トラブルシューティング

ルールステータスと定義

低またはゼロリスク

低リスク/リスクなし

選択したソースの設定が、規範に従って推奨/ユーザー設定のコンプライアンス値を満たしていることを示します。


高リスク

高リスク

選択したソースの設定が、規範に従って推奨/ユーザー設定のコンプライアンス値を満たしていないことを示します。


確認できません

高リスク

Log360サーバーが特定のルールの分析に必要なデータを取得できなかったことを示します。以下の理由が考えられます。


トラブルシューティング


Active Directory

ステータス「確認できません」の考えられる理由は以下のとおりです。

  1. ドメイン情報の不足
  2. SYSVOLフォルダーへのアクセス拒否

1. ドメイン情報の不足

ドメイン情報の不足は、コンポーネント製品との統合中にドメインの詳細または認証情報が適切に同期されない場合に発生します。

トラブルシューティング:

  1. [管理]タブ → [管理] → [Log360の統合]に移動します。
  2. コンポーネント製品のいずれかが統合されており、少なくとも1つのドメインが設定されていることを確認します。
  3. 画面右上の[同期する]をクリックします。
  4. http(s)://<ホスト名>:<Log360のポート番号>/runQuery.do」にアクセスし、クエリ「select * from ADSCredentials;」でADSCredentialsテーブルを確認して、認証情報が正しく同期されていることを確認します。
  5. テーブルに認証情報がない場合、[同期する]をもう一度クリックします。
  6. コンプライアンス/セキュリティ状況に移動します。
  7. [今すぐ実行]をクリックします。

2. SYSVOLフォルダーへのアクセス拒否

SYSVOLフォルダーへのアクセス拒否は、Log360がインストールされているマシンから選択したドメインのドメインコントローラーのSYSVOLフォルダーにアクセスできない場合に発生します。この制限は、2015年以降にMicrosoft社によって導入されました。

  • ドメインコントローラーのSYSVOLフォルダー(C:\Windows\SYSVOL\sysvol)がユーザーに共有されていることを確認します。

トラブルシューティング:

Log360がインストールされているマシンが所属するドメインのGPOを使用:

  1. ドメインコントローラー上で、[コンピューターの構成] → [管理用テンプレート] → [ネットワーク] → [ネットワーク プロバイダー]に移動します。
  2. [強化された UNC パス]を有効にします。
  3. [オプション]で、[表示]をクリックします。
  4. [値の名前]に「\\*\SYSVOL」を追加します。
  5. [値]に「RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0」を追加します。
  6. すぐに結果を得るには、管理者としてコマンドプロンプトを開き、Log360がインストールされているマシンで「gpupdate /force」コマンドを実行します。
  7. [OK]をクリックします。

または


ローカルセキュリティポリシーエディターを使用:

  1. Log360がインストールされているマシン上で「gpedit.msc」を使用してローカルセキュリティポリシーエディターを開きます。
  2. [コンピューターの構成] → [管理用テンプレート] → [ネットワーク] → [ネットワーク プロバイダー]に移動します。
  3. [強化された UNC パス]を有効にします。[オプション]で、[表示]をクリックします。
  4. [値の名前]に「\\*\SYSVOL」を追加します。
  5. [値]に「RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0」を追加します。
  6. [OK]をクリックします。

または


Log360がインストールされているマシン上のコマンドプロンプトで、管理者として以下のコマンドを実行します。

%COMSPEC% /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths /v "\\*\SYSVOL" /d "RequireMutualAuthentication=0" /t REG_SZ
  • 上記トラブルシューティング手順を実行した後、[コンプライアンス]タブ → [セキュリティ状況] → [Active Directory]​​に移動し、[今すぐ実行]をクリックします。

SQL Server

ステータス「確認できません」の考えられる理由は以下のとおりです。

  1. 製品(EventLog Analyzer)のダウン
  2. SQL Serverのダウン
  3. サーバー詳細/ユーザー認証情報の不足

1. 製品(EventLog Analyzer)のダウン

分析には、EventLog Analyzerが起動している必要があります。製品が停止している場合、分析を完了できません。EventLog AnalyzerのDistributed Editionを運用している場合は、対象となるSQL Serverが設定されているManagedサーバーも起動している必要があります。

トラブルシューティング:

  • EventLog Analyzerが統合され、実行状態にあることを確認します。

2. SQL Serverのダウン

分析には、SQL Serverが稼働している必要があります。SQL Serverが停止している場合、分析を完了できません。

トラブルシューティング:

  • 選択したSQL Serverが起動して実行されていることを確認します。

3. サーバー詳細/ユーザー認証情報の不足

選択したSQL Serverの設定情報と認証情報は最新かつ有効である必要があります。情報が古くなったり、正しくない場合、分析は失敗します。すべてのルールを正常に実行するには、設定されているユーザーに選択したSQL Serverの「sysadmin」ロールが付与されている必要があります。

トラブルシューティング:

  • EventLog Analyzerの[設定]タブ → [ログソースの構成] → [データベース監査] → [SQLサーバー]タブで認証情報とサーバーの詳細を更新します。
  • 詳細は、こちらのページを参照してください。

コンプライアンスの編集で「SQL Serverが構成されていません」と表示される理由

  1. SQL Serverが設定されていない
  2. SQL Serverに対して詳細監査が有効になってない

1. SQL Serverが設定されていない

MSSQLデータベースを設定する方法は、こちらのページを参照してください。

2. SQL Serverに対して詳細監査が有効になってない

詳細監査を有効にする方法は、こちらのページを参照してください。