イベント ビューアに関しては、監査から取得できる結果には、成功または失敗の 2 種類があります。しかし、それぞれはどういう意味ですか?それぞれの簡単な説明です。
監査の成功
監査の成功は、監査対象のアクションが正常に完了したことを意味します。これは、ユーザーがシステムにログインしている、またはプロセスが実行されているなどの可能性があります。基本的に、追跡およびレポートするように Event Viewer を構成したものすべてです。
監査の失敗
一方、監査の失敗は、監査対象のアクションが正常に完了しなかったことを意味します。これは、間違ったパスワードが入力された、ユーザーがアクションを実行するために必要な権限を持っていないなど、さまざまな理由が考えられます。繰り返しますが、追跡およびレポートするようにイベント ビューアーを構成したものはすべて、監査の失敗につながる可能性があります。
これで、イベント ビューアでの監査の成功と失敗について簡単に説明できました。いつものように、ご不明な点がございましたら、お気軽に IT エキスパート チームにお問い合わせください。
トラブルシューティングを支援するために、Windows オペレーティング システムに組み込まれているイベント ビューアーには、管理者が適切なアクションを実行するために分析できるエラー、警告、および特定のイベント情報を含む、システムおよびアプリケーション メッセージのログが表示されます。この投稿では、議論します イベント ビューアでの成功の監査または失敗の監査 .
イベント ビューアの監査成功または監査失敗とは
イベントビューアで 成功の監査 検証済みの安全なアクセス試行の成功をログに記録するイベントです。 監査エラー 検証済みの安全なアクセスで失敗した試みをログに記録するイベントです。このトピックについては、次の小見出しで説明します。
- 監査ポリシー
- 監査ポリシーを有効にする
- イベント ビューアーを使用して、試行の失敗または成功の原因を見つける
- イベント ビューアの使用に代わる方法
これを詳しく見てみましょう。
監査ポリシー
監査ポリシーは、セキュリティ ログに書き込まれるイベントの種類を定義します。これらのポリシーは、成功または失敗するイベントを生成します。すべての監査ポリシーが生成されます 幸運を イベント ;ただし、生成されるのはそのうちのいくつかだけです 失敗イベント .次の 2 種類の監査ポリシーを構成できます。
- 監査の基本方針 には、必要に応じて有効または無効にできる 9 つの監査ポリシー カテゴリと 50 の監査ポリシー サブカテゴリがあります。以下は、9 つの監査ポリシー カテゴリのリストです。
- アカウントのログイン イベントを監査する
- ログオン イベントの監査
- アカウント管理監査
- ディレクトリ サービス アクセスの監査
- オブジェクト アクセスの監査
- 監査ポリシーの変更
- 権限の使用状況の監査
- 監査プロセスの追跡
- システム イベントの監査。このポリシー設定は、ユーザーがコンピューターを再起動またはシャットダウンしたとき、またはシステム セキュリティまたはセキュリティ ログに影響するイベントが発生したときに監査するかどうかを決定します。詳細および関連するログオン イベントについては、Microsoft のドキュメントを参照してください。 Learn.microsoft.com/Basic-Audit-System-Events .
- 高度な監査ポリシー これには 53 のカテゴリがあるため、より詳細な監査ポリシーを定義し、関連するイベントのみをログに記録できるため、推奨されます。これは、多数のログを生成する場合に特に役立ちます。
監査エラーは通常、ログイン要求が失敗したときに発生しますが、アカウント、オブジェクト、ポリシー、権限、およびその他のシステム イベントの変更によって発生することもあります。最も一般的なイベントは次の 2 つです。
- イベント ID 4771: Kerberos 事前認証に失敗しました .このイベントはドメイン コントローラでのみ生成され、次の場合は生成されません。 Kerberos 事前認証を要求しない オプションはアカウントに設定されています。このイベントの詳細とこの問題の解決方法については、次を参照してください。 マイクロソフトのドキュメント .
- イベント ID 4625: アカウントにサインインできませんでした .このイベントは、アカウントのログイン試行が失敗し、ユーザーが既にロックアウトされている場合に生成されます。このイベントの詳細とこの問題の解決方法については、次を参照してください。 マイクロソフトのドキュメント .
読む : Windows でシャットダウンおよび起動ログを確認する方法
監査ポリシーを有効にする
ローカル グループ ポリシー エディターまたはグループ ポリシー管理コンソールを使用して、クライアントまたはサーバー コンピューターで監査ポリシーを有効にすることができます。 ローカル セキュリティ ポリシー エディタ .ドメイン内の Windows サーバーで、新しい GPO を作成するか、既存の GPO を編集します。
クライアントまたはサーバー コンピューターのグループ ポリシー エディターで、次のパスに移動します。
|_+_|クライアントまたはサーバー コンピューターのローカル セキュリティ ポリシーで、次のパスに移動します。
|_+_|- 右ペインの [監査ポリシー] で、プロパティを変更するポリシーをダブルクリックします。
- プロパティ パネルで、次のポリシーを有効にできます。 幸運を また 拒絶 あなたの条件に従って。
読む : Windows ですべてのローカル グループ ポリシー設定をデフォルトにリセットする方法
イベント ビューアーを使用して、試行の失敗または成功の原因を見つける
管理者と一般ユーザーは、適切なアクセス許可を持つローカルまたはリモート コンピューターでイベント ビューアーを開くことができます。イベント ビューアーは、クライアント コンピューターまたはサーバー上のドメインのいずれであれ、失敗または成功のイベントが発生するたびにイベントをログに記録するようになりました。失敗または成功したイベントを登録するときに発生するイベント ID は異なります (以下を参照)。 監査ポリシー 上記のセクション)。あなたはに行くことができます イベントビューア > ジャーナル ウィンドウ > 安全性 .中央のパネルには、監査用に構成されたすべてのイベントが一覧表示されます。ログに記録されたイベントを調べて、試行の失敗または成功を確認する必要があります。それらを見つけたら、イベントを右クリックして選択できます イベント プロパティ 詳細。
読む : イベント ビューアを使用して、Windows コンピュータの不正使用を確認します。
イベント ビューアの使用に代わる方法
イベント ビューアーを使用する代わりに、クラウド サービスを含むさまざまなソースからのイベント データを集約および関連付けるために使用できるサードパーティのイベント ログ マネージャー ソフトウェアがいくつかあります。 SIEM ソリューションは、ファイアウォール、侵入防止システム (IPS)、デバイス、アプリケーション、スイッチ、ルーター、サーバーなどからデータを収集して分析する必要がある場合に最適なオプションです。
Cutepdf Windows 10
この投稿が十分に有益であることを願っています!
今すぐ読む : Windows で安全なイベント ログを有効または無効にする方法
成功したアクセス試行と失敗したアクセス試行の両方を確認することが重要なのはなぜですか?
ユーザー ログオンを監査することが、許可されていないすべてのドメイン ログオン試行を検出する唯一の方法であるため、ログオン イベントが成功したか失敗したかにかかわらず、侵入の試みを検出することが重要です。ログアウト イベントは、ドメイン コントローラでは追跡されません。また、SACL が一致するファイル システム オブジェクトへのアクセスにユーザーが失敗するたびに監査エントリが作成されるため、失敗したファイル アクセス試行を追跡することも同様に重要です。これらのイベントは、機密または価値があり、追加の監視が必要なファイル オブジェクトのアクティビティを追跡するために必要です。
読む : Windows ログイン パスワード ポリシーとアカウント ロックアウト ポリシーを強化します。
Active Directory で監査エラー ログを有効にする方法を教えてください。
Active Directory で監査エラー ログを有効にするには、チェックしたい Active Directory オブジェクトを右クリックして選択します。 特徴 .選択する 安全性 タブをクリックしてから選択します 高度 .選択する 監査 タブをクリックしてから選択します 追加 . Active Directory で監査ログを表示するには、 スタート > システムのセキュリティ > 管理ツール > イベントビューア . Active Directory では、監査は AD オブジェクトとグループ ポリシー データを収集および分析して、セキュリティをプロアクティブに改善し、脅威を迅速に検出して対応し、IT 運用を円滑に実行し続けるプロセスです。