はじめに
サーバーや端末のイベントログを確認していると、
「深夜や休日に想定外の操作が行われている」
「通常業務の時間帯とは異なるタイミングでイベントが発生している」
といったケースに気付くことはありませんか。
このような営業時間外や特定の時間帯に発生するイベントは、不正アクセスや内部不正の兆候である可能性もあり、早期に検知できる仕組みを整えておくことが重要です。
しかし、すべてのログを目視で確認するのは現実的ではありません。発生時間やイベントIDで条件を絞り込み、自動的に抽出・保存する設定を行うことで、ログ監視の効率と精度を高めることができます。
本記事では、イベントログの管理ツール「EventReporter」を用いて、発生時間やイベントIDを指定して不審なイベントログを検知する方法をご紹介します。
例1:営業時間外のイベントログを抽出・書き出すフィルタ設定
営業時間外に発生するべきではないイベントや、逆に営業時間中には発生しないはずのイベントを検知したい場合には、「時間」フィルタが役立ちます。
本例では、終業後の19時から翌朝6時までに発生したイベントをフィルタリングする方法をご紹介します。
ルール、アクションを作成する
新たに「Timing Control」という名でルールを作成します。
次に、その配下に「Write at Night」という名の「ファイルログ」アクションを作成します。
アクション名は、下図のようにツリー表示で選択し、変更可能です。
<補足> アクションとしてメールアラートも設定できます。
EventReporter で設定可能なアクションの一覧は、こちらをご参照ください。
また、メールアラートの設定については、姉妹製品の以下のブログをご覧ください。
WinSyslog 使い方ガイド#5 メールアラートで任意のイベント発生を通知する >>
フィルタの条件を設定する
1. オペレーションを変更する
「AND」をダブルクリックし、「OR」に変更します。
2. 「時間」フィルタを設定する
「OR」を右クリックし、下図のように表示されるメニューから「時間」を選択してフィルタを作成します(「フィルタの追加」→「曜日/時間」→「時間」)。
「詳細」タブでは、以下のように設定します:
・比較のオペレーション:「>」
・プロパティ値を設定:「19:00:00」
・タイムモードを選択:「ローカルタイム – デバイスの報告時間」
同様に「時間」フィルタをもう1つ作成し、以下のように「詳細」を設定します:
・比較のオペレーション:「<」
・プロパティ値を設定:「06:00:00」
・タイムモードを選択:「ローカルタイム – デバイスの報告時間」
この2つのフィルタを組み合わせることで、19時~6時の時間帯を指定できます。
この設定により、対象時間(19:00:01~05:59:59)にイベントが発生した場合、条件は「真(TRUE)」と評価され、ファイル出力アクション(Write at Night)が実行されます。
この例のように、日付をまたぐ時間帯は1つの条件では表現できません。その場合には、真夜中(0:00:00)を区切りとして、2つの条件を「OR」で組み合わせて設定します。
動作イメージ
<ケース1>
AM8時(8:00:00)にイベントが発生した場合、以下のように評価されます:
| フィルタの条件 | 受信した値 | 評価 |
|---|---|---|
| Time: > 19:00:00 | 8:00:00 | 偽(False) |
| Time: < 6:00:00 | 8:00:00 | 偽(False) |
| OR 条件の評価 | ー | 偽(False) |
| 最終評価 | ー | 偽(False) |
→ 時間条件を満たさないため、アクションは実行されません。
<ケース2>
PM8時(20:00:00)にイベントが発生した場合には、以下のように評価されます:
| フィルタの条件 | 受信した値 | 評価 |
|---|---|---|
| Time: > 19:00:00 | 20:00:00 | 真(True) |
| Time: < 6:00:00 | 20:00:00 | 偽(False) |
| OR 条件の評価 | ー | 真(True) |
| 最終評価 | ー | 真(True) |
→ 条件を満たすため、ログの書き込みアクション(Write at Night)が実行されます。
例2:発生時間とイベントIDを条件に、特定のイベントをファイル保存する
次は、以下のいずれかの条件を満たした場合にファイル出力する設定です。
- ID 4625(ログオン失敗)が発生した場合
- 13時~21時の間に ID 4624(ログオン成功)が発生した場合
ルール、アクションを設定する
新たに「Timing Control2」という名のルールを追加し、その配下に「ファイルログ」アクション(「Write To File」)を作成します(作成方法はこちらを参照ください)。
フィルタの条件を設定する
1. オペレーションの変更と追加を行う
「AND」をダブルクリックし、オペレーションを「OR」に変更します。
その配下に「AND」を追加します。「OR」を右クリックし、「オペレーションの追加」で「AND」を選択すると作成できます。
2. 「イベントID」フィルタを設定する
「AND」を右クリックし、「フィルタの追加」→「イベントログの監視 V2」→「イベントID」を選択します。
「詳細」タブでは、以下のように設定します:
・比較のオペレーション:「=」
・プロパティ値を設定:「4624」
3. 「時間」フィルタを設定する
「イベントID」フィルタの下に「時間」フィルタを2つ設定します。
1つ目のフィルタ:
・比較のオペレーション:「>」
・時間:「13:00:00」
・タイムモードを選択:「ローカルタイム – デバイスの報告時間」
2つ目のフィルタ:
・比較のオペレーション:「<」
・時間:「21:00:00」
・タイムモードを選択:「ローカルタイム – デバイスの報告時間」
4. 「OR」の配下に「イベントID」フィルタを作成する
「OR」を右クリックし、「フィルタの追加」→「イベントログの監視 V2」→「イベントID」を選択します。
「詳細」タブでは、以下のように設定します:
・比較のオペレーション:「=」
・プロパティ値を設定:「4625」
上図のように設定することで、「ID 4624 かつ 指定時間内」または「ID 4625(時間条件なし)」のいずれかを満たした場合に、アクションが実行されるようになります。
また、例1では日付をまたぐため「OR」を使用しましたが、今回は同一日内の時間範囲であるため「AND」で条件を指定できます。
イベントID 4625は、発生時間に関係なく検知したいイベントのため、時間条件と切り離して評価する必要があります。
そのため、「ID 4624かつ時間条件」のグループとは別に、単独の条件としてOR配下に設定します。
動作イメージ
<ケース1>
AM 7:00 に ID 4624 のイベントを受信した場合は、以下のように評価されます。
| フィルタの条件 | 受信した値 | 評価 |
|---|---|---|
| Property: %id% = 4624 | 4624 | 真(True) |
| Time: > 13:00:00 | 7:00 | 偽(False) |
| Time: < 21:00:00 | 7:00 | 真(True) |
| AND 条件の評価 | ― | 偽(False) |
| Property: %id% = 4625 | 4624 | 偽(False) |
| 最終評価(OR 条件) | ― | 偽(False) |
→ 時間条件を満たさないため、アクションは実行されません。
<ケース2>
PM2時(14:00:00)に ID 4624 のイベントを受信した場合は、以下のように評価されます:
| フィルタの条件 | 受信した値 | 評価 |
|---|---|---|
| Property: %id% = 4624 | 4624 | 真(True) |
| Time: > 13:00:00 | 14:00 | 真(True) |
| Time: < 21:00:00 | 14:00 | 真(True) |
| AND 条件の評価 | ― | 真(True) |
| Property: %id% = 4625 | 4624 | 偽(False) |
| 最終評価(OR 条件) | ― | 真(True) |
→ 条件を満たすため、アクションが実行されます。
<ケース3>
AM7時(7:00:00)に ID 4625 のイベントを受信した場合は、以下のように評価されます:
| フィルタの条件 | 受信した値 | 評価 |
|---|---|---|
| Property: %id% = 4624 | 4625 | 偽(False) |
| Time: > 13:00:00 | 7:00 | 偽(False) |
| Time: < 21:00:00 | 7:00 | 真(True) |
| AND 条件の評価 | ― | 偽(False) |
| Property: %id% = 4625 | 4625 | 真(True) |
| 最終評価(OR 条件) | ― | 真(True) |
→ ID 4625 の条件を満たすため、アクションが実行されます。
Windows 標準機能でもできる?EventReporter のメリット
本記事でご紹介したような条件指定は、Windows標準機能でも一部実現可能ですが、時間帯をまたぐ条件や複数条件の組み合わせ(AND / OR)では、設定が複雑になりがちです。
EventReporterを利用することで、これらの条件をGUI上で直感的に設定できるため、設定ミスを防ぎながら効率的にログ監視を行えます。さらに、ログの出力や管理を一元化できるだけでなく、条件に合致したイベントをメールで通知することも可能なため、異常の早期発見や迅速な対応につなげることができます。
また、「全体の条件」を活用することで、「一定時間内に何回まで」といった条件を設定し、アクションの過剰な実行を抑制することも可能です。このように柔軟な条件設定ができる点も、EventReporterの特長の一つです。
「全体の条件」については、姉妹製品の以下のブログ(手順1: フィルタ設定を追加)をご覧ください。
WinSyslog 使い方ガイド#5 メールアラートで任意のイベント発生を通知する >>
おわりに
本記事では、イベントログ管理ツール「EventReporter」を用いて、営業時間外のイベントログ検知や、発生時間とイベントIDを組み合わせた抽出方法についてご紹介しました。
このような条件指定を行うことで、通常業務時間帯には発生しない不審なイベントを効率的に検知でき、ログ監視の負担軽減とセキュリティ対策の強化につながります。
EventReporter のフィルタ機能は、時間帯やイベントIDなどの条件を柔軟に組み合わせることが可能です。自社の運用ルールや監視方針に合わせて設定を調整し、より実用的なログ監視にご活用ください。
設定方法や運用についてご不明な点がありましたら、お気軽に当社までお問い合わせください。
EventReporter には、無料評価版のご用意があります。
インストール後30日間はすべての機能を利用できますので、ぜひお試しください!
