リモートで働く機会が増えましたね。その影響なのかWindows イベントログを集中管理したいというお問い合わせが増えております。
今回はWindows イベントログ専用エージェント EventReporterのご紹介です。きっと皆さまのさまざまなご要望に応えることができるでしょう。
Adiscon EventReporter
EventReporterには2つのエディションがあります。主たる違いはSETP機能の有無です。
Basic版 :Windows イベントログをSyslogプロトコルでSyslogサーバーへ転送
Professional版:Basic版の動作に加えて、SETPプロトコルでAdiscon WinSyslogへ転送
SyslogもSETPも、Windows イベントログをリモートサーバで集中管理するという目的は一緒ですが、重要な違いがあります。
Syslogプロトコル:古い規格で単純なテキストデータ。コンテンツ部のフォーマットが各社各様であること、データ構造を表現できないことが難点。
Windows イベントログは構造を持つデータですので、Syslogプロトコルを経由すると、構造データを”つぶす”ことになります。
つぶれたデータをSyslogサーバーで受信してから、再解析することはある程度できますが、煩雑な設定が必要です。
要素が分離されていることが重要な場合は、つぶさずに送信する方がベターだと思います。SETP転送はそれを実現します。
SETP転送はAdiscon社の独自プロトコルです。次の特徴があります。
- イベントログ転送用の専用プロトコルなので、データ構造を維持できます。
- gzip圧縮で転送時のデータ通信量を減らすことができます。
- TLSによるセキュア転送も選択できます。
1.EventReporterからSETP送信し、WinSyslogで受信後カスタムフォーマットで出力
————————————————————
サービス共通のプロパティ
—————————————-
msg=オブジェクトの監査設定が変更されました。
サブジェクト:
セキュリティ ID: S-1-5-18
アカウント名: WIN2016-49$
アカウント ドメイン: WORKGROUP
ログオン ID: 0x3E7
オブジェクト:
オブジェクト サーバー: Security
オブジェクトの種類: File
オブジェクト名: C:WindowsSystem32PrintDialogHost.exe
ハンドル ID: 0x78
プロセス情報:
プロセス ID: 0x500
プロセス名: C:WindowsSystem32poqexec.exe
監査設定:
元のセキュリティ記述子: S:AI
新しいセキュリティ記述子: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
source=WIN2016-49
timereported=2021-02-05 20:19:00
timegenerated=2021-03-05 14:25:36
iut=23
—————————————-
シスログ通信の関連プロパティ
—————————————-
rawsyslogmsg=
syslogfacility=16
syslogfacility_text=Local0
syslogpriority=5
syslogpriority_text=Notice
syslogtag=EvntSLog
syslogver=1
syslogappname=EvntSLog
syslogprocid=-
syslogmsgid=-
syslogstructdata=-
syslogprifac=133
localhostname=WIN2016-49
—————————————-
イベントログモニターV2のプロパティ ※SETP受信時はWinSyslog側でも使用可
—————————————-
id=4907
severity=[AUS]
severityid=4
sourceproc=Microsoft-Windows-Security-Auditing
category=13568
catname=ポリシーの変更の監査
user=NA
nteventlogtype=Security
channel=Security
sourceraw=Microsoft-Windows-Security-Auditing
level=情報
categoryid=13568
keyword=成功の監査
user_sid=
recordnum=9700
2.EventReporterからSyslog送信し、WinSyslogでカスタムフォーマットで出力
————————————————————
サービス共通のプロパティ
—————————————-
msg=Security,Microsoft-Windows-Security-Auditing,2021-02-05 20:19:00,4907,ポリシーの変更の監査,情報,成功の監査,NA,WIN2016-49,オブジェクトの監査設定が変更されました。 サブジェクト: セキュリティ ID: S-1-5-18 アカウント名: WIN2016-49$ アカウント ドメイン: WORKGROUP ログオン ID: 0x3E7 オブジェクト: オブジェクト サーバー: Security オブジェクトの種類: File オブジェクト名: C:WindowsSystem32PrintDialogHost.exe ハンドル ID: 0x78 プロセス情報: プロセス ID: 0x500 プロセス名: C:WindowsSystem32poqexec.exe 監査設定: 元のセキュリティ記述子: S:AI 新しいセキュリティ記述子: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
source=WIN2016-49
timereported=2021-03-05 14:25:37
timegenerated=2021-03-05 14:25:37
iut=1
—————————————-
シスログ通信の関連プロパティ
—————————————-
rawsyslogmsg=<133>1 2021-02-05T20:19:00+09:00 WIN2016-49 EvntSLog – – – Security,Microsoft-Windows-Security-Auditing,2021-02-05 20:19:00,4907,ポリシーの変更の監査,情報,成功の監査,NA,WIN2016-49,オブジェクトの監査設定が変更されました。 サブジェクト: セキュリティ ID: S-1-5-18 アカウント名: WIN2016-49$ アカウント ドメイン: WORKGROUP ログオン ID: 0x3E7 オブジェクト: オブジェクト サーバー: Security オブジェクトの種類: File オブジェクト名: C:WindowsSystem32PrintDialogHost.exe ハンドル ID: 0x78 プロセス情報: プロセス ID: 0x500 プロセス名: C:WindowsSystem32poqexec.exe 監査設定: 元のセキュリティ記述子: S:AI 新しいセキュリティ記述子: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
syslogfacility=16
syslogfacility_text=Local0
syslogpriority=5
syslogpriority_text=Notice
syslogtag=EvntSLog
syslogver=1
syslogappname=EvntSLog
syslogprocid=
syslogmsgid=
syslogstructdata=
syslogprifac=133
localhostname=WIN2016-49
—————————————-
イベントログモニターV2のプロパティ ※Syslog受信時はWinSyslog側では使用できない
—————————————-
id=
severity=
severityid=
sourceproc=
category=
catname=
user=
nteventlogtype=
channel=
sourceraw=
level=
categoryid=
keyword=
user_sid=
recordnum=
以上は、SETP連携に着目した具体例でしたが、運用によりSyslog転送も適切なケースもあります。送信メッセージの内容を限定できる場合には、EventReporter側でカスタムフォーマットでメッセージを絞ってからSyslog転送すると、ネットワーク転送量を減らせます。
EventReporterとWinSyslogの連携の全体イメージは下図をご参照ください。
Appendix
サービス共通のプロパティ
—————————————-
msg=%msg%
source=%source%
timereported=%timereported:::localtime%
timegenerated=%timegenerated:::localtime%
iut=%iut%
—————————————-
シスログ通信の関連プロパティ
—————————————-
rawsyslogmsg=%rawsyslogmsg%
syslogfacility=%syslogfacility%
syslogfacility_text=%syslogfacility_text%
syslogpriority=%syslogpriority%
syslogpriority_text=%syslogpriority_text%
syslogtag=%syslogtag%
syslogver=%syslogver%
syslogappname=%syslogappname%
syslogprocid=%syslogprocid%
syslogmsgid=%syslogmsgid%
syslogstructdata=%syslogstructdata%
syslogprifac=%syslogprifac%
localhostname=%localhostname%
—————————————-
イベントログモニターV2のプロパティ
—————————————-
id=%id%
severity=%severity%
severityid=%severityid%
sourceproc=%sourceproc%
category=%category%
catname=%catname%
user=%user%
nteventlogtype=%nteventlogtype%
channel=%channel%
sourceraw=%sourceraw%
level=%level%
categoryid=%categoryid%
keyword=%keyword%
user_sid=%user_sid%
recordnum=%recordnum%