EventLog Analyzer

EventLog Analyzerは、WindowsイベントログやSyslogを管理する、Webベースのログ管理ソフトウェアです。Windows、Unix、Linuxホストやネットワーク機器からのログ収集、保管、解析、レポート機能を備え、リアルタイムのアラート生成により、システム障害時の原因究明を支援します。 Visit:

「MS14-068」の脆弱性とは?JPCERT/CCが推奨するログの活用方法と併せてご紹介

この記事の所要時間: 約 4分

 

本投稿では、「MS14-068」の脆弱性とはどのようなものなのかを解説後、MS14-068の脆弱性を悪用した攻撃検知のため、JPCERT/CCで監視が推奨されているイベントログをご紹介します。また、最後には、そのイベントログを見逃さないためのツールとして、弊社製品のEventLog Analyzerを使用した場合の監視の流れについて、簡単にご案内させていただきます。

1. 「MS14-068」とはどのような脆弱性なのか

 

2014年11月、Microsoft WindowsのKerberos認証にて、リモートから特権のないドメインアカウントに対して権限昇格を行うことが可能な脆弱性(CVE-2014-6324)が発見され、サポートされているすべてのエディションに対して、脆弱性の深刻度が4段階中最も高い、「緊急」と評価されました。これは、Kerberos認証のチケット認証に関する脆弱性を突いたものであり、署名に細工をすることでドメインの特権ユーザーへ昇格し、本来はアクセスできないリソースにもアクセスできてしまうものとなります。

「MS14-068」の脆弱性を悪用した攻撃では、以下のような流れが考えられます。

1.(攻撃者) ドメインに所属するクライアントへ侵入
2.(ドメインユーザー) ドメインにアクセスするためKerberosチケットをリクエスト
3.(ドメインユーザー) ドメインコントローラーからチケットを取得する
4.(攻撃者) ドメインユーザーが認証に使用したチケット情報を盗む
5.(攻撃者) 攻撃コードを含むスクリプトを実行して、Kerberosチケットに対して特権を付与する細工を実施
6.(攻撃者) チケットの有効期限を書き換える
※チケットの有効期限は仕様上10時間となっていますが、「100年間有効」というように期限を書き換えることにより、リソースへ半永久的にアクセス可能となったチケットのことを、「Golden Ticket」といいます。
7.(攻撃者) 細工されたチケットを使ってリソースに不正アクセス

この攻撃の恐ろしいところは、一度チケットの細工に成功した場合、通常のKerberos認証と同様の流れとなるため、不審な痕跡が残らないという点、また、チケットの有効期限を書き換えることで、なりすましたアカウントのパスワードが変更された後やMS14-068のセキュリテ更新プログラムを適用後も、継続して使用できてしまう点が挙げられます。

そのため、大切なのは、出来るだけ早い段階でこの攻撃を察知することとなります。1. の段階で攻撃を検知するためには、ドメインに対する連続したログオン失敗履歴や、深夜の時間帯など、通常ログオンが発生しない時間帯でのログオンの監査などが有効です。しかし、仮に何らかの方法でドメインに侵入されてしまった場合、この攻撃に気が付くことのできる最後の痕跡となるのが、4. の権限昇格に対するイベントログです。

JPCERT/CCでは、MS14-068の脆弱性を悪用した攻撃の調査のため、下記条件でのイベントログの監視を推奨しています。

※JPCERT/CC 「ログを活用したActive Directoryに対する攻撃の検知と対策」より引用

EventLog Analyzer 1 min read

9/29締切!サイバーセキュリティ対策促進助成金:知りたいポイントまとめ

この記事の所要時間: 約 3分

2017年7月末、東京都および東京都中小企業振興公社は、都内の中小企業サイバーセキュリティ対策を行う際の支援の一環として、必要な設備等の導入経費の一部を助成する旨を発表しました。

報道発表:サイバーセキュリティ対策促進助成金

当助成金制度は、本日(2017年9月1日)より申請の受付が開始されました。受付締切は9月29日に設定されており、スケジュールとしてはタイトです。

弊社の確認では、助成金の財源は東京都で、このような実施は今年度(2018年3月末まで)では今回限りとのこと。また、来年度以降については、検討予定だが未定だそうです。セキュリティ対策を実施したくとも予算面に限りがある企業にとっては大きなチャンスですが、一方で、申請期限や財源枠について考えると狭き門でもあります。ご検討中の方は、ぜひ迅速な申請をお勧めいたします。

以下で、助成金を申請するにあたって知っておきたいポイントをまとめます。

【助成対象「中小企業」とは?】

助成金の対象となっている「中小企業」とは、中小企業基本法(昭和38年法律第154号)第2条に規定する中小企業者のことで、業種によって定義が異なります。これについては、下記をご参照ください。


・製造業その他:資本金の額又は出資の総額が3億円以下の会社、常時使用する従業員の数が300人以下の会社及び個人

・卸売業:資本金の額又は出資の総額が1億円以下の会社、常時使用する従業員の数が100人以下の会社及び個人

・小売業:資本金の額又は出資の総額が5千万円以下の会社、常時使用する従業員の数が50人以下の会社及び個人

・サービス業:資本金の額又は出資の総額が5千万円以下の会社、常時使用する従業員の数が100人以下の会社及び個人


ちなみに、大企業が株主となっているような以下のケースは含まれませんので、ご留意ください。

(1)発行済株式総数又は出資価額の総額2分の1以上を同一の大企業が所有または出資している

(2) 発行済株式総数又は出資価額の総額3分の2以上を大企業が所有または出資している

(3) 大企業の役員又は職員を兼ねている者が、役員総数の2分の1以上を占有している

また、東京都内に登記をしていることも重要な条件です。本店だけでなく、登記簿上に支店が含まれている場合も該当するようです。なお、東京都内で開業届または青色申告をしている個人事業主も含まれます。

【対象製品・サービスは?】

助成金の対象となる製品やサービスの情報は以下の通りです。この情報は様々なWebページでも出回っています。

(1) UTM
(2) ファイアウォール
(3) VPN…

ADAudit Plus , ADManager Plus , Desktop Central , EventLog Analyzer , Firewall Analyzer , Password Manager Pro , セキュリティ 1 min read

SIEMが高い!でもログは管理してセキュリティレベルを向上させたい。

この記事の所要時間: 約 2分


【SIEM”以外”の選択肢!ManageEngineが提案するログ管理ソリューション】

近年では、外部攻撃への備えを意識して、SIEM(Security Information and Event Management)導入によるログ解析の実施検討を進める企業様も増えています。一方で、SIEMの高額さやメンテナンスの大変さに圧倒され、早々に導入を諦めるケースも珍しくないようです。

「SIEMを使いこなしている」or「ログ管理をほとんどしていない」

上記のような2極化が進まないよう、ManageEngineでは「SIEM”以外”の選択肢」としてのソリューションをご提案中です。

SIEM”以外”の選択肢!ログの「長期保管」と「可視化」をリーズナブルに

具体的には、「SIEMを使いこなしている」状態と「ログ管理をほとんどしていない」状態の間に

レベル1:ログの長期保管
レベル2:ログの可視化

という中間レベルを設け、それぞれに対応するManageEngine製品をご提案しています。

ログの長期保管と可視化(SIEM以外の選択肢)

なお、「レベル2」への対応製品としては、Firewall/UTM/プロキシのログ監査に特化したツール「Firewall Analyzer」とActive Directoryのログ監査に特化したツール「ADAudit Plus」をご提供しています。

Firewall、プロキシ、Active Directoryについては、攻撃の兆候が表れやすいと言われています。ツールを活用してこれらログの可視性を高めれば、高度な専門知識がなくとも、必要最小限のログ検知が可能となるため、「企業のセキュリティレベル底上げ」「現場の負荷軽減」双方に寄与します。

なお、製品内からレポートを見る作業はとても簡単です。参考として、ADAudit Plusの「ログオン監査」レポートについて収録した、以下の動画をご参照ください。

 

【標的型攻撃対策におけるログ保管の種類と推奨期間】

なお、標的型攻撃対策において管理が推奨されているログの種類と保管期間については、JPCERT/CCが公開している資料(※)にまとめられています。

以下は、標的型攻撃対策において取得が推奨されているログとその保管期間をまとめた表です。対応するManageEngine製品も掲載しています。

DNS/プロキシ/メール/その他サーバー(Active Directory等)/Firewall/ホストログ:それぞれのログ保管推奨期間

※「ログを活用した高度サイバー攻撃の早期発見と分析」を参照の上、編集・加筆

また、Active Directoryについては、2017年3月に、同じくJPCERT/CCから「ログを活用したActive Directoryに対する攻撃の検知と対策

ADAudit Plus , EventLog Analyzer , Firewall Analyzer , セキュリティ 1 min read

2018年3月末の対応期限迫る! PCI DSS対応ソリューション

この記事の所要時間: 約 1分


2017年3月8日、経済産業省から「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画2017(2016年版の改定)」が新たに策定されました。

実行計画の中で、EC加盟店は2018年3月末までに以下のいずれかの対応を実施することが求められています。

・クレジットカード情報の非保持化
・PCI DSS準拠(クレジットカード情報を保持する場合)
※カード会社およびPSPについては一律でPCI DSSの準拠が必要。

実行計画が公開されたのは2016年2月ですので、既に対応を完了しているケースも多々あるかと思いますが、一方で予算の確保や社内の調整に時間がかかり、駆け込みの対応を進めている企業様もいらっしゃるようです。

弊社が提供するIT運用管理ソフト「ManageEngine」では、PCI DSS準拠に活用できる7種類の製品情報をまとめてご紹介しています。PCI DSSの全要件と、それらに対応する製品機能をまとめた対応表も公開中ですので、ぜひご参照ください。

>>ManageEngineのPCI DSS対応ソリューション

なお、クレジットカード情報を非保持化する場合でも、「きちんと情報が非保持化されているか」の確認や、継続的に情報を保護するための「従業員教育」「ウイルス対策」「デバイス管理」等、種々のセキュリティ対策が求められます。

ManageEngineが提供するセキュリティソリューションについては、下記のコンテンツもご参照ください。

標的型攻撃の内部対策ソリューション
SIEM”以外”の選択肢!ログの「長期保管」と「可視化」をリーズナブルに(統合ログ管理にも!)
Active Directoryのセキュリティ対策ソリューション


【セキュリティ関連セミナー】

Active Directoryセキュリティセミナー:ADの攻撃検知対策と対応製品を紹介
特権ID管理セミナー:ツール導入に必要な「作業項目」「工数」「費用感」を徹底解説! 

 

 

 …

ADAudit Plus , Desktop Central , DeviceExpert , EventLog Analyzer , Firewall Analyzer , Password Manager Pro , ServiceDesk Plus , セキュリティ , 一般 1 min read

Pass the Hash攻撃とは?-Active Directory環境に対する攻撃を検知-

この記事の所要時間: 約 3分

Active Directory環境下のコンピューターが、ドメイン認証によりログオンを行う場合、通常はドメインコントローラーと通信を行い認証する必要があります。しかし、例えば外出時など、ドメインコントローラーと通信ができない場合でも、ドメインアカウントでPCへログオンできるように、実はハッシュ化されたパスワード情報が、コンピューター内にキャッシュされています。

過去にそのコンピューターに対して、ソフトウェアのインストールやメンテナンスなどの様々な理由により、高権限を持つドメインのアカウントによって一度でもログオンを行ったことがある場合は、マルウェアやハッキングなどの不正アクセスにより、高権限のパスワード情報が簡単に盗まれてしまう可能性があります。 ここで、以下のような疑問を持つ方もいるかもしれません。

「でも、パスワードがハッシュ化されているのならば、仮に盗まれたとしても問題ないのでは?」

しかし、平文の状態のパスワードを使用しなくても、ハッシュ情報を使用してログオンができてしまう手法があります。その手法を利用した攻撃こそが、「Pass the Hash攻撃」です。​

1.Pass the Hash攻撃とは

Pass the Hash攻撃とは、認証時に使用されるパスワードのハッシュ情報を不正に取得し、そのハッシュ情報を使用して認証を行う、なりすまし攻撃のことを言います。では、Pass the Hash攻撃はどうやって行われるのでしょうか。Pass the Hash攻撃に使用されるツールの一つに、「psexec」が挙げられます。「psexec」はMicrosoftが提供するリモート実行ツールで、本来は管理者が運用管理を行う際、プログラムの遠隔操作を行うために提供されました。しかし、現在は攻撃者が遠隔操作を行う際に使用されるケースが多く報告されており、Pass the Hash攻撃にも使用されます。

そこで、以下では「psexec」を使用してPass the Hash攻撃が行われた場合に、いち早く検知をするため、疑うべき2つの兆候をご紹介したいと思います。​

2.psexecの痕跡

2-1.認証に使用されるプロトコル

「psexec」を使用してリモート接続を行った場合、イベントビューアー上に以下の内容のログが生成されます。

イベントID:4624
ログオンタイプ:3
パッケージ名:NTLMv2

イベントID4624・ログオンタイプ 3というのは、通常のログオン成功イベントの際に生成されるものですが、パッケージ名としてはKerberosではなく「NTLMv2」が使用されています。通常、Active Directoryのドメイン認証には、Kerberosプロトコルが使用されるため、ドメインコントローラーのイベントログに、「NTLMv2」が使用されたログオンイベントが存在していた場合、psexecによりログオンが行われた可能性があるのです。(※Kerberos認証についての詳細はこちらの記事をご参照ください。)

なお、ご留意いただきたい点として、ドメイン管理下の環境にて「NTLMv2」が使用されたからと言って、必ずしもpsexecが使用されたというわけではありません。例えばファイルサーバーにアクセスする際に、IPアドレスで指定を行った場合なども、「NTLMv2」が使用されます。そのため、当該イベントログが生成されていた場合は、あくまで可能性を疑う程度にとどめて頂ければと思います。

2-2.psexec実行時に生成されるイベントログ

2-1.でご紹介したイベントログに加え、psexecが使用された際には、システムログのイベントID7045に、以下のメッセージ内容のログが生成されます。…

EventLog Analyzer 1 min read

EventLog Analyzerの検索機能

この記事の所要時間: 約 2分

たとえ小規模のネットワーク環境であっても、日々膨大なログデータが出力されます。そのログの中には重要性の低いログが大量に出力されていた場合、ネットワークセキュリティにおいてクリティカルな情報を持つ、重要度の高いログを見過ごしてしまうかもしれません。
そのようなクリティカルなログを見過ごさないために、ログデータから効率的に検索することができるメカニズムが必要になります。

特定条件でログを検索するには、例えば以下のクエリを実行する方法があります:
USERNAME=”John” AND EVENTID=”4672” AND SEVERITY=”success”

しかしながら細かく条件を指定すればするほど検索クエリは複雑となり、毎回このようにクエリを実行して検索するというのは非効率的といえます。さらに、効率的にログを見るためには、条件に一致するフィールドを含むログ一覧を一つの画面で見られることが大切になります。例えば、すべての管理対象ホストに対して特定のユーザーがアクセスした履歴を横断的に確認すること、などです。

EventLog Analyzerには、上記のようにクエリを実行した検索はもちろん、複雑な検索クエリを「簡単に」そして「直感的に」行うことができるオプションを用意しています。

まず検索条件を絞る方法として、以下のようにログタイプを選択します。

ws001206

図1 ログタイプの選択

図1の状態で検索を行った場合、右上で指定した期間内に発生したすべてのWindowsイベントログデータが列挙されます。

%e5%9b%b32

図2 Windowsイベントログを表示

さらに特定のマシンに対して特定のユーザーから行われたログオン記録を追跡する場合、フィールド”ユーザ名”を選択することで、ログイン数の上位(あるいは下位)ユーザーの一覧が表示されます。

username

図3 ログオン数の上位・下位ユーザー一覧

ユーザー名を選択後、次はフィールド”タイプ”を選択することで、対象ユーザーにより生成されたログをセキュリティ、アプリケーションやPowerShellログというように、タイプごとに表示することが可能です。

type2

図4 ログタイプ一覧

次にフィールド”ホスト”を選択することで、アクセスのあった上位・下位ホストの一覧を表示することができます。

host1

図5 アクセスのあった上位・下位ホスト一覧

最後にフィールド”イベントID”を選択することで、選択したユーザーと選択したホストにより生成されたログのイベントIDの一覧が表示されます。

eventid

図6 条件に一致するイベント番号一覧

 

このように、本来は複雑なクエリを使用して検索を行わなければいけない条件も、EventLog Analyzerではクリックを行うだけの簡単なステップで、ログの絞り込みを行うことができます!さらに検索結果はレポートとして保存し、定期的に出力されるようにスケジュール設定を行ったり、あるいはアラート対象として保存することも可能です。

 …

EventLog Analyzer 1 min read

【なんか遅い!】イベントビューワーの表示が遅いというか重い

この記事の所要時間: 約 2分

システムのメンテナンスを行っていると何かイベントが発生していないか確認する機会が頻繁に発生しますが、仮想環境などでCPUやディスク速度などのリソースが十分でない場合は、イベントビューワーを見ようとすると、重くて中々思うように確認することができない、カスタムビューを作って見ようとすると、さらに待ち時間が長くなってしまう なんてことはシステム管理者にはよくある話しです。
そんな待ち時間がシステム管理者にとって、トラブルシューティングする気力を削がれたり、集中力が切れてしまって思うようなパフォーマンスが出せないなんてことはないでしょうか。SS 2016-10-07 14.51.37

イベントビューワーの表示速度を向上するにはどうしたらいいか考えてみました。

  1. 保存するログの量を減らす
    元々イベントビューワーはEVTX形式というバイナリ形式で保管していますが、バイナリからテキストへ変換して表示する量を減らしてしまえば、動作が軽くなりログを見ることが楽になりますが、過去に遡れる量がぐんと減るためログを見る頻度が増えてしまう弊害もあります。
  2. 細かく分割して保存しておく
    細かく分割して保存しておくという方法もあります。これであればログ量も大量に保存しておくことができ参照する速度もさほど気にならないレベルにすることができます。 ただ、調査対象ログが時間を跨いだりした場合、ファイルを切り替えたり戻したりといった作業自体が億劫になりそうな気がします。
  3. サーバーをスペックアップさせる
    イベントビューワーの表示速度が遅い場合は、ディスクIOの改善、CPUのクロックアップ、Swapしないようにメモリ増強することで改善されますが、ログを見るための目的でスペックアップというのは、なんか方向性が違う気もします。。。

他にも改善案はあると思うのですが、パッと思いついたところは上に書いた3点でした。イベントビューワーの仕組みが変わらないことには、この問題は続くかもしれません。
ということで、ここからは宣伝になりますが、イベントログを外部に保管し参照することができるEventLog Analyzerを使うことでログの表示、検索、アラート設定を行なうことができるようになります。 いくつか画面をご紹介します。
まずは、ダッシュボード画面の紹介です。
ダッシュボード画面では、重要度やファシリティ、イベントなどの管理対象ログの傾向値を見ることが可能です。
SS 2016-10-07 12.53.17

図:ダッシュボード画面

続いて、管理対象の一覧です。
※Windowsに加えてLinuxやネットワーク機器のログも一緒に管理することが可能です。
SS 2016-10-07 13.53.46

図:管理対象一覧画面

ログメッセージを確認するホストを選択すると以下のような画面が表示されます。この対象サーバーはActive Directoryのサーバーになっていますので、関連したログが確認できます。SS 2016-10-07 12.54.13

図:特定ホストのみの表示画面

上の画面内「Microsoft Windows Security Auditing」の失敗件数をクリックするとメッセージ一覧が表示されます。イベントIDやメッセージなどにより絞り込むことや、期間指定での調査も可能です。
SS 2016-10-07 12.54.59

図:詳細メッセージ表示画面

EventLog Analyzerでログを確認する場合は、サーバーへのログオンやイベントビューワーを使うことなく、イベントログを参照することができ、特定のイベントIDやメッセージを検索することが可能となります。 また、取得したログは、HDD容量にも依存しますが、長期間に渡りログを保存することも可能です。

「イベントビューワーの表示速度を改善する」ための直接的な解決策ではありませんでしたが、別の方法によりログ解析速度の改善を行なうことも可能です。
もし、ご興味がありましたら、以下のリンクより30日間無料で評価できる評価版をダウンロードできますので、是非お試しください!

評価版ダウンロードURL:…

EventLog Analyzer 1 min read

リアルタイムイベントコーリレーション機能

この記事の所要時間: 約 2分

EventLog Analyzerのコーリレーション機能を使用したセキュリティ攻撃への対策

リアルタイムコーリレーション機能はあらゆる脅威に対応するための機能となっています。

標的型攻撃による被害は年々増加しており、ハッカーは企業のネットワークに侵入することで重要なデータを盗み出します。そのような攻撃から情報を守るためには、セキュリティ調査者はネットワーク上で発生している疑わしいイベントや連続したイベントが潜在的な脅威かどうかを判断し、早い段階で攻撃者の侵入に気が付く必要があります。

しかしその調査を全て手作業で行う場合、ネットワーク上の様々なログソースを調べ攻撃パターンと照合する作業は、セキュリティ調査者にとって非常に困難な仕事となり得ます。

簡単にネットワークへの侵入の予兆に気が付くためには、自動的かつ効果的に作用することの出来るコーリレーションエンジンの使用が有効です。エンジンにはネットワーク基盤の上で発生するイベントの相関関係を分析し、あらゆるセキュリティインシデントを把握することが求められます。

EventLog Analyzerのコーリレーション機能を使用した脅威の探知

EventLog Analyzerのコーリレーション機能は、ネットワーク上の幅広いログソースから情報を収集し、セキュリティ上の問題を包括的に監視することが可能です。またユーザーアクセス、ユーザーログオン、ファイル整合性、ファイル作成、グループポリシー、意図しないソフトウェアのインストールをはじめとする定義済みコーリレーションルールが70以上用意されており、異常が発生した際には直ちにメールやSMSにより通知することが可能なため、セキュリティ専門家は異常をすぐに識別・探知することができます。

ela

コーリレーションルールへの攻撃パターンの追加

EventLog Analyzerではコーリレーションルール、さらに各コーリレーションルールに対するしきい値を定義することで、”通常”のネットワークの動きか否かを区別することが可能です。

ルールの作成の際には、ネットワーク基盤で発生する可能性のある攻撃パターンをドラッグ&ドロップで簡単に指定できます。そして一度ルールの設定が行われると、コーリレーションエンジンはそのルールを元にネットワーク上のログを収集し、分析・相関し、攻撃につながる可能性のある動きを察知した場合は、直ちにメールかSMSによる通知を行います。

 

コーリレーション

 

EventLog Analyzerのコーリレーション機能が優れている点

  • コーリレーション機能を使用することで、毎日何万と収集されるログの監視をより効率的に行うことが出来ます。
  • 環境ごとに発生し得るアラートパターンを、定義済みルールからドラッグ&ドロップするだけで簡単に作成可能なため、即座にセキュリティの脅威に気が付くことが出来ます。
  • 柔軟性があります。個々のルールに対してしきい値を設定することで、長い時間をかけゆっくりと行われる攻撃なども包括して監視でき、また誤検知を減らすが出来ます。
  • イベント発生時にスクリプトを自動的に起動するように設定することが可能です。

使用ケースの例

パスワード攻撃とアプリケーションレイヤ攻撃では多くの場合、ハッカーは入手したユーザーアカウントの情報を使用してシステムに入り、そしてバックドアアカウントとしてセキュリティ情報に対してアクセス可能な特権ユーザーアカウントを作成します。

図50

EventLog Analyzerのコーリレーションルール機能を使用することで、このような攻撃パターンを定義済みルールから簡単に選択することが可能です。

 

以上がEventLog Analyzerのコーリレーション機能の説明になります。…

EventLog Analyzer 1 min read

EventLog Analyzerで取得したログをファイルにアーカイブする

この記事の所要時間: 約 1分

本ブログでは、Windowsイベントログ・Syslog対応ログ管理ソフトEventLog Analyzerでのアーカイブ設定について紹介します。

EventLog Analyzerには、機器から収集したログ情報をファイルにアーカイブして保管する機能があります。非圧縮ファイルへのアーカイブ、圧縮ファイル(zip)へのアーカイブに対応しています。

画面でのアーカイブの設定方法は次のとおりです。

1. [設定]メニューに移動
2. [アーカイブファイル]をクリック
ela_archive1

3. [設定]をクリック
ela_archive2

4. アーカイブ設定の画面が表示されます
ela_archive3

「ファイル作成間隔」で指定した時間ごとに非圧縮ファイルへアーカイブされ、「Zipファイル作成間隔」で設定した時間ごとに圧縮ファイル(zip)でアーカイブされます。データの暗号化、タイムスタンプの有無、ログ保持期間、保存場所を設定可能です。

5. 設定して保存

アーカイブ後、アーカイブ済みファイルを次のように利用していただけます。
・アーカイブ済みファイルを製品にインポートしてログを確認
・アーカイブ済みファイルの検索

アーカイブの詳細をさらに知りたい方は次のページをご参照ください。
https://www.manageengine.jp/products/EventLog_Analyzer/eventlog-archiving.html
https://www.manageengine.jp/products/EventLog_Analyzer/help/EventLogAnalyzer_UserGuide/configurations/archive-logs.html

少しでもご興味を持っていただけましたら、
「30日間の無料トライアル(評価版)」を是非お試しください。
評価期間中は、技術サポートもご利用可能です。

EventLog Analyzerのダウンロードページ
https://www.manageengine.jp/products/EventLog_Analyzer/download.html

EventLog Analyzer 1 min read

EventLog Analyzerでカスタムアラートを作成する

この記事の所要時間: 約 0分

本ブログでは、EventLog Analyzerでカスタムアラートを作成する際の2つのオプションを紹介します。

1つ目のオプションは、アドバンストオプションです。 複数の条件を指定することができ、And/Or条件、入れ子にしたりと複雑な条件を作成することができます。

SS 2015-11-13 10.55.48

2つ目のオプションは、基本オプションになりますが、シンプルに設定することができ、Windowsであれば特定のイベントIDを条件にずらっと記載することができます。
SS 2015-11-13 10.55.55

もし、少しでもご興味を持っていただけましたら、「30日間の無料トライアル(評価版)」でも是非お試しください。評価期間中は、技術サポートもご利用可能です。

EventLog Analyzerのダウンロードページ
https://www.manageengine.jp/products/EventLog_Analyzer/download.html

EventLog Analyzer 1 min read