ログオン追跡

ログオン追跡でコンソールログオン（成功）を追跡します。 同様にネットワークログオン（成功も失敗）、

も追跡できます。 

コンソールログオン 

相互ログオンセッションを追跡します。物理的、またはリモートディスクトップ（ターミナルサービス）を通 して発生します。 この機能で様々なログインセッションについての情報を収集します。 例えば、ソー スコンピューター、ログオン持続時間、等。 詳細は Console Session をご参照下さい。 

ネットワークログオン 

ネットワークログオン追跡は以下の通りです。 

Logon Failure Analysis:    全ての認証失敗を追跡 

Domain Account Authentication: 全ての成功ドメインアカウント認証を追跡  User Logon by Server Type:    全てのログイン追跡 

詳細は Network Logons をご参照下さい。 

5.6.4.1  Console Logons

コンソールログオン追跡は全てのログオンアクティビティをセントラルデータベースに記録します。 

      115 

（ログオンの相互作用とターミナルサービスログオン） またこの機能の目的はワークステーションやサ ーバーのログオン使用量の監視です。収集した情報は Web インターフェースを通してクエリ化されま す。 

z どのコンピュータにどのユーザーがログしたか。 

z ユーザーのログオン時間  z 情報の蓄積。 

必要条件 

この機能の動作は Audit Success イベントの傍受で行います。このイベントはセキュリティイベントロ グに描込みます。 監視対象ホストのローカルセキュリティポリス内で、監査プロセス追跡が有効化す ると実行します。プロセス追跡が正確に機能する前に、いくつかの必要用件が合致する必要がありま す。 

詳細は Requirement をご参照下さい。 

Windows がログオンとログオフアクティビティを記録するのは、ユーザーが実際にログインする  ホストに限ります。 ドメイン環境内の全ユーザーのログオンとログオフを監視したい場合、

EventSentry エージェントをインストールしなければいけません。全ワークステーションを含めて、 

ユーザーがログオン可能な全てのコンピュータにインストールします。 ドメインコントローラーに EventSentry をインストールするだけでは、全てのログオンログオフアクティビティを追跡できません。 

これは EventSentry の制約ではなく、Windows の制約です。 

データ収集 

EventSentry が収集するのは以下のログオン情報です。全てのサポート Windows プラットフォームから 収集します。 

Field Description  Logon Type  Console か Terminal Services  

Logon ID  マシンへのログオンを識別する独自の十六進法番号  Computer ユーザーがログオンしたコンピュータ  Username ログオン/オフしたユーザーのユーザー名 

Domain ユーザーがログオン/オフしたドメイン（またはコンピュータ名） 

Logon Privileges  ユーザーがローカル管理者か否か  Login Date / Time  ログオンした日時 

Logoff Date / Time  ログオフした日時 

Duration ログオン継続時間 

      116  プライバシー 

ログオン情報で収集したユーザーアクティビティを追跡します。 収集した情報が会社ポリシーや法律 に違反、または抵触するか、ご確認して頂く必要がございます。 

  設定 

Tracking All Users (with exceptions) 

Track all users except those listed below を選択して、全プロセスを監視します。 

プロセスを除外するには、+ボタンをクリックします。次に除外するプロセスのファイル名（パス無し）を指 定します。 

Tracking only selected users 

Only track users listed below を選択して  +ボタンクリックすると、監視対象リストにプロセスが追加さ れます。 

Enabling logon Tracking in the OS 

Operation System 内でログオン追跡を有効化する必要がります。ログオン追跡が活性化されていない 場合、エージェントを設定して自動的に活性化させます。詳細は Requirements をご参照下さい。 

 Database 

ODBC アクションを選択。正しいデータベースを指定します。 

追加機能 

ODBC アクションで指定したデータベースが一時的に利用できない場合、EventSentry はペンディング 中のログオン追跡データをキャッシュ化します。データベースサーバー回復後に書き込みます。 

5.6.4.2  Network Logons

ネットワークログイン追跡で情報収集出来ます。御社ネットワークのログイン成功と失敗について多様 で広範囲な情報です。この機能は様々な状況で役立ちます。 

z コンプライアンス統制 

z ネットワークセキュリティのレビュー  z トラブルシューティング 

z ネットワークログイン統計 

      117  Logon Failure Analysis 

全てのアクセス認証を文書化したレポートです。この認証はユーザーによるドメイン統制です。このユ ーザーがワークステーションやメンバーサーバーにログオンする度、ネットワークログオンが DC に作成 されます。 これにより、グループポリシーやユーザー設定に適応するため、ユーザークレデンシャル に従い、ユーザーのワークステーションはドメインコントローラーにアクセスしなければなりません。  

  Domain Account Authentication 

全てのアクセス認証を文書化したレポートです。この認証はユーザーによるドメイン統制です。このユ ーザーがワークステーションやメンバーサーバーにログオンする度、ネットワークログオンが DC に作成 されます。 これにより、グループポリシーやユーザー設定に適応するため、ユーザークレデンシャル に従い、ユーザーのワークステーションはドメインコントローラーにアクセスしなければなりません。  

  User Logon By Server Type 

監視対象サーバーの全てのログオンを文書化したレポートです。 

コンピュータへアクセス試行記録の記入。どのタイプのアカウントを使用したかは問いません。 

ログオンタイプとログオンプロセス  IP アドレスとクライアントコンピュータ名 

  Perform additional host name or reverse lookup through DNS 

（監査成功イベントのみに適応される）ログオンイベントにログインイベントが存在し、以前のログオンセ ッションに関わる場合、EventSentry は IP アドレスとホスト名を含みます。このケースではホスト名か IP アドレスに限り有効です。DNS（リザーブ）ルックアップは不足情報をかき集めて実行します。 

DNS ルックアップの性質上、この情報の取り扱いは注意して下さい。また、100％正確ではありません。 

      118