イベントビューアーで取得されるログ自体を減らすもしくは絞り込むことは可能ですか

Anonymous
2024-05-29T04:56:11+00:00

ADサーバのGroupPolicy変更があった場合のみ、イベントビューアー上で変更の検知(イベントID4016)を取得したいのですが、恐らく、認証動作のようなもので、大体5分毎にログが自動的に吐き出され、自分たちが手動で行ったADでのGroupPolicyの変更のログが埋もれてしまいます。

故意的にADでGroupPolicyの変更を行った場合のみ、イベントビューアーでログが吐き出される、という設定や対策はできないでしょうか。
例えば、ADのGroupPolicyの設定やレジストリでイベントビューアーに吐き出されるログの制限をかける、など、、

**モデレーター注**

この質問は Windows / Windows 10 / セキュリティ、プライバシー、アカウント に投稿されましたが、内容から判断してこちらのカテゴリに移動いたしました。

適切なカテゴリに投稿すると、返信や回答が得られやすくなり、同じ質問を持つ他のユーザーの参考にもなります。

ビジネス向け Windows | Windows Server | ディレクトリ サービス | Active Directory

ロックされた質問。 この質問は、Microsoft サポート コミュニティから移行されました。 役に立つかどうかに投票することはできますが、コメントの追加、質問への返信やフォローはできません。 プライバシーを保護するために、移行された質問のユーザー プロファイルは匿名化されます。

0 件のコメント コメントはありません
{count} 件の投票

17 件の回答

並べ替え方法: 最も役に立つ
  1. Anonymous
    2024-05-29T06:31:27+00:00

    この応答は自動的に翻訳されています。 その結果、文法上の誤りや奇妙な言い回しが生じる可能性があります。

    こんにちは鈴木瑠華、

    マイクロソフト コミュニティ フォーラムに投稿していただき、ありがとうございます。

    イベント ビューアのフィルタリング機能を利用して特定のイベントのみを表示し、手動で変更したグループ ポリシーを簡単に識別できるようにします。

    サーバー上で、イベント ビューアーを開きます。次の場所に移動します。

    Windows ログ -> セキュリティまたはアプリケーションとサービス ログ -> Microsoft -> Windows -> GroupPolicy -> Operational。

    右側の「アクション」パネルで、「カスタム・ビューの作成」を選択します。

    [ログ名] で、上記のように適切なログを選択します。

    [イベント ID] に「4016」と入力します。

    「OK」をクリックし、カスタマイズしたビューに名前を付けて保存します。

    または、イベント・ログ・ポリシーをカスタマイズして、特定のタイプのイベントのみをログに記録することもできます。

    GPMC を開き、影響サーバーを編集する GPO を作成し、[ポリシー] の [次の場所] に移動します。

    [コンピュータの構成] -[> ポリシー] -[>管理用テンプレート] -> [Windows コンポーネント] -> イベント ログ サービス。

    必要に応じて、ログサイズの制限や特定のイベントレベルの設定など、関連する設定を調整します。

    よろしくお願いいたします

    ノイヴィ・ジャン

    0 件のコメント コメントはありません
  2. Anonymous
    2024-06-06T07:59:40+00:00

    お返事、ありがとうございます!!

    ただ、
    必要に応じて、ログサイズの制限や特定のイベントレベルの設定など、関連する設定を調整します。
    と返事頂きましたが、この詳細が知りたいです。

    説明不足で申し訳ないです。。

    例えば、イベントビューアーのグループポリシーには、

    ”サーバーマネージャー>グループポリシーの管理>ドメイン名>Default Domain Policy”で右クリックし、「編集」で行ったグループポリシーの変更を出力させる方法はないのでしょうか。。

    また、”サーバーマネージャー>グループポリシーの管理>ドメイン名>任意のOU”で右クリックし、「編集」で行ったグループポリシーの変更を出力させる方法はないのでしょうか。。

    0 件のコメント コメントはありません
  3. Anonymous
    2024-06-06T08:33:31+00:00
    0 件のコメント コメントはありません
  4. Anonymous
    2024-06-07T00:45:01+00:00

    お返事ありがとうございます!!

    浅学ですみません、、この記事はすでに見たことがあったのですが、今回私が解決したい問題、グループポリシーの管理から、子(OU)のグループポリシーを変更した内容をイベントビューアーのGroupPolicy/Operational イベントID4016で確認する方法の記載場所がわからないです。。
    もしくは別のイベントIDでも表示可能ならそれでも構わないのですが、GPO変更は4016しかヒットしないようにみえます。。

    >例えば、イベントビューアーのグループポリシーには、

    >”サーバーマネージャー>グループポリシーの管理>ドメイン名>Default Domain Policy”で右クリ>ックし、「編集」で行ったグループポリシーの変更を出力させる方法はないのでしょうか。。

    >また、”サーバーマネージャー>グループポリシーの管理>ドメイン名>任意のOU”で右クリック>し、「編集」で行ったグループポリシーの変更を出力させる方法はないのでしょうか。。

    が記載されている箇所がわからず、、、もし分かるのであればご教示頂きたいです。。

    0 件のコメント コメントはありません
  5. Anonymous
    2024-06-07T02:14:18+00:00

    そのようなフィルターは XML 形式のフィルター(XPath 形式)を利用します。

    今手元ですぐご希望のフィルターを示せないのですが、XPath 形式でのフィルターについては以下が参考になってよく分かると思います。

    0 件のコメント コメントはありません