Remove From My Forums

System Center 2012 Operations Manager ACS レポートの定義について

全般的な情報交換
0

サインインして投票

こんにちは。日本マイクロソフト System Center サポートチームの新木です。

今回は、System Center 2012 Operations Manager の、監査コレクションサービス (ACS) レポートの定義について紹介します。

2019年4月4日 2:30

所有者

すべての返信

0

サインインして投票

ACS レポートを導入したいが、数あるレポートの中でどれを使用したらよいかわからないという声をいただくことがあります。

各レポートの定義について、以下に概要をまとめましたので、レポートの選定に役立てていただければ幸いです。

レポート名：Access_Violation_-_Account_Locked

===================================================================

パラメーター：

StartDate, EndDate

説明：

ユーザアカウントのロックアウトの監査イベント ID: 539, 644, 4740, 6279 が記録されていた場合、それらのデータを抽出してレポートに出力します。

Windows Server 2000 & 2003 の環境：539, 644 (ユーザアカウントのロックアウト)

Windows Server 2008 以降の環境：4740, 6279 (ユーザアカウントのロックアウト)

レポート名：Access_Violation_-_Unsuccessful_Logon_Attempts

===================================================================

パラメーター：

StartDate, EndDate

説明：

ログオンの監査イベント ID: 529-537, 539, 4625 が記録されていた場合、それらのデータを抽出してレポートに出力します。

Windows Server 2000 & 2003 の環境：529-537, 539 (ログオン失敗)

Windows Server 2008 以降の環境：4625 (ログオン失敗)

レポート名：Account_Management_-_Domain_and_Built-in_Administrators_Changes

===================================================================

パラメーター：

StartDate, EndDate

説明：

ドメインとローカルの Built-in Administrators グループへのメンバー追加／削除時に出力されるイベントをレポート出力します。

監査イベント 632, 633, 636, 637 が記録されていた場合、かつ、対象グループ SID が S-1-5-33 で始まるもの、もしくは -512 で終わるものを抽出してレポートに出力します。

レポート名：Account_Management_-_Passwords_Change_Attempts_by_Non-owner

===================================================================

パラメーター：

StartDate, EndDate

説明：

パスワードの変更の監査イベント ID: 627, 628, 4723, 4724 が記録されていた場合、それらのデータを抽出してレポートに出力します。

Windows Server 2000 & 2003 環境：627 (パスワードの変更), 628 (パスワードのリセット)

Windows Server 2008 以降の環境： 4723 (パスワードの変更), 4724 (パスワードのリセット)

2019年4月4日 2:31

所有者
0

サインインして投票

レポート名：Account_Management_-_User_Accounts_Created

===================================================================

パラメーター：

StartDate, EndDate

説明：

ユーザーアカウント作成の監査イベント ID: 624, 4720 が記録されていた場合、それらのデータを抽出してレポートに出力します。

Windows Server 2000 & 2003 環境：624 (ユーザーアカウントの作成)

Windows Server 2008 以降の環境： 4720 (ユーザーアカウントの作成)

レポート名：Account_Management_-_User_Accounts_Deleted

===================================================================

パラメーター：

StartDate, EndDate

説明：

ユーザーアカウント作成の監査イベント ID: 630, 4726 が記録されていた場合、それらのデータを抽出してレポートに出力します。

Windows Server 2000 & 2003 環境：630 (ユーザーアカウントの削除)

Windows Server 2008 以降の環境： 4726 (ユーザーアカウントの削除)

レポート名：Audit_Report_Template

===================================================================

説明：カスタマイズ用テンプレートです。

レポート名：Audit5_Report_Template

===================================================================

説明：カスタマイズ用テンプレートです。

レポート名：DAC_-_Central_Access_Policy_For_File_Changes

===================================================================

パラメーター：

StartDate, EndDate, Domain, User, File Path

説明：

ファイルに関連付けられた集約型アクセスポリシーの変更の監査イベント ID: 4913 が記録されていた場合、それらのデータを抽出してレポートに出力します。本監査ログは Windows Server 2012 以降から導入されています。

レポート名：DAC_-_File_Resource_Property_Changes

===================================================================

パラメーター：

StartDate, EndDate, Domain, User, File Path, ResourceAttribute

説明：

ファイル属性の変更の監査イベント ID: 4911 が記録されていた場合、それらのデータを抽出してレポートに出力します。本監査ログは Windows Server 2012 以降から導入されています。

レポート名：DAC_-_Object_Access_1_Resource_Attribute_Query

===================================================================

パラメーター：

StartDate, EndDate, Domain, UserName, File Path, ResourceAttribute, ResourceAttributeValue

説明：

オブジェクトアクセスの監査から取得される追加情報の監査イベント ID: 4656, 4663 が記録されていた場合、それらのデータを抽出してレポートに出力します。本監査ログは Windows Server 2012 以降から導入されています。

レポート名：DAC_-_Object_Access_2_Resource_Attribute_Query

===================================================================

パラメーター：

StartDate, EndDate, Domain, UserName, File Path, ResourceAttribute1, ResourceAttributeValue1, ResourceAttribute2, ResourceAttributeValue2

説明：

オブジェクトアクセスの監査から取得される追加情報の監査イベント ID: 4656, 4663 が記録されていた場合、それらのデータを抽出してレポートに出力します。本監査ログは Windows Server 2012 以降から導入されています。

レポート名：DAC_-_Object_Access_3_Resource_Attribute_Query

===================================================================

パラメーター：

StartDate, EndDate, Domain, UserName, File Path, ResourceAttribute1, ResourceAttributeValue1, ResourceAttribute2, ResourceAttributeValue2, ResourceAttribute3, ResourceAttributeValue3

説明：

オブジェクトアクセスの監査から取得される追加情報の監査イベント ID: 4656, 4663 が記録されていた場合、それらのデータを抽出してレポートに出力します。本監査ログは Windows Server 2012 以降から導入されています。

レポート名：DAC_-_Object_Attribute_Changes

===================================================================

パラメーター：

StartDate, EndDate, ObjectName, ClassName

説明：

ディレクトリサービスの変更の監査イベント ID: 5136、5137 が記録されていた場合、それらのデータを抽出してレポートに出力します。

レポート名：DAC_-_Staging

===================================================================

パラメーター：

StartDate, EndDate, Domain, Username, FilePath, CurrentResultText, StagedResultText

説明：

ポリシー変更のステージングの監査イベント ID: 4818 が記録されていた場合、それらのデータを抽出してレポートに出力します。

本監査ログは Windows Server 2012 以降から導入されています。

レポート名：Forensic_-_All_Events_For_Specified_Computer

===================================================================

パラメーター：

StartDate, EndDate, Domain\Computer

説明：

パラメーターで指定したコンピューターについて、全てのイベントをレポートに出力します。

レポート名：Forensic_-_All_Events_For_Specified_User

===================================================================

パラメーター：

StartDate, EndDate, Domain\User

説明：

パラメーターで指定したユーザーについて、全てのイベントをレポートに出力します。

2019年4月4日 2:31

所有者
0

サインインして投票

レポート名：Forensic_-_All_Events_With_Specified_Event_ID

===================================================================

パラメーター：

StartDate, EndDate, EventID

説明：

パラメーターで指定したイベント ID が記録されていた場合、それらのデータを抽出してレポートに出力します。

レポート名：Planning_-_Event_Counts

===================================================================

パラメーター：

StartDate, EndDate

説明：

収集された全イベントのうち、各イベントID についての出力合計数、および全体出力数のうちの割合を表示します。

出力数の多いイベントを確認し、監査ポリシーをチューニングするために使用します。

レポート名：Planning_-_Event_Counts_by_Computer

===================================================================

パラメーター：

StartDate, EndDate, Domain\Computer

説明：

パラメータに指定したコンピューターについて、収集された全イベントのうち、各イベントID についての出力合計数、および全体出力数のうちの割合を表示します。

出力数の多いイベントを確認し、監査ポリシーをチューニングするために使用します。

レポート名：Planning_-_Hourly_Event_Distribution

===================================================================

パラメーター：

StartDate, EndDate

説明：

1 時間ごとに記録されたイベントの合計数の遷移を折れ線グラフで表示します。本レポートはキャパシティプランニングに使用します。

レポート名：Planning_-_Logon_Counts_of_Privileged_Users

===================================================================

パラメーター：

StartDate, EndDate

説明：

特権使用ユーザーによるログオン合計数を表示します。

特定の特権使用ユーザーによるログオン回数が正常値を超過している場合、異常なネットワーク活動がないかどうか調査する必要があります。

レポート名：Policy_-_Account_Policy_Changed

===================================================================

パラメーター：

StartDate, EndDate

説明：

アカウントポリシーの変更イベント ID: 643, 4739 が記録されていた場合、それらのデータを抽出してレポートに出力します。

Windows Server 2000 & 2003 環境：643 (アカウントポリシーの変更)

Windows Server 2008 以降の環境： 4739 (アカウントポリシーの変更)

レポート名：Policy_-_Audit_Policy_Changed

===================================================================

パラメーター：

StartDate, EndDate

説明：

ポリシーの変更の監査イベント ID: 612, 4719 が記録されていた場合、それらのデータを抽出してレポートに出力します。

Windows Server 2000 & 2003 環境：612 (ポリシーの変更)

Windows Server 2008 以降の環境： 4719 (ポリシーの変更)

レポート名：Policy_-_Object_Permissions_Changed

===================================================================

パラメーター：

StartDate, EndDate

説明：

オブジェクトのアクセス許可変更イベント ID: 4670 が記録されていた場合、それらのデータを抽出してレポートに出力します。

Windows Server 2008 以降の環境： 4670　(オブジェクトのアクセス許可の変更)

レポート名：Policy_-_Privilege_Added_Or_Removed

===================================================================

パラメーター：

StartDate, EndDate

説明：

ポリシーの変更の監査 (ユーザー権限の追加と削除) ID: 608, 621, 609, 622, 4704, 4705 が記録されていた場合、それらのデータを抽出してレポートに出力します。

Windows Server 2000 & 2003 環境：608 (ユーザー権利の割り当て), 621 (アカウントに対するシステムアクセス権限の追加), 609 (ユーザー権利の削除), 622 (アカウントからシステムアクセス権限の削除)

Windows Server 2008 以降の環境： 4704 (ユーザ権利の割り当て), 4705 (ユーザー権利の削除)

レポート名：System_Integrity_-_Audit_Failure

===================================================================

パラメーター：

StartDate, EndDate

説明：

監査イベント記録の失敗を示すイベント ID: 516, 4612 が記録されていた場合、それらのデータを抽出してレポートに出力します。これらのイベントは、リソース不足により監査ログの記録に失敗し、一部のログが失われたことを示します。

Windows Server 2000 & 2003 環境：516 (監査イベント記録の失敗)

Windows Server 2008 以降の環境： 4612 (監査イベント記録の失敗)

レポート名：System_Integrity_-_Audit_Log_Cleared

===================================================================

パラメーター：

StartDate, EndDate

説明：

監査ログの消去を示すイベント ID: 517, 1102 が記録されていた場合、それらのデータを抽出してレポートに出力します。

Windows Server 2000 & 2003 環境：517 (監査ログの消去)

Windows Server 2008 以降の環境： 1102 (監査ログの消去)

レポート名：Usage_-_Object_Access

===================================================================

パラメーター：

StartDate, EndDate

説明：

ログオンの監査イベント ID: 560, 567, 4656, 4663 が記録されていた場合、それらのデータを抽出してレポートに出力します。

Windows Server 2003 環境：560 (オブジェクトのオープン), 567 (ファイルアクセス )

Windows Server 2008 以降の環境： 4656 (ファイルオープン), 4663 (ファイルアクセス )

レポート名：Usage_-_Privileged_logon

===================================================================

パラメーター：

StartDate, EndDate

説明：

特権を使用したログオンイベント ID: 576 が記録されていた場合、それらのデータを抽出してレポートに出力します。

レポート名：Usage_-_Sensitive_Security_Groups_Changes

===================================================================

パラメーター：

StartDate, EndDate

説明：

グローバルグループやローカルグループの作成・削除・変更を示す監査イベントが記録されていた場合、それらのデータを抽出してレポートに出力します。具体的には以下イベントをフィルタしてレポート出力します。

Windows Server 2003 環境：631-639、または 641、または 658-662

Windows Server 2008 以降の環境： 4727-4735、または 4737、または 4754-4758

※各イベント ID の意味については以下公開資料をご参照下さい。

【Windows Server 2008】監査イベントの Event ID が変わります

http://blogs.technet.com/b/junichia/archive/2008/01/11/2008-id.aspx

Windows vista と Windows Server 2008 のセキュリティイベントの説明

http://support.microsoft.com/kb/947226/ja

レポート名：Usage_-_User_Logon

===================================================================

パラメーター：

StartDate, EndDate, Domain\User

説明：

パラメーターで指定したユーザーについて、ログオンの監査イベント ID: 528, 540, 4624 が記録されていた場合、それらのデータを抽出してレポートに出力します。

Windows Server 2003 の環境：528 (対話的なログオン), 540 (ネットワークログオン)

Windows Server 2008 以降の環境：4624 (対話的・ネットワークログオン)

- その他参考資料

ACS および ACS レポートの展開

http://technet.microsoft.com/ja-jp/library/hh298613.aspx

コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。

2019年4月4日 2:31

所有者