none
auditpolコマンドによるサブカテゴリの設定 RRS feed

  • 質問

  • お世話になっております。

    監査ポリシーの設定にて、auditpolコマンドによるサブカテゴリの設定についてご質問させてください。

    -------------------------------------------------------------------------------------------------------------------
     行いたいこと
      グループポリシーの監査ポリシーで設定したカテゴリの中にある、指定したサブカテゴリのみのログを取得したい。

     現在の状況
      ・グループポリシー(Default Domain Controllers Porlicy)にて、
       オブジェクトアクセスの監査のポリシーを定義(成功のみ)し、
       イベントログをとりたいのですが、
       コマンドプロンプトよりauditpolコマンドにてサブカテゴリの設定が出来ることを知りました。
      
       通常ですと、グループポリシーでセットしたカテゴリ(ここでは[オブジェクト アクセス])以下の
       サブカテゴリはすべてグループポリシーどおり(ここではすべて[成功])
       の設定になっています。(コマンドプロンプトより[auditpol /get /category:"オブジェクト アクセス"]コマンドにて設定確認)

      ・グループポリシーの設定後、下記手順にてサブカテゴリの設定を行いました。

       1.コマンドプロンプトより、[auditpol /set /subcategory:"[サブカテゴリ名]" /success:disable]を入力し、
         一度サブカテゴリをすべて[監査なし]の設定にします。
       2.[auditpol /set /subcategory:"フィルタリング プラットフォームの接続" /success:enable]を入力し、
         オブジェクト アクセスカテゴリ内の[フィルタリング プラットフォームの接続]のみ[成功]の設定へ変更しました。
       3.オブジェクトアクセスカテゴリ内の設定を確認するため、[auditpol /get /category:"オブジェクト アクセス"]
         にて、サブディレクトリの設定内容を確認しました。
         (ここではサブカテゴリ[フィルタリング プラットフォームの接続]のみ[成功]で後は[監査なし]となっていました。)

      ・上記確認後、イベントビューアを起動し、[Windows ログ]-[セキュリティ]より、監査ポリシーのログを確認しているのですが、
       時間がたつと、ポリシーの変更の監査ログを取得し、[オブジェクト アクセス]カテゴリの設定がすべて、[成功]となっている。
    -------------------------------------------------------------------------------------------------------------------
     質問
      ・イベントログにて、想定したサブカテゴリのみのログを取得することは可能でしょうか?
      ・自動でサブカテゴリが変更してしまうのはなぜでしょうか?(ポリシーの変更をさせないことは出来る?)

     サブカテゴリの設定後、イベントログにて、ポリシーの変更の監査ログを取得するまでは、
     現状、設定したサブカテゴリのログのみ取得している状態なので、
     想定したサブカテゴリのログを残すことは出来そうなのですが、サブカテゴリを自動で変更してしまうところで、
     行き詰ってしまいました。

     申し訳ありませんが、ご教授のほどよろしくお願い致します。
    2009年11月18日 6:19

回答

  • 阿部です

    グループポリシーでの監査の設定はサブカテゴリすべての設定となります。

    よってGPOによる監査設定はやめてコンピューター上でauditpolを実行してみてください。

    • 回答としてマーク オソサキ 2009年11月19日 1:50
    2009年11月18日 23:14
    モデレータ

すべての返信

  • 阿部です

    グループポリシーでの監査の設定はサブカテゴリすべての設定となります。

    よってGPOによる監査設定はやめてコンピューター上でauditpolを実行してみてください。

    • 回答としてマーク オソサキ 2009年11月19日 1:50
    2009年11月18日 23:14
    モデレータ
  • ABE NAOKI様返信ありがとうございます。

    下記の手順にて確認してみたところ、サブカテゴリの設定の自動での変更は行われないことを確認できました。
    ---------------------------------------------------------------------------------------------------------------
    手順
     ・グループポリシー(Default Domain Controllers Porlicy)の[監査ポリシー]の部分をすべて未定義にした。
     ・コマンドプロンプトにて、[auditpol /set /subcategory:"フィルタリング プラットフォームの接続" /success:enable]
      を入力し[成功]の設定をした。
     ・一定時間放置後、[auditpol /get /category:"オブジェクト アクセス"]を行った際、
      サブカテゴリの[フィルタリング プラットフォームの接続]のみが[成功]となっていることを確認。
    ---------------------------------------------------------------------------------------------------------------
    GPOを設定後にサブカテゴリを変更しても、
    GPOの設定により一定の間隔ですべてのサブカテゴリを書き換えてしまっているみたいですね。
    勉強になりました。

    ABE NAOKI様回答ありがとうございました。
    2009年11月19日 2:08