WindowsイベントID6011

Question

コンピューターの名前がいつ誰によって変更されたかを追跡する方法を調べています。

1台のコンピューターからイベントログを取得できることは知っていますが、1000台を超えるPCで2週間にわたって生成されたレポートが必要です。

コンピュータの名前を変更した人
それが行われたとき。

または、ドメインから削除された場合、誰がいつ行ったか。

これはサーバー側で実行できますか？実行する場合はどのように実行しますか？

Hskdopi · Answer

この監査を実行する方法はいくつかあります。まず、関連する2週間の情報を取得するためのより時間のかかる方法です。

PDCから、Windows Server csvedツールを使用して、すべてのADユーザーとコンピューターをエクスポートします。対応するコマンド構文はcsved -f ADfilename.csv -r objectClass=userそして、エクスポートされたcsvを列ごとのフィルタリングデータとともにExcelファイルにインポートします（注：インポートするときは、区切り文字をコンマとタブに設定して、フィルタリングする前に適切な見出しを取得します）。
同様に、PDCログファイルを\ Windows\Debug etsetup.logから上記と同じオプションを使用して2番目のスプレッドシートにインポートします。そこから、2つのスプレッドシートを比較できます（file1 .csv-> file2.csv）、対応するデータをフィルタリングします。これは、OpenOfficeCalcを使用して非常に簡単に実行できます。

サンプルイベントデータ-日付/時刻などによるフィルタリングあり

比較を実行すると、実際のサーバーログと現在のADコンピューターおよびユーザーリストから対応するイベントを確認できます。ご要望に応じて、コンピューターごとのドメインの可用性/非可用性に関するNETLOGONイベント（id 5719）と、ユーザーごとのドメイン名の変更に関するNetBIOSイベント（id 6011）に注目してください。

注：NetBIOS名のすべての変更を見つけるために比較および再マージするときに、対応するすべてのイベントを検索およびフィルタリングする必要があるため、この部分には時間がかかる場合があります。変更します。

その後、次のプログラム/スクリプトサンプルを使用して、ADサーバーイベントや企業のコンピューターを長期間監視できます。

Powershellを使用して永続的なイベントコンシューマーを作成する関連するサービスの変更を監視するためにサーバー上で。これは、サーバーで直接使用できるスクリプト化されたWMIイベントコンシューマーを作成するための興味深い記事です。 Microsoftのブログによると：

スクリプトを介して永続的なイベントコンシューマーを作成することには、2つの優れた点があります。まず、リモートで簡単に実行できることです。したがって、スクリプトを使用して複数のマシンをターゲットにし、リモートマシンでイベントコンシューマーを作成できます。 2つ目のクールな点は、恒久的なイベントの消費者がクールであるという事実です。スクリプトを実行しなくても、イベントを監視して応答します。何かクールなことについて話してください！ 1回のスクリプトを実行すると、コンピューターは常にイベントを探して応答します。

SolarWinds WMI Monitorなどのサードパーティツールを使用して、ドメインコントローラーで実行中のイベントステータスを表示します。次のWMI名前空間クラスの監視を設定します：Win32_NTDomain、Win32_LogonSession、Win32_ComputerSystem

WMI NetBIOSクラスの詳細については、ここを参照してください。

McKenning · Answer

必要なのはソース開始サブスクリプションです。これには、ターゲットコンピューターをコレクターにポイントし、コレクターでイベントコレクターサービスを構成するためのGPOが含まれます。イベントの受信を開始すると、必要な特定のイベントにフィルターをかけることができます。

Jose Ortega · Answer

このタスクにはスクリプトを使用します。

https://gallery.technet.Microsoft.com/scriptcenter/Get-HtmlCSS3-reports-from-64cb372

基本的に、過去X日間のすべての情報を検索し、HTML5/CSS3ビューに配置します。

たとえば、毎日タスクとして実行できます

Clayton · Answer

C:\Windows\Debug etsetup.logを見ると、when部分を取得できます。このログには、ドメインの参加、参加解除、および名前の変更が表示されます。

6011イベントは、whoの部分を報告しません。このイベントは、名前変更後の再起動時にのみ書き込まれます。また、ターゲットからSplunkのようなものを使用して長期アーカイブにイベントを積極的に保持していない限り、それらのイベントは個々のターゲットイベントログに表示されなくなる可能性があります。イベントを収集している場合は、名前の変更をテストし、ユーザーIDで名前を変更した後、再起動する前に、別のイベントが書き込まれていないかどうかを確認します。