【Windows Server 2008】監査イベントの Event ID が変わります
WMIや汎用の監視ツールを使用して、監査ログを監視されている管理者の方も多いと思います。
いろいろと検証しておったのですが、Windows Server 2008 リプレイス時に問題になりそうなところとして、Winodws Server 2008 の 監査ログのIDが変更されている点が挙げられます。
すべてを検証したわけではないのですが、Windows Server 2003 と 2008 のユーザー管理に関する監査ログの対応表と、ログの出力のされ方についてまとめたものを掲載します。
興味のある方はご覧ください。
| 操作 | Windows Server 2003 | Windows Server 2008 | 備考 | |||
| 分類 | Event ID | 分類 | Event ID | |||
| ユーザー | ユーザーの新規作成 | アカウント管理 |
|
ユーザー アカウント管理 | 4720 | |
| パスワードの変更 | アカウント管理 | 628 | ユーザー アカウント管理 | 4724 | パスワードを変更すると、本イベントに加えて「属性の変更」に関する イベントも発生する。これは、パスワード変更に伴い、「PwdLastSet(パスワードの最終更新日時)」 がアップデートされるからである。 | |
| 属性の変更 | アカウント管理 | 642 | ディレクトリ サービスの変更 | 4738 | オブジェジェクトの属性が変更された場合に発生する。2003、2008とも に、「変更された」ことは通知されるが、具体的にどの属性がどのように変更されたかまでは、このイ ベントだけではわからない。 | |
| ディレクトリ サービス アクセス | 566 | ディレクトリ サービス アクセス | 4662 | 本イベントは、属性への書き込み監査を有効にしておくと、属性変更が 発生した場合に上記イベント(642および4738)とともに通知される。規定では出力されない。 2003、2008共にどの属性に変更が加わったかを知ることができる。2003の場合には具体的な属性名 で通知されるが、2008ではオブジェクトIDで通知される。そのため、2008ではオブジェクトIDを属性名 に変換しなければ具体的な属性名を知ることができない。複数の属性が一度に変更された場合には 、1つのイベントにすべての属性が掲載される。 | ||
| - | - | ディレクトリ サービスの変更 | 5136 | 2008から新たにサポートされた監査イベント。新たに値を設定する か、複数の値を持てる属性に対して値を追加すると、「値が追加されました」というイベントが1つ発 生する。以前の値を上書きした場合には、「値が削除されました」に続いて、「値が追加されまし た」という2つのイベントが発生する。両者を見比べて、変更前と変更後の値を確認することが可能。 属性を変更した場合に発生する順番は、およそ以下の通り。ID 4662↓ID 4738↓ ID 5136(値の削除)↓ID 5136(値の追加) | ||
| アカウントロックアウト | アカウント管理 | 644 | ユーザー アカウント管理 | 4740 | アカウントがロックされた場合に発生する。イベント本文にロックされ たユーザーIDが記載されている。 | |
| アカウントロック解除 | アカウント管理 | 671 | ユーザー アカウント管理 | 4767 | ロックが解除された際に発生する | |
| アカウント無効化 | アカウント管理 | 629 | ユーザー アカウント管理 | 4725 | 2008の場合、本イベントに加えて 5136も発生する。これは、「アカウン トの無効」化によって userAccountControl 属性が変更されるからである。 | |
| アカウント有効化 | アカウント管理 | 626 | ユーザー アカウント管理 | 4722 | 2008の場合、本イベントに加えて 5136も発生する。これは、「アカウン トの有効化によって userAccountControl 属性が変更されるからである。 | |
| ユーザーの削除 | アカウント管理 | 630 | ユーザー アカウント管理 | 4726 | イベントの本文に削除されたユーザーIDが記載されている | |
| グループ | セキュリティが有効なローカルグループの作成 | アカウント管理 | 635 | セキュリティ グループ管理 | 4731 | イベントの本文に作成されたグループ名が記載されている |
| セキュリティが有効なグローバルグループ の作成 | アカウント管理 | 631 | セキュリティ グループ管理 | 4727 | 同上 | |
| セキュリティが有効なユニバーサルグルー プの作成 | アカウント管理 | 658 | セキュリティ グループ管理 | 4754 | 同上 | |
| セキュリティが | アカウント管理 | 648 | 配布グループの管理 | 4744 | 同上 | |
| セキュリティが | アカウント管理 | 653 | 配布グループの管理 | 4749 | 同上 | |
| セキュリティが | アカウント管理 | 663 | 配布グループの管理 | 4759 | 同上 | |
| セキュリティが有効なローカルグループの 変更 | アカウント管理 | 639 | セキュリティ グループ管理 | 4735 | ユーザーアカウントと同様、属性が変更されたことを通知するイベント であり、具体的にどの属性が変更されたのかは、このイベントからは分からない。具体的な属性名はイ ベントID 566 および イベントID 4662 を参照する必要がある。2008の場合には、ユーザーオブジェク ト同様、イベントID 5136 が発生する。 | |
| セキュリティが有効なグローバルグループ の変更 | アカウント管理 | 641 | セキュリティ グループ管理 | 4737 | 同上 | |
| セキュリティが有効なユニバーサルグルー プの変更 | アカウント管理 | 659 | セキュリティ グループ管理 | 4755 | 同上 | |
| セキュリティが | アカウント管理 | 649 | 配布グループの管理 | 4745 | 同上 | |
| セキュリティが | アカウント管理 | 654 | 配布グループの管理 | 4750 | 同上 | |
| セキュリティが | アカウント管理 | 664 | 配布グループの管理 | 4760 | 同上 | |
| メンバ追加 セキュリティが有効なローカル グループ | アカウント管理 | 636 | セキュリティ グループ管理 | 4732 | グループにメンバが追加された場合に発生する。追加されたメンバはメ ッセージ本文に記載されている。一度に複数のユーザーを追加した場合には、追加されたユーザー の数だけイベントが発生する。メンバ追加は、member属性の変更であるため、本イベントの通知と 同時に、変更に関するイベント(639, 641, 659, 649, 654, 664)も発生する。さらに、566、4662 も 発生する。2008の場合には 5136 も発生する。 | |
| メンバ追加 セキュリティが有効なグロー バルグループ | アカウント管理 | 632 | セキュリティ グループ管理 | 4728 | 同上 | |
| メンバ追加 セキュリティが有効なユニバ ーサルグループ | アカウント管理 | 660 | セキュリティ グループ管理 | 4756 | 同上 | |
| メンバ追加 セキュリティが | アカウント管理 | 650 | 配布グループの管理 | 4746 | 同上 | |
| メンバ追加 セキュリティが | アカウント管理 | 655 | 配布グループの管理 | 4751 | 同上 | |
| メンバ追加 セキュリティが | アカウント管理 | 665 | 配布グループの管理 | 4761 | 同上 | |
| メンバ削除 セキュリティが有効なロー カルグループ | アカウント管理 | 637 | セキュリティ グループ管理 | 4733 | グループからメンバが削除された場合に発生する。削除されたメンバは メッセージ本文に記載されている。一度に複数のユーザーを削除した場合には、削除されたユーザ ーの数だけイベントが発生する。メンバ削除は、member属性の変更であるため、本イベントの通知 と同時に、変更に関するイベント(639, 641, 659, 649, 654, 664)も発生する。さらに、566、4662 も発生する。2008の場合には 5136 も発生する。なお、ユーザーが削除された場合にはこのイベン トは発生しない。 | |
| メンバ削除 セキュリティが有効なグロー バルグループ | アカウント管理 | 633 | セキュリティ グループ管理 | 4729 | 同上 | |
| メンバ削除 セキュリティが有効なユニバ ーサルグループ | アカウント管理 | 661 | セキュリティ グループ管理 | 4757 | 同上 | |
| メンバ削除 セキュリティが | アカウント管理 | 651 | 配布グループの管理 | 4747 | 同上 | |
| メンバ削除 セキュリティが | アカウント管理 | 656 | 配布グループの管理 | 4752 | 同上 | |
| メンバ削除 セキュリティが | アカウント管理 | 666 | 配布グループの管理 | 4762 | 同上 | |
| セキュリティが有効なローカルグループの 削除 | アカウント管理 | 638 | セキュリティ グループ管理 | 4734 | グループの削除時に発生するイベント。残念ながら削除時に参加してい たメンバはどこにも報告されない。 | |
| セキュリティが有効なグローバルグループ の削除 | アカウント管理 | 634 | セキュリティ グループ管理 | 4730 | 同上 | |
| セキュリティが有効なユニバーサルグルー プの削除 | アカウント管理 | 662 | セキュリティ グループ管理 | 4758 | 同上 | |
| セキュリティが | アカウント管理 | 652 | 配布グループの管理 | 4748 | 同上 | |
| セキュリティが | アカウント管理 | 657 | 配布グループの管理 | 4753 | 同上 | |
| セキュリティが | アカウント管理 | 667 | 配布グループの管理 | 4763 | 同上 | |
| グループの種類の変更 | アカウント管理 | 668 | セキュリティ グループ管理 | 4764 | グループの種類(セキュリティ ←→ 配布 および グローバル→ユニバ ーサル)が変更された場合に発生する。この処理は、具体的には 「groupType」属性の変更にあたるた め、同時に、566、4662も発生する。2008の場合には 5136 も発生する。ちなみに、以下のような メッセージが記録される。「セキュリティが有効なグローバル グループはセキュリティが無効な グローバル グループに変更されました。」 | |