SIOS Tech. LabSIOS Tech. Lab | エンジニアのタメになるOSS・クラウド・認証の技術トピックス
新着記事

ADFS,WAP,AADC,ADの監査ログ

2018-04-27 Azure, クラウド 0
◆ Live配信スケジュール ◆
サイオステクノロジーでは、Microsoft MVPの武井による「わかりみの深いシリーズ」など、定期的なLive配信を行っています。
⇒ 詳細スケジュールはこちらから
⇒ 見逃してしまった方はYoutubeチャンネルをご覧ください
【5/21開催】Azure OpenAI ServiceによるRAG実装ガイドを公開しました
生成AIを活用したユースケースで最も一番熱いと言われているRAGの実装ガイドを公開しました。そのガイドの紹介をおこなうイベントです!!
https://tech-lab.connpass.com/event/315703/

こんにちは、サイオステクノロジー 亀田です。
今回は、Active Directory Federation Service(ADFS)、Web Application Proxy(WAP)、Azure Active Directory Connector(AADC)、Active Directory(AD)のWindowsサーバのログを取得や退避等させる際に、どのようなログを取得(退避等)させておくべきか整理した情報を纏めておきます。

・Web Application Proxy        (WAP)
参照ログ:イベントビューアー
出力先1:アプリケーションとサービスログ > Microsoft > Windows > Web Application Proxy > Admin
ソース1:Web Application Proxy
出力先2:アプリケーションとサービスログ > AD FS > Admin
ソース2:AD FS
レベル:情報、重大、エラー、警告

・Active Directory Federation Service (ADFS)
参照ログ:イベントビューアー
出力先1:Windowsログ > セキュリティ
ソース1:ADFS、AD FS Auditing、Microsoft Windows security auditing
出力先2:アプリケーションとサービスログ > AD FS > Admin
ソース2:AD FS
レベル:情報、重大、エラー、警告

・Active Directory          (AD)
参照ログ:イベントビューアー
出力先:Windowsログ > セキュリティ
ソース:Microsoft Windows security auditing
レベル:情報、重大、エラー、警告

・Azure Active Directory Connect   (AADC)
参照ログ:イベントビューアー
出力先:Windowsログ > Application
ソース:Directory Synchronization
ADSync
レベル:情報、重大、エラー、警告

なお、Microsoft社のドキュメントに公開情報として記載されているイベントログの情報があるので紹介しておきます。

Windows Server 2016 の AD FS の監査機能強化
https://docs.microsoft.com/ja-jp/windows-server/identity/ad-fs/technical-reference/auditing-enhancements-to-ad-fs-in-windows-server

Troubleshooting Web Application Proxy
https://docs.microsoft.com/en-us/windows-server/remote/remote-access/web-application-proxy/troubleshooting-web-application-proxy

参考までにADFSやWAPサーバーでデフォルトでは認証に利用した UPN や 接続元の IP アドレスを確認することはできません。
これを確認するにはAD FS、WAPのサーバーで監査ログの出力を有効にする必要があります。
AD FS、WAP のサーバーで監査ログの出力を有効にします。

まずは、以下をプライマリ AD FS サーバーのみで行います。

  1. [AD FS の管理] コンソールを開きます。
  2. 左側より、[AD FS] – [サービス] を右クリックし、[フェデレーション サービスのプロパティの編集] を選択します。
  3. [イベント] タブに移動し、すべてにチェックを入れます。
  4. [OK] をクリックし、画面を閉じます。
  5. 管理者権限で PowerShell を開き、以下を実行します。

Set-AdfsProperties -AuditLevel Verbose

続いて、以下を全 AD FS サーバー、全 WAP サーバーで行います。

  1. [ファイル名を指定して実行] から、gpedit.msc と入力し、ローカル グループ ポリシーを開きます。(必要に応じてドメイン グループ ポリシーにて設定ください)
  2. [コンピューターの構成] – [Windows の設定] – [セキュリティの設定] – [ローカル ポリシー] – [ユーザー権利の割り当て] を展開します。
  3. 管理者権限でコマンド プロンプトを開き、以下を実行します。

auditpol.exe /set /subcategory:”生成されたアプリケーション” /failure:enable /success:enable

※ 英語環境では以下のコマンドを実行します。

auditpol.exe /set /subcategory:”Application Generated” /failure:enable /success:enable
※ 補足
※ 元に戻す場合は以下を実行します。

auditpol.exe /set /subcategory:”生成されたアプリケーション” /failure:disable /success:disable
上記の設定により、AD FS、WAP で監査ログが出力されるようになり、認証に利用した UPN や 接続元の IP アドレスを確認できるようになります。

アバター画像
About AM 213 Articles
プロフェッショナルサービスチームの中の人。
Twitter YouTube
ご覧いただきありがとうございます! この投稿はお役に立ちましたか?

役に立った 役に立たなかった

1人がこの投稿は役に立ったと言っています。


ご覧いただきありがとうございます。
ブログの最新情報はSNSでも発信しております。
ぜひTwitterのフォロー&Facebookページにいいねをお願い致します!


SIOS Tech Lab

>> 雑誌等の執筆依頼を受付しております。
   ご希望の方はお気軽にお問い合わせください!

Be the first to comment

Leave a Reply

Your email address will not be published.


*


Copyright © 2024 | MH Magazine WordPress Theme by MH Themes

質問はこちら 閉じる