セキュリティログ(ログインの失敗監査)の出力先について

サーバ管理の初心者です。
セキュリティログにてサーバへの不正ログイン
履歴を収集しようと考え、ドメインのグループ
ポリシー(監視ポリシー)でログオンイベントの
監視(失敗の監視のみ)を設定しました。
構成は以下のとおりです。

サーバ：Win2000 Server
クライアント：Win2000、XP(Pro)、Win95

その後、Win2000とWin95で、故意にイベントID
529(パスワードを入れずにログイン)を発生させ
た際、Win95の失敗イベントはServerの方に記録
されましたが、Win2000ではServerではなく、
自分(ローカル)のPCに記録されてしまいます。

サーバにて一括でセキュリティログを管理したい
と考えてますが、このままでは各PCのログを回収
して回らなければいけません。

すべてServerの方にログを記録できるようになる
方法(設定)等ありましたら教えていただけますで
しょうか。

よろしくお願いします。

No.1 ベストアンサー 回答者： renjano 回答日時： 2005/11/18 03:23

サーバーのイベントログに書くことはできないですが

リモートPCのイベントログを テキストログに書き出すことはできます

dumpel.exe というコマンドを使用します
http://www.microsoft.com/windows2000/techinfo/re …


dumpel -s \\<コンピューター名> -l security

でリモートのログが取得できます

for 文と組み合わせて

for /f %i in (ComputerList.txt) do dumpel -s \\%i -l security >%i.log
(ComputerList.txt はPCのコンピューター名一覧)

でログに書き出すことはできます

バッチファイルにするときは
for /f %%i in (ComputerList.txt) do dumpel -s \\%%i -l security >%%i.log
と %i を %%i にしてください

参考URL：http://www.microsoft.com/windows2000/techinfo/re …

この回答へのお礼

回答ありがとうございます。

やはり設定等でローカルPCの失敗イベントを
Serverにすべて記録する事は出来ないのですね。
[Win9X系の失敗ログはServerに記録されていた
(Win9X系にはイベントビューアがないため？)
ので、NT系も出来るはずだと決め付けられて、
Web&書籍で方法を探す日々でした。]

ご提案頂いた方法を早速、実行してみました。

9割のPCからは取得に成功しましたが、XPの
SP2(予想ですが)のPCから[Couldn't open log ]
のエラーが発生して取得できませんでした。
dumpelツールについて調べてみます。

ありがとうございました。

お礼日時：2005/11/18 11:41