ADAudit Plus ナレッジベース

アラート設定方法


ADAudit Plusでは、Active Directory上の変更をリアルタイムに監査および管理者へ通知するアラート機能があり、デフォルトで数多くのアラートプロファイルをアラートを備えています。また、お客様環境に適したアラートプロファイルを作成することができます。なお、作成したアラートプロファイルは監査対象ドメイン間でコピーすることも可能です(ビルド7052以上)。

 

 

アラートプロファイルの作成手順

「アラート」タブ→「新規アラートプロファイル」をクリック後のページでアラートプロファイルを新規作成できます。
アラートプロファイル作成のために必須な設定と、オプション設定があります。

以下、それぞれの設定手順をご説明します。

≪必須設定≫

 

 

  • 名前・・アラートプロファイルの名前を入力します。
  • 説明・・アラートプロファイルに対する説明を入力します。
  • 基準・・アラートの基準を注意/障害/重要の3つから選択します。
  • カテゴリ・・アラートに対して設定するレポートプロファイルを選択します。ここで設定したレポートプロファイルに該当するイベントが、アラートの生成対象となります。
  • アラートメッセージ・・出力されるメッセージを設定します。

例えば、以下のようなアラートメッセージを設定することで、ログオン失敗が発生した端末(%CLIENT_HOST_NAME%)、ユーザー名、失敗理由(%ERROR_CODE_TEXT%)情報を、アラートメッセージに記載できます。

【アラートメッセージ例】

%CLIENT_HOST_NAME%においてユーザー%USERNAME%がログインに失敗しました。理由 :%ERROR_CODE_TEXT%

 

≪オプション設定1.高度な設定≫

 

  • しきい値ベースアラート・・指定時間内に、特定数のイベントが発生した場合にアラートを発生させます。
  • ビジネス時間のアラート・・ビジネス時間内外でイベントが発生した場合にアラートを発生させます。
  • フィルター・・各レポートプロファイルに対応するフィルター(例:クライアントIPアドレス・イベントタイプ等)と、それに対する条件(例:等しい・含む)を指定し、一致した場合にアラートを発生させます。

【フィルター設定例】
「すべてのユーザーログオン」アラートプロファイルにおいて、以下の条件を満たすログをアラート生成対象から除外したい場合

  • イベントID=4771
  • クライアントIPアドレス=192.168.0.1
  • ユーザー名=administrator

 

≪オプション設定2.アラートアクション≫

 

アラート発生後に自動的に実施するアクション「アラートアクション」を設定できます。

 

  • メール通知・・アラート内容をメール通知します(すべてのアラートプロファイルの通知先を一括で設定する手順はこちらのナレッジを参照 / スロットル通知の詳細は本ページ下部を参照)。
  • SMS通知・・アラート内容をSMS通知します。
  • スクリプト実行・・任意のスクリプトを実行します。

 

設定終了後、「保存」をクリックします。

 

以上です。

アラート設定例

アラート設定例のナレッジを、こちらのページの以下にて掲載しておりますのでご参照ください。

補足

アラートプロファイルをドメイン間でコピーする手順(ビルド7052以上)

作成したアラートプロファイルは監査対象ドメイン間でコピーできます。手順は以下のとおりです。

1. 「アラート」タブ→「アラートプロファイルを表示/変更」をクリックします。
2. コピー対象のアラートプロファイルにおいて、コピーリンクをクリックします。
3. コピー先のドメインを選択します。
4. アラートプロファイル名を入力します。
5. 「コピー」をクリックします。
6. 指定したドメインにおいて、アラートプロファイルが作成されていることを確認します。

以上です。

 

スロットル通知

アラートアクションのメール通知において、スロットル通知を設定できます。
スロットル通知を設定することで、アラートメールのノイズを減らします。

例)通知を抑制するメールアドレス「60」 / 同じ値です 「ユーザー名, イベント番号」と設定した場合

最初にアラートが発生してから60分間、同じユーザーかつ同じイベント番号のイベントが同じアラートを発生させた際、
ADAudit Plusはメールを通知しません(アラートは発生するため、アラート内容は「アラート」タブにて確認できます)。