ADAudit Plus ナレッジベース

イベントID4769,4672の監査が有効にならない場合の対処法


ADAudit Plusが管理対象サーバーから、イベントID:4769,4672のログを収集できない場合、以下の設定1~4をご確認ください。

※ADAudit Plusは、「サービス名」「アカウント名」が「$」で終了するイベントID:4769,4762のログは収集しません。

 

設定1

1. ADAudit Plusに管理者としてログイン後、[サポート] タブ > [詳細確認] をクリック

2. [構成設定の有効化/無効化] をクリック

3. [イベントID4769と4672に対する監査の有効化] の [オン] をクリック

 

設定2

1. ADAudit Plusに管理者としてログイン後、[サポート] タブ > [詳細確認] をクリック

2. [ADAudit PlusのDBクエリー] で、以下2つのクエリーを実行

update audeventid set event_type=1 where event_number = 4769
update audeventid set event_type=1 where event_number = 4672

 

設定 3

1. 管理対象サーバー(ドメインコントローラー、メンバーサーバー、ワークステーション)にログイン

2.管理者としてコマンドプロンプトを起動後、以下のコマンドを実行

auditpol /get /category:*

適用されている監査ポリシー設定内容が表示されます。

3. 以下2つのサブカテゴリーにおける設定値が「成功と失敗」と表示されていることを確認

  • 特殊なログオンの監査
  • Kerberos サービス チケット操作の監査

未設定(監査なし)の場合、こちらのナレッジを参照して監査ポリシーを設定してください。

設定 4

1. ADAudit Plusに管理者としてログイン後、[構成]タブ → [グローバル除外設定]をクリック

2. 除外対象のイベント番号として、4769, 4672 が追加されていないことを確認

 

上記設定1~4をすべて確認後、[services.msc]よりADAudit Plusサービスを再起動してください。
再起動後、管理対象サーバー上で新たに生成されたイベントID:4769,4672のログを、ADAudit Plusで収集していることをご確認ください。

以上です。