EventLog Analyzer ナレッジベース

'domain admins' グループ配下ユーザー以外のユーザーの権限を使用したWMIログの収集方法


EventLog Analyzerでは製品設定にドメインアカウント(通常、'domain admins' グループ配下のユーザー)の認証情報を予め登録することで、その権限を使用して管理対象のWindowsホストに対してWMI通信を行ない、ログ収集を行なうことができます。domain admins配下のユーザーの仕様が運用上難しい場合は、以下のログ収集用の一般ユーザーアカウントの作成方法をご参照ください。

<アジェンダ>
1. Active Directory内に通常アカウントを作成
2. 当該ユーザーを特定のユーザーグループに追加
3. ログ収集用のグループポリシー(GPO)を作成
4. 当該ユーザーに権限を割り当て
5. 当該GPOを強制/有効化
6. 管理対象のWindowsホストにてGPO情報を更新
7. 当該ユーザーにセキュリティー権限を付与
8. 当該ユーザーにCOM権限を付与
9. EventLog Analyzerの製品設定に当該ユーザーの認証情報を登録
10. ログ収集を開始

<手順>
1. 管理者権限を持つアカウントで、ドメインコントローラーサーバーに接続し、[Active Directory ユーザーとコンピューター]を開きます
2. 新しくユーザーを作成します
3. 当該ユーザー上で右クリックを行ない、[グループに追加]をクリックし、ユーザーを以下のグループに追加します
・Performance Log Users
・Distributed COM Users
・Event Log Readers

4. [グループポリシーの管理]画面を開き、新しくGPOを作成し、対象のドメインとリンクさせます。
※コマンドプロンプトでgmpcと入力することでコンソールを開けます
※リンクはドメイン名にて右クリック>>[既存のGPOのリンク]より行なえます

5. 当該GPO上で右クリックを行ない、[編集]をクリックします
6. [グループポリシー管理エディター]が開きますので、画面上にて以下に移動します

[コンピューターの構成]>>[ポリシー]>>[Windowsの設定]>>[セキュリティの設定]>>[ローカルポリシー]>[ユーザー権利の割り当て]

7. 上記の画面にて、当該ユーザーに以下の権利を付与します。
※各権利項目にて右クリック>>[プロパティー] >>[セキュリティーポリシーの設定]配下の[これらのポリシーの設定を定義する]にチェック>>[ユーザーまたはグループの追加]より行ないます。

・オペレーティングシステムの一部として機能
・バッチジョブとしてログオン
・サービスとしてログオン
・プロセスレベルトークンの置き換え
・監査とセキュリティログの管理

8. [グループポリシーの管理]画面にて、当該GPO上で右クリックし、[強制]をクリック
※当該GPOの適用優先度が最上位となりますが、ログ収集に関連する設定以外の影響はございません

9. コマンドプロンプトを開き、以下のコマンドを実行します
※GPO変更を反映するコマンドです
gpupdate /force

10. 管理対象のWindowsホストにおいても、管理者権限でコマンドプロンプトを開き、上記の手順9. を実施します
11. 再度、ドメインコントローラーにて、管理者権限でコマンドプロンプトを開き、以下のコマンドを実行します
wmimgmt.msc

12. [WmiMgmt]画面が開きますので、画面左の[WMIコントロール(ローカル)]にて右クリックをし、[プロパティー]をクリックします
13. [セキュリティ]タブに移動し、[Root]>>[CIMV]を選択し、画面右下の[セキュリティ(S)]をクリックします

14. [セキュリティ ROOT\CIMV2]画面が開きますので、[追加]をクリックし、当該ユーザーを追加します
また、ユーザー追加時には以下の権限を付与します
・メソッドの実行
・アカウントの有効化
・リモートの有効化
・セキュリティの読み取り

15. 次に、ドメインコントローラーにて[コンポーネントサービス]画面を開き、[コンポーネントサービス]>>[コンピューター]>>[マイコンピューター]を右クリックし、[プロパティ]を開きます
16. [COM セキュリティ]タブに移動し、画面上部の[アクセス許可]配下の[制限の編集]をクリックします
17. [追加]をクリックし、当該ユーザーを追加します
また、ユーザーにはすべての権限を付与します
18. 同様に、画面下の[起動とアクティブ化のアクセス許可]にて[制限の編集]をクリックし、当該ユーザーを追加します
ユーザーにはすべての権限を付与します

※注意
クライアントPC(Windows 10等)からログを収集する場合は、上記の手順11. ~ 18. をPC上で直接行なっていただく必要がございます。

ユーザーの作成およびドメインコントローラーに対する設定は以上となります。
以下、EventLog Analyzerに対する設定となります。

<EventLog Analyzerに対する設定>
1. [ 設定 ] - [ 管理者権限 ] - [ ドメインとワークグループ ] へ移動します
2.[ + 新しいドメインの追加 ] をクリックします
3.ドメイン名とドメインコントローラーを指定後、当該ユーザーの認証情報を入力します
4.[ 追加 ] をクリックします
※追加時に、「ユーザー/システムに管理権限がありません」とメッセージが表示されますが、こちら製品仕様による表示となります
※以下、参考ナレッジとなります
https://www.manageengine.jp/support/kb/EventLog_Analyzer/?p=1392

上記の手順を行なっていただき、ログ収集が正常に行なわれるかをご確認ください。