Note
Access to this page requires authorization. You can try signing in or changing directories.
Access to this page requires authorization. You can try changing directories.
WMIや汎用の監視ツールを使用して、監査ログを監視されている管理者の方も多いと思います。
いろいろと検証しておったのですが、Windows Server 2008 リプレイス時に問題になりそうなところとして、Winodws Server 2008 の 監査ログのIDが変更されている点が挙げられます。
すべてを検証したわけではないのですが、Windows Server 2003 と 2008 のユーザー管理に関する監査ログの対応表と、ログの出力のされ方についてまとめたものを掲載します。
興味のある方はご覧ください。
| 操作 | Windows Server 2003 | Windows Server 2008 | 備考 | |||
| 分類 | Event ID | 分類 | Event ID | |||
| ユーザー | ユーザーの新規作成 | アカウント管理 |
|
ユーザー アカウント管理 | 4720 | |
| パスワードの変更 | アカウント管理 | 628 | ユーザー アカウント管理 | 4724 | パスワードを変更すると、本イベントに加えて「属性の変更」に関する イベントも発生する。これは、パスワード変更に伴い、「PwdLastSet(パスワードの最終更新日時)」 がアップデートされるからである。 | |
| 属性の変更 | アカウント管理 | 642 | ディレクトリ サービスの変更 | 4738 | オブジェジェクトの属性が変更された場合に発生する。2003、2008とも に、「変更された」ことは通知されるが、具体的にどの属性がどのように変更されたかまでは、このイ ベントだけではわからない。 | |
| ディレクトリ サービス アクセス | 566 | ディレクトリ サービス アクセス | 4662 | 本イベントは、属性への書き込み監査を有効にしておくと、属性変更が 発生した場合に上記イベント(642および4738)とともに通知される。規定では出力されない。 2003、2008共にどの属性に変更が加わったかを知ることができる。2003の場合には具体的な属性名 で通知されるが、2008ではオブジェクトIDで通知される。そのため、2008ではオブジェクトIDを属性名 に変換しなければ具体的な属性名を知ることができない。複数の属性が一度に変更された場合には 、1つのイベントにすべての属性が掲載される。 | ||
| - | - | ディレクトリ サービスの変更 | 5136 | 2008から新たにサポートされた監査イベント。新たに値を設定する か、複数の値を持てる属性に対して値を追加すると、「値が追加されました」というイベントが1つ発 生する。以前の値を上書きした場合には、「値が削除されました」に続いて、「値が追加されまし た」という2つのイベントが発生する。両者を見比べて、変更前と変更後の値を確認することが可能。 属性を変更した場合に発生する順番は、およそ以下の通り。ID 4662↓ID 4738↓ ID 5136(値の削除)↓ID 5136(値の追加) | ||
| アカウントロックアウト | アカウント管理 | 644 | ユーザー アカウント管理 | 4740 | アカウントがロックされた場合に発生する。イベント本文にロックされ たユーザーIDが記載されている。 | |
| アカウントロック解除 | アカウント管理 | 671 | ユーザー アカウント管理 | 4767 | ロックが解除された際に発生する | |
| アカウント無効化 | アカウント管理 | 629 | ユーザー アカウント管理 | 4725 | 2008の場合、本イベントに加えて 5136も発生する。これは、「アカウン トの無効」化によって userAccountControl 属性が変更されるからである。 | |
| アカウント有効化 | アカウント管理 | 626 | ユーザー アカウント管理 | 4722 | 2008の場合、本イベントに加えて 5136も発生する。これは、「アカウン トの有効化によって userAccountControl 属性が変更されるからである。 | |
| ユーザーの削除 | アカウント管理 | 630 | ユーザー アカウント管理 | 4726 | イベントの本文に削除されたユーザーIDが記載されている | |
| グループ | セキュリティが有効なローカルグループの作成 | アカウント管理 | 635 | セキュリティ グループ管理 | 4731 | イベントの本文に作成されたグループ名が記載されている |
| セキュリティが有効なグローバルグループ の作成 | アカウント管理 | 631 | セキュリティ グループ管理 | 4727 | 同上 | |
| セキュリティが有効なユニバーサルグルー プの作成 | アカウント管理 | 658 | セキュリティ グループ管理 | 4754 | 同上 | |
| セキュリティが | アカウント管理 | 648 | 配布グループの管理 | 4744 | 同上 | |
| セキュリティが | アカウント管理 | 653 | 配布グループの管理 | 4749 | 同上 | |
| セキュリティが | アカウント管理 | 663 | 配布グループの管理 | 4759 | 同上 | |
| セキュリティが有効なローカルグループの 変更 | アカウント管理 | 639 | セキュリティ グループ管理 | 4735 | ユーザーアカウントと同様、属性が変更されたことを通知するイベント であり、具体的にどの属性が変更されたのかは、このイベントからは分からない。具体的な属性名はイ ベントID 566 および イベントID 4662 を参照する必要がある。2008の場合には、ユーザーオブジェク ト同様、イベントID 5136 が発生する。 | |
| セキュリティが有効なグローバルグループ の変更 | アカウント管理 | 641 | セキュリティ グループ管理 | 4737 | 同上 | |
| セキュリティが有効なユニバーサルグルー プの変更 | アカウント管理 | 659 | セキュリティ グループ管理 | 4755 | 同上 | |
| セキュリティが | アカウント管理 | 649 | 配布グループの管理 | 4745 | 同上 | |
| セキュリティが | アカウント管理 | 654 | 配布グループの管理 | 4750 | 同上 | |
| セキュリティが | アカウント管理 | 664 | 配布グループの管理 | 4760 | 同上 | |
| メンバ追加 セキュリティが有効なローカル グループ | アカウント管理 | 636 | セキュリティ グループ管理 | 4732 | グループにメンバが追加された場合に発生する。追加されたメンバはメ ッセージ本文に記載されている。一度に複数のユーザーを追加した場合には、追加されたユーザー の数だけイベントが発生する。メンバ追加は、member属性の変更であるため、本イベントの通知と 同時に、変更に関するイベント(639, 641, 659, 649, 654, 664)も発生する。さらに、566、4662 も 発生する。2008の場合には 5136 も発生する。 | |
| メンバ追加 セキュリティが有効なグロー バルグループ | アカウント管理 | 632 | セキュリティ グループ管理 | 4728 | 同上 | |
| メンバ追加 セキュリティが有効なユニバ ーサルグループ | アカウント管理 | 660 | セキュリティ グループ管理 | 4756 | 同上 | |
| メンバ追加 セキュリティが | アカウント管理 | 650 | 配布グループの管理 | 4746 | 同上 | |
| メンバ追加 セキュリティが | アカウント管理 | 655 | 配布グループの管理 | 4751 | 同上 | |
| メンバ追加 セキュリティが | アカウント管理 | 665 | 配布グループの管理 | 4761 | 同上 | |
| メンバ削除 セキュリティが有効なロー カルグループ | アカウント管理 | 637 | セキュリティ グループ管理 | 4733 | グループからメンバが削除された場合に発生する。削除されたメンバは メッセージ本文に記載されている。一度に複数のユーザーを削除した場合には、削除されたユーザ ーの数だけイベントが発生する。メンバ削除は、member属性の変更であるため、本イベントの通知 と同時に、変更に関するイベント(639, 641, 659, 649, 654, 664)も発生する。さらに、566、4662 も発生する。2008の場合には 5136 も発生する。なお、ユーザーが削除された場合にはこのイベン トは発生しない。 | |
| メンバ削除 セキュリティが有効なグロー バルグループ | アカウント管理 | 633 | セキュリティ グループ管理 | 4729 | 同上 | |
| メンバ削除 セキュリティが有効なユニバ ーサルグループ | アカウント管理 | 661 | セキュリティ グループ管理 | 4757 | 同上 | |
| メンバ削除 セキュリティが | アカウント管理 | 651 | 配布グループの管理 | 4747 | 同上 | |
| メンバ削除 セキュリティが | アカウント管理 | 656 | 配布グループの管理 | 4752 | 同上 | |
| メンバ削除 セキュリティが | アカウント管理 | 666 | 配布グループの管理 | 4762 | 同上 | |
| セキュリティが有効なローカルグループの 削除 | アカウント管理 | 638 | セキュリティ グループ管理 | 4734 | グループの削除時に発生するイベント。残念ながら削除時に参加してい たメンバはどこにも報告されない。 | |
| セキュリティが有効なグローバルグループ の削除 | アカウント管理 | 634 | セキュリティ グループ管理 | 4730 | 同上 | |
| セキュリティが有効なユニバーサルグルー プの削除 | アカウント管理 | 662 | セキュリティ グループ管理 | 4758 | 同上 | |
| セキュリティが | アカウント管理 | 652 | 配布グループの管理 | 4748 | 同上 | |
| セキュリティが | アカウント管理 | 657 | 配布グループの管理 | 4753 | 同上 | |
| セキュリティが | アカウント管理 | 667 | 配布グループの管理 | 4763 | 同上 | |
| グループの種類の変更 | アカウント管理 | 668 | セキュリティ グループ管理 | 4764 | グループの種類(セキュリティ ←→ 配布 および グローバル→ユニバ ーサル)が変更された場合に発生する。この処理は、具体的には 「groupType」属性の変更にあたるた め、同時に、566、4662も発生する。2008の場合には 5136 も発生する。ちなみに、以下のような メッセージが記録される。「セキュリティが有効なグローバル グループはセキュリティが無効な グローバル グループに変更されました。」 | |
Comments
- Anonymous
January 01, 2003
The comment has been removed - Anonymous
January 01, 2003
PingBack from http://geeklectures.info/2008/01/11/%e3%80%90windows-server-2008%e3%80%91%e7%9b%a3%e6%9f%bb%e3%82%a4%e3%83%99%e3%83%b3%e3%83%88%e3%81%ae-event-id-%e3%81%8c%e5%a4%89%e3%82%8f%e3%82%8a%e3%81%be%e3%81%99/