2016 Real-Time Auditing for Active Directory with 200+ audit reports & e-mail alerts スタートアップガイド 2016 年 3 月 24 日 発 行 ( 第 二 版 ) COPYRIGHT ZOHO JAPAN CORP. ALL RIGHTS RESERVED
著作権について 本ガイドの著作権は ゾーホージャパン株式会社が所有しています 注意事項 本ガイドの内容は 改良のため 予告なく変更することがあります ゾーホージャパン株式会社は本ガイドに関しての一切の責任を負いかねます 当社はこのガイドを 使用することにより引き起こされた偶発的もしくは間接的な損害についても責任を負いかねます 商標一覧 Oracle と Java は Oracle Corporation 及びその子会社 関連会社の米国及びその他の国における 登録商標です 文中の社名 商品名等は各社の商標または登録商標である場合があります Windows は 米国およびその他の国における米国 Microsoft Corp. の登録商標です ManageEngine は ZOHO Corporation 社の登録商標です なお 本ガイドでは (R) TM 表記を省略しています 1
目次 1. はじめに... 4 1-1 本ガイドについて... 4 1-2 対象読者... 4 1-3 本ガイドの見方... 4 1-4 ADAudit Plus 製品使用上の注意点... 5 2. 主な機能と特徴概要... 6 2-1 ライセンスの種類... 6 2-2 標準ライセンス... 7 2-3 オプション ライセンス... 8 3. インストール... 9 3-1 システム要件... 9 3-2 インストール手順... 10 4. 起動と停止... 14 4-1 手動での起動/停止... 14 4-2 Windows サービスとしての起動/停止... 15 5. Web コンソールへのアクセス... 17 6. 各画面の解説... 18 6-1 ログイン画面... 18 6-2 ホームタブ... 19 6-3 レポートタブ... 19 6-4 ファイル監査タブ オプション機能... 21 6-5 サーバー監査タブ オプション機能... 22 6-6 アラートタブ... 23 6-7 構成タブ... 24 6-8 管理タブ... 25 7. 初期設定... 26 7-1 ドメインコントローラーの登録... 26 7-2 ドメイン認証情報の登録... 27 7-3 監査ポリシーの設定... 28 7-4 グループポリシーの設定... 30 8. システム設定... 35 8-1 接続先ポート番号変更設定 任意の設定... 35 8-2 メールサーバー設定... 36 2
8-3 パーソナライズ設定... 37 8-4 ビジネス時間の設定... 40 8-5 技術者の登録... 41 8-6 イベントのアーカイブ設定... 43 8-7 ディスク容量警告設定... 44 8-8 除外ユーザーアカウント設定... 45 9. レポート機能... 46 9-1 レポートタブの項目紹介... 46 9-2 レポートプロファイルの設定... 52 10. アラート機能... 54 11 高度な設定... 55 12. バックアップとリストア... 57 13. トラブルシューティングとヒント... 59 13-1 ADAudit Plus へのログインエラーについて... 59 13-2 ドメインコントローラーの追加について... 59 13-3 NTLM 認証によるイベント収集について... 60 3
1. はじめに 1-1 本ガイドについて 本ガイドでは ADAudit Plus のインストール方法から初期設定の内容について説明しています また本ガイドはビルド 4685 を元に作成しています 1-2 対象読者 本ガイドは 導入に関するシステム管理者を対象としています 1-3 本ガイドの見方 本ガイドでは 文字の書体を次のように区別して記載しています 表 1 文字の書体について 字体または記号 説明 AaBbCc123 ファイル名 ディレクトリ名 画面上の出力を表示します AaBbCc123 AaBbCc123 [AaBbCc123] 例 ユーザーが入力する文字を 画面上のコンピューター出 力と区別して示します ManageEngine_ADAudit_Plus_x64.exe を管 理者権限にて実行します アドレスバーに http://host_name :port_number を入力しま す 変数を示します 実際に使用する特定の名前または値 インストールしたディレクトリを ADAudit で置き換えます Plus_Home とし 説明を行います ボタンやメニュー名 強調する単語を示します [ファイル監査]タブ 4
1-4 ADAudit Plus 製品使用上の注意点 ADAudit Plus が使用するポートは以下の通りです 利用時にはポートが使用できる状態にしてください 表 2 サーバー使用ポート TCP UDP ポート番号 TCP 25 解説 SMTP ADAP からメールを送信するために ADAP へ設定したメールサーバーまでの疎通 ポート番号変更可能 TCP/UDP 53 UDP 67,68 TCP/UDP 88 DNS 遠隔フォレストの DHCP を使用している場合は必要 Kerberos ADAP が Kerberos 認証を使用している場合は必要だが LDAP 認証の場合は不要 TCP/UDP 135 RPC, ECM, DCOM TCP/UDP 389 SMB over IP (WMI) TCP/UDP 445 LDAP TCP 636 ADAP が LDAPS を使用している場合は必要 TCP 8081 ADAP がインストールされているフォレスト以外から ADAP Web サーバーにアクセスする場合 Non-SSL ポート番号変更可能 TCP 8444 ADAP がインストールされているフォレスト以外から ADAP Web サーバーにアクセスする場合 SSL ポート番号変更可能 5
2. 主な機能と特徴概要 2-1 ライセンスの種類 Manage Engine 製品には 通常ライセンス と 年間ライセンス の 2 つのライセンス形態があります 以下がそ れぞれの特徴とメリットを挙げたものです 表 3 通常ライセンスと年間ライセンスの比較 種類 特徴 通常ライセンス メリット 無期限の製品ライセンスに 初年度のみの年間保守サポートサ ービスが含まれている 半永久的にソフトウェアが利用可 製品の納品日から保守サービスが開始され 以後 1 年ごとに 能 無期限の使用許諾 年間保守サポートサービス契約を更新する 年間ライセンス 1 年間利用可能な製品ライセンスで 年間保守サポートサービス が含まれている 1 年ごとに年間ライセンス契約を更新する 毎年使用権を購入する体系で 少額の費用で利用開始可能 また ADAudit Plus は 30 日間無料でフル機能を試用可能な評価版を提供しています そして 30 日が経過 後 プロフェッショナルエディションの購入がない場合は自動的に無料プランに移行します 6
評価版からプロフェッショナルエディションにアップグレードする方法 ADAudit Plus 画面の右上にある[ライセンス]をクリックすると 製品のライセンス情報ページが表示されます 図 1 ライセンスのアップグレード画面 [ライセンス ファイルを指定]の[参照]クリックし 購入いただいたライセンスファイルを選択します 3) [アップグレード]をクリックすると ライセンスが適用されます 2-2 標準ライセンス ADAudit Plus はドメインコントローラーの数に依存するライセンスです 以下がプロフェッショナルエディションの標 準機能となっております 表 4 標準ライセンスの役割と機能 標準ライセンスの種類 Active Directory 監査 GPO の設定監査 アラートの生成と通知 監査レポートの生成と通知 役割 機能の一部 Active Directory オブジェクトの監査 すべての GPO の変更を監査 内容変更 フォルダー構成の変更 アクセス権限の変更 最近の GPO 作成 管理レポートのスケジュール化 アラートプロファイルの作成 アラートのメール通知 プロファイルごとに複数の通知先を設定 リアルタイムのアラート作成 変更活動レポートの作成 各コンプライアンス要求に対応し 監査情報を基にカテゴリー別にレポート た監査レポートの作成 7
2-3 オプション ライセンス 加えて必要に応じ 以下のアドオンが購入可能となっております 表 5 購入可能なアドオン一覧 アドオンの種類 ファイルサーバー監査 ワークスステーション監査 メンバーサーバー監査 役割 機能の一部 ファイル/フォルダーのアクセス監査 ログオン/ログオフ監査 ワークステーションの活動監査 ログオン/ログオフ活動の監査 メンバーサーバーの活動監査 8 内容変更 フォルダー構成の変更 アクセス権限の変更 ログインの成功 失敗レポート ログオン期間 回数レポート プロセス追跡レポート レポートのスケジュール化 アラート通知 関連プロセスの監査
3. インストール 3-1 システム要件 ManageEngine ADAudit Plus は.exe 形式で配布されています Windows の 32 ビットと 64 ビットバージョ ンで利用でき 以下の推奨システム要件を満たしたドメイン内の任意のサーバーへ インストールすることが可能です CPU Pentium 4 プロセッサー 1.0 GHz 以上 メモリー 1GB 以上 ハードディスク 1GB 以上 サポート OS ManageEngine ADAudit Plus は 以下のバージョンの Microsoft Windows OS にインストールすることがで きます Windows 7/ 8 Windows Server 2008/ 2008 R2 / 2012 /2012 R2 サポートする Web ブラウザ ManageEngine ADAudit Plus は以下の Web ブラウザを必要とします Internet Explorer 11 Firefox 40 以上 Chrome 45 以上 JavaScript の実行を許可してください サポートするログ管理対象 ManageEngine ADAudit Plus はログ管理対象として以下をサポートしています Active Directory 2003 以上 Windows File Server 2003 以上 NetApp Filer - Data ONTAP 7.2 以上 Windows Failover Cluster with SAN 9
3-2 インストール手順 ManageEngine_ADAudit_Plus_x64.exe を管理者権限にて実行します 実行後はウィザード形式によ りインストールを行います [Next]をクリックします 図 2 3) ADAudit Plus インストール画面 ライセンス条項を承諾後 [Yes]をクリックします 図 3 ADAudit Plus インストール画面 10
4) インストールディレクトリを選択します デフォルトは C:\ProgramFiles(x86)\ManageEngine\ADAudit Plus です 以降本ガイドでは インストールしたディレクトリを ADAudit Plus_Home とし 説明を行いま す 図 4 5) ADAudit Plus インストール画面 Web サーバーのポート番号を入力します デフォルトでは 8081 です 図 5 ADAudit Plus インストール画面 11
6) お客様情報を入力してください 任意 図 6 7) ADAudit Plus インストール画面 ADAudit Plus をインストールするか選択を行います 図 7 ADAudit Plus インストール画面 12
8) インストールの完了です [Yes, I want to view readme file][start ADAudit Plus Server]のチェックを 必要に応じて選択後 [Finish]ボタンをクリックします 図 8 ADAudit Plus インストール画面 13
4. 起動と停止 4-1 手動での起動/停止 ADAudit Plus を起動する場合 [スタート] [すべてのプログラム] [ ADAudit Plus] [Start ADAudit Plus Server]を選択します ADAudit Plus はログオン中のユーザーカウントでのみ作動します 図 9 ADAudit Plus の起動方法 手動 ADAudit Plus を停止する場合 ADAudit Plus を停止するには [スタート] [すべてのプログラム] [ADAudit Plus ] [Stop ADAudit Plus Server]を選択します 図 10 ADAudit Plus の停止方法 手動 14
4-2 Windows サービスとしての起動/停止 サービスの追加手順 スタートメニューをクリックします ADAudit Plus の中にある[Install ADAP Service]をクリックして起動します 3) ADAudit Plus がサービスに追加されます 図 11 サービスの追加画面 エクスプローラーから起動する場合 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ADAudit Plus\NT Service を展開します [Install ADAP Service]を選択してクリックします 3) ADAudit Plus がサービスに追加されます 15
サービスの起動手順 Windows サービスとして起動する場合 Windows サービスへ登録すると OS 起動時 停止時に自動的にサービスを起動 停止します 図 12 Windows サービスの起動画面 [スタート] [コントロールパネル] [管理ツール] [サービス]を開き [ManageEngine ADAudit Plus]を選択し ます そして ボタンを押して サービスを開始してください Windows サービスとして停止する場合 [スタート] [コントロールパネル] [管理ツール] [サービス]を開き [ManageEngine ADAudit Plus]を選択し ます そして ボタンを押して サービスを停止してください 図 13 Windows サービスの停止画面 16
5. Web コンソールへのアクセス JavaScript の実行を許可した状態で Internet Explorer や Mozilla Firefox などの Web ブラウザを起動し ます アドレスバーに http://host_name : port_number を入力します 3) [host_name]は ADAudit Plus が動作しているマシンのホスト名または IP アドレスであり [port_number]はイ ンストール時に ADAudit Plus の Web サーバーを動作させるポートとして指定した値です デフォルトのポート 番号は 8081 です SSL を有効にした場合は アドレスバーに https://host_name:port_number を入力します 4) ユーザー名とパスワードを入力してログインをクリックします デフォルトのユーザー名とパスワードは両方ともに admin です 17
6. 各画面の解説 6-1 ログイン画面 ADAudit Plus にアクセスした際に表示されるログイン画面です ユーザー名とパスワードを入力後[ログイン]をクリ ックしてください 図 14 ログイン画面 18
6-2 ホームタブ ホームタブでは いつ 誰が 何をしたか などの設定の変更活動をダッシュボードで表示しています ダッシュボー ドには監査データの要点がスナップショットとして表示され またその項目は変更することが出来ます そして設定した すべてのドメインの監査データを グラフ表示にて確認することが出来 ダッシュボード上の情報を素早く理解すること が可能です 表示する情報はドメインごとにグループ化され 必要/不要な監査アクティビティを選択できます ドメイン内でログオンに失敗したユーザーを 日ごと のトレンドをグラフで表示 ユーザー コンピューター グループの作成 削 除 変更を グラフで表示 最新 7 日間また は 30 日間におけるロ グオン失敗のエラーコー ドを円グラフにまとめて 表示 1 時間ごとのログオン数の トレンドを表示 過去 7 日間または 30 日間にお けるログオンのピーク時間 帯を知ることが可能 ドメインで発生したアカウント ロックアウトを日ごとの 棒グラフで表示 図 15 ホームタブ画面 19 パスワードを変更あるいは設定したユ ーザーを日ごとの棒グラフで表示
6-3 レポートタブ Windows Active Directory とサーバー環境の監査のためのレポートが多数表示可能です 定義済みの監査 レポートは 150 以上あり それらのレポートは営業時間/非営業時間/すべての時間別に自動作成されます 例えば アカウント管理からは どのユーザーがどのような変更を行ったのかということについての詳細を見ることが可能となって おります 図 16 レポートタブ画面 20
6-4 ファイル監査タブ オプション機能 ファイル監査タブは ファイルの読み取り 書き込み アクセス 変更の追跡などを監査することができ また[ファ イル監査]タブより ファイルやフォルダーの作成や変更などの監査レポートを表示可能です 加えて成功イベント 失 敗イベントともに取得 記録することができます 図 17 ファイル監査画面 図 18 ファイル作成画面 図 19 21 ファイル変更画面
6-5 サーバー監査タブ オプション機能 特定のサーバー上における変更情報をレポートし 変更追跡にかかる労力を軽減することが出来ます 具体的に はファイル整合性レポート サーバー監査レポート プリンター監査レポートなどがあり フォルダーのアクセス許可の変更 やプリンターの使用率など 細分化された項目から目的の情報を表示する事が可能です 図 20 サーバー監査画面 22
6-6 アラートタブ ADAudit Plus には簡単に設定できる[アラートの機能]があり 設定変更などのイベント発生時にアラートメール を送信することが可能です アラートは設定されたレポートプロファイルに含まれるイベントデータを基にしています 図 21 アラートメールの設定画面 図 22 アラートメールの設定画面 23
6-7 構成タブ ADAudit Plus の[構成]タブでは 設定済みのサーバー レポートプロファイル アラートプロファイルの詳細を確 認 編集や追加などをすることが出来ます また[高度な設定]では 1 つあるいは複数の監査アクションを定義する 事が出来 フィルタールールの使用により新しいアクションや既存のアクションの編集を容易にすることが出来ます 図 23 高度な設定画面 24
6-8 管理タブ 管理タブは大きく分けて[管理][設定][一般設定]の項目があります 図 24 管理画面 [管理]ではドメインの設定 ADAudit Plus へログインするための技術者の登録 レポートのスケジュール設定など を行うことが出来ます [設定]では アラート設定や 製品のデータベースに格納されたデータの最適化が可能となって います [一般設定]ではユーザーアカウントごとに日付や言語設定 システムへの接続設定などが可能です 25
7. 初期設定 7-1 ドメインコントローラーの登録 ADAudit Plus はドメインコントローラー メンバーサーバー ファイルサーバーのセキュリティログに記録されているデータ を収集し レポートの作成を行います オブジェクトに記録されるセキュリティログは オブジェクトに設定された監査ポ リシー/拡張監査ポリシー Windows2008 以上で有効 に基づいています 右上の[ドメイン設定]をクリックします [ ドメイン追加]をクリックします 図 25 3) ドメインコントローラーの登録画面 [ドメイン名]を入力し [ドメインコントローラーを自動検出するにはここをクリックします]というリンクをクリックしま す 図 26 4) ドメインコントローラーの登録画面 該当するドメインコントローラー名を選択後 [追加]をクリックします 図 27 ドメインコントローラーの登録画面 5) ドメインコントローラーの追加が完了時には ドメインを追加した 旨のメッセージが表示されます 26
7-2 ドメイン認証情報の登録 ADAudit Plus がドメインコントローラーから監査データを収集するためには Domain Admin 以上の権限をも つユーザーの認証情報を登録する必要があります アラートメッセージから登録する場合 ドメインコントローラーを登録時に認証情報を登録しなかった場合 以下のようなアラートが Web クライアント 画面に表示されます アラートメッセージに含まれる ここをクリック のリンクをクリックすると ドメイン認証情報の変更 という画面が 表示されるので 右上の[認証]のチェックボックスをクリックしてユーザーの情報を入力してください 図 28 認証情報登録のためのアラートメッセージ [ドメインの設定]画面から登録する場合 右上の[ドメイン設定]をクリックします ドメインアクションという文字の右にあるアイコン 3) ドメイン認証情報の変更 という画面が表示されるので 右上の[認証]のチェックボックスをクリックしてユー をクリックします ザーの情報を入力してください 図 29 ドメイン認証情報の登録 27
7-3 監査ポリシーの設定 設定したファイルサーバー/メンバーサーバーに対するログオンイベントおよびオブジェクトアクセスの監査を行うため GPO 経由での監査ポリシーの有効化を行う必要があります 有効化を行うためには [ドメイン設定]画面にある[設定]ボタンをクリックしてください 図 30 監査ポリシーの設定 エラーメッセージが表示された場合の解決策 以下のエラーメッセージが表示された場合 下記の手順に沿って設定を行ってください 図 31 監査ポリシー設定の際のエラーメッセージ ADAudit Plus のサービスを追加していない場合 ADAudit Plus を停止します コマンドプロンプトを開きます 3) [ADAudit Plus インストールディレクトリ] ADAudit Plus bin へ移動します 4) "InstallNTService.bat"を実行します (サービスを追加している場合はここから開始してください) 5) services.msc を開いて [ManageEngine ADAudit Plus]を右クリック > プロパティを選択します 6) [ログオン]タブへ移動し [アカウント]を選択して認証情報を入力します Domain Admins に所属するアカウント情報を入力してください 7) ADAudit Plus を起動します 28
図 32 サービスへのユーザー認証情報の登録 29
7-4 グループポリシーの設定 グループポリシーの設定を行うためには GPMC グループ ポリシー管理コンソール がインストールされている必要が あります GPMC のインストール手順 コマンドプロンプトで mmc と入力し コンソールを起動します ファイル スナップインの追加と削除 で グループポリシーの管理 スナップインを追加します 図 33 GPMC のインストール画面 30
監査ポリシーの設定手順 管理者権限を持ったアカウントで管理対象の Windows ドメインコントローラーへログオンします GPMC を開きます 3) [Default Domain Controller Policy]を右クリックして [編集]を選択します 4) [グループ ポリシー管理エディタ]が開きます 図 34 グループポリシー管理エディター画面 5) [コンピューターの構成] [ポリシー] [Windows の設定] [セキュリティの設定] [ローカル ポリシー] [監査ポリシー] [オブジェクト アクセスの監査のプロパティ] の順番にアクセスします 6) [これらのポリシーの設定を定義する]にチェック後 [成功] および[失敗]にチェックします 31
図 35 オブジェクトアクセスの監査設定画面 同様の手順で以下の監査ポリシーが有効になっていることを確認してください 表 6 監査ポリシーの設定項目 監査ポリシー ([コンピューターの構成] [ポリシー] [Windows の設定] [セキュリティの設定] ローカルポリシー]) 監査ポリシー アカウントログオンイベントの監査 成功 失敗 アカウント管理の監査 成功 失敗 システムイベントの監査 成功 失敗 ディレクトリサービスのアクセスの監査 成功 失敗 プロセス追跡の監査 成功 失敗 ポリシーの変更の監査 成功 失敗 ログオンイベントの監査 成功 失敗 32
監査ポリシーの詳細な構成の設定 自動で設定する場合 ADAudit Plus をインストール後 以下のようなアラートが Web クライアント画面に表示されます アラートメッセージに含まれる ここをクリック のリンクをクリックすると ドメインコントローラーへ必要な監査ポリシー の設定が自動的に実行されます *リモートドメインへの監査ポリシーの自動設定はサポートしていないため 手動設定が必要です 手動で設定する場合 管理者権限を持ったアカウントでドメインコントローラーへログオンします [GPMC グループ ポリシー管理コンソール ]を開きます 3) [ドメインコントローラー]を右クリック [Default Domain Controller Policy]を選択します 4) [Default Domain Controller Policy]を右クリック [編集]を選択します 5) [コンピューターの構成] [ポリシー] [Windows の設定] [セキュリティの設定] [監査ポリシーの詳細な構 成] [アカウントログオン]を選択します 6) [その他のアカウントログオンイベントの監査]の[成功]と[失敗]を設定します 図 36 ドメインコントローラーの監査設定画面 33
同様の手順で以下の監査ポリシーを有効にしてください 表 7 監査ポリシーの詳細な項目の設定項目 監査ポリシーの詳細な構成 ([コンピューターの構成] [ポリシー] [Windows の設定] [セキュリティの設定]) 資格情報の確認の監査 成功 失敗 Kerberos 認証サービスの監査 成功 失敗 その他のアカウントログオンイベントの監査 成功 失敗 コンピューターアカウントの管理の監査 成功 失敗 ユーザーアカウントの管理の監査 成功 失敗 DS アクセス ディレクトリサービス 変更の監査 成功 ログオン/ログオフ ログオンの監査 成功 失敗 アカウントログイン アカウントの管理 34
8. システム設定 8-1 接続先ポート番号変更設定 任意の設定 ADAudit Plus の Web サーバーポートは デフォルトで 8081 ですが ご利用の環境により設定の変更が可能で す 本手順は任意の設定項目になります 変更を行う場合は以下の手順を実施してください 接続設定の変更 [管理タブ] [接続]をクリックします ポート番号を入力します 3) SSL ポート HTTPS を有効にする場合はチェックを入れ SSL 接続で使用するポート番号を入力し セッショ ン有効期限を分単位で入力します 4) [変更を保存]をクリックします 図 37 接続画面 35
8-2 メールサーバー設定 メールサーバー設定オプションより アラートメール通知の送信設定を行います [管理]タブ [メールサーバー] をクリックします [メールサーバー]及び[メールポート番号]に SMTP サーバーの情報を入力します 3) メールサーバーで認証を必要とする場合には [認証]にチェックを入れ メールサーバーの[ユーザー名]と[パスワード] を入力します 4) [差出人アドレス]には 受け取るメールの差出人となるメールアドレスを入力します 5) [変更を保存]をクリックします 図 38 メールサーバー画面 36
8-3 パーソナライズ設定 パーソナライズ設定では 日付や言語設定 パスワード変更など機能を設定することが可能です パスワードの変更 [管理] [パーソナライズ]をクリックします 古いパスワードに現在のパスワードを入力します 3) 新しいパスワードに新しく設定するパスワードを入力します 4) パスワード確認に新しく設定するパスワードを再度入力します 5) [変更を保存]をクリックします 図 39 パスワード変更画面 テーマの変更 [テーマ]からブルーテーマ/グリーンテーマを選択します [変更を保存]をクリックします 図 40 テーマの変更画面 37
日付と時刻のフォーマット [日付と時刻のフォーマット]から 日時の表示方法を変更することが出来ます 図 41 日時と時間のフォーマット画面 日付の変更を行う場合 [日付のフォーマットを選択]の右にある[More Formats] をクリックします フォーマット一覧が表示されるので その中から一つ選択します 図 42 日時のフォーマット一覧 時刻の変更を行う場合 [時刻のフォーマットを選択]の右にある[More Formats] をクリックします フォーマット一覧が表示されるので その中から一つ選択します 図 43 3) 時刻のフォーマット一覧 [変更を保存]をクリックします 38
表示言語の設定 [ロケール設定]にあるプルダウンメニューから言語を設定します 言語選択画面 図 44 ロケールの設定画面 [変更を保存]をクリックします タイムゾーンの設定 [タイムゾーン]にあるプルダウンメニューからタイムゾーンを設定します タイムゾーン選択画面 図 45 タイムゾーンの設定画面 [変更を保存]をクリックします 39
8-4 ビジネス時間の設定 [ビジネス時間]機能により ビジネス時間/曜日に絞ったレポート出力が可能になります ビジネス時間の設定 [管理]タブをクリックします [管理]カテゴリー内の[ビジネス時間]リンクをクリックします 3) [ビジネス時間の設定]にチェックを入れます 4) ドロップダウンより ビジネス[開始時刻]と[終了時刻]を選択します 5) 次に 6) [保存]をクリックします アイコンを使用して [ビジネス曜日]を選択します 図 46 ビジネス時間の設定画面 40
8-5 技術者の登録 技術者の登録を行うと Active Directory の認証情報で ADAudit Plus へログインしレポートを閲覧すること が可能となります 技術者の登録 管理者ユーザーとして ADAudit Plus にログインします [管理]タブ [技術者] をクリックします 3) [技術者の追加] リンクをクリックします 4) ドメインを選択します 5) ユーザーを選択します 6) 選択したユーザーの役割を選択します 7) [保存]をクリックします 8) 選択したユーザーに 役割が委任されます 図 47 技術者の登録画面 41
権限の登録 管理者ユーザーとして ADAudit Plus にログインします [管理]タブ [技術者] をクリックします 3) [権限の参照]をクリックします 4) [+権限設定]をクリックします 5) 権限名と説明を入力します 6) 閲覧可能な範囲を指定します 7) 保存をクリックします 図 48 技術者の登録画面 42
8-6 イベントのアーカイブ設定 ADAudit Plus は データベース内にある解析済みのイベントログ データを カテゴリーごとにそれぞれアーカイブす ることができます また イベント ログ データを消すまでの期間 日数 は カテゴリーごとに異なる値で指定できま す アーカイブを有効化する [管理]タブ [イベントのアーカイブ]をクリックします アーカイブを有効化する[カテゴリー]にチェックを入れます 3) [アーカイブ間隔]を日数で指定します 4) [アーカイブ済みファイル]の場所を指定します 5) [保存]クリックします 図 49 イベントのアーカイブ画面 43
8-7 ディスク容量警告設定 管理者は ディスクの空き容量のしきい値を設定することが可能です サーバー上のディスクの空き容量がしきい 値を下回ると アプリケーション上の右上部にアラートが表示されます 加えて ユーザーがアプリケーションにログインした際にも以下の情報が表示されます 空きディスク容量は MB です しきい値の MB を下回っています 再計算はしきい値のリンクをクリックすることで可能 ディスク容量警告の設定 ADAudit Plus に管理者としてログインします [管理]タブをクリックします 3) [管理]カテゴリーの[ディスク容量警告]をクリックします 4) チェックを入れ アラート通知するディスク空き容量の下限 に しきい値を入力します 5) [保存]をクリックします 図 50 ディスク容量警告画面 44
8-8 除外ユーザーアカウント設定 除外されたアカウントはログオン監査データに収集されず ログオンレポートやアラートなどに表示されなくなります [管理]タブをクリックします [除外ユーザーアカウント]をクリックします ドメインを選択 [除外ユーザーアカウント]のボックスの中に 除外されているユーザーアカウントが一覧で表示され ます 3) 4) 追加をクリック後 [除外ユーザーアカウント]から除外するユーザーを選択し[閉じる]をクリックします [保存]をクリックします 除外されている ユーザーアカウント一覧 図 51 除外ユーザーアカウント設定画面 45
9. レポート機能 9-1 レポートタブの項目紹介 [レポート]タブの各項目からどのような情報を表示することが出来るのかといった詳細な情報を 以下で紹介して いきます 表 9 レポートタブの項目一覧 Windows サーバー環境での各ユーザーのログオン活動を監査しています 表示レポートは ユーザーログオン レポート ログオン失敗情報 ユーザーによるログオン失敗 ドメインコントローラー/IP アドレスによるロ グオン失敗 メンバーサーバーのログオン活動 ユーザーの最終ログオンなど 特定のドメイン に対するアクションに基づき表示されます Active Directory 認証に失敗したアカウントを時系列で表示 以下の何れかが原因で認証失敗になります 1 ログオン失敗 不正なユーザー名/パスワード 無効化/期限切れ/ロックアウトされたアカウント ワークステーション/ログオン時間の制限 パスワードの有効期限切れ ワークステーションの時刻がドメイン コントローラーの時刻と同期していない 新規コンピューター アカウントのレプリケーションの遅延 管理者がアカウントのパスワードをリセットする必要があります 2 ログオン失敗 ユーザー別 Active Directory 認証に失敗したアカウントをアカウント毎に件数を表示しています 3 無効なパスワードによる失敗 Active Directory 認証でパスワードが無効による失敗を表示しています 4 コンピューターへの初回 最新ログオン コンピューターへのユーザーの初回ログオン 最新ログオン情報を表示しています 5 無効なユーザー名による失敗 Active Directory 認証でユーザー名が無効による失敗を表示しています 6 ログオン活動 ドメインコントローラー別 ドメインコントローラー別に認証情報を表示しています 7 ログオン活動 IP アドレス別 クライアントの送信元 IP アドレス毎に認証情報を表示しています 8 ドメインコントローラー ログオン活動 ドメインコントローラーへのログオン状況を表示しています 9 メンバーサーバー ログオン活動 10 ワークステーション ログオン活動 11 ユーザーログオン活動 メンバーサーバーへのログオン状況を表示しています メンバーサーバーオプションライセンスが必要です ワークステーションへのログオン状況を表示しています ワークステーションオプションライセンスが必要です 単一または複数ユーザーを指定しログオン状況を表示しています 46
12 最 近 のユーザーログオン 活 動 成 功 失 敗 ともに Active Directory 認 証 を 行 ったユーザーログオン 状 況 を 表 示 しています 13 ワークステーションの 最 終 ログオン ワークステーションへ 最 後 にログオンしたアカウントを 表 示 しています ワークステーションオプションライセンスが 必 要 です 14 ユーザーの 最 終 ログオン 各 ユーザーが 最 後 にログオンした 時 刻 を 表 示 しています 15 複 数 のコンピューターにログオンしたユーザー 複 数 の 送 信 元 IP からのログオンしたアカウントを 表 示 しています ユーザーのログオンまたはログオフに 関 するレポートを 提 供 します ユーザーのログオン 時 間 ローカルログオン/ログオフ (ログオンからログオフまでの 経 過 時 間 )や ターミナル サービス 経 由 を 含 むログオン/ログ オフの 履 歴 情 報 も 提 供 します ドメイン コントローラー メンバー サーバーにおけるローカル マシンへのログオン/ログオフ 情 報 を 対 象 にしています 1 現 在 ログオン 中 のユーザー 現 在 ログオンしているユーザーを 表 示 しています 2 ログオン 期 間 ログオンした 時 間 からログオフした 時 間 までの ログオン 期 間 を 表 示 しています 3 ローカルのログオン 失 敗 ローカルコンピューターのログオン 失 敗 履 歴 を 表 示 しています 4 ログオン 履 歴 ログオン 履 歴 を 表 示 しています 5 ターミナルサービス 活 動 ターミナル サービス(リモートデスクトップなど)を 経 由 したユーザーの 活 動 を 表 示 していま す 6 コンピューター 上 のユーザーログオン 期 間 指 定 したユーザーのログオン 情 報 を 表 示 しています 7 インタラクティブ ログオンの 失 敗 インタラクティブ ログオン(コンソール 利 用 によるログオンを 失 敗 したログオン 情 報 を 表 示 し ています 8 終 了 したユーザーセッション リモートデスクトップのユーザーセッション 終 了 に 対 する 情 報 を 表 示 しています 9 RADIUS ログオン 失 敗 (NPS) VPN からローカルコンピューターにログオンする 際 に 失 敗 したユーザーの 情 報 を 表 示 してい ます 10 RADIUS ログオン 履 歴 (NPS) VPN からローカルコンピューターにログオンしたユーザーの 情 報 を 表 示 しています ユーザー コンピューター グループ 組 織 単 位 (OU) アカウント 管 理 GPO に 対 して 管 理 ユーザーが 行 った 管 理 操 作 の 監 査 情 報 を 提 供 するレポートです すべての 管 理 アクショ ンをまとめたレポートを 表 示 します 1 すべての AD 変 更 全 ての AD 内 の 変 更 を 表 示 しています 2 ユーザーごとのすべての AD 変 更 ユーザーごとの AD 内 の 変 更 を 表 示 しています 3 DC ごとのすべての AD 変 更 ドメインコントローラーごとの AD 内 の 変 更 を 表 示 しています 4 ユーザー 管 理 ユーザーの 変 更 に 対 するレポートを 表 示 しています 5 グループ 管 理 グループの 変 更 に 対 するレポートを 表 示 しています 6 コンピューター 管 理 コンピューターの 変 更 に 対 するレポートを 表 示 しています 7 組 織 単 位 (OU)の 管 理 組 織 単 位 (OU)の 変 更 に 対 するレポートを 表 示 しています 8 GPO 管 理 GPO の 変 更 に 対 するレポートを 表 示 しています 9 管 理 ユーザーアクション 管 理 ユーザーの 活 動 履 歴 を 表 示 しています 47
ユーザー 管 理 ユーザーに 対 して 管 理 ユーザーが 行 った 管 理 操 作 の 監 査 情 報 を 提 供 するレポートです 1 最 近 のユーザー 作 成 最 近 作 成 されたユーザーを 表 示 しています 2 最 近 のユーザー 削 除 最 近 削 除 されたユーザーを 表 示 しています 3 最 近 のユーザー 有 効 化 最 近 有 効 化 されたユーザーを 表 示 しています 4 最 近 のユーザー 無 効 化 最 近 無 効 化 されたユーザーを 表 示 しています 5 最 近 のユーザー 移 動 最 近 移 動 されたユーザーを 表 示 しています 6 最 近 のユーザーロックアウト 最 近 ロックアウトされたユーザーを 表 示 しています 7 最 近 のユーザーアンロック 最 近 アンロックされたユーザーを 表 示 しています 8 頻 繁 にロックアウトされたユーザー 9 頻 繁 にアンロックされたユーザー このレポートは 選 択 した 期 間 内 で 頻 繁 にロックアウトされたユーザーの 情 報 を 表 示 します ユーザー 名 カウント 数 などの 監 査 情 報 が 監 査 されています このレポートは 選 択 した 期 間 内 で 頻 繁 にアンロックされたユーザーの 情 報 を 表 示 します ユ ーザー 名 カウント 数 などの 監 査 情 報 が 監 査 されています 10 最 近 のユーザーのパスワード 変 更 最 近 パスワードを 変 更 したユーザーを 表 示 しています 11 最 近 のユーザーパスワード 設 定 最 近 パスワードを 設 定 したユーザーを 表 示 しています 12 ユーザーごとのパスワード 変 更 パスワード 変 更 履 歴 をユーザーごとに 表 示 しています 13 ユーザーごとのパスワード リセット パスワード リセット 履 歴 をユーザーごとに 表 示 しています 14 パスワードが 無 期 限 のユーザー パスワードが 無 制 限 のユーザーを 表 示 しています 15 最 近 のユーザー 変 更 最 近 のユーザーによる 変 更 を 属 性 ごとに 表 示 しています 選 択 期 間 内 において ユーザーによる 拡 張 属 性 の 変 更 に 伴 う 許 可 の 変 更 と 値 の 修 正 に 16 拡 張 属 性 の 変 更 対 するレポートを 表 示 します ユーザー 名 修 正 時 間 修 正 属 性 新 しい 値 古 い 値 やド メインコントローラー 名 などが 表 示 されます 17 ユーザー 属 性 の 新 しい/ 古 い 値 ユーザーにより 変 更 された 属 性 の 変 更 前 と 変 更 後 の 値 といった 詳 細 を 表 示 しています 18 ユーザーの 最 終 変 更 各 ユーザーによる 最 終 的 な 変 更 を 表 示 しています 19 アカウントロックアウト アナライザ 20 ユーザーサービス アカウントロックアウトに 関 する 監 査 の 詳 細 情 報 を 表 示 します ユーザー ロックアウト 時 間 詳 細 分 析 やログオン 履 歴 などが 表 示 されます 全 てのサービスに 対 して ユーザーの 認 証 情 報 使 用 による 特 定 コンピューターの 起 動 を 監 査 し レポートを 表 示 します 21 ユーザーオブジェクト 履 歴 AD ユーザーのオブジェクトに 対 する 履 歴 を 表 示 しています グループ 管 理 Windows サーバー 環 境 内 での 全 てのグループ 管 理 アクションを 監 査 します 1 最 近 のセキュリティグループ 作 成 最 近 作 成 されたすべてのセキュリティグループの 監 査 情 報 を 表 示 しています 2 最 近 の 配 布 グループ 作 成 最 近 作 成 されたすべての 配 布 グループの 監 査 情 報 を 表 示 しています 3 最 近 のセキュリティグループ 削 除 最 近 削 除 されたすべてのセキュリティグループの 監 査 情 報 を 表 示 しています 4 最 近 の 配 布 グループ 削 除 最 近 削 除 されたすべての 配 布 グループの 監 査 情 報 を 表 示 しています 5 最 近 のグループ 移 動 最 近 移 動 されたすべての 配 布 グループの 監 査 情 報 を 表 示 しています 48
選 択 された 期 間 におけるすべてのグループに 対 する 変 更 の 監 査 情 報 を 表 示 しています 6 最 近 のグループ 変 更 本 レポートは ドメイン 内 のすべてのグループに 対 して あらゆるユーザー オブジェクト(メン 7 最 近 のセキュリティグループへのメンバー 追 加 バー)の 追 加 / 削 除 も 記 録 する 単 一 ソースとなります セキュリティ グループに 最 近 追 加 されたメンバーのレポートを 表 示 しています 8 最 近 の 配 布 グループへのメンバー 追 加 配 布 グループに 最 近 追 加 されたすべてのメンバーの 監 査 情 報 を 表 示 しています 9 最 近 のセキュリティグループからのメンバー 削 除 セキュリティ グループから 最 近 削 除 されたすべてのメンバーの 監 査 情 報 を 表 示 しています 10 最 近 の 配 布 グループからのメンバー 削 除 配 布 グループから 最 近 削 除 されたすべてのメンバーの 監 査 情 報 を 表 示 しています 選 択 期 間 内 において グループによる 拡 張 属 性 の 変 更 に 伴 う 許 可 の 変 更 と 値 の 修 正 に 11 拡 張 属 性 の 変 更 対 するレポートを 表 示 します グループ 名 修 正 時 間 修 正 属 性 新 しい 値 古 い 値 やド メインコントローラー 名 などが 表 示 されます 12 グループ オブジェクト 履 歴 Active Directory グループ オブジェクトの 履 歴 を 表 示 しています 選 択 したグループオブジ ェクトを 変 更 した 発 信 者 ユーザー 名 変 更 時 刻 などが 表 示 可 能 です 13 グループ 属 性 の 新 しい/ 古 い 値 グループにより 変 更 された 属 性 の 変 更 前 と 変 更 後 の 値 といった 詳 細 を 表 示 しています コンピューター 管 理 1 最 近 のコンピューター 作 成 すべてのコンピューター 管 理 アクションに 対 する 監 査 情 報 をレポートしています 最 近 削 除 されたすべてのコンピューターの 監 査 情 報 を 提 供 します コンピューター 削 除 者 の 情 報 ( 発 信 者 ユーザ 名 ) 削 除 されたコンピューターの 名 称 などを 表 示 できます 2 最 近 のコンピューター 削 除 最 近 削 除 されたすべてのコンピューターの 監 査 情 報 を 表 示 します 3 最 近 のコンピューター 変 更 最 近 変 更 されたすべてのコンピューターの 監 査 情 報 を 表 示 します 4 最 近 のコンピューター 有 効 化 最 近 有 効 化 されたすべてのコンピューターの 監 査 情 報 を 表 示 します 5 最 近 のコンピューター 無 効 化 最 近 無 効 化 されたすべてのコンピューターの 監 査 情 報 を 表 示 します 6 最 近 のコンピューター 移 動 最 近 移 動 されたすべてのコンピューターの 監 査 情 報 を 表 示 します 選 択 期 間 内 において アカウントによる 拡 張 属 性 の 変 更 に 伴 う 許 可 の 変 更 と 値 の 修 正 7 拡 張 属 性 の 変 更 に 対 するレポートを 表 示 します アカウント 名 修 正 時 間 修 正 属 性 新 しい 値 古 い 値 やドメインコントローラー 名 などが 表 示 されます 8 コンピューター 属 性 の 新 しい/ 古 い 値 アカウントにより 変 更 された 属 性 の 変 更 前 と 変 更 後 の 値 といった 詳 細 を 表 示 しています 9 コンピューター オブジェクト 履 歴 ドメイン 上 の 指 定 されたコンピューター 上 の 監 査 情 報 をレポートします 組 織 単 位 (OU)は 管 理 する Active Directory 上 のオブジェクトをグループ 化 できるコ 組 織 単 位 (OU)の 管 理 ンテナブジェクトです これを 使 用 すると オブジェクトを 分 類 したり ユーザー グループ コン ピューター 他 の 組 織 単 位 (OU)などをまとめて 管 理 することができます 本 レポートはす べての 組 織 単 位 (OU)における 変 更 の 監 査 情 報 を 表 示 します 1 最 近 の 組 織 単 位 (OU) 作 成 指 定 期 間 内 に 作 成 された 組 織 単 位 (OU)のレポートです 組 織 単 位 (OU)の 作 成 者 作 成 日 時 作 成 元 の IP アドレスなどの 情 報 がレポートに 表 示 されます 49
2 最 近 の 組 織 単 位 (OU) 削 除 3 最 近 の 組 織 単 位 (OU) 移 動 指 定 期 間 内 に 削 除 された 組 織 単 位 (OU)のレポートです 組 織 単 位 (OU)の 削 除 者 削 除 日 時 削 除 元 の IP アドレスなどの 情 報 がレポートに 表 示 されます 指 定 期 間 内 に 変 更 された 組 織 単 位 (OU)のレポートです 組 織 単 位 (OU)の 変 更 者 変 更 日 時 変 更 元 の IP アドレスなどの 情 報 がレポートに 表 示 されます 選 択 期 間 内 において 組 織 単 位 (OU)による 拡 張 属 性 の 変 更 に 伴 う 許 可 の 変 更 と 4 最 近 の 組 織 単 位 (OU) 変 更 値 の 修 正 に 対 するレポートを 表 示 します 組 織 単 位 (OU) 名 修 正 時 間 修 正 属 性 新 しい 値 古 い 値 やドメインコントローラー 名 などが 表 示 されます 5 拡 張 属 性 の 変 更 6 組 織 単 位 (OU)の 履 歴 GPO 管 理 1 最 近 の GPO 作 成 2 最 近 の GPO 削 除 3 最 近 の GPO 変 更 組 織 単 位 (OU)により 変 更 された 属 性 の 変 更 前 と 変 更 後 の 値 といった 詳 細 を 表 示 しています 選 択 した 組 織 単 位 (OU)における 変 更 の 履 歴 をレポートにして 表 示 します 単 数 ある いは 複 数 の 組 織 単 位 (OU)を 対 象 に 単 一 画 面 にレポートをまとめます 全 ての GPO に 対 する 変 更 の 監 査 情 報 を 提 供 します 指 定 期 間 内 に 作 成 された GPO のレポートです GPO の 作 成 者 作 成 日 時 作 成 元 の IP アドレスなどの 情 報 がレポートに 表 示 されます 指 定 期 間 内 に 削 除 された GPO のレポートです GPO の 削 除 者 削 除 日 時 削 除 元 の IP アドレスなどの 情 報 がレポートに 表 示 されます 指 定 期 間 内 に 変 更 された GPO のレポートです GPO の 変 更 者 変 更 日 時 変 更 元 の IP アドレスなどの 情 報 がレポートに 表 示 されます 4 GPO リンクの 変 更 ドメイン 内 の OU にリンクされた GPO のリストが 表 示 されます 5 GPO 履 歴 高 度 な GPO レポート 指 定 した GPO におけるすべての 変 更 の 詳 細 情 報 をレポートします 単 数 あるいは 複 数 の GPO を 対 象 に 単 一 画 面 にレポートをまとめます GPO に 対 する より 高 度 な 変 更 の 監 査 情 報 を 提 供 します 1 グループポリシー 設 定 の 変 更 グループポリシー 設 定 を 変 更 した GPO の 名 前 ごとにレポートを 表 示 しています 2 コンピューター 設 定 の 変 更 コンピューター 設 定 を 変 更 した GPO の 名 前 ごとにレポートを 表 示 しています 3 ユーザー 設 定 の 変 更 ユーザー 設 定 を 変 更 した GPO の 名 前 ごとにレポートを 表 示 しています 4 パスワードポリシーの 変 更 パスワードポリシー 設 定 を 変 更 した GPO の 名 前 ごとにレポートを 表 示 しています 5 アカウントロックアウトポリシーの 変 更 アカウントロックアウトポリシー 設 定 を 変 更 した GPO の 名 前 ごとにレポートを 表 示 していま す 6 セキュリティ 設 定 の 変 更 セキュリティ 設 定 を 変 更 した GPO の 名 前 ごとにレポートを 表 示 しています 7 管 理 テンプレートの 変 更 管 理 テンプレートを 変 更 した GPO の 名 前 ごとにレポートを 表 示 しています 8 ユーザーアクセス 許 可 割 り 当 ての 変 更 ユーザーアクセス 許 可 の 割 り 当 てを 変 更 した GPO の 名 前 ごとにレポートを 表 示 しています 9 Windows 設 定 の 変 更 Windows 設 定 を 変 更 した GPO の 名 前 ごとにレポートを 表 示 しています 10 グループポリシー アクセス 許 可 の 変 更 グループポリシー アクセス 許 可 を 変 更 した GPO の 名 前 ごとにレポートを 表 示 しています 11 グループポリシー プレファレンスの 変 更 グループポリシー プレファレンスを 変 更 した GPO の 名 前 ごとにレポートを 表 示 しています 12 グループポリシー 設 定 の 履 歴 グループポリシー 設 定 を 変 更 した GPO の 名 前 ごとにレポートを 表 示 しています 50
13 拡 張 属 性 の 変 更 拡 張 属 性 を 変 更 した GPO の 名 前 ごとにレポートを 表 示 しています その 他 の AD オブジェクトの 変 更 上 記 以 外 の AD オブジェクトへの 変 更 を 提 供 します 1 パスワード 設 定 オブジェクトの 変 更 パスワード 設 定 オブジェクト(PSO)への 変 更 を 表 示 しています 2 最 近 作 成 されたコンテナ 最 近 作 成 されたコンテナを 表 示 しています 3 最 近 削 除 されたコンテナ 最 近 削 除 されたコンテナを 表 示 しています 4 最 近 変 更 されたコンテナ 最 近 変 更 されたコンテナを 表 示 しています 5 コンテナへのアクセス 許 可 の 変 更 コンテナへのアクセス 許 可 の 変 更 を 表 示 しています 6 最 近 作 成 された 連 絡 先 最 近 作 成 された 連 絡 先 を 表 示 しています 7 最 近 削 除 された 連 絡 先 最 近 削 除 された 連 絡 先 を 表 示 しています 8 最 近 変 更 された 連 絡 先 最 近 変 更 された 連 絡 先 を 表 示 しています 設 定 監 査 設 定 への 監 査 情 報 を 提 供 します 1 スキーマ 変 更 スキーマ(データベース 構 造 )の 変 更 を 表 示 しています 2 変 更 されたスキーマ アクセス 許 可 スキーマへのアクセス 許 可 の 変 更 を 表 示 しています 3 設 定 アクセス 許 可 の 変 更 設 定 されているアクセス 許 可 への 変 更 を 表 示 しています 4 設 定 の 変 更 設 定 への 変 更 を 表 示 しています 5 サイトの 変 更 サイトへの 変 更 を 表 示 しています アクセス 許 可 の 変 更 アクセス 許 可 への 変 更 情 報 を 提 供 します 1 ドメイン レベル アクセス 許 可 の 変 更 ドメインレベルでのアクセス 許 可 の 変 更 を 表 示 しています 2 組 織 単 位 (OU)アクセス 許 可 の 変 更 組 織 単 位 (OU)でのアクセス 許 可 の 変 更 を 表 示 しています 3 コンテナ アクセス 許 可 の 変 更 コンテナへのアクセス 許 可 の 変 更 を 表 示 しています 4 GPO アクセス 許 可 の 変 更 GPO へのアクセス 許 可 の 変 更 を 表 示 しています 5 ユーザーアクセス 許 可 の 変 更 ユーザーへのアクセス 許 可 の 変 更 を 表 示 6 グループ アクセス 許 可 の 変 更 グループへのアクセス 許 可 の 変 更 を 表 示 7 コンピューター アクセス 許 可 の 変 更 コンピューターへのアクセス 許 可 の 変 更 を 表 示 しています 8 変 更 されたスキーマ アクセス 許 可 スキーマへのアクセス 許 可 の 変 更 を 表 示 しています 9 設 定 アクセス 許 可 の 変 更 設 定 へのアクセス 許 可 の 変 更 を 表 示 しています 10 DNS アクセス 許 可 の 変 更 DNS へのアクセス 許 可 の 変 化 を 表 示 しています DNS の 変 更 DNS への 変 更 情 報 を 提 供 します 1 DNS ノードの 追 加 DNS ノードへの 追 加 を 表 示 しています 2 DNS ノードの 削 除 DNS ノードへの 削 除 を 表 示 しています 3 DNS ノードの 変 更 DNS ノードへの 変 更 を 表 示 しています 4 DNS ゾーンの 追 加 DNS ゾーンへの 追 加 を 表 示 しています 5 DNS ゾーンの 削 除 DNS ゾーンの 削 除 を 表 示 しています 6 DNS ゾーンの 変 更 DNS ゾーンへの 変 更 を 表 示 しています 7 DNS アクセス 許 可 の 変 更 DNS へのアクセス 許 可 の 変 更 を 表 示 しています 51
リムーバブル ストレージ監査 リムーバブル ストレージへの監査情報を提供します ストレージに保存されているファイル/フォルダーの変更を表示しています 1 すべてのファイル/フォルダー変更 リムーバブル 2 ファイル読み取り リムーバブル ストレージに保存されているファイル読み取りを表示しています 3 ファイル変更 リムーバブル ストレージに保存されているファイルへの変更を表示しています 4 ファイル コピー ペースト リムーバブル ストレージに保存されているファイルに対するコピー ペーストを表示しています ドメイン オブジェクト変更 ドメイン オブジェクトへの変更情報を提供します 1 ドメインポリシーの変更 ドメインポリシーへの変更を表示しています 2 ドメイン DNS オブジェクトの変更 ドメイン DNS オブジェクトへの変更を表示しています 3 ドメイン レベル アクセス許可の変更 ドメインレベルへのアクセス許可の変更を表示しています 9-2 レポートプロファイルの設定 レポートプロファイルとは フィルターされたイベントデータを表示することが出来る機能です イベントデータは Active Directory のユーザー コンピューター グループなどほぼ全てのオブジェクトを対象としており ユーザーの知りた いオブジェクトの情報だけを収集 表示することが出来ます レポートプロファイルの設定手順 [構成]タブを選択します 左の項目から作成したいレポートのカテゴリーを選択 右上の[ 新規レポートプロファイル]をクリックします 3) [レポートプロファイル名]を入力します 4) レポートプロファイルの[説明]を入力します 5) ドロップダウンより カテゴリーを選択します 6) [アクション]を選択します 図 52 カテゴリー[ユーザー変更]のアクション 52
7) 8) 9) ドロップダウンから ドメインを選択します をクリックし ユーザー/コンピューター/グループから対象のオブジェクトを選択し [OK]をクリックします [保存]をクリックします 10) 新しいレポートプロファイルが作成されました 作成されたレポートプロファイルは レポートタブに表示されます 図 53 レポートプロファイルの作成画面 53
10. アラート機能 Active Directory のアラート機能を使用することで Active Directory 上の変更をリアルタイムに監査すること が可能です アラートは 設定されたレポートプロファイルに含まれるイベントデータを基にしています アラート設定手順 [構成]タブ 左側の [アラートプロファイル] カテゴリーの中から[アラートプロファイルを作成] をクリックします アラートプロファイルの作成画面が表示されます 3) アラートプロファイルの[名前]を入力します 4) アラートプロファイルの[説明]を入力します 5) アラートプロファイルの[重要度]を選択します 6) 重要度はアラートの重大性を示すもので [注意] [障害] [重要]から選択可能です 7) 関連付けるレポートプロファイルを選択します プラスアイコンをクリックし レポートプロファイルの一覧を表示します ドロップダウンより [ドメイン]を選択します ドロップダウンより [カテゴリー]を選択します ひとつ あるいは複数のレポートプロファイルを選択します [OK]をクリックします 8) アラートメッセージの追加には アラートメッセージボックスの右側にある[追加]リンクをクリックします 9) アラートメッセージは一般的なアラートメッセージのほか カスタマイズアラートメッセージを設定することが可能です [OK]をクリックします 10) メールによるアラート通知を行う場合は [メール通知]チェックボックスにチェックを入れ [件名]と[宛先]を入力し ます 1 [保存]をクリックします 1 アラートプロファイルが作成されます 54
図 54 アラートプロファイル画面 11 高度な設定 高度な設定では 複数の監査アクションを定義することが出来 ユーザーはフィルターを使用した新しいアクション の作成や 既存のアクションの編集が可能です また ADAudit Plus には レポートプロファイルのカテゴリーごとに定 義済みの監査アクションがありますが これは調査により様々な環境においてよく使用されるとされるアクションを配 置しています 新規アカウントログオンアクションの作成手順 [構成]タブの下にある[高度な設定]をクリックします [ 新規アカウントログオンアクション]をクリックします 3) [アクション名]と[説明]を入力します 4) [ルールグループ名]を入力します 5) [フィルタールール]を作成します 6) 変数 ex.イベント ID と比較演算子をドロップダウンから選択します 7) フィルタールールは複数ルールグループに追加することが出来ます フィルタールールを追加する場合は を 削除する場合は をクリックします 55
8) ルールグループは複数の設定が可能です ルールグループを追加するには[ルールグループの追加]ボタンをクリックし 削除する場合は[ルールグループを削 除]ボタンをクリックします 9) [高度な相関関係を使用する] では ルールグループに対して 同じ変数が一定の間隔で一致する場合 その 相関関係を追加することが可能となっています 10) [保存]ボタンをクリックします 図 55 アカウントログオンアクション画面 アカウントログオンアクションの変更手順 変更するアカウントログオンアクションの をクリックします アカウントログオンアクションの変更画面が表示されます アカウントログオンアクションのコピー手順 コピーするアカウントログオンアクションの をクリックします コピーされたアクションの名前を入力し [保存]をクリックしてください 3) コピーされたアクションが項目の一番下に表示されます 他のカテゴリーについても 同様の手順で実行してください 56
12. バックアップとリストア バックアップ手順 サービスから ADAudit Plus を停止します ADAudit Plus をインストールしたマシンから コマンドプロンプトを開きます 3) 次のディレクトリに移動します [ADAudit Plus インストールディレクトリ]\bin 4) stopdb.bat を実行して データベースを完全に停止します 5) backupdb.bat を実行して バックアップファイルを作成します 図 56 6) コマンドプロンプト画面 バックアップファイルの作成に成功した旨を示すメッセージが表示されます 図 57 コマンドプロンプト画面 7) コマンドプロンプトを閉じて ADAudit Plus を起動します 8) [ADAudit Plus インストールディレクトリ]\Backup フォルダーに zip ファイルが作成されます 図 58 バックアップファイル作成済画面 57
リストア手順 [ADAudit Plus インストールディレクトリ]\bin フォルダーに バックアップで作成した zip ファイルをコピー ペースト します ADAudit Plus をインストールしたマシンから コマンドプロンプトを開きます 3) 次のディレクトリに移動します [ADAudit Plus インストールディレクトリ]\bin 4) stopdb.bat を実行して データベースを完全に停止します 5) restoredb.bat [バックアップファイル名]を実行して データベースのリストアを行います 図 59 コマンドプロンプト画面 6) リストアが完了すると コマンドプロンプトに DB Restore Successfully と表示されます 7) ADAudit Plus を起動します 8) リストアされていることを確認します リストア実行の際 バックアップを取得した ADAP とリストアする ADAP が同じビルド番号でなければいけません 58
13. トラブルシューティングとヒント 13-1 ADAudit Plus へのログインエラーについて ADAudit Plus にログイン時エラーが発生した場合 ログイン画面に表示されるエラーメッセージとして以下が挙げ られます そのようなユーザーのアカウントは設定されていません(No such account configured for the user) 原因 入力したアカウント名が存在しません ログイン パスワードの組み合わせが無効です(Invalid login Name/password) 原因 ログイン名とパスワードの組み合わせが間違っています 3) Data Access Exception occurred while fetching account Data object 原因 ドメインコントローラーに何らかの問題が発生しています 上 2 つが最も多いエラーのパターンです 13-2 ドメインコントローラーの追加について ADAudit Plus にドメインコントローラーを追加時エラーが発生した場合 表示されるエラーメッセージとして以下が 挙げられます 利用可能なドメイン設定がありません (No Domain Configuration available) 原因 DNS サーバーで利用できるドメイン情報がありません サーバーが操作できません The Servers are not operational 原因 以下の 3 つが考えられます 3) ドメインコントローラーが起動していない ファイアウォールが適応され ポート 389 にアクセスすることが出来ない ビジー状態の場合 ドメイン名/ドメイン DNS 名が取得できません Unable to get domain DNS / FLAT name 原因 以下の 3 つが考えられます 特定のユーザー名かパスワードが無効になった 匿名のログイン FQDN の代わりに IP アドレスが明示されている その他のエラーおよびエラーコードの詳細につきましては 既知のエラーと解決策 をご参照ください 59
13-3 NTLM 認証によるイベント収集について ADAudit Plus で NTLM 認証を記録するようにするためには 以下の設定を行う必要があります ADAudit Plus がインストールされているコンピューターから http://localhost:8081/runquery.do にアクセスしてください [実行するクエリを入力 ]という文字の上に[Enable NTLM Audit]というボタンがあるので そのボタンをクリックしてください 3) サービスを再起動します 以上により NTLM 認証が記録されるようになります 60
本製品に関するお問い合わせ ゾーホージャパン株式会社 ManageEngine&WebNMS 事業部 222-0012 神奈川県横浜市西区みなとみらい三丁目 6 番 1 号 みなとみらいセンタービル 13 階 TEL 050-2018-7405 FAX 045-330-4149 E-mail jp-mesales@zohocorp.com ホームページ http://www.manageengine.jp/ ADAudit Plus 製品ページ https://www.manageengine.jp/products/adaudit_plus/ 61