- PR -

イベントログの重複

1|2 次のページへ»
投稿者投稿内容
ともこ
大ベテラン
会議室デビュー日: 2007/09/14
投稿数: 111
投稿日時: 2007-12-19 15:01
いつもお世話になります。
現在、WindowsServer2003上に共有フォルダを設け、ファイルサーバーとして運用しています。そして今回、以下のようなセキュリティ監査の設定を行ないました。
 グループポリシー>ローカルポリシー>監査ポリシー>オブジェクトアクセスの監査 → 成功・失敗
この設定を行って以降なのか元々なのか、同じ内容のイベントログが続けて複数発生しています。多いものでは6個くらい。(下記参照)
■ログ詳細・・・これとまったく同じ内容が複数個存在します。
 日付:2007/12/17
 時刻:14:09:33
 ソース:Security
 分類:(3)
 種類:成功の監査
 イベントID:567
 ユーザー:○○○
 コンピュータ:SERVER
 説明:オブジェクトアクセスの試行:
    オブジェクトサーバー:Security
    ハンドルID:16296
    オブジェクトの種類:File
    プロセスID:4
    イメージファイル名:
    アクセスマスク:ReadAttributes
設定前の状態が不明なので比較できませんが、ログの量が異常に多く、必要なログが上書きされて残っていません。
 件数:50万件
 ログの残存期間:3時間程度(それ以前は上書きされていると思われる)
 ファイルサイズ:128MB
みなさんは同じログが複数存在していると言う事はありませんか?
また、ログの容量はどれくらいでしょうか?
あと、128MBしか残せないのですが、もっと保持量を増やす事は可能でしょうか?
定期的にファイルにエクスポートするツールもありますが、お勧めなのはありますか?

以上、アドバイスを頂けましたら助かります。
よろしくお願いします。
上総
大ベテラン
会議室デビュー日: 2006/06/22
投稿数: 107
投稿日時: 2007-12-19 15:37
引用:

ともこさんの書き込み(投稿日時: 2007-12-19 15:01)より
設定前の状態が不明なので比較できませんが、ログの量が異常に多く、必要なログが上書きされて残っていません。
 件数:50万件
 ログの残存期間:3時間程度(それ以前は上書きされていると思われる)
 ファイルサイズ:128MB

XPでイベントビューアの設定を変更してみたら、4,194,240KB(つまりは4GB)まで
OKみたいです。
(メモリ等の容量により変更されるものかもしれませんが)
ちなみに私が使用している端末はXPで2GBのメモリを積んでます。

使用している端末が2003 Serverと言う事ですので、XPよりは書き込めそうな気がします。
ともこ
大ベテラン
会議室デビュー日: 2007/09/14
投稿数: 111
投稿日時: 2007-12-21 15:03
上総さん、いつも助かっています、ありがとうございます。

イベントビューアで設定したところイベントログの最大サイズが変更できました!

しかし、同じ内容のイベントが重複して発生していたりするケースがあり、イベントの量が増加しています。重複して発生する件に関しては何か心当たりはないでしょうか?

あと、「オブジェクトアクセスの監査」、「アカウント管理の監査」など、監査対象を大まかにはON・OFF設定可能なのですが、「オブジェクトアクセスの監査」の中でも「特定のイベントIDのみログを残す」、「特定のユーザーのみログを残す」といったような詳細設定は行なえないのでしょうか?

もしくは、「特定のイベントIDが発生した場合のみ外部ファイル(CSVファイル、テキストファイル等)へ書き込む」といった便利ツールは無いのでしょうか?

余分なログが余りにも多くて管理しきれません。
どなたか良い方法をご存知の方はアドバイスをお願いします。
ともこ
大ベテラン
会議室デビュー日: 2007/09/14
投稿数: 111
投稿日時: 2007-12-26 17:09
上総さん、イベントログの最大サイズですが、
設定値を1GBにしたのですが334MBまでしか増えませんでした。
ちなみにメモリは1GBです。やはりメモリサイズと関係してるのでしょうか?思っていた以上にサイズが小さく、大切なログがすぐ消えてしまいます。

みなさんはどのようにログを残し管理されていますか?
やはりこまめにファイルに書き出していくしかないのでしょうか?
ゆうじゅん
ぬし
会議室デビュー日: 2004/01/16
投稿数: 347
投稿日時: 2007-12-27 10:59
ファイル監査が設定されているようですが、もしかして
すべてのファイルに対して、全ユーザ、フルコントロールで監査
していませんか?

その場合、出力されるログの量はかなりのものになります。

対策としては
1)監査対象のファイルを限定する
2)監査対象のアクセス権を限定する(例:作成、追加、書き込み、削除)

ファイル監査については、以下のURLを参照してください
http://support.microsoft.com/kb/300549/ja
ともこ
大ベテラン
会議室デビュー日: 2007/09/14
投稿数: 111
投稿日時: 2007-12-27 13:38
ゆうじゅんさん、コメントありがとうございます。

監査の設定ですが、イベントログの増大を考慮して今は複数あるうちの1つ「オブジェクトアクセスの監査」のみ有効にしています。しかし、ファイルサーバーとして運用しているので監査対象である共有ファイル数、アクセスユーザー数はかなり多いです。

教えていただいたサイトを確認したのですが、@[成功]A[失敗]B[成功] と [失敗]の3種類は選択可能ですが、「ファイルの削除にみ」、「ファイルの書き込みのみ」といったようなイベント制限はできないようでした。

また、あるユーザーAがファイルBを削除した場合、
 1.ユーザーAがファイルBを選択した ・・・ ハンドルID:C
 2.ユーザーAが削除した ・・・ ハンドルID:C
と同じハンドルIDで「開く」と「削除」の2つのログが発生します。
その為、両方を確認しないと誰が何を削除したか分かりません。

必要なログのみを残すには、定期的にEventQueryなどを使用して物理的にファイルを分けて扱うしかないのでしょうか?


ゆうじゅん
ぬし
会議室デビュー日: 2004/01/16
投稿数: 347
投稿日時: 2007-12-27 14:22
引用:

教えていただいたサイトを確認したのですが、@[成功]A[失敗]B[成功] と [失敗]の3種類は選択可能ですが、「ファイルの削除にみ」、「ファイルの書き込みのみ」といったようなイベント制限はできないようでした。


アクセス権ごとに、「成功」「失敗」の監査を設定できますので、
読み込み系のアクセス権の監査をはずすだけで、ログの量はだいぶ
減ると思います。

どのようなアクセス権に対して、監査ができるかについては
実際の設定画面を見てください。

あと、アクセスしたファイル名は「イメージファイル」の欄に
出力されていませんか
チャブーン
大ベテラン
会議室デビュー日: 2006/11/25
投稿数: 149
投稿日時: 2008-01-03 05:28
チャブーンです。

ファイルの監査については、したのページを見てみてはどうでしょうか。

http://download.microsoft.com/download/A/5/8/A58AF361-D829-4EB6-B248-D552696AD81D/logauditfile.pdf

うえのページを見てもらえば設定の仕方や読み方については、ある程度の情報がえられるでしょう。あと、残念ですがセキュリティログのサイズは実質 300MB 以上にはならないようです。これはうえの 51 ページに書いてあります。
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)