1. HOME
  2. シスログ談話室
  3. Windows イベントログ

Windows イベントログ

Windowsイベントログイメージ

イベントログを注意深く監視すると、システムの問題の発生を予測したり、問題の原因の判別に役立ちます。

例えばログの警告を調べ、あるセクタに対してディスクドライバが読み書きを行う時に必ず数回再試行していれば、そのセクタはやがて不良セクタになることが予測できます。

またログを調べることによって、ソフトウェアの問題も確認できます。
例えばプログラムがクラッシュした場合は、プログラムのイベントログを調べるとクラッシュするまでの記録が確認できます。

代表的なイベントログの詳細については次のリンクからダウンロードできます
http://support.microsoft.com/default.aspx?scid=kb;ja;JP299475

Windowsセキュリティ監査とイベントログに関する情報です(Windows2000用ですが他のOSにも応用できます)
http://www.eventid.net/

イベントログ説明

概要(イベントによって項目数が変わります)

ventSentryでの
項目名
Windows
イベントビューアでの項目名
説明規定値
EVENT #連続した識別番号145
EVENT LOG(ツリーからログの種類を選択)ログの種類下記のいずれか
(1)Application
(2)Security
(3)System
(4)Directory Service
(5)File Replication
Security
EVENT TYPE種類イベントの種類下記のいずれか
(1)Error
(2)Alert
(3)Information
(4)Audit Success
(5)Audit Failure
AUDIT SUCCESS
SOURCEソースイベントを記録したプログラムSecurity
CATEGORY分類イベントを分類する特定のクラス詳細追跡
EVENT IDイベントあらかじめ定義されている番号592
USER NAMEユーザーVAIO\Administrator
COMPUTERコンピュータイベントを記録したホスト名VAIO
TIME日付/時刻イベントを記録した日時2003/03/06 16:30:33
MESSAGE説明イベントの説明新しいプロセスの作成
新しいプロセス ID新しいプロセス ID規に作成されたプロセスID836
イメージファイル名イメージファイル名新規に作成されたプロセスイメージのパス\Program Files\eventsentry_gui.exe
クリエータプロセス IDクリエータプロセス ID新規に作成されたプロセスを作成したプロセスのID1276
ユーザー名ユーザー名同上ユーザー名Administrator
ドメインドメインVAIO
ログオンIDログオンID(0x0,0xB4C9E)

EVENT LOG(ログの種類)

EVENT LOG説明
Applicationアプリケーションログ。アプリケーションまたはプログラムによって記録されたイベント。
たとえばデータベースやプログラムでエラーが発生するとアプリケーションログに記録される。
ソフトウェア開発者によって決められたイベントです。
Securityログオン成功/ログオン失敗、リソース使用に関するイベント(ファイルなどのオブジェクトの作成、
オープン、削除など)。管理者はログに記録するイベントを指定します。
たとえばログオンの監査を有効にした場合、ログオンの試行が記録されます。
SystemWindowsのシステムコンポーネントによって記録されたイベント。
イベントの種類はあらかじめ決められています。
例えば起動時にドライバ又はその他のシステムコンポーネントの読み込みに失敗した場合などに
記録されます。
Directory ServiceWindowsディレクトリーサービスによって記録されたイベント
File ReplicationWindowsファイル複製サービスによって記録されたイベント

イベントログサービスはWindowsの起動時に自動的に開始されます。デフォルトのセキュリティログ機能はオフです。
グループポリシーを使ってセキュリティログ機能をオンにできます。

グループポリシーエディタの操作:WindowsXPの場合

  1. スタート|ファイル名を指定して実行|でgpedit.smcと入力してOKを押すとグループポリシーエディターがスタートする
  2. コンピュータの構成|Windowsの設定|セキュリティの設定|ローカルポリシー|で監査ポリシーをダブルクリック
  3. 監査対象ポリシーを右クリックしプロパティを選択
  4. 監査する項目をチェックする

EVENT TYPE(イベントの種類)

EVENT TYPE説明
Errorデータや機能の損失などの重大な問題。
たとえば、起動中にロードに失敗した場合、エラーのログが記録されます。
Alert必ずしも重大ではないが、将来的には問題となる可能性のあるイベント。
たとえば、ディスク空き領域の減少時に警告のログが記録されます。
Informationアプリケーション、ドライバ、またはサービスの成功した操作について説明したイベント。
たとえば、ネットワーク ドライバのロードに成功した場合、情報イベントが記録されます。
Audit Success監査中のセキュリティのアクセスに成功した時。
ユーザーのシステムログオンに成功すると記録される
Audit Failure監査中のセキュリティのアクセスに失敗した時。
ユーザーのネットワークドライブアクセスの失敗が記録される

セキュリティイベント

Windowsシステムで侵入の監視と監査を行うためにはセキュリティイベントを活用します。

監査イベントには成功の監査と失敗の監査があります。
一般にシステムへの侵入は失敗を繰り返した後成功しますので、失敗の監査で侵入試行があるかどうかを判断することが重要です。
イベントから具体的な内容を調査するためにはイベントIDなどの知識が必要です。

監査するイベント説明
ログオンコンピュータのログオンとユーザーのログオンが記録されます。
-ログオンの成功や失敗
-アカウントの誤用
-アカウントロックアウト
-ターミナルサービス攻撃
-その他
アカウント ログオンドメインに対するユーザーのログオンが記録されます。
-ドメインログオンの成功や失敗
-アカウントの作成
-パスワード変更
-アカウント削除
-アカウントロックアウト
-その他
オブジェクトアクセスNTFSドライブのフォルダーとファイル、プリンタ、レジストリーキーに対するアクセスが記録されます。
-ファイルやフォルダーのオープン
-ファイルやフォルダーの削除
-その他
ディレクトリーサービスアクセスディレクトリーアクセスサービスへのアクセスが記録されます。
特権使用ユーザーがユーザー権を行使するとき記録されます。
-システム時刻変更
-リモートからのシャットダウン
-セキュリティログの操作
-オブジェクト所有権の取得
-その他
プロセス追跡プロセスの作成および終了時記録されます。
システムユーザーやプロセスがシステム環境を変更すると記録されます。
-システム起動
-システム停止
-セキュリティログの変更や消去
-その他
ポリシー変更ユーザーや監査ポリシーの変更が記録されます。
-ドメインへのワークステーション追加
-ファイルとディレクトリーのバックアップ
-スキャンチェックのバイパス
-システム時刻変更
-監査ログとセキュリティログの操作
-システムシャットダウン
-その他

イベントログの保護や監視

イベントログはシステム運用の重要なデータですが、容易に消去される可能性があります。システムへの侵入に成功した後、侵入者はその痕跡を消すため、ほとんどの場合セキュリティログを消去します。一般的には次の注意が必要です。

  • ログファイル名やディレクトリの変更(探しにくくする)
  • 十分なサイズのログファイル容量を確保(ログファイルがいっぱいにならないようにする)
  • 適切な上書き指定
  • サーバー自動クラッシュ設定(セキュリティ監査が法的その他の理由で必須な場合)
  • セキュリティログへのアクセス制限
  • セキュリティ設定変更制限
  • セキュリティログは頻繁にバックアップ(重要サーバーのセキュリティログは他サーバーへのリアルタイムバックアップが望ましい)
  • クリティカルセキュリティイベントのリアルタイム監視
  • セキュリティイベントの定期的な確認(できれば毎日)
  • 定期的なセキュリティ監査報告書を作成(日報/週報/月報など)
  • その他イベントとの関連の調査
  • 脆弱性との関連を調査