Part I – For beginners
Introduction
This tutorial is aimed to help you tighten your Windows security and proactive preventing performance degradation by identifying and monitoring critical Windows Events.This tutorial will be a single single tutorial.
What, Why, and How of Event Logs
イベントログは、システム上のすべての「出来事」を記録するローカルファイルで、アクセス、削除、ファイルまたはアプリケーションの追加、システムの日付変更、システムのシャットダウン、システム構成の変更などが含まれます。 イベントは、システム、セキュリティ、アプリケーション、ディレクトリサービス、DNSサーバー& DFSレプリケーションのカテゴリに分類されます。 Directory Service, DNS Server & DFS Replicationのログは、Active Directoryにのみ適用されます。 システムまたはデータのセキュリティに関連するイベントはセキュリティ イベントと呼ばれ、そのログ ファイルはセキュリティ ログと呼ばれます。
以下のセクションでは、Windows イベント ログの詳細とその監視を義務付けているものについて説明します:
- Event Log Categories
- Event Log Types
- イベントを理解する
- セキュリティ ログによってハッキングやデータ盗難がいかに防止できるか?
- 監査が必要なイベントと監査計画
- イベント ログを監視する必要性
- その他の役立つリンク
Event Log Categories
イベントログは、障害のあるコンポーネントに基づいていくつかのデフォルトのカテゴリに大別されます。 イベントが記録されるさまざまなコンポーネントには、システム、システム セキュリティ、システム上でホストされているアプリケーションなどがあります。 一部のアプリケーションは、デフォルトのアプリケーション カテゴリにイベントを記録する代わりに、カスタム カテゴリにイベントを記録します。
| イベント ログ タイプ | 説明 |
|---|---|
| アプリケーション ログ | アプリケーションによって記録されるすべてのイベント。 これらは、アプリケーションを開発する際に開発者が決定します。 例えば..: アプリケーションの起動時に発生したエラーは、アプリケーションログに記録されます。 |
| システムログ | オペレーティングシステムによって記録されるすべてのイベント。 例. 起動時にドライブの起動に失敗した場合、System Log |
| Security Log | システムのセキュリティについて重要なあらゆるイベントが記録されます。 例:有効または無効なログインとログオフ、あらゆるファイルの削除などは、このカテゴリに記録されます。 |
| ディレクトリ サービス ログ | は、ADのイベントを記録します。 このログはドメインコントローラでのみ利用可能です。 |
| DNS Server log | はDNSサーバと名前解決に関するイベントを記録します。 このログはDNSサーバーでのみ利用可能です |
| ファイルレプリケーションサービスログ | ドメインコントローラーのレプリケーションのイベントを記録しますこのログはドメインコントローラーでのみ利用可能です |
Types of Event Logs
各イベントエントリーはイベントの重大度を特定するためのタイプによって分類されます。 それらは、Information、Warning、Error、Success Audit (Security Log) および Failure Audit (Security Log) です。
| Description | |
|---|---|
| Information | アプリケーション、ドライバー、サービスなどのタスクが正常に動作することを示すイベントです。 たとえば、ネットワーク・ドライバーが正常にロードされると、情報イベントが記録されます。 |
| 警告 | 必ずしも重要ではありませんが、将来の問題の発生を示す可能性のあるイベントです。 たとえば、ディスク容量が不足し始めると、警告メッセージが記録されます。 |
| エラー | データの損失や機能の喪失など、重大な問題を示すイベントです。 たとえば、起動中にサービスのロードに失敗した場合、Errorイベントが記録されます。 |
| 監査成功(セキュリティログ) | 監査されたセキュリティイベントの正常終了を説明するイベントです。 たとえば、ユーザーがコンピュータにログオンすると、Success Auditイベントが記録されます。 |
| Failure監査(セキュリティログ) | 正常に完了しなかった監査済みセキュリティイベントを説明するイベントです。 たとえば、ユーザーがネットワークドライブにアクセスできない場合、Failure Auditが記録されることがあります。 |
イベントビューアでは、次のようにイベントログを一覧表示します:
イベントの理解
イベントビューアに、ヘッダー情報および説明とともにイベントが表示されます。
| Header | Description |
|---|---|
| Date | イベントの発生日 |
| Time | イベントの発生時間 |
| User | イベントが発生したときにコンピュータにログインしたユーザー |
| コンピュータ | イベントが発生したコンピュータ |
| イベントID | イベントタイプを識別するイベント番号です。 イベントの詳細を知るのに役立ちます。 |
| ソース | イベントを生成したソース。 アプリケーションまたはシステム コンポーネント |
| Type | イベントの種類 (Information, Warning, Error, Success Audit and Failure Audit) |
イベントをダブルクリックして詳細を表示します:
セキュリティ ログでハッキングとデータ盗難を防ぐにはどうすれば良いですか?
セキュリティは、今日すべてのビジネスが直面する最大の懸念事項です。 ハッキングやデータ盗難などの事件は絶えず増加しており、ビジネスのすべてのセグメントをリスクにさらし、管理者を赤目にさせています。 様々な産業界の研究により、ハッキングや盗難の大半は、不正な認証の試行が原因であることが明らかになっています。 つまり、オペレーティング システムがセキュリティの面で何を提供できるか、また、必要なセキュリティを備えたオペレーティング システムを実装するために何をしなければならないかを知ることが重要です。
監査が必要なイベントと監査計画
多くのセキュリティ条件ではイベントはデフォルトでは記録されないため、リソースはまだハッキングに晒されていることを意味します。セキュリティ イベントを監査し、ログに記録するには、監査ポリシーを設定する必要があります。監査が必要な重要なセキュリティ イベント:
- ユーザーのログオン/ログオフ
- コンピューターのログオン/ログオフ/再起動
- オブジェクト、ファイルおよびフォルダーへのアクセス
- システム時刻が変更された
- 監査ログが消去された
すべての監査ポリシーを設定する必要はありません。 そうすることで、行われたアクションごとにログが記録され、ログサイズが大きくなります。 ログはロールオーバーされ、設定されたロールオーバーのサイズに応じて、古いログは削除されます。 環境にとって本当に重要なポリシーを正しく設定することで、セキュリティが向上します。
重要なイベントの監査は、ドメインコントローラーに対してデフォルトで有効になっています。 その他のWindowsデバイスについては、「ローカルセキュリティの設定」で利用可能な監査ポリシーを構成してください。 利用可能な監査ポリシーは次のとおりです。
- アカウントログオンイベント
- アカウント管理
- ディレクトリサービスアクセス
- ログオンイベント
- オブジェクトアクセス
- ポリシー変更
- プロセス追跡
- システムイベント
特権使用
イベントログ監視の必要性
SOXなどのセキュリティコンプライアンスに準拠する必要性。 HIPAAなどの上場企業や医療業界では、不正なアクセスの試みと成功から保護するために、セキュリティ管理プロセスの導入が必要です。 ネットワーク上の情報を保護することは、何らかの基準に準拠しているかどうかにかかわらず、ビジネスにとって重要です。 Windowsのイベントログは、ログインの試行を追跡し、記録することができるソースの1つです。 すべての Windows デバイスを手動でチェックするのは面倒で不可能であり、定期的にイベント ログを自動監査および監視することが必要です。
Other Useful links
Enabling Security Audit in Windows
Advanced Security Audit Policy Step-by-Step Guide
Next : Part II