イベントID4769,4672の監査が有効にならない場合の対処法
作成日:2021年2月26日 | 更新日:2023年4月18日
ADAudit Plusが管理対象サーバーから、イベントID:4769,4672のログを収集できない場合、以下の設定1~4をご確認ください。
※ADAudit Plusは、「サービス名」「アカウント名」が「$」で終了するイベントID:4769,4672のログは収集しません。
設定1
1. ADAudit Plusに管理者としてログイン後、[サポート] タブ > [詳細確認] をクリック
2. [構成設定の有効化/無効化] をクリック
3. [イベントID4769と4672に対する監査の有効化] の [オン] をクリック
設定2
1. ADAudit Plusに管理者としてログイン後、[サポート] タブ > [詳細確認] をクリック
2. [ADAudit PlusのDBクエリー] で、以下2つのクエリーを実行
update audeventid set event_type=1 where event_number = 4769
update audeventid set event_type=1 where event_number = 4672
設定 3
1. 管理対象サーバー(ドメインコントローラー、メンバーサーバー、ワークステーション)にログイン
2.管理者としてコマンドプロンプトを起動後、以下のコマンドを実行
auditpol /get /category:*
適用されている監査ポリシー設定内容が表示されます。
3. 以下2つのサブカテゴリーにおける設定値が「成功と失敗」と表示されていることを確認
- 特殊なログオンの監査
- Kerberos サービス チケット操作の監査
未設定(監査なし)の場合、こちらのナレッジを参照して監査ポリシーを設定してください。
設定 4
1. ADAudit Plusに管理者としてログイン後、[構成]タブ → [グローバル除外設定]をクリック
2. 除外対象のイベント番号として、4769, 4672 が追加されていないことを確認
再起動後、管理対象サーバー上で新たに生成されたイベントID:4769,4672のログを、
ADAudit Plusで収集していることをご確認ください。
以上です。