監視、一次切り分け、証跡保存までを1つの流れで見せるLab
社内ITサポート・運用監視で求められる「どこを見るか」「何を残すか」「いつ上位担当へ渡すか」を、公開可能なサンプル環境として整理しました。実機情報や社内固有情報は含めず、Windows 11、Microsoft 365、Active Directory、共有フォルダを想定した運用メモとしてまとめています。
Endpoint
Account
Network
Monitoring
Network Architecture(想定中規模オフィス)
テキストベースの構成も見る(折りたたみ)
Internet
↓
Edge FW / UTM
DMZ VLAN 10 (192.0.2.0/28)
Reverse Proxy
Mail Relay
VPN GW
Core Switch (L3) / Routing & ACL
Server VLAN 20 (10.0.20.0/24)
AD DS / DNS / DHCP
File Server
Print Server
Monitoring (Prom/Graf)
User VLAN 30 (10.0.30.0/23)
Windows 11 端末 ×N
M365 デバイス
Guest / IoT VLAN 40 (10.0.40.0/24)
Guest Wi-Fi
IoT / 複合機
Microsoft 365 / Entra ID (Azure AD)
Entra Connect でオンプレ AD と同期 / Conditional Access / Defender for Endpoint
想定運用シナリオ
- 問い合わせ受付後、端末・ネットワーク・アカウント・ライセンスを順に確認する。
- 確認結果はチケットへ添付しやすい JSON / CSV / HTML に残す。
- 利用者影響、再現性、変更履歴、セキュリティ影響を見てエスカレーションを判断する。
- 対応後は再発防止メモとナレッジ更新候補を残す。
セグメント設計の考え方
- DMZ VLAN 10: 外部公開サービスのみ。内部VLANへの戻りはACLで明示許可されたものだけ。
- Server VLAN 20: AD/DNS/DHCP/ファイル/監視。クライアントVLANから必要ポートのみ許可。
- User VLAN 30: 業務端末。サーバーVLANへは必要ポートのみ、Guest VLANは完全分離。
- Guest / IoT VLAN 40: インターネット出口のみ許可。社内資産には到達不可。
- Microsoft 365: Entra ID と Entra Connect でオンプレ AD と同期。条件付きアクセスでデバイス準拠を強制。
Monitoring & Evidence Matrix
| 対象 | 確認観点 | 使用スクリプト・証跡 | 一次対応 / 引き継ぎ基準 |
|---|---|---|---|
| 端末ヘルス | OS、空き容量、更新、Defender、Firewall、BitLocker | Collect-PcInventory.ps1 Test-SecurityBaseline.ps1 |
警告項目をチケットへ添付し、設定変更が必要な場合は管理者へ引き継ぐ。 |
| ネットワーク | 本人のみか全体か、IP、DNS、ゲートウェイ、外部到達性 | Test-NetworkTriage.ps1 network-triage.sample.csv |
複数端末で不可ならネットワーク機器・回線側として上位担当へ連携する。 |
| 性能・ログ | CPU、メモリ、ディスク、直近エラー、発生時刻 | Test-DiskCapacity.ps1 Get-RecentSupportEvents.ps1 |
ディスク90%以上、同一エラー反復、業務停止がある場合は影響範囲を添えて引き継ぐ。 |
| AD / M365 | 休眠アカウント、所属グループ、ライセンス割当、利用率 | Get-StaleUserAccounts.ps1 Get-M365LicenseInventory.ps1 |
権限変更・停止・ライセンス回収は申請情報と承認の有無を確認してから実施担当へ渡す。 |
Ticket Flow
01
受付
現象、発生時刻、対象者、業務影響、再現条件を確認。
02
切り分け
端末、ネットワーク、アカウント、サービス側を順に分離。
03
証跡保存
確認コマンド、ログ、スクリーンショット、出力ファイルを添付。
04
対応・連携
一次対応で収まらない場合は影響範囲と仮説を添えて引き継ぎ。
05
再発防止
手順書更新、FAQ化、監視項目追加、棚卸し対象化を検討。
関連 Lab / Runbook
Windows / M365 / AD のこのページから、Linux運用・監視スタック・IaC・障害事後分析・バックアップへ横展開できる構成にしています。