System Center 2012 Operations Manager ACS レポートの定義について


こんにちは。日本 マイクロソフト System Center サポート チームの新木です。

今回は、System Center 2012 Operations Manager の、監査コレクション サービス (ACS) レポートの定義について紹介します。

ACS レポートを導入したいが、数あるレポートの中でどれを使用したらよいかわからないという声をいただくことがあります。

各レポートの定義について、以下に概要をまとめましたので、レポートの選定に役立てていただければ幸いです。

 

 

レポート名:Access_Violation_-_Account_Locked

===================================================================

パラメーター:

StartDate, EndDate

 

説明:

ユーザアカウントのロックアウトの監査イベント ID: 539, 644, 4740, 6279 が記録されていた場合、それらのデータを抽出してレポートに出力します。

Windows Server 2000 & 2003 の環境:539, 644 (ユーザアカウントのロックアウト)

Windows Server 2008 以降の環境:4740, 6279 (ユーザアカウントのロックアウト)

 

 

レポート名:Access_Violation_-_Unsuccessful_Logon_Attempts

===================================================================

パラメーター:

StartDate, EndDate

 

説明:

ログオンの監査イベント ID: 529-537, 539, 4625 が記録されていた場合、それらのデータを抽出してレポートに出力します。

Windows Server 2000 & 2003 の環境:529-537, 539 (ログオン失敗)

Windows Server 2008 以降の環境:4625 (ログオン失敗)

 

 

レポート名:Account_Management_-_Domain_and_Built-in_Administrators_Changes

===================================================================

パラメーター:

StartDate, EndDate

 

説明:

ドメインとローカルの Built-in Administrators グループへのメンバー追加/削除時に出力されるイベントをレポート出力します。

監査イベント 632, 633, 636, 637 が記録されていた場合、かつ、対象グループ SID が S-1-5-33 で始まるもの、もしくは -512 で終わるものを抽出してレポートに出力します。

 

 

レポート名:Account_Management_-_Passwords_Change_Attempts_by_Non-owner

===================================================================

パラメーター:

StartDate, EndDate

 

説明:

 

パスワードの変更の監査イベント ID: 627, 628, 4723, 4724 が記録されていた場合、それらのデータを抽出してレポートに出力します。

Windows Server 2000 & 2003 環境:627 (パスワードの変更), 628 (パスワードのリセット)

Windows Server 2008 以降の環境: 4723 (パスワードの変更), 4724 (パスワードのリセット)

 

 

レポート名:Account_Management_-_User_Accounts_Created

===================================================================

パラメーター:

StartDate, EndDate

 

説明:

 

ユーザーアカウント作成の監査イベント ID: 624, 4720 が記録されていた場合、それらのデータを抽出してレポートに出力します。

Windows Server 2000 & 2003 環境:624 (ユーザーアカウントの作成)

Windows Server 2008 以降の環境: 4720 (ユーザーアカウントの作成)

 

 

レポート名:Account_Management_-_User_Accounts_Deleted

===================================================================

パラメーター:

StartDate, EndDate

 

説明:

 

ユーザーアカウント作成の監査イベント ID: 630, 4726 が記録されていた場合、それらのデータを抽出してレポートに出力します。

Windows Server 2000 & 2003 環境:630 (ユーザーアカウントの削除)

Windows Server 2008 以降の環境: 4726 (ユーザーアカウントの削除)

 

 

レポート名:Audit_Report_Template

===================================================================

説明:カスタマイズ用テンプレートです。

 

 

レポート名:Audit5_Report_Template

===================================================================

説明:カスタマイズ用テンプレートです。

 

 

レポート名:DAC_-_Central_Access_Policy_For_File_Changes

===================================================================

パラメーター:

StartDate, EndDate, Domain, User, File Path

 

説明:

ファイルに関連付けられた集約型アクセス ポリシーの変更の監査イベント ID: 4913 が記録されていた場合、それらのデータを抽出してレポートに出力します。本監査ログは Windows Server 2012 以降から導入されています。

 

 

レポート名:DAC_-_File_Resource_Property_Changes

===================================================================

パラメーター:

StartDate, EndDate, Domain, User, File Path, ResourceAttribute

 

説明:

ファイル属性の変更の監査イベント ID: 4911 が記録されていた場合、それらのデータを抽出してレポートに出力します。本監査ログは Windows Server 2012 以降から導入されています。

 

 

レポート名:DAC_-_Object_Access_1_Resource_Attribute_Query

===================================================================

パラメーター:

StartDate, EndDate, Domain, UserName, File Path, ResourceAttribute, ResourceAttributeValue

 

説明:

オブジェクト アクセスの監査から取得される追加情報の監査イベント ID: 4656, 4663 が記録されていた場合、それらのデータを抽出してレポートに出力します。本監査ログは Windows Server 2012 以降から導入されています。

 

 

レポート名:DAC_-_Object_Access_2_Resource_Attribute_Query

===================================================================

パラメーター:

StartDate, EndDate, Domain, UserName, File Path, ResourceAttribute1, ResourceAttributeValue1, ResourceAttribute2, ResourceAttributeValue2

 

説明:

オブジェクト アクセスの監査から取得される追加情報の監査イベント ID: 4656, 4663 が記録されていた場合、それらのデータを抽出してレポートに出力します。本監査ログは Windows Server 2012 以降から導入されています。

 

 

レポート名:DAC_-_Object_Access_3_Resource_Attribute_Query

===================================================================

パラメーター:

StartDate, EndDate, Domain, UserName, File Path, ResourceAttribute1, ResourceAttributeValue1, ResourceAttribute2, ResourceAttributeValue2, ResourceAttribute3, ResourceAttributeValue3

 

説明:

オブジェクト アクセスの監査から取得される追加情報の監査イベント ID: 4656, 4663 が記録されていた場合、それらのデータを抽出してレポートに出力します。本監査ログは Windows Server 2012 以降から導入されています。

 

 

レポート名:DAC_-_Object_Attribute_Changes

===================================================================

パラメーター:

StartDate, EndDate, ObjectName, ClassName

 

説明:

ディレクトリ サービスの変更の監査イベント ID: 5136、5137 が記録されていた場合、それらのデータを抽出してレポートに出力します。

 

 

レポート名:DAC_-_Staging

===================================================================

パラメーター:

StartDate, EndDate, Domain, Username, FilePath, CurrentResultText, StagedResultText

 

説明:

ポリシー変更のステージングの監査イベント ID: 4818 が記録されていた場合、それらのデータを抽出してレポートに出力します。

本監査ログは Windows Server 2012 以降から導入されています。

 

 

レポート名:Forensic_-_All_Events_For_Specified_Computer

===================================================================

パラメーター:

StartDate, EndDate, Domain\Computer

 

説明:

パラメーターで指定したコンピューターについて、全てのイベントをレポートに出力します。

 

レポート名:Forensic_-_All_Events_For_Specified_User

===================================================================

パラメーター:

StartDate, EndDate, Domain\User

 

説明:

パラメーターで指定したユーザーについて、全てのイベントをレポートに出力します。

 

 

レポート名:Forensic_-_All_Events_With_Specified_Event_ID

===================================================================

パラメーター:

StartDate, EndDate, EventID

 

説明:

パラメーターで指定したイベント ID が記録されていた場合、それらのデータを抽出してレポートに出力します。

 

 

レポート名:Planning_-_Event_Counts

===================================================================

パラメーター:

StartDate, EndDate

 

説明:

収集された全イベントのうち、各イベントID についての出力合計数、および全体出力数のうちの割合を表示します。

出力数の多いイベントを確認し、監査ポリシーをチューニングするために使用します。

 

 

レポート名:Planning_-_Event_Counts_by_Computer

===================================================================

パラメーター:

StartDate, EndDate, Domain\Computer

 

説明:

パラメータに指定したコンピューターについて、収集された全イベントのうち、各イベントID についての出力合計数、および全体出力数のうちの割合を表示します。

出力数の多いイベントを確認し、監査ポリシーをチューニングするために使用します。

 

 

レポート名:Planning_-_Hourly_Event_Distribution

===================================================================

パラメーター:

StartDate, EndDate

 

説明:

1 時間ごとに記録されたイベントの合計数の遷移を折れ線グラフで表示します。本レポートはキャパシティ プランニングに使用します。

 

 

レポート名:Planning_-_Logon_Counts_of_Privileged_Users

===================================================================

パラメーター:

StartDate, EndDate

 

説明:

特権使用ユーザーによるログオン合計数を表示します。

特定の特権使用ユーザーによるログオン回数が正常値を超過している場合、異常なネットワーク活動がないかどうか調査する必要があります。

 

 

レポート名:Policy_-_Account_Policy_Changed

===================================================================

パラメーター:

StartDate, EndDate

 

説明:

アカウント ポリシーの変更イベント ID: 643, 4739 が記録されていた場合、それらのデータを抽出してレポートに出力します。

Windows Server 2000 & 2003 環境:643 (アカウント ポリシーの変更)

Windows Server 2008 以降の環境: 4739 (アカウント ポリシーの変更)

 

 

レポート名:Policy_-_Audit_Policy_Changed

===================================================================

パラメーター:

StartDate, EndDate

 

説明:

ポリシーの変更の監査イベント ID: 612, 4719 が記録されていた場合、それらのデータを抽出してレポートに出力します。

Windows Server 2000 & 2003 環境:612 (ポリシーの変更)

Windows Server 2008 以降の環境: 4719 (ポリシーの変更)

 

 

レポート名:Policy_-_Object_Permissions_Changed

===================================================================

パラメーター:

StartDate, EndDate

 

説明:

オブジェクトのアクセス許可変更イベント ID: 4670 が記録されていた場合、それらのデータを抽出してレポートに出力します。

Windows Server 2008 以降の環境: 4670 (オブジェクトのアクセス許可の変更)

 

 

レポート名:Policy_-_Privilege_Added_Or_Removed

===================================================================

パラメーター:

StartDate, EndDate

 

説明:

ポリシーの変更の監査 (ユーザー権限の追加と削除) ID: 608, 621, 609, 622, 4704, 4705 が記録されていた場合、それらのデータを抽出してレポートに出力します。

Windows Server 2000 & 2003 環境:608 (ユーザー権利の割り当て), 621 (アカウントに対するシステムアクセス権限の追加), 609 (ユーザー権利の削除), 622 (アカウントからシステム アクセス権限の削除)

Windows Server 2008 以降の環境: 4704 (ユーザ権利の割り当て), 4705 (ユーザー権利の削除)

 

 

レポート名:System_Integrity_-_Audit_Failure

===================================================================

パラメーター:

StartDate, EndDate

 

説明:

監査イベント記録の失敗を示すイベント ID: 516, 4612 が記録されていた場合、それらのデータを抽出してレポートに出力します。これらのイベントは、リソース不足により監査ログの記録に失敗し、一部のログが失われたことを示します。

 

Windows Server 2000 & 2003 環境:516 (監査イベント記録の失敗)

Windows Server 2008 以降の環境: 4612 (監査イベント記録の失敗)

 

 

レポート名:System_Integrity_-_Audit_Log_Cleared

===================================================================

パラメーター:

StartDate, EndDate

 

説明:

監査ログの消去を示すイベント ID: 517, 1102 が記録されていた場合、それらのデータを抽出してレポートに出力します。

 

Windows Server 2000 & 2003 環境:517 (監査ログの消去)

Windows Server 2008 以降の環境: 1102 (監査ログの消去)

 

 

レポート名:Usage_-_Object_Access

===================================================================

パラメーター:

StartDate, EndDate

 

説明:

ログオンの監査イベント ID: 560, 567, 4656, 4663 が記録されていた場合、それらのデータを抽出してレポートに出力します。

Windows Server 2003 環境:560 (オブジェクトのオープン), 567 (ファイルアクセス )

Windows Server 2008 以降の環境: 4656 (ファイルオープン), 4663 (ファイルアクセス )

 

 

レポート名:Usage_-_Privileged_logon

===================================================================

パラメーター:

StartDate, EndDate

 

説明:

特権を使用したログオンイベント ID: 576 が記録されていた場合、それらのデータを抽出してレポートに出力します。

 

 

レポート名:Usage_-_Sensitive_Security_Groups_Changes

===================================================================

パラメーター:

StartDate, EndDate

 

説明:

グローバルグループやローカルグループの作成・削除・変更を示す監査イベントが記録されていた場合、それらのデータを抽出してレポートに出力します。具体的には以下イベントをフィルタしてレポート出力します。

 

Windows Server 2003 環境:631-639、または 641、または 658-662

Windows Server 2008 以降の環境: 4727-4735、または 4737、または 4754-4758

 

※各イベント ID の意味については以下公開資料をご参照下さい。

 

 【Windows Server 2008】監査イベントの Event ID が変わります

  http://blogs.technet.com/b/junichia/archive/2008/01/11/2008-id.aspx

 

  Windows vista と Windows Server 2008 のセキュリティ イベントの説明

  http://support.microsoft.com/kb/947226/ja

 

 

レポート名:Usage_-_User_Logon

===================================================================

パラメーター:

StartDate, EndDate, Domain\User

 

説明:

パラメーターで指定したユーザーについて、ログオンの監査イベント ID: 528, 540, 4624 が記録されていた場合、それらのデータを抽出してレポートに出力します。

Windows Server 2003 の環境:528 (対話的なログオン), 540 (ネットワーク ログオン)

Windows Server 2008 以降の環境:4624 (対話的・ネットワークログオン)

 

 

 

 

- その他参考資料

ACS および ACS レポートの展開

http://technet.microsoft.com/ja-jp/library/hh298613.aspx

 

 

コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。

 

 


Comments (0)

Skip to main content