ログ収集の設定
この連載で扱うシステムでは、ドメインコントローラ(DC)をファイルサーバと兼用している。DCでログを収集して参照するには、3つのツールを使う。
1.[ドメインコントローラ セキュリティ ポリシー](ドメイン セキュリティ ポリシーという項目もあるので間違えないこと)
2.[エクスプローラ]のフォルダのセキュリティ
3.[イベントビューア]のセキュリティ
まず1では、DCで、DC自身のローカル セキュリティ ポリシーを記録する。ツールを開いたら、記録の設定は、[ローカルポリシー]−[監査ポリシー]−[オブジェクトアクセスの監査]で行える。Windowsでは、ファイルやフォルダ、プリンタといった管理対象をまとめて「オブジェクト」と呼ぶ。これらのオブジェクトに対して作成、変更に対する成功と失敗の監査を設定する。
2では、監査対象のフォルダを指定すると同時に、アクセスしてくるユーザーまたはグループを設定する。操作は、エクスプローラで行う。対象のフォルダで[セキュリティタブ]−[詳細設定]−[監査タブ]を開いて、少なくとも以下の項目の[成功]と[失敗]にチェックマークを入れる。
- フォルダの一覧/データの読み取り
- ファイルの作成/データの書き込み
- フォルダの作成/データの追加
- サブフォルダとファイルの削除
- 削除
次の手順では、ユーザーとグループを追加する。ここでは、[Everyone]というグループを追加する。[Everyone]は、ドメインメンバーに限らずアクセスしてくるユーザー全員という意味だ。この作業が終了すると、ログの記録が始まる。
[エクスプローラ]のフォルダのセキュリティ。少なくとも、図で示した部分については「成功」「失敗」のログを取るよう設定しておきたい。
