Windowsホストをモニターする準備

リアルタイム・モニタリング機能は、Windows Server 2003および2008とともにWindows XPをサポートしています。Windowsでのリアルタイム・モニタリング・モジュールは、アクションに関するすべての情報を収集する際に、オペレーティング・システムの様々な機能に依存しています。その1つは、Windowsイベント・ログから変更を行ったユーザーを取得することです。変更を行ったユーザーを取得するようにWindowsを構成していない場合、エージェントによりこの情報は取得されません。ただしその場合も、変更が行われたこと、およびいつ行われたかは取得されます。

リアルタイム監視と連携するようにイベント・ログを構成するには、次のステップを実行します。

1. Windowsエクスプローラから、リアルタイム・モニタリング・ルールによりモニタリングするディレクトリを選択し、右クリックして「プロパティ」を選択します。
2. 「セキュリティ」タブに移動します。
3. 「詳細」をクリックします。
4. 「監査」タブを選択します。
5. 「追加」をクリックします。(Microsoft XPでは、「監査エントリ」ウィンドウをダブルクリックします。)
6. 名前「Everyone」を選択し、「OK」をクリックします。また、Configuration Change Consoleルールで特定のユーザーによる変更のみをモニタリングする場合は、特定のユーザーを選択することもできます。ルールでは、ユーザーによっても結果がフィルタされるため、すべてのユーザーの監査を有効にした場合でも、ルールで変更をモニターするユーザーのみが取得されます。
7. 「アクセス」ウィンドウで次のオプション(「成功」または「失敗」あるいは両方)を選択します。Windows XPおよびWindows 2003の場合。

   • ファイルの作成/データの書き込み

   • フォルダの作成/データの追加

   • サブフォルダとファイルの削除

   • 削除

   Windows 2008およびWindows 7の場合。

   • ファイルの作成/データの書き込み

   • フォルダの作成/データの追加

   • 書込み属性

   • 書き込み拡張属性

   • サブフォルダとファイルの削除

   • 削除

   • 権限の変更

   • 所有権の取得

8. 「OK」をクリックして終了します。
9. モニター対象の他のすべてのディレクトリまたはファイルについて、ステップ1から7を繰り返します。
10. 「スタート」メニューから、「設定」、「コントロール パネル」、「管理ツール」、「ローカル セキュリティ ポリシー」、「ローカル ポリシー」、「監査ポリシー」の順に選択します。次のポリシーをダブルクリックしてオンにします(「成功」または「失敗」あるいは両方)。

    • アカウント ログオン イベントの監査

    • ログオン・イベントの監査

    • オブジェクト・アクセスの監査

11. 「ローカル セキュリティ設定」画面を閉じます。
12. 「スタート」メニューから、「設定」、「コントロール パネル」、「管理ツール」、「イベント ビューア」の順に選択します。
13. 「システム」ログを選択し、メニュー・バーの「操作」をクリックして「プロパティ」を選択します。
14. 「システム ログのプロパティ」パネルの「全般」タブで、「最大ログ サイズ」を5120KB(5MB)以上に設定し、「必要に応じてイベントを上書きする」を選択します。ログ・サイズは、2分間の報告期間にシステムで生成されるイベント数に依存することに注意してください。ログ・サイズは、それらのイベントを収容できるサイズに設定する必要があります。低い変更率が予測されるため、ファイル・イベントのモニタリング時間を延長する場合は、Windowsの監査ログがイベントの取得に十分な大きさであることを確認する必要があります。
15. 「適用」、「OK」の順にクリックして終了します。

Windows監査が適切に設定されていない場合、Cloud Controlユーザー・インタフェースの「コンプライアンス標準ターゲット・アソシエーション」ページに警告が表示されます。このページは、リアルタイム・モニタリングのコンプライアンス標準をターゲットと関連付けたページです。