UNIX および Linux コンピューターで ACS イベントをフィルターする方法
適用対象: System Center 2012 R2 Operations Manager,System Center 2012 - Operations Manager,System Center 2012 SP1 - Operations Manager
既定では、ACS は Windows セキュリティ イベント ログに記録されたすべてのイベントを収集して保存します。 イベントが多数ある場合、潜在的な問題を特定するのが困難となります。 監査とセキュリティのコンプライアンス条件に合ったセキュリティ イベントのみを収集することが必要となる場合があります。
ACS アーカイバーを使用してデータをアーカイブし、履歴リポジトリに保管するのが最適な方法です。 このリポジトリから、フィルター処理を実行できます。 次の手順では、すべてのイベントの監査し、監査データ レポートのパフォーマンスの最適化を維持するために機能を提供します。 たとえば、監査されない限り、にはレポートではないすべてのログオン成功イベント (540,528) を保存する場合があります。
AdtAdmin を使用してイベント ID をフィルターするには
-
コマンド プロンプトで、作業ディレクトリを %windir%\system32\security\AdtServer に変更します。
-
同じコマンド プロンプトで、「AdtAdmin /setquery /query:"select * from AdtsEvent where NOT (EventID=560 OR EventID=562 OR …)"」と入力して、クエリ パラメーターを設定します。ここで、EventID にはイベント ログで無視する監査イベントを指定します。
たとえば、UNIX と Linux のセキュリティ イベントのみが Windows セキュリティ イベント ログに記録されるようにフィルターを設定するには、「AdtAdmin /setquery /query:”select * from AdtsEvent where NOT (EventID=560 OR EventID=562 OR EventID=569 OR EventID=570 OR EventID=571 OR EventID=26401 OR EventID=4665 OR EventID=4666 OR EventID=4667 OR EventID=4624 OR EventID=4634 OR EventID=4648 OR EventID=5156 OR EventID=4656 OR EventID=4658 OR EventID=5159)” 」と入力して、クエリ パラメーターを設定します。
AdtAdmin.exe の使用方法の詳細については、「監査コレクション サービスの管理 (AdtAdmin.exe)」を参照してください。