イベントビューアの監査成功または監査失敗とは

イベントビューアに関しては、監査から取得できる結果には、成功または失敗の 2 種類があります。しかし、それぞれはどういう意味ですか？それぞれの簡単な説明です。

監査の成功

監査の成功は、監査対象のアクションが正常に完了したことを意味します。これは、ユーザーがシステムにログインしている、またはプロセスが実行されているなどの可能性があります。基本的に、追跡およびレポートするように Event Viewer を構成したものすべてです。

監査の失敗

一方、監査の失敗は、監査対象のアクションが正常に完了しなかったことを意味します。これは、間違ったパスワードが入力された、ユーザーがアクションを実行するために必要な権限を持っていないなど、さまざまな理由が考えられます。繰り返しますが、追跡およびレポートするようにイベントビューアーを構成したものはすべて、監査の失敗につながる可能性があります。

これで、イベントビューアでの監査の成功と失敗について簡単に説明できました。いつものように、ご不明な点がございましたら、お気軽に IT エキスパートチームにお問い合わせください。

トラブルシューティングを支援するために、Windows オペレーティングシステムに組み込まれているイベントビューアーには、管理者が適切なアクションを実行するために分析できるエラー、警告、および特定のイベント情報を含む、システムおよびアプリケーションメッセージのログが表示されます。この投稿では、議論します イベントビューアでの成功の監査または失敗の監査 .

イベントビューアの監査成功または監査失敗とは

イベントビューアで 成功の監査 検証済みの安全なアクセス試行の成功をログに記録するイベントです。 監査エラー 検証済みの安全なアクセスで失敗した試みをログに記録するイベントです。このトピックについては、次の小見出しで説明します。

監査ポリシー
監査ポリシーを有効にする
イベントビューアーを使用して、試行の失敗または成功の原因を見つける
イベントビューアの使用に代わる方法

これを詳しく見てみましょう。

監査ポリシー

監査ポリシーは、セキュリティログに書き込まれるイベントの種類を定義します。これらのポリシーは、成功または失敗するイベントを生成します。すべての監査ポリシーが生成されます 幸運を イベント ;ただし、生成されるのはそのうちのいくつかだけです 失敗イベント .次の 2 種類の監査ポリシーを構成できます。

監査の基本方針 には、必要に応じて有効または無効にできる 9 つの監査ポリシーカテゴリと 50 の監査ポリシーサブカテゴリがあります。以下は、9 つの監査ポリシーカテゴリのリストです。
- アカウントのログインイベントを監査する
- ログオンイベントの監査
- アカウント管理監査
- ディレクトリサービスアクセスの監査
- オブジェクトアクセスの監査
- 監査ポリシーの変更
- 権限の使用状況の監査
- 監査プロセスの追跡
- システムイベントの監査。このポリシー設定は、ユーザーがコンピューターを再起動またはシャットダウンしたとき、またはシステムセキュリティまたはセキュリティログに影響するイベントが発生したときに監査するかどうかを決定します。詳細および関連するログオンイベントについては、Microsoft のドキュメントを参照してください。 Learn.microsoft.com/Basic-Audit-System-Events .
高度な監査ポリシー これには 53 のカテゴリがあるため、より詳細な監査ポリシーを定義し、関連するイベントのみをログに記録できるため、推奨されます。これは、多数のログを生成する場合に特に役立ちます。

監査エラーは通常、ログイン要求が失敗したときに発生しますが、アカウント、オブジェクト、ポリシー、権限、およびその他のシステムイベントの変更によって発生することもあります。最も一般的なイベントは次の 2 つです。

イベント ID 4771: Kerberos 事前認証に失敗しました .このイベントはドメインコントローラでのみ生成され、次の場合は生成されません。 Kerberos 事前認証を要求しない オプションはアカウントに設定されています。このイベントの詳細とこの問題の解決方法については、次を参照してください。マイクロソフトのドキュメント .
イベント ID 4625: アカウントにサインインできませんでした .このイベントは、アカウントのログイン試行が失敗し、ユーザーが既にロックアウトされている場合に生成されます。このイベントの詳細とこの問題の解決方法については、次を参照してください。マイクロソフトのドキュメント .

読む : Windows でシャットダウンおよび起動ログを確認する方法

監査ポリシーを有効にする

ローカルグループポリシーエディターまたはグループポリシー管理コンソールを使用して、クライアントまたはサーバーコンピューターで監査ポリシーを有効にすることができます。ローカルセキュリティポリシーエディタ .ドメイン内の Windows サーバーで、新しい GPO を作成するか、既存の GPO を編集します。

クライアントまたはサーバーコンピューターのグループポリシーエディターで、次のパスに移動します。

|_+_|

クライアントまたはサーバーコンピューターのローカルセキュリティポリシーで、次のパスに移動します。

|_+_|

右ペインの [監査ポリシー] で、プロパティを変更するポリシーをダブルクリックします。
プロパティパネルで、次のポリシーを有効にできます。 幸運を また拒絶あなたの条件に従って。

読む : Windows ですべてのローカルグループポリシー設定をデフォルトにリセットする方法

イベントビューアーを使用して、試行の失敗または成功の原因を見つける

イベントビューアーを使用して、失敗または成功したイベントのソースを見つけます。

管理者と一般ユーザーは、適切なアクセス許可を持つローカルまたはリモートコンピューターでイベントビューアーを開くことができます。イベントビューアーは、クライアントコンピューターまたはサーバー上のドメインのいずれであれ、失敗または成功のイベントが発生するたびにイベントをログに記録するようになりました。失敗または成功したイベントを登録するときに発生するイベント ID は異なります (以下を参照)。 監査ポリシー 上記のセクション)。あなたはに行くことができます イベントビューア > ジャーナルウィンドウ > 安全性 .中央のパネルには、監査用に構成されたすべてのイベントが一覧表示されます。ログに記録されたイベントを調べて、試行の失敗または成功を確認する必要があります。それらを見つけたら、イベントを右クリックして選択できます イベントプロパティ 詳細。

読む : イベントビューアを使用して、Windows コンピュータの不正使用を確認します。

イベントビューアの使用に代わる方法

イベントビューアーを使用する代わりに、クラウドサービスを含むさまざまなソースからのイベントデータを集約および関連付けるために使用できるサードパーティのイベントログマネージャーソフトウェアがいくつかあります。 SIEM ソリューションは、ファイアウォール、侵入防止システム (IPS)、デバイス、アプリケーション、スイッチ、ルーター、サーバーなどからデータを収集して分析する必要がある場合に最適なオプションです。

Cutepdf Windows 10

この投稿が十分に有益であることを願っています！

今すぐ読む : Windows で安全なイベントログを有効または無効にする方法

成功したアクセス試行と失敗したアクセス試行の両方を確認することが重要なのはなぜですか?

ユーザーログオンを監査することが、許可されていないすべてのドメインログオン試行を検出する唯一の方法であるため、ログオンイベントが成功したか失敗したかにかかわらず、侵入の試みを検出することが重要です。ログアウトイベントは、ドメインコントローラでは追跡されません。また、SACL が一致するファイルシステムオブジェクトへのアクセスにユーザーが失敗するたびに監査エントリが作成されるため、失敗したファイルアクセス試行を追跡することも同様に重要です。これらのイベントは、機密または価値があり、追加の監視が必要なファイルオブジェクトのアクティビティを追跡するために必要です。

読む : Windows ログインパスワードポリシーとアカウントロックアウトポリシーを強化します。

Active Directory で監査エラーログを有効にする方法を教えてください。

Active Directory で監査エラーログを有効にするには、チェックしたい Active Directory オブジェクトを右クリックして選択します。特徴 .選択する 安全性 タブをクリックしてから選択します高度 .選択する監査タブをクリックしてから選択します追加 . Active Directory で監査ログを表示するには、 スタート > システムのセキュリティ > 管理ツール > イベントビューア . Active Directory では、監査は AD オブジェクトとグループポリシーデータを収集および分析して、セキュリティをプロアクティブに改善し、脅威を迅速に検出して対応し、IT 運用を円滑に実行し続けるプロセスです。