- PR -

ログオン、ログオフの(セキュリティ)ログについて

投稿者投稿内容
みゅう
会議室デビュー日: 2009/04/07
投稿数: 5
投稿日時: 2009-04-07 23:08
WinServer2003StandardにAD構築して
AD配下の各端末のログオン、ログオフのログを集めてます。
どのユーザがいつからいつまでどの端末を使っていたかを
調べるためなのですが、確認してみたところ、
同じ時刻(秒まで一緒。)に、ネットワークログオンの成功のログと
ユーザーのログオフのログが出力されています。
これはどういうことなのでしょうか?
当然、実際にはログオンしているだけで、そのときにログオフはしていません。

ネットワークログオンの成功のところには、kerberos認証と書いてありました。

どのようにすれば、ユーザがいつからいつまで
その端末を利用していたか調べることが可能になるでしょうか。
お教え下さい。
よろしくお願い致します。
BR6
常連さん
会議室デビュー日: 2009/03/04
投稿数: 33
お住まい・勤務地: 東京
投稿日時: 2009-04-08 10:37
当該ログのイベントIDを記載すると回答があるかも。。

因みにユーザのログオフのイベントIDが538であった場合、
対話的なログオン・ログオフとは無関係に記録される為、
対話的なログオン監査には利用できません。

引用:
どのようにすれば、ユーザがいつからいつまで
その端末を利用していたか調べることが可能になるでしょうか。


ログオン/ログオフスクリプトを使うのが、適当な気がする。。
みゅう
会議室デビュー日: 2009/04/07
投稿数: 5
投稿日時: 2009-04-10 15:41
BR6様

ご返答ありがとうございます。
イベントID、確かに538でした。
ログオンのは違ったはずですが。

>ログオン/ログオフスクリプトを使う

無知ですいません。
上記スクリプトというのは何かソフトを
買わないとできないのでしょうか?
監査対応なので、やらなきゃいけないのですが
いかんせん、そのあたりをお願いしてる別業者もよくわかってない状態でして。。。
試験問題作成委員会
ベテラン
会議室デビュー日: 2009/01/04
投稿数: 54
投稿日時: 2009-04-10 17:27
特殊なソフトは必要ありません。たとえば、こんなページ にサンプルがあります。
みゅう
会議室デビュー日: 2009/04/07
投稿数: 5
投稿日時: 2009-04-14 23:24
試験問題作成委員会様

貴重なご意見ありがとうございます!
書き込みを参考にさせていただき、
ログオン/ログオフスクリプトを作成しました。

そこでひとつ問題があるのですが、
各端末は有線ではなく、無線LAN環境なのです。
そのせいか、ログオンのログがうまくとれないことがあります。
無線LAN環境から有線に環境を変化させる、というのが一番だとは
思いますが、それは現実、無理な状態です。
他に何か良い手立てはないでしょうか。。。
BR6
常連さん
会議室デビュー日: 2009/03/04
投稿数: 33
お住まい・勤務地: 東京
投稿日時: 2009-04-15 10:44
引用:
そこでひとつ問題があるのですが、
各端末は有線ではなく、無線LAN環境なのです。
そのせいか、ログオンのログがうまくとれないことがあります。


何故、"無線LAN環境が原因かも"と思われたのでしょうか?

有線の検証環境を準備して、同一のログオン/ログオフスクリプトを同一の方法にて実装して、
原因の切り分けをしてみては?

# ログオン/ログオフスクリプトは試験問題作成委員会さんが示されたサイトのスクリプトを
# そのまま使用されていますか?
みゅう
会議室デビュー日: 2009/04/07
投稿数: 5
投稿日時: 2009-04-15 22:32
BR6様

無線LAN環境が原因かも?と思った理由は・・・
先日、ドメイン配下のユーザに対して、
次回ログオン時にPWの変更をする必要ありの
設定をした際、ログオン時にもPWの変更を促されなかったユーザが
多々いたからです。
あと、Windows起動してデスクトップが表示されて、
しばらくの間は無線LANの電波アイコンが「?」の状態で
しばらく経ってから電波が立つ状態なので、もしかして、
そのユーザのプロファイルは既に端末の中にできているから
うまくログオンができてないのかな?とか思ったりしたわけです。

ほんとは、
1、無線LANでDCにアクセスし、Windowsログオン
2、そこでログオンスクリプトが走る
となるはずでしょうが、この1の時点で無線LANが働いてなくて
端末の中のプロファイル情報でデスクトップ起動しちゃってるのかな?とか
思った次第です。

なんかよくわからない説明だったらすいません。
業者に聞いても同じようなこと言ってるだけで、全く解決しそうにないので
書き込みさせていただきました。。。

また、スクリプトについてはおそらく同じものと使ってるのではないかと。。。
業者にやってもらっちゃったので未確認ですが
ご紹介いただいたページを印刷して設定していたようなので。

[ メッセージ編集済み 編集者: みゅう 編集日時 2009-04-15 22:33 ]
BR6
常連さん
会議室デビュー日: 2009/03/04
投稿数: 33
お住まい・勤務地: 東京
投稿日時: 2009-04-16 11:05
引用:
ほんとは、
1、無線LANでDCにアクセスし、Windowsログオン
2、そこでログオンスクリプトが走る
となるはずでしょうが、この1の時点で無線LANが働いてなくて
端末の中のプロファイル情報でデスクトップ起動しちゃってるのかな?とか
思った次第です。


これまでの投稿を鑑みるに、クライアントOSはXPであると推察しますが、
XPは高速ログオン最適化機能が設定されており、デフォルトでは上記のような動作をすることがあります。

以下を参考に、ネットワークが接続されてからログオンするように変更してみては?
([コンピュータの起動およびログオンで常にネットワークを待つ]を有効化)
http://support.microsoft.com/kb/305293/ja

スキルアップ/キャリアアップ(JOB@IT)