User Access Logging (UAL) を使用して、ユーザーアクセスの履歴を調査
User Access Logging (UAL) を使用して、ユーザーアクセスの履歴を調査する方法を紹介します。UAL は Windows Server 2012 以降の Windows Server で有効になっています。
手順 (Active Directory を有効にした Windows Server 2022 で試しています。)
1. C:\Windows\System32\LogFiles\Sum にある .mdb ファイルを、フォルダーにコピーします。mdb ファイルは複数あります。
ただ、OS 起動時は、ロックされておりコピーできない .mdb ファイルもあります。
そのため、esentutl を使用してコピーしました。
2. 強制的に mdb ファイルをコピーしたため、mdb ファイルの修復が必要です。esentutl を使用して、mdb ファイルを修復します。
コマンド実行時ダイアログボックスが表示されたら OK をクリックします。
3. SumECmd を作者のサイトからダウンロードします。
4. SumECmd を実行します。
5. ファイル名に ClientsDetailed を含む CSV を開きます。
6. アクセスしたユーザー、IP アドレス等がわかります。
情報元
User Access Logging (UAL) Forensics
<<Linux から Active Directory を管理:adutil | ホーム | SQL Server on Linux で Windows 認証>>
手順 (Active Directory を有効にした Windows Server 2022 で試しています。)
1. C:\Windows\System32\LogFiles\Sum にある .mdb ファイルを、フォルダーにコピーします。mdb ファイルは複数あります。
ただ、OS 起動時は、ロックされておりコピーできない .mdb ファイルもあります。
そのため、esentutl を使用してコピーしました。
| esentutl /y /vss C:\Windows\System32\LogFiles\Sum\Current.mdb /d c:\work\Current.mdb esentutl /y /vss C:\Windows\System32\LogFiles\Sum\SystemIdentity.mdb /d c:\work\SystemIdentity.mdb |
2. 強制的に mdb ファイルをコピーしたため、mdb ファイルの修復が必要です。esentutl を使用して、mdb ファイルを修復します。
| esentutl /p c:\work\Current.mdb esentutl /p c:\work\SystemIdentity.mdb |
コマンド実行時ダイアログボックスが表示されたら OK をクリックします。
3. SumECmd を作者のサイトからダウンロードします。
4. SumECmd を実行します。
| SumECmd.exe –d <.mdb があるフォルダー> --csv <結果出力フォルダー> |
5. ファイル名に ClientsDetailed を含む CSV を開きます。
6. アクセスしたユーザー、IP アドレス等がわかります。
情報元
User Access Logging (UAL) Forensics
コメント
管理人のみ閲覧できます
このコメントは管理人のみ閲覧できます
- 2022/10/19(水) 17:31:39 |
- |
- #
- [ 編集 ]