Windowsイベントログ監視とは?
Windowsイベント ログには、Windows上でユーザーのログインやログイン試行の失敗、プログラムの実行に関する情報、エラーなど、実に様々な情報が保存されています。
これらの情報は、不正アクセスや情報漏洩事件のようなセキュリティ・インシデントが発生した場合にも、外部からの攻撃なのか、それとも組織の内部からのアクセスであるのか等、問題解決のために必要となる様々な情報を含んでいます。しかしながら、多くの組織においてはログの集中管理や、集中管理しているログをセキュリティ対策のために有効活用できていないという実態があります。
集中管理するログデータの安全性確保、データの有効活用のための効果的な対策が求められます。そのためには、リアルタイムで問題や予兆を管理者が知ることのできる仕組みも必要です。たとえばWindowsイベントログのひとつであるセキュリティログを監視することにより、ネットワーク経由の異常なアクセスやアクセス許可のないデータへのアクセス試行を検知し、大事に至る前に追跡・対策することが可能となります。
また、WindowsイベントログはITシステム管理者にとって重要であるのにもかかわらず、これらの情報はそれぞれのコンピューターに保存されています。
Windowsイベントログ監視・監査を効果的に実現するためは、それぞれのコンピューターに分散保存されているイベントログを、ネットワークを介して自動収集し、一箇所に集中しておくことにより、情報の保全性や保安性を高め、さらに分析や検索を用意にします。
Windowsイベントログの収集・分析によって過去のイベントの検索性向上や可視化が可能となり、セキュリティ上の問題が起きた際や、障害が発生した際に、原因の速やかな特定を容易にします。
イベントログ監視によって内部からの脅威を軽減
Windowsでは、様々な操作に対するイベントログを出力するよう設定を行うことが可能です。これらのログを保管・監視することで、システム管理者が脅威からネットワークを保護し、攻撃の兆候をいち早く検知することができます。イベントログには、ログオン失敗・成功、ファイルへのアクセス試行、セキュリティログ消去などの重大な情報が含まれており、攻撃検知だけでなく、問題発生時の調査にも役立ちます。
Windowsイベントログはevtおよびevtx形式で生成され、Windows XP/Windows Server 2003の場合はevt形式、Windows Vista/Windows Server 2008以降はevtx形式が採用されています。異なるOSバージョンから出力されるログを一元的に管理することはシステム管理者にとって課題であり、ツールを使用しない場合、これは大変手間と時間のかかる業務となり得ます。
よくある監査時の課題「多岐にわたる監査レポートを効率よく管理したい」
IT担当者にとって、社内ネットワークに接続しているWindowsコンピューターのイベントログを収集・管理する取り組みは重要ですが、異なるOSや、多くのコンピューターのログを手動で収集するのは効率的な作業とは言えません。複数の拠点のイベントログを管理する場合はなおさらです。
そこで多くの企業では、イベントログ専用の管理ツールを導入することで、Windowsイベント監査ログを効率よく取得し、本来行うべき業務に注力しています。
Windowsイベントログ監視を簡単にはじめられるツール
ManageEngineが提供する統合ログ管理ツール「EventLog Analyzer」は、WindowsイベントログとSyslogの自動収集、保管、分析に長けたツールです。エージェントレスのため今すぐ簡単にはじめることができます。
無料で使えます[機能制限なし]
EventLog Analyzerは、社内ネットワークに接続するWindowsコンピューターのイベントログを収集し、一元管理を行います。直感的に使いやすい管理画面からは、ユーザー別にイベントの件数や、システム動作の傾向などを把握できます。さらに、PCI ・SOX ・ISO27001・GDPRなどの主要コンプライアンスにも対応する監査レポートの自動作成にも対応しています。
Windowsイベントログ監視機能
EventLog Analyzerは、Windowsイベントログ・Syslog・アプリケーションログなど、あらゆる形式のログを一元的に管理することが可能な統合ログ管理ツールです。組織内のWindowsサーバーやクライアントOS(Windows7、10など)が生成するイベントログデータを自動的に収集・分析・レポート化し、長期保管のためアーカイブ化まで行います。
EventLog Analyzerは、以下のWindows OSで生成されたイベントログの収集・解析に対応しています。
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019
- Windows 7
- Windows 8
- Windows 10
イベントログデータは、Windows端末からエージェントレスで収集され、EventLog Analyzerがインストールされた端末で一元的に管理・解析されます。また、定義した条件に一致した際には、メールによるアラート通知やスクリプトの実行が可能です。
EventLog AnalyzerのWindowsイベントログ監視では、以下の機能を提供します:
導入メリット
- 幅広いWindowsOSに対してエージェントレスでイベントログを収集し、解析・レポーティング・アーカイブする機能を備えています。
- 各種コンプライアンスに対応したレポートをワンクリックで生成します。
- ログオンの失敗やオブジェクトへのアクセス、監査ログの消去など、ネットワークセキュリティに関わるイベントを速やかに検知します。
- コリレーションエンジンにより、Windowsホストやその他のネットワーク機器から収集したログを相関的に分析し、攻撃パターンを検知・アラート生成します。
- シンプルな検索画面からログを細かく絞り込むことができ、見たい情報をすぐに確認できます。
無料で使えます[機能制限なし]
イベントログの収集と監視
イベントログ収集をする際、EventLog Analyzerでは、各端末にエージェントをインストールする必要がありません。エージェントレスでの収集技術を使用して、Windowsイベントログを収集することが可能です。
収集されたイベントログはダッシュボードから閲覧可能であり、エラーや警告メッセージ、その他イベントの生成数を確認できます。生成数をグラフで確認することにより、大量のWindowsログデータを体系的に把握することが可能であり、Windows内で発生した問題に関する、総合的かつ迅速な判断ができるようになります。
コンプライアンスに対応したイベントログ監視
信頼される企業経営にはコンプライアンスへの対応は不可欠であり、また、違反した場合は重大な罰則につながるため、法律で定められたコンプライアンスの監査ガイドラインを遵守することは、組織にとって優先すべき事項です。EventLog Analyzerには各種コンプライアンスに対応したレポートが豊富に用意されており、コンプライアンスへの準拠に貢献します。
また、新しいコンプライアンス向けにカスタムレポートを作成する機能を提供し、将来的にコンプライアンスを要求する新しい法律が制定された際も柔軟に対応することができます。
イベントログに対する細やかな検索
EventLog Analyzerは、強力な検索エンジンにより、Syslogやイベントログなど、形式の異なるログから横断的に検索を行うことができ、イベントログのフォレンジック調査を容易にします。システム管理者は、データからインシデントの発生源となるログを特定したり、インシデントが発生した日時や攻撃の発生源を確認することができます。
検索機能により、侵入者の追跡やフォレンジック分析を効率化し、EventLog Analyzerの検索機能を使用してログを絞り込むことで、特定のイベント種別――エラー・警告・失敗など――を含むイベントIDに基づく検索を容易にします。また、アーカイブされたWindowsログをインポートするこで、過去に生成されたイベントログを再度表示し、検索対象とすることが可能です。
Windowsサーバーとワークステーションのレポート生成
EventLog Analyzerは、Windowsサーバーとワークステーションから取得したイベントログに基づく複数の定義済みレポートを提供します。管理者は、確認したい情報をレポートから簡単に参照することができ、トラブルシューティングにかかる工数を軽減することができます。
また、EventLog AnalyzerではWindows端末が生成したイベントログデータを元に、基準を設定したカスタムレポートを生成することができます。基準として使用可能なのは、ログメッセージ、ユーザー、イベントID、およびイベントの種類/重要度です。
アラートによる即座な検知
EventLog Analyzerは、イベントログに関するアラートを生成し、特定の基準に一致するイベントが発生したときに管理者に通知することが可能です。アラート機能では、テンプレートとして用意されているアラート条件から設定することや、特定の種類のログ・イベントID・ログメッセージなどに応じたカスタムアラートを設定することができます。
その他の機能
EventLog AnalyzerはLinux/Unixサーバーからログデータを収集・解析し、疑わしい動きや異常な動作をレポートとして出力します。
IIS・Apache Webサーバー・Oracle・MSSQLデータベース・DHCP Windows/Linuxやその他アプリケーションソースのログを解析します。