Reading Time: 1 minutes
★イベントビューアのログのレポート化について
★メッセージ項目に対するフィルター設定について
第二弾:Active Directoryの必要性【MicrosoftのMVP解説!Active Directoryのハウツー読本】
第三弾:Microsoft 365(旧称:Office365)とは【MicrosoftのMVP解説!Microsoft 365の活用術】
前回はファイルサーバーのアクセス監視について話をしました。その中でイベントビューアを利用することで、誰がいつ、どのファイルにアクセスしたかについて監視できることを紹介しました。しかし、イベントビューアはログに対してクエリを実行して内容を絞り込んだり、その結果をレポート化したりすることが非常に苦手です。そこで今回はイベントビューアで出力されたログをもとに様々なカスタマイズを行い、最終的にレポートを作成する方法について見ていきます。
★イベントビューアのログのCSV化
イベントビューアで記録されたログは.evtxと呼ばれる独自の形式のバイナリデータとして保存されており、そのままでは他のアプリケーションでデータを扱うことができません。そこでイベントビューアのエクスポート機能を利用して、CSV形式でエクスポートすることをお勧めします。また、イベントビューアのログはWindows PowerShellからエクスポートすることも可能で、Get-EventlogとGet-WinEventの2つのコマンドレットで実行できます。例えば、Get-Eventlogコマンドレットを利用する場合、次のようなコマンドレットを実行します。
Get-Eventlog -LogName Security | Export-Csv -Path C:\log.csv -Encoding Default
最終行のc:\log.csvの部分は保存する場所、ファイル名に合わせて書き換えて使ってください。
エクスポートしたファイルをExcelで開くと、次のように表示されます。
Excelでは1行目に表示されている属性に対してフィルターを設定できる(データ > フィルター)ので、フィルターを設定して上の画面のようにイベントIDが4625のログだけを表示するように構成することも可能です。イベントIDの4625はログオンに失敗したことを表すログですので、ログオンの失敗がどの程度あったか?またログオンの失敗が短い時間の中で何度も行われたか?複数のコンピューターからのログオンで失敗が発生しているか?などをチェックすれば不正アクセスの可能性を把握できます。
★イベントビューアのログのレポート化
管理者の方がレポートに求めるデータの内容は様々ですが、イベントビューアのログのように大量なデータを扱う場合であれば、グラフ化されたものを望むケースも多いでしょう。その場合にはExcelでグラフを作成して対応します。例えば、前述の「イベントビューアのログのCSV化」で例としてあげたExcelシートでA列だけを選択し、棒グラフを作成したものが下の画面です。
セキュリティログの場合、成功の監査と失敗の監査がありますが、イベントIDの4624と4625だけをフィルターした上でグラフを作成すると、上の画面のようにログオンの成功/失敗の回数をグラフ化できます。こうした要領でレポートの基となるグラフを作成していきます。
★メッセージ項目に対してフィルターを設定
Excelのフィルターを利用すると特定のログだけが表示されるように構成できますが、このやり方が苦手としているフィルター設定があります。それはメッセージの列(上の画面のF列)です。イベントビューアのメッセージ項目はひとつの列の中にまとめて入るため、フィルター設定がしにくいというデメリットがあります。そのような場合にはXPathを利用するとよいでしょう。
XPathとはXMLデータに対するクエリ言語で、イベントビューアではメッセージ項目に対してフィルターが実行できる特徴があります。イベントビューアのログはもともとXML形式のデータとして保存されており、メッセージ項目は<EventData>タグの配下に格納されています。そのため、XPathを利用することでメッセージ項目内の特定の文字列に対してフィルターを設定できます。
例えば、上の画面ではAdministratorユーザーによるサインインのログが表示されていますが、Administratorユーザーによるサインインが表示されるようにフィルターを設定する場合、次のようなクエリを書きます。
<QueryList>
<Query Id=”0″ Path=”Security”>
<Select Path=”Security”>
*[EventData[Data[@Name=’TargetUserName’] = “Administrator”]]
</Select>
</Query>
</QueryList>
@Name= のあとに<EventData>内の項目名、そのあとに続けて値(この場合はAdministrator)を指定します。以上の内容をイベントビューアのフィルター設定で定義します。
フィルターが設定できたら、CSVファイルに保存すればAdministratorユーザーによるサインインのログだけがCSVファイルとして保存されます。ちなみにXPathはGet-WinEventコマンドレットでも利用できるので、CSVファイルに保存する処理を自動化することも可能です。
以上、イベントビューアに記録されたログに対してのフィルター設定や、CSVファイルを経由してレポートの基となるグラフの作成方法について見てきました。イベントビューアのログは膨大に出力されるものであり、その中から不正アクセスの兆候を見つけることは非常に困難です。そのため、今回紹介したようなレポート化の方法を用いて可視化し、いつでも簡単にファイルサーバーの現状を把握できるようにすることをお勧めします。
今回の投稿までファイルサーバー管理についてのお話をしてきましたが、ファイルサーバーの設定そのものはWindows Serverでフォルダーを作って共有設定するだけの非常に簡単なものです。しかし、それ故にその後の管理が疎かになってしまうこともまた事実です。今回のシリーズではデータ管理の考え方からスタートし、権限管理、棚卸管理、アクセス状況の管理と見てきましたが、こうした管理を定期的に行い、会社の事業継続に影響を及ぼさないようなファイルサーバー管理を心がけていただければと思います。
株式会社ソフィアネットワーク所属。インターネットサービスプロバイダでの業務経験を経て、1997年よりマイクロソフト認定トレーナーとしてインフラ基盤に関わるトレーニング全般を担当。Azure ADを中心としたトレーニングの登壇やトレーニングコースの開発に従事するだけでなく、ブログ等のコミュニティ活動も評価され、2006年からAzure AD/Microsoft 365の分野におけるMicrosoft MVPを15年連続で受賞する。
主な著作に『ひと目でわかるIntune』 (日経BP)、『ひとり情シスのためのWindows Server逆引きデザインパターン』 (エクスナレッジ) など。
ゾーホー社員のつぶやき
こんにちは!ゾーホージャパンの近藤です。秋真っ盛りの10月に入りました。食欲の秋ともいえる恐ろしい季節でもあるのですが、コロナ禍における巣ごもり生活で体重が以前より増えてしまったという方も少なくはないのでしょうか。我が家では、アプリ連動体重計・体組成計で、日々の健康管理を行っていますが、自動でアプリが日々の身体数値の推移を可視化(グラフ化)してくれるので、とても重宝しています。定期的に同じ作業を継続していく秘訣は、いかにその作業を簡単に・シンプルにしていくこと。毎日体重計にのる、という単純な作業だけ残し、その他面倒な作業は簡単便利なアプリにお任せすることで、今月は、トホホ、、、の食べ過ぎ注意に気が付くのですね。
さて、今回はイベントビューアのログの様々なカスタマイズ方法とレポート作成方法について学習しました。イベントビューアのログを他のアプリケーションで使用するにはCSV形式でエクスポートしたり、レポート作成にはExcelでグラフ化したり、フィルター設定にはクエリを使用したりと、色々準備に手間がかかり定期的に行うべき監査作業としてはかなり非効率といえます。
そこで、ManageEngineが提供するActive Directoryログ管理ソフト「ADAudit Plus」をご紹介します。ADAudit Plusでは、オプション機能として、Windowsファイルサーバーの監査機能があります。ファイルサーバー監視機能を利用することによって、サーバー内のフォルダー/ファイルに対するアクセス/作成/削除/権限の変更等をツール画面上のレポートにて、わかりやすく可視化することが可能です。
そして、ADAudit Plus の検索オプション付きのWebベースのレポートでは、簡単にログの絞り込みを行うことが可能であり、フィルターベースのイベント追跡レポートでは、Webベースのレポート生成が柔軟にカスタマイズ可能です。ユーザー別、サーバー別のレポート表示やフィルター機能も搭載しているので、特定のファイルサーバーに対する認証ログを、簡単に抽出することが可能です。
また、レポートのスケジュール機能により、特定のレポートを定期的に自動生成し、管理者にメールで送付するよう設定することも可能です。
ManageEngineのファイルサーバー管理ソリューション紹介ページはこちら
ADAudit Plusとは?
Active Directoryログの可視化、およびアラート通知などを行う監査支援ツールです。
Windowsドメイン上で管理されている、ドメインコントローラー/ファイルサーバー/メンバーサーバー/PCなどのITリソース、およびユーザー/グループ/ポリシーなどのオブジェクト情報から、簡単に監査レポートを作成します。また、サーバー内のフォルダー/ファイルに対するアクセス/作成/削除/権限の変更等を、ツール画面上のレポートにて、わかりやすく可視化することが可能です。
ADManager Plusもおススメ!
WebベースのGUIでActive Directoryのユーザー、コンピューター、ファイルサーバーを管理し、自動化、ワークフローなどを容易に実行できるActive Directory運用管理ソフトです。誰にでも操作しやすい画面で、適切な権限割り当て、更新作業ができます。Active Directoryにまつわる定型業務を効率化する豊富な機能で、管理者の運用負荷を軽減します。
これら製品について詳しく知りたい、一度使ってみたいという方は、ぜひ以下のURLにアクセスしてくださいね。
ADAudit Plusの製品ページはこちら
ADAudit Plusの概要資料ダウンロードページはこちら
ADAudit Plusの無料版ダウンロードページはこちら
ADManager Plusの製品ページはこちら
ADManager Plusの概要資料ダウンロードページはこちら
ADManager Plusの無料版ダウンロードページはこちら
ADManager Plusのファイルサーバーアクセス権管理ページはこちら
▼▼ 別シリーズのブログ記事もチェック! ▼▼
Microsoft MVPシリーズ第一弾:AzureADを利用する意味【AzureADの虎の巻】
Microsoft MVPシリーズ第二弾:Active Directoryの必要性【Active Directoryのハウツー読本】
Microsoft MVPシリーズ第三弾:Microsoft 365(旧称:Office365)とは【Microsoft 365の活用術】
Microsoft MVPシリーズ第五弾:人事システム管理とAD管理【Active Directoryと人事システム連携のコツ丸わかり】
▼▼ 本シリーズのバックナンバーもチェック! ▼▼
>> 第1回 ファイルサーバーのアクセス許可
>> 第2回 ファイルサーバー管理に必要な業務
>> 第3回 業務フローにマスター管理を取り入れる
>> 第4回 棚卸の重要性
>> 第5回 不正アクセスの監視
フィードバックフォーム
当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。