ADFS,WAP,AADC,ADの監査ログ

こんにちは、サイオステクノロジー 亀田です。
今回は、Active Directory Federation Service(ADFS)、Web Application Proxy(WAP)、Azure Active Directory Connector(AADC)、Active Directory(AD)のWindowsサーバのログを取得や退避等させる際に、どのようなログを取得(退避等)させておくべきか整理した情報を纏めておきます。

・Web Application Proxy        (WAP)
参照ログ:イベントビューアー
出力先1:アプリケーションとサービスログ > Microsoft > Windows > Web Application Proxy > Admin
ソース1:Web Application Proxy
出力先2:アプリケーションとサービスログ > AD FS > Admin
ソース2:AD FS
レベル:情報、重大、エラー、警告

・Active Directory Federation Service (ADFS)
参照ログ:イベントビューアー
出力先1:Windowsログ > セキュリティ
ソース1:ADFS、AD FS Auditing、Microsoft Windows security auditing
出力先2:アプリケーションとサービスログ > AD FS > Admin
ソース2:AD FS
レベル:情報、重大、エラー、警告

・Active Directory          (AD)
参照ログ:イベントビューアー
出力先:Windowsログ > セキュリティ
ソース:Microsoft Windows security auditing
レベル:情報、重大、エラー、警告

・Azure Active Directory Connect   (AADC)
参照ログ:イベントビューアー
出力先:Windowsログ > Application
ソース:Directory Synchronization
ADSync
レベル:情報、重大、エラー、警告

なお、Microsoft社のドキュメントに公開情報として記載されているイベントログの情報があるので紹介しておきます。

Windows Server 2016 の AD FS の監査機能強化
https://docs.microsoft.com/ja-jp/windows-server/identity/ad-fs/technical-reference/auditing-enhancements-to-ad-fs-in-windows-server

Troubleshooting Web Application Proxy
https://docs.microsoft.com/en-us/windows-server/remote/remote-access/web-application-proxy/troubleshooting-web-application-proxy

参考までにADFSやWAPサーバーでデフォルトでは認証に利用した UPN や 接続元の IP アドレスを確認することはできません。
これを確認するにはAD FS、WAPのサーバーで監査ログの出力を有効にする必要があります。
AD FS、WAP のサーバーで監査ログの出力を有効にします。

まずは、以下をプライマリ AD FS サーバーのみで行います。

  1. [AD FS の管理] コンソールを開きます。
  2. 左側より、[AD FS] – [サービス] を右クリックし、[フェデレーション サービスのプロパティの編集] を選択します。
  3. [イベント] タブに移動し、すべてにチェックを入れます。
  4. [OK] をクリックし、画面を閉じます。
  5. 管理者権限で PowerShell を開き、以下を実行します。

Set-AdfsProperties -AuditLevel Verbose

続いて、以下を全 AD FS サーバー、全 WAP サーバーで行います。

  1. [ファイル名を指定して実行] から、gpedit.msc と入力し、ローカル グループ ポリシーを開きます。(必要に応じてドメイン グループ ポリシーにて設定ください)
  2. [コンピューターの構成] – [Windows の設定] – [セキュリティの設定] – [ローカル ポリシー] – [ユーザー権利の割り当て] を展開します。
  3. 管理者権限でコマンド プロンプトを開き、以下を実行します。

auditpol.exe /set /subcategory:”生成されたアプリケーション” /failure:enable /success:enable

※ 英語環境では以下のコマンドを実行します。

auditpol.exe /set /subcategory:”Application Generated” /failure:enable /success:enable
※ 補足
※ 元に戻す場合は以下を実行します。

auditpol.exe /set /subcategory:”生成されたアプリケーション” /failure:disable /success:disable
上記の設定により、AD FS、WAP で監査ログが出力されるようになり、認証に利用した UPN や 接続元の IP アドレスを確認できるようになります。

ご覧いただきありがとうございます! この投稿はお役に立ちましたか?

役に立った 役に立たなかった

1人がこの投稿は役に立ったと言っています。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です