Windows Event Log Settings

グループ ポリシーによる Windows イベントログの重要性

Windows イベントログ の重要性

イベントログには、さまざまな Windows の動作や設定が書き込まれます。万一、サイバー攻撃を受けた際に、このイベントログの解析によって、攻撃手法や侵入経路、情報の窃取などが判明する場合があり、再発防止、復旧対策には重要な役割を果たします。
一方で、イベントログが蓄積されるとディスクの領域を狭めることとなり、Windows の動作に影響を及ぼすことがあり、その場合、極端な応答反応の低下などを招くことがあります。このことから、Windows の初期設定ではイベントログの出力が抑制的であり、この場合、費用をかけてフォレンジック調査を行っても、肝心な情報を得ることができない事態が発生します。
従って、コンピューターの役割に応じて、適切なイベントログの設定を行う事が重要です。

• どのようなイベントを記録するかという イベントログの出力設定 を行う
• イベントログのサイズや上書き・アーカイブなどの プロパティ設定 を行う

イベント ログ の出力設定

イベント ログは既定では抑止的な出力設定となっています。そこで、“監査ポリシーの詳細な構成” を設定し、“攻撃検知のための” 詳細なログを出力するように構成を変更します。[ Default Domain Policy ] および [ Domain Controllers Policy] の以下のポリシーを選択します。攻撃検知のための設定は、各構成のリンクを参照してください。

[ コンピュータの構成 ] > [ ポリシー ] > [ Windows の設定 ] > [ セキュリティの設定 ] > [ 監査ポリシーの詳細な構成 ] > [ 監査ポリシー ] 

• アカウント ログオン
  “アカントロックアウトや認証プロセス（Kerberos／NTLM）の成否” を監査します。主に 認証を行ったサーバ側（DC）で記録されます。
• アカウントの管理
  “アカウント／グループ／パスワード等の変更” を監査します。AD 管理操作を追跡する最重要カテゴリです。
• 詳細な追跡
  プロセス作成／終了や、ハンドル操作などの “詳細な内部挙動” を監査します。
• DS アクセス
  “OU、GPO、SPN、サービスアカウントの変更” など、Active Directory オブジェクトへのアクセスを監査します。
• ログオン/ログオフ
  “ユーザーのログイン／ログアウト” を監査します。
• オブジェクト アクセス
  “ファイル、レジストリ、プリンター、共有フォルダー” などのオブジェクト “アクセス” を監査します。
• ポリシーの変更
  監査ポリシー・ユーザー権利割り当てなどの “セキュリティ設定変更” を監査します。
• 特権の使用
  “特権（SeDebug、SeBackup、SeRestore など OS 内部の強力な権限）” の使用を監査します。
• システム
  “システムの起動、シャットダウン、ログの消去” など、システム全般の監査をします。
• グローバル オブジェクト アクセスの監査
  特定のオブジェクト（ファイル/レジストリ）に対して、固定の共通 SACL を強制適用します。端末のすべてのファイルへのアクセスを監査できますが、ログの出力量が膨大になりますので、通常は設定しません。
  

Windows イベントログのプロパティ設定

イベントログのサイズや上書き・アーカイブ設定を行うグループ ポリシーの場所

Windows のイベント ログは、Windows Vista（＝Server 2008）でイベントログシステムが “完全刷新” されたため、旧設定と新設定が併存しています。Windows XP / Server 2003 までは EventLog（レガシー） が管理していましたが、Vista/2008 以降は Windows Eventing 6.0 という新アーキテクチャに変更されています。

• ～ Windows Server 2003 まで
  [ コンピューターの構成 ] > [ Windows の設定 ] > [ セキュリティ設定 ] > [ ローカルポリシー ] > [ イベントログ ]
• Windows Server 2008 / Windows Vista ～
  [ コンピューターの構成 ]>[ 管理用テンプレート ]>[ Windows コンポーネント ]>[ イベント ログ サービス ]

“イベントログのサイズや動作を決定するグループポリシー” は、[ Default Domain Policy ] および [ Domain Controllers Policy] の “管理用テンプレート配下のポリシー” を選択してください。

イベントログのサイズを大きくすることで、様々な事象を残すことができますが、既定では C ドライブに書き込まれるため、C ドライブのサイズによって、上書きするか、アーカイブするかの方針を決定する必要があります。
情報はドメインコントローラー（DC）に最も集まりますので、DC とメンバーサーバーおよび端末とは、異なる設定を検討します。

Default Domain Policy （対象：メンバーサーバー、クライアント）
Domain Controllers Policy （対象：ドメインコントローラー）

ログのアクセス権を設定する：未構成（既定値のままでよい）

ログのアクセス権は既定値で、SDDL（Security Descriptor Definition Language）により、以下の設定がされています。セットアップログとセキュリティログについては、Built-In Administrator （BA）に対して、読み取り（0x1）＋書き込み（0x2）＋追加書き込み（0X4）＝0x7 のアクセス権が設定されています。Event Log Readers は、セットアップログとセキュリティログへのアクセス権がないことに留意が必要です。

ログファイルが最大サイズに達したときのイベントログの動作を制御する：未構成もしくは無効(既定値のままでよい）

未構成 もしくは 無効を設定することで、動作は “ポリシー：ログがいっぱいになった場合に自動的にバックアップする” によって決定されます。

ログファイルの最大サイズ（KB）を指定する：有効

ポリシーを有効にして、ログファイルのサイズを KByte で指定します。
セキュリティログはフォレンジック調査上、極めて重要なため、なるべく大きいサイズを指定します。ディスクサイズに制限がある場合でも、少なくとも、50,000KBは確保してください。DC には大量のログが生成されます。C ドライブのサイズが小さい場合は、別途、ログの転送を検討します。

ログ ファイルの場所を制御する：未構成 (既定値のままでよい）

各ログは同じ “未構成” にしてください。
ログ ファイルの保存場所は既定値の C:\Windows\System32\winevt\Logs\ が最も望ましいとされています。このディレクトリには以下のセキュリティ属性が設定されています。

• TrustedInstaller 所有：Administrator でも自由に削除できない
• SYSTEM のみフルアクセス：SYSYTEM が最上位
• Mandatory Label: High Integrity / System Integrity：中・低権限プロセスからの書き換え不可能
• Write-evaluate 付き ACL：イベントログサービスだけが操作可能

このため、他のドライブに移動すると、NTFS の Integrity Level が通常の Medium になってしまい改ざん、削除が容易になります。また、Windows 自身が絶対パスでログにアクセスする場合があり、不整合の原因になります。
C ドライブはボリュームシャドウコピー（VSS）の対象のため、そのままログがバックアップに含まれます。

ログがいっぱいになった場合に自動的にバックアップする：有効

各ログの指定されたサイズ上限に達した際の動作を設定します。基本的に、“有効にしてバックアップを取得する” 設定を行いますが、ディスクサイズが小さい場合は、セキュリティ ログだけを有効にして、バックアップを取るようにしてください。

なお、“監査ポリシーの詳細な構成” を設定しても、オブジェクトアクセスやファイル共有などのログは、“フォルダやファイル単位で監査出力の設定” を行わないと出力されません。