Windowsイベントログ解析とは?

UNIX系のOSや各種ネットワーク機器とは異なり、WindowsではMicrosoftの独自規格であるWindows イベントログというログ形式が採用されています。Windowsイベントログには、Windows上の様々なユーザーの操作、アプリケーションの実行、各種エラー、セキュリティに関する情報など、Windows上で発生した様々なイベントが記録されています。

Windowsイベントログには2つの大きな特徴があります。ひとつは、ログフォーマットがバイナリ形式のため、テキストエディタ等でログの内容を確認することができず、Windowsに標準で用意されている「イベント ビューア」というアプリケーションが必要であることです。もうひとつは、Syslogのようにログメッセージを外部のシステムに能動的に送信する機能をもたない代わりに、外部からWMI(Windows Management Instrumentation)を経由してログメッセージを取得できる仕組みになっていることです。

(WMIは、Windows OSを管理することを目的にMicrosoftが開発した技術です。 WMIを活用することで、ログ以外にもWindowsシステムの状態を示す情報を取得することができます)

イベントログを効率よく収集するためには? 

個人レベルでWindowsを使用する上では、Windowsイベントログ管理のためのツールは、標準で用意されているイベント ビューアだけでも十分といえるでしょう。しかし、組織におけるWindowsイベントログ管理においては、組織内にあるWindowsマシンすべてのローカルに保存されているイベントログを集中管理する仕組みが必要になります。

多くの組織で導入されているActive Directoryでは、ドメイン管理者がそのドメイン配下にあるすべてのWindows端末のイベントログをリモートで管理することができますが、これにはいくつかの弱点があります。

  • ドメイン管理者は、WMIを介して対象のマシン上に保管されているイベントをネットワーク越しで直接参照しているため、対象のマシン上にログが残されていない場合や、対象のマシンがダウンしているとアクセスできない

  • 標準で用意されているイベントログ管理ツールには、最低限の機能しか用意されていない

  • Syslogなど、他種のログと同時管理ができない

組織におけるログ管理の現場では、ネットワーク上にあるすべてのコンピューター、ネットワーク機器、アプリケーションのログ情報を効果的に管理する手法が求められています。ログ管理においては、ログを一元管理するだけでなく、収集したログの可視性を高める機能や、必要なログ情報をすばやく見つけるための検索機能、さらにシステムの問題や問題の予兆を示唆するログメッセージをすばやく発見してシステム管理者へ通知する機能などが必要です。こうした機能は、不正アクセスなどセキュリティ脅威への対策としても近年重要視されています。

組織のイベントログ解析を効率化するツール

ManageEngineが提供する「EventLog Analyzer」は、Windowsイベントログだけでなく、Syslogなど他種のログにも対応し、様々なタイプのログを自動収集し、安全かつ効率的に保管し、高度な分析をサポートする機能を豊富に用意した統合ログ管理ソフトウェアです。

また、ログ管理対象の装置側で特別なソフトウェアをインストールする必要がありませんので、Eventlog Analyzerをサーバーにインストールするだけで簡単にログ管理を始めることができます。

EventLog Analyzerは、組織のネットワークに展開しているWindowsコンピューター、Syslogに対応した装置、アプリケーションなどから、ログを収集します。ログ自動圧縮機能を備えているため、ストレージの容量を節約しながら、イベントログを自動的に収集・保管することができます。また、セキュリティ上疑わしいログが発生した場合は、自動的にアラートを発信することで、重大なセキュリティ事故の未然予防に貢献することも可能となります。

EventLog Analyzerは、イベントログ管理業務をサポートする強い味方です。ご興味のある方は一度、詳しい資料をダウンロードして、イベントログ収集ツールで何ができるかを確認してみませんか?

イベントログの収集

イベントログ管理ツールとして重要な機能のひとつは、さまざまな機種やソフトウェアの種類が混在している環境においても、可能なすべてのソースからイベントログを収集する機能です。 EventLog Analyzerのイベントログ収集機能は、エージェントレスとエージェントベースの両方のログ収集方法をサポートする他のソリューションよりも優れています。

エージェントレスなイベントログの収集:この方法では、Windowsデバイスのネイティブ機能を使用してイベントログを収集し、追加のプログラム(エージェント)を必要としません。 EventLog Analyzerは、ネットワーク上のWindowsデバイスとWMI、DCOM、RPCなどの標準的なメカニズムを介して通信し、イベントログを収集します。

エージェントベースのイベントログ収集:ログ収集にシステムのネイティブ機能を使用することができない状況も想定し、そのような状況に対処するために、EventLog Analyzerにはイベントログ収集エージェントがバンドルされています。 このエージェントは、EventLog Analyzerのサーバーと通信してイベントログを配信するために、ログを記録する側の端末にインストールする必要があります。

イベントログのフィルター

ネットワーク上で生成されるイベントログのほとんどは、日常的なアクティビティをすべて記録しています。この管理において、大きく2つの課題があります:

  • 実際のセキュリティ情報を提供するイベントログを発見すること

  • 収集されたすべてのイベントログを保存するために必要なストレージスペースを確保すること

これらの課題にアプローチするために、EventLog Analyzerはイベントログ フィルタ機能を提供します。これは、収集されたログを自動的に整理して、セキュリティの観点から重要なログを見つけることが容易になるようにカスタマイズすることができます。 イベントログのソース、ユーザー、ログのコンポーネントなど、様々な基準によって異なるカスタマイズを施したフィルターを適用することが可能です。

イベントログのパーサー(解析機能)

収集されたイベントログを最大限に活用するためには、イベントログを解析する機能を備えたログ管理ツールを選択することが重要です。 EventLog Analyzerには、イベントログの正規化、解析、インデックス付けなどを実行可能なイベントログパーサーが組み込まれています。

たとえば、デバイス名とユーザー名を含むログを取得した場合、これらの情報はすべて記録されてはいるものの、ログ上でデバイスの名前とユーザーの名前の区別は明確ではありません。 EventLog Analyzerのイベントログパーサーはイベントログからこのような情報のカテゴリ別に内容を理解する支援をします。デバイス名とユーザー名などのさまざまな情報がそれぞれ独自のログとして表示され、適切なセクションにグループ化されます。

イベントログの分析と相関(コリレーション)

イベントログ管理ツールが効率的なセキュリティツールとしての機能を兼ね備えるためには、ログ分析機能の内容が重要です。 EventLog Analyzerは、ログパーサーによってイベントログ分析を迅速化します。 これは、EventLog Analyzerの相関エンジンによってさらに強化されています。

EventLog Analyzerの相関エンジンは、データベースからイベントログを自動的に取得して関連付けます。これによって、従来は人の手によって複数のログソースから情報を取得し、それらをフォーマットし、目視によって比較し、ログデータを手動で関連付けるという骨の折れるプロセスを節約することが可能です。 この迅速性と正確性は、ネットワークへの攻撃を表す可能性のある一連のイベントを検出するために役立ちます。

イベントログの検索とフォレンジック分析

組織においてネットワーク管理者は、情報漏えい・内部不正・ウィルス感染などのインシデントの全容を解明するためにフォレンジック分析(フォレンジック調査)を実施する場合があります。 フォレンジック分析の各過程において、管理者は必要な情報を見つけるために様々なログを検索する必要がありますが、たとえばWindowsデバイスで生成されるイベントログひとつをとって見てもそのログが示す情報量は膨大で、多種にわたる複数のログを手動で検索することはほとんど不可能になります。

EventLog Analyzerは、検索モジュールとして「Elasticsearch」を使用しており、より高速な全文検索を実現します。ワイルドカードとブール演算子を含む検索クエリをサポートしています。 グループ化および範囲検索を実行することもできます。 EventLog Analyzerを使用してイベントログを検索するには、論理クエリをフレーム化しておくだけで、ツールはそのクエリに一致するすべてのログを出力します。

イベントログのアーカイブ

収集されたイベントログを適切なサイクルでアーカイブおよび廃棄することは、イベントログ管理サイクルの管理において重要です。 また、ITシステムの多くにおいて、イベントログのアーカイブによって、組織のプロセスを精査可能としています。多くの組織では、ログが永久に削除される前に保存すべき日数を定義しています。

EventLog Analyzerを導入することにより、組織はイベントログのアーカイブを自動化できます。 収集されたイベントログがアーカイブに移動されるまでの日数をカスタマイズできます。 また、アーカイブされたイベントログが完全に削除されるまでの日数を設定することも可能です。 これらの値は、コンプライアンスの義務と、ビジネスが準拠する必要のある内部監査要件に基づいて決定できます。 EventLog Analyzerのイベントログアーカイブ機能は、企業がHIPAA、SOX、GLBA、PCI DSS、GDPRなどのすべての主要なIT指令に準拠するために役立ちます。