[記事公開日]2025/10/30
🔐 auditpolコマンドの使い方|監査ポリシーを確認・設定してセキュリティログを管理する方法
もくじ
はじめに
Windowsでは、ユーザーの操作やシステムイベントを「監査ログ」として記録することで、不正アクセスやトラブルの追跡が可能です。
その監査機能をコントロールできるのが auditpolコマンド です。
auditpol を使うことで、ログオン・ファイルアクセス・ポリシー変更などの監査を細かく設定・確認でき、セキュリティ管理を強化できます。
この記事では、auditpol コマンドの使い方、主な設定項目、監査ログ管理の実践例を詳しく解説します。
🛠 auditpolコマンドとは?
| 項目 | 内容 |
|---|---|
| 役割 | Windowsの監査ポリシーを表示・設定する |
| 用途 | ログオン記録・アクセス履歴・システム変更の監査制御 |
| 特徴 | コマンドで監査設定を柔軟に管理可能(グループポリシーより細かい制御) |
auditpol は、Windowsの「監査ポリシー」を操作するための管理コマンドです。
セキュリティイベントログに何を記録するかを細かく制御でき、特定操作(例:ログオン試行、ファイル削除など)を追跡可能にします。
📌 基本構文
auditpol /get | /set | /clear [オプション]
主なオプション一覧
| オプション | 説明 |
|---|---|
/get |
現在の監査ポリシーを表示 |
/set |
監査ポリシーを変更 |
/clear |
設定を初期化(監査を無効化) |
/category:* |
すべての監査カテゴリを対象に指定 |
/subcategory:"項目名" |
個別のサブカテゴリ(例:ログオン、ファイルアクセス)を指定 |
/success |
成功イベントを監査対象に設定 |
/failure |
失敗イベントを監査対象に設定 |
💡 主な使用例
| 操作内容 | コマンド例 | 説明 |
|---|---|---|
| 現在の監査ポリシーを確認 | auditpol /get /category:* |
全カテゴリの監査設定を一覧表示 |
| ログオン成功・失敗を監査 | auditpol /set /subcategory:"Logon" /success:enable /failure:enable |
ログオン試行をすべて記録 |
| ファイルアクセス監査を有効化 | auditpol /set /subcategory:"File System" /success:enable |
ファイルアクセスをログに記録 |
| 設定を初期化 | auditpol /clear /y |
すべての監査設定をリセット |
📋 主な監査カテゴリとサブカテゴリ一覧
| カテゴリ | サブカテゴリ例 | 内容 |
|---|---|---|
| アカウントログオン | Kerberos 認証サービス, 他 | 認証関連イベント |
| ログオン/ログオフ | ログオン, ログオフ, ロック解除 | ユーザーの操作記録 |
| ポリシー変更 | 監査ポリシー変更, 認証ポリシー変更 | セキュリティ設定の変更履歴 |
| オブジェクトアクセス | ファイルシステム, レジストリ, サービス | ファイル・設定の操作記録 |
| プロセス追跡 | プロセス作成, 終了, トークン割り当て | 実行中アプリの監視 |
| システム | セキュリティ状態変更, 時刻変更 | システムイベントの監査 |
🧠 補足
auditpol で設定した内容は、グループポリシー(gpedit.msc)の設定よりも優先される場合があります。
企業環境などでは、ローカルポリシーと競合しないよう注意が必要です。
⚙️ 応用的な使い方
1️⃣ ログオン履歴を監査して不正アクセスを検出
auditpol /set /subcategory:"Logon" /success:enable /failure:enable
この設定により、成功・失敗を含むすべてのログオン試行がセキュリティログに記録されます。
不正アクセスやブルートフォース攻撃の痕跡調査に有効です。
2️⃣ ファイル改ざんの検出
auditpol /set /subcategory:"File System" /success:enable /failure:enable
重要フォルダへのアクセス履歴を監査することで、内部不正や改ざんの調査が可能になります。
3️⃣ 設定をレポートとして出力
auditpol /get /category:* > C:\audit_report.txt
監査ポリシーの状態をファイルとして保存し、定期監査や設定変更履歴の記録に利用できます。
⚠️ 注意点
| 注意点 | 説明 |
|---|---|
| 設定反映には管理者権限が必要 | 通常ユーザーでは変更不可 |
| 監査ログが大量に生成される可能性 | 長期運用時はログ容量に注意 |
| グループポリシーとの競合に注意 | ドメイン環境では上書きされる場合あり |
| 不要な監査はパフォーマンス低下の原因に | 重要な項目だけを有効に設定するのが理想 |
📊 まとめ表
| 操作内容 | コマンド例 | 説明 |
|---|---|---|
| 現在の設定を確認 | auditpol /get /category:* |
すべての監査ポリシーを表示 |
| ログオン監査を有効化 | auditpol /set /subcategory:"Logon" /success:enable /failure:enable |
ログオン試行を監査 |
| ファイルアクセス監査 | auditpol /set /subcategory:"File System" /success:enable |
ファイル操作を記録 |
| 設定をリセット | auditpol /clear /y |
監査設定を初期化 |
🔗 関連記事
-
⚙️ wevtutilコマンドでイベントログを管理する方法
-
🧠 secpol.mscでローカルセキュリティポリシーを編集する方法
-
💽 net userコマンドでアカウント情報を確認する方法
-
🧩 gpupdateコマンドでポリシー設定を反映させる方法
➡️ 同カテゴリ記事リスト
- 🔧 cmstpコマンドの使い方|接続マネージャーサービスプロファイルのインストールと管理方法
- 🔒 manage-bdeコマンドの使い方|BitLockerをコマンドラインで管理する方法
- 🔑 cipherコマンドの使い方|NTFS暗号化と復号化をコマンドラインで操作する方法
- 🔐 tpmvscmgrコマンドの使い方|仮想スマートカード(VSC)の作成・管理方法
- 🔐 seceditコマンドの使い方|セキュリティポリシーの適用と管理方法
- 🔐 certreqコマンドの使い方|証明書要求の作成・送信・インポートを行う方法
- 🔐 auditpolコマンドの使い方|監査ポリシーを確認・設定してセキュリティログを管理する方法
- 🔄 gpupdateコマンドの使い方|グループポリシーの即時更新方法
- 📜 certutilコマンドの使い方|証明書管理と暗号化機能をコマンドラインで操作する方法
さいごに
auditpol コマンドは、Windowsのセキュリティ監査を精密に制御できる強力なツールです。
不正アクセスや情報漏えいの早期検出、システム変更履歴の記録など、運用現場で欠かせない存在です。
セキュリティを強化したい場合は、このコマンドを活用して監査ポリシーの見直しを行いましょう。
