イベントログ説明



イベントログを注意深く監視すると、システムの問題の発生を予測したり、問題の原因の判別に役立ちます。例えばログの警告を調べ、あるセクタに対してディスクドライバが読み書きを行う時に必ず数回再試行していれば、そのセクタはやがて不良セクタになることが予測できます。またログを調べることによって、ソフトウェアの問題も確認できます。例えばプログラムがクラッシュした場合は、プログラムのイベントログを調べるとクラッシュするまでの記録が確認できます。

代表的なイベントログの詳細については次のリンクからダウンロードできます
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/prodtechnol/windows2000serv/reskit/help/msgs.asp

http://support.microsoft.com/default.aspx?scid=kb;ja;JP299475

Windowsセキュリティ監査とイベントログに関する情報です(Windows2000用ですが他のOSにも応用できます)
http://www.microsoft.com/japan/technet/security/prodtech/win2000/secwin2k/09detect.asp

http://www.eventid.net/

イベントログ説明(イベントによって項目数が変わります)

EventSentryでの
項目名		 Winsodws イベントビューアでの
項目名		 説明 既定値
EVENT # - 連続した識別番号 145
EVENT LOG (ツリーからログの種類を選択) ログの種類 下記のいずれか
(1)Application
(2)Security
(3)System
(4)Directory Service
(5)File Replication		 Security
EVENT TYPE 種類 イベントの種類 下記のいずれか
(1)Error
(2)Alert
(3)Information
(4)Audit Success
(5)Audit Failure		 AUDIT SUCCESS
SOURCE ソース イベントを記録したプログラム Security
CATEGORY 分類 イベントを分類する特定のクラス 詳細追跡
EVENT ID イベント あらかじめ定義されている番号 592
USER NAME ユーザー VAIO\Administrator
COMPUTER コンピュータ イベントを記録したホスト名 VAIO
TIME 日付/時刻 イベントを記録した日時 2003/03/06 16:30:33
MESSAGE 説明 イベントの説明 新しいプロセスの作成
新しいプロセス ID 新しいプロセス ID 新規に作成されたプロセスID 836
イメージファイル名 イメージファイル名 新規に作成されたプロセスイメージのパス \Program Files\eventsentry_gui.exe
クリエータプロセス ID クリエータプロセス ID 新規に作成されたプロセスを作成したプロセスのID 1276
ユーザー名 ユーザー名 同上ユーザー名 Administrator
ドメイン ドメイン VAIO
ログオンID ログオンID (0x0,0xB4C9E)

EVENT LOG(ログの種類)

EVENT LOG 説明
Application アプリケーションログ。アプリケーションまたはプログラムによって記録されたイベント。たとえばデータベースやプログラムでエラーが発生するとアプリケーションログに記録される。ソフトウェア開発者によって決められたイベントです。
Security ログオン成功/ログオン失敗、リソース使用に関するイベント(ファイルなどのオブジェクトの作成、オープン、削除など)。管理者はログに記録するイベントを指定します。たとえばログオンの監査を有効にした場合、ログオンの試行が記録されます。
System Windowsのシステムコンポーネントによって記録されたイベント。イベントの種類はあらかじめ決められています。例えば起動時にドライバ又はその他のシステムコンポーネントの読み込みに失敗した場合などに記録されます。
Directory Service Windowsディレクトリーサービスによって記録されたイベント
File Replication Windowsファイル複製サービスによって記録されたイベント

イベントログサービスはWindowsの起動時に自動的に開始されます。デフォルトのセキュリティログ機能はオフです。グループポリシーを使ってセキュリティログ機能をオンに出来ます。

(グループポリシーエディタの操作:WindowsXPの場合)
スタート|ファイル名を指定して実行|でgpedit.smcと入力してOKを押すとグループポリシーエディターがスタートする
コンピュータの構成|Windowsの設定|セキュリティの設定|ローカルポリシー|で監査ポリシーをダブルクリック
監査対象ポリシーを右クリックしプロパティを選択
監査する項目をチェックする

EVENT TYPE(イベントの種類)

EVENT TYPE 説明
Error データや機能の損失などの重大な問題。たとえば、起動中にロードに失敗した場合、エラーのログが記録されます。
Alert 必ずしも重大ではないが、将来的には問題となる可能性のあるイベント。たとえば、ディスク空き領域の減少時に警告のログが記録されます。
Information アプリケーション、ドライバ、またはサービスの成功した操作について説明したイベント。たとえば、ネットワーク ドライバのロードに成功した場合、情報イベントが記録されます。
Audit Success 監査中のセキュリティのアクセスに成功した時。ユーザーのシステムログオンに成功すると記録される
Audit Failure 監査中のセキュリティのアクセスに失敗した時。ユーザーのネットワークドライブアクセスの失敗が記録される


セキュリティ イベント

Windowsシステムで侵入の監視と監査を行うためにはセキュリティイベントを活用します。監査イベントには成功の監査と失敗の監査があります。一般にシステムへの侵入は失敗を繰り返した後成功しますので、失敗の監査で侵入試行があるかどうかを判断することが重要です。イベントから具体的な内容を調査するためにはイベントIDなどの知識が必要です。
監査するイベント 説明
ログオン コンピュータのログオンとユーザーのログオンが記録されます。
-ログオンの成功や失敗
-アカウントの誤用
-アカウントロックアウト
-ターミナルサービス攻撃
-その他
アカウント ログオン ドメインに対するユーザーのログオンが記録されます。
-ドメインログオンの成功や失敗
-アカウントの作成
-パスワード変更
-アカウント削除
-アカウントロックアウト
-その他
オブジェクトアクセス NTFSドライブのフォルダーとファイル、プリンタ、レジストリーキーに対するアクセスが記録されます。
-ファイルやフォルダーのオープン
-ファイルやフォルダーの削除
-その他
ディレクトリーサービスアクセス ディレクトリーアクセスサービスへのアクセスが記録されます。
特権使用 ユーザーがユーザー権を行使するとき記録されます。
-システム時刻変更
-リモートからのシャットダウン
-セキュリティログの操作
-オブジェクト所有権の取得
-その他
プロセス追跡 プロセスの作成および終了時記録されます。
システム ユーザーやプロセスがシステム環境を変更すると記録されます。
-システム起動
-システム停止
-セキュリティログの変更や消去
-その他
ポリシー変更 ユーザーや監査ポリシーの変更が記録されます。
-ドメインへのワークステーション追加
-ファイルとディレクトリーのバックアップ
-スキャンチェックのバイパス
-システム時刻変更
-監査ログとセキュリティログの操作
-システムシャットダウン
-その他


イベントログの保護や監視

イベントログはシステム運用の重要なデータですが、容易に消去される可能性があります。システムへの侵入に成功した後、侵入者はその痕跡を消すため、ほとんどの場合セキュリティログを消去します。一般的には次の注意が必要です。
-ログファイル名やディレクトリの変更(探しにくくする)
-十分なサイズのログファイル容量を確保(ログファイルがいっぱいにならないようにする)
-適切な上書き指定
-サーバー自動クラッシュ設定(セキュリティ監査が法的その他の理由で必須な場合)
-セキュリティログへのアクセス制限
-セキュリティ設定変更制限
-セキュリティログは頻繁にバックアップ(重要サーバーのセキュリティログは他サーバーへのリアルタイムバックアップが望ましい)
-クリティカルセキュリティイベントのリアルタイム監視
-セキュリティイベントの定期的な確認(できれば毎日)
-定期的なセキュリティ監査報告書を作成(日報/週報/月報など)
-その他イベントとの関連の調査
-脆弱性との関連を調査