auditpolコマンドで監査ログポリシーを変更する

2023年1月7日

Windows Serverなどではいろいろな役割の動作ログを監査ログとして記録しています。

監査ログを閲覧するにはイベントビューア―を利用しますが、サーバーの役割によってはそもそも監査ログを保存する設定になっていなかったり設定変更が必要な場合もあります。

そこで今回は監査ログの保存設定（ポリシー）を変更するauditpolコマンドについて使用方法、注意点を簡単にまとめます。

監査ログポリシーの構造

監査ログポリシーはメインとなるカテゴリと、そのカテゴリに紐づくサブカテゴリの階層構造になっています。

設定変更はカテゴリという大きな単位で一括して設定変更することもできますし、サブカテゴリ単位で設定変更することもできます。

設定可能なカテゴリとサブカテゴリの一覧を表示するにはコマンドプロンプトで下記のコマンドを実行します。

auditpol /get /category:"*"

実行すると下記画像のように表示されます。
下記画像の場合は”システム”というカテゴリの中に”セキュリティシステムの拡張”、”システムの整合性”、”IPsec ドライバー”、”その他のシステムイベント”、”セキュリティ状態の変更”というサブカテゴリが含まれていることを示しています。

すべての監査ポリシー設定を確認する場合は先ほどのコマンドが利用できます。

ある特定のカテゴリに属するポリシーの設定を確認する場合は下記コマンドを実行します。

auditpol /get /category:"システム"

ある特定のサブカテゴリの設定を確認する場合は下記コマンドを実行します。
/categoryオプションが/subcategoryオプションに変わっていますので注意してください。

auditpol /get /subcategory:"システムの整合性"

ポリシーの設定変更は/setオプションと下表のオプションを付けることで設定変更ができます。

/success:enable	成功の監査をイベントに記録する
/success:disable	成功の監査をイベントに記録しない
/failure:enable	失敗の監査をイベントに記録する
/failure:disable	失敗の監査をイベントに記録しない
/success:enable /failure:disable	成功の監査は記録するが、失敗の監査は記録しない
/success:disable /failure:disable	監査なし（イベントを記録しない）

カテゴリが”システム”に属するポリシーで全て成功の監査を記録するコマンド

auditpol /set /category:"システム" /success:enable

設定変更に成功すると”コマンドは正常に実行されました。”と表示されます。
また、設定を変更したら必ず/getコマンドで結果を確認するようにしましょう。

サブカテゴリが”セキュリティ状態の変更”のポリシーを成功と失敗のイベントを記録するコマンド

auditpol /set /subcategory:"セキュリティ状態の変更" /success:enable /failure:enable

ちなみに、指定しなかったオプションは既存の設定が引き継がれます。
例えば、成功と失敗の記録をするポリシーに対して”成功を記録する”というコマンドを実行しても失敗の設定は消えたりしません。

カテゴリ名やサブカテゴリ名はOSやコマンドプロンプトの言語に合わせて指定します。

例えば、日本語版で/subcategory:"ネットワークポリシーサーバー"と指定しているコマンドの場合、英語版では/subcategory:"network policy server"になります。

逆に日本語版に英語版のコマンドを実行してしまうと、エラー0x00000057が発生します。

また、日本語版の場合に使われているスペースは全て半角スペースですが、これを全角スペースで実行してしまっても同じエラーとなります。
もちろん、タイプミスや名前の指定間違いでも同様のエラーが発生するため注意してください。

この状況を回避して日本語でも英語でも互換性を持たせる場合は、カテゴリ名ではなくGUIDで指定する方法があります。

例えば、”システムの整合性”というサブカテゴリは下記のコマンドでも指定することができます。

auditpol /get /subcategory:{0CCE9212-69AE-11D9-BED3-505054503030}

GUIDは/getコマンドの後に/rコマンドを付けることで確認できます。