特定のサービスで実際にサービスを再起動した AD ユーザーを監査しようとしています。
サービス (MyService) は、サービス アカウントを使用して実行し、さまざまなリソースにアクセスしています。
自分のユーザーまたは実際の人間ユーザーがサービスを手動で開始/停止/再起動したタイミングを監査し、その情報を EventViewer の「イベント」で取得して、後でアラートまたはフィルター ビューを設定し、サービスの実行状態を誰がいつ変更したかを確認できるようにしたいと考えています。
非常に詳細に説明されていると思われる以下の手順を見つけました:
https://support.qlik.com/articles/000058520
サーバー (Windows Server 2019) 自体 (つまり、GPO 経由ではない) の場合:
MMC > セキュリティ テンプレート > C:\Users$USER\Documents\Security\Templates
1.1 「新しいテンプレート」 > 「MyServiceSecurityTemplate」
1.2 「MyServiceSecurityTemplate」 > 「システム サービス」 > 「MyService」 > 「プロパティ」
1.3
「テンプレートでこのポリシー設定を定義する」 = チェック済み
「サービス スタートアップ モードの選択: 自動」
^ つまり、サービスは常にサーバーで起動する必要があるため、サービスの開始方法を制御するだけですか、それとも、どのサービス スタートアップ イベントがログに記録されるかに関係していますか?
つまり、サービスが自動的に開始されたときのみログに記録され、手動で停止/開始/再起動されたときはログに記録されないということですか?
1.4 「セキュリティの編集」 > 「詳細」 > 「監査」 > 「追加」 >
「プリンシパル: 」
「タイプ: 成功」
「基本権限: 開始、停止、一時停止」
「OK」 > 「適用」 > 「OK」 > 「適用」 > 「OK」 > 「OK」 > プロンプト:
「セキュリティ ポリシー。このサービスのセキュリティ設定を変更しようとしています... 続行しますか?」 >
「はい」 > 「適用」 > 「OK」ローカル グループ ポリシー エディター > コンピューターの構成 > Windows の設定 > セキュリティの設定 > 詳細な監査ポリシーの構成 > システム監査ポリシー - ローカル グループ ポリシー オブジェクト > オブジェクト アクセス:
「ハンドル操作の監査」および「その他のオブジェクト アクセス イベントの監査」 > 「プロパティ」
「監査する選択したイベントの構成:
すべての成功を監査」 > 「適用」 > 「OK」イベントビューアー > Windows ログ > セキュリティ:
イベント ID 4656 のフィルター
そのフィルターに該当するイベントは見つかりませんでした。
何故ですか?