管理ガイド抑制ルールおよび集約ルール › Windows イベント 560 の抑制ルールの作成

前のトピック: 抑制ルールまたは集約ルールのエクスポート

次のトピック: マッピングおよび解析

Windows イベント 560 の抑制ルールの作成

Windows サーバ上でオブジェクト アクセス監査を有効にすると、非常に多くのイベント トラフィックが発生し、一部を削除する必要が生じる場合があります。 たとえば、管理者が Microsoft 管理コンソール(mmc.exe)を開くたびに、Windows は 2 つのイベントを生成します。 これらのイベントの ID 値は 560 と 562 です。

この例では、event_id が 560 の Windows イベントを抑制するルールを新規作成します。 以下の手順説明にある手順を実行すると、ウィザードの使用方法が理解できるだけでなく、お使いのネットワーク環境で実際に使用可能な抑制ルールを作成できます。

この例の作業を開始するには、管理者のロールおよび権限を持ったユーザとして CA Enterprise Log Manager サーバにログインする必要があります。 EiamAdmin ユーザとしてログインすると、抑制ルールの作成および編集を実行できません。

Windows の 560 イベント用の抑制ルールを作成する方法

  1. 抑制ルール ウィザードを開きます。
  2. 名前エントリ フィールドに「Windows イベント 560 の抑制」と入力し、説明として、「OS によって同タイプのリソース アクセスにイベント 562 も作成されるため、このルールによって Window イベント 560 を抑制する。 イベント 560 の保持はコンプライアンス上必要なし。」と追記します。
  3. 「フィルタリング」の手順に進み、以下の単純フィルタを選択します。
    1. 推奨されるモデル値、オペレーティング システム
    2. イベント カテゴリ値、リソース アクセス
    3. イベント クラス値、リソース オープン
    4. イベント アクション値、リソース アクティビティ
  4. [詳細フィルタ]タブをクリックし、[新規イベント フィルタ]ボタンをクリックします。

    新しいフィルタ行がテーブルに表示されます。 各テーブル セル内の値または空白をクリックして、新しい値を選択または入力できます。

    [論理演算子]フィールドには、デフォルト値の「AND」が入力されています。 抑制する必要のあるイベントに複数の異なるタイプが含まれている場合は、新しい行に論理演算子「OR」を用いてイベント ID を入力します。

  5. 詳細なフィールド フィルタ値を設定します。
    1. [列]フィールドの値をクリックし、event_id フィールドを選択します。
    2. [演算子]フィールドをクリックし、「等しい」を選択します。
    3. [値]セルをクリックし、値 560 を入力します。
  6. [保存して閉じる]をクリックします。

    ウィザードによって、自動的に[ユーザ]フォルダが作成され、作成した抑制ルールが保存されます。 [抑制ルール]フォルダを展開すると、このフォルダを表示できます。