在宅プログラマーの備忘録として2005年に始めたブログです。
Active Direcotryのグループポリシー設定の「ファイルシステム監査」を利用して、
イベントログに「いつ誰がどのファイルにアクセスしたか」を記録するようにしています。
しかし、ログを解析するにあたって、
Windows標準のイベントビューアでは検索がまったく機能せず、解析できません。
そこでイベントログ解析のツールを探していました。
・期間指定
・ユーザー名やファイル名で検索
というのが最低限必要な機能です。
「Event Log Explorer」
https://eventlogxp.com/ja/
英語のソフトですが、GUIなので使いやすいです。
商用利用版は有料です。
無料版では自分のPCの最新ログの解析しかできないようです。
情シスとして会社のファイルサーバーの過去ログ解析を目的としているので、
有料版の購入を検討しています。
Active Direcotryのグループポリシー設定の「ファイルシステム監査」を利用して、
イベントログに「いつ誰がどのファイルにアクセスしたか」を記録するようにしたのですが、
Windows自体が何かやっている謎のログが大量に記録され
ログが膨大すぎて管理するのが難しくなりました。
原因はフォルダのプロパティ→セキュリティ→詳細設定→監査で
監査対象を設定する際に
「Everyone、フルコントロール」
にしていたためでした。
ログの目的としてはこの設定が一番いいのでしょうが
ログが膨大すぎて解析できないと本末転倒ですので、監査対象の設定を
「Domain Users、変更(閲覧含む)」
に変更しました。
すると膨大だったログが1000分の1くらいに減り、
「いつ誰がどのファイルにアクセスしたか」が追いやすくなりました。
テレワークの社員が増えてくると、人事や経営陣としては
ちゃんと社員が仕事をしているかチェックしたくなります。
社員のPCのログインにドメインコントローラーを使用している場合は
ADサーバーのイベントログから
社員がPCにログインした時間を抽出することができます。
イベントビューアからエクスポートする方法、
wevtutilコマンドを使用する方法もありますが、
ここではwmicコマンドを使用します。
まずはイベントビューアでログインイベントのIDを特定する必要がありますが、
イベントIDが特定出来たら
イベントIDと期間で絞り込んで抽出します。
例)イベントID:1234、2021年4月のログ
|
1 |
wmic ntevent where "(logfile='system' and EventCode='1234' and (timegenerated >= '20210401000000.0+540' and timegenerated <= '20210430000000.0+540'))" >export.txt |