• 締切済み
  • すぐに回答を!

失敗の監査 SeTcbPrivilegeについて

失敗の監査 SeTcbPrivilegeについて お世話になります。 WindowsServer2003を使用しています。 この度、イベントログを取るようになってから、「失敗の監査」が多い事に気づきました。 種類:失敗の監査 ソース:Security 分類:特権の使用 イベントID:578 特権:SeTcbPrivilege プライマリーユーザー:Administrator こちらについて調べたところ、一番近いサイトが浮上しました。 http://support.microsoft.com/kb/238185/ja で、無視してもいいと言われても困ります。 1秒ごとに失敗の監査があがってて、イベントログを100MBにしても1ヶ月しか持ちません。 これを解決する方法がわかる方、ご教授願います。

共感・応援の気持ちを伝えよう!

  • 回答数1
  • 閲覧数3208
  • ありがとう数4

みんなの回答

  • 回答No.1

「失敗の監査」を記録しないという選択肢はないんですよね? http://support.microsoft.com/kb/300549/ja おそらく、サーバにアクセスするユーザのアクセス権限は与えられているものの、サーバ上で動いている何らかのソフトウェアにクライアントからアクセスするプロセスが、アクセス権限を持っていないんでしょうね。 私の経験では特定処理の後にその操作内容を記録するプロセスに正しいアクセス権限が割り当てられていなかった為、通常の動作ではエラーにならず、ユーザ影響はありませんでしたが、ユーザが何らかの操作をする度に「操作内容の記録」の要求が失敗し、本件の監査ログが大量に出ていた、ということがありました。 他には時刻同期のプロセスからうっかり権限を削除してしまった為、時刻同期をするたびに出るようになった、というのも聞いたことがあります。 詳細が分からないので勝手な予測ですが、毎秒何らかのアクションをするようなものはある程度絞込みが可能だと思います。 そういった観点でプロセスを確認してみてはいかがでしょう?

共感・感謝の気持ちを伝えよう!

関連するQ&A

  • イベントログの読込監査について

    サーバにあるファイルを監査対応に設定しており監査にEveryOneを追加して対応にしております。 通常にファイルを読み込んだ時にイベントログに記録されるのは良いのですが、フォルダを開いただけでそのフォルダにあるファイルの読込記録がイベントログに記録されます。またフォルダにあるファイルの一覧からマウスのアイコンを合わせてファイルサイズを確認しただけで、イベントログの成功の監査に読込の記録されます。 この様に不要のイベントログが記録されない様にしたいのですが、方法がありますでしょうか? サーバのOSは、WindowsServer2003 ローカルPCのOSは、WindowsVistaです。

  • 夫が私の不在中に私のパソコンを触った形跡があるのですが

    XPのセキュリティログを見てみたら、ダンナが私の不在中に私のパソコンに触った形跡がありました。 たくさんのログがありましたが、主なものは以下のとおりです。 (日付や時刻は適当ですが、ダンナによると思われるログは2分間だけでした) 成功の監査 2008/3/15 15:47:30 Security ポリシーの変更 850 SYSTEM 成功の監査 2008/3/15 15:47:30 Security ポリシーの変更 849 SYSTEM 成功の監査 2008/3/15 15:47:30 Security ポリシーの変更 848 SYSTEM 成功の監査 2008/3/15 15:47:30 Security ポリシーの変更 615 NETWORK SERVISE 成功の監査 2008/3/15 15:47:30 Security ログオン/ログオフ 540 ANONYMOUS LOGON 成功の監査 2008/3/15 15:47:30 Security ポリシーの変更 806 SYSTEM 失敗の監査 2008/3/15 15:47:30 Security ログオン/ログオフ 529 SYSTEM 失敗の監査 2008/3/15 15:47:30 Security アカウントログオン 680 SYSTEM 成功の監査 2008/3/15 15:47:30 Security システムイベント 515 SYSTEM 成功の監査 2008/3/15 15:46:30 Security 特権の使用 576 LOCAL SERVISE 成功の監査 2008/3/15 15:46:30 Security ログオン/ログオフ 528 LOCAL SERVISE 成功の監査 2008/3/15 15:46:30 Security 特権の使用 576 NETWORK SERVISE 成功の監査 2008/3/15 15:46:00 Security ログオン/ログオフ 528 NETWORK SERVISE 成功の監査 2008/3/15 15:45:30 Security システムイベント 518 SYSTEM 成功の監査 2008/3/15 15:45:30 Security システムイベント 515 SYSTEM 成功の監査 2008/3/15 15:45:30 Security システムイベント 514 SYSTEM 私はパソコンは素人ですが、ダンナが何をしたのか知りたくて、 gooのQ&Aの過去ログを参考に、以下のページで調べてみました。 http://support.microsoft.com/kb/299475/ja その結果、 アカウントログオンが失敗となっているので、ログオンできなかったことはわかりました。 また、過去ログによると、ユーザー欄がNETWORK SERVICEやLOCAL SERVICEとなっているログや、 「新しいログオンへの特権の割り当て」というログは、特に怪しいものではないらしいですね。 以上のことから、この2点について教えてください。 (1)ANONYMOUS LOGON なるものが成功しています。これは何でしょうか? (2)結局、ダンナは私のパソコンで何をしようとした(何をやった)のでしょうか? なお、私のパソコンはXP home sp2ですが、私のアカウントをAdministratorにして、ログオンパスワードを設定しています。 guestアカウントはOFFにしています。 よろしくお願いします。 ちなみに、どうでもいいですがダンナとは仲は良いです。

  • 失敗の監査

    windows10pro 2004 ESET Internet Security V13.2をインストールするとPC起動後にイベントビューアに ログの名前: Security ソース: Microsoft-Windows-Security-Auditing イベント ID: 5038 タスクのカテゴリ: System Integrity レベル: 情報 キーワード: 失敗の監査 コードの整合性によって、ファイルのイメージ ハッシュが有効でないと判断されました。このファイルは、無許可の変更によって破損しているか、無効なハッシュがディスク デバイス エラーの可能性を示している場合があります。 ファイル名: \Device\HarddiskVolume3\Program Files\ESET\ESET Security\eamsi.dll が出るようになりました。 サポートがもうすぐ終わるESET Internet Security V12まではこのイベントは発生しません。 修復、再インストール、PCリカバリーを試しましたがこのイベントは発生します。 これは無視していいのでしょうか? ※OKWAVEより補足:「ESETセキュリティ ソフトウェア シリーズ」についての質問です。

  • グループポリシーオブジェクトの設定変更ができない

    いつも大変参考にさせて頂いております。 WindowsServer2003を社内にて使用しています。 件名の通りでして、添付画像の通り、「グループポリシーオブジェクトエディタ」にて、 「監査ポリシー」を変更したいと考えています。 理由は、イベントビューアにて、「セキュリティログ」が、「監査の成功」と、「監査の失敗」 の両方を取得しているため、上限値に達するまでの時間が極端に早いためです。 ※ログの上限値は既に変更してあります。 そのため、今回「監査の失敗」だけを取得したいと考えているのですが、グレーアウトして いて、変更が出来ません。 この理由がお分かりになる方がいらっしゃいましたら、ご教授頂きたいと思い、ご質問 させて頂きました。 どうかお知恵を貸して下さい。 宜しくお願いします。

  • SQLServer2005 ジョブに失敗してしまいます。

    WindowsServer2003 R2 Standard Edition SP2 SQLServer2005 Administratorでログイン はじめまして。 SQLServer2005 ManagementStudioでパッケージを作成し、 ジョブで定期的に実行する仕組みを作成したのですが、 毎回失敗してしまいます。 ログの内容: 「次のユーザーとして実行。NT AUTHORITY\NETWORK SERVICE。  パッケージを読み込めませんでした。ステップは失敗しました。」 講じた対策: 権限の問題かと思い、管理ツール>コンピュータの管理>ローカルユーザーとグループで NETWORK SERVICEをadministratorのグループに追加。 結果、うまくいきませんでした。 ログの内容も変わりありません。 どなたかアドバイスをご教授いただけないでしょうか。 宜しくお願い致します。

  • バックアップのイベントIDについて

    お世話になります。 WindowsServerバックアップについてご教示願います。 Windows Server2012 Standard WindowsServerバックアップにて日々バックアップを行っておりますが、 その結果をメール通知させたいと考えております。 なお、バックアップ先は外付けHDDです。 イベントビューアーの   [アプリケーションとサービスログ]     [Microsoft]       [Windows]         [Backup]           [Operational] のログから成功、失敗のイベントIDで拾って、タスクスケジューラ からメールをさせるようと考えております。 成功の場合は、成功メールScriptを実行させます。 失敗の場合は、失敗メールScriptを実行させます。 ※それぞれでタスクを作成します。毎日どちらかが実行されメールが届く  ようにしておき、失敗メールが届いた場合は、実際にサーバーを確認し  どのような原因で失敗したのか詳細確認したいと思ってます。  なので、メールとしては成功/失敗がとりあえず把握できればよい程度です。 <質問>  イベントIDが「4」だったらバックアップが正常に終了したということになるので、  成功メールScriptを実行させますが、失敗した場合のイベントIDは「5」以外  にも多々あるようなので、何で拾えばよいか分かりません。  「5」以外にどのようなものがあるのでしょうか。    現状のログを見る限りだと、   一部のファイルをバックアップできなかった場合 ⇒ イベントID:23   バックアップ先のメディアに?不具合が生じた場合 ⇒ イベントID:19  がありました。その場合イベントID:5は出てません。  とりあえず、分かっている分のIDを設定しておいて、メールが来なければ  (IDを拾えなかったら)その都度イベントIDを確認して追加すればよいのかも  しれませんが、できれば予め設定しておきたいところです。  除外も設定できるようですが「4以外」で設定してしまうと、バックアップの開始や  終了など余計なもの(失敗ではないもの)も拾ってしまうかと思われます。  WindowsServerバックアップのイベントID一覧がないか調べてみましたが  自力では探しきれず。 ご教示の程、宜しくお願い致します。

  • WindowsServerの共有フォルダ

    お世話になります。 WINDOWSServer2003.WindowsXP ProSP3 が3台ネットワーク接続されています。 WindowsServer内に共有フォルダがあります。2台からは、Server内の共有フォルダをいつでも即見ることが出来ます。 1台は、毎回ユーザー名:Administrator、パスワードを入力しないと見ることができないでいます。 どこを設定すれば、または何が問題で1台だけそのようになってしまうのかわからずにいます。 どうぞお教えいただきますようよろしくお願い致します。 ご判断いただくのには上記だけでは、環境についての説明が足りないでしょうか?

  • ログをとるソフトを探してます

    WindowsServerを会社で使ってますが、社員(IP)のファイル動作の動き(変更、削除、移動位)だけを ログでとりたいのですが、オススメのソフトは無いでしょうか? WindowsServer既存のものはあまりに設定等が複雑なうえに余計なログが多くて使いにくいです。 予算は2万円くらいまでなら会社から出せると思うので、上記に割り切った機能のソフトをさがしてます。

  • 監査について

    社内の共有フォルダがあるのですが、そこに監査の設定を有効にさせて、誰がアクセスし、 どんなアクションをしたのか全てログに取りたいと考えています。 該当のフォルダの監査エントリに「Everyoneフルコントロール」にて全て(成功と失敗)を 設定しました。 これにより、イベントビューアーのセキュリティのイベントにログが上がってくるのでしょうか? それとも、そのフォルダ専用のイベントビューアーなどが作成されるのでしょうか? その辺りの動きが良く分かりません。 URLなどだけでも結構ですので、ご教授お願い致します。

  • WindowsServer2003でNTPクライント

    WindowsServer2003に実装されているw32timeではなく、フリーソフトのNTPクライアントを使用したいです。 WindowsServer2003にインストール可能な桜時計みたいなフリーソフトをご存知でしたら教えて下さい。