• 本文
• ノート?
• 編集
• 差分
• 一覧

Windows/EventReporter の変更点

• 追加された行はこの色です。
• 削除された行はこの色です。
• Windows/EventReporter へ行く。
• Windows/EventReporter の差分を削除

*EventReporter [#cc1e9b47]

フリーのソフト(NtSyslog)もありますが、 

ファイルサーバのアクセスログ(アクセス・追加・削除・更新など)を取得する場合は、NtSyslogよりもはるかに良い働きをします。 

EventReporterはログの転送もでき、syslog-ngサーバと合わせて利用すれば、Windowsサーバ・Unixサーバのログも一括で見る事ができます。 

#contents

＠EventReporter + 監査ポリシーの変更でファイルサーバのアクセスログを取得する場合の設定方法 

**監査ポリシーの変更 [#c0a91f63]
添付のpdfファイルにある設定で、監査ポリシーを下記のように設定する。 
        アカウントログオンイベントの監査        成功・失敗 
        オブジェクトアクセスの監査              成功・失敗 
        ログオンイベントの監査                  成功・失敗 

**ログを取得したい、ディレクトリのセキュリティ設定の変更 [#nb1facc7]
        ログを取得したい、ディレクトリ ⇒ プロパティ ⇒ 詳細設定 ⇒ 監査 ⇒ 追加 
        Everyoneを追加して、下記のアクセスの成功・失敗にチェックを入れる 
                ファイルの作成/データの書き込み 
                フォルダの作成/データの追加 
                サブフォルダのファイル削除 
                削除 
                アクセス許可の変更 
                所有権の取得 

**EventReporter(NtSyslogの替わり　シャアウェア) [#y979e4b9]
マイコンピュータ - ルールセット - アクション - ForwardSyslog 
        Enable: ForwardSyslogにチェック 

**そのまま動作させるとログが大量すぎるので、フィルタの条件を追加する [#g89a5297]
当社の環境では下記のようなフィルタ条件で、丁度良いログが取得できました。 
 -------------------------------------------------- 
 AND 
 |---EVAL イベントソース constains"Security" 
 |---AND 
      |---EVAL イベントユーザ dose not constains "NT AUTHORITY\SYSTEM" 
 --------------------------------------------------