イベント ログのセキュリティをローカルに設定する方法、または グループ ポリシー を使用して設定する方法

  • [アーティクル]

Windows Server 2012で、イベント ログに対するセキュリティ アクセス権をカスタマイズできます。 これらの設定は、ローカルまたはグループ ポリシーを使用して構成できます。 この記事では、これらの両方の方法を使用する方法について説明します。

適用対象: Windows Server 2012 Standard、Windows Server 2012 Datacenter
元の KB 番号: 323076

概要

イベント ログに対して、ユーザーに次のアクセス権を 1 つ以上付与できます。

  • 読み取り
  • 書き込み
  • Clear

重要

セキュリティ ログは、同じ方法で構成できます。 ただし、読み取りアクセス許可とクリア アクセス許可のみを変更できます。 セキュリティ ログへの書き込みアクセスは、Windows ローカル セキュリティ機関 (LSA) 専用に予約されています。

目的に対して管理用テンプレート ポリシーを使用できます。 たとえば、System Eventlog のパスは次のとおりです。

コンピューターの構成\管理用テンプレート\Windows コンポーネント\イベント ログ サービス\System

設定は ログ アクセスを構成 し、同じセキュリティ記述子定義言語 (SDDL) 文字列を受け取ります。

Microsoft では、Windows Server 2012に進むと、この方法に移行することをお勧めします。

イベント ログ セキュリティをローカルで構成する

重要

このセクション、方法、またはタスクには、レジストリの編集方法が記載されています。 レジストリを誤って変更すると、深刻な問題が発生することがあります。 レジストリを変更する際には十分に注意してください。 保護を強化するため、レジストリを変更する前にレジストリをバックアップします。 こうしておけば、問題が発生した場合にレジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、「Windows でレジストリをバックアップおよび復元する方法」を参照してください。

各ログのセキュリティは、レジストリ キー HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlogの値を使用してローカルに構成されます。

たとえば、アプリケーション ログセキュリティ記述子は、次のレジストリ値を使用して構成されます。 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD

また、システム ログセキュリティ記述子は を使用して HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD構成されます。

各ログのセキュリティ記述子は、SDDL 構文を使用して指定します。 SDDL 構文の詳細については、プラットフォーム SDK を参照するか、この記事の 「参照」 セクションで説明されている記事を参照してください。

SDDL 文字列を構築するには、イベント ログに関連する 3 つの個別の権限があることに注意してください:読み取り、書き込み、クリア。 これらの権限は、ACE 文字列のアクセス権フィールドの次のビットに対応します。

  • 1= 読み取り
  • 2 = 書き込み
  • 4 = クリア

アプリケーション ログの既定の SDDL 文字列を示す SDDL のサンプルを次に示します。 アクセス権 (16 進数) は、図のように太字で表示されます。

O:BAG:SYD:(D;; 0xf0007 ;;;AN)(D;; 0xf0007 ;;;BG)(A;; 0xf0007 ;;;SY)(A;; 0x5 ;;;BA)(A;; 0x7 ;;;SO)(A;; 0x3 ;;;IU)(A;; 0x2 ;;;BA)(A;; 0x2 ;;;LS)(A;; 0x2 ;;;NS)

たとえば、最初の ACE では、匿名ユーザーがログへの読み取り、書き込み、クリアアクセスを拒否します。 6 番目の ACE では、対話型ユーザーがログの読み取りと書き込みを許可します。

ローカル ポリシーを変更して、イベント ログのセキュリティのカスタマイズを許可する

  1. %WinDir%\Inf\Sceregvl.inf ファイルを既知の場所にバックアップします。

  2. メモ帳で %WinDir%\Inf\Sceregvl.inf を開きます。

  3. ファイルの中央までスクロールし、[文字列] の直前にポインターを置きます。

  4. 次の行を挿入します。

    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppLogSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysLogSD%,2

  5. ファイルの末尾までスクロールし、次の行を挿入します。

    AppLogSD="イベント ログ: セキュリティ記述子定義言語 (SDDL) 構文でアプリケーション ログのセキュリティを指定する"
    SysLogSD="イベント ログ: セキュリティ記述子定義言語 (SDDL) 構文でシステム ログのセキュリティを指定する"

  6. ファイルを保存して閉じます。

  7. [スタート] を選択し、[実行] を選択し、[開く] ボックスに「regsvr32 scecli.dll」と入力し、Enter キーを押します。

  8. [ scecli.dll 成功] ダイアログ ボックスの [DllRegisterServer ] で、[OK] を選択します

コンピューターのローカル グループ ポリシーを使用して、アプリケーションとシステム ログのセキュリティを設定する

  1. [ スタート] を選択 し、[実行] を選択し、「 gpedit.msc」と入力して、[ OK] を選択します
  2. グループ ポリシー エディターで、[Windows 設定] を展開し、[セキュリティ設定] を展開し、[ローカル ポリシー] を展開して、[セキュリティ オプション] を展開します
  3. [イベント ログ: アプリケーション ログ SDDL] をダブルクリックし、ログ セキュリティに必要な SDDL 文字列を入力し、[OK] を選択します
  4. [イベント ログ: システム ログ SDDL] をダブルクリックし、ログ セキュリティに必要な SDDL 文字列を入力し、[OK] を選択します

グループ ポリシーを使用して、Active Directory のドメイン、サイト、または組織単位のアプリケーションとシステム ログのセキュリティを設定する

重要

グループ ポリシー エディターでこの記事で説明されているグループ ポリシー設定を表示するには、最初に次の手順を実行してから、「グループ ポリシーを使用してアプリケーションとシステム ログのセキュリティを設定する」セクションに進みます。

  1. メモ帳などのテキスト エディターを使用して、%Windir%\Inf フォルダー内の Sceregvl.inf を開きます。

  2. [レジストリ値の登録] セクションに次の行を追加します。

    MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD,1,%SecCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\Directory Service\CustomSD,1,%DSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\DNS Server\CustomSD,1,%DNSCustomSD%,2
    MACHINE\System\CurrentControlSet\Services\Eventlog\File Replication Service\CustomSD,1,%FRSCustomSD%,2

  3. [文字列] セクションに次の行を追加します。

    AppCustomSD="Eventlog: アプリケーション イベント ログのセキュリティ記述子"
    SecCustomSD="Eventlog: セキュリティ イベント ログのセキュリティ記述子"
    SysCustomSD="Eventlog: システム イベント ログのセキュリティ記述子"
    DSCustomSD="Eventlog: ディレクトリ サービス イベント ログのセキュリティ記述子"
    DNSCustomSD="Eventlog: DNS Server イベント ログのセキュリティ記述子"
    FRSCustomSD="Eventlog: File Replication Service イベント ログのセキュリティ記述子"

  4. Sceregvl.inf ファイルに加えた変更を保存し、コマンドを regsvr32 scecli.dll 実行します。

  5. Gpedit.msc を起動し、次のブランチをダブルクリックして展開します。

    コンピューターの構成
    Windows の設定
    セキュリティ設定
    ローカル ポリシー
    セキュリティ オプション

  6. 右側のパネルを表示して、新しいイベント ログ設定を見つけます。

グループ ポリシーを使用してアプリケーションとシステム ログのセキュリティを設定する

  1. Active Directory サイトとサービス スナップインまたは Active Directory ユーザーとコンピューター スナップインで、ポリシーを設定するオブジェクトを右クリックし、[プロパティ] を選択します

  2. [グループ ポリシー] タブを選択します。

  3. 新しいポリシーを作成する必要がある場合は、[ 新規] を選択し、ポリシーの名前を定義します。 そうでない場合は、手順 5 に進みます。

  4. 目的のポリシーを選択し、[編集] を選択 します

    [ローカル グループ ポリシー MMC スナップイン] が表示されます。

  5. [ コンピューターの構成] を展開し 、[Windows 設定] を展開し 、[セキュリティ設定] を展開し、[ ローカル ポリシー] を展開して、[ セキュリティ オプション] を選択します。

  6. [イベント ログ: アプリケーション ログ SDDL] をダブルクリックし、ログ セキュリティに必要な SDDL 文字列を入力し、[OK] を選択します

  7. [イベント ログ: システム ログ SDDL] をダブルクリックし、ログ セキュリティに必要な SDDL 文字列を入力し、[OK] を選択します

関連情報

SDDL 構文と SDDL 文字列を構築する方法の詳細については、「 セキュリティ記述子の文字列形式」を参照してください。