イベント コレクションのセキュリティ

イベント コレクション サービスには、以下のセキュリティに関する考慮事項があります。

イベント コレクション サービスの権限の概要

新しい イベント コレクション サービス インスタンスの ID に次の権限があることを確認してください。

  • ETW セッションを作成し、プロバイダーを登録し、ETW セッションからイベントを読み取る権限

  • ルート Web.config ファイルに保管されている イベント コレクション サービス構成の読み取り権限

  • <ドライブ名>\Windows\System32\inetserv\config に置かれている IIS 構成ファイルの読み取り権限.

  • 監視対象アプリケーションに適用されるアプリケーション構成ファイル (Web.config) の読み取り権限

  • 監視データベースに対する読み取りと書き込みの権限

  • "サービスとしてログオン" ポリシー

特定のユーザーとして実行

Microsoft AppFabric 1.1 for Windows Server によって監視する特定のアプリケーションのイベントを分離するには、Windows Communication Foundation (WCF) サービスまたは Windows Workflow Foundation (WF) サービス、またはその両方が含まれているアプリケーションを特定のユーザーとして実行します。ユーザーに、イベント コレクション サービスが待機している Windows イベント トレーシング (ETW) セッションへの書き込み権限があることを確認します。また、実 イベント コレクション サービスを特定のユーザーとして実行します。アプリケーションと同じユーザーでも異なるユーザーでもかまいません。イベント コレクション サービスを特定のユーザーとして実行する手順は、次のとおりです。

  1. イベント コレクション サービス インスタンスの ID を Performance Log Users Windows グループに追加します。これにより、イベント コレクション サービスに、ETW セッションを作成し、プロバイダーを登録し、ETW セッションからイベントを読み取るための適切な ACL が提供されます。

  2. イベント コレクション サービス ID には、監視データ ストアに対する読み取りと書き込みの権限が必要です。そのためには、イベント コレクション サービス ID を ASMonitoringDbReader および ASMonitoringDbWriter データベース ロールに追加する必要があります。ID は、これらのデータベース ロールに明示的に追加できます。または、イベント コレクション サービス ID を、AppFabric によって作成された AS_Administrators Windows グループに追加することもできます。

  3. イベント コレクション サービス ID に、監視対象アプリケーションの Web.config ファイルの読み取り権限を許可します。イベント コレクション サービス インスタンスの ID を AS_Administrators Windows グループに追加することにより、イベント コレクション サービスに、<ドライブ名>\Windows\system32\inetserv\config ディレクトリに置かれている IIS アプリケーションの構成ファイルへの読み取りアクセスが許可されます。

Windows Communication Foundation (WCF) サービスまたは Windows Workflow Foundation (WF) サービス、またはその両方を含むアプリケーションを Microsoft AppFabric 1.1 for Windows Server で監視するには、アプリケーションのイベントが、イベント コレクション サービス がイベントを収集する ETW セッションに対して生成される必要があります。アプリケーションに ETW セッションへの書き込み権限を許可するには、アプリケーションが実行されているアプリケーション プールの ID に ETW セッションへの書き込み権限が許可されている必要があります。そのためには、Windows の [信頼性とパフォーマンス モニター] ツールを使用して、ETW セッションへのアクセス許可があるユーザーのリストに ID を追加します。または、EventAccessControl Win32 API (http://go.microsoft.com/fwlink/?LinkId=179742) を使用して、ETW セッションに書き込みができるようにユーザーの権限を変更します。

イベント コレクション サービス ID に、監視しているアプリケーションの Web.config ファイルに対する読み取りアクセス許可がない場合、Event ID 130 を生成します。このイベントは Microsoft-Windows-Application Server-System Services/Admin ノードのイベント ログに書き込まれます。

次のいずれかの方法で、アプリケーションの Web.config ファイルの イベント コレクション サービス ID に読み取りアクセス許可を割り当てることができます。

  • Windows エクスプローラーを使用して、アプリケーションの Web.config ファイルを右クリックし、[プロパティ] を選択して、[セキュリティ] タブをクリックします。イベント コレクション サービス に対して使用している ID に読み取りアクセス許可を割り当てます。

    ヒント

    セキュリティ設定はキャッシュに保存されることがあるため、読み取りアクセス許可が与えられてから適用されるまで、多少時間のかかる場合があります。その他に、更新された権限でアプリケーションの Web.config ファイルを読み取ることができるよう イベント コレクション サービス の再起動が必要となる場合があります。

  • Web.config の読み取りアクセス許可を明示的に設定するもう 1 つの方法は、アプリケーションをルートの Web フォルダーに移動することです。たとえば、既定の Web サイトの場合であれば、<システム ドライブ>\inetpub\wwwroot に移動します。開発時点であれば、この作業を Visual Studio から行うこともできます。プロジェクトを右クリックし、[発行] を選択して、MSDeploy を使用するローカルの IIS サーバー (Localhost を使用) に対して Web サービスを発行します。

"サービスとしてログオン" ポリシー

ドメイン環境で、イベント コレクション サービス および ワークフロー管理サービス が Web ファーム内の各種サーバー上で稼働することになる場合、サービス ID は AppFabric ドメイン管理者グループに属している必要があります。このグループはドメイン管理者により手動で作成されるため、グループの名前は任意です。通常、このグループには AppFabric ドメイン管理者アカウントが含まれます。このグループのユーザーには "サービスとしてログオン" 権限を付与し、ドメイン内で適用する必要があります。この権限により、セキュリティ プリンシパルはサービスとしてログオンできます。別のユーザー アカウントで実行するすべてのサービスに、この権限を割り当てる必要があります。"サービスとしてログオン" 権限をアカウントに追加する方法の詳細については、http://go.microsoft.com/fwlink/?LinkId=192517 を参照してください。

  2012-03-05