質問編集履歴
10
Windows8.1からノートPCのWindows10であっても7は設定されていた
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -336,10 +336,14 @@
|
|
|
336
336
|
|
|
337
337
|
|
|
338
338
|
|
|
339
|
-
という所なのですが、今PCとVM間でリモートデスクトップへの接続でのログを確認していると
|
|
339
|
+
という所なのですが、今PC(Windows8.1)とVM間でリモートデスクトップへの接続でのログを確認していると
|
|
340
340
|
|
|
341
341
|
ログオンタイプ:10がない。代わりにログインタイプ:3と7でソース ネットワーク アドレスが設定されていました。
|
|
342
342
|
|
|
343
|
+
デスクトップのWindows8.1からノートPCのWindows10であっても7は設定されていました。
|
|
344
|
+
|
|
345
|
+
VMと言うより、windows8.1の特徴なのでしょうか。
|
|
346
|
+
|
|
343
347
|
|
|
344
348
|
|
|
345
349
|
[Windowsのログオン成功イベントを監査【連載:ここに注目!セキュリティログをご紹介】](https://blogs.manageengine.jp/needs_of_auditing_4624/)
|
|
@@ -356,13 +360,9 @@
|
|
|
356
360
|
|
|
357
361
|
【残っている問題】
|
|
358
362
|
|
|
359
|
-
・
|
|
363
|
+
・windows8.1からリモートデスクトップ接続した場合、ログオンタイプ:10がない
|
|
360
|
-
|
|
361
|
-
|
|
364
|
+
|
|
362
|
-
|
|
363
|
-
ログオンタイプとIP,マシン名を全て表示する運用にすればよいと判断しました。
|
|
364
|
-
|
|
365
|
-
|
|
365
|
+
どうしてログインタイプ:10がないのか。という情報があればお待ちしております。
|
|
366
366
|
|
|
367
367
|
・VBSでは、messageの内容文字コードが違う?のか理由はわかりませんが、内容を上記コードで解析できない。
|
|
368
368
|
|
9
記述にゴミがあったので削除
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -358,7 +358,7 @@
|
|
|
358
358
|
|
|
359
359
|
・(機能確認のテストとして)VMにリモートデスクトップ接続した場合、ログオンタイプ:10がない
|
|
360
360
|
|
|
361
|
-
→接続
|
|
361
|
+
→接続はすべて出力していいのでは。という観点で
|
|
362
362
|
|
|
363
363
|
ログオンタイプとIP,マシン名を全て表示する運用にすればよいと判断しました。
|
|
364
364
|
|
8
お待ちしている情報は…
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -358,8 +358,16 @@
|
|
|
358
358
|
|
|
359
359
|
・(機能確認のテストとして)VMにリモートデスクトップ接続した場合、ログオンタイプ:10がない
|
|
360
360
|
|
|
361
|
+
→接続ℋはすべて出力していいのでは。という観点で
|
|
362
|
+
|
|
363
|
+
ログオンタイプとIP,マシン名を全て表示する運用にすればよいと判断しました。
|
|
364
|
+
|
|
365
|
+
ただ、どうしてログインタイプ:10がないのか。という理由があれば情報をお待ちしております。
|
|
366
|
+
|
|
361
367
|
・VBSでは、messageの内容文字コードが違う?のか理由はわかりませんが、内容を上記コードで解析できない。
|
|
362
368
|
|
|
369
|
+
こちらは謎です。情報あればお待ちしております。
|
|
370
|
+
|
|
363
371
|
|
|
364
372
|
|
|
365
373
|
### 補足情報(FW/ツールのバージョンなど)
|
7
残ってる問題点を整理
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -318,21 +318,47 @@
|
|
|
318
318
|
|
|
319
319
|
```
|
|
320
320
|
|
|
321
|
-
とすることで、セキュリティログは
|
|
321
|
+
とすることで、セキュリティログは取得できました。
|
|
322
|
+
|
|
323
|
+
|
|
324
|
+
|
|
322
|
-
|
|
325
|
+
ただ、上述のコードでは「ソース ネットワーク アドレス」が
|
|
326
|
+
|
|
323
|
-
VBA、.netで実行するときちんと取れるのだけど、vbsだと取れない。
|
|
327
|
+
VBA、vb.netで実行するときちんと取れるのだけど、vbsだと取れないです。
|
|
324
|
-
|
|
328
|
+
|
|
329
|
+
|
|
330
|
+
|
|
325
|
-
|
|
331
|
+
また、端末によってセキュリティログが取得出来る所と出来ない所がありました。
|
|
326
|
-
|
|
327
|
-
|
|
328
|
-
|
|
332
|
+
|
|
329
|
-
|
|
333
|
+
この端末によってというのは、UACを完全に無効にしてるか否かでした。
|
|
330
|
-
|
|
331
|
-
|
|
332
|
-
|
|
334
|
+
|
|
333
|
-
|
|
335
|
+
そして管理者として実行すればUACを完全に無効にしなくても取得出来ました。
|
|
336
|
+
|
|
337
|
+
|
|
338
|
+
|
|
334
|
-
|
|
339
|
+
という所なのですが、今PCとVM間でリモートデスクトップへの接続でのログを確認していると
|
|
340
|
+
|
|
341
|
+
ログオンタイプ:10がない。代わりにログインタイプ:3と7でソース ネットワーク アドレスが設定されていました。
|
|
342
|
+
|
|
343
|
+
|
|
344
|
+
|
|
345
|
+
[Windowsのログオン成功イベントを監査【連載:ここに注目!セキュリティログをご紹介】](https://blogs.manageengine.jp/needs_of_auditing_4624/)
|
|
346
|
+
|
|
347
|
+
|
|
348
|
+
|
|
349
|
+
ログを出力する設定は
|
|
350
|
+
|
|
351
|
+
ローカルセキュリティ ポリシー>ローカルポリシー>監査ポリシー>アカウント ログオン イベントの監査
|
|
352
|
+
|
|
335
|
-
|
|
353
|
+
で設定しています。
|
|
354
|
+
|
|
355
|
+
|
|
356
|
+
|
|
357
|
+
【残っている問題】
|
|
358
|
+
|
|
359
|
+
・(機能確認のテストとして)VMにリモートデスクトップ接続した場合、ログオンタイプ:10がない
|
|
360
|
+
|
|
361
|
+
・VBSでは、messageの内容文字コードが違う?のか理由はわかりませんが、内容を上記コードで解析できない。
|
|
336
362
|
|
|
337
363
|
|
|
338
364
|
|
6
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -320,7 +320,7 @@
|
|
|
320
320
|
|
|
321
321
|
とすることで、セキュリティログはみれました
|
|
322
322
|
|
|
323
|
-
VBAで実行するときちんと取れるのだけど、vbsだと取れない。
|
|
323
|
+
VBA、.netで実行するときちんと取れるのだけど、vbsだと取れない。
|
|
324
324
|
|
|
325
325
|
そして端末によってセキュリティログが取得出来る所と出来ない所がある。
|
|
326
326
|
|
|
@@ -330,7 +330,9 @@
|
|
|
330
330
|
|
|
331
331
|
|
|
332
332
|
|
|
333
|
+
また管理者として実行すればUACを完全に無効にしなくても取得出来ました。
|
|
334
|
+
|
|
333
|
-
こ
|
|
335
|
+
こっちなら許容です
|
|
334
336
|
|
|
335
337
|
|
|
336
338
|
|
5
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -324,7 +324,13 @@
|
|
|
324
324
|
|
|
325
325
|
そして端末によってセキュリティログが取得出来る所と出来ない所がある。
|
|
326
326
|
|
|
327
|
+
|
|
328
|
+
|
|
329
|
+
違いは、UACを完全に無効にしてるか否かでした。
|
|
330
|
+
|
|
331
|
+
|
|
332
|
+
|
|
327
|
-
|
|
333
|
+
こんな事しないと取得出来ないの?
|
|
328
334
|
|
|
329
335
|
|
|
330
336
|
|
4
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -320,9 +320,11 @@
|
|
|
320
320
|
|
|
321
321
|
とすることで、セキュリティログはみれました
|
|
322
322
|
|
|
323
|
-
VBAで実行するときちんと取れるのだけど、vbsだと取れない。
|
|
323
|
+
VBAで実行するときちんと取れるのだけど、vbsだと取れない。
|
|
324
|
+
|
|
324
|
-
|
|
325
|
+
そして端末によってセキュリティログが取得出来る所と出来ない所がある。
|
|
326
|
+
|
|
325
|
-
|
|
327
|
+
どういうこと?
|
|
326
328
|
|
|
327
329
|
|
|
328
330
|
|
3
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -168,23 +168,159 @@
|
|
|
168
168
|
|
|
169
169
|
```vbs
|
|
170
170
|
|
|
171
|
+
Dim Locator 'As WbemScripting.SWbemLocator
|
|
172
|
+
|
|
173
|
+
Dim Service 'As WbemScripting.SWbemServices
|
|
174
|
+
|
|
175
|
+
Dim MesStr
|
|
176
|
+
|
|
177
|
+
Dim EveSet 'As WbemScripting.SWbemObjectSet
|
|
178
|
+
|
|
179
|
+
Dim Eve 'As WbemScripting.SWbemObject
|
|
180
|
+
|
|
181
|
+
Dim Eveex 'As WbemScripting.SWbemObjectEx
|
|
182
|
+
|
|
183
|
+
|
|
184
|
+
|
|
185
|
+
Const CONVERT_TO_LOCAL_TIME = True
|
|
186
|
+
|
|
187
|
+
|
|
188
|
+
|
|
189
|
+
Dim tNow
|
|
190
|
+
|
|
191
|
+
tNow = Now
|
|
192
|
+
|
|
193
|
+
Dim dtmStartDate
|
|
194
|
+
|
|
195
|
+
Dim dtmEndDate
|
|
196
|
+
|
|
197
|
+
Set dtmStartDate = CreateObject("WbemScripting.SWbemDateTime")
|
|
198
|
+
|
|
199
|
+
Set dtmEndDate = CreateObject("WbemScripting.SWbemDateTime")
|
|
200
|
+
|
|
201
|
+
|
|
202
|
+
|
|
203
|
+
dtmStartDate.SetVarDate Left(tNow, 10), CONVERT_TO_LOCAL_TIME
|
|
204
|
+
|
|
205
|
+
dtmEndDate.SetVarDate Left(tNow + 1, 10), CONVERT_TO_LOCAL_TIME
|
|
206
|
+
|
|
207
|
+
|
|
208
|
+
|
|
209
|
+
Dim tRegExp1 'As RegExp
|
|
210
|
+
|
|
211
|
+
Set tRegExp1 = CreateObject("VBScript.RegExp")
|
|
212
|
+
|
|
213
|
+
Dim tRegExp2 'As RegExp
|
|
214
|
+
|
|
215
|
+
Set tRegExp2 = CreateObject("VBScript.RegExp")
|
|
216
|
+
|
|
217
|
+
|
|
218
|
+
|
|
219
|
+
tRegExp1.Global = True
|
|
220
|
+
|
|
221
|
+
tRegExp1.Pattern = "ログオン タイプ:\s*10\r"
|
|
222
|
+
|
|
223
|
+
tRegExp2.Global = True
|
|
224
|
+
|
|
225
|
+
tRegExp2.Pattern = "ソース ネットワーク アドレス:\s*(.*)\r"
|
|
226
|
+
|
|
227
|
+
|
|
228
|
+
|
|
171
|
-
strComputer="."
|
|
229
|
+
strComputer = "."
|
|
172
|
-
|
|
230
|
+
|
|
173
|
-
Set Service = GetObject("winmgmts:" _
|
|
231
|
+
Set oService = GetObject("winmgmts:" _
|
|
174
232
|
|
|
175
233
|
& "{(Security)}!\" & strComputer & "\root\cimv2")
|
|
176
234
|
|
|
177
235
|
|
|
178
236
|
|
|
237
|
+
|
|
238
|
+
|
|
239
|
+
Set EveSet = oService.ExecQuery("Select * From Win32_NTLogEvent Where Logfile='Security'" & _
|
|
240
|
+
|
|
241
|
+
" And TimeWritten >= '" & dtmStartDate & "' and TimeWritten < '" & dtmEndDate & "'")
|
|
242
|
+
|
|
243
|
+
|
|
244
|
+
|
|
245
|
+
|
|
246
|
+
|
|
247
|
+
Dim tempDate
|
|
248
|
+
|
|
249
|
+
Set tempDate = CreateObject("WbemScripting.SWbemDateTime")
|
|
250
|
+
|
|
251
|
+
Dim tDate
|
|
252
|
+
|
|
253
|
+
|
|
254
|
+
|
|
255
|
+
Dim tResult 'As VBScript_RegExp_55.MatchCollection
|
|
256
|
+
|
|
257
|
+
Dim tMatch 'As VBScript_RegExp_55.Match
|
|
258
|
+
|
|
259
|
+
|
|
260
|
+
|
|
261
|
+
For Each Eve In EveSet
|
|
262
|
+
|
|
263
|
+
If Eve.EventCode = 4624 Then
|
|
264
|
+
|
|
265
|
+
If tRegExp1.test(Eve.Message) Then
|
|
266
|
+
|
|
267
|
+
tempDate.Value = Eve.TimeWritten
|
|
268
|
+
|
|
269
|
+
tDate = tempDate.GetVarDate(True)
|
|
270
|
+
|
|
271
|
+
Set tResult = tRegExp2.Execute(Eve.Message)
|
|
272
|
+
|
|
273
|
+
Set tMatch = tResult.Item(0)
|
|
274
|
+
|
|
275
|
+
MesStr = MesStr & tMatch.SubMatches(0) & ":" & tDate & vbCrLf
|
|
276
|
+
|
|
277
|
+
End If
|
|
278
|
+
|
|
279
|
+
End If
|
|
280
|
+
|
|
281
|
+
Next
|
|
282
|
+
|
|
283
|
+
|
|
284
|
+
|
|
285
|
+
Dim outStream
|
|
286
|
+
|
|
287
|
+
Set outStream = CreateObject("ADODB.Stream")
|
|
288
|
+
|
|
289
|
+
outStream.Type = 2
|
|
290
|
+
|
|
291
|
+
outStream.Charset = "UTF-8" '出力ファイルの文字コード設定
|
|
292
|
+
|
|
293
|
+
outStream.Open
|
|
294
|
+
|
|
295
|
+
outStream.WriteText MesStr, 1
|
|
296
|
+
|
|
297
|
+
|
|
298
|
+
|
|
299
|
+
outStream.SaveToFile "C:\work\log.txt", 2
|
|
300
|
+
|
|
301
|
+
outStream.Close
|
|
302
|
+
|
|
303
|
+
|
|
304
|
+
|
|
305
|
+
Set outStream = Nothing
|
|
306
|
+
|
|
307
|
+
Set EveSet = Nothing
|
|
308
|
+
|
|
309
|
+
Set Eve = Nothing
|
|
310
|
+
|
|
311
|
+
Set oLocator = Nothing
|
|
312
|
+
|
|
313
|
+
Set oService = Nothing
|
|
314
|
+
|
|
315
|
+
|
|
316
|
+
|
|
317
|
+
|
|
318
|
+
|
|
179
319
|
```
|
|
180
320
|
|
|
181
321
|
とすることで、セキュリティログはみれました
|
|
182
322
|
|
|
183
|
-
|
|
323
|
+
VBAで実行するときちんと取れるのだけど、vbsだと取れない。なんで?
|
|
184
|
-
|
|
185
|
-
|
|
186
|
-
|
|
187
|
-
あれ?eventcode:6424で、ログオンタイプ:10、ソースネットワークアドレスで、取得できそうな感じがしてきた
|
|
188
324
|
|
|
189
325
|
|
|
190
326
|
|
2
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -184,6 +184,12 @@
|
|
|
184
184
|
|
|
185
185
|
|
|
186
186
|
|
|
187
|
+
あれ?eventcode:6424で、ログオンタイプ:10、ソースネットワークアドレスで、取得できそうな感じがしてきた
|
|
188
|
+
|
|
189
|
+
|
|
190
|
+
|
|
191
|
+
|
|
192
|
+
|
|
187
193
|
### 補足情報(FW/ツールのバージョンなど)
|
|
188
194
|
|
|
189
195
|
|
1
test
CHANGED
|
File without changes
|
test
CHANGED
|
@@ -164,6 +164,26 @@
|
|
|
164
164
|
|
|
165
165
|
|
|
166
166
|
|
|
167
|
+
(追記20210422)
|
|
168
|
+
|
|
169
|
+
```vbs
|
|
170
|
+
|
|
171
|
+
strComputer="."
|
|
172
|
+
|
|
173
|
+
Set Service = GetObject("winmgmts:" _
|
|
174
|
+
|
|
175
|
+
& "{(Security)}!\" & strComputer & "\root\cimv2")
|
|
176
|
+
|
|
177
|
+
|
|
178
|
+
|
|
179
|
+
```
|
|
180
|
+
|
|
181
|
+
とすることで、セキュリティログはみれました
|
|
182
|
+
|
|
183
|
+
後はソースネットワークアドレスを取得する方法が問題だと思います
|
|
184
|
+
|
|
185
|
+
|
|
186
|
+
|
|
167
187
|
### 補足情報(FW/ツールのバージョンなど)
|
|
168
188
|
|
|
169
189
|
|