セキュリティログ
監視項目総数:31 個
※ 本監視テンプレートはセイ・テクノロジーズのブログ記事とリンクしています。詳細はこちらを参照してください。
※ 「追加のセキュリティ監視」グループの監視項目には、監視結果と連携したメール送信のアクションが登録されていますが、このメール送信アクションを実行するためには、事前のメールサーバー設定と送信先メールアドレスの設定が必要です。設定の詳細は「BOM for Windows Ver.8.0 ユーザーズマニュアル」を参照してください。
※ 本監視テンプレートでは、しきい値として通常許容されない「0件より小さい」が設定されているため、プロパティの「しきい値」タブを表示すると適切な値の入力を促すダイアログが表示されます。この際は[OK]→[キャンセル]とクリックしてプロパティを一度閉じてください。
ログオン/ログオフ監視
有効/無効:有効
監視項目数:3 個
ログオンの成功監視
本監視項目はログ収集用ですので、しきい値は0より小さいに設定しています。
有効/無効:有効
監視間隔:5分
監視タイプ:イベントログ監視
監視ログ:Security
キーワード:成功の監査
ソース:Microsoft-Windows-Security-Auditing
イベントID:4624
注意:0件より小さい
危険:0件より小さい
ログオンの失敗監視
有効/無効:有効
監視間隔:5分
監視タイプ:イベントログ監視
監視ログ:Security
キーワード:失敗の監査
ソース:Microsoft-Windows-Security-Auditing
イベントID:4625
注意:2件以上
危険:6件以上
ユーザー開始ログオフ監視
本監視項目はログ収集用ですので、しきい値は0より小さいに設定しています。
有効/無効:有効
監視間隔:5分
監視タイプ:イベントログ監視
監視ログ:Security
キーワード:成功の監査
ソース:Microsoft-Windows-Security-Auditing
イベントID:4647
注意:0件より小さい
危険:0件より小さい
アカウントログオン監視
有効/無効:有効
監視項目数:4 個
認証チケットの要求監視
本監視項目はログ収集用ですので、しきい値は0より小さいに設定しています。
有効/無効:有効
監視間隔:5分
監視タイプ:イベントログ監視
監視ログ:Security
キーワード:成功の監査
ソース:Microsoft-Windows-Security-Auditing
イベントID:4768
注意:0件より小さい
危険:0件より小さい
事前認証の失敗監視
有効/無効:有効
監視間隔:5分
監視タイプ:イベントログ監視
監視ログ:Security
キーワード:失敗の監査
ソース:Microsoft-Windows-Security-Auditing
イベントID:4771
注意:2件以上
危険:6件以上
サービスチケット要求の失敗監視
有効/無効:有効
監視間隔:5分
監視タイプ:イベントログ監視
監視ログ:Security
キーワード:失敗の監査
ソース:Microsoft-Windows-Security-Auditing
イベントID:4772
注意:2件以上
危険:6件以上
NTLM認証失敗監視
有効/無効:有効
監視間隔:5 分
監視タイプ:イベントログ監視
監視ログ:Security
種類:エラー、情報
キーワード:失敗の監査
ソース:Microsoft-Windows-Security-Auditing
イベントID:4776
注意:5件以上
危険:6件以上
ポリシー変更監視
有効/無効:有効
監視項目数:1 個
監査ポリシーの変更監視
有効/無効:有効
監視間隔:5分
監視タイプ:イベントログ監視
監視ログ:Security
キーワード:成功の監査
ソース:Microsoft-Windows-Security-Auditing
イベントID:4912
注意:2件以上
危険:6件以上
オブジェクトアクセス監視
有効/無効:有効
監視項目数:2 個
ファイルオープン監視
本監視項目はログ収集用ですので、しきい値は0より小さいに設定しています。
「イベント説明のテキスト検索」タブにて、監査対象となるフォルダ名/ファイル名を入力してください。
有効/無効:有効
監視間隔:5分
監視タイプ:イベントログ監視
監視ログ:Security
キーワード:成功の監査
ソース:Microsoft-Windows-Security-Auditing
イベントID:4656
注意:0件より小さい
危険:0件より小さい
ファイル削除監視
本監視項目はログ収集用ですので、しきい値は0より小さいに設定しています。
有効/無効:有効
監視間隔:5分
監視タイプ:イベントログ監視
監視ログ:Security
キーワード:成功の監査
ソース:Microsoft-Windows-Security-Auditing
イベントID:4660
注意:0件より小さい
危険:0件より小さい
アカウント管理監視
有効/無効:有効
監視項目数:18 個
ユーザーアカウントの作成監視
本監視項目はログ収集用ですので、しきい値は0より小さいに設定しています。
有効/無効:有効
監視間隔:5分
監視タイプ:イベントログ監視
監視ログ:Security
キーワード:成功の監査
ソース:Microsoft-Windows-Security-Auditing
イベントID:4720
注意:0件より小さい
危険:0件より小さい
ユーザーアカウントの有効化監視
本監視項目はログ収集用ですので、しきい値は0より小さいに設定しています。
有効/無効:有効
監視間隔:5分
監視タイプ:イベントログ監視
監視ログ:Security
キーワード:成功の監査
ソース:Microsoft-Windows-Security-Auditing
イベントID:4722
注意:0件より小さい
危険:0件より小さい
パスワード変更の試行失敗監視
有効/無効:有効
監視間隔:5分
監視タイプ:イベントログ監視
監視ログ:Security
キーワード:成功の監査, 失敗の監査
ソース:Microsoft-Windows-Security-Auditing
イベントID:4723
注意:2件以上
危険:6件以上
ユーザーパスワードリセット監視
本監視項目はログ収集用ですので、しきい値は0より小さいに設定しています。
有効/無効:有効
監視間隔:5分
監視タイプ:イベントログ監視
監視ログ:Security
キーワード:成功の監査
ソース:Microsoft-Windows-Security-Auditing
イベントID:4724
注意:0件より小さい
危険:0件より小さい
ユーザーアカウントの無効化監視
本監視項目はログ収集用ですので、しきい値は0より小さいに設定しています。
有効/無効:有効
監視間隔:5分
監視タイプ:イベントログ監視
監視ログ:Security
キーワード:成功の監査
ソース:Microsoft-Windows-Security-Auditing
イベントID:4725
注意:0件より小さい
危険:0件より小さい
ユーザーアカウントの削除監視
本監視項目はログ収集用ですので、しきい値は0より小さいに設定しています。
有効/無効:有効
監視間隔:5分
監視タイプ:イベントログ監視
監視ログ:Security
キーワード:成功の監査
ソース:Microsoft-Windows-Security-Auditing
イベントID:4726
注意:0件より小さい
危険:0件より小さい
グローバルグループ (セキュリティ) の作成監視
本監視項目はログ収集用ですので、しきい値は0より小さいに設定しています。
有効/無効:有効
監視間隔:5分
監視タイプ:イベントログ監視
監視ログ:Security
キーワード:成功の監査
ソース:Microsoft-Windows-Security-Auditing
イベントID:4727
注意:0件より小さい
危険:0件より小さい
グローバルグループ (セキュリティ) メンバ追加監視
本監視項目はログ収集用ですので、しきい値は0より小さいに設定しています。
有効/無効:有効
監視間隔:5分
監視タイプ:イベントログ監視
監視ログ:Security
キーワード:成功の監査
ソース:Microsoft-Windows-Security-Auditing
イベントID:4728
注意:0件より小さい
危険:0件より小さい
グローバルグループ (セキュリティ) メンバ削除監視
本監視項目はログ収集用ですので、しきい値は0より小さいに設定しています。
有効/無効:有効
監視間隔:5分
監視タイプ:イベントログ監視
監視ログ:Security
キーワード:成功の監査
ソース:Microsoft-Windows-Security-Auditing
イベントID:4729
注意:0件より小さい
危険:0件より小さい
グローバルグループ (セキュリティ) の削除監視
有効/無効:有効
監視間隔:5分
監視タイプ:イベントログ監視
監視ログ:Security
キーワード:成功の監査
ソース:Microsoft-Windows-Security-Auditing
イベントID:4730
注意:1件以上
危険:5件以上
ローカルグループ (セキュリティ) の作成監視
本監視項目はログ収集用ですので、しきい値は0より小さいに設定しています。
有効/無効:有効
監視間隔:5分
監視タイプ:イベントログ監視
監視ログ:Security
キーワード:成功の監査
ソース:Microsoft-Windows-Security-Auditing
イベントID:4731
注意:0件より小さい
危険:0件より小さい
ローカルグループ (セキュリティ) メンバ追加監視
本監視項目はログ収集用ですので、しきい値は0より小さいに設定しています。
有効/無効:有効
監視間隔:5分
監視タイプ:イベントログ監視
監視ログ:Security
キーワード:成功の監査
ソース:Microsoft-Windows-Security-Auditing
イベントID:4732
注意:0件より小さい
危険:0件より小さい
ローカルグループ (セキュリティ) メンバ削除監視
本監視項目はログ収集用ですので、しきい値は0より小さいに設定しています。
有効/無効:有効
監視間隔:5分
監視タイプ:イベントログ監視
監視ログ:Security
キーワード:成功の監査
ソース:Microsoft-Windows-Security-Auditing
イベントID:4733
注意:0件より小さい
危険:0件より小さい
ローカルグループ (セキュリティ) の削除監視
有効/無効:有効
監視間隔:5分
監視タイプ:イベントログ監視
監視ログ:Security
キーワード:成功の監査
ソース:Microsoft-Windows-Security-Auditing
イベントID:4734
注意:1件以上
危険:5件以上
ユニバーサルグループ (セキュリティ) の作成監視
本監視項目はログ収集用ですので、しきい値は0より小さいに設定しています。
有効/無効:有効
監視間隔:5分
監視タイプ:イベントログ監視
監視ログ:Security
キーワード:成功の監査
ソース:Microsoft-Windows-Security-Auditing
イベントID:4754
注意:0件より小さい
危険:0件より小さい
ユニバーサルグループ (セキュリティ) メンバ追加監視
本監視項目はログ収集用ですので、しきい値は0より小さいに設定しています。
有効/無効:有効
監視間隔:5分
監視タイプ:イベントログ監視
監視ログ:Security
キーワード:成功の監査
ソース:Microsoft-Windows-Security-Auditing
イベントID:4756
注意:0件より小さい
危険:0件より小さい
ユニバーサルグループ (セキュリティ) メンバ削除監視
本監視項目はログ収集用ですので、しきい値は0より小さいに設定しています。
有効/無効:有効
監視間隔:5分
監視タイプ:イベントログ監視
監視ログ:Security
キーワード:成功の監査
ソース:Microsoft-Windows-Security-Auditing
イベントID:4757
注意:0件より小さい
危険:0件より小さい
ユニバーサルグループ (セキュリティ) の削除監視
有効/無効:有効
監視間隔:5分
監視タイプ:イベントログ監視
監視ログ:Security
種類:重大、エラー、警告
キーワード:成功の監査
ソース:Microsoft-Windows-Security-Auditing
イベントID:4758
注意:1件以上
危険:5件以上
追加のセキュリティ監視
有効/無効:有効
監視項目数:3 個
※ ADユーザー監視項目はスクリプトが必要です。適切にスクリプトを配置してください。
アカウントロックアウトの監視
有効/無効:有効
監視間隔:5 分
監視タイプ:イベントログ監視
監視ログ:Security
種類:情報
キーワード:失敗の監査
ソース:Microsoft-Windows-Security-Auditing
イベントID:4625, 4740
アクション:メール送信
実行条件:注意、危険、失敗
注意:1件以上
危険:1件以上
イベントログ消去の監視
有効/無効:有効
監視間隔:5 分
監視タイプ:イベントログ監視
監視ログ:Security
種類:情報
キーワード:成功の監査
ソース:Microsoft-Windows-Eventlog
イベントID:104, 1102
アクション:メール送信
実行条件:注意、危険、失敗
注意:1件以上
危険:1件以上
AD ユーザー監視
本監視項目は、ドメイン所属のサーバーで実行する場合に監視を有効にしてください。
有効/無効:無効
監視間隔:10 分
監視タイプ:カスタム監視
スクリプト:get-inactiveadusers.ps1
アクション:メール送信
実行条件:注意、危険、失敗
注意:1以上
危険:1以上