Windows/EventReporter の変更点
*EventReporter [#cc1e9b47]
フリーのソフト(NtSyslog)もありますが、
ファイルサーバのアクセスログ(アクセス・追加・削除・更新など)を取得する場合は、NtSyslogよりもはるかに良い働きをします。
EventReporterはログの転送もでき、syslog-ngサーバと合わせて利用すれば、Windowsサーバ・Unixサーバのログも一括で見る事ができます。
#contents
@EventReporter + 監査ポリシーの変更でファイルサーバのアクセスログを取得する場合の設定方法
**監査ポリシーの変更 [#c0a91f63]
添付のpdfファイルにある設定で、監査ポリシーを下記のように設定する。
アカウントログオンイベントの監査 成功・失敗
オブジェクトアクセスの監査 成功・失敗
ログオンイベントの監査 成功・失敗
**ログを取得したい、ディレクトリのセキュリティ設定の変更 [#nb1facc7]
ログを取得したい、ディレクトリ ⇒ プロパティ ⇒ 詳細設定 ⇒ 監査 ⇒ 追加
Everyoneを追加して、下記のアクセスの成功・失敗にチェックを入れる
ファイルの作成/データの書き込み
フォルダの作成/データの追加
サブフォルダのファイル削除
削除
アクセス許可の変更
所有権の取得
**EventReporter(NtSyslogの替わり シャアウェア) [#y979e4b9]
マイコンピュータ - ルールセット - アクション - ForwardSyslog
Enable: ForwardSyslogにチェック
**そのまま動作させるとログが大量すぎるので、フィルタの条件を追加する [#g89a5297]
当社の環境では下記のようなフィルタ条件で、丁度良いログが取得できました。
--------------------------------------------------
AND
|---EVAL イベントソース constains"Security"
|---AND
|---EVAL イベントユーザ dose not constains "NT AUTHORITY\SYSTEM"
--------------------------------------------------