Windows イベントログ
イベントログを注意深く監視すると、システムの問題の発生を予測したり、問題の原因の判別に役立ちます。
例えばログの警告を調べ、あるセクタに対してディスクドライバが読み書きを行う時に必ず数回再試行していれば、そのセクタはやがて不良セクタになることが予測できます。
またログを調べることによって、ソフトウェアの問題も確認できます。
例えばプログラムがクラッシュした場合は、プログラムのイベントログを調べるとクラッシュするまでの記録が確認できます。
代表的なイベントログの詳細については次のリンクからダウンロードできます
http://support.microsoft.com/default.aspx?scid=kb;ja;JP299475
Windowsセキュリティ監査とイベントログに関する情報です(Windows2000用ですが他のOSにも応用できます)
http://www.eventid.net/
イベントログ説明
概要(イベントによって項目数が変わります)
ventSentryでの 項目名 | Windows イベントビューアでの項目名 | 説明 | 規定値 | 例 |
---|---|---|---|---|
EVENT # | – | 連続した識別番号 | 145 | |
EVENT LOG | (ツリーからログの種類を選択) | ログの種類 | 下記のいずれか (1)Application (2)Security (3)System (4)Directory Service (5)File Replication | Security |
EVENT TYPE | 種類 | イベントの種類 | 下記のいずれか (1)Error (2)Alert (3)Information (4)Audit Success (5)Audit Failure | AUDIT SUCCESS |
SOURCE | ソース | イベントを記録したプログラム | Security | |
CATEGORY | 分類 | イベントを分類する特定のクラス | 詳細追跡 | |
EVENT ID | イベント | あらかじめ定義されている番号 | 592 | |
USER NAME | ユーザー | VAIO\Administrator | ||
COMPUTER | コンピュータ | イベントを記録したホスト名 | VAIO | |
TIME | 日付/時刻 | イベントを記録した日時 | 2003/03/06 16:30:33 | |
MESSAGE | 説明 | イベントの説明 | 新しいプロセスの作成 | |
新しいプロセス ID | 新しいプロセス ID | 規に作成されたプロセスID | 836 | |
イメージファイル名 | イメージファイル名 | 新規に作成されたプロセスイメージのパス | \Program Files\eventsentry_gui.exe | |
クリエータプロセス ID | クリエータプロセス ID | 新規に作成されたプロセスを作成したプロセスのID | 1276 | |
ユーザー名 | ユーザー名 | 同上ユーザー名 | Administrator | |
ドメイン | ドメイン | VAIO | ||
ログオンID | ログオンID | (0x0,0xB4C9E) |
EVENT LOG(ログの種類)
EVENT LOG | 説明 |
---|---|
Application | アプリケーションログ。アプリケーションまたはプログラムによって記録されたイベント。 たとえばデータベースやプログラムでエラーが発生するとアプリケーションログに記録される。 ソフトウェア開発者によって決められたイベントです。 |
Security | ログオン成功/ログオン失敗、リソース使用に関するイベント(ファイルなどのオブジェクトの作成、 オープン、削除など)。管理者はログに記録するイベントを指定します。 たとえばログオンの監査を有効にした場合、ログオンの試行が記録されます。 |
System | Windowsのシステムコンポーネントによって記録されたイベント。 イベントの種類はあらかじめ決められています。 例えば起動時にドライバ又はその他のシステムコンポーネントの読み込みに失敗した場合などに 記録されます。 |
Directory Service | Windowsディレクトリーサービスによって記録されたイベント |
File Replication | Windowsファイル複製サービスによって記録されたイベント |
イベントログサービスはWindowsの起動時に自動的に開始されます。デフォルトのセキュリティログ機能はオフです。
グループポリシーを使ってセキュリティログ機能をオンにできます。
グループポリシーエディタの操作:WindowsXPの場合
- スタート|ファイル名を指定して実行|でgpedit.smcと入力してOKを押すとグループポリシーエディターがスタートする
- コンピュータの構成|Windowsの設定|セキュリティの設定|ローカルポリシー|で監査ポリシーをダブルクリック
- 監査対象ポリシーを右クリックしプロパティを選択
- 監査する項目をチェックする
EVENT TYPE(イベントの種類)
EVENT TYPE | 説明 |
---|---|
Error | データや機能の損失などの重大な問題。 たとえば、起動中にロードに失敗した場合、エラーのログが記録されます。 |
Alert | 必ずしも重大ではないが、将来的には問題となる可能性のあるイベント。 たとえば、ディスク空き領域の減少時に警告のログが記録されます。 |
Information | アプリケーション、ドライバ、またはサービスの成功した操作について説明したイベント。 たとえば、ネットワーク ドライバのロードに成功した場合、情報イベントが記録されます。 |
Audit Success | 監査中のセキュリティのアクセスに成功した時。 ユーザーのシステムログオンに成功すると記録される |
Audit Failure | 監査中のセキュリティのアクセスに失敗した時。 ユーザーのネットワークドライブアクセスの失敗が記録される |
セキュリティイベント
Windowsシステムで侵入の監視と監査を行うためにはセキュリティイベントを活用します。
監査イベントには成功の監査と失敗の監査があります。
一般にシステムへの侵入は失敗を繰り返した後成功しますので、失敗の監査で侵入試行があるかどうかを判断することが重要です。
イベントから具体的な内容を調査するためにはイベントIDなどの知識が必要です。
監査するイベント | 説明 |
---|---|
ログオン | コンピュータのログオンとユーザーのログオンが記録されます。 -ログオンの成功や失敗 -アカウントの誤用 -アカウントロックアウト -ターミナルサービス攻撃 -その他 |
アカウント ログオン | ドメインに対するユーザーのログオンが記録されます。 -ドメインログオンの成功や失敗 -アカウントの作成 -パスワード変更 -アカウント削除 -アカウントロックアウト -その他 |
オブジェクトアクセス | NTFSドライブのフォルダーとファイル、プリンタ、レジストリーキーに対するアクセスが記録されます。 -ファイルやフォルダーのオープン -ファイルやフォルダーの削除 -その他 |
ディレクトリーサービスアクセス | ディレクトリーアクセスサービスへのアクセスが記録されます。 |
特権使用 | ユーザーがユーザー権を行使するとき記録されます。 -システム時刻変更 -リモートからのシャットダウン -セキュリティログの操作 -オブジェクト所有権の取得 -その他 |
プロセス追跡 | プロセスの作成および終了時記録されます。 |
システム | ユーザーやプロセスがシステム環境を変更すると記録されます。 -システム起動 -システム停止 -セキュリティログの変更や消去 -その他 |
ポリシー変更 | ユーザーや監査ポリシーの変更が記録されます。 -ドメインへのワークステーション追加 -ファイルとディレクトリーのバックアップ -スキャンチェックのバイパス -システム時刻変更 -監査ログとセキュリティログの操作 -システムシャットダウン -その他 |
イベントログの保護や監視
イベントログはシステム運用の重要なデータですが、容易に消去される可能性があります。システムへの侵入に成功した後、侵入者はその痕跡を消すため、ほとんどの場合セキュリティログを消去します。一般的には次の注意が必要です。
- ログファイル名やディレクトリの変更(探しにくくする)
- 十分なサイズのログファイル容量を確保(ログファイルがいっぱいにならないようにする)
- 適切な上書き指定
- サーバー自動クラッシュ設定(セキュリティ監査が法的その他の理由で必須な場合)
- セキュリティログへのアクセス制限
- セキュリティ設定変更制限
- セキュリティログは頻繁にバックアップ(重要サーバーのセキュリティログは他サーバーへのリアルタイムバックアップが望ましい)
- クリティカルセキュリティイベントのリアルタイム監視
- セキュリティイベントの定期的な確認(できれば毎日)
- 定期的なセキュリティ監査報告書を作成(日報/週報/月報など)
- その他イベントとの関連の調査
- 脆弱性との関連を調査