前回はMicrosoft System Center Operations Manager (SCOM) の管理パックおよびオペレーション コンソールを用いた監視について説明しました。今回は、監査ログの収集方法について説明します。

監査ログの情報は運用管理を行ううえで重要

運用管理を行うにあたり、アカウント管理、ログオン、ログオフ、アクセス情報を記録する監査ログ (セキュリティログ) は重要な情報となります。

Windowsでは、以下の監査ポリシーカテゴリが存在します。

監査ポリシーカテゴリ 監査対象
アカウント ログオン イベントの監査 ドメインユーザーアカウントのログオン、ログオフなど
アカウント管理の監査 ユーザーアカウントおよびグループの作成、変更、削除など
オブジェクト アクセスの監査 オブジェクト (ファイル、フォルダ、レジストリ キー、プリンタなど) へのアクセス、操作
システム イベントの監査 シャットダウンや再起動、セキュリティログに影響する操作など
ディレクトリ サービスのアクセスの監査 Active Directory オブジェクトへのアクセス操作など
プロセス追跡の監査 プログラムのアクティブ化、プロセスの終了、ハンドルの重複、間接的なオブジェクトアクセス操作など
ポリシーの変更の監査 特権(OSの一部として機能、ドメインにワークステーションを追加)の変更など
ログオン イベントの監査 ローカルコンピュータのログオン、ログオフなど
特権使用の監査 ユーザー権利 (システム時刻の変更、リモート強制シャットダウンなど) を使用する操作

監査ポリシーは、ローカルコンピュータ上、およびドメインのグループポリシーで設定します。

監査コレクション サービスで何ができるか?

SCOMの監査収集サービス (ACS) を使用し、ローカル コンピュータ、およびドメインで設定した監査ポリシーによって生成されたイベントをセキュリティログとして収集、一元的にデータベースに保存します。

ACSを使用することで管理者が収集したレコードの分析、およびフィルター処理を行うことで必要なデータに関するレポートの作成を行うことができます。また、ACSではWindowsのセキュリティログのみならず、UNIXおよびLinuxの監査データを収集することができます。

ACSを構成するコンポーネント

ACSを構成するコンポーネントは、本連載の第3回でも説明しているとおり、「ACSサーバ」、「ACSデータベース」、「エージェント」の3つとなります。

それぞれのコンポーネントは、ACSでは以下のコンポーネント名として呼ばれることがあります。

コンポーネント名 概要
ACSフォワーダー(エージェント) セキュリティログをACSコレクターに送信を行う
ACSコレクター(ACSサーバ) ACSフォワーダーからセキュリティログをイベントとして受信、処理し、このデータをACSデータベースに送信を行う
ACSデータベース ACSフォワーダーから転送されたセキュリティログをレコードとしてデータベースに格納する

ACSのデータフローについて、以下の図に示します。

ACSのデータフロー

ACSのセットアップ

ACSはSCOMの追加オプションであるため、SCOMインストール後に追加する必要があります。ACSを実際に導入、構成する場合は、TechNet内の記事「Operations Manager の監査コレクション サービスを使用してセキュリティ イベントを収集する」、ならびに「ACS および ACS レポートの展開」を参考にするとよいでしょう。

ACSコレクターおよびACSデータベースのインストールは、SCOMのインストールDVD-ROM内のsetup.exeを起動、[監査収集サービス]を選択し、ウィザードの指示に従い実施していきます。

SCOMのインストール画面

ACSコレクターはSCOM管理サーバと、また、ACSデータベースはACSコレクターと同一のコンピュータ上に配置することが可能ですが、パフォーマンスを最大化するためには、それぞれを専用のコンピュータ上に配置、インストールすることが望ましいです。

ACSのパフォーマンスに関しては、TechNet内の記事「監査コレクション サービスの容量計画」、ならびに「監査コレクション サービスのパフォーマンス カウンター」の内容が参考になります。

ACSデータベースのセットアップ画面

ACSセットアップ時にACSデータベースのメンテナンスを実行する時刻 (1日1回)、およびセキュリティログをデータベース内に保持する日数を指定します。

保持日数は既定で14日となっており、要件に合わせて変更することができますが、保持日数を大きくすればするほどACSデータベースの容量が肥大していくことにご留意ください。

ACSデータベースメンテナンス時刻および保持日数の指定

また、ACSデータベースに保存するタイムスタンプの形式をローカル時刻にするか、世界標準時 (UTC) にするかどうかを選択する必要があります。 セットアップ時に設定してしまうと、データベースの再作成を実施しない限り変更できなくなるため、特別な理由がない限り既定のローカル時刻のままにしておくのがよいでしょう。

ACSのセットアップ後、Operations Manager管理コンソール上の[監視]タブから[監査コレクション サービス]が追加されていることを確認できます。

Operations Manager管理コンソール画面から確認

ACSフォワーダーの有効化を行い、セキュリティログを収集

ACSコレクターにセキュリティログを転送するには、ACSフォワーダーを有効にする必要があります。

ACSフォワーダーの有効化は、Operations Manager管理コンソール上の[監視]タブから[Operations Manager] - [エージェントの管理] - [エージェントのヘルス状態]を選択、[ヘルス サービス タスク]内の[監査コレクションを有効にする]から行えます。

エージェントのヘルス状態画面

格納されたセキュリティログを分析、レポートに出力

セキュリティログの収集開始後、ACSデータベースに格納されたレコードを分析、レポートとして出力するには、レポートの定義をインストールする必要があります。 ACSレポートの定義のインストールは、TechNet内の記事「ACS レポートを展開する方法」に記載されている手順を実施します。

ACSレポート定義一覧

以下の図は、ログオンの監査イベントについてレポート出力したものです。

ACSレポート定義一覧

なお、生成可能なそれぞれのACSレポートの定義については、SCOM 2012の情報ではありますが、「System Center 2012 Operations Manager ACS レポートの定義について」に記載されている内容が参考になります。

次回は、Microsoft System Center Data Protection Manager (SCDPM) を用いたサーバのバックアップおよびリカバリ方法について説明する予定です。

編集協力:ユニゾン

小賀坂 優(こがさか ゆう)
インターネットイニシアティブ所属。前職にて技術サポート、インフラ基盤のシステム提案・設計・構築を経験した後、2015年7月より Microsoft Azure、Office 365 を中心としたマイクロソフト製品・サービスの導入、および IIJ GIO と組み合わせたハイブリッド クラウド ソリューション展開や開発を担当。
2012年から Microsoft MVP for System Center Cloud and Datacenter Management を連続受賞。
個人ブログ「焦げlog」にて、マイクロソフト製品を中心とした情報やTipsを発信中。