「アカウントログオンイベントの監査」と「ログオン イベントの監査」の違い

くわぞう
(2006年5月19日 18:05) |

大変紛らわしい、
・「アカウントログオンイベントの監査」
・「ログオン イベントの監査」
ですが、以下の違いがあります。

【アカウントログオンイベントの監査】 Active DirectoryのKerberos認証におけるTGTその他のチケットの発行を監査します。  ログオン時にはチケットの発行のためにクライアントはドメインコントローラと通信し、 チケットを発行してもらう必要がありますので、監査の対象になります。 チケットの発行が成功すれば、ドメインコントローラのセキュリティログに672で記録されます。 
May 19 18:14:17 dc101 security[success] 672 NT AUTHORITY\SYSTEM  認証チケットの要求:    ユーザー名:  DomainCtrl$    提供された領域名: EXAMPLE.LOCAL    ユーザー ID:  %{S-1-5-21-82319771-177121436-2465514707-1000}    サービス名:  krbtgt    サービス ID:  %{S-1-5-21-82319771-177121436-2465514707-502}    チケット オプション:  0x40810010    結果コード:  -    チケット暗号化の種類: 0x17    事前認証の種類: 2    クライアント アドレス:  127.0.0.1    証明書発行者名:     証明書シリアル番号:     証明書拇印:
 しかし、ログオフ時にはクライアントはチケットを単に自分で破棄するだけで監査はされません。

【ログオンイベントの監査】  サーバに対するセッションの確立、切断を監査しています。 例えばサーバ上の共有ディレクトリに接続したり、ターミナルサービスに接続したりすると、ログオンとみなされます。  このとき、イベントログに「ユーザのログオン」(ID: 540)が記録されます。  しかし、セッションは明示的に処理が行われたり、デフォルトで15分無通信状態が続いたりした場合に切断され、イベントログには「ユーザのログオフ」(ID: 538)が記録されます。これは対話的なログオン、ログオフとは無関係に行われます。  なので、このログをたよりに対話的なログオンの監査を試みても支離滅裂な結果が待ち受けてます。 

#
# どのログオフが、どのログオンと対応しているかは
# ログオン ID:  (0x0,0xFABA4EF)
# でわかります。



May 19 17:56:49 TS001 security[success] 540 EXAMPLE\user01  ネットワーク ログオンの成功:    ユーザー名: user01    ドメイン:  EXAMPLE    ログオン ID:  (0x0,0xFABA4EF)    ログオンの種類: 3    ログオン プロセス: Advapi      認証パッケージ: Negotiate    ワークステーション名: TS001    ログオン GUID: -    呼び出し側ユーザー名: TS001$    呼び出し側ドメイン: EXAMPLE    呼び出し側ログオン ID: (0x0,0x3E7)    呼び出し側プロセス ID: 2716    移行されたサービス: -    ソース ネットワーク アドレス: -    ソース ポート: -
May 19 17:56:49 TS001 security[success] 538 EXAMPLE\user01  ユーザーのログオフ:    ユーザー名: user01    ドメイン:  EXAMPLE    ログオン ID:  (0x0,0xFABA4EF)    ログオンの種類: 3



May 19 17:56:50 TS001 security[success] 540 EXAMPLE\user01  ネットワーク ログオンの成功:    ユーザー名: user01    ドメイン:  EXAMPLE    ログオン ID:  (0x0,0xFABA6C4)    ログオンの種類: 3    ログオン プロセス: Advapi      認証パッケージ: Negotiate    ワークステーション名: TS001    ログオン GUID: -    呼び出し側ユーザー名: TS001$    呼び出し側ドメイン: EXAMPLE    呼び出し側ログオン ID: (0x0,0x3E7)    呼び出し側プロセス ID: 2716    移行されたサービス: -    ソース ネットワーク アドレス: -    ソース ポート: -
May 19 17:56:50 TS001 security[success] 538 EXAMPLE\user01  ユーザーのログオフ:    ユーザー名: user01    ドメイン:  EXAMPLE    ログオン ID:  (0x0,0xFABA6C4)    ログオンの種類: 3

じつにわけのわからないログですね。
しかもWindows2000では「ログオフが記録されない」という現象もあったようです。
■Logoff event messages are not logged in the security log when you use the Audit Logon Events feature in Windows 2000

ユーザーがドメイン(や、特にターミナルサーバー、MetaFrameサーバー)にログオンしたか、
ログオフしたかを正しく監査するには、ログオン/ログオフスクリプトをつかって
イベントビューアに書き込んだ方がいいでしょう。
参考:Active Directory ドメインで、ユーザのログオン/ログオフの状況を監査したい

また、監査全般についてはこちらの記事を参考にしてください。
イベントログ説明
マイクロソフトの Securing Windows 2000 Server ソリューション
第 9 章 ‐ 監査と侵入検出

カテゴリ:

このブログ記事について

このページは、くわぞうが2006年5月19日 18:05に書いたブログ記事です。

ひとつ前のブログ記事は「windowsのイベントログをsyslog-ngで集める」です。

次のブログ記事は「Cactiのインストール」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

Powered by Movable Type 4.1

検索

最近のブログ記事

カテゴリ