Windows ServerでのGPO(グループポリシー)によるログ取得の設定変更

最近、職場で利用しているサーバーで障害が発生し、原因を調査したところ、サーバー内のデータ量が増えたことによる空き容量不足が原因と判明し、不要なデータの整理を行ったのですが、その中でイベントログのデータ量がかなりのサイズになっていたため、こちらの圧縮を行ったところ空き容量の確保ができました。

取り急ぎの処置としてはこれでよいのですが、イベントログは自動的に取得されますので、根本的な対応として、取得するイベントの中で不要なイベントの取得を制限することとしました。
とはいえ、障害発生時の確認や、監査対応等に対応できるよう、必要なログは残しておく必要があるため、今回はセキュリティログの「成功の監査」を無効化し、ログデータ量の節約を試してみました。

具体的な作業内容としては以下の手順になります。

サーバ側のグループポリシー設定

  1. あらかじめグループポリシーを適用したいOUの中で作成しておきます。作成方法については過去の記事(Active Directoryでグループポリシーを設定する手順)をご参照ください。
  2. 作成したグループポリシーを右クリックし、編集(Edit)を押下
    GPOを右クリック→編集(Edit)をクリック
  3. コンピューターの構成(Computer Configuration)→Windowsの設定(Windows Settings)→セキュリティの設定(Security Settings)→監査ポリシーの詳細な設定(Advanced Audit Policy Configuration)→監査ポリシー(Audit Policies)の順に開きます
    GPOを編集→コンピューターの構成→ポリシー→Windowsの設定→セキュリティの設定→監査ポリシーの詳細な構成の順に展開
    GPOを編集→コンピューターの構成→ポリシー→Windowsの設定→セキュリティの設定→監査ポリシーの詳細な構成の順に展開
  4. 対象サーバーのセキュリティログを開き、成功の監査の件数が多いイベントの種類を特定します。
    ※今回確認したところ、記録回数の多かった成功の監査ログは以下の通りです。

    イベントID 日本語表記 英語表記
    5156 フィルタリング プラットフォームの接続 Filtering Platform Connection
    5152 フィルタリング プラットフォーム パケットのドロップ Filetering Platform Packet Drop
    612 監査ポリシーの変更 Audit Policy Change
    4703 ユーザー権利が調整されました。 Token Right Adjusted Events
    5447 その他のポリシー変更イベント Other Policy Change Events
  5. 上記の監査ログに対応する設定項目をGPO内で探します。
    Filetering Platform Connection、Filtering Platform Packet Drop、Audit Other Object Access Eventsの場所
    Filetering Platform Connection、Filtering Platform Packet Drop、Audit Other Object Access Eventsの場所


    Audit Policy Change、Other Policy Change Eventsの場所
    Audit Policy Change、Other Policy Change Eventsの場所

  6. ※以下作業は設定を早急に反映させたい場合に行ってください。こちらの作業を行わずとも、時間が経過すれば設定は反映されますが、数時間以上はかかります。※
    設定完了後、グループポリシーの管理(Group Policy Management)に戻り、GPOの上層のOUで右クリックし、グループポリシーの更新(Group Policy Update…)をクリックします。
    GPOが含まれているOUを右クリック→Group Policy updateを押下
    GPOが含まれているOUを右クリック→Group Policy updateを押下
  7. Yesをクリックします。
    GPOの影響を受けるコンピューター及びユーザーの数が表示されるので、Yesを押下
    GPOの影響を受けるコンピューター及びユーザーの数が表示されるので、Yesを押下
  8. グループポリシーの更新処理が始まり、完了後結果が表示されます。結果を保存する場合は保存(Save)ボタンを押します。不要な場合はCloseで閉じます。
    保存(Save)または閉じる(Close)を押下
    保存(Save)または閉じる(Close)を押下

クライアント側の作業

  1. ※以下作業は設定を早急に反映させたい場合に行ってください。こちらの作業を行わずとも、時間が経過すれば設定は反映されますが、数時間以上はかかります。※
    クライアント端末にログインし、コマンドプロンプトを起動し、gpupdate /force入力しEnterを押下
  2. 更新が完了したら、gpresult /Rと入力しEnterを押下
  3. 表示結果の中の「適用されたグループ ポリシー オブジェクト」の中に、設定を行ったグループポリシーが表示されていれば適用成功です。







コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です