Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Microsoft Windows セキュリティ イベント ログ

JSA DSM for Microsoft Windows セキュリティ イベント ログは、Microsoft Windows システムから syslog イベントを受け取ります。Sysmon と Winlogbeat.json を含むすべてのイベントがサポートされています。

Microsoft オペレーティング システムからのイベント収集の場合、JSA は次のプロトコルをサポートします。

  • Syslog(Snare、BalaBit、およびその他のサードパーティのWindowsソリューションを対象としています)

  • 転送。

  • TLS Syslog。

  • TCP マルチライン syslog

  • マイクロソフト イベント ログ (WMI)。 『Juniper Secure Analytics Vulnerability Manager User Guide』を参照してください。

  • Windows イベント ログ カスタム (WMI)。 『Juniper Secure Analytics Vulnerability Manager User Guide』を参照してください。

  • MSRPC (MSRPC 経由のマイクロソフト セキュリティ イベント ログ)。

  • ウィンコレクト。 『Juniper Secure Analytics WinCollectユーザーガイド』を参照してください。

  • WinCollect NetApp Data ONTAP. 『Juniper Secure Analytics WinCollectユーザーガイド』を参照してください。

  • AWS CloudWatch の Amazon Web Services プロトコル。

Azure ストレージ アカウントと Azure イベント ハブがあることを確認します。

  1. 省略可能: ストレージ アカウントを作成します。

    メモ:

    イベント ハブに接続するには、ストレージ アカウントが必要です。

  2. 省略可能: イベント ハブを作成します。

JSA コンソールへの MSRPC プロトコルのインストール

Windows ホストからイベントを収集する前に、JSA コンソールに MSRPC プロトコル RPM をインストールする必要があります。

ジュニパーのダウンロードからJSAコンソールにMSRPCプロトコルRPMをダウンロードしてください。

  1. JSAコンソールにrootユーザーとしてログインします。

  2. MSRPCプロトコルRPMをJSAコンソールのディレクトリにコピーします。

  3. 次のコマンドを入力して、MSRPC プロトコル RPM をコピーしたディレクトリに移動します。

    Cd <path_to_directory>

  4. 次のコマンドを入力して、MSRPC プロトコル RPM をインストールします。

    yum –y install PROTOCOL-WindowsEventRPC-<version_number>.noarch.rpm

  5. JSAコンソールの 「管理 」タブで、「 詳細設定>完全設定の展開)を選択します。

  6. 構成を展開したら、[ 詳細設定] > [Web サーバーの再起動] を選択します。

Windows ホスト上の MSRPC パラメータ

MSRPCを介したWindowsホストと JSA 間の通信を有効にするには、Microsoftリモートプロシージャコール(MSRPC)プロトコルのWindowsホストでリモートプロシージャコール(RPC)設定を構成します。

Windowsホストと JSA アプライアンス間でMSRPCを介した通信を有効にするには、管理者グループのメンバーである必要があります。

128 GBのRAMと40コア(Intel(R)Xeon(R) CPU E5-2680 v2 @ 2.80 GHz)を搭載した JSA イベントプロセッサー1624アプライアンスでのパフォーマンステストに基づくと、他のWindows以外のシステムからログを受信して処理すると同時に、8500イベント/秒(eps)のレートが正常に達成されました。ログ・ソースの制限は 500 です。

仕様

メーカー

イベントを収集するリモート プロシージャ プロトコルのオペレーティング システム依存型。

プロトコル・タイプ 」リストから次のいずれかのオプションを選択します。

  • MS-EVEN6 – 新しいログ・ソースのデフォルト・プロトコル・タイプ。

    JSA が Windows Vista および Windows Server 2008 以降と通信するために使用するプロトコルの種類。

  • MS-EVEN( Windows XP/2003 用) - JSA が Windows XP および Windows Server 2003 と通信するために使用するプロトコルタイプ。

    Windows XP および Windows Server 2003 は、マイクロソフトによってサポートされていません。このオプションの使用は成功しない可能性があります。

  • 自動検出 (レガシー構成の場合 ) – Microsoft Windows セキュリティ イベント ログ DSM の以前のログ ソース構成では、 自動検出 (レガシー構成の場合) プロトコル タイプが使用されます。

    MS_EVEN6またはMS-EVEN(Windows XP/2003 用)プロトコル タイプにアップグレードします。

サポートされているバージョン

ウィンドウズサーバー 2016

Windows Server 2012 (最新)

Windows Server 2012 Core

Windows Server 2008 (最新)

ウィンドウズサーバー 2008 コア

ウィンドウズ 10 (最新)

ウィンドウズ 8 (最新)

ウィンドウズ 7 (最新)

ウィンドウズビスタ(最新)

対象アプリケーション

ログ・ソース当たり 100 EPS をサポートできる Windows オペレーティング・システム用のエージェントレス・イベント収集。

サポートされるログ・ソースの最大数

管理対象ホスト(16xxまたは18xxアプライアンス)ごとに500のMSRPCプロトコルログソース

MSRPCの最大全体EPSレート

管理対象ホストごとに 8500 EPS

特別な機能

デフォルトで暗号化されたイベントをサポートします。

必要なアクセス許可

ログ・ソース・ユーザーは、 イベント・ログ・リーダー・ グループのメンバーである必要があります。このグループが構成されていない場合、ほとんどの場合、ドメイン全体で Windows イベント ログをポーリングするには、ドメイン管理者特権が必要です。場合によっては、Microsoft グループ ポリシー オブジェクトの構成方法によっては、 バックアップ オペレーター グループを使用することもできます。

Windows XP および 2003 オペレーティング システムのユーザーには、次のレジストリ キーへの読み取りアクセス権が必要です。

  • HKEY_LOCAL_MACHINE\SYSTEM \CurrentControlSet\services\eventl

  • HKEY_LOCAL_MACHINE\システム \カレントコントロールセット\コントロール\nls \言語

  • HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft Windows\CurrentVersion

サポートされているイベント・タイプ

アプリケーション

システム

セキュリティ

DNSサーバー

ファイルレプリケーション

ディレクトリ サービスのログ

Windows のサービス要件

Windows Server 2008 および Windows Vista では、次のサービスを使用します。

  • リモート プロシージャー コール(RPC)

  • RPC エンドポイント マッパー

Windows 2003 の場合は、リモート レジストリとサーバーを使用します。

Windows ポートの要件

Windowsホストと JSA アプライアンスの間の外部ファイアウォールが、次のポートで着信および発信TCP接続を許可するように設定されていることを確認します。

Windows Server 2008 および Windows Vista では、次のポートを使用します。

  • TCP ポート 135

  • RPC に動的に割り当てられる TCP ポート(49152 以降)

Windows 2003 では、次のポートを使用します。

  • TCP ポート 445

  • TCP ポート 139

自動的に検出されますか?

いいえ

アイデンティティを含みますか?

はい

カスタムプロパティが含まれていますか?

Windows カスタム イベント プロパティを含むセキュリティ コンテンツ パックは 、https://support.juniper.net/support/downloads/ で利用できます。

必要な RPM ファイル

PROTOCOL-WindowsEventRPC-JSA-version-Build_number.noarch.rpm

DSM-MicrosoftWindows-JSA-version-Build_number.noarch.rpm

DSM-DSMCommon-JSA-version-Build_number.noarch.rpm

詳細情報

マイクロソフト サポート

利用可能なトラブルシューティングツール

MSRPC テスト ツールは、MSRPC プロトコル RPM の一部です。MSRPC プロトコル RPM のインストール後、MSRPC テスト ツールは / opt/ qradar/jars にあります。

マイクロソフト Windows セキュリティ イベント ログの MSRPC ログ ソース パラメータに対するマイクロソフト セキュリティ イベント ログ

JSA がログ ソースを自動的に検出しない場合は、MSRPC プロトコル経由のマイクロソフト セキュリティ イベント ログを使用して、JSA コンソールに Microsoft Windows セキュリティ イベント ログ ログ ソースを追加します。

MSRPC プロトコル経由でマイクロソフト セキュリティ イベント ログを使用する場合は、使用する必要がある特定のパラメーターがあります。

次の表では、Microsoft Windows セキュリティ イベント ログから MSRPC イベントに対するマイクロソフト セキュリティ イベント ログを収集するために特定の値を必要とするパラメーターについて説明します。

表 1: マイクロソフト Windows セキュリティ イベント ログ DSM の MSRPC ログ ソース パラメーターに対するマイクロソフト セキュリティ イベント ログ

パラメーター

ログ・ソース・タイプ

Microsoft Windows セキュリティ イベント ログ

プロトコル設定

MSRPC上のマイクロソフトセキュリティイベントログ

ログ・ソースID

Microsoft Windows セキュリティー・イベント・ログ・デバイスからのイベントの ID として、ログ・ソースの IP アドレスまたはホスト名を入力します。

MSRPC テスト ツールを使用した接続の問題の診断

MSRPCテストツールを使用して、JSAapplianceとWindowsホスト間の接続を確認します。

PROTOCOL-WindowsEventRPC-<version_number>がJSAアプライアンスにインストールされていることを確認します。

MSRPCテストツールは、接続の問題のトラブルシューティングや、ホストとJSAアプライアンス間の初期接続をテストして、ホストが正しく設定されていることを確認するために使用できます。表 1 に、MSRPC テスト ツールのオプション フラグを示します。

表 2: MSRPC テスト ツール フラグ

フラグ

説明

-?または --help

MSRPC ツールのヘルプと使用法の情報を表示します。

-B

デバッグ情報を表示します (使用可能な場合)。

-D <domain>

アクティブディレクトリドメイン、またはワークグループ内の場合はホスト名。

-E <protocol>

イベント ログリモート処理プロトコル。

値: MSEVEN、MSEVEN6、および自動

デフォルト: 自動

-H <hostname/ip>

Windows ホストのホスト名または IP アドレス。

-P <password>

パスワード

-U <username>

-W <poll>

ポーリング モード。1 つ以上のイベント ログ チャネルを指定します。

値: セキュリティ、システム、アプリケーション、DNS サーバー、ファイル レプリケーション サービス、ディレクトリ サービス

複数の値はコンマで区切ります。例:アプリケーション、セキュリティ。

デフォルト: セキュリティ

  1. JSAコンソールにログインします。

  2. MSRPC テスト ツールを使用するには、次のコマンドを入力します。

    cd /opt/qradar/jars

  3. JSA と Windows ホスト間の接続をテストするには、次のコマンドを入力します。

    java -jar Q1MSRPCTest.jar

  4. オプション: その他の使用オプションについては、java -jar Q1MSRPCTest.jar --help と入力します。

Windows ホスト上の WMI パラメーター

Windows ホストと JSA 間の通信を有効にするには、Windows 管理インストルメンテーション (WMI) を使用できます。

WMI/DCOM Windows ホストおよび JSA アプライアンスを設定するには、リモート コンピュータの管理者グループのメンバーである必要があります。

Microsoft セキュリティ イベント ログ プロトコル (WMI) は、50 を超える EPS が必要なイベント収集や、サテライトや低速 WAN ネットワークなどの低速ネットワーク接続経由のサーバーには推奨されません。低速接続によって発生するネットワーク遅延は、リモート・サーバーで使用可能な EPS スループットを低下させます。より高速な接続では、代わりに MSRPC を使用できます。ネットワークのラウンドトリップ遅延時間を短縮できない場合は、WinCollect などのエージェントを使用することをお勧めします。

仕様

メーカー

マイクロソフト

DSM 名

Windows セキュリティ イベント ログ

サポートされているバージョン

ウィンドウズサーバー 2016

ウィンドウズ 2012 (最新)

Windows Server 2012 Core

Windows Server 2008 (最新)

ウィンドウズ 10 (より最近)

ウィンドウズ 8 (より最近)

ウィンドウズ 7 (最新)

ウィンドウズビスタ(最新)

特別な機能

デフォルトで暗号化されたイベントをサポートします。

対象アプリケーション

ログ・ソースごとに 50 EPS が可能な WMI 経由の Windows オペレーティング・システム用のエージェントレス・イベント収集。

メモ:

これはレガシープロトコルです。ほとんどの場合、新しいログ ソースは、MSRPC プロトコル経由の Microsoft セキュリティ イベント ログを使用して構成する必要があります。

特別な構成手順

Windows 7 イベントをリモートで取得するための DCOM と WMI の構成 (http://www.ibm.com/support/docview.wss?uid=swg21678809)

Windows 8 および Windows 2012 イベントをリモートで取得するための DCOM および WMI の構成 (http://www.ibm.com/support/docview.wss?uid=swg21681046)

Windows ポートの要件

WindowsホストとJSAアプライアンスの間の外部ファイアウォールが、次のポートで受信および送信TCP接続を許可するように設定されていることを確認する必要があります。

  • TCP ポート 135 (すべてのオペレーティング システム バージョン)

  • 49152より上に動的に割り当てられるTCPポート(Vista以上のオペレーティングシステムで必要)

  • 1024 より上で動的に割り当てられる TCP ポート (Windows XP および 2003 では必要)

  • TCP ポート 445 (Windows XP および 2003 では必要)

  • TCP ポート 139 (Windows XP および 2003 では必要)

Windows のサービス要件

次のサービスを自動的に開始するように構成する必要があります。

  • リモート プロシージャー コール(RPC)

  • リモート プロシージャ コール(RPC)ロケータ

  • RPC エンドポイント マッパー

  • リモート レジストリ

  • サーバー

  • ウィンドウ管理インストルメンテーション

ログ・ソースの許可

ログ・ソース・ユーザーは、 イベント・ログ・リーダー・ グループのメンバーである必要があります。このグループが構成されていない場合、ほとんどの場合、ドメイン全体で Windows イベント ログをポーリングするには、ドメイン管理者特権が必要です。場合によっては、Microsoft グループ ポリシー オブジェクトの構成方法によっては、 バックアップ オペレーター グループを使用することもできます。

ログ・ソース・ユーザーは、以下のコンポーネントにアクセスできる必要があります。

  • ウィンドウ イベント ログ プロトコル DCOM コンポーネント

  • Windows イベント ログ プロトコルの名前空間

  • リモート レジストリ キーへの適切なアクセス

サポートされているイベント・タイプ

アプリケーション

システム

セキュリティ

DNSサーバー

ファイルレプリケーション

ディレクトリ サービスのログ

自動的に検出されますか?

いいえ、ログ・ソースを手動で作成する必要があります

アイデンティティを含みますか?

はい

カスタムプロパティが含まれていますか?

Windows カスタム・イベント・プロパティーを含むセキュリティー・コンテンツ・パックは、IBM Fix Central で入手できます。

必要な RPM ファイル

PROTOCOL-WinCollectWindowsEventLog- JSA_release-Build_number.noarch.rpm

DSM-MicrosoftWindows-JSA_release-Build_number.noarch.rpm

DSM-DSMCommon-JSA_release-Build_number.noarch.rpm

詳細情報

マイクロソフト サポート (support.microsoft.com/)

利用可能なトラブルシューティング ツール

はい、WMI テスト ツールは / opt/qradar/jars で利用できます。

マイクロソフト セキュリティ イベント ログ ログ Microsoft Windows セキュリティ イベント ログのソース パラメータ

JSA がログ・ソースを自動的に検出しない場合は、Microsoft セキュリティー・イベント・ログ・プロトコルを使用して、JSA コンソールに Microsoft Windows セキュリティー・イベント・ログ・ログ・ソースを追加します。

Microsoft セキュリティ イベント ログ プロトコルを使用する場合は、特定のパラメーターを使用する必要があります。

次の表では、Microsoft Windows セキュリティ イベント ログから Microsoft セキュリティ イベント ログ イベントを収集するために特定の値を必要とするパラメーターについて説明します。

表 3: Microsoft Windows セキュリティ イベント ログ DSM のマイクロソフト セキュリティ イベント ログ ログ ソース パラメータ

パラメーター

ログ・ソース・タイプ

Microsoft Windows セキュリティ イベント ログ

プロトコル設定

マイクロソフト セキュリティ イベント ログ

ログ・ソースID

Microsoft Windows セキュリティー・イベント・ログ・デバイスからのイベントの ID として、ログ・ソースの IP アドレスまたはホスト名を入力します。

ドメイン

Windows システムのドメインを入力します。

WindowsホストへのWinlogbeatとLogstashのインストール

JSAでWinlogbeat JSON形式のイベントを取得するには、Microsoft WindowsホストにWinlogbeatとLogstashをインストールする必要があります。

Windows x64 以降用の Oracle Java Development Kit V8 を使用していることを確認します。

  1. デフォルト値を使用して Winlogbeat 7.7 をインストールします。詳細については、「 Winlongbeat の使用を開始する」を参照してください。

  2. Winlogbeat サービスを開始します。

    メモ:

    Windows サービスの場合、サービス名は winlogbeat です。インストール後、サービスは STOPPED に設定され、初めて開始する必要があります。このポイントを超える構成の変更には、サービスの再起動が必要です。

  3. オプション。Winlogbeat を構成する際の柔軟性の詳細については、「 Winlongbeat のセットアップ」を参照してください。

  4. パッケージをダウンロードし、選択したファイルの場所に保存して、Logstash をインストールします。

  5. Winlogbeat が JSA と正しく通信できるようにするには、「 Logstash を使用するように Winlogbeat を構成する」を参照してください。

    この <logstash_install_directory>/config ファイルでは、次の基本的なサンプル構成ファイルを使用できます。input { beats { port => 5044 } } output { tcp { host => ["172.16.199.22"] port => 514 mode => "client" codec => "json_lines" } stdout { codec => rubydebug } }

    メモ:

    rubydebug を使用している場合は、logstash.yml ファイルでデバッグを有効にする必要があります。行 # log.level: infoのコメントを解除し、 を に置き換え info ます debug。構成を変更した後は、サービスを再起動する必要があります。

    メモ:

    各イベントがcodec個別にJSAに送信されるように、入力出力を に設定json_linesする必要があります。

    メモ:

    Kafka 出力を既存の Kafka サーバーに送信する場合は、「 Kafka 出力を構成する」を参照してください。

  6. Logstash のファイルが動作していることを確認し config て、Logstash が正しくセットアップされていることを確認します。Logstash bin ディレクトリから次のコマンドを実行します。

    logstash --config.test_and_exit -f <設定ファイルへのパス>

  7. Winlogbeat が正しく構成されていることを確認します。

    1. ディレクトリから次のコマンドを実行して、構成ファイルが winlogbeat 機能していることを確認します。

      ./winlogbeat test config

  8. ディレクトリから winlogbeat 次のコマンドを実行して、Winlogbeat が Logstash サーバーにアクセスできることを確認します。

    ./winlogbeatテスト出力

    コマンドの出力 ./winlogbeat test output が成功すると、Logstash への既存の接続が切断される可能性があります。接続が切断された場合は、Logstash サービスを再起動します。

Microsoft Windows セキュリティ イベント ログ ログ ソース パラメータ

Syslogプロトコルを使用して JSA コンソールでMicrosoft Windowsセキュリティ・イベント・ログ・ソースを追加する場合、特定のパラメーターを使用する必要があります。

次の表では、Microsoft Windows セキュリティ イベント ログから Syslog イベントを収集するために特定の値を必要とするパラメーターについて説明します。

表 4: マイクロソフト セキュリティ イベント ログ syslog ソース パラメータ マイクロソフト Windows セキュリティ イベント ログ DSM

パラメーター

ログ・ソース・タイプ

Microsoft Windows セキュリティ イベント ログ

プロトコル設定

Syslog

ログ・ソースID

logstash サーバーのホスト ID。

Microsoft Windowsセキュリティイベントログから収集されるイベントでJSAがシステムユーザーと見なすユーザー名の設定

既定では、Microsoft Windows セキュリティ イベント ログのイベントでドル記号 ($) で終わるすべてのユーザー名はシステム ユーザーと見なされ、イベントの解析から除外されます。JSA がイベントを解析する方法を変更する場合は、DSM エディタを使用してシステム ユーザーを含めることができます。

  1. [ 管理 ] タブをクリックします。

  2. [データ ソース] セクションで、[DSM エディター] をクリックします。

  3. ログ・ソース・タイプの選択 」ウィンドウで、リストから「 Windows セキュリティー・イベント・ログ 」を選択し、「 選択」をクリックします。

  4. [構成] タブで、[DSM パラメーター構成の表示] を [オン] に設定します。

  5. 「イベント・コレクター」リストから、ログ・ソースの イベント・コレクター を選択します。

  6. ドル記号 ($) で終わるユーザー名を常にシステム ユーザーと見なす場合は、[システム ユーザー 条件 ] パラメーター値を [ドル記号で終わるユーザー名はシステム ユーザーと見なされます] に設定します。

  7. コンピューター名と一致する場合にのみ、ドル記号 ($) で終わるユーザー名をシステム ユーザーとして使用したい場合は、[システム ユーザー条件] パラメーター値を [コンピューター名と一致する場合はドル記号で終わるユーザー名をシステム ユーザーと見なす] に設定します。

    ヒント:

    ユーザー名 (ドル記号を除く) がコンピューター名と等しい場合、またはコンピューター名が完全修飾ドメイン名の場合はコンピューター名のホスト コンポーネントである場合、ユーザー名はコンピューター名と一致すると見なされます。大文字と小文字は無視されます。たとえば、ユーザー名が HOST$ で、コンピューター名が host または host.example.com の場合、ユーザー名はコンピューター名と一致すると見なされます。

  8. ドル記号 ($) で終わるユーザー名がシステム ユーザーと見なされないようにする場合は、[システム ユーザー 条件 ] パラメーター値を [ドル記号で終わるユーザー名はシステム ユーザーと見なされません] に設定します。

  9. [ 保存 ] をクリックし、DSM エディターを閉じます。

    ヒント:

    [ID を持つシステム ユーザーを含める] パラメーター値が [ID を持たないシステム ユーザーを含める] または [ID を持つシステム ユーザーを含める] に設定されている場合、[システム ユーザー条件] パラメーター値に関係なく、すべてのシステム ユーザーが解析に含まれます。

イベントでシステムユーザーを識別するためのJSA 7.3バージョンの設定

デフォルトでは、ドル記号($)で終わるすべてのユーザー名はシステムユーザーと見なされ、イベント解析から除外されます。JSA 7.3 バージョンでこれらのイベントをマップする方法を変更する場合は、コマンド ラインを使用してドル記号 ($) で終わるユーザー名を含めることができます。

  1. SSHを使用して、JSAコンソールにrootユーザーとしてログインします。

  2. 新規プロパティー・ファイルを作成するか、既存のプロパティー・ファイルを編集するには、次のコマンドを入力します。

    vi /opt/qradar/conf/WindowsAuthServer.properties
  3. ドル記号($)で終わるユーザー名を常にシステム ユーザーと見なす場合は、次のいずれかのオプションを選択します。

    1. 次の行を削除します。

      systemUserEndsWithDollarSign=falsesystemUserMatchesComputerName=true

      または

      systemUserEndsWithDollarSign=falsesystemUserMatchesComputerName=false
    2. ステップ 3a の既存の行を次の行に置き換えます。

      systemUserEndsWithDollarSign=truesystemUserMatchesComputerName=false
  4. ドル記号 ($) で終わるユーザー名がコンピューター名と一致する場合にのみシステム ユーザーと見なされる場合は、テキスト ファイルに次の行を追加します。

    systemUserEndsWithDollarSign=falsesystemUserMatchesComputerName=true
    ヒント:

    ユーザー名 (ドル記号を除く) がコンピューター名と等しい場合、またはコンピューター名が完全修飾ドメイン名の場合はコンピューター名のホスト コンポーネントである場合、ユーザー名はコンピューター名と一致すると見なされます。大文字と小文字は無視されます。たとえば、ユーザー名が HOST$ で、コンピューター名が host または host.example.com の場合、ユーザー名はコンピューター名と一致すると見なされます。

  5. ドル記号 ($) で終わるユーザー名がシステム ユーザーと見なされないようにするには、テキスト ファイルに次の行を追加します。

    systemUserEndsWithDollarSign=falsesystemUserMatchesComputerName=false
  6. 変更を保存し、ターミナルを終了します。

  7. イベント コレクション サービスを再起動します。詳しくは、 イベント・コレクション・サービスの再始動を参照してください。

Microsoft Windows セキュリティ イベント ログのサンプル イベント メッセージ

これらのサンプルイベントメッセージを使用して、 JSAとの統合が成功したことを確認します。

書式設定の問題のため、メッセージ形式をテキスト エディターに貼り付け、復帰文字または改行文字をすべて削除します。

WinCollect を使用する場合の Microsoft Windows セキュリティ イベント ログのサンプル メッセージ

次のサンプルのイベント ID は 4624 で、送信元 IP アドレスが 10.0.0.1、宛先 IP が 10.0.0.2 の>ユーザーのログイン <account_nameが成功したことを示しています。

次のサンプルには、送信元 IP アドレスが 10.0.0.1 のユーザーのログイン <target_user_name> が成功したことを示すイベント ID が 4624 があります。

Syslog を使用してスネア形式でログを収集する場合の Microsoft Windows セキュリティ イベント ログのサンプル メッセージ

次のサンプルのイベント ID は 4724 で、アカウントのパスワードをリセットしようとしたこと、およびアカウント名 Administrator によってリセットが試行されたことを示しています。

メモ:

JSA に送信するログは、タブ区切りにする必要があります。このサンプルのコードを切り取って貼り付ける場合は、変数が示す <tab> 場所で Tab キーを押してから、変数を削除してください。

Syslog を使用して LEEF 形式でログを収集する場合の Microsoft Windows セキュリティ イベント ログのサンプル メッセージ

次のサンプルのイベント ID は 8194 で、イベントによってユーザーによって <user_name> 開始されたボリューム シャドウ コピー サービス エラーが生成されたことを示しています。

Syslog を使用して CEF 形式でログを収集する場合の Microsoft Windows セキュリティ イベント ログのサンプル メッセージ

次のサンプルのイベント ID は 7036 Service Stopped で、サービスが停止状態になったことを示しています。

Syslog を使用して Winlogbeat を使用してログを収集する場合の Microsoft Windows セキュリティ イベント ログのサンプル メッセージ

次のサンプルには、NtpClient がタイム ソースとして使用する手動ピアを設定できなかったことを示す System のイベント ID があります。

Syslog を使用して Azure Event Hubs を使用してログを収集する場合の Microsoft Windows セキュリティ イベント ログのサンプル メッセージ