Windows/EventReporter
EventReporter †
フリーのソフト(NtSyslog)もありますが、
ファイルサーバのアクセスログ(アクセス・追加・削除・更新など)を取得する場合は、NtSyslogよりもはるかに良い働きをします。
EventReporterはログの転送もでき、syslog-ngサーバと合わせて利用すれば、Windowsサーバ・Unixサーバのログも一括で見る事ができます。
@EventReporter + 監査ポリシーの変更でファイルサーバのアクセスログを取得する場合の設定方法
監査ポリシーの変更 †
添付のpdfファイルにある設定で、監査ポリシーを下記のように設定する。
アカウントログオンイベントの監査 成功・失敗 オブジェクトアクセスの監査 成功・失敗 ログオンイベントの監査 成功・失敗
ログを取得したい、ディレクトリのセキュリティ設定の変更 †
ログを取得したい、ディレクトリ ⇒ プロパティ ⇒ 詳細設定 ⇒ 監査 ⇒ 追加 Everyoneを追加して、下記のアクセスの成功・失敗にチェックを入れる ファイルの作成/データの書き込み フォルダの作成/データの追加 サブフォルダのファイル削除 削除 アクセス許可の変更 所有権の取得
EventReporter(NtSyslogの替わり シャアウェア) †
マイコンピュータ - ルールセット - アクション - ForwardSyslog
Enable: ForwardSyslogにチェック
そのまま動作させるとログが大量すぎるので、フィルタの条件を追加する †
当社の環境では下記のようなフィルタ条件で、丁度良いログが取得できました。
-------------------------------------------------- AND |---EVAL イベントソース constains"Security" |---AND |---EVAL イベントユーザ dose not constains "NT AUTHORITY\SYSTEM" --------------------------------------------------