【Windows Server 2008】監査イベントの Event ID が変わります


WMIや汎用の監視ツールを使用して、監査ログを監視されている管理者の方も多いと思います。


いろいろと検証しておったのですが、Windows Server 2008 リプレイス時に問題になりそうなところとして、Winodws Server 2008 の 監査ログのIDが変更されている点が挙げられます。


すべてを検証したわけではないのですが、Windows Server 2003 と 2008 のユーザー管理に関する監査ログの対応表と、ログの出力のされ方についてまとめたものを掲載します。


興味のある方はご覧ください。





















































































































































































































































































































  操作 Windows Server 2003 Windows Server 2008 備考
分類 Event ID 分類 Event ID
ユーザー ユーザーの新規作成 アカウント管理

642
624


 

ユーザー アカウント管理 4720  
パスワードの変更 アカウント管理 628 ユーザー アカウント管理 4724 パスワードを変更すると、本イベントに加えて「属性の変更」に関する イベントも発生する。これは、パスワード変更に伴い、「PwdLastSet(パスワードの最終更新日時)」 がアップデートされるからである。
属性の変更 アカウント管理 642 ディレクトリ サービスの変更 4738 オブジェジェクトの属性が変更された場合に発生する。2003、2008とも に、「変更された」ことは通知されるが、具体的にどの属性がどのように変更されたかまでは、このイ ベントだけではわからない。
ディレクトリ サービス アクセス 566 ディレクトリ サービス アクセス 4662 本イベントは、属性への書き込み監査を有効にしておくと、属性変更が 発生した場合に上記イベント(642および4738)とともに通知される。規定では出力されない。
2003、2008共にどの属性に変更が加わったかを知ることができる。2003の場合には具体的な属性名 で通知されるが、2008ではオブジェクトIDで通知される。そのため、2008ではオブジェクトIDを属性名 に変換しなければ具体的な属性名を知ることができない。
複数の属性が一度に変更された場合には 、1つのイベントにすべての属性が掲載される。
- - ディレクトリ サービスの変更 5136 2008から新たにサポートされた監査イベント。
新たに値を設定する か、複数の値を持てる属性に対して値を追加すると、「値が追加されました」というイベントが1つ発 生する。
以前の値を上書きした場合には、「値が削除されました」に続いて、「値が追加されまし た」という2つのイベントが発生する。両者を見比べて、変更前と変更後の値を確認することが可能。
属性を変更した場合に発生する順番は、およそ以下の通り。
ID 4662

ID 4738

ID 5136(値の削除)

ID 5136(値の追加)
アカウントロックアウト アカウント管理 644 ユーザー アカウント管理 4740 アカウントがロックされた場合に発生する。イベント本文にロックされ たユーザーIDが記載されている。
アカウントロック解除 アカウント管理 671 ユーザー アカウント管理 4767 ロックが解除された際に発生する
アカウント無効化 アカウント管理 629 ユーザー アカウント管理 4725 2008の場合、本イベントに加えて 5136も発生する。これは、「アカウン トの無効」化によって userAccountControl 属性が変更されるからである。
アカウント有効化 アカウント管理 626 ユーザー アカウント管理 4722 2008の場合、本イベントに加えて 5136も発生する。これは、「アカウン トの有効化によって userAccountControl 属性が変更されるからである。
ユーザーの削除 アカウント管理 630 ユーザー アカウント管理 4726 イベントの本文に削除されたユーザーIDが記載されている
グループ セキュリティが有効なローカルグループの作成 アカウント管理 635 セキュリティ グループ管理 4731 イベントの本文に作成されたグループ名が記載されている
セキュリティが有効なグローバルグループ の作成 アカウント管理 631 セキュリティ グループ管理 4727 同上
セキュリティが有効なユニバーサルグルー プの作成 アカウント管理 658 セキュリティ グループ管理 4754 同上
セキュリティが無効 なローカルグループ(配布)の作成 アカウント管理 648 配布グループの管理 4744 同上
セキュリティが無効 なグローバルグループ(配布)の作成 アカウント管理 653 配布グループの管理 4749 同上
セキュリティが無効 なユニバーサルグループ(配布)の作成 アカウント管理 663 配布グループの管理 4759 同上
セキュリティが有効なローカルグループの 変更 アカウント管理 639 セキュリティ グループ管理 4735 ユーザーアカウントと同様、属性が変更されたことを通知するイベント であり、具体的にどの属性が変更されたのかは、このイベントからは分からない。具体的な属性名はイ ベントID 566 および イベントID 4662 を参照する必要がある。2008の場合には、ユーザーオブジェク ト同様、イベントID 5136 が発生する。
セキュリティが有効なグローバルグループ の変更 アカウント管理 641 セキュリティ グループ管理 4737 同上
セキュリティが有効なユニバーサルグルー プの変更 アカウント管理 659 セキュリティ グループ管理 4755 同上
セキュリティが無効 なローカルグループ(配布)の変更 アカウント管理 649 配布グループの管理 4745 同上
セキュリティが無効 なグローバルグループ(配布)の変更 アカウント管理 654 配布グループの管理 4750 同上
セキュリティが無効 なユニバーサルグループ(配布)の変更 アカウント管理 664 配布グループの管理 4760 同上
メンバ追加 セキュリティが有効なローカル グループ アカウント管理 636 セキュリティ グループ管理 4732 グループにメンバが追加された場合に発生する。追加されたメンバはメ ッセージ本文に記載されている。
一度に複数のユーザーを追加した場合には、追加されたユーザー の数だけイベントが発生する。
メンバ追加は、member属性の変更であるため、本イベントの通知と 同時に、変更に関するイベント(639, 641, 659, 649, 654, 664)も発生する。さらに、566、4662 も 発生する。2008の場合には 5136 も発生する。
メンバ追加 セキュリティが有効なグロー バルグループ アカウント管理 632 セキュリティ グループ管理 4728 同上
メンバ追加 セキュリティが有効なユニバ ーサルグループ アカウント管理 660 セキュリティ グループ管理 4756 同上
メンバ追加 セキュリティが無効なローカルグループ(配布) アカウント管理 650 配布グループの管理 4746 同上
メンバ追加 セキュリティが無効なグローバルグループ(配布) アカウント管理 655 配布グループの管理 4751 同上
メンバ追加 セキュリティが無効なユニバーサルグループ(配布) アカウント管理 665 配布グループの管理 4761 同上
メンバ削除 セキュリティが有効なロー カルグループ アカウント管理 637 セキュリティ グループ管理 4733 グループからメンバが削除された場合に発生する。削除されたメンバは メッセージ本文に記載されている。
一度に複数のユーザーを削除した場合には、削除されたユーザ ーの数だけイベントが発生する。
メンバ削除は、member属性の変更であるため、本イベントの通知 と同時に、変更に関するイベント(639, 641, 659, 649, 654, 664)も発生する。さらに、566、4662 も発生する。2008の場合には 5136 も発生する。
なお、ユーザーが削除された場合にはこのイベン トは発生しない。
メンバ削除 セキュリティが有効なグロー バルグループ アカウント管理 633 セキュリティ グループ管理 4729 同上
メンバ削除 セキュリティが有効なユニバ ーサルグループ アカウント管理 661 セキュリティ グループ管理 4757 同上
メンバ削除 セキュリティが無効なローカルグループ(配布) アカウント管理 651 配布グループの管理 4747 同上
メンバ削除 セキュリティが無効なグローバルグループ(配布) アカウント管理 656 配布グループの管理 4752 同上
メンバ削除 セキュリティが無効なユニバーサルグループ(配布) アカウント管理 666 配布グループの管理 4762 同上
セキュリティが有効なローカルグループの 削除 アカウント管理 638 セキュリティ グループ管理 4734 グループの削除時に発生するイベント。残念ながら削除時に参加してい たメンバはどこにも報告されない。
セキュリティが有効なグローバルグループ の削除 アカウント管理 634 セキュリティ グループ管理 4730 同上
セキュリティが有効なユニバーサルグルー プの削除 アカウント管理 662 セキュリティ グループ管理 4758 同上
セキュリティが無効 なローカルグループ(配布)の削除 アカウント管理 652 配布グループの管理 4748 同上
セキュリティが無効 なグローバルグループ(配布)の削除 アカウント管理 657 配布グループの管理 4753 同上
セキュリティが無効 なユニバーサルグループ(配布)の削除 アカウント管理 667 配布グループの管理 4763 同上
グループの種類の変更 アカウント管理 668 セキュリティ グループ管理 4764 グループの種類(セキュリティ ←→ 配布 および グローバル→ユニバ ーサル)が変更された場合に発生する。この処理は、具体的には 「groupType」属性の変更にあたるた め、同時に、566、4662も発生する。2008の場合には 5136 も発生する。
ちなみに、以下のような メッセージが記録される。
「セキュリティが有効なグローバル グループはセキュリティが無効な グローバル グループに変更されました。」

Comments (2)

  1. 匿名 より:

    4月24日のセミナー「AD 次の一手」にて、「小規模なシステムの場合には、高価なパッケージではなくスクリプトレベルのプログラミングで同期を行うことも可能」というお話をしました。 セミナー資料にはスクリプトを掲載することができませんでしたが、ここに使用したスクリプトを掲載いたします。

Skip to main content