• ベストアンサー

セキュリティログ

監査ポリシーを全て成功と失敗に設定しているのに、セキュリティログには何もありません。 どうすればログを取れるのでしょうか? クライアントはドメインに参加できており、サーバーの共有フォルダを利用でき、pingも通ります。 OSは、 サーバー:2000server クライアント:2000 です。

質問者が選んだベストアンサー

  • ベストアンサー
  • peamame
  • ベストアンサー率76% (10/13)
回答No.1

サーバーがドメインコントローラで、クライアントのドメインへのログオン等のログを取りたいという趣旨でしょうか。であれば、監査ポリシーをどこで設定したかによります。ドメイン構成なら、ドメインコントローラのグループポリシーで、セキュリティの監査を有効にしておくと、ローカルポリシーを上書きして、ドメインアクセスのログが取れます。 以下のリンクは、ローカル、ドメイン両方の手順が出ているので、長いですが参考になるかと思います。

参考URL:
http://support.microsoft.com/kb/300549/ja
nihonba
質問者

お礼

よく読まないで、すみません。 ドメインコントローラのグループポリシーを変えたら、できました。 ありがとうございます。 ユーザーの確認はできたのですが、どのコンピュータから接続してきたか、確認はできないのでしょうか?

nihonba
質問者

補足

回答ありがとうございます。 やりたいことはおっしゃる通りです。 調べたいOUのグループポリシーの監査を有効にすれば、サーバーにログがでるのですよね? これをやっているのに出てきません。 思いつく原因はありますか?

その他の回答 (1)

  • peamame
  • ベストアンサー率76% (10/13)
回答No.2

「ログオン イベントの監査」を有効にすると、ドメインのコンピュータのログオンとログオフのイベントが、イベントビューワのユーザーの項目にコンピュータ名$の形式で表示されます。 「ログオンアカウントログオンイベントの監査」を有効にすると、ドメインユーザのログオンとログオフのイベントが、同じくビューワにアカウント名で表示され、詳細を見てみるとそのマシンのIPアドレスが表示されると思います。 もしも固定のIPアドレスで運用しているのなら、どのマシンから接続してきたかは、IPアドレスの表示で分かるはずですから、後者の監査だけでも十分だと思います。

nihonba
質問者

お礼

丁寧に説明していただき、 ありがとうございます。 アドバイスも非常に為になりました。 これからも勉強していきたいと思います。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. その他(ITシステム運用・管理)

関連するQ&A

  • クライアントだけで監査ログ収集するには?

    XPproを使用しています。 フォルダーの共有設定をすれば、 セキュリティのタグは現れるのかな?と思いきや、現れません(>_<) ドメインに参加することなく、 クライアント内の監査ログを収集するにはどうすればいいのでしょうか?ご存じの方がおられましたら、ご伝授下さいm(__)m 監査ポリシーには、ログオンイベント、アカウント管理、オブジェクトアクセス、ディレクトリーサービスには、成功・失敗の設定は行っています。

  • Windows共有のログ解析について

    Windows2000で共有をはっているフォルダ、ファイルに 他のネットワークマシンからアクセスしたログを 取りたいのですが 「ローカルポリシー」-「セキュリティの設定」-「監査ポリシー」で オブジェクト、アクセスの監査を「成功、失敗」にしてイベントビューアのセキュリティログにログが出るようになったのですが 接続してきた側のコンピューター名が出てきません。 接続してきた側のコンピューター名が表示されるようにするには どのような設定をすればいいでしょうか。

  • セキュリティログ(ログインの失敗監査)の出力先について

    サーバ管理の初心者です。 セキュリティログにてサーバへの不正ログイン 履歴を収集しようと考え、ドメインのグループ ポリシー(監視ポリシー)でログオンイベントの 監視(失敗の監視のみ)を設定しました。 構成は以下のとおりです。 サーバ:Win2000 Server クライアント:Win2000、XP(Pro)、Win95 その後、Win2000とWin95で、故意にイベントID 529(パスワードを入れずにログイン)を発生させ た際、Win95の失敗イベントはServerの方に記録 されましたが、Win2000ではServerではなく、 自分(ローカル)のPCに記録されてしまいます。 サーバにて一括でセキュリティログを管理したい と考えてますが、このままでは各PCのログを回収 して回らなければいけません。 すべてServerの方にログを記録できるようになる 方法(設定)等ありましたら教えていただけますで しょうか。 よろしくお願いします。

  • セキュリティログのイベントIDについて

    セキュリティログのイベントIDの意味について教えてください。 サーバ側(Windows 2003 server)とローカルPC(WindowsXP Pro)とで、セキュリティログのイベントIDと意味に違いはあるのでしょうか? 以下のURLを見ると、 http://support.microsoft.com/kb/301677/ja サーバ側のイベントID680は「成功の監査」となっています。 が、自分が使用しているローカルPCのセキュリティログを見ると、同じイベントID680で「失敗の監査」として記録されています。 同じIDでもサーバ側とローカル側とで意味がちがっているのでしょうか?

  • ドメインにログオンしないPCから共有フォルダへアクセス

    以下の構成で共有フォルダへアクセスをしたいのですが、 クライアント Win2000 Pro サーバ Win2003 Server どちらもコンピュータとしてはドメインに登録されてますが、 通常はローカルのadministratorで使用します。 サーバ側で作成した共有フォルダには、「セキュリティ」タブでの設定で、 コンピュータオブジェクトとしてクライアントのコンピュータを追加し、 フルコントロールを与えてます。 追加時には「名前の確認」で確認できることも確認できてます。 また、「共有」タブの「アクセス許可」ではEveryoneにフルアクセスを与えてます。 エクスプローラ上で「\\サーバのホスト名」や「\\サーバのホスト名\共有名」 などを入力し、クライアントからアクセスを試みてもユーザ名とパスワードを問う ウインドウが出てしまいアクセスができません。 アクセスに失敗した際のサーバ上のイベントビューアでは、 セキュリティログに成功の監査として、ログオン/ログオフのログが残っています。 その時のアクセスユーザは共有で追加したコンピュータ名となっています。 これらのログを見ると問題ないようなのですが。。 クライアントにドメインユーザでログオンした場合は、問題なくアクセスできます。 何か他にチェックすべき項目等ありませんでしょうか?

  • (Windows Server 2003)「オブジェクトアクセスの監査」の設定方法

    環境:シングルドメイン、ファイルサーバ(ドメインのメンバサーバ)     ファイルサーバは、まとめてFSV_OUと言うOU内に整理している。      実施したい事:このファイルサーバ上の特定の共有フォルダに対して、          アクセスと試みた人の監査ログを取りたいです。 (1)FSV_OUのグループポリシーオブジェクトで「オブジェクトアクセスの監査」を有効にしました。   (とりあえずは、成功・失敗の両方をチェックする様に設定しました。) (2)監査したいファイルサーバ上の共有フォルダ(プロパティ)で監査エントリを作成。  (とりあえずは、Everyoneに設定しました。) (1)(2)を試したけど、イベントビューア(セキュリティ)何も表示されませんでした。 <そこで、質問です。> ・どの様に設定したら、上記のような事ができるのか教えてください。 ・また、オブジェクトアクセスの監査ログは、ドメインコントローラ上、それともファイルサーバ上、  どちらのサーバ上のイベントビューアに表示されるのでしょうか?

  • クライアントのログオンとログオフの記録について

    表題のとおり、クライアントのログオンとログオフの記録について困っています。 グループポリシー管理エディタから Default Domain Policy - コンピュータの構成 - ポリシー - Windowsの設定 - セキュリティの設定 - ローカルポリシー - 監査ポリシー と開いていき、「アカウント ログオン イベントの監査」の成功と失敗にチェックを入れています。 しかし、これだと、だれがいつログオン・ログオフしたのかイベントビューワーのWindows ログのセキュリティを見てもさっぱりわかりません。 そこで、 http://www.monyo.com/technical/windows/35.html を参考にスクリプトを Default Domain Policy - ユーザーの構成 - ポリシー - Windowsの設定 - スクリプト のログオンとログオフに設定したのですが、これだとサーバーのコンソールに直接ログオン・ログオフした結果はイベントビューワーのWindows ログのアプリケーションに記録されるのですが、クライアントからログオン・ログオフした場合は記録されません。 一般的な管理者の皆さんはクライアントからのログオン・ログオフをどのように記録されているのでしょうか? ぜひ、ご意見をお聞かせください。 ちなみに環境はサーバーはWindows Server 2008 R2 Standard、クライアントはWinXPからWin7まで雑多です。

  • セキュリティイベントログの失敗の監査について

    WindowsXPproをファイルサーバとして運用しています。 そこでは、フォルダ毎にアクセス権を設定し、 特定のユーザからしかフォルダを開けないようにしています。 そのフォルダに対してアクセス権を持たないユーザがアクセスしてきたことを知りたいので、 グループポリシーの監査ポリシーで、 「オブジェクト アクセスの監査」を失敗だけ監査するよう設定しました。 この状態で、フォルダにアクセス権のないユーザがフォルダを開こうとすると、 「失敗の監査」にアクセスしてきたログが残るのかと思っていたのですが、何も記録されません。 「オブジェクト アクセスの監査」の「失敗の監査」とは、 どのような時に発生するのでしょうか。 ファイルやフォルダのオープン、削除などが対象になっていることは分かるのですが、 フォルダのオープンが失敗しているのにログに出されないため、悩んでいます。 どうぞ、よろしくお願い致します。

  • 夫が私の不在中に私のパソコンを触った形跡があるのですが

    XPのセキュリティログを見てみたら、ダンナが私の不在中に私のパソコンに触った形跡がありました。 たくさんのログがありましたが、主なものは以下のとおりです。 (日付や時刻は適当ですが、ダンナによると思われるログは2分間だけでした) 成功の監査 2008/3/15 15:47:30 Security ポリシーの変更 850 SYSTEM 成功の監査 2008/3/15 15:47:30 Security ポリシーの変更 849 SYSTEM 成功の監査 2008/3/15 15:47:30 Security ポリシーの変更 848 SYSTEM 成功の監査 2008/3/15 15:47:30 Security ポリシーの変更 615 NETWORK SERVISE 成功の監査 2008/3/15 15:47:30 Security ログオン/ログオフ 540 ANONYMOUS LOGON 成功の監査 2008/3/15 15:47:30 Security ポリシーの変更 806 SYSTEM 失敗の監査 2008/3/15 15:47:30 Security ログオン/ログオフ 529 SYSTEM 失敗の監査 2008/3/15 15:47:30 Security アカウントログオン 680 SYSTEM 成功の監査 2008/3/15 15:47:30 Security システムイベント 515 SYSTEM 成功の監査 2008/3/15 15:46:30 Security 特権の使用 576 LOCAL SERVISE 成功の監査 2008/3/15 15:46:30 Security ログオン/ログオフ 528 LOCAL SERVISE 成功の監査 2008/3/15 15:46:30 Security 特権の使用 576 NETWORK SERVISE 成功の監査 2008/3/15 15:46:00 Security ログオン/ログオフ 528 NETWORK SERVISE 成功の監査 2008/3/15 15:45:30 Security システムイベント 518 SYSTEM 成功の監査 2008/3/15 15:45:30 Security システムイベント 515 SYSTEM 成功の監査 2008/3/15 15:45:30 Security システムイベント 514 SYSTEM 私はパソコンは素人ですが、ダンナが何をしたのか知りたくて、 gooのQ&Aの過去ログを参考に、以下のページで調べてみました。 http://support.microsoft.com/kb/299475/ja その結果、 アカウントログオンが失敗となっているので、ログオンできなかったことはわかりました。 また、過去ログによると、ユーザー欄がNETWORK SERVICEやLOCAL SERVICEとなっているログや、 「新しいログオンへの特権の割り当て」というログは、特に怪しいものではないらしいですね。 以上のことから、この2点について教えてください。 (1)ANONYMOUS LOGON なるものが成功しています。これは何でしょうか? (2)結局、ダンナは私のパソコンで何をしようとした(何をやった)のでしょうか? なお、私のパソコンはXP home sp2ですが、私のアカウントをAdministratorにして、ログオンパスワードを設定しています。 guestアカウントはOFFにしています。 よろしくお願いします。 ちなみに、どうでもいいですがダンナとは仲は良いです。

  • pingが通りません。

    pingが通らなくて困っています。 構成は ドメインサーバー兼DNSサーバ:windows server 2003 クライアント端末:XP(ドメインに参加していません) です。 現象は、この上記設定で、サーバーからはクライアントに対してpingが通るのに、クライアントからサーバへはpingが通りません。 そもそも、クライアント端末からドメインに参加したいことから始まったのですが、参加できなかったので、pingを打ってみたところ通らないことが発覚しました。(それじゃぁ、ドメインにも参加できませんよね・・・) ドメインサーバをドメインサーバではなくただの2003サーバーとしてテストを行ったらpingは通るので物理的にはつながっていることを確認しています。 DNSサーバの設定ミスかと思い、DNSサーバだけをアンインストールしてもpingは通りませんでした。ちなみにpingはIPで打っています。 想定できるミスを教えてください。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する