Windowsイベントログ集中管理 EventReporterのSETP転送でシームレスな処理を!

リモートで働く機会が増えましたね。その影響なのかWindows イベントログを集中管理したいというお問い合わせが増えております。

今回はWindows イベントログ専用エージェント EventReporterのご紹介です。きっと皆さまのさまざまなご要望に応えることができるでしょう。


Adiscon EventReporter

EventReporterには2つのエディションがあります。主たる違いはSETP機能の有無です。
 Basic版           :Windows イベントログをSyslogプロトコルでSyslogサーバーへ転送
 Professional版:Basic版の動作に加えて、SETPプロトコルでAdiscon WinSyslogへ転送

SyslogもSETPも、Windows イベントログをリモートサーバで集中管理するという目的は一緒ですが、重要な違いがあります。

 Syslogプロトコル:古い規格で単純なテキストデータ。コンテンツ部のフォーマットが各社各様であること、データ構造を表現できないことが難点。

 Windows イベントログは構造を持つデータですので、Syslogプロトコルを経由すると、構造データを”つぶす”ことになります。

 

つぶれたデータをSyslogサーバーで受信してから、再解析することはある程度できますが、煩雑な設定が必要です。
要素が分離されていることが重要な場合は、つぶさずに送信する方がベターだと思います。SETP転送はそれを実現します。

SETP転送はAdiscon社の独自プロトコルです。次の特徴があります。

  • イベントログ転送用の専用プロトコルなので、データ構造を維持できます。
  • gzip圧縮で転送時のデータ通信量を減らすことができます。
  • TLSによるセキュア転送も選択できます。
以下やや長くなりますが、具体的な送受信例をそのまま引用いたします。
確認ポイントは、メッセージ(msg)ほかのデータ要素がそのままか、つぶされて連結されているかの差です。

1.EventReporterからSETP送信し、WinSyslogで受信後カスタムフォーマットで出力

————————————————————
サービス共通のプロパティ
—————————————-
msg=オブジェクトの監査設定が変更されました。

サブジェクト:
  セキュリティ ID:    S-1-5-18
  アカウント名:    WIN2016-49$
  アカウント ドメイン:    WORKGROUP
  ログオン ID:    0x3E7

オブジェクト:
  オブジェクト サーバー:  Security
  オブジェクトの種類:  File
  オブジェクト名:  C:WindowsSystem32PrintDialogHost.exe
  ハンドル ID:  0x78

プロセス情報:
  プロセス ID:  0x500
  プロセス名:  C:WindowsSystem32poqexec.exe

監査設定:
  元のセキュリティ記述子:  S:AI
  新しいセキュリティ記述子:    S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
source=WIN2016-49
timereported=2021-02-05 20:19:00
timegenerated=2021-03-05 14:25:36
iut=23
—————————————-
シスログ通信の関連プロパティ
—————————————-
rawsyslogmsg=
syslogfacility=16
syslogfacility_text=Local0
syslogpriority=5
syslogpriority_text=Notice
syslogtag=EvntSLog
syslogver=1
syslogappname=EvntSLog
syslogprocid=-
syslogmsgid=-
syslogstructdata=-
syslogprifac=133
localhostname=WIN2016-49
—————————————-
イベントログモニターV2のプロパティ ※SETP受信時はWinSyslog側でも使用可
—————————————-
id=4907
severity=[AUS]
severityid=4
sourceproc=Microsoft-Windows-Security-Auditing
category=13568
catname=ポリシーの変更の監査
user=NA
nteventlogtype=Security
channel=Security
sourceraw=Microsoft-Windows-Security-Auditing
level=情報
categoryid=13568
keyword=成功の監査
user_sid=
recordnum=9700

2.EventReporterからSyslog送信し、WinSyslogでカスタムフォーマットで出力

————————————————————
サービス共通のプロパティ
—————————————-
msg=Security,Microsoft-Windows-Security-Auditing,2021-02-05 20:19:00,4907,ポリシーの変更の監査,情報,成功の監査,NA,WIN2016-49,オブジェクトの監査設定が変更されました。 サブジェクト: セキュリティ ID: S-1-5-18 アカウント名: WIN2016-49$ アカウント ドメイン: WORKGROUP ログオン ID: 0x3E7 オブジェクト: オブジェクト サーバー: Security オブジェクトの種類: File オブジェクト名: C:WindowsSystem32PrintDialogHost.exe ハンドル ID: 0x78 プロセス情報: プロセス ID: 0x500 プロセス名: C:WindowsSystem32poqexec.exe 監査設定: 元のセキュリティ記述子: S:AI 新しいセキュリティ記述子: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
source=WIN2016-49

timereported=2021-03-05 14:25:37
timegenerated=2021-03-05 14:25:37
iut=1
—————————————-
シスログ通信の関連プロパティ
—————————————-
rawsyslogmsg=<133>1 2021-02-05T20:19:00+09:00 WIN2016-49 EvntSLog – – – Security,Microsoft-Windows-Security-Auditing,2021-02-05 20:19:00,4907,ポリシーの変更の監査,情報,成功の監査,NA,WIN2016-49,オブジェクトの監査設定が変更されました。 サブジェクト: セキュリティ ID: S-1-5-18 アカウント名: WIN2016-49$ アカウント ドメイン: WORKGROUP ログオン ID: 0x3E7 オブジェクト: オブジェクト サーバー: Security オブジェクトの種類: File オブジェクト名: C:WindowsSystem32PrintDialogHost.exe ハンドル ID: 0x78 プロセス情報: プロセス ID: 0x500 プロセス名: C:WindowsSystem32poqexec.exe 監査設定: 元のセキュリティ記述子: S:AI 新しいセキュリティ記述子: S:ARAI(AU;SAFA;DCLCRPCRSDWDWO;;;WD)
syslogfacility=16
syslogfacility_text=Local0
syslogpriority=5
syslogpriority_text=Notice
syslogtag=EvntSLog
syslogver=1
syslogappname=EvntSLog
syslogprocid=
syslogmsgid=
syslogstructdata=
syslogprifac=133
localhostname=WIN2016-49
—————————————-
イベントログモニターV2のプロパティ ※Syslog受信時はWinSyslog側では使用できな
—————————————-
id=
severity=
severityid=
sourceproc=
category=
catname=
user=
nteventlogtype=
channel=
sourceraw=
level=
categoryid=
keyword=
user_sid=
recordnum=

以上は、SETP連携に着目した具体例でしたが、運用によりSyslog転送も適切なケースもあります。送信メッセージの内容を限定できる場合には、EventReporter側でカスタムフォーマットでメッセージを絞ってからSyslog転送すると、ネットワーク転送量を減らせます。

EventReporterとWinSyslogの連携の全体イメージは下図をご参照ください。

EventReporterとWinSyslogの組み合わせが気になった方は、ぜひ評価版をダウンロードしてください。
設定についてご不明な点がございましたら、ご遠慮なくお問い合わせください。

Appendix

以下は「ファイルログ」アクションのカスタムフォーマットにそのまま貼り付けて使用できます。SETP連携時の送信/受信データの確認にご利用ください。
(この下の「——」から)
————————————————————
サービス共通のプロパティ
—————————————-
msg=%msg%
source=%source%
timereported=%timereported:::localtime%
timegenerated=%timegenerated:::localtime%
iut=%iut%
—————————————-
シスログ通信の関連プロパティ
—————————————-
rawsyslogmsg=%rawsyslogmsg%
syslogfacility=%syslogfacility%
syslogfacility_text=%syslogfacility_text%
syslogpriority=%syslogpriority%
syslogpriority_text=%syslogpriority_text%
syslogtag=%syslogtag%
syslogver=%syslogver%
syslogappname=%syslogappname%
syslogprocid=%syslogprocid%
syslogmsgid=%syslogmsgid%
syslogstructdata=%syslogstructdata%
syslogprifac=%syslogprifac%
localhostname=%localhostname%
—————————————-
イベントログモニターV2のプロパティ
—————————————-
id=%id%
severity=%severity%
severityid=%severityid%
sourceproc=%sourceproc%
category=%category%
catname=%catname%
user=%user%
nteventlogtype=%nteventlogtype%
channel=%channel%
sourceraw=%sourceraw%
level=%level%
categoryid=%categoryid%
keyword=%keyword%
user_sid=%user_sid%
recordnum=%recordnum%

(この上の空行まで)

こんな記事も読まれています

最新記事

おすすめ記事

  1. 産業スパイを発見し、防ぐ方法とは

  2. Flexible NetFlowとは?を5分で理解する

  3. WinSyslog 使い方ガイド#2 受信時刻とデバイスタイムスタンプ両方を出力する

製品カテゴリー

JTC IT用語集
TOP