Reading Time: 1 minutes
Active Directoryにて発生するイベントの中で、発生次第すぐに通知を受けたいイベントはありませんか?多くのIT担当者の方にとって、そのような要注意イベントは少なからず存在しているかと思います。そして発生次第すぐ、というのは、3分後、5分後のことをいっているのではなく、イベントが発生した「その瞬間」、という意味です。
多くのイベントログ収集ツールは、スケジュールベースで一定間隔ごとにドメインコントローラーからイベントを収集する仕組みを採用していますが、その場合、5分から30分ほどのインターバルのログ取得間隔が必要になります。つまり、たとえ特定のイベントに対する変更に関連付けたアラートを設定していたとしても、アラート通知は、実際のイベントが生成されてから最低でも5分以上かかる場合があり、時にその5分が致命的となる可能性があります。
ADAudit Plusはこの問題を解決するために、Windows Serverが採用している、Microsoft独自のアルゴリズムを使用した技術をベースに、リアルタイムのイベント収集・アラート通知を行うことが可能です。
この技術の仕組みとして、以前から使用されているAPI機能を活用した方法となりますが、各ドメインコントローラーのセキュリティログに「ステート変更」シグナル信号を送り続け、ADAudit Plusで定義している基準に一致したイベントが発生した場合に、プル サブスクリプションモデルを使用して、イベントを収集します。これにより、ADAudit Plusはリアルタイムでイベントの収集を行ったり、特定のイベントが発生した際には即座にアラート通知を行うこと可能となります。
この技術の最大のメリットとして、不要なログを取得しないためドメインコントローラーへの負荷軽減となり、エージェントも必要としないため構成変更を行なう必要もありません。また、ドメインコントローラーが停止した際に、復旧後にはその間に発生しているイベントもADAudit Plusサーバーが取得できるという点もメリットであります。
なおリアルタイム監査の有効化は、Webクライアント画面上の[ドメインコントローラー設定]から行うことが可能です。
図1 ドメインコントローラー設定画面
[ドメインコントローラー設定]画面には、[イベント取得間隔]を設定する項目があります。イベント取得間隔には2つのモードがあり、「リアルタイムモード」と「スケジュールモード」のいずれかから選択することが可能です。
図2 イベント取得間隔のモード
ここで「リアルタイムモード」を選択することで、遅延のない、即座のイベントログ収集が可能になります。なお基本的にはリアルタイムモードでのログ収集を推奨していますが、「スケジュールモード」を選択することで、5分単位でのスケジュール設定を行うことも可能です。
図3 スケジュールモード
もし、少しでもADAudit Plusにご興味を持っていただけましたら、「30日間の無料トライアル(評価版)」を是非お試しください。
評価期間中は、技術サポートもご利用可能です。
※本記事にて掲載しているスクリーンショットは、ADAudit Plusビルド5000に基づいています。
製品ホームページ >> Active Directoryログ監査レポート・ログ管理ツール | ADAudit Plus
ADAudit Plus無料評価版のダウンロードはこちらから >> ADAudit Plus 評価版ダウンロード
( → 次のページへ移動 )
【1】 ADAudit Plusってどんな製品?
【2】 リアルタイムのログ収集
【3】 リアルタイムのアラート通知
【4】 非ビジネス時間内に発生したイベントの監査
【5】 グループポリシーの変更履歴を管理
【6】 管理者権限を持つグループへのユーザ追加を監査
【7】 パスワードポリシーの変更を簡単可視化
☆☆導入から設定までを解説したスタートアップガイドはこちら
☆☆☆ADAudit Plusの概要を紹介した資料はこちら
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。