お気に入り
はてな
Buzzurlファイルサーバー監査(ログオン/ログオフ)
概要
イベントログ(セキュリティ)を使って監査ログを出力する設定については説明しました。
お次は 具体的に ファイルサーバーの監査をどのように行うかを説明します。
ファイルサーバーの監査では以下の3つの監査があります。
・ローカル ログオン/ログオフの監査
・リモート ログオン/ログオフの監査
・ファイルアクセスの監査
ログオン/ログオフの監査は、ファイルサーバーに限らず、サーバーであれば何でも必要ですが、ファイルアクセスを考えると同時に、ログオン/ログオフを理解しておくとよろしいかと。
ローカル ログオン/ログオフの監査
ローカルコンピュータへのログオン/ログオフは、ユーザーがサーバーのデスクトップ(対話型)に ログオン/ログオフした際に記録されるイベントです。
ファイルサーバーがサーバールームに設置されていて物理的なセキュリティが保たれていても、悪意のあるサーバーオペレータの操作、悪意のないサーバーオペレータの誤操作などは考えられますので、ローカルログオン/ログオフのログと入退室記録、サーバー作業記録などとを照合・監査する必要があります。
ローカル ログオン/ログオフのイベントログは、イベントログ・セキュリティに登録されます。イベントIDとイベントの意味、イベントの説明に含まれる情報は以下の通りです。
| イベントID | 意味 | 説明に含まれる情報 |
| 528 | ログオン | ユーザー名、ドメイン名、ログオンID、ログオンタイプ、ワークステーション名、ソースネットワークアドレス |
| 538 | ログオフ | ユーザー名、ドメイン名、ログオンID、ログオンタイプ |
イベントID 528(ログオン)には ログオンしたユーザー、ドメイン、ワークステーション名(=コンピュータ名)、ソースネットワークアドレス(=IPアドレス)などが記録されます。ローカルログオンですので そのコンピュータに、何というユーザーアカウントでログオンしたかがわかります。
イベントID 538(ログオフ)には ログオフしたユーザーの情報が記録されます。このイベントログは ローカルログオン、ネットワークログオンの両方に対応するログオフイベントなので やっかいです(^-^; ログオンIDが一致するイベントID 528(ログオン)を探すと ログオン/ログオフの対応がとれ、どのユーザーが何時何分から何時何分までログオンしていたかが解ります。
ログオンタイプには 2=対話型(Interactive)、3=ネットワーク(Network)、4=バッチ(Batch)、5=サービス(Service)、7=アンロック(Unlock)、8=ネットワーククリアテキスト(NetworkCleartext)、9=新規証明書(NewCredentials)、10=リモート対話型(RemoteInteractive)、11=キャッシュ対話型(CashedInteractive)があるみたいです。よく見かけるのは、7, 3, 5 でしょうか。
ローカル ログオンに関連するイベントログには 他にもあり、ログオンの失敗などは セキュリティ侵害の可能性もありますので、ログオン/ログオフと同様に監査が必要です。
| イベントID | 意味 | 内容 |
| 529 | 不明ユーザー | 不明なユーザー名、または既知のユーザー名と無効なパスワードを使用してログオンしようとした場合に発生するイベント。 |
| 530 | 時間外 | ユーザーアカウントが 認められた時間外にログオンしようとした場合に発生するイベント。 |
| 531 | 無効アカウント | 無効なユーザーアカウントを使用してログオンしようとした場合に発生するイベント。 |
| 532 | 期限切れアカウント | 期限切れのアカウントを使用してログオンしようとした場合に発生するイベント。 |
| 533 | 認められていないアカウント | 該当コンピュータへのログオンが認められていないアカウントを使用してログオンしようとした場合に発生するイベント。 |
| 534 | 認められていないログオンタイプ | ユーザーがネットワーク、対話型、バッチ、サービス、リモート対話型など、認められていないログオンタイプでログオンしようとした場合に発生するイベント。 |
| 535 | パスワード期限切れ | 指定されたユーザーアカウントのパスワードの期限がきれている場合に発生するイベント。 |
| 537 | その他理由 | その他の理由でログオンが失敗した場合に発生するイベント。 |
| 539 | ロックアウト | ユーザーアカウントがロックアウトされている状態でログオンしようとした場合に発生するイベント。 |
リモート ログオン/ログオフの監査
リモートコンピュータへのログオン/ログオフは、ユーザーがネットワークを経由して リモートコンピュータ(別コンピュータ)に ログオン/ログオフした際に記録されるイベントです。
ログオン/ログオフの時間などを調べ、出勤簿・タイムカードなどと照合・監査する必要があります。
リモート ログオン/ログオフのイベントログは、イベントログ・セキュリティに登録されます。イベントIDとイベントの意味、イベントの説明に含まれる情報は以下の通りです。
| イベントID | 意味 | 説明に含まれる情報 |
| 540 | ネットワーク ログオン | ユーザー名、ドメイン名、ログオンID、ログオンタイプ、ワークステーション名、ソースネットワークアドレス |
| 538 | ログオフ | ユーザー名、ドメイン名、ログオンID、ログオンタイプ |
イベントID 540(ログオン)には ログオンしたユーザー、ドメイン、ワークステーション名(=コンピュータ名)、ソースネットワークアドレス(=IPアドレス)などが記録されます。どこのコンピュータ、IPアドレスから、何というユーザーアカウントでログオンしたかがわかります。
イベントID 538(ログオフ)には ログオフしたユーザーの情報が記録されます。このイベントログは ローカルログオン、ネットワークログオンの両方に対応するログオフイベントなので やっかいです(^-^; ログオンIDが一致するイベントID 540(ログオン)を探すと ログオン/ログオフの対応がとれ、どのユーザーが何時何分から何時何分までログオンしていたかが解ります。
リモート ログオンに関連するイベントログには 他にもあり、ログオンの失敗などは セキュリティ侵害の可能性もありますので、ログオン/ログオフと同様に監査が必要です。
| イベントID | 意味 | 内容 |
| 675 | 事前認証の失敗 | 事前認証が失敗した場合に発生するイベント。 |
| 677 | TGSチケット未保証 | TGSチケットが保証されない場合に発生するイベント。 |
| 682 | ターミナルサービス再接続 | ユーザーが切断されたターミナルサービスセッションを再接続した場合に発生するイベント。 |
| 683 | ターミナルサービス切断 | ユーザーがログオフすることなくターミナルサービスセッションを切断した場合に発生するイベント。 |
分析、監査作業の省力化には・・・
ログオン/ログオフの監査は 上記の通りなのですが、実際の運用で手作業でログオン/ログオフの対応をとるのは困難です。
また、ログオンの失敗などのイベントをフィルタリングして セキュリティ侵害の可能性を検知することも 手作業では困難です。
そんな システム管理者、セキュリティ管理者のために!?
弊社では「イベント分析ツール WhiteFox EventLog Analyzer 2007」というツールを販売しています。
イベント分析ツールは、イベントログ(CSV,EVT,直接)を定期的に読み込み、分析し、監査レポートを作成するツールです。
ファイル監査
イベントログ
概要
概要 ログの種別 ログの内容 Vistaのログ監査
監査ログ出力 ログオン監査 ファイル監査 プリンタ監査書込み
WIN32API書込 .NET書込表示の仕組み
表示の仕組み調べ方
調べ方
まだ増え続けるPCをExcelで管理しますか?
あなたのサーバーは本当に動いていますか?
都合と時給にこだわる アルバイト厳選サイト 【anセレクト】
弁護士選びの決定版!!弁護士ドットコム
