none
Activedirectory管理対象サーバのイベントログは全て通知されるのでしょか? RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    お世話になります。

    Active Directory(以下、AD)のグループポリシーにて、監査ポリシーを設定を行うとADの管理対象としているクライアントサーバ側で出力されたイベントログは、ドメインコントローラ上に全て通知されるのでしょうか。

    例:特権使用の監査ポリシーを設定し、AD管理対象のサーバにてシステム時刻の変更を行った際の監査ログが、ドメインコントローラ上に出力されるか?

    以上 よろしくお願いします。


    • 編集済み wokahiro 2012年4月9日 10:38
    2012年4月9日 6:11
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票

    >前者の場合は、ドメインコントローラ上に出力されると考えているのですが、後者は傘下のコンピュータ上にのみ出力されると考えております。

    イベントログは、原則イベントが発生したコンピュータに記録されます。

    ドメインコントローラで発生したイベントは、ドメインコントローラに記録されます。
    ドメインユーザーとしてログオンしようとした場合は、ドメインユーザーとして認証を受けるためにドメインコントローラにアクセスします。
    そのため、ドメインコントローラーにも、監査を有効にしていればログが残ります。
    当然、ログを取るようにしていたら、ログオン先のコンピュータにも残ります。
    また、ローカルユーザーとしてログオンすれば、ドメインコントローラには残りません。

    システムイベントとして記録されるメッセージはドメインの認証を受けるわけではないので、イベントが発生したコンピューターのみに記録されます。
    これら、ここのイベントログを収集したいのであれば、サブスクリプションの設定をしてください。

    • 回答としてマーク wokahiro 2012年4月11日 3:06
    2012年4月10日 13:47
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    微妙に読み取りにくかったのですが、AD傘下のコンピュータに対して監査を設定し、セキュリティのイベントログを記録させるようにする。そのイベントをドメインコントローラで受け取ることができるか?
    ということでしょうか?

    サブスクライブしていれば可能です。

    「サブスクリプションを管理する」
    http://technet.microsoft.com/ja-jp/library/cc722010.aspx

    2012年4月10日 6:56
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    Chuki様

    ご返信有難うございます。

    >微妙に読み取りにくかったのですが、AD傘下のコンピュータに対して監査を設定し、セキュリティのイベントログを記録させるようにする。そのイベントをドメインコントローラで受け取ることができるか?
    ということでしょうか?

    質問の具体的な内容としては、AD傘下のコンピュータに対し、GPOにて監査ポリシー(「アカウントログオンイベントの監査」及び「システムイベントの監査」)を設定した際に、

    ①AD傘下のコンピュータ上に監査ログが出力されるのか

    ②ドメインコントローラ上に監査ログが出力されるのか

    かがわからず、このような質問をさせていただきました。

    前者の場合は、ドメインコントローラ上に出力されると考えているのですが、後者は傘下のコンピュータ上にのみ出力されると考えております。

    サブスクライブについては検討してみます。情報ありがとうございました。

    2012年4月10日 9:14
    |
  • Question
    サインインして投票
    1
    サインインして投票

    >前者の場合は、ドメインコントローラ上に出力されると考えているのですが、後者は傘下のコンピュータ上にのみ出力されると考えております。

    イベントログは、原則イベントが発生したコンピュータに記録されます。

    ドメインコントローラで発生したイベントは、ドメインコントローラに記録されます。
    ドメインユーザーとしてログオンしようとした場合は、ドメインユーザーとして認証を受けるためにドメインコントローラにアクセスします。
    そのため、ドメインコントローラーにも、監査を有効にしていればログが残ります。
    当然、ログを取るようにしていたら、ログオン先のコンピュータにも残ります。
    また、ローカルユーザーとしてログオンすれば、ドメインコントローラには残りません。

    システムイベントとして記録されるメッセージはドメインの認証を受けるわけではないので、イベントが発生したコンピューターのみに記録されます。
    これら、ここのイベントログを収集したいのであれば、サブスクリプションの設定をしてください。

    • 回答としてマーク wokahiro 2012年4月11日 3:06
    2012年4月10日 13:47
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    Chuki様

    ご回答ありがとうございました。

    イベントログの通知方法に関して、見直しが必要なことがわかりました。

    サブスクリプションの設定を含め検討させていただきます。

    回答ありがとうございました。

    2012年4月11日 3:15
    |