコンを合わせてファイルサイズを確認しただけで、イベントログの成功の監査に読込の記録されます。 この様に不要のイベントログが記録されない様にしたいのですが、方法がありますでしょうか? サーバのOSは、WindowsServer2003 ローカルPCのOSは、WindowsVistaです。

  • イベントIDが529と680の失敗の監査について

    別の方が質問されていますが、ぜんぜん解決していませんので同内容で質問いたします。 内部統制に伴うサーバーセキュリティ対策として不正アクセス検出方法として、ローカルセキュリティポリシーでログオン/ログオフの監査を成功・失敗で設定したのですが、イベントビューアのセキュリティに失敗の監査としてイベントID:529と680の組み合わせで記録されています。ユーザー当人にこのサーバーにアクセスしたか確認しましたが、このサーバーには一切アクセスしていないそうです。 この失敗の監査が出ないようにするにはどうしたらいいのでしょうか?