Windowsログオン・ログオフイベントがイベントログ(セキュリティ)に出力されない事象があったので、記録
事象
Windows Server 2019で監査のためログオン・ログオフの記録をする必要がある。が、そのイベントログが出力しなくなっていたもの。
調査
最初から出力していなかったわけではなく、いつの間にかなっていた事象で切り分けに苦労した。
結果からすると「監査」に対する設定を変更したことによるものだった。
原因
監査に関する設定は「監査ポリシー」と「監査ポリシーの詳細な設定」の2通りの設定が可能。
このうち優先されるのは「監査ポリシーの詳細な設定」。
別件でWindows Firewallのパケットフィルタリング時のイベント出力をオフにする際に「監査ポリシーの詳細な設定」で設定をしたことがあった。
これにより、「監査ポリシー」で「ログオンイベントの監査」を有効にしていても「監査ポリシーの詳細な設定」では「未構成」となっていたため、ログオン・ログオフの監査が結果として機能していなかったもの。
対応
グループポリシーエディタでドメインのポリシーを設定。対象の監査を有効にする。
-ポリシー
-コンピューターの構成
-Windowsの設定
-セキュリティの設定
-監査ポリシーの詳細な構成
-システム監査ポリシー
-ログオン/ログオフ
・ログオフの監査
・ログオンの監査
コメント