Windows Server 2003で強化された
セキュリティ・ログ活用のポイント

Randy Franklin Smith

2005.09.19

■セキュリティ・イベント・ログは，ユーザーの行動を追跡したり，システムへの攻撃を検知したりするのに欠かせない。イベントIDなど分かりにくい部分は多いが，チェックすべき要点が分かれば，使いこなしは難しくない。
■本記事では初心者向けにセキュリティ・ログの使いこなしを伝授する。上級者は，Windows Server 2003における仕様の変更点に注目してほしい。
（2005年9月号「Windowsテクノロジ徹底解説」より）

連載のバックナンバーはこちら

　Windows Server 2003のセキュリティ・イベント・ログ（以下，セキュリティ・ログ）には，これまでにない多くの情報が記録されるようになった。しかし，謎めいたイベントIDや不正確なドキュメントなど，ミステリアスな側面は依然として残っている。また，ログのレポーティングやアーカイブ，警告，統合といった機能には，Windows NT Serverのころと変わらない難点があるし，Microsoftがバージョンアップのたびに数多くのイベントIDの意味を変えていることも，問題を難しくしている。

　それでも，セキュリティ・ログのどこに注目するべきかを理解していれば，セキュリティ・ログから豊富な情報を得られるだろう。この記事では，監査ポリシーとセキュリティ・ログの概要を初心者向けに解説する。上級者は，各パートにある「Windows Server 2003の変更点」に注目してほしい。Windows 2000との違いが分かるだろう。

△　図をクリックすると拡大されます

図1●イベント・ビューアでセキュリティ・イベントのカテゴリを表示した画面

　Windowsは，セキュリティ・イベントを9つの監査項目に分類している。9つの監査項目は，図1のようにイベント・ビューアで［セキュリティ］のプロパティを開き，［フィルタ］タブを選択すると確認できる。本記事では，まずイベント・ビューアの使い方を説明した後に，この9つ項目に沿って，セキュリティ・ログから重要な情報を得るための方法を解説する。

イベント・ビューアの使い方
　セキュリティ・ログは，マイクロソフト管理コンソール（MMC）の「イベント・ビューア・スナップイン」で参照する（スタート・メニューの［管理ツール］−［イベントビューア］で呼び出せる）。各イベントには，「イベントID」「日付」「時刻」「ユーザー」「コンピュータ」「ソース」「分類」「種類」という標準の項目と，イベントIDごとに異なるイベントの詳しい説明が記録されている。Windowsのセキュリティ・アーキテクチャ上，ユーザーのフィールドはまず役に立たない。イベントを起こしたユーザーを特定するためには，イベントの説明に記されているユーザー関連の情報（ユーザー名やドメインなど）を参照する必要がある。

　「ソース」の項目は，システムやアプリケーションのどの部分がイベントをレポートしたかを伝えるためにあるが，セキュリティ・ログではすべてのイベントのソースがセキュリティである。

　「分類」の項目は，Windowsのセキュリティ・ログにおける9つの監査項目に対応している。「種類」の項目は常に「成功の監査」か「失敗の監査」のいずれかで，ログオンに成功したか失敗かなどが分類できる。

　イベントの説明文は，静的な文面と，イベントの内容ごとに変化する動的な変数（ユーザー/コンピュータ名など）のリストの組み合わせである。

ログを管理するのもビューアの役割
　イベント・ビューアは，ログの検索機能やフィルタリング機能を備えている。また，ログを保存したり消去したりするのもイベント・ビューアの役割である。ログを右クリックして［ログファイルの名前を付けて保存］を選択すると，イベント・ログの標準フォーマットであるEVT形式のほか，CSV形式，タブ区切り形式のいずれかで保存できる。

　リモート・システムのログもイベント・ビューアで参照可能だ。ただし，異なる言語/バージョンのWindowsシステムのイベントの詳細を参照したとき，静的な文面が表示されず，動的な文字列だけが表示される場合がある。また，大規模なWAN環境でイベント・ログを参照すると非常に時間がかかる。ログをダウンロードしている間に新たなイベントが挿入されると，「新しいイベントが挿入された」というエラー・メッセージが出る。

　セキュリティ・ログの最大容量や，最大容量に達したときの動作を設定するのもイベント・ビューアである。ログを右クリックして［プロパティ］を開き，［必要に応じてイベントを上書き］［イベントを上書きする（x日経過後）］［イベントを上書きしない（手動でログを消去）］を選択する。なお，指定した日数よりも古いイベントを上書きするよう設定した場合で，指定日よりも古いイベントが存在しないのにログがいっぱいになったとき，Windowsは一時的にイベントのログを停止してしまう。

「監査ポリシー」でログの対象を設定

△　図をクリックすると拡大されます

図2●セキュリティ監査ポリシーの設定画面

　Windows Server 2003では，前述した9つの監査項目に対応する「監査ポリシー」を有効または無効にすると，監査結果がセキュリティ・ログに記録される。コンピュータの現在の監査ポリシーは，「グループ・ポリシー・オブジェクト・エディタ」を使って参照できる（図2）。

　図2の画面では，各ポリシーについて「成功の監査」「失敗の監査」「監査しない」——を設定する。例えば，［アカウントログオンイベントの監査］というポリシーについて［失敗の監査］を有効にすれば，Windowsは失敗したログオン・イベントだけをログに記録する。

　図1の監査カテゴリと，図2の監査ポリシーとでは，表現や順番に若干の違いがあることに注意してほしい。

　9つの監査カテゴリは，広範なユーザー行為を網羅している。監視できる項目としては，ログオンと認証，ユーザー/グループ/コンピュータをメンテナンスする管理行為，ユーザーによるファイルへのアクセス，重要なセキュリティ設定の変更，プログラムの実行，Active Directory（AD）内のプロパティ・レベルの変更——などである。　以下で各イベント・カテゴリの概要を紹介しよう。