イベントビューアのクエリをカスタマイズする(3)

前回(第2弾)の投稿では、イベントログから主にログオンにかかわるログを抽出するクエリを作成する方法について、紹介してきました。膨大なイベントID4624のログから必要なログを探し出す方法の紹介でしたが、ログオンにかかわるログにはもう1種類あります。それが、[アカウントログオン]監査ポリシーカテゴリです。(ちなみにイベントID4624を出力するポリシーは[ログオン/ログオフ]カテゴリ)

Windows Server 2008のAuditpolまたは、Windows Server 2008 R2のグループポリシーから監査ポリシーのカテゴリは
確認できます。ログオンにかかわるイベントを出力するための監査ポリシーには、以下のものがあります。

■ログオン/ログオフ
・アカウントロックアウトの監査
・IPSec拡張モードの監査
・IPSecメインモードの監査
・IPSecクイックモードの監査
・ログオフの監査
・ログオンの監査 ← イベントID 4624を出力するサブカテゴリ
・その他のログオン/ログオフ イベントの監査
・特殊なログオンの監査

■アカウントログオン
・資格情報の確認の監査
・Kerberos認証サービスの監査
・Kerberosサービスチケット操作の監査
・その他のアカウント ログオン イベントの監査

このうち、赤太字で書いた、[Kerberos認証サービスの監査]はログオン時にイベントログを出力してくれるサブカテゴリです。
では、ログオン操作の追跡を行うときに、イベントID4624を追跡するのと、Kerberos認証サービスの監査のイベントを追跡するのでは、どちらが追跡しやすいか見てみましょう。

まず、[Kerberos認証サービスの監査]で記録されるログには、以下のものがあります。

■イベントID 4768 : Kerberos認証チケット(TGT)が要求されました。
■イベントID 4769 : Kerberosサービスチケットが要求されました。

このイベントをどのように活かすか、おおざっぱに言うと(繰り返しますが、おおざっぱです)、
ログオン認証時、ログオンを行うクライアントコンピュータはドメインコントローラからTGTというチケット、ST(サービスチケット)というチケットを受信します。STというチケットをもとにクライアントはドメイン内のサーバーにアクセスするのですが、そもそもSTはTGTというチケットをもとに作られます。そのため、ログオン時にTGTを作成する処理は必ず行わなければならない処理なのです。そこで、TGTを発行したときにドメインコントローラ側で記録されるイベントID 4768を追跡すれば、ログオンの追跡を行っているのと同じことになるのです。

理論はこのあたりにして、実際に追跡してみます。
ここでは、とあるテスト環境で半月ほど実際に利用したドメインコントローラのイベントログを使ってみます。
イベントログから、イベントID4768と4769をフィルタします。
すると、109709個あったログが3876個に絞り込まれました。
さらに、イベントID4768だけが表示されるようにフィルタすると、434個まで絞り込まれました。
(ちなみに、イベントID 4624でフィルタしたときは33706個)

そして、実際に記録されたイベントログ(イベントID:4768)がこちら。

 ID4768

こちらは、TGT発行直後に、処理が行われたSTの発行にかかわるイベントログ(イベントID 4769)。

ID4769

見ていただくと、TGTのイベントID 4768は、ログの中に誰がログオンしたか、という情報を[アカウント名]というところに
記録していることがわかります。この[アカウント名]は、XMLでTargetUserNameという属性名になります。
以上を踏まえて、誰がいつログオンしたか、という情報だけ確認できればよいということであれば、イベントID4768でフィルタ、
そして、「誰」という部分を特定して検索したければ、次のようにXPathを書いてください。

*[System[(EventID=4768)] and EventData[Data[@Name=’TargetUserName’]= ‘ユーザー名’ ]]

ちなみに、イベントID 4624はこんな情報を記録します。

ID4624

こうしてみると、イベントID4624やイベントID 4769は色々な情報をログに記録してくれるのに対し、
TGTのイベントID 4768は、誰がいつログオンしたか、という情報ぐらいで、それ以上の情報はほとんどありません。
ですので、ログオン→ファイルアクセス、のような一連の流れを追跡するにはちょっと向かないかもしれないですね。

イベントID 4768とイベントID 4624、どちらが使えそうですかね?