質問編集履歴
10
Windows8.1からノートPCのWindows10であっても7は設定されていた
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -167,8 +167,10 @@
|
|
|
167
167
|
この端末によってというのは、UACを完全に無効にしてるか否かでした。
|
|
168
168
|
そして管理者として実行すればUACを完全に無効にしなくても取得出来ました。
|
|
169
169
|
|
|
170
|
-
という所なのですが、今PCとVM間でリモートデスクトップへの接続でのログを確認していると
|
|
170
|
+
という所なのですが、今PC(Windows8.1)とVM間でリモートデスクトップへの接続でのログを確認していると
|
|
171
171
|
ログオンタイプ:10がない。代わりにログインタイプ:3と7でソース ネットワーク アドレスが設定されていました。
|
|
172
|
+
デスクトップのWindows8.1からノートPCのWindows10であっても7は設定されていました。
|
|
173
|
+
VMと言うより、windows8.1の特徴なのでしょうか。
|
|
172
174
|
|
|
173
175
|
[Windowsのログオン成功イベントを監査【連載:ここに注目!セキュリティログをご紹介】](https://blogs.manageengine.jp/needs_of_auditing_4624/)
|
|
174
176
|
|
|
@@ -177,10 +179,8 @@
|
|
|
177
179
|
で設定しています。
|
|
178
180
|
|
|
179
181
|
【残っている問題】
|
|
180
|
-
・
|
|
182
|
+
・windows8.1からリモートデスクトップ接続した場合、ログオンタイプ:10がない
|
|
181
|
-
→接続はすべて出力していいのでは。という観点で
|
|
182
|
-
ログオンタイプとIP,マシン名を全て表示する運用にすればよいと判断しました。
|
|
183
|
-
|
|
183
|
+
どうしてログインタイプ:10がないのか。という情報があればお待ちしております。
|
|
184
184
|
・VBSでは、messageの内容文字コードが違う?のか理由はわかりませんが、内容を上記コードで解析できない。
|
|
185
185
|
こちらは謎です。情報あればお待ちしております。
|
|
186
186
|
|
9
記述にゴミがあったので削除
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -178,7 +178,7 @@
|
|
|
178
178
|
|
|
179
179
|
【残っている問題】
|
|
180
180
|
・(機能確認のテストとして)VMにリモートデスクトップ接続した場合、ログオンタイプ:10がない
|
|
181
|
-
→接続
|
|
181
|
+
→接続はすべて出力していいのでは。という観点で
|
|
182
182
|
ログオンタイプとIP,マシン名を全て表示する運用にすればよいと判断しました。
|
|
183
183
|
ただ、どうしてログインタイプ:10がないのか。という理由があれば情報をお待ちしております。
|
|
184
184
|
・VBSでは、messageの内容文字コードが違う?のか理由はわかりませんが、内容を上記コードで解析できない。
|
8
お待ちしている情報は…
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -178,7 +178,11 @@
|
|
|
178
178
|
|
|
179
179
|
【残っている問題】
|
|
180
180
|
・(機能確認のテストとして)VMにリモートデスクトップ接続した場合、ログオンタイプ:10がない
|
|
181
|
+
→接続ℋはすべて出力していいのでは。という観点で
|
|
182
|
+
ログオンタイプとIP,マシン名を全て表示する運用にすればよいと判断しました。
|
|
183
|
+
ただ、どうしてログインタイプ:10がないのか。という理由があれば情報をお待ちしております。
|
|
181
184
|
・VBSでは、messageの内容文字コードが違う?のか理由はわかりませんが、内容を上記コードで解析できない。
|
|
185
|
+
こちらは謎です。情報あればお待ちしております。
|
|
182
186
|
|
|
183
187
|
### 補足情報(FW/ツールのバージョンなど)
|
|
184
188
|
|
7
残ってる問題点を整理
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -158,15 +158,28 @@
|
|
|
158
158
|
|
|
159
159
|
|
|
160
160
|
```
|
|
161
|
-
とすることで、セキュリティログは
|
|
161
|
+
とすることで、セキュリティログは取得できました。
|
|
162
|
-
VBA、.netで実行するときちんと取れるのだけど、vbsだと取れない。
|
|
163
|
-
そして端末によってセキュリティログが取得出来る所と出来ない所がある。
|
|
164
162
|
|
|
165
|
-
|
|
163
|
+
ただ、上述のコードでは「ソース ネットワーク アドレス」が
|
|
164
|
+
VBA、vb.netで実行するときちんと取れるのだけど、vbsだと取れないです。
|
|
166
165
|
|
|
166
|
+
また、端末によってセキュリティログが取得出来る所と出来ない所がありました。
|
|
167
|
+
この端末によってというのは、UACを完全に無効にしてるか否かでした。
|
|
167
|
-
|
|
168
|
+
そして管理者として実行すればUACを完全に無効にしなくても取得出来ました。
|
|
168
|
-
こっちなら許容です
|
|
169
169
|
|
|
170
|
+
という所なのですが、今PCとVM間でリモートデスクトップへの接続でのログを確認していると
|
|
171
|
+
ログオンタイプ:10がない。代わりにログインタイプ:3と7でソース ネットワーク アドレスが設定されていました。
|
|
172
|
+
|
|
173
|
+
[Windowsのログオン成功イベントを監査【連載:ここに注目!セキュリティログをご紹介】](https://blogs.manageengine.jp/needs_of_auditing_4624/)
|
|
174
|
+
|
|
175
|
+
ログを出力する設定は
|
|
176
|
+
ローカルセキュリティ ポリシー>ローカルポリシー>監査ポリシー>アカウント ログオン イベントの監査
|
|
177
|
+
で設定しています。
|
|
178
|
+
|
|
179
|
+
【残っている問題】
|
|
180
|
+
・(機能確認のテストとして)VMにリモートデスクトップ接続した場合、ログオンタイプ:10がない
|
|
181
|
+
・VBSでは、messageの内容文字コードが違う?のか理由はわかりませんが、内容を上記コードで解析できない。
|
|
182
|
+
|
|
170
183
|
### 補足情報(FW/ツールのバージョンなど)
|
|
171
184
|
|
|
172
185
|
windows10
|
6
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -159,12 +159,13 @@
|
|
|
159
159
|
|
|
160
160
|
```
|
|
161
161
|
とすることで、セキュリティログはみれました
|
|
162
|
-
VBAで実行するときちんと取れるのだけど、vbsだと取れない。
|
|
162
|
+
VBA、.netで実行するときちんと取れるのだけど、vbsだと取れない。
|
|
163
163
|
そして端末によってセキュリティログが取得出来る所と出来ない所がある。
|
|
164
164
|
|
|
165
165
|
違いは、UACを完全に無効にしてるか否かでした。
|
|
166
166
|
|
|
167
|
+
また管理者として実行すればUACを完全に無効にしなくても取得出来ました。
|
|
167
|
-
こ
|
|
168
|
+
こっちなら許容です
|
|
168
169
|
|
|
169
170
|
### 補足情報(FW/ツールのバージョンなど)
|
|
170
171
|
|
5
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -161,8 +161,11 @@
|
|
|
161
161
|
とすることで、セキュリティログはみれました
|
|
162
162
|
VBAで実行するときちんと取れるのだけど、vbsだと取れない。
|
|
163
163
|
そして端末によってセキュリティログが取得出来る所と出来ない所がある。
|
|
164
|
-
どういうこと?
|
|
165
164
|
|
|
165
|
+
違いは、UACを完全に無効にしてるか否かでした。
|
|
166
|
+
|
|
167
|
+
こんな事しないと取得出来ないの?
|
|
168
|
+
|
|
166
169
|
### 補足情報(FW/ツールのバージョンなど)
|
|
167
170
|
|
|
168
171
|
windows10
|
4
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -159,9 +159,10 @@
|
|
|
159
159
|
|
|
160
160
|
```
|
|
161
161
|
とすることで、セキュリティログはみれました
|
|
162
|
-
VBAで実行するときちんと取れるのだけど、vbsだと取れない。
|
|
162
|
+
VBAで実行するときちんと取れるのだけど、vbsだと取れない。
|
|
163
|
+
そして端末によってセキュリティログが取得出来る所と出来ない所がある。
|
|
164
|
+
どういうこと?
|
|
163
165
|
|
|
164
|
-
|
|
165
166
|
### 補足情報(FW/ツールのバージョンなど)
|
|
166
167
|
|
|
167
168
|
windows10
|
3
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -83,17 +83,85 @@
|
|
|
83
83
|
|
|
84
84
|
(追記20210422)
|
|
85
85
|
```vbs
|
|
86
|
+
Dim Locator 'As WbemScripting.SWbemLocator
|
|
87
|
+
Dim Service 'As WbemScripting.SWbemServices
|
|
88
|
+
Dim MesStr
|
|
89
|
+
Dim EveSet 'As WbemScripting.SWbemObjectSet
|
|
90
|
+
Dim Eve 'As WbemScripting.SWbemObject
|
|
91
|
+
Dim Eveex 'As WbemScripting.SWbemObjectEx
|
|
92
|
+
|
|
93
|
+
Const CONVERT_TO_LOCAL_TIME = True
|
|
94
|
+
|
|
95
|
+
Dim tNow
|
|
96
|
+
tNow = Now
|
|
97
|
+
Dim dtmStartDate
|
|
98
|
+
Dim dtmEndDate
|
|
99
|
+
Set dtmStartDate = CreateObject("WbemScripting.SWbemDateTime")
|
|
100
|
+
Set dtmEndDate = CreateObject("WbemScripting.SWbemDateTime")
|
|
101
|
+
|
|
102
|
+
dtmStartDate.SetVarDate Left(tNow, 10), CONVERT_TO_LOCAL_TIME
|
|
103
|
+
dtmEndDate.SetVarDate Left(tNow + 1, 10), CONVERT_TO_LOCAL_TIME
|
|
104
|
+
|
|
105
|
+
Dim tRegExp1 'As RegExp
|
|
106
|
+
Set tRegExp1 = CreateObject("VBScript.RegExp")
|
|
107
|
+
Dim tRegExp2 'As RegExp
|
|
108
|
+
Set tRegExp2 = CreateObject("VBScript.RegExp")
|
|
109
|
+
|
|
110
|
+
tRegExp1.Global = True
|
|
111
|
+
tRegExp1.Pattern = "ログオン タイプ:\s*10\r"
|
|
112
|
+
tRegExp2.Global = True
|
|
113
|
+
tRegExp2.Pattern = "ソース ネットワーク アドレス:\s*(.*)\r"
|
|
114
|
+
|
|
86
|
-
strComputer="."
|
|
115
|
+
strComputer = "."
|
|
87
|
-
Set
|
|
116
|
+
Set oService = GetObject("winmgmts:" _
|
|
88
117
|
& "{(Security)}!\" & strComputer & "\root\cimv2")
|
|
89
118
|
|
|
119
|
+
|
|
120
|
+
Set EveSet = oService.ExecQuery("Select * From Win32_NTLogEvent Where Logfile='Security'" & _
|
|
121
|
+
" And TimeWritten >= '" & dtmStartDate & "' and TimeWritten < '" & dtmEndDate & "'")
|
|
122
|
+
|
|
123
|
+
|
|
124
|
+
Dim tempDate
|
|
125
|
+
Set tempDate = CreateObject("WbemScripting.SWbemDateTime")
|
|
126
|
+
Dim tDate
|
|
127
|
+
|
|
128
|
+
Dim tResult 'As VBScript_RegExp_55.MatchCollection
|
|
129
|
+
Dim tMatch 'As VBScript_RegExp_55.Match
|
|
130
|
+
|
|
131
|
+
For Each Eve In EveSet
|
|
132
|
+
If Eve.EventCode = 4624 Then
|
|
133
|
+
If tRegExp1.test(Eve.Message) Then
|
|
134
|
+
tempDate.Value = Eve.TimeWritten
|
|
135
|
+
tDate = tempDate.GetVarDate(True)
|
|
136
|
+
Set tResult = tRegExp2.Execute(Eve.Message)
|
|
137
|
+
Set tMatch = tResult.Item(0)
|
|
138
|
+
MesStr = MesStr & tMatch.SubMatches(0) & ":" & tDate & vbCrLf
|
|
139
|
+
End If
|
|
140
|
+
End If
|
|
141
|
+
Next
|
|
142
|
+
|
|
143
|
+
Dim outStream
|
|
144
|
+
Set outStream = CreateObject("ADODB.Stream")
|
|
145
|
+
outStream.Type = 2
|
|
146
|
+
outStream.Charset = "UTF-8" '出力ファイルの文字コード設定
|
|
147
|
+
outStream.Open
|
|
148
|
+
outStream.WriteText MesStr, 1
|
|
149
|
+
|
|
150
|
+
outStream.SaveToFile "C:\work\log.txt", 2
|
|
151
|
+
outStream.Close
|
|
152
|
+
|
|
153
|
+
Set outStream = Nothing
|
|
154
|
+
Set EveSet = Nothing
|
|
155
|
+
Set Eve = Nothing
|
|
156
|
+
Set oLocator = Nothing
|
|
157
|
+
Set oService = Nothing
|
|
158
|
+
|
|
159
|
+
|
|
90
160
|
```
|
|
91
161
|
とすることで、セキュリティログはみれました
|
|
92
|
-
|
|
162
|
+
VBAで実行するときちんと取れるのだけど、vbsだと取れない。なんで?
|
|
93
163
|
|
|
94
|
-
あれ?eventcode:6424で、ログオンタイプ:10、ソースネットワークアドレスで、取得できそうな感じがしてきた
|
|
95
164
|
|
|
96
|
-
|
|
97
165
|
### 補足情報(FW/ツールのバージョンなど)
|
|
98
166
|
|
|
99
167
|
windows10
|
2
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -91,6 +91,9 @@
|
|
|
91
91
|
とすることで、セキュリティログはみれました
|
|
92
92
|
後はソースネットワークアドレスを取得する方法が問題だと思います
|
|
93
93
|
|
|
94
|
+
あれ?eventcode:6424で、ログオンタイプ:10、ソースネットワークアドレスで、取得できそうな感じがしてきた
|
|
95
|
+
|
|
96
|
+
|
|
94
97
|
### 補足情報(FW/ツールのバージョンなど)
|
|
95
98
|
|
|
96
99
|
windows10
|
1
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -81,6 +81,16 @@
|
|
|
81
81
|
```
|
|
82
82
|
Logfile='Security'を外すと何か結果は取得できます。
|
|
83
83
|
|
|
84
|
+
(追記20210422)
|
|
85
|
+
```vbs
|
|
86
|
+
strComputer="."
|
|
87
|
+
Set Service = GetObject("winmgmts:" _
|
|
88
|
+
& "{(Security)}!\" & strComputer & "\root\cimv2")
|
|
89
|
+
|
|
90
|
+
```
|
|
91
|
+
とすることで、セキュリティログはみれました
|
|
92
|
+
後はソースネットワークアドレスを取得する方法が問題だと思います
|
|
93
|
+
|
|
84
94
|
### 補足情報(FW/ツールのバージョンなど)
|
|
85
95
|
|
|
86
96
|
windows10
|