イベントログ監査の重要性
ネットワーク内のWindowsサーバーから出力されるイベントログを収集し解析することは、ネットワークの異常やサイバー攻撃などを早期に検知するのにとても有効性の高い手段となります。
現在、多くの企業では、企業内ネットワークの構成として、Windowsサーバーやワークステーション(WindowsクライアントPC)から成り立っている環境がよくみられます。Windowsサーバーが出力するイベントログは機器内部で発生している様々なイベントをログとして出力することができます。
そのようなイベントログは、異常ログオン、保護されたファイルへのアクセス失敗、セキュリティログの改ざん など、様々な重要な情報を含んでおり、これらを監視することは企業ネットワークを内部不正や外部からサイバー攻撃の脅威から守ることに非常に役立ちます。
そこで、EventLog Analyzer(イベントログアナライザー)では、上記で説明したようなWindowsイベントログを自動で収集および保管し、また収集後のデータを用いた検索機能やアラート通知機能を搭載したログの管理ツールとなります。
自動で簡単!ホストのディスカバリー
EventLog Analyzerでは、Windowsホストの登録時に、ドメインに参加しているホストを自動的にディスカバリーして表示します。監視対象となるホストにチェックをいれて、追加を行うという簡単なステップにより、複数のホストを同時に登録することが可能です。
サポートしているWindowsイベントID
EventLog Analyzer が検出する Windows イベントIDの一例です。EventLog Analyzer を使用することで、これらのイベントログのアーカイブや保存などイベントログ管理が可能です。また、リアルタイムでイベントログレポートを生成することもできます。
| イベントID | VistaイベントID | イベントの種類 | 説明 |
|---|---|---|---|
| 512, 513, 514, 515, 516, 518, 519, 520 | 4608, 4609, 4610, 4611,4612, 4614, 4615, 4616 | システムイベント | システムの起動/停止、システムの時間の変更など、ローカルシステムプロセスに関するイベント |
| 517 | 4612 | 監査ログのクリア | すべての監査ログをクリアしたイベント |
| 528, 540 | 4624 | ユーザーログオンの成功 | すべてのユーザーログオン成功に関するイベント |
| 529, 530, 531, 532, 533, 534, 535, 536, 537, 539 | 4625 | ログオンの失敗 | すべてのユーザーログオン失敗に関するイベント |
| 538 | 4634 | ユーザーログオフの成功 | すべてのユーザーログオフに関するイベント |
| 560, 562, 563, 564, 565, 566, 567, 568 | 4656, 4658, 4659, 4660,4661, 4662, 4663, 4664 | オブジェクトアクセス | オブジェクト(ファイル、ディレクトリなど)へのアクセスとその種類(読取り、書込み、削除など)、アクションの成功/失敗に関するイベント |
| 612 | 4719 | 監査ポリシーの変更 | 監査ポリシー変更の実施に関するイベント |
| 624, 625, 626, 627, 628, 629, 630, 642, 644 | 4720, 4722, 4723, 4724,4725, 4726, 4738, 4740 | ユーザーアカウントの変更 | ユーザーアカウントの登録、削除、パスワードの更新などユーザーアカウントの更新に関するイベント |
| 631~641, 643, 645~666 | 4727~4737, 4739~4762 | ユーザーグループの変更 | グローバル/ローカルグループの登録/削除、グループメンバーの登録/削除などユーザーグループの更新に関するイベント |
| 672, 680 | 4768, 4776 | ユーザーアカウント検証の成功 | ドメインコントローラーで検証が成功したユーザーアカウントログオンに関するイベント |
| 675, 681 | 4771, 4777 | ユーザーアカウント検証の失敗 | ドメインコントローラーで検証が失敗したユーザーアカウントログオンに関するイベント |
| 682, 683 | 4778, 4779 | ホストセッションステータス | 再接続/切断したセッションに関するイベント |