Active Directoryの監査ツール ー Active Directory Change Reporterを使ってみた

 
IdM実験室のブログで、FIM2010の情報を色々と提供している、
ふぁらおさんがIdentity Lifecycle Managerの分野で
マイクロソフトMVPを受賞されたということで、おめでとうございます!(パチパチ)
私自身は、TechEd2009以降、色々な理由でFIM2010を扱う機会が減ってしまっていたので
ふぁらおさんのブログはとても参考にさせていただいています。
 
 
 
さて、Active Directoryの監査の関連で、これまでにいくつかの投稿をしてきましたが、
イベントID5136で記録されるオブジェクトに対する変更を表すログから、
どのように必要な情報を抽出し、テキストにはき出していけば良いのかな?と
考えを巡らせていたのですが、
マイクロソフトの安納さんがブログでPowerShellによる取り出し方を紹介してくださっています。
 
【PowerShell】ユーザーIDの変更履歴を収集するスクリプト
 
自分がやりたかったこと、そのものずばりを紹介してくださっているので
とてもありがたく思います。
 
一方、私の側では、
Active Directoryオブジェクトに対する変更をログにきれいに残しておくように
する手段として、どのような方法がよいかなと考え、
フリーで手軽に使えるようなものを探していました。
(サードパーティーの製品なら、色々ありますけどね)
 
すると、
Active Directoryの変更を追跡する「Active Directory Change Reporter(ADCR)」というのを見つけました。
 
 
無償版は、有償版の機能制限がついたタイプなのですが、
機能制限がついた中で、どこまでのことができるのか試してみました。
 
上記URLからダウンロードして、インストールすると、初期設定画面が表示されます。
 
 
設定の中では、メールサーバーとメールアカウントの設定を入れています。
これは、定期的(デフォルトは1日1回)にActive Directoryの変更点を
チェックしてくれるのですが、チェックしたよ!というメールが来るようにするためのものです。
(ちなみにメールには、有償版もあるよ!と宣伝が書いてあります)
 
設定を完了すると、定期的にチェックしますが、1回目のチェックでは変更点を教えてくれません。
つまり、2回目以降のチェックを行ったときに、1回目のチェック結果と比較することで
その間の変更点を教えてくれるようになっています。
(Active Directoryデータベースを取得し、2つのデータベースを比較して差分を抽出している??)
 
チェックすることにより、できあがったファイルはこちら。
 
 
メモ帳でファイルを開いたら、案の定、バイナリのファイルなので中身はわかりません。
 
できあがったファイルから、変更点を確認するために同梱のReport Viewerを起動します。
すると、変更点を参照する期間を設定するダイアログが表示されます。
 
 
そして、Generateすると、HTMLファイルが生成されます。
その結果がこちら。
 
 
変更点をAdded、Modified、Removedの3つに分けて、変更点の詳細(Details部分)を教えてくれます。
ただし、英語のツールなので、2バイト文字は見事に文字化けしてしまっています。。
また、変更時刻や変更者の情報は有償版のみのサポートということで、教えてくれません。
 
 
セットアップも簡単で、監査のための設定(Auditpolコマンドを実行するとか、SACLを設定するとか)が
一切要らないのはとても便利なのですが、監査レポートはもうちょっとがんばってくれるとうれしいですね。
ですので、現実的な使い方としては、ADCRで変更点の有無だけを確認して、
詳細はイベントログで、ということになりそうです。
 
うーん、、、