検索

  
このブログのフィードを取得
[フィードとは]
  

最近のエントリー

  

カテゴリー

  

アーカイブ

  
Powered by
Movable Type 4.1

« windowsのイベントログをsyslog-ngで集める | メインですよ(エントリーアーカイブ) | Cactiのインストール »

「アカウントログオンイベントの監査」と「ログオン イベントの監査」の違い

大変紛らわしい、
・「アカウントログオンイベントの監査」
・「ログオン イベントの監査」
ですが、以下の違いがあります。

【アカウントログオンイベントの監査】
Active DirectoryのKerberos認証におけるTGTその他のチケットの発行を監査します。
 ログオン時にはチケットの発行のためにクライアントはドメインコントローラと通信し、
チケットを発行してもらう必要がありますので、監査の対象になります。
チケットの発行が成功すれば、ドメインコントローラのセキュリティログに672で記録されます。

May 19 18:14:17 dc101 security[success] 672 NT AUTHORITY\SYSTEM  認証チケットの要求:    ユーザー名:  DomainCtrl$    提供された領域名: EXAMPLE.LOCAL    ユーザー ID:  %{S-1-5-21-82319771-177121436-2465514707-1000}    サービス名:  krbtgt    サービス ID:  %{S-1-5-21-82319771-177121436-2465514707-502}    チケット オプション:  0x40810010    結果コード:  -    チケット暗号化の種類: 0x17    事前認証の種類: 2    クライアント アドレス:  127.0.0.1    証明書発行者名:     証明書シリアル番号:     証明書拇印:

 しかし、ログオフ時にはクライアントはチケットを単に自分で破棄するだけで監査はされません。

【ログオンイベントの監査】
 サーバに対するセッションの確立、切断を監査しています。
例えばサーバ上の共有ディレクトリに接続したり、ターミナルサービスに接続したりすると、ログオンとみなされます。
 このとき、イベントログに「ユーザのログオン」(ID: 540)が記録されます。
 しかし、セッションは明示的に処理が行われたり、デフォルトで15分無通信状態が続いたりした場合に切断され、イベントログには「ユーザのログオフ」(ID: 538)が記録されます。これは対話的なログオン、ログオフとは無関係に行われます。
 なので、このログをたよりに対話的なログオンの監査を試みても支離滅裂な結果が待ち受けてます。

#

# どのログオフが、どのログオンと対応しているかは

# ログオン ID:  (0x0,0xFABA4EF)

# でわかります。



May 19 17:56:49 TS001 security[success] 540 EXAMPLE\user01  ネットワーク ログオンの成功:    ユーザー名: user01    ドメイン:  EXAMPLE    ログオン ID:  (0x0,0xFABA4EF)    ログオンの種類: 3    ログオン プロセス: Advapi      認証パッケージ: Negotiate    ワークステーション名: TS001    ログオン GUID: -    呼び出し側ユーザー名: TS001$    呼び出し側ドメイン: EXAMPLE    呼び出し側ログオン ID: (0x0,0x3E7)    呼び出し側プロセス ID: 2716    移行されたサービス: -    ソース ネットワーク アドレス: -    ソース ポート: -

May 19 17:56:49 TS001 security[success] 538 EXAMPLE\user01  ユーザーのログオフ:    ユーザー名: user01    ドメイン:  EXAMPLE    ログオン ID:  (0x0,0xFABA4EF)    ログオンの種類: 3



May 19 17:56:50 TS001 security[success] 540 EXAMPLE\user01  ネットワーク ログオンの成功:    ユーザー名: user01    ドメイン:  EXAMPLE    ログオン ID:  (0x0,0xFABA6C4)    ログオンの種類: 3    ログオン プロセス: Advapi      認証パッケージ: Negotiate    ワークステーション名: TS001    ログオン GUID: -    呼び出し側ユーザー名: TS001$    呼び出し側ドメイン: EXAMPLE    呼び出し側ログオン ID: (0x0,0x3E7)    呼び出し側プロセス ID: 2716    移行されたサービス: -    ソース ネットワーク アドレス: -    ソース ポート: -

May 19 17:56:50 TS001 security[success] 538 EXAMPLE\user01  ユーザーのログオフ:    ユーザー名: user01    ドメイン:  EXAMPLE    ログオン ID:  (0x0,0xFABA6C4)    ログオンの種類: 3

じつにわけのわからないログですね。
しかもWindows2000では「ログオフが記録されない」という現象もあったようです。
■Logoff event messages are not logged in the security log when you use the Audit Logon Events feature in Windows 2000

ユーザーがドメイン(や、特にターミナルサーバー、MetaFrameサーバー)にログオンしたか、
ログオフしたかを正しく監査するには、ログオン/ログオフスクリプトをつかって
イベントビューアに書き込んだ方がいいでしょう。
参考:Active Directory ドメインで、ユーザのログオン/ログオフの状況を監査したい

また、監査全般についてはこちらの記事を参考にしてください。
イベントログ説明
マイクロソフトの Securing Windows 2000 Server ソリューション
第 9 章 ‐ 監査と侵入検出

投稿者: くわぞう 日時: 2006年5月19日 18:05 |

コメントを投稿

(いままで、ここでコメントしたことがないときは、コメントを表示する前にこのブログのオーナーの承認が必要になることがあります。承認されるまではコメントは表示されません。そのときはしばらく待ってください。)