Windows 10でイベントログ の変更点
技術情報2Windows10
/ EventLog / Audit の変更点
- ソース を表示
- Windows10/EventLog/Audit へ行く。
現: 2019-11-19 (火) 01:21:28 nobuaki   |
|||
|---|---|---|---|
| Line 1: | Line 1: | ||
| + | *Windows 10でイベントログ [#ye370161] | ||
| + | **はじめに [#nc41e052] | ||
| + | |||
| + | Windowsはユーザが多いのでセキュリティ的にも狙われがちだけれど,その防衛手段として監査ログが充実している模様. | ||
| + | ログオン・ログオフの成功と失敗の監査はWindows NTの時代からあったと思うけれど,今現在はどのプログラムいつ起動したかまで取れる模様. | ||
| + | ということで,ログを取って見る. | ||
| + | 今回は,ドメインに所属していないWindows 10 Professional(Windows 8.1からのアップグレード版)を用いている. | ||
| + | |||
| + | **ローカルセキュリティポリシーツールの起動 [#v66d2f3b] | ||
| + | |||
| + | 監査ログを残すには,ポリシーの設定が必要.今回はドメイン運用してないので,ローカルセキュリティポリシーを設定する. | ||
| + | |||
| + | #ref(site://modules/xelfinder/index.php?page=view&file=6487&Windows10Auditsetting2.jpg,center) | ||
| + | 歯車アイコンの[設定]ではなく,[コントーロールパネル]を探して開く. | ||
| + | |||
| + | #ref(site://modules/xelfinder/index.php?page=view&file=6488&Windows10Auditsetting3.jpg,center) | ||
| + | 表示方法を[大きいアイコン]にすると[管理ツール]がでてくる. | ||
| + | |||
| + | #ref(site://modules/xelfinder/index.php?page=view&file=6489&Windows10Auditsetting4.jpg,center) | ||
| + | [ローカルセキュリティポリシー]があるので起動する. | ||
| + | |||
| + | **セキュリティの設定 [#tcc93cdd] | ||
| + | |||
| + | ローカルセキュリティポリシーので,ローカルポリシーを設定する. | ||
| + | |||
| + | #ref(site://modules/xelfinder/index.php?page=view&file=6490&Windows10Auditsetting5.jpg,center) | ||
| + | |||
| + | #ref(site://modules/xelfinder/index.php?page=view&file=6491&Windows10Auditsetting6.jpg,center) | ||
| + | 初期状態では全て[監査しない]となっている. | ||
| + | |||
| + | #ref(site://modules/xelfinder/index.php?page=view&file=6492&Windows10Auditsetting7.jpg,center) | ||
| + | 各監査項目のプロパティを開いて,設定を行う.今回は,成功も失敗も記録する感じで. | ||
| + | |||
| + | #ref(site://modules/xelfinder/index.php?page=view&file=6493&Windows10Auditsetting8.jpg,center) | ||
| + | 今回はドメインに参加してないので,ディレクトリサービスのところ以外は監査ログを残すことにした. | ||
| + | |||
| + | **イベントビューアを確認 [#y671706d] | ||
| + | |||
| + | 監査ログを有効にしたら,イベントビューアを使ってログを確認. | ||
| + | |||
| + | #ref(site://modules/xelfinder/index.php?page=view&file=6494&Windows10Auditsetting9.jpg,center) | ||
| + | この例では,コマンドプロンプトを起動した結果がこれで出ている. | ||
| + | |||
| + | #ref(site://modules/xelfinder/index.php?page=view&file=6495&Windows10Auditsetting10.jpg,center) | ||
| + | 次に,ログオフ/ログオンを行い,ログオンの監査を確認. | ||
| + | |||
| + | #ref(site://modules/xelfinder/index.php?page=view&file=6496&Windows10Auditsetting11.jpg,center) | ||
| + | イベントID 4624が対象となる模様. | ||
- Windows10/EventLog/Audit のバックアップ差分(No. All)
- 現: 2019-11-19 (火) 01:21:28 nobuaki
Counter: 1321,
today: 1,
yesterday: 1
