NTLM認証のイベント収集を有効化する方法
本ナレッジでは、ADAudit PlusでNTLM認証のイベントを有効化する方法を紹介します。
ビルド4685以降より、NTLMプロトコルを使用したログオン認証を監査できるようになりました。
NTLM認証のイベント収集はデフォルトでは無効化されているため、監査を行いたい場合は、ご利用ビルドに応じた以下の手順でNTLM認証のイベント収集を有効化してください。(以下の手順でイベント収集を有効化した後に生成されたイベントのみが収集対象となります。)
NTLM認証のイベント収集はデフォルトでは無効化されているため、監査を行いたい場合は、ご利用ビルドに応じた以下の手順でNTLM認証のイベント収集を有効化してください。(以下の手順でイベント収集を有効化した後に生成されたイベントのみが収集対象となります。)
ビルド8003以降の場合
- ADAudit Plusにデフォルト管理者(admin)としてログインします。
- [サポート]タブに移動します。
- サポート情報欄の[詳細確認]をクリックします。
- 設定欄の[構成設定の有効化/無効化]を展開します。
- [DMLクエリを実行」を[オン]に設定します。
- [ADAudit PlusのDBクエリー」にて以下のクエリーを入力し、[実行]をクリックします。
- ADAudit Plusサービスを再起動します。
update audeventid set machine_type = 17425 where event_number = 4776
実行後に「Query successfully executed. 1 rows affected.」と表示されることをご確認ください。
ビルド7003~ビルド7080の場合
- ADAudit Plusにデフォルト管理者(admin)としてログインします。
- [サポート]タブに移動します。
- サポート情報欄の[詳細確認]をクリックします。
- 設定欄の[構成設定の有効化/無効化]を展開します。
- [NTLM監査のオプション」を[オン]に設定します。
- ADAudit Plusサービスを再起動します。
ビルド5041の場合
- [サポート]タブに移動します。
- サポート情報欄の[もっと]をクリックします。
- [DBクエリー:ここをクリックしてください]をクリックします。
- 設定欄の[Enable/Disable Configuration Settings]を展開します。
- [オン]をクリックします。
有効化前:
有効化後:
ビルド5031の場合
- [サポート]タブに移動します。
- サポート情報欄の[もっと]をクリックします。
- [DBクエリー:ここをクリックしてください]をクリックします。
- 設定欄の[NTLM監査のオプション]を展開します。
- [NTLM監査のオプション]を[オン]にします。
有効化前:
有効化後:
ビルド4685~ビルド5021の場合
- [サポート]タブに移動します。
- サポート情報欄の[もっと]をクリックします。
- [DBクエリー:ここをクリックしてください]をクリックします。
- [Enalbe NTLM audit]をクリックします。
有効化前:
有効化後:
以上です。