Ask CORE

Microsoft Japan Windows Technology Support

Windows Server 2008 イベント ログに対するセキュリティ アクセス許可の変更について

こんにちは。Windows テクノロジー サポートの服部です。


Windows Server 2008 でイベント ログを管理するためのセキュリティ アクセス許可の変更に関する
お問い合わせを複数いただきましたので以下にご紹介したいと思います。


Windows Server 2003 では、以下の公開技術情報にもありますとおり
“CustomSD” レジストリ値を編集する事により、イベント ログに対するセキュリティ アクセス許可をカスタマイズできます。


– ご参考
Windows Server 2003 のイベント ログのセキュリティをローカルまたはグループ ポリシーで設定する方法
http://support.microsoft.com/kb/323076/



結論としましては、Windows Server 2008 においても上記技術情報 323076 に記載されている、
Windows Server 2003 と同様の手順でイベント ログのセキュリティ アクセス許可を変更することが可能です。


ただし、Windows Server 2008 では、既定で CustomSD レジストリ値は存在しませんので
技術情報 323076 の方法をご利用の場合は、新たに CustomSD レジストリ値を作成する必要があります。


また、Windows Server 2008 では、OS 標準でイベント ログに関するコマンドユーティリティとして
wevtutil コマンドが付属しており、wevtutil コマンドからもイベント ログに関するアクセス許可の
変更が可能となっています。


今回はアプリケーションログに対して wevtutil コマンドを用いて
セキュリティアクセス許可を追加する方法についてご紹介します。



– wevtutil コマンドを用いたセキュリティ アクセス許可の追加方法


1. “スタート メニュー” から “コマンドプロンプト” を右クリックし、”管理者として実行”
から起動します。


2. 以下のコマンドを実行します。


wevtutil sl application /ca:O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)(A;;0x3;;;DU)


※Windows Server 2008 でのアプリケーションログに対するアクセス権は
既定で以下となります。


O:BAG:SYD:(A;;0xf0007;;;SY)(A;;0x7;;;BA)(A;;0x7;;;SO)(A;;0x3;;;IU)(A;;0x3;;;SU)(A;;0x3;;;S-1-5-3)(A;;0x3;;;S-1-5-33)(A;;0x1;;;S-1-5-32-573)



上記例では、Windows Server 2008 の既定値に “(A;;0x3;;;DU)” の値を追記する事で、
アプリケーションログに対する “読み取り” および “書き込み” 権限を “Domain Users” に付与しております。


上記設定を行う事で、例えば、以下のスクリプト等を利用し、
対象となる Windows Server 2008 に対して、”Domain Users” の権限で
リモートからイベントログの書き込みを行う事も可能になります。


リモートイベント ログへのイベントの書き込み
http://www.microsoft.com/japan/technet/scriptcenter/scripts/logs/eventlog/lgevvb18.mspx


wevtutil コマンドライン ツールについては以下の Technet の記事をご参照ください。


Wevtutil
http://technet.microsoft.com/ja-jp/library/cc732848(WS.10).aspx



以下の Technet 記事にはコマンド ラインからイベント ログを消去する方法についての
説明が含まれています。よろしければ併せてご参照ください。


イベントログを消去する
http://technet.microsoft.com/ja-jp/library/cc722318.aspx



– 参考資料
Event Logging Security
http://msdn.microsoft.com/en-us/library/aa363658(VS.85).aspx
 
Eventlog Key
http://msdn.microsoft.com/en-us/library/aa363648(VS.85).aspx


Security Descriptor Definition Language
http://msdn.microsoft.com/en-us/library/aa379567(VS.85).aspx