質問
WindowsServer2003だけでのアクセスログ監査を考えています。
巷にはサーバーアクセスログ監査ツールが溢れていますが、 以下のような簡単な監査要件を満たす場合は、WindowsServer2003だけでも いけるのではないかと考えています。
〔環境〕 監査対象サーバー:WindowsServer2003 (台数:6台) ※AD環境で、かつ監査対象サーバーは全てAD傘下 監査対象項目:ドメインユーザーのログオンと、そのログインユーザーのログオフ
〔監査要件〕 月に1回、変更管理ログ(ex.変更管理CABで承認されたデプロイ作業など)と 上記の監査対象との突き合わせチェックを行い、 変更管理ログと一致しないログインの痕跡が無いかどうかをチェックする
・・・というものなのですが、これって現実的なのでしょうか?
これから実環境で検証しようというところなのですが、 もし、同じようなことをされている、もしくはやろうと思ったが なんらかの理由でやめてしまったなど、参考になる情報をいただきたいのです。 (例えばログが膨大で解析できるような代物ではないよ、とか、 こうすれば簡単に解析できるよなど)
WindowsServer2003にはセキュリティ・ログとイベントビューアという 監査機能が最初からあるのですから、難しい監査を求めないのであれば、 追加でツールは購入したくないと考えています。 (でも、これだけログ監査ツールが出回っているということは やっぱり何か決定的な不便さがあるんでしょうか?)
よろしくお願いします。
決定的な不便さというか、ログファイルの最大値を手動で決めた場合300MB位までが上限となる不具合があるので、もし一日のログファイルが300MB以上になりそうならローテの方法を考える必要があります。
nobodyさんも指摘してるように プイバシーマークや、個人情報取得などでは3年間くらいのものを保持できないといけません。OSのログ監査ツールは1週間くらいのデバッグには使えても、長期のものには使えません。(ログサイズ制限や分析が大変なため)
ただし 自分でバックアップして、かつ検索可能な整理をしておけば ログを管理できます。 私は こんな手間はかけられないので、うちのお客には結局ツールを買ったほうが安いですよ とアドバイスしています。
アカウントをお持ちのかたはこちら
アカウントをお持ちでないかたはこちら
ログインすることであなたの お困り事を全国の情シス担当者へ 質問することができます。
質問
WindowsServer2003だけでのアクセスログ監査を考えています。
巷にはサーバーアクセスログ監査ツールが溢れていますが、
以下のような簡単な監査要件を満たす場合は、WindowsServer2003だけでも
いけるのではないかと考えています。
〔環境〕
監査対象サーバー:WindowsServer2003 (台数:6台)
※AD環境で、かつ監査対象サーバーは全てAD傘下
監査対象項目:ドメインユーザーのログオンと、そのログインユーザーのログオフ
〔監査要件〕
月に1回、変更管理ログ(ex.変更管理CABで承認されたデプロイ作業など)と
上記の監査対象との突き合わせチェックを行い、
変更管理ログと一致しないログインの痕跡が無いかどうかをチェックする
・・・というものなのですが、これって現実的なのでしょうか?
これから実環境で検証しようというところなのですが、
もし、同じようなことをされている、もしくはやろうと思ったが
なんらかの理由でやめてしまったなど、参考になる情報をいただきたいのです。
(例えばログが膨大で解析できるような代物ではないよ、とか、
こうすれば簡単に解析できるよなど)
WindowsServer2003にはセキュリティ・ログとイベントビューアという
監査機能が最初からあるのですから、難しい監査を求めないのであれば、
追加でツールは購入したくないと考えています。
(でも、これだけログ監査ツールが出回っているということは
やっぱり何か決定的な不便さがあるんでしょうか?)
よろしくお願いします。