locked
監査ログ「567」が出力されない RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    2
    サインインして投票
    お世話になります。ねこっちと申します。

    表題の件につきまして、確認させて下さい。
    -----------

    テスト環境で検証を行った所、ファイルサーバ上で
    ローカルログインを行い、ACLを変更すると問題なく
      イベントID:567「WRITE_DAC」
    が出力されている事を確認できましたが、
    クライアントからネットワーク越しにACLの変更を行っても、
    イベントID:567が出力されません。

    以下のURLで同内容について質問が投げられておりましたが、
    問題解決には至っておりませんでした。

    http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2003ja/thread/8823dbb7-cb17-4fb4-be1a-c15f5e54c98c

    監査ログガイド
    ドキュメント内の「P29」にネットワーク越しでも出力される記載がございます。
    http://download.microsoft.com/download/A/5/8/A58AF361-D829-4EB6-B248-D552696AD81D/logauditfile.pdf

    -----------
    [環境]
    ・サーバ
    Active Directory: Windows Server 2003 Standard (SP無し)
    (ADはNT混在のデフォルト設定です。)
    ※Default Domain Policyのオブジェクト監査のみ有効

    ファイルサーバ: Windows Server 2003 Standard (SP無し or SP2でもNG)
    ※メンバーサーバで、共有フォルダ配下の各フォルダに監査「Everyone」が
     継承されるように設定しています。

    ・クライアント
    Windows XP Professional SP2
    ※共有フォルダをネットワークドライブとしてマッピングしてアクセス。

    ------------
    その他、不足情報がございましたらご指摘下さい。


    以上、宜しくお願いいたします。
    2009年5月27日 4:53

回答

  • Question
    サインインして投票
    1
    サインインして投票
    服部様

    ご回答有難うございます。
    本件、ご連絡頂きました内容を検証しておりませんが、
    サポートより本日、回答を頂きました所。6月上旬に
    SP2の不具合として修正パッチを出すとの事です。

    また、SP1なら問題なく出力されるとの事でしたので
    SP1にするかor修正パッチを待つ事にします。

    この度は有難うございました。
    2009年5月29日 14:54
  • Question
    サインインして投票
    0
    サインインして投票

    ねこっち様

    本日、Microsoftサポートオンライン 文書番号「968355」にて、修正プログラムが
    入手できる事を確認しました。

    http://support.microsoft.com/default.aspx/kb/968355/ja

    私のテスト環境「Windows Server 2003 SP2 (R2は未適用) 32bit」に適用し、
    リモートからのファイル書き込みによって、567イベントが出力される事を
    確認しました。

    という事で・・・
    修正プログラムについて、自己解決できました。

    なお、2009年5月28日 服部清次様から提供された情報に沿って、「監査エントリを
    一旦削除し、新規で監査エントリを再設定する」を実施してみました。
    私のテスト環境では変化が見られませんでした。
    私の手順・設定の問題か、環境の問題か、切り分けできません。

    しかし、修正プログラムを適用する事で、改善されました。

    ありがとうございます。

    2009年6月8日 8:27

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    ねこっち さん、

    こんにちは!
    フォーラム オペレーターの服部 清次です。

    ご質問の内容に関しまして、私の方でいろいろ情報を探ってみましたところ、社内でも同じ事例が報告されていました。
    その事例によりますと、ファイル共有を使用した際の ID 567 の監査ログは、Windows Server 2003 SP1 から機能するように修正されているにもかかわらず、SP2 を適用すると記録されないという現象が生じていました。

    この問題の回避策としましては、「監査エントリを一旦削除し、新規で監査エントリを再設定する」 ことにより、監査ログが正常に記録されるとのことですので、一度、ねこっち さんも試されてみてはいかがでしょうか? (^^)
    なお、Windows Server 2003 (SP なし) の場合は、SP2 を適用していただき、上記の方法を試していただく形になるかと思います。

    こちらの情報がお役に立てることを願っています。
    それでは、また! (^_^)/


    _____________________________________________
    マイクロソフト株式会社 フォーラム オペレーター 服部 清次

    2009年5月28日 7:48
  • Question
    サインインして投票
    1
    サインインして投票
    服部様

    ご回答有難うございます。
    本件、ご連絡頂きました内容を検証しておりませんが、
    サポートより本日、回答を頂きました所。6月上旬に
    SP2の不具合として修正パッチを出すとの事です。

    また、SP1なら問題なく出力されるとの事でしたので
    SP1にするかor修正パッチを待つ事にします。

    この度は有難うございました。
    2009年5月29日 14:54
  • Question
    サインインして投票
    0
    サインインして投票
    ねこっち様

    ねこっち様と同様の現象が発生していて、困っていました。
    参考情報を共有させていただき、とても参考になりました。

    ところで・・・
    修正パッチはどのように公開されるか、情報をお持ちでしょうか?

    セキュリティパッチの一部として公開されるのでしょうか?
    それともマイクロソフトさんのサポートに問い合わせる事で入手
    できるものでしょうか?

    ご存知でしたら、教えてください。

    よろしくお願いします。
    2009年6月5日 5:17
  • Question
    サインインして投票
    0
    サインインして投票

    ねこっち様

    本日、Microsoftサポートオンライン 文書番号「968355」にて、修正プログラムが
    入手できる事を確認しました。

    http://support.microsoft.com/default.aspx/kb/968355/ja

    私のテスト環境「Windows Server 2003 SP2 (R2は未適用) 32bit」に適用し、
    リモートからのファイル書き込みによって、567イベントが出力される事を
    確認しました。

    という事で・・・
    修正プログラムについて、自己解決できました。

    なお、2009年5月28日 服部清次様から提供された情報に沿って、「監査エントリを
    一旦削除し、新規で監査エントリを再設定する」を実施してみました。
    私のテスト環境では変化が見られませんでした。
    私の手順・設定の問題か、環境の問題か、切り分けできません。

    しかし、修正プログラムを適用する事で、改善されました。

    ありがとうございます。

    2009年6月8日 8:27
  • Question
    サインインして投票
    0
    サインインして投票
    こんにちは。フォーラムオペレーターの鈴木裕子です(^O^)/

    ねこっち さん、ブロス400 さん、現象改善の貴重な情報、ありがとうございました!
    実際に体験された方の貴重な情報ですので、ぜひ他の方にも活用していただきたいと思い、勝手ながら私の方で[回答としてマーク]をつけさせていただきました。
    ただ、もし不適当と思われた場合は、遠慮なくチェック解除してくださいね。

    これからも、皆様の情報交換の場として、Forumをご活用くださいね(^-^)質問・コメントともお待ちしております!
    マイクロソフト株式会社 フォーラムオペレーター 鈴木裕子
    2009年6月11日 5:11