none
セキュリティログ調査依頼 RRS feed

  • 質問

  • お世話になっております。

    現在、あるシステムのセキュリティを高めるため、監査を行う設定を変更しました。

    出力されているログを確認すると、ID529とID680がセットで大量出力されていました。

    監査を行うにあたって余計なログは出力したくないので対処法をお教えいただきたいです。

    知恵をお貸しいただけないでしょうか。よろしくお願いします。以下に情報を記載します。

    OS:WindowsServer2003r2

    構成:クラスター構成(1号機のみからログは出力されている。)

    アカウントログオンのイベント        (成功、失敗)

    アカウント管理の監査            (成功、失敗)

    オブジェクトアクセスの監査         (監査しない)

    システムイベントの監査           (成功、失敗)

    ディレクトリサービスのアクセスの監査    (失敗)

    プロセス追跡の監査             (失敗)

    ポリシーの変更の監査            (成功、失敗)

    ログオンイベントの監査           (成功、失敗)

    特権使用の監査               (成功、失敗)

    ログ出力内容(ID529、ID680)        ユーザ名が不明またはパスワードが無効です。

    以上、よろしくお願いいたします。

    2015年3月3日 0:47

回答

すべての返信

  • チャブーンです。

    まずお断りですが、「依頼」という「サービスを受ける」立ち位置で問い合わせいただいていますが、コミュニティで可能な範囲は一般に「相談」なので、ご要望のような「回答の伝授」は(特にこのケースでは)望めないと思います。

    有用な内容の回答をご要望の場合、パートナーフォーラムのような有償リソースに聞き直していただいた方がいいでしょう。

    http://partnersupport.microsoft.com/ja-jp

    その前提ですが、「なんの設定でこのイベントがでるようになったのか」については、原則的にご自身で切り分け(設定前と設定後に何を変更したか、がわかればある程度は可能でしょう)いただく必要があります。したの資料を見ると「ログオンイベントの監査」が関係しているのかもしれませんが。

    https://technet.microsoft.com/ja-jp/library/cc787567(v=ws.10).aspx

    また、「なぜこのイベントがでているのか」については、実際の記録されたイベントの意味を把握すること、そのイベントの前後のセキュリティイベントを解析して、「認証の流れ」を把握して総合判断する必要があるように思います。

    http://www.microsoft.com/technet/support/ee/transform.aspx?ProdName=Windows+Operating+System&ProdVer=5.2&EvtID=529&EvtSrc=Security
    http://www.microsoft.com/technet/support/ee/transform.aspx?ProdName=Windows+Operating+System&ProdVer=5.2&EvtID=680&EvtSrc=Security

    認証の流れ=実システムの内部情報、はこういった無償掲示板で公開できる内容ではないので、有償サービスをご利用いただくことがムリなく、適切かと思います。

    • 回答の候補に設定 佐伯玲 2015年3月4日 4:45
    • 回答としてマーク 佐伯玲 2015年3月10日 2:32
    2015年3月3日 3:44
    モデレータ
  • こんにちは、kfujii さん
    フォーラムオペレータの佐伯 玲 です。

    以前からお願いさせていただいておりますがご質問後スレッドはご確認いただけておりますでしょうか?
    TechNet フォーラムはユーザー同士の情報交換を行うフォーラムですのでお寄せいただいた情報はご確認いただいた上でスレッドへご返信いただけましたらと思います。

    今回もチャブーンさんからご参考になりそうな情報が寄せられておりますので私のほうから「回答としてマーク」とさせていただきます。
    ご質問後にご参考になりそうな情報が寄せられていた場合にはご返信いただくと同時に「回答としてマーク」として質問が解決など一区切りつくことを示してください。


    ご理解、ご協力のほど宜しくお願い致します。

    TechNet Community Support 佐伯 玲

    2015年3月10日 2:32