IBM Support

WinCollect の error code: 0x0005 Access denied エラーについて

Troubleshooting


Problem

WinCollect エージェントが 0x0005 access denied というエラー・コードを生成しました。本エラー・コードが出力された原因は何ですか。

Symptom

ログ・ソースにて指定されたユーザーが、リモート・システムのレジストリーを読み取れない場合、エージェントは、デバイス・ログ・メッセージまたは syslog メッセージのいずれかでアクセス拒否のメッセージを生成します。エラー・メッセージは WinCollect エージェントのログおよびエージェントから QRadar に転送された Syslog ステータスイベントとして、その両方から提供されます。Windows ホストへのアクセス権を持たない管理者は、ログ・アクティビティー・タブを使用することでアクセス拒否のエラーを確認することができます。

  1. 管理者タブをクリックします。
  2. WInCollect アイコンをクリックします。
  3. リストからエージェントを選択します。
  4. イベントの表示をクリックします。

    ログ・アクティビティー・タブが表示され、選択したエージェントに関連付けられたログ・ソースによってフィルタリングされます。次のサンプル Syslog イベントは、表示される可能性のあるアクセス拒否エラーに関連した syslog イベントの例です。
    1. LEEF:1.0|IBM|WinCollect|7.2|4|src=Hostname dst=IP address sev=3 log=Code.RegistryCacheInfo.\\IPaddress.InitializeRegistryInfo msg=Failed to query installation language on \\ IP address (Error: Error code 0x0005: Access is denied.). Defaulting to US English.
    2. LEEF:1.0|IBM|WinCollect|7.2|4|src=Hostname dst=IP address sev=4 log=Device.WindowsLog.RegistryCacheInfo.\\IPaddress.InitializeEnvironmentInfo msg=Couldn't retrieve environment on machine \\IP address
    3. LEEF:1.0|IBM|WinCollect|7.2|4|src=Hostname dst=IP address sev=4 log=Device.WindowsLog.RemoteMessageFormatter::GetMessageA.IPaddress msg=We can retrieve logs for this machine (\\IP address) but we can't seem to access the machine's registry.

      : ペイロードの 'Message=' 部には書式設定のない挿入値のみが含まれます。これは受信側によるログの構文解析に影響を及ぼす可能性があります。

Cause

error code 0x0005 Access denied の原因としては次のことが考えられます。

  1. ログ・ソースで構成されたユーザーが、イベントのポーリング対象であるリモート・システムのレジストリーを読み取るための必要な権限が無い。
  2. ポーリングする Windows ホストでリモート・レジストリー・サービスが無効になっている。
     

Environment

WinCollect エージェント・バージョン 7.2.0 以降

Diagnosing The Problem

リモートで他のシステムのイベントをポーリングする WinCollect は、リモート・イベント・ソースのオペレーティング・システムを判別するためにリモート・レジストリーを使用します。Windows オペレーティング・システム間でイベント・フォーマットが変更されているため、エージェントはイベントの name=value に適切なフォーマットを設定するための情報を収集するためにリモート・レジストリーを読み込みます。WinCollect エージェントがこの情報を取得できない場合は、error code 0x0005 Access denied を表示します。

ログ・ソースで構成したユーザーが、リモートでレジストリーを読み込む際にエラーが発生しないかテストします。

別の Windows ホストからリモートでイベントをポーリングしている場合は、WinCollect エージェントが実行されているシステムからリモートでイベント・ビューアーを開くことが可能か確認します。

手順

  1. WinCollect エージェントがローカルにインストールされている Windows ホストにログインします。
  2. スタート・メニュー > プログラム > 管理者ツールを選択し、イベント・ビューアーをクリックします。
  3. アクション > 別のコンピューターへ接続をクリックします。
  4. 別のコンピュータへの接続オプションを選択し、リモートでイベントをポーリングするホストの IP アドレスまたはホスト名を入力します。
  5. 別のユーザーとして接続するのチェック・ボックスにチェックを入れます。
  6. ユーザーの設定をクリックします。
  7. ユーザー名フィールドには、ログ・ソース構成で指定したユーザーの domain\username を入力します。例えば、test.qradar.com\JonathanP を入力します。
  8. ユーザーのパスワードを入力し、OK をクリックします。

このテストは、ログ・ソース・ユーザーが別の Windows ホストのリモート・レジストリーを表示できるかどうかを判別するために使用できます。このテストに失敗する場合は、権限の見直しやリモート・レジストリー権限及びサービスが有効であるかを確認してください。

Resolving The Problem

トラブルシューティング・セクションを参照してアクセス拒否のエラー・メッセージを対処します。

リモート・レジストリー・サービスがリモート・システムで使用可能になっていることを確認する方法


リモート・レジストリー・サービスが無効になっている場合、アクセス拒否エラーが 0x0005 エラー・メッセージとして出力されることがあります。

手順

  1. リモート・システムにログインします。
  2. スタート・メニュー > プログラム > 管理者ツールを選択し、サービスをクリックします。
  3. 状態カラムにて、リモート・レジストリー・サービス開始になっていることを確認します。

ログ・ソース設定内で定義されたユーザーに、正しいユーザー権限が割り当てられていることを確認する方法。


ログ・ソースで定義されているユーザーには、イベントをポーリングしている Windows ホストのリモート・レジストリーを読み取ることが可能である必要があります。

重要: 管理者はログ・ソース・ユーザーを "Remote Event Log Readers" グループに割り当てることでドメイン関連のアクセス権の問題を解決できます。通常、このグループにはリモート・システムからイベントを読み取るために要求される権限が含まれています。

イベントをリモートでポーリングするためのユーザーを作成したが、リモート・レジストリーを読み取る権限がユーザーに付与されていない場合にアクセス拒否エラー・メッセージが発生します。この問題は、リモート・システム上のグループ・ポリシー・オブジェクトまたはローカル・ポリシーを更新して、リモート・レジストリーを読み取るための適切な許可レベルをユーザーに付与することによって解決できます。

Windows システムのレジストリーへのリモート・アクセスの管理についての情報は http://support.microsoft.com/kb/314837 をご参照ください。

リモートホストのオペレーティングシステムが Windows 2003 の場合、管理者はこの問題がこのエラーがオペーレーティングシステムの問題では無いかを確認する


Windows 2003 オペレーティング・システムからのイベントをリモートでポーリングする管理者は、添付された Microsoft KnowledgeBase 記事を確認する必要があります。 Windows 2003 のリモート・レジストリーが使用可能になっていても、リモート・レジストリーにアクセスできないという解決済みの問題があります。 詳細については、 http://support.microsoft.com/kb/555335.

グループ・ポリシーとレジストリー・キー


「監査とセキュリティ ログの管理」権限を付与することにより、ドメイン・アカウントのグループ・ポリシー・オブジェクトが更新された場合、管理者はアクセスするアカウントが HKEY_LOCAL_MACHINE レジストリーを読み取ることができるか確認する必要があります。

この手順の目的は、WinCollect ログ・ソースで指定されたドメイン・ユーザーとしてリモート Windows レジストリーを開くことができるかを確認することです。成功した場合は、そのユーザーでイベントのリモート・ポーリングを実行しても問題は有りません。

ユーザーがリモート・サーバーでイベントをポーリングできるか確認する方法

  1. WinCollect エージェントをホストしている Windows システムにログインします。
  2. スタート・メニューをクリックし、検索窓に regedit を入力します。
  3. Shift を押しながら右クリックし、別のユーザーとして実行を選択します。
  4. ログ・ソース・ユーザーのユーザー名とパスワードを入力します。
    レジストリー・エディターはログ・ソースに指定された資格情報を使用して開始されます。
  5. レジストリーから、ファイル > ネットワーク レジストリへの接続を選択します。
  6. 選択するオブジェクト名を入力してくださいには、リモート Windows システムのホスト名を入力して名前の確認をクリックします。
  7. OK をクリックします。
    リモート・レジストリーが正常に開けた場合は、ログ・ソース・ユーザーがイベントをリモートでポーリングできることになります。

Where do you find more information?


[{"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"Component":"WinCollect","Platform":[{"code":"PF033","label":"Windows"}],"Version":"All Versions","Edition":"All Editions","Line of Business":{"code":"LOB24","label":"Security Software"}}]

Document Information

Modified date:
25 March 2020

UID

ibm15796387

Page Feedback