Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Windows イベント ログ

Windows エンドポイントからイベント ログを収集できます。

Windows イベント ログをクエリすると、クエリにはログ内のすべてのイベントが含まれます。イベント ログ フィルタリングまたは XPath クエリを使用して、受信するイベントを制限できます。

Windows イベント ログは次の言語でサポートされています。

  • 中国語(簡体字)

  • 中国語(繁体字)

  • 英語

  • フランス語

  • ドイツ語

  • イタリア語

  • 日本語

  • 韓国語

  • ポルトガル語

  • ロシア語

  • スペイン語

Windows イベント ログ フィルタリング

WinCollect エージェントを構成して、Windows イベント ログから収集された特定のイベントを無視するか、含めることができます。フィルター・タイプを使用して JSA コンソールに送信される合計 EPS (1 秒あたりのイベント) を制限できます。

WinCollect エージェントは、ID コードまたはログ ソースによってグローバルにイベントを無視するように構成できます。グローバル除外では、イベント ペイロードからの EventIDCode フィールドを使用します。除外される値を決定するには、ソースと ID の除外は、Windows ペイロードの Source=フィールドEventIDCode=フィールドを使用します。コロンを使用して複数のソースを分離します。除外、インクルージョン、NSA などのイベント フィルターは、以下のログ ソース タイプで使用できます。

  • セキュリティ

  • システム

  • アプリケーション

  • DNS サーバー

  • ファイル レプリケーション サービス

  • ディレクトリ サービス

  • 転送イベント

WinCollect エージェントは、[ポーリング間隔] フィールドで指定された値が期限切れになるたびに、利用可能なすべてのイベントをイベント コレクション API から要求します。

除外フィルターの場合、エージェントはイベント コレクション API から取得したすべてのイベントを調べ、管理者(Windows イベント ID またはソース)で定義された除外と一致するイベントを無視します。次に、エージェントは残りのイベントを受け取り、 名前=値 のペアをアセンブルし、イベントを JSA コンソール または Event Collector アプライアンスのいずれかに転送します。ただし、インクルージョン フィルターの場合、エージェントは管理者が指定したイベント ID に一致するイベントをプルし、これらのイベントを JSA コンソール またはイベント コレクターに転送します。

NSAフィルターは、固有のタイプのフィルターで、対応する事前定義されたセキュリティイベント IDのリストが含まれており、エージェントはセキュリティ、システム、アプリケーション、DNSの各ログから取得します。事前定義されたセキュリティイベント ID は、エージェントが JSA コンソール またはイベントコレクターに転送するイベントに含まれています。

メモ:

転送イベント フィルターでは、括弧内でフィルターするイベント ID を使用して、ソースまたはチャネルを識別する必要があります。セミコロンを区切り文字として使用します。例えば:

Application(200-256,4097,34);Security(1);Symantec(1,13)

この例では、チャネル アプリケーションに対して 200~256、4097、34 のイベント ID をフィルタリングし、イベント ID 1 をセキュリティ用にフィルタリングし、イベント ID 1 と 13 を Symantec と呼ばれるソースでフィルタリングしています。

Windows ログ ソース パラメーター

一般的なパラメーターは、 WinCollect エージェントまたは WinCollect プラグインのログ ソースを構成するときに使用されます。各 WinCollect プラグインには、独自の構成オプション セットもあります。

表 1:一般的な WinCollect Log Source パラメータ

パラメーター

説明

ログ ソース識別子

Windows ベースのイベントを収集するリモート Windows オペレーティング システムの IP アドレスまたはホスト名。ログ ソース識別子は、ログ ソース タイプで一意である必要があります。

リモートソースからイベントをポーリングするために使用

ローカル システム

ログ ソースのイベントのリモート 収集を無効にします。

ログ ソースは、ローカル システム認証情報を使用してイベントを収集して JSA に転送します。

ドメイン

オプション

Windows ベースのログ ソースを含むドメイン。

以下の例では、正しい構文を使用しています。 LAB1server1.mydomain.com\\mydomain.com

イベントレート調整プロファイル

3000 ミリ秒のデフォルトのポーリング間隔では、取得可能な 1 秒あたりのイベント(EPS)レートの概算値は次のとおりです。

  • デフォルト(エンドポイント):33~50 EPS

  • 標準サーバー:166~250 EPS

  • High Event Rate Server:416-625 EPS

1000 ミリ秒のポーリング間隔の場合、近似 EPS レートは次のようになります。

  • デフォルト(エンドポイント):100~150 EPS

  • 標準サーバー:500~750 EPS

  • High Event Rate Server:1250-1875 EPS

ポーリング間隔(ms)

WinCollect が新しいイベントをポーリングする間隔(ミリ秒単位)です。

アプリケーションまたはサービスログタイプ

オプション。

XPath クエリに使用されます。

Windows アプリケーション ログの一部としてイベントを記述する製品に特化した XPath クエリを提供します。そのため、別の製品のログ ソースに分類されるイベントから Windows イベントを分離できます。

イベント ログポーリングプロトコル

JSA が Windows デバイスとの通信に使用するプロトコル。デフォルトは MSEVEN6 です

ログ フィルター タイプ

Windows イベント ログから特定のイベントを無視するように WinCollect エージェントを構成します。

また、WinCollect エージェントが ID コードまたはログ ソースによってグローバルにイベントを無視するように構成することもできます。

イベントの除外フィルターは、セキュリティ、システム、アプリケーション、DNS サーバー、ファイル レプリケーション サービス、ディレクトリ サービスの各ログ ソース タイプで使用できます。

グローバル除外では、イベント ペイロードからの EventIDCode フィールドを使用します。除外される値を決定するには、ソースと ID の除外は、Windows イベント ペイロードのフィールドとEventIDCode=フィールドを使用Source=します。コロンを使用して複数のソースを分離します。

例: 除外フィルターは、コンマとハイフンを使用して、4609、4616、6400-6405 などの単一の Event ID または範囲をフィルタリングできます。

セキュリティ

WinCollect がセキュリティ ログを JSA に転送できるようにする場合は、このチェック ボックスをオンにします。

セキュリティ ログ フィルター タイプ

Windows イベント ログから収集された特定のイベント ID を無視するには、[ 除外フィルター] を選択します。

Windows イベント ログに収集された特定のイベント ID を含める場合は、[ 包括フィルター] を選択します。

NSA フィルター オプションにより、[セキュリティ ログ フィルター] フィールドに、国家安全保障局が推奨するイベント ID のリストが表示されます。

デフォルトは 「フィルタリングなし」です。

メモ:

リストからフィルター タイプを選択した場合、新しいフィールド のセキュリティ ログ フィルター が表示されます。含めるか除外したいイベント ID を指定する必要があります。

システム

WinCollect がシステム ログを JSA に転送できるようにする場合は、このチェック ボックスをオンにします。

システム ログ フィルター タイプ

Windows イベント ログから収集された特定のイベント ID を無視するには、[ 除外フィルター] を選択します。

Windows イベント ログに収集された特定のイベント ID を含める場合は、[ 包括フィルター] を選択します。

NSA フィルター オプションにより、国家安全保障局が推奨するイベント ID のリストが [システム ログ フィルター] フィールドに追加されます。

デフォルトは 「フィルタリングなし」です。

メモ:

リストからフィルター タイプを選択した場合、新しいフィールド システムログフィルター が表示されます。含めるか除外したいイベント ID を指定する必要があります。

アプリケーション

WinCollect がアプリケーション ログを JSA に転送できるようにする場合は、このチェック ボックスをオンにします。

アプリケーション ログ フィルター タイプ

Windows イベント ログから収集された特定のイベント ID を無視するには、[ 除外フィルター] を選択します。

Windows イベント ログに収集された特定のイベント ID を含める場合は、[ 包括フィルター] を選択します。

NSA フィルター オプションにより、[アプリケーション ログ フィルター] フィールドに、国家安全保障局が推奨するイベント ID のリストが表示されます。

デフォルトは 「フィルタリングなし」です。

メモ:

一覧からフィルター タイプを選択した場合、新しいフィールド アプリケーション ログ フィルター が表示されます。含めるか除外したいイベント ID を指定する必要があります。

DNS サーバー

WinCollect が DNS サーバー ログを JSA に転送できるようにする場合は、このチェック ボックスをオンにします。

DNS サーバー ログ フィルター タイプ

Windows イベント ログから収集された特定のイベント ID を無視するには、[ 除外フィルター] を選択します。

Windows イベント ログに収集された特定のイベント ID を含める場合は、[ 包括フィルター] を選択します。

NSA フィルター オプションは、国家安全保障局が推奨するイベント ID のリストを DNS サーバー ログ フィルター フィールドに入力します。

デフォルトは 「フィルタリングなし」です。

メモ:

リストからフィルター タイプを選択した場合、新しいフィールド DNS サーバー ログ フィルター が表示されます。含めるか除外したいイベント ID を指定する必要があります。

ファイル レプリケーション サービス

WinCollect がファイル レプリケーション サービス ログを JSA に転送できるようにする場合は、このチェック ボックスをオンにします。

ファイル レプリケーション サービス ログ フィルター タイプ

Windows イベント ログから収集された特定のイベント ID を無視するには、[ 除外フィルター] を選択します。

Windows イベント ログに収集された特定のイベント ID を含める場合は、[ 包括フィルター] を選択します。

メモ:

一覧からフィルター タイプを選択した場合、新しいフィールド ファイル レプリケーション サービス ログ フィルター が表示されます。含めるか除外したいイベント ID を指定する必要があります。

ディレクトリ サービス

WinCollect がディレクトリ サービス ログを JSA に転送できるようにする場合は、このチェック ボックスをオンにします。

ディレクトリ サービス ログ フィルター タイプ

Windows イベント ログから収集された特定のイベント ID を無視するには、[ 除外フィルター] を選択します。

Windows イベント ログに収集された特定のイベント ID を含める場合は、 包括フィルターを選択します。

メモ:

リストからフィルター タイプを選択した場合、新しいフィールド ディレクトリサービスログフィルター が表示されます。含めるか除外したいイベント ID を指定する必要があります。

転送イベント

JSA が、サブスクリプションを使用するリモートの Windows イベント ソースから転送されるイベントを収集できるようにします。

イベント サブスクリプションを使用する転送イベントは、 WinCollect エージェントによって自動的に検出され、syslog イベント ソースであるかのように転送されます。

Windows システムからイベント転送を構成する場合は、イベントのプリレンダリングを有効にします。

メモ:

WinCollect は、転送イベント チャネルからのログのプルのみをサポートしています。サブスクリプションから別のチャネルへのイベントの書き込みはサポートされていません。

転送イベント フィルター タイプ

Windows イベント ログから収集された特定のイベント ID を無視するには、[ 除外フィルター] を選択します。

Windows イベント ログに収集された特定のイベント ID を含める場合は、[包括フィルター] を選択します。

NSA フィルター オプションは、国家安全保障局が推奨するように、[転送イベント フィルター] フィールドにすべてのチャネルと対応するフィルターを入力します。

デフォルトは 「フィルタリングなし」です。

メモ:

リストからフィルター タイプを選択した場合、新しいフィールド [転送イベント フィルター] が表示されます。含めるか除外したいイベント ID を指定する必要があります。

転送イベント フィルターでは、括弧内でフィルターするイベント ID を使用して、ソースまたはチャネルを識別する必要があります。セミコロンを区切り文字として使用します。例えば:

Application(200-256,4097,34);
Security(1);Symantec(1,13)

この例では、チャネル アプリケーションに対して 200~256、4097、34 のイベント ID をフィルタリングし、イベント ID 1 をセキュリティ用にフィルタリングし、イベント ID 1 と 13 を Symantec と呼ばれるソースでフィルタリングしています。

イベント タイプ

少なくとも 1 つのイベント タイプを選択する必要があります。

アクティブ ディレクトリ ルックアップを有効にする

WinCollect エージェントが Active Directory ルックアップを実行するドメイン コントローラーと同じドメイン内にある場合は、このチェックを選択し、オーバーライド ドメインと DNS パラメーターを空白のままにします。

メモ:

ドメイン コントローラ名ルックアップおよび DNS ドメイン名ルックアップ パラメーターの値を入力する必要があります。

ドメイン コントローラ名を上書きする

Active Directory ルックアップを実行するドメイン コントローラーが WinCollect エージェントのドメイン外にある場合に必要です。

Active Directory ルックアップを実行するドメイン コントローラーの IP アドレスまたはホスト名。

XPath クエリ

Windows イベント ログからカスタマイズされたイベントを取得するために使用する構造化 XML 式。

XPath クエリを指定してイベントをフィルター処理する場合は、 標準ログ タイプ または イベント タイプ から選択したチェック ボックスが XPath クエリと共に収集されます。

XPath クエリを使用して情報を収集するには、Windows 2008 で リモート イベント ログ管理 を有効にする必要がある場合があります。

ターゲット内部宛先

イベント プロセッサー コンポーネントを内部の宛先として持つ管理対象ホストを使用します。

ターゲットの外部宛先

イベントを宛先リストで設定した 1 つ以上の外部宛先に転送します。

アプリケーションとサービスログ

XPath クエリを使用して、アプリケーションとサービスのイベント ログからイベントを収集します。

XPath クエリは、Windows イベント ログからカスタマイズされたイベントを取得するために使用する構造化 XML 式です。

カスタム ビューの作成

Microsoft イベント ビューアーを使用してカスタム ビューを作成し、重大度、ソース、カテゴリ、キーワード、または特定のユーザーのイベントをフィルター処理できます。

メモ:

10 を超える XPath クエリを使用すると、XPath と各チャネルに入ってくるイベントの数によって WinCollect のパフォーマンスに影響を与える可能性があります。

WinCollect ログ ソースは、XPath フィルターを使用してログから特定のイベントをキャプチャできます。XPath クエリ パラメーターの XML マークアップを作成するには、カスタム ビューを作成する必要があります。Microsoft イベント ビューアーを使用するには、管理者としてログインする必要があります。

WinCollect プロトコルを使用する XPath クエリ、TimeCreated 表記は、時間範囲によるイベントのフィルタリングをサポートしていません。ある時間範囲でイベントをフィルタリングすると、イベントの収集時にエラーが発生する可能性があります。

  1. デスクトップで、[ スタート>実行] を選択します。

  2. 次のコマンドを入力します。

    Eventvwr.msc

  3. [ OK] をクリックします

  4. プロンプトが表示されたら、管理者パスワードを入力して Enter キーを押します。

  5. [アクション] > [カスタム ビューを作成] をクリックします。

    カスタム ビューを作成するときは、[ログに記録された] リストから時間範囲を選択しません。ログに記録されたリストには、WinCollect プロトコルの XPath クエリではサポートされていない TimeCreated 要素が含まれています。

  6. [イベント レベル] で、カスタム ビューに含めるイベントの重大度のチェック ボックスをオンにします。

  7. イベント ログのソースを選択します。[イベント ソース] ドロップダウン メニューからソースを選択することも、[イベント ログ] ドロップダウン メニューからソースを参照することもできます。

  8. イベントまたはログ ソースからフィルターするイベント ID を入力します。

    コンマを使用して ID を区切ります。

    以下のリストには、個別 ID と範囲が含まれています。4133、4511-4522

  9. [タスク カテゴリ] リストから、イベントまたはログ ソースからフィルターするカテゴリを選択します。

  10. [ キーワード] リストから、イベントまたはログ ソースからフィルターするキーワードを選択します。

  11. イベントまたはログ ソースからフィルター処理するユーザー名を入力します。

  12. イベントまたはログ ソースからフィルター処理するコンピューターまたはコンピューターを入力します。

  13. [XML] タブをクリックします。

  14. WinCollect ログ ソース構成の XPath クエリ フィールドに XML をコピー アンド ペーストします。

XPath クエリを使用してログ ソースを構成します。詳細については、「 アプリケーションとサービスログ」を参照してください。

XPath クエリの例

XPath クエリを作成する際の参照として、イベントの監視やログオン資格情報の取得に XPath の例を使用します。

XPath クエリの詳細については、マイクロソフトのマニュアルを参照してください。

メモ:

XPath は MSEVEN6 イベント プロトコルのみを使用します。

例: 特定のユーザーのイベントの監視

この例では、クエリはゲスト ユーザーのすべての Windows イベント ログからイベントを取得します。

メモ:

XPath クエリで Windows 転送イベントをフィルター処理することはできません。

<List> <Query Id="0" Path="アプリケーション"> <Select Path="アプリケーション">*[System[(レベル=4 またはレベル=0)およびセキュリティー[@UserID=s-1-- 5-21-3709697454-1862423022-1906558702-501 ']]</選択> <選択 Path="セキュリティ">*[System[(Level=4 または Level=0)and Security[@UserID=s-1-5-21-3709697454-18624 23022-1906558702-501 ']]]</Select> <Select Path="セットアップ">*[System[(Level=4 または Level=0) セキュリティ[@UserID=s-1-5-21-3709697454-1862423022-1906558702-501 ']]</Select> <Select Path="システム">*[System[レベル=4またはレベル] =0)および Security[@UserID=s-1-5-21-3709697454-1862423022-1906558702-501 ']]</Select> </Query> </QueryList>。

例: Windows 2008 用の資格情報ログオン

この例では、クエリは、Windows 2008 のアカウント認証に関連付けられている情報レベルのイベントのセキュリティ ログから特定のイベント ID を取得します。

< QueryList> < Query Id="0" Path="セキュリティ"> <Select Path="セキュリティ">*[System[(Level=4 or Level=0)および(EventID >= 4776 および EventID <= 4777)]</Select> </Query> </QueryList>

表 2: 資格情報ログオンの例で使用されるイベント ID

Id

説明

4776

ドメイン コントローラーは、アカウントの資格情報の検証を試みようとしました。

4777

ドメイン コントローラーがアカウントの資格情報を検証できませんでした。

例:ユーザーに基づくイベントの取得

この例では、クエリでは、ユーザー パスワード データベースを含む架空のコンピューターで作成されたユーザー アカウントの特定のイベントを取得するイベント ID を調べます。

<List> <Query Id="0" Path="セキュリティ"> <Select Path="セキュリティ">*[System[(Computer='Password_DB')および(レベル=4 または Level=0)および(EventID=4720 または(イベント) ID >= 4722、EventID <= 4726)または(EventID >= 4741、EventID <= 4743))]]</select> </Query> </QueryList>

表 3:データベースの例で使用されるイベント ID

Id

説明

4720

ユーザー アカウントが作成されました。

4722

ユーザー アカウントが有効になっています。

4723

アカウントのパスワード変更を試みた場合。

4724

アカウントのパスワードのリセットが試行されました。

4725

ユーザー アカウントが無効になっています。

4726

ユーザー アカウントが削除されました。

4741

ユーザー アカウントが作成されました。

4742

ユーザー アカウントが変更されました。

4743

ユーザー アカウントが削除されました。

例: DNS 分析ログの取得

この例では、クエリは DNS 分析ログでキャプチャされたすべてのイベントを取得します。

例:Sysinternals Sysmon でイベントの取得

この例では、クエリは SysInternals Sysmon によってキャプチャされたすべてのイベントを取得します。