Windowsイベントログレポートの設定

EventLog Analyzerには、1,000以上の定義済みレポートが付属しており、統合されたセキュリティイベントの表示、セキュリティ監査の実施、各種コンプライアンス要件への対応に役立ちます。これらのレポートは、ネットワーク上のセキュリティイベントを可視化し、様々なセキュリティおよびコンプライアンスの要件を満たすのに役立ちます。

事前に作成されたレポートを生成するために、Windowsデバイスで以下の設定を行います。

Setting up Windows report generation

EventLog Analyzerでは、監視対象のデバイスが追加され、イベントソースが設定されると、ほとんどのWindowsレポートが自動的に生成されます。デバイスを追加する方法については、こちらのページを参照してください。イベントソースの設定方法については、こちらのページをご覧ください。

以下の表に示すレポートの中には、Windowsレジストリに手動でキーを作成する必要があるものがあります。これらのレポートの作成を設定するには、以下の手順に従ってください。

イベントビューアで、イベントソースを右クリック > プロパティ > ログを有効にするにチェックを入れ、イベントログが有効になっていることを確認してください。
レジストリエディターを開き、HKEY_LOCAL_MACHINE > SYSTEM > CurrentControlSet > Service > EventLogに移動します。Eventlog配下にて、以下の表の新しいキーの欄に記載されているキーを作成します。
ローカルセキュリティポリシーエディターを開き、コンピューターの構成 > Windowsの設定 > セキュリティの設定に移動します。レポートの生成を有効にするための手順は、以下の表の監査ポリシーの欄に記載されています。

レポート	新しいキー	監査ポリシー	その他要件
アプリケーションホワイトリストレポート	Microsoft-Windows-AppLocker/EXE and DLL Microsoft-Windows-AppLocker/MSI and Script	アプリケーション制御ポリシー → AppLocker を有効化	[services.msc]より、"Application Identity"を開始します。. 2つの新しいキーを作成すると、イベントビューアにて、イベントソースMicrosoft-Windows-AppLocker/EXE and DLLが作成されます。イベントソースを右クリックし、プロパティをクリックして、ログのパスをコピーします。レジストリエディターにて、Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-AppLocker/EXE and DLLにアクセス後、右クリック → 新規 → 文字列値をクリックします。[値の名前]として"File"を入力します。[値のデータ]に、前の手順でコピーしたログのパスをペーストします。ローカルセキュリティポリシーエディターにて、アプリケーション → AppLocker 配下にある「実行可能ファイルの規則」「Windowsインストーラーの規則」「スクリプトの規則」を設定します。マシンを再起動します。
Windowsファイアウォール監査レポート	Microsoft-Windows-Windows Firewall With Advanced Security/Firewall	監査ポリシーの詳細な構成 → システム監査ポリシー → ポリシーの変更 → MPSSVCルールレベルポリシーの変更の監査を有効化
取り外し可能（リムーバブル）ディスク監査	Microsoft-Windows-DriverFrameworks-UserMode/Operational	監査ポリシーの詳細な構成 → システム監査ポリシー → オブジェクトアクセス → ハンドル操作の監査とリムーバブル記憶域の監査を有効化	監査対象のリムーバブルディスクにSACLを設定します。対象フォルダーを右クリック → プロパティ → セキュリティタブ → 詳細設定 → 監査に移動して設定します。
レジストリの変更		監査ポリシーの詳細な構成 → システム監査ポリシー → オブジェクトアクセス → レジストリの監査を有効化	監査対象のレジストリキーにSACLを設定します。対象レジストリイーを右クリック → アクセス許可 → 詳細設定 → 監査に移動して設定します。
Windowsバックアップおよび復元	Microsoft-Windows-Backup	変更不要
Windowsのシステムイベント	Microsoft-Windows-GroupPolicy/Operational Microsoft-Windows-NetworkProfile/Operational Microsoft-Windows-WindowsUpdateClient/Operational Microsoft-Windows-Winlogon/Operational Microsoft-Windows-WLAN-AutoConfig/Operational Microsoft-Windows-TerminalServices-Gateway/Operational Microsoft-Windows-TerminalServices-RDPClient/Operational Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational Microsoft-Windows-Wired-AutoConfig/Operational	変更不要
Hyper-V サーバーイベント Hyper-V VM管理レポート	Microsoft-Windows-Hyper-V-Worker-Admin Microsoft-Windows-Hyper-V-VMMS-Storage Microsoft-Windows-Hyper-V-VMMS-Networking Microsoft-Windows-Hyper-V-VMMS-Admin Microsoft-Windows-Hyper-V-Hypervisor-Operational	変更不要
プログラムインベントリレポート	Microsoft-Windows-Application-Experience/Program-Inventory	変更不要
IISレポート	Microsoft-IIS-Configuration/Operational	変更不要	本設定によって生成されるIISレポートは、[レポート]タブ > [アプリケーション] > IIS W3C ウェブサーバー > IIS管理構成レポートにて確認できます。
プリンター	Microsoft-Windows-PrintService/Operational, Microsoft-Windows-PrintService/Admin	変更不要
ターミナルサーバー（端末）	Microsoft-Windows-TerminalServices-Gateway/Operational	変更不要

上記設定を行うことで、EventLog Analyzerは表に記載されているレポートの生成を開始します。