ADAudit Plus ナレッジベース

特定ユーザー以外のログオンを検知するアラート設定例


確認ビルド:7102

 

本ナレッジでは、特定ユーザー以外のローカルログオンを検知するアラート設定例を紹介します。
アラートプロファイル作成の詳細な手順はこちらのナレッジをご参照ください。

 

前提

ADAudit Plusに管理対象として追加しているサーバーに対して、特定ユーザーを使用してログオンしていることを想定しています。

 

検知できるイベント

ADAudit Plusに管理対象として追加しているサーバーに対して、特定ユーザー以外のユーザーがログオンするイベントを検知できます。

例えば、サーバーにログオンする際はユーザー「administrator」を使用する運用である場合、ユーザー「administrator」以外のユーザーがログオンしたイベントを検知できます。

 

アラート設定例

1. 「アラート」タブ→画面右上の「新規アラートプロファイル」をクリック

2. 必要情報(名前、説明、基準)を入力

3. 「カテゴリ」にて「ローカルログオン成功」を選択

4. 「アラートメッセージ」を任意で編集

アラートメッセージには、「ログイン先サーバー」と「ログオンユーザー名」を、
それぞれ「%SOURCE%」と「%USERNAME%」という変数で記載できます。
アラートメッセージ例)サーバー%SOURCE%において、ユーザー%USERNAME%がログインに成功しました。

5. 「高度な設定」にて「フィルター」にチェック

6. フィルターとして以下を設定

ユーザー名     等しくない     <いつもログオンに使用しているユーザー名>

 

例)ユーザー名     等しくない     administrator

 

本アラート対象となるサーバーを特定したい場合、以下のフィルターを追加していただけます。
ロケーション     <任意の条件>     <サーバー名>

7. 「アラートアクション」を任意で設定

8. 「保存」をクリック