2. イベントログ収集に必要な権限

2.1 監査とセキュリティログの管理権限を付与する手順

ドメインコントローラーにDomain Adminsアカウントでログイン → [グループポリシーの管理]を開く → 新規作成したGPO（"ADAudit Plus Permission GPO"）を右クリック → 編集
[グループポリシー管理エディター]が開きます → コンピューターの構成 → ポリシー → Windowsの設定→ セキュリティの設定 → ローカルポリシー → ユーザー権利の割り当て
右ペインの[監査とセキュリティログの管理]を右クリック → プロパティ → [これらのポリシーの設定を定義する]にチェックを入れる → [ユーザーまたはグループの追加]をクリック後、新規作成したユーザー（"ADAudit Plus"）を追加

Event Log Readersグループに属するユーザーは、監査対象コンピューターのイベントログを読み取ることができます。

ドメインコントローラーを監査する場合:
ドメインコントローラーにDomain Adminsアカウントでログイン → [Active Directoryユーザーとコンピューター]を開く → [Builtin]コンテナーをクリック → 右ペインの[Event Log Readers]を右クリック → プロパティ → メンバー → 新規作成したユーザー（"ADAudit Plus"）を追加
その他コンピューター（Windowsサーバー/ワークステーション）を監査する場合:
- ドメインコントローラーにDomain Adminsアカウントでログイン → [グループポリシーの管理]を開く → 新規作成したGPO（"ADAudit Plus Permission GPO"）を右クリック → 編集
- [グループポリシー管理エディター]が開きます → コンピューターの構成 → 基本設定 → コントロールパネルの設定 → [ローカルユーザーとグループ]を右クリック → 新規作成 → ローカルグループ → グループ名として[Event Log Readers]を選択 → 新規作成したユーザー（"ADAudit Plus"）を追加

ドメインコントローラーにDomain Adminsアカウントでログイン → [グループポリシーの管理]を開く → 新規作成したGPO（"ADAudit Plus Permission GPO"）を右クリック → 編集
[グループポリシー管理エディター]が開きます → コンピューターの構成 → ポリシー → Windowsの設定 → セキュリティの設定 → [レジストリ]を右クリック → [キーの追加]をクリック
MACHINE → SYSTEM → CurrentControlSet → Services → EventLog に移動後、[Security]をクリックし、[OK]をクリック
新規作成したユーザー（"ADAudit Plus"）を追加し、[読み取り]権限を付与
[適用]をクリック後、[OK]をクリック
「オブジェクトの追加」が表示されるので、[このキーを構成し、次の操作を実行する]および[すべてのサブキーの既存のアクセス許可を継承可能なアクセス許可で置き換える]にチェックを入れ、[OK]をクリック