【Dell Blog】「PowerStore×Alog ConVerter」CIFS監査ログ設定検証してみました！

皆様こんにちは。

ネットワールドのストレージ担当、三嶽です。

今回は最新バージョンであるPowerStore4.0も登場したPowerStoreとAlog ConVerterの連携検証を行いましたのでその結果をシェアしたいと思います。

昨年にもUnityとAlog ConVerterでのCIFS監査ログ設定を検証した記事を書かせていただきました。

Alog ConVerterも今年の4月にリニューアルされており、GUIなども刷新されていますのでご参考になれば幸いです。

手順

1.Alog ConVerterを構築する

2.イベントログの出力設定をする

2-a.NAS ServerへのCIFS監査設定

2-b.イベントログの設定変更

2-c.フォルダーの監査設定

3.ログ収集設定をする

4.ログ収集の動作確認

1.Alog ConVerterを構築する

まずはAlog ConVerterをWindowsサーバーに構築しますが、ウィザードに従ってインストールし、ライセンスを適用すれば完了なので今回は割愛します。

2.イベントログの出力設定をする

2-a.NAS ServerへのCIFS監査設定

事前準備としてDellサポートサイトのPowerStoreのページより「Dell EMC NAS Management」(バージョンによって名称が変わる場合があります)を入手します。

次にNASサーバーに接続します。

Windowsの「コンピューターの管理」画面から[操作]-[別のコンピューターへ接続]をクリックし、「コンピューターの選択」画面で対象のNASサーバー名を入力し[OK]をクリックします。

次にNAS Managementツールでの設定に入ります。

スタートメニューの[Windows管理ツール] にインストールした [Dell EMC NAS Management] が作成されているのを確認し、起動します。

起動後、[Data Mover/NAS Server Management]を右クリックし、[Connect to Data Mover/NAS Server]をクリックします。

次に[Select Data Mover/NAS Server] 画面で対象のNASサーバー名を選択して[OK]をクリックします。

[Data Mover/NAS Server Management]-[Data Mover/NAS Server Security Settings]-[Audit Policy]を右クリックし、[Enable auditing]をクリックして監査を有効化します。

[Audit Policy]を選択し、一覧から[Audit object access]を右クリックし、[Security]を選択、「Security Policy Setting」がポップアップするので[Success]と[Failure]にチェックをいれて[OK]をクリックします。

2-b.イベントログの設定変更

続いてイベントログの設定に入ります。

コンピュータの管理に戻り、イベントビューアー画面の[クラシックイベントビューアー]-[グローバルログ]-[セキュリティ]を右クリックし、[プロパティ]を開き「ログサイズが最大値に達した時の操作：イベントを上書きしない」を設定し[OK]をクリックします。

続いてレジストリの設定に入ります。

Windowsの[ファイル名を指定して実行]から「regedit」と入力して「レジストリエディター」を開き、[ファイル]-[ネットワークレジストリへの接続]をクリック、「コンピューターの選択」画面で対象のNASサーバー名を入力して接続します。

[接続サーバー名]のツリーが表示されるため、以下のレジストリを展開してキーを設定変更します。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eventlog\Security

名前	データ	設定値
File	イベントログ出力先フォルダーを指定する・必ず初期設定以外に変更すること・ファイル名は必ず「security.evt」のままとすること	c:\<ファイルシステム名>\security.evt
AutoArchiveEnabled	オートアーカイブの設定を「1」(アーカイブする)にする	1
AutoArchiveTriggerPolicySize	イベントログのアーカイブサイズを指定する	512mb
AutoArchivePolicyTime	イベントログのローテート時間を指定する	1hour