- Windowsサーバー管理者が特に注目したいイベントログとは?
- EventReporterを用いてイベントログを活用する
WindowsOS内で発生した事象は「イベントログ」に書き込まれ、
Windowsに付属の「イベントビューア」を用いてこれを参照出来ますが、
ソフトウェア「EventReporter」を用いて、これらイベントログを
- テキストファイルに書き込む
- 管理者にメールで知らせる
- 別のSyslogサーバに転送する
ことが可能です。
EventReporterを用いてイベントログを漠然と集めても、
膨大過ぎる情報の中に埋もれ、重大な兆候を見逃してしまうかもしれません。
どの様なイベントログを収集するのが有益なのでしょうか?
さまざまな事象がWindowsイベントログに記録されますが、
今回はユーザーの権限に関する事象に注目してみましょう。
- カテゴリ: アカウントの管理
- 4720 – ユーザー アカウントが作成されました。
- 4722 – ユーザー アカウントが有効になります。
- 4723 – アカウントのパスワードを変更しようとしました。
- 4724 – アカウントのパスワードをリセットしようとしました。
- 4725 – ユーザー アカウントが無効にされました。
- 4726 – ユーザー アカウントが削除されました。
- 4727 – セキュリティが有効なグローバル グループが作成されました。
- 4728 – セキュリティが有効なグローバル グループにメンバーが追加されました。
- 4729 – セキュリティが有効なグローバル グループからメンバーが削除されました。
- 4730 – セキュリティが有効なグローバル グループが削除されました。
- 4731 – セキュリティが有効なローカル グループが作成されました。
- 4732 – セキュリティが有効なローカル グループにメンバーが追加されました。
- 4733 – セキュリティが有効なローカル グループからメンバーが削除されました。
- 4734 – セキュリティが有効なローカル グループが削除されました。
- 4735 – セキュリティが有効なローカル グループが変更されました。
- 4737 – セキュリティが有効なグローバル グループが変更されました。
- 4738 – ユーザー アカウントが変更されました。
- 4739 – ドメイン ポリシーが変更されました。
- カテゴリ: システム
- 4612 – 監査メッセージのキュー用に割り当てられている内部リソースが枯渇し、一部の監査が失われました。
- 1102 – 監査ログは消去されました。
- カテゴリ: ポリシーの変更
- 4704 – ユーザー権利が割り当てられていました。
- 4705 – ユーザー権利が削除されました。
- 4706 – 新しい信頼は、ドメインに作成されました。
- 4707 – ドメインに信頼関係が削除されました。
- 4719 – ドメイン ポリシーが変更されました。
- 4864 – 名前空間の衝突が検出されました。
太字で示したイベントは、
日常的な運用で発生することは非常に稀です。
不正であると断定するには未だ早いですが、
日常的に記録を取り、前後関係と比較して判断出来る材料を残しておくことが大切です。
※Windowsはデフォルトではこれらの攻撃を記録しないため、
「監査ポリシー」内で記録をONにする必要があります。
管理者ツール「ローカルグループポリシーエディター」を使用して適切に設定を行って下さい。
これらのイベントログをEventReporterが検知し、
希望する処理を発動させるための設定を行います。
EventReporterに2つのルールを作成します。
- 非常に疑わしいイベント
- その他の疑わしいイベント
「非常に疑わしいイベント」から始めましょう。
「その他の疑わしいイベント」を条件としたフィルターはこちらです。
新たに作成したこれらのフィルターに合致した際に、
- どんなアクションを発動させるか、ご用途に応じ選択して設定して下さい。
- テキストファイルに書き込む
- 管理者にメールで知らせる
- 別のSyslogサーバに転送する
弊社ではWindowsイベントをSyslogに変換して送信する
「EventReporter」を提供、販売しております。
主な特長としては、
- 日本語インターフェイス
- 日本語ログを正常に処理
- SyslogサーバーWinSyslogと併用し、共通のインターフェイスで操作
- フィルタにより受信時アクションをカスタマイズ
などです。
評価版のダウンロード、マニュアル等をご用意しておりますので、
EventReporterをこの機会に是非お試しください。
