• 本文
• ノート?
• 編集
• 差分
• 一覧

Windows/EventReporter

EventReporter †

フリーのソフト(NtSyslog)もありますが、

ファイルサーバのアクセスログ(アクセス・追加・削除・更新など)を取得する場合は、NtSyslogよりもはるかに良い働きをします。

EventReporterはログの転送もでき、syslog-ngサーバと合わせて利用すれば、Windowsサーバ・Unixサーバのログも一括で見る事ができます。

＠EventReporter + 監査ポリシーの変更でファイルサーバのアクセスログを取得する場合の設定方法

監査ポリシーの変更 †

添付のpdfファイルにある設定で、監査ポリシーを下記のように設定する。

       アカウントログオンイベントの監査        成功・失敗 
       オブジェクトアクセスの監査              成功・失敗 
       ログオンイベントの監査                  成功・失敗 

ログを取得したい、ディレクトリのセキュリティ設定の変更 †

       ログを取得したい、ディレクトリ ⇒ プロパティ ⇒ 詳細設定 ⇒ 監査 ⇒ 追加 
       Everyoneを追加して、下記のアクセスの成功・失敗にチェックを入れる 
               ファイルの作成/データの書き込み 
               フォルダの作成/データの追加 
               サブフォルダのファイル削除 
               削除 
               アクセス許可の変更 
               所有権の取得 

EventReporter(NtSyslogの替わり　シャアウェア) †

マイコンピュータ - ルールセット - アクション - ForwardSyslog

       Enable: ForwardSyslogにチェック 

そのまま動作させるとログが大量すぎるので、フィルタの条件を追加する †

当社の環境では下記のようなフィルタ条件で、丁度良いログが取得できました。

-------------------------------------------------- 
AND 
|---EVAL イベントソース constains"Security" 
|---AND 
     |---EVAL イベントユーザ dose not constains "NT AUTHORITY\SYSTEM" 
--------------------------------------------------