Windows イベントログ収集 | 統合ログ管理/簡易SIEMソフト「EventLog Analyzer」

Windowsイベントログ・Syslog対応 ログ管理ソフト

Windows イベントログ収集

Windowsイベントログの収集は、ネットワークの異常やサイバー攻撃を検知するために必要な手段です。

大半の企業には、Windowsサーバーとワークステーションを備えたネットワーク環境があります。Microsoft Windowsが出力するイベントログは、「ログオン異常」「保護ファイルへのアクセス失敗」「セキュリティログ改ざん」などの重大な情報を含んでおり、これらをモニタリングすることは、組織内ネットワークを内部犯行やサイバー攻撃の脅威から守ることに役立ちます。

EventLog Analyzerは、Windowsイベントログを収集/保管し、検索をかけたりアラート設定を行ったりできるソフトウェアです。以下のような様々なWindowsオペレーティングシステムで生成されたイベントログ(EVTX)形式に対応しています。

  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows 7
  • Windows 8
  • Windows 10

自動で簡単!ホストのディスカバリー

EventLog Analyzerでは、Windowsホストの登録時に、ドメインに参加しているホストを自動的にディスカバリーして表示します。監視対象となるホストにチェックをいれて、追加を行うという簡単なステップにより、複数のホストを同時に登録することが可能です。

サポートしているWindowsイベントID

EventLog Analyzer が検出する Windows イベントIDの一例です。EventLog Analyzer を使用することで、これらのイベントログのアーカイブや保存などイベントログ管理が可能です。また、リアルタイムでイベントログレポートを生成することもできます。

イベントIDVistaイベントIDイベントの種類説明
512, 513, 514, 515, 516, 518, 519, 5204608, 4609, 4610, 4611,4612, 4614, 4615, 4616システムイベントシステムの起動/停止、システムの時間の変更など、ローカルシステムプロセスに関するイベント
5174612監査ログのクリアすべての監査ログをクリアしたイベント
528, 5404624ユーザーログオンの成功すべてのユーザーログオン成功に関するイベント
529, 530, 531, 532, 533, 534, 535, 536, 537, 5394625ログオンの失敗すべてのユーザーログオン失敗に関するイベント
5384634ユーザーログオフの成功すべてのユーザーログオフに関するイベント
560, 562, 563, 564, 565, 566, 567, 5684656, 4658, 4659, 4660,4661, 4662, 4663, 4664オブジェクトアクセスオブジェクト(ファイル、ディレクトリなど)へのアクセスとその種類(読取り、書込み、削除など)、アクションの成功/失敗に関するイベント
6124719監査ポリシーの変更監査ポリシー変更の実施に関するイベント
624, 625, 626, 627, 628, 629, 630, 642, 6444720, 4722, 4723, 4724,4725, 4726, 4738, 4740ユーザーアカウントの変更ユーザーアカウントの登録、削除、パスワードの更新などユーザーアカウントの更新に関するイベント
631~641, 643, 645~6664727~4737, 4739~4762ユーザーグループの変更グローバル/ローカルグループの登録/削除、グループメンバーの登録/削除などユーザーグループの更新に関するイベント
672, 6804768, 4776ユーザーアカウント検証の成功ドメインコントローラーで検証が成功したユーザーアカウントログオンに関するイベント
675, 6814771, 4777ユーザーアカウント検証の失敗ドメインコントローラーで検証が失敗したユーザーアカウントログオンに関するイベント
682, 6834778, 4779ホストセッションステータス再接続/切断したセッションに関するイベント